根據(jù)《陜西省地震局自行采購管理辦法》，現(xiàn)對陜西省地震局兩個三級系統(tǒng)信息安全等級保護測評及安全服務項目進行公開采購，具體事項說明如下：

一、項目概況

項目名稱：陜西省地震局等級保護測評及安全服務項目

采購單位：陜西省地震局信息中心

項目預算：20萬元整

二、工作內(nèi)容

根據(jù)《中華人民共和國網(wǎng)絡安全法》《信息安全等級保護管理辦法》(公通字[2007]43號)、《關于推動信息安全等級保護測評體系建設和開展等級測評工作的通知》（公信安[2010]303號）、《陜西省信息安全等級保護安全建設整改工作指導意見》（陜等保辦2011 2號）等相關文件要求，此次項目擬對以下信息系統(tǒng)開展等級測評及安全檢測，并提供測評報告。信息系統(tǒng)名稱及安全保護等級如下表：

三、項目服務內(nèi)容

系統(tǒng)調(diào)研：在系統(tǒng)相關人員的協(xié)助下，對信息系統(tǒng)進行調(diào)研和梳理，了解系統(tǒng)當前信息系統(tǒng)資產(chǎn)現(xiàn)狀。

現(xiàn)場測評：根據(jù)國家等級測評的相關標準及已編制的相關等級保護測評指導書對信息系統(tǒng)中的相關資產(chǎn)進行測評項的檢查、記錄檢查結(jié)果，出具相關系統(tǒng)測評報告。

分析整改：根據(jù)前述工作內(nèi)容，分析信息系統(tǒng)安全情況與等級保護基本要求的差距，提供差異化測評服務，并進行風險分析，可根據(jù)現(xiàn)場情況出具科學合理的整改建議及整改方案，配合采購單位開展安全整改工作。

系統(tǒng)復測：根據(jù)整改情況重新進行系統(tǒng)測評，記錄復測結(jié)果，根據(jù)復測結(jié)果出具相關系統(tǒng)復測報告。

配合驗收：整理項目過程中所有相關的過程文檔，提交系統(tǒng)相關人員，做好驗收匯報和整改工作。

重保駐場：按照采購方需求，年度服務期內(nèi)提供不少于投標天數(shù)的重保期安全駐場服務，每天駐場時長及駐場具體時間由采購方根據(jù)重保要求確定。

四、資質(zhì)要求

營業(yè)執(zhí)照副本（事業(yè)單位法人證書副本）、稅務登記證副本（非盈利性事業(yè)單位不提供）、組織機構(gòu)代碼證副本或者統(tǒng)一社會信用代碼證（三證合一）；

法定代表人委托授權(quán)書，法定代表人或事業(yè)單位法人參加招標只需提供其身份證；

具有國家信息安全等級保護工作協(xié)調(diào)小組辦公室頒發(fā)的《網(wǎng)絡安全等級保護測評機構(gòu)推薦證書》；

通過“信用中國”網(wǎng)站(www.creditchina.gov.cn)、中國政府采購網(wǎng)(www.ccgp.gov.cn)等截圖證明。若投標人信用記錄，列入失信被執(zhí)行人、重大稅收違法案件當事人名單、政府采購嚴重違法失信行為記錄名單，刑事處罰或者責令停產(chǎn)停業(yè)、吊銷許可證或者執(zhí)照、較大數(shù)額罰款等行政處罰的，其投標無效。

本項目不接受聯(lián)合體投標。

備注：以上資質(zhì)文件提供復印件加蓋公章查驗。

五、其他要求

1. 測評人員要求：本項目的全部測評人員需具有1年或1年以上測評工作經(jīng)驗，項目經(jīng)理和質(zhì)量負責人必須具備豐富的安全服務經(jīng)驗及相關資質(zhì)認證，并提供人員管理及配備方案，并確保人員穩(wěn)定。如需更換測評人員，須由采購單位同意。

2. 人員配備：投標方參與此項目組人員不少于6人（其中高級測評師不少于1人，中級測評師不少于2人），提供現(xiàn)場服務的測評師不少于3人（至少2名中級）。投標人必須為本項目成立本地化等級保護測評小組，由測評小組組長統(tǒng)一負責，測評小組組長具有一定的技術(shù)及管理知識和經(jīng)驗，能容易地與客戶溝通，能很好的執(zhí)行與完成測評工作，并根據(jù)適當情況增加測評人員。

