環(huán)境監(jiān)測中心站網(wǎng)絡(luò)安全等級測評服務(wù)項目采購文件

1、福建省環(huán)境監(jiān)測中心站關(guān)于網(wǎng)絡(luò)平安等級測評服務(wù)采購文件根據(jù)中華人民共和國政府采購法等有關(guān)規(guī)定，福建省環(huán)境監(jiān)測中心站擬 對本單位網(wǎng)絡(luò)平安等級測評服務(wù)工程（采購編號：FJHJJCEYB2022007）（以下 簡稱本工程）進行公開采購，現(xiàn)將有關(guān)事項說明如下：采購工程一覽表序號工程名稱服務(wù)期限最高限價（元）備注1網(wǎng)絡(luò)平安等級測評服務(wù)工程1年130000一、概述平安測評是測評機構(gòu)依據(jù)國家信息平安等級保護制度規(guī)定，受有關(guān)單位委托, 按照有關(guān)管理規(guī)范和技術(shù)標準，運用科學的手段和方法，對處理特定應(yīng)用的信息 系統(tǒng)，采用平安技術(shù)測評和平安管理測評方式，對保護狀況進行檢測評估，判定 受測系統(tǒng)的技術(shù)和管理級別與所定平安

2、等級要求的符合程度，基于符合程度給出 是否滿足所定平安等級的結(jié)論，針對平安不符合項提出平安整改建議。為更好的實現(xiàn)單位的系統(tǒng)平安，現(xiàn)計劃對省環(huán)境數(shù)據(jù)綜合業(yè)務(wù)平臺進行平安 測評服務(wù)。二、采購內(nèi)容及技術(shù)服務(wù)要求1序號測評系統(tǒng)名稱子系統(tǒng)名稱1省環(huán)境數(shù)據(jù)綜合 業(yè)務(wù)平臺福建省污染源監(jiān)測數(shù)據(jù)綜合管理系統(tǒng)福建省污染源企業(yè)自行監(jiān)測管理系統(tǒng)福建省重點污染源監(jiān)測信息綜合發(fā)布平臺福建省環(huán)境空氣質(zhì)量智慧綜合平臺福建省環(huán)境空氣質(zhì)量信息發(fā)布平臺福建省大氣超級站智慧分析平臺福建省地表水環(huán)境自動監(jiān)測監(jiān)控系統(tǒng)福建省生態(tài)環(huán)境監(jiān)測質(zhì)量管理平臺福建省環(huán)境質(zhì)量分析系統(tǒng)（一）等保測評服務(wù)等保定級、備案、測評、平安等相關(guān)服務(wù)1、等級保護定級

3、、備案服務(wù)網(wǎng)絡(luò)平安等級保護工作包括定級、備案、建設(shè)整改、等級測評階段。服務(wù)概 述如下表：序號服務(wù)工程服務(wù)內(nèi)容交付成果1等保資產(chǎn)分 析服務(wù)對信息系統(tǒng)進行調(diào)研和梳理，編制信息系 統(tǒng)詳細描述文檔。信息系統(tǒng)基本情況調(diào)查表2等保差距評 估服務(wù)依照等級保護要求從管理和技術(shù)兩個層 面找出存在的問題并進行差距分析。等級保護平安 評估與整改建議3等保風險分 析服務(wù)分析信息系統(tǒng)的平安風險以及基線差距。4等保整改建 設(shè)服務(wù)提供信息平安等級保護建設(shè)詳細方案，協(xié) 助完成建設(shè)整改工作。5等保平安加 固服務(wù)針對風險分析與差距評估的結(jié)果，實施安 全策略優(yōu)化輔導(dǎo)，提供主機、數(shù)據(jù)庫、應(yīng) 用的平安加固建議。2(1)等保資產(chǎn)分析服務(wù)

4、6等保制度建設(shè)服務(wù)協(xié)助設(shè)計網(wǎng)絡(luò)平安管理制度。等級保護平安 管理制度匯編7等保定級咨 詢服務(wù)協(xié)助完成撰寫信息系統(tǒng)定級報告，并組織 專家評審。相關(guān)定級材料8等保備案輔 助服務(wù)協(xié)助準備備案材料，直到完成備案工作。相關(guān)備案材料9等保測評輔 助服務(wù)指導(dǎo)采購單位配合測評中心開展等級測 評工作。相關(guān)測評材料根據(jù)等級保護范圍內(nèi)的資產(chǎn)組成，派遣專業(yè)工程師到現(xiàn)場整理各個系統(tǒng)的網(wǎng) 絡(luò)結(jié)構(gòu)拓撲以及相關(guān)聯(lián)的資產(chǎn)，編制信息系統(tǒng)資產(chǎn)清單及資產(chǎn)報告；對服務(wù)范圍 內(nèi)信息系統(tǒng)開展平安物理環(huán)境、平安通信網(wǎng)絡(luò)、平安區(qū)域邊界、平安計算環(huán)境、 平安管理中心以及平安管理制度進行調(diào)研和梳理，編制信息系統(tǒng)詳細描述文檔。(2)等保差距評估服務(wù)在

