为有效防范风险，保护信用数据安全，实现信用联合奖惩应用系统持续平稳运行，达到系统验收标准，我局拟采购信用联合奖惩应用系统信息安全等级保护测评服务，现将有关事项公告如下：

一、采购服务内容

对信用联合奖惩应用系统按照《信息安全等级保护管理办法》关于三级等保测评要求提供信息安全等级保护测评服务，对建设单位提出整改要求并进行再次测评，出具最终测评报告并获取由市公安局颁发的《信息系统安全等级保护备案证明》，保护等级为三级。主要测试的内容包括信用联合奖惩应用系统，包括5台服务器。（详见附《中山市公共信用信息管理系统信息安全等级保护复评服务需求》）

二、预算及时间要求

预算：7.2万元；

时间要求：需在2019年4月1日前完成信息系统定级备案和信息系统等级测评工作，完成相关材料的编写审核、定稿并提交公安部门进行信息安全等级保护系统定级备案和测评报告备案，并于2019年4月20日前获取相应的由市公安局颁发的《信息系统安全等级保护备案证明》。

三、投标单位及测试人员资质要求

    （一）投标单位资质要求

1.投标单位须是具有独立法人资格；

2.投标单位须具有公安部门认定的信息安全三级等保测评资质或相关授权；

3.投标单位应具有承担本项目所需的人力、技术等支持，具有三级等保测评服务经验；

4.投标单位应能够按照要求提供优质服务、按期完成项目。

5.本项目不接受联合体投标；

（二）测试人员要求

1.熟悉计算机系统和网络设备的操作，对系统安全、网络安全以及信息安全等有深入了解；

2.能独立分析和处理网络系统、操作系统、数据库系统的安全问题，能完成信息安全等级保护、信息安全咨询、信息安全风险评估等项目的技术支持工作；

3.能根据客户需求设计解决方案，按照文档规范整理编写技术支持文档，为相关人员提供等级保护、信息安全风险评估介绍；

4.了解最新信息安全产品知识和技术。

四、付款要求

按照该项目实际情况，本项目自完成测评并取得市公安局颁发的备案证后一次性付清（即7.2万元）。

五、材料提交要求

投标单位应提交本项目执行方案（包括测试流程、测试工具、测试方法、进度计划安排、交付物，项目人员安排、技术支持等相关服务保障等）、报价文件、资质文件各3份，加盖投标单位公章后，于2018年12月21日前（以邮戳时间为准）通过中国邮政EMS等快递邮寄至中山市发展和改革局社会信用体系建设中心（地址：中山市松苑路1号市政府大楼537室，邮编528403），信封上请注明“信用联合奖惩应用系统信息安全等级保护测评服务”。逾期未提交申报材料的，视作放弃本次投标。

如对投标事项有任何疑问，可致电我局反馈。

联系人：李小姐，汤先生

联系电话：88325317        传真：88220930

附件：信用联合奖惩应用系统信息安全等级保护测评服务需求

                                 中山市发展和改革局

                                   2018年12月13日

附件：

信用联合奖惩应用系统信息安全等级保护测评服务需求

一、总体要求

通过等级保护安全测评检测出信用联合奖惩应用系统存在的安全隐患、漏洞等，针对存在的问题提出有效的整改建议，协助采购方进行整改，从而使得信息系统达到信息系统三级保护的安全标准，进而提高信息系统的安全指数，使其安全、正常、稳定的运行，并达到系统验收标准。

二、测评原则

符合性原则：应符合国家信息安全等级保护制度及相关法律法规。

标准性原则：方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。

规范性原则：项目实施应由专业的等级保护测评师依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。

整体性原则：等级保护测评与安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。

同时，在等级保护测评实施的过程中遵循以下原则：

客观性和公正性原则：虽然测评工作不能完全摆脱个人主张或判断，但测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

经济性和可重用性原则：基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于结果适用于目前的系统，并且能够反映出目前系统的安全状态基础之上。

可重复性和可再现性原则：不论谁执行测评，依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

结果完善性原则：测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

三、测评的范围

根据《信息安全等级保护管理办法》关于三级等保测评要求，对信用联合奖惩应用系统进行信息安全三级保护测评，该系统部署在云平台，主要测试的内容包括1个信息系统及5台服务器。

四、服务内容及要求

（一）对信用联合奖惩应用系统提供信息安全等级保护测评服务工作。

（二）信用联合奖惩应用系统等级保护定级为三级，需严格按照《信息安全等级保护管理办法第三级》测评要求，完成所有测评点测评工作。

（三）需根据差距测评结果，提供详尽合理的安全整改建议，并在信息安全管理制度、安全技术等方面的整改工作中提供模板和指导意见，协助构建符合系统建设要求的安全等级保护管理体系。

（四）需在2019年4月1日前完成信息系统定级备案和信息系统等级测评工作，完成相关材料的编写审核、定稿并提交公安部门进行信息安全等级保护系统定级备案和测评报告备案。

（五）根据公安部门对报备材料的反馈情况，如需整改的，协助对本次测评的信息系统进行整改、补正材料，确保本次测评系统于2019年4月20日前获得公安机关颁发的《信息系统安全等级保护备案证明》，保护等级为三级。

（六）提供自签订合同起12个月的重大信息安全事件通告服务，按每季度一次安全事项通报服务，以邮件的方式发送到中山市发展改革局指定的邮箱以便查阅。

（七）提供自签订合同起12个月的信息安全等级保护工作咨询和指导服务，确保中山市公共信用信息管理系统的信息安全等级保护持续符合国家管理规范和技术标准以及国家管理部门要求。

（八）服务期内，若测评系统发生了变化，需为改变后的系统重新提供定级备案服务，如果需要开展系统测评工作，则费用另计；

（九）网络层面：根据中山市发展改革局现有网络环境，从网络结构合理性、网络规则、网络优化、配置合理性、配置优化等方面，提出网络优化安全整改建议；

（十）安全层面：对采购人现有安全体系规范性、产品部署合理性、安全事件（网络核心设备中断、安全事件通报、病毒暴发等）给予咨询建议与支持；

五、测评要求

（一）测评单位要求

1.投标单位须是具有独立法人资格；

2.投标单位须具有公安部门认定的信息安全三级等保测评资质或相关授权；

3.投标单位应具有承担本项目所需的人力、技术等支持，具有三级等保测评服务经验；

4.投标单位应能够按照要求提供优质服务、按期完成项目。

5.本项目不接受联合体投标；

（二）测评人员要求

1.熟悉计算机系统和网络设备的操作，对系统安全、网络安全以及信息安全等有深入了解；

2.能独立分析和处理网络系统、操作系统、数据库系统的安全问题，能完成信息安全等级保护、信息安全咨询、信息安全风险评估等项目的技术支持工作；

3.能根据客户需求设计解决方案，按照文档规范整理编写技术支持文档，为相关人员提供等级保护、信息安全风险评估介绍；

4.了解最新信息安全产品知识和技术。

（三）测试工具要求

在等级保护测评过程中，采用询问、检查、测试、工具扫描等多种手段组合的方式。工具扫描应至少包括使用：安全评估系统(即安全脆弱性扫描)工具对重要服务器、网络设备、客户端进行漏洞扫描。

六、交付物

《信用联合奖惩应用系统安全等级保护安全评估报告》；

《信用联合奖惩应用系统安全等级保护整改建议》；

《信用联合奖惩应用系统安全等级测评报告》；

《信息系统安全等级保护备案证明》。