各测评机构：

为了提升系统的安全保护能力、加强信息安全管理，云阳县大数据发展局拟公开询价一家具有相应服务资质的机构对云阳县政府大数据资源管理和运营平台（一期）进行等保测评。现将有关事项公告如下：

一、询价采购内容

（一）采购内容

本次项目，要求中标机构协助我局完成信息系统定级备案并进行等级保护测评。待测评信息系统如下：

按照《网络安全等级保护定级指南》（GB∕T 22240-2020）、《网络安全等级保护基本要求》（GB/T 22239-2019）、《网络安全等级保护安全设计技术要求》（GB/T 25070-2019）等有关规定及网络安全等级保护2.0国家标准，信息系统等级保护测评应包括以下内容：

安全技术测评：包括但不限于安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面。

安全管理测评：包括但不限于安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理五个方面。

1.安全物理环境

针对物理机房提出的安全控制要求。主要对象为物理环境、物理设备和物理设施等；涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。

2.安全通信网络

针对通信网络提出的安全控制要求。主要对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证。

3.安全区域边界

针对网络边界提出的安全控制要求。主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

4.安全计算环境

针对边界内部提出的安全控制要求。主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

5.安全管理中心

针对整个系统提出的安全管理方面的技术控制要求，通过技术手段实现集中管理；涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控。

6.安全管理制度

针对整个管理制度体系提出的安全控制要求，涉及的安全控制点包括安全策略、管理制度、制定和发布以及评审和修订。

7.安全管理机构

针对整个管理组织架构提出的安全控制要求，涉及的安全控制点包括岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。

8.安全管理人员

针对人员管理提出的安全控制要求，涉及的安全控制点包括人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理。

9.安全建设管理

针对安全建设过程提出的安全控制要求，涉及的安全控制点包括定级和备案、安全方案设计、安全产品比选和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评和服务供应商管理。

10.安全运维管理

针对安全运维过程提出的安全控制要求，涉及的安全控制点包括环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理和外包运维管理。

此外，针对云计算平台，应满足云计算安全扩展测评项要求。

（二）工作要求

1.保密要求

（1）供应商必须承诺对本项目技术文件以及由用户提供的所有内部资料、技术文档和信息予以保密。供应商须按用户的要求签订保密协议，未经用户书面许可，不得以任何形式向第三方透露本项目标书以及本项目的任何内容。

（2）供应商应加强本项目资料的保密管控，必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施，记录资料由生成到销毁整个生命周期内的使用日志，并根据实际工作情况及时对制度进行调整。供应商应加强本项目在用户工作场所使用设备，特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备，必须遵守该系统关于终端安全管理、移动存储介质管理等要求。

2.质量要求

为保证项目质量，严格要求测评机构在项目控制、项目监督、结果验证等方面按照国家相关标准要求执行。

3.实施要求

在项目实施过程中，供应商应成立相应的项目组，指定一名专职的项目经理协调和调度项目实施工作。供应商在项目实施过程中，需对项目进行规范化管理，要有项目管理组织、项目管理计划、服务资产管理等。同时，供应商应根据项目实际情况制定项目实施计划，严格按照项目实施计划推动项目实施，确保项目进度。

4.项目成果

测评完成后将提供我局项目成果，项目成果包括但不限于以下内容：

信息系统安全等级保护备案证明；

网络安全等级保护测评报告；

漏洞扫描报告；

渗透测试报告。

5.售后服务

为我局免费提供为期一年的安全规划、设计、建设等咨询服务。

6.完成期限

5月25日前完成测评工作并出具年度测评报告。

二、供应商资格条件

（一）基本资格条件

1.具有独立承担民事责任的能力；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有履行合同所必需的设备和专业技术能力；

4.有依法缴纳税收和社会保障资金的良好记录；

5.参加政府比选活动前三年内，在经营活动中没有重大违法记录；

6.法律、行政法规规定的其他条件。

（二）特定资格条件

投标方应具有网络安全等级测评资质（提供网络安全等级保护测评机构推荐证书复印件并加盖公章），并被纳入《全国信息系统安全等级保护测评机构推荐目录》(http：//www.djbh.net/)。

三、公告期限

2021年4月13日—18日。

四、报价时间及方式

报价方式：传真或现场投标。

截止时间：2021年4月19日 12：00。

现场投标地点：重庆市云阳县双江街道青龙路198号6018会议室。

五、联系方式

联系人：王老师

联系电话：023-55129262

传真：023-55129719

联系地址：重庆市云阳县双江街道青龙路198号

附件：

关于信息系统网络安全等级保护测评服务公开询价采购的公告.docx