5、平安評估和信息系統(tǒng)定級的基礎(chǔ)上，根據(jù)GB/T 22239-2019信息平安技 術(shù)網(wǎng)絡(luò)平安等級保護基本要求將定級信息系統(tǒng)等級保護的各項基本要求與信 息平安現(xiàn)狀進行比擬分析，從管理和技術(shù)兩個層面找出存在的問題并進行差距分 析。(3)等保風險分析服務(wù)根據(jù)等級保護基本要求,開展平安物理環(huán)境、平安通信網(wǎng)絡(luò)、平安區(qū)域邊界、 平安計算環(huán)境、平安管理中心以及平安管理的現(xiàn)狀分析，通過平安訪談、脆弱性 評估、登錄檢查、日志分析以及滲透測試等技術(shù)手段對現(xiàn)有的平安資產(chǎn)進行全方 位的風險評估，結(jié)合信息資產(chǎn)屬性、威脅、脆弱性等基本要素，分析信息系統(tǒng)安 全風險評估分析，編制風險分析報告。(4)等保整改建設(shè)服務(wù)依據(jù)相應(yīng)等級要

6、求對當前實際情況的差距分析結(jié)果對應(yīng)策略設(shè)計整改加固 措施，包含平安物理環(huán)境、平安通信網(wǎng)絡(luò)、平安區(qū)域邊界、平安計算環(huán)境、平安 管理中心以及管理要求內(nèi)容，針對不符合項以及行業(yè)特性要求進行個性化的整改 方案設(shè)計，設(shè)計信息平安等級保護建設(shè)詳細方案,協(xié)助采購人完成建設(shè)整改工作。（5）等保平安加固服務(wù)根據(jù)等級保護基本要求以及風險分析結(jié)果，提供專業(yè)的系統(tǒng)平安加固建議意 見，派遣專業(yè)工程師到現(xiàn)場根據(jù)等保平安加固指導(dǎo)書,實施邊界防護平安策略優(yōu) 化輔導(dǎo)、服務(wù)器病毒檢查與清理，提供主機平安加固建議、數(shù)據(jù)庫平安加固建議 以及應(yīng)用平安加固建議。加固完成后，派遣專業(yè)工程師到現(xiàn)場針對加固前后的系統(tǒng)脆弱性進行復(fù)查, 復(fù)查手段

7、包括但不限于協(xié)議分析、漏洞掃描、漏洞驗證以及配置核查等方法。（6）等保制度建設(shè)輔導(dǎo)服務(wù)協(xié)助采購人對平安管理制度建設(shè)，按照等級保護管理局部的標準，從平安管 理制度、平安管理機構(gòu)、人員平安管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理5個方面 幫助采購人補充及完善等級保護要求的管理體系建設(shè)中涉及到的制度文檔，以及 相關(guān)記錄的完善。包括但不限于信息平安工作職責，信息平安監(jiān)督、檢查機制; 輔助采購人編寫方針、制度、各類記錄表格模板在內(nèi)的三層結(jié)構(gòu)的平安管理制度, 到達等級保護測評要求。（7）等保定級咨詢服務(wù)在采購人信息系統(tǒng)自行定級的基礎(chǔ)上，參照國家和地方對等級保護定級的有 關(guān)要求，對信息系統(tǒng)開展摸底調(diào)查工作，掌握信息

8、系統(tǒng)的基本情況，了解信息系 統(tǒng)（包括信息網(wǎng)絡(luò)）的業(yè)務(wù)類型、應(yīng)用或服務(wù)范圍、數(shù)量、系統(tǒng)結(jié)構(gòu)、部署方式、 平安策略、內(nèi)控制度等信息，協(xié)助采購人完成撰寫信息系統(tǒng)定級報告，明確信息 系統(tǒng)的邊界和平安保護等級。（8）等保備案輔助服務(wù)根據(jù)信息平安等級保護管理方法，信息系統(tǒng)運營使用采購單位或主管部 門需到當?shù)毓矙C關(guān)備案，將提供備案咨詢服務(wù)，協(xié)助填寫網(wǎng)絡(luò)平安等級保護備 案表等準備材料，直到完成備案工作。（9）等保測評輔助服務(wù)在測評階段協(xié)助采購人準備測評材料，指導(dǎo)采購人配合測評中心開展等級測 評工作，組織測評整改，并保障順利通過等保測評獲得測評報告。2、等級保護測評服務(wù)根據(jù)提交的網(wǎng)絡(luò)平安等級保護測評申請書，對