3. 投標人應按等級保護測評要求制定測評過程中產(chǎn)生的文檔，做到科學、規(guī)范、詳盡、統(tǒng)一。

六、服務交付內(nèi)容

在本次等級保護測評項目中，服務商須提交主要成果文檔包含如下：

1.《信息系統(tǒng)安全等級保護項目計劃書》；

2.《信息系統(tǒng)安全等級保護測評方案》（兩個系統(tǒng)各一份）；

3.《信息系統(tǒng)安全等級保護測評報告》（兩個系統(tǒng)各一份）；

4.《信息系統(tǒng)整改建議報告》（兩個系統(tǒng)各一份）；

5.《信息系統(tǒng)安全等級保護復測報告》（兩個系統(tǒng)各一份）；

6.《安全咨詢報告》，總結(jié)安全現(xiàn)狀，指導后續(xù)安全建設；

7.對服務期內(nèi)出現(xiàn)的網(wǎng)絡安全事件或問題提供溯源和解決；

8.服務期內(nèi)依據(jù)采購方需求提供不少于投標天數(shù)的安全駐場服務；

9.提供不少于2次全局范圍關于網(wǎng)絡安全的培訓內(nèi)容。

七、項目技術(shù)標準及要求

（一）總體要求

根據(jù)《中華人民共和國網(wǎng)絡安全法》《信息安全等級保護管理辦法》(公通字[2007]43號)與《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》GB/T22239-2019要求，等級測評工作須覆蓋安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理等方面的內(nèi)容，并根據(jù)現(xiàn)場實際情況完成風險分析工作,最終為完善等級保護安全防護體系提供指導依據(jù)。

具體工作內(nèi)容：

1. 陜西省地震烈度速報與預警系統(tǒng)三級等保測評，陜西省地震局門戶網(wǎng)站信息系統(tǒng)（包含門戶網(wǎng)站子系統(tǒng)、數(shù)據(jù)服務網(wǎng)子系統(tǒng)和安評子系統(tǒng)）三級等保測評，需公司依據(jù)等保三級要求進行信息系統(tǒng)測評，形成測評方案、測評報告、整改報告等。

2. 根據(jù)等保要求以及陜西省地震局需求，提供制度完善、網(wǎng)絡安全預案修正以及網(wǎng)絡安全相關方案的編制等服務。包含但不限于陜西省地震局現(xiàn)有安全相關各項規(guī)章制度進行細化、完善、整改等編制，網(wǎng)絡安全相關方案或報告如安全自查報告、安全保障方案等資料的編制。

3. 提供日常及重要安保時期的網(wǎng)絡安全事件處置和溯源服務。

4. 提供全局范圍內(nèi)針對終端用戶、以及針對管理部門有關法律法規(guī)等的公開培訓，不少于兩次。

5. 梳理現(xiàn)有信息化安全資產(chǎn)，協(xié)助完善安全管理制度及流程，分析安全問題及應急措施，最終提交安全咨詢報告，總結(jié)安全現(xiàn)狀，指導后續(xù)安全建設。

6. 提供不少于投標天數(shù)的安全駐場服務。

從合同簽訂時間起30個工作日完成等保測評和報告提交的所有工作；同時從合同簽訂時間起一年內(nèi)提供制度完善與方案編制、應急響應與安全事件處置、配合檢查、電話支持、安全咨詢、安全駐場、安全培訓等服務在內(nèi)的安全維保服務。

（二）第一階段：等級保護

信息安全等級保護工作共分為五步，分別是：“定級、備案、建設整改、等級測評、監(jiān)督檢查”。該項目主要完成系統(tǒng)的安全測評工作，依據(jù)安全技術(shù)和安全管理兩個方面的測評要求，分別從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理十個安全類別進行安全測評。

1.等級保護測評要求

服務商在測評過程中要求按照《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）、《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》（GB/T25058-2010）、《信息安全技術(shù) 網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）、《信息安全技術(shù) 網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019）、《信息安全技術(shù) 網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2018）等相關的標準規(guī)范開展等級測評工作，對系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理共10個層面進行安全等級保護測評。

2.等級保護測評流程及內(nèi)容

等級保護測評過程中要求服務商嚴格按照下列流程開展工作，具體工作流程如下：

1. 測評準備階段：是開展等級測評工作的前提和基礎，是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續(xù)工作能否順利開展。本活動的主要任務是掌握被測系統(tǒng)的詳細情況，準備測試工具，為編制測評方案做好準備。

   （2） 方案編制階段：是開展等級測評工作的關鍵活動，為現(xiàn)場測評提供最基本的文檔和指導方案。本活動的主要任務是確定與被測信息系統(tǒng)相適應的測評對象、測評指標及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導書，形成測評方案。

   （3） 現(xiàn)場測評階段：是開展等級測評工作的核心活動。本活動的主要任務是按照測評方案的總體要求，嚴格按照測評指導書執(zhí)行，分步實施所有測評項目，以了解系統(tǒng)的真實保護情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

