根據(jù)《陜西省地震局自行采購管理辦法（試行）》，現(xiàn)對陜西省地震局地震應(yīng)急響應(yīng)輔助決策系統(tǒng)和陜西省地震數(shù)據(jù)資源平臺信息安全等級保護(hù)測評項(xiàng)目進(jìn)行公開采購，具體事項(xiàng)說明如下：

一、項(xiàng)目概況

項(xiàng)目名稱：陜西省地震局等級保護(hù)測評項(xiàng)目

采購單位：陜西省地震局信息中心

項(xiàng)目預(yù)算：10萬元整

二、工作內(nèi)容

根據(jù)國家《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)、《關(guān)于推動信息安全等級保護(hù)測評體系建設(shè)和開展等級測評工作的通知》（公信安[2010]303號）、《陜西省信息安全等級保護(hù)安全建設(shè)整改工作指導(dǎo)意見》（陜等保辦2011 2號）等相關(guān)文件要求，此次項(xiàng)目擬對以下信息系統(tǒng)開展定級備案、等級測評及安全檢測，并提供測評報(bào)告。信息系統(tǒng)名稱及安全保護(hù)等級如下表：

三、項(xiàng)目服務(wù)內(nèi)容

系統(tǒng)調(diào)研：在系統(tǒng)相關(guān)人員的協(xié)助下，對信息系統(tǒng)進(jìn)行調(diào)研和梳理，了解系統(tǒng)當(dāng)前信息系統(tǒng)資產(chǎn)現(xiàn)狀。

現(xiàn)場測評：根據(jù)國家等級測評的相關(guān)標(biāo)