9、服務(wù)范圍內(nèi)的信息系統(tǒng)進行安全等級測評，并為被測系統(tǒng)提供測評機構(gòu)出具的信息系統(tǒng)平安等級測評報告。服務(wù)概述如下表：序號服務(wù)細項服務(wù)內(nèi)容交付成果1技術(shù)層面測評服務(wù)從技術(shù)層面進行平安測評。測評報告2管理層面測評服務(wù)從管理層面進行平安測評。測評報告（1）技術(shù)層面測評服務(wù)技術(shù)層面測評將根據(jù)要求逐項進行測評：平安物理環(huán)境：物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護。平安通信網(wǎng)絡(luò)：網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗證。平安區(qū)域邊界：邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、 平安審計、可信驗證。平安計算環(huán)境：身份鑒別、訪問控制、平安審計、入

10、侵防范、惡意代碼防范、 可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護、個人信息 保護。平安管理中心：系統(tǒng)管理、審計管理、平安管理、集中管控。（2）管理層面測評服務(wù)管理層面測評將根據(jù)要求逐項進行測評：平安管理制度：平安策略、管理制度、制定與發(fā)布、評審與修訂。平安管理機構(gòu)：崗位設(shè)置、人員配備、授權(quán)和審批、溝通與合 作、審核 和檢查。平安管理人員：人員錄用、人員離崗、平安意識教育和培訓(xùn)、外部人員訪問 管理。平安建設(shè)管理：定級和備案、平安方案設(shè) 計、產(chǎn)品采購和使用、自行軟件 開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評、服務(wù)供應(yīng)商 管理。平安運維管理：環(huán)境管理、資產(chǎn)管理、

11、介質(zhì)管理、設(shè)備維護管理、漏洞和風 險管理、網(wǎng)絡(luò)和系統(tǒng)平安管理、惡意代碼防范管理、配置管理、密碼管理、變更 管理、備份與恢復(fù)管理、平安事件處置、應(yīng)急預(yù)案管理、外包運維管理。3、測評驗收要求：驗收標準：按信息平安技術(shù)網(wǎng)絡(luò)平安等級保護基本要求(GB/T 22239-2019),提供省環(huán)境數(shù)據(jù)綜合業(yè)務(wù)平臺網(wǎng)絡(luò)平安等級保護測評報告 二級。(二)信息平安咨詢服務(wù)服務(wù)工程服務(wù)內(nèi)容服務(wù)時限等保合規(guī)性平安咨詢服務(wù)按照等保2. 0標準提供福建省環(huán)境監(jiān)測中心站各系統(tǒng)合規(guī) 性的平安咨詢服務(wù)，發(fā)現(xiàn)不符合相應(yīng)等級保護標準要求及 時提供整改建議。一年日常平安咨詢提供7*24小時平安咨詢服務(wù)，提供信息平安咨詢服務(wù)平安通告服務(wù)

12、根據(jù)服務(wù)范圍內(nèi)資產(chǎn)類型追蹤最新的漏洞信息定期通告， 通告內(nèi)容包括漏洞風險等級、影響范圍以及修復(fù)建議等， 通告內(nèi)容包含：漏洞發(fā)現(xiàn)趨勢、重要漏洞解析、行業(yè)平安 資訊、主要漏洞新聞等。平安應(yīng)急響應(yīng)協(xié)助規(guī)劃并制定平安事件分類級別，成立應(yīng)急響應(yīng)支撐小 組，隨時響應(yīng)客戶需求，接到客戶通知后，技術(shù)人員2小 時內(nèi)到現(xiàn)場提供應(yīng)急響應(yīng)服務(wù)。三、應(yīng)標單位的資格要求1、應(yīng)標單位所投等保測評機構(gòu)即具有公安部第三研究所認定網(wǎng)絡(luò)平安等 級測評與檢測評估機構(gòu)服務(wù)認證證書，須提供由等級保護測評機構(gòu)出具的授權(quán) 函，在工程實施途中，測評工程組人員未經(jīng)采購人同意不得隨意更換，工程小組 成員不少于5人，工程負責人需由高級測評師擔任，并