   （4） 分析與報告編制階段：是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護能力的綜合評價活動。本活動的主要任務是根據(jù)現(xiàn)場測評結(jié)果和《等級測評過程指南》的有關要求，通過單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風險分析等方法，找出整個系統(tǒng)的安全保護現(xiàn)狀與相應等級的保護要求之間的差距，并分析這些差距導致被測系統(tǒng)面臨的風險，從而給出等級測評結(jié)論，形成《信息系統(tǒng)安全等級測評報告》文本。

   （三）第二階段：滲透檢測

   滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機信息系統(tǒng)是否安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，通常該分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。

   滲透測試是通過模擬惡意黑客的攻擊方法，來評估計算機信息系統(tǒng)是否安全的一種評估方法。這個過程包括對系統(tǒng)的任何弱點、技術(shù)缺陷或漏洞的主動分析，通常該分析是從一個攻擊者可能存在的位置來進行的，并且從這個位置有條件主動利用安全漏洞。

   （四）第三階段：代碼審計

   對系統(tǒng)進行代碼審計。內(nèi)容包括但不限于：

   1.審核應用流程中是否存在可被繞過的隱患；

   2.審核應用代碼中是否有一般性的漏洞類型；

   3.審核應用代碼中因需要開放給管理員或用戶而可能導致的隱蔽漏洞；

   4.審核應用系統(tǒng)中三方組件及產(chǎn)品的漏洞隱患；

   5.結(jié)合黑盒滲透測試方法，對應用代碼審計結(jié)果驗證；

   6.發(fā)現(xiàn)安全隱患，確定后給出加固解決方案；

   7.對應用代碼中不符合安全規(guī)范的部分進行規(guī)范；

   8.對今后應用代碼編寫的安全措施給出指導意見。

   （五）第四階段：漏洞掃描與分析

   針對系統(tǒng)進行漏洞掃描，涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括：SQL注入、XSS跨站腳本、偽造跨站點請求（CSRF）、隱藏字段、表單繞過、AJAX注入、弱配置、敏感信息泄漏、HI－JACK攻擊、弱口令、Xpath注入、LDAP注入、框架注入、鏈接注入、操作系統(tǒng)命令注入、Flash源代碼泄漏、Flash跨域攻擊、Cookie注入、敏感文件、其他各類CGI漏洞。

   （六）第五階段：安全檢測

   安全檢測采用專業(yè)工具掃描（漏洞掃描采用產(chǎn)品必須為商業(yè)化產(chǎn)品）、人工評估、滲透測試三種相結(jié)合的方式，對目標系統(tǒng)進行評估，包括：帳戶與口令安全、網(wǎng)絡服務安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應用系統(tǒng)相關硬件、軟件和數(shù)據(jù)等方面。其他評估內(nèi)容應至少包括網(wǎng)絡設備與防火墻、Web服務、文件服務、Mail服務、數(shù)據(jù)庫問題、跨站腳本攻擊、其他服務、其他問題等。

   （七）第六階段：建設整改咨詢及安全加固（不涉及硬件）

   建設整改咨詢工作以等級測評和滲透檢測發(fā)現(xiàn)的安全問題為工作重點，編寫《信息系統(tǒng)安全建設整改建議》；將信息系統(tǒng)的安全建設整改需求落實到可操作的安全技術(shù)和管理上，提出能夠?qū)崿F(xiàn)的技術(shù)參數(shù)或制度及其具體規(guī)范。

   （八）第七階段：安全培訓服務

   1.政策、安全意識培訓

   對網(wǎng)絡安全知識進行宣傳培訓。內(nèi)容包括：網(wǎng)絡安全法律法規(guī)知識普及、典型信息安全事件知識案例講解、安全保密意識建立以及前沿信息安全技術(shù)知識培訓等。

   2.安全技術(shù)能力培訓

   針對主機安全、應用安全、網(wǎng)絡安全、數(shù)據(jù)庫安全相關的檢查方法進行培訓，確保項目建設完成后技術(shù)人員可以獨立完成檢測項目的工作內(nèi)容并完成報告的輸出。

   （九）第八階段：服務與售后

   為期一年的服務與售后工作中，服務方將向陜西省地震局提供包括制度完善與方案編制、應急響應與安全事件處置、配合檢查、電話支持、安全咨詢等服務在內(nèi)的安全維保服務。具體服務時效如下：

