增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书.docx

《增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书.docx》由会员分享，可在线阅读，更多相关《增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书.docx（5页珍藏版）》请在第一文库网上搜索。

1、增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务需求书一、工作背景为响应国家政策要求，提高单位信息化整体水平，持续应对新型的安全风险和威胁，增城经济技术开发区企业筹建服务中心（以下简称：我单位）参照网络安全法，根据单位现有信息系统安全实际情况，依据国家网络安全等级保护相关规范与标准的要求,对我单位重要信息系统进行网络安全等级保护测评。通过统一的网络安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理，使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。项目名称及概况1、项目名称：增城区产业项目

2、筹建工作管理和服务系统平台项目等级保护测评服务。2、建设单位：增城经济技术开发区企业筹建服务中心。3、采购内容：确定一家供应商，为采购人提供增城区产业项目筹建工作管理和服务系统平台项目等级保护测评服务。4、项目最高限价：50000元（人民币：伍万元整）。三、投标人的资格要求1、投标人须是具有独立承担民事责任能力的，在中华人民共和国境内注册的法人（不接受联合体投标，须提交企业法人营业执照副本或注册登记证书副本复印件）；2、投标人具有“网络安全等级保护测评与检测评估机构服务认证证书”资质。四、项目地点及服务期限1、本项目服务期限为：1年。2、项目实施地点：增城经济技术开发区企业服务局。五、工作内容

3、及工作需求1、本项目需测评的信息系统清单:序号名称系统级别备注1增城区产业项目筹建工作管理和服务系统二级/2、具体服务事项1）定级备案按照信息系统安全等级保护定级指南以及信息安全等级保护管理办法等文件的要求，协助完成信息系统安全等级保护定级工作。2）差距测评依据国家等级保护2.O的相关标准，结合被测系统安全等级保护定级情况，制定信息系统安全等级保护测评方案，对信息系统涉及的机房、网络/安全设备、主机设备、应用系统、安全管理体系等进行等级保护差距测评，并提交不符合项表和整改建议。3）漏洞检测对被测信息系统涉及的服务器、应用系统进行漏洞检测，列出被测信息系统中存在的主要问题以及可能造成的后果，并提

4、出整改建议。4）渗透测试根据扫描结果进行漏洞分析及说明，对信息系统开展渗透测试，进行弱口令测试及其他手工测试，并提交修复建议。5）验收测评我单位完成相关整改工作后，中标单位依据信息系统安全等级保护基本要求及相关标准和要求进行信息安全等级保护验收测评工作，并按照等保2.O的相关要求出具网络安全等级保护测评报告。六、服务人员要求测评人员实行项目经理负责制，全面负责测评服务合同履行、负责项目测评全过程工作。项目经理应具有网络安全等级测评师证书或信息安全等级测评师证书中级或以上、具有注册信息安全专业人员证书，注册信息安全工程师（即（CISP-CISE）证书）、具有注册信息安全专业人员证书，注册渗透测试

5、工程师（即（CISP-PTE）证书）、具有信息安全保障人员风险管理方向专业级认证证书（即（C1SAW）证书）、具有信息安全保障人员应急服务方向专业级认证证书（即（CISAW）证书）、具有信息系统项目管理师证书、具有项目管理专业人员资格认证证书（即PMP证书）；项目组成员不少于2人，测评工程师应具备数据隐私保护专家证书资格证书（即ISACACDPSE证书）、具有网络安全人员能力认证证书（即CPAe证书）、具有网络安全等级测评师证书或信息安全等级测评师证书和计算机技术与软件专业技术资格网络工程师中级或以上、具有重要信息系统安全等级保护培训证书（即CIIP-A证书）。（备注，如有需要，中选供应商应提

6、供所需资质原件备查）七、项目目标以等级保护标准要求为依据，选择一家测评机构对我单位本次项目“增城区产业项目筹建工作管理和服务系统平台”进行网络安全等级保护测评。通过采用人工访谈、工具检测、登录系统检测、文档分析的方式，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析列表；并为确立安全策略、制定安全规划、开展安全建设提供整改建议；协助我单位完成本次项目网络安全等级保护验收测评工作，提交网络安全等级保护测评报告。具体目标如下：（1）依据信息安全技术网络安全等级保护基本要求以及信息系统安全等级保护测评指南的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工

7、具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护差距分析报告；（2）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续信息系统的信息安全等级保护安全建设提供依据；（3）依据国家等级保护2.0的相关标准发现现有信息系统存在的信息安全问题，确保信息系统在技术防护和安全管理体系方面均达能到等级保护2.0的防护要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量资源（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要资源损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在第一时间恢复部分功能。八、注意事项1、本项目最高限价：50000元（人民币：伍万元整）（报价含测评费、税金等费用）。2、成交供应商的评定规则：本项目采用定点竞价方式，以符合资质要求的供应商中报价来确定项目的服务商。增城经济技术开发区企业服务局2023年4月210