13、派遣4名測評師分別負責 主機層、應(yīng)用層、數(shù)據(jù)層、網(wǎng)絡(luò)層面的測評，并在投標文件中提供投標截止時間 前六個月內(nèi)（連續(xù)三個月）的社保證明以及測評師證書復(fù)印件。2、應(yīng)標單位應(yīng)具備ITSS信息技術(shù)服務(wù)運行維護標準符合性證書（三級或以 ）o （提供證書復(fù)印件并并加蓋應(yīng)標單位單位公章）。3、應(yīng)標單位應(yīng)具備CCRC信息平安運維服務(wù)資質(zhì)認證證書或CCIA信息系統(tǒng) 業(yè)務(wù)平安服務(wù)資質(zhì)證書。（提供證書復(fù)印件并加蓋應(yīng)標單位單位公章）。4、應(yīng)標單位應(yīng)是有能力提供招標內(nèi)容及服務(wù)的國內(nèi)企業(yè)。應(yīng)標單位應(yīng)在響 應(yīng)文件中提供企業(yè)法人營業(yè)執(zhí)照和稅務(wù)登記證復(fù)印件,并加蓋應(yīng)標單位公章。已 完成三證合一或五證合一辦理新版營業(yè)執(zhí)照的應(yīng)標單位

14、，可以提供新版工商營業(yè) 執(zhí)照復(fù)印件，并加蓋應(yīng)標單位單位公章。5、應(yīng)標單位應(yīng)提供參加本工程招標活動前三年內(nèi)在經(jīng)營活動中沒有重大違 法記錄的書面聲明和通過信用中國網(wǎng)站（ creditchina. gov. cn）或中國 政府采購網(wǎng)（ ）信用信息查詢無嚴重違法失信行為信息記錄的 打印件（或截圖），并加蓋應(yīng)標單位單位公章。6、應(yīng)標單位應(yīng)提供報價截止時間前六個月（不含報價截止時間的當月）中 任一個月份的依法繳納稅金的憑據(jù)復(fù)印件，依法免稅的受應(yīng)標單位，應(yīng)提供證明 其免稅的響應(yīng)文件復(fù)印件，憑據(jù)復(fù)印件須加蓋受應(yīng)標單位單位公章。7、應(yīng)標單位應(yīng)提供報價截止時間前六個月（不含報價截止時間的當月）中 任一個月份繳納社

15、會保險金憑據(jù)復(fù)印件，依法不需要繳納社保資金的受應(yīng)標單位, 應(yīng)提供證明其不需要繳納社保資金的響應(yīng)文件復(fù)印件，憑據(jù)復(fù)印件須加蓋受應(yīng)標 單位單位公章；8、應(yīng)標單位有與相關(guān)政府機關(guān)或事業(yè)單位合作過，提供相關(guān)案例。9、本工程不接受聯(lián)合體投標。10、未滿足以上招標要求的應(yīng)標人，將被視為無效應(yīng)標人。報名及評標方式報名方式凡有意參與本工程的投標人，請于8月16日上午12:00前（北京時間）， 將密封好的報價文件郵寄或送至福建省環(huán)境監(jiān)測中心站（福州市鼓樓區(qū)福飛南路 138號406室），進行報名及報價。投標人提供的報價材料及裝訂順序：（1）報價表（2）營業(yè)執(zhí)照副本復(fù)印件 （3）法人身份證復(fù)印件（4）資質(zhì)證明相關(guān)材

16、料。以上證明文件需蓋單位公章, 投標文件正本一份和副本一份，分別裝訂成冊，加蓋騎縫章，并密封送至采購人 處室，經(jīng)審驗如有不符或遺漏，視為投標文件作廢。評標方式本工程采用最低價中標評審方式，滿足技術(shù)和服務(wù)要求等全部實質(zhì)性要求的 最低價格供應(yīng)商作為本工程中標單位。五、開標事項本次采購招標本著公開、公平、公正的原那么，由招標人組成評標小組進行開 標和評標。中標人收到中標通知書后三十個工作日內(nèi)，與招標人簽訂服務(wù)合同。六、工程交付與驗收1、交付地點：業(yè)主指定地點2、交付時間：根據(jù)主體工程建設(shè)時間而定，中標方在收到采購人提供滿足 測試所需的所有資料和測試環(huán)境之后，十五個工作日內(nèi)提交系統(tǒng)測試報告（不包 含系統(tǒng)整改時間），整改結(jié)束后三十個工作日內(nèi)提交信息平安等級保護測評報告。3、交付條件：中標人需提供相應(yīng)的平安測評報告以及備案證書4、是否收取履約保證金：否5、是否邀請投