2. 制度完善與方案編制服務

   服務方提供制度完善與方案編制等服務。服務時效5X8小時，同時按需提供現(xiàn)場服務，得到通知后4小時內(nèi)到現(xiàn)場。

3. 應急響應與安全事件處置服務

   針對本次項目，服務方提供7X24的常規(guī)應急響應及災難恢復專家服務。在接到用戶故障報修電話10分鐘內(nèi)響應。對客戶信息網(wǎng)絡應用系統(tǒng)突發(fā)的信息安全事件進行響應、處理、恢復、取證、跟蹤、事后分析的方法及過程。對于網(wǎng)絡安全事件處置按需提供現(xiàn)場服務，得到通知后1小時到現(xiàn)場。

4. 配合檢查服務

   服務方免費協(xié)助陜西省地震局響應公安機關、單位內(nèi)部以及第三方機構(gòu)針對信息系統(tǒng)安全等級保護工作的檢查工作。服務內(nèi)容包括協(xié)助陜西省地震局準備、完善各類資料文檔，配合檢查過程中的答疑及技術(shù)支持及其他現(xiàn)場檢查的響應。

5. 電話支持服務

   每周7天/每天24小時不間斷的電話支持服務，解答陜西省地震局在使用過程中遇到的問題，及時提出解決問題的建議和操作方法。電話響應時間不小于10分鐘，根據(jù)不同響應需求到達現(xiàn)場，解決問題不超過24小時。

6. 安全咨詢服務

   服務方為陜西省地震局免費提供一年技術(shù)咨詢服務，包括信息系統(tǒng)整改建設咨詢服務以及其他相關安全咨詢服務，一旦接到用戶的服務請求，技術(shù)服務工程師將立即開始提供服務，幫助客戶解決信息安全相關技術(shù)問題，全面配合陜西省地震局做好業(yè)務系統(tǒng)全保障工作。

7. 安全駐場服務

   服務方提供有一年以上安全駐場、安全事件處置、問題追溯等經(jīng)驗的工程師提供安全駐場服務，對出現(xiàn)的問題及時處置。

   八、采購響應方式

   采購響應時間：2024年11月20日至2024年11月22日

   采購響應文件遞交地點：西安市碑林區(qū)邊家村水文巷4號防震減災科技大樓9樓

   聯(lián)系人：程燕

   電話：029-88465343

   采購響應文件一式兩份，本次采購接受郵寄，供應商可將資質(zhì)材料復印件加蓋公章連同采購響應文件一并郵寄。

   九、付款方式

   合同簽訂后7個工作日內(nèi)，由乙方向甲方支付10%的履約保證金，甲方收到履約保證金及發(fā)票后向乙方支付合同款50%；乙方完成系統(tǒng)初測工作，甲方收到發(fā)票后向乙方支付合同款50%；10%的履約保證金待完成全部服務并提交申請后返還。

   十、采購響應文件要求

   采購響應文件應嚴格按照采購需求做出實質(zhì)性響應，包含以下內(nèi)容：

   1.對測評準備（現(xiàn)狀調(diào)研）、方案編制、現(xiàn)場測評、報告編制等內(nèi)容進行詳細描述；

   2.對安全檢測方案及內(nèi)容進行詳細描述；

   3.明確服務內(nèi)容及方法；

   4.明確合理的實施周期和進度表；

   5.提供整個測評項目實施過程中的風險防范措施，并明確保密責任與賠償承諾；

   6.服務承諾及保障措施；

   7.其他認為需要補充的合理化建議。

   備注：以上資質(zhì)文件現(xiàn)場提供復印件加蓋公章查驗

   十一、評標

   本項目評審使用綜合評分法，評標委員會將按照客觀、公正、科學、擇優(yōu)的原則，結(jié)合項目實際情況，以項目報價、企業(yè)技術(shù)實力、項目實施方案、項目人員從業(yè)經(jīng)驗、業(yè)務開展情況等多個因素為評價指標，依據(jù)評標辦法，進行分項評審，評審得分計入總得分。

   （一）商務及技術(shù)標評分辦法表

（二）評標規(guī)則

各評委必須按照本辦法據(jù)實評分。凡評分不符合本辦法規(guī)定者，為無效評分。

評標過程中，各種數(shù)字計算均精確至小數(shù)點后兩位。

評標委員會根據(jù)總分由高到低對供應商進行排名；得分相同的，按投標報價由低到高進行排名；得分且報價相同的，按技術(shù)標得分由高到低排名。按照上述排名辦法由評標委員會推薦前三名供應商為中標候選人。

評定標過程中，若出現(xiàn)本辦法以外的特殊情況時，將暫停評標，有關情況待評標委員會研究確定后，再行評定。

評標委員會經(jīng)評審，認為投標供應商的投標不符合采購文件要求的，可以否決其投標。

本評標辦法解釋權(quán)歸采購人。

十二、定標

陜西省地震局根據(jù)評標結(jié)果確定成交單位，對未成交單位不做未中標原因解釋。

陜西省地震局

2024年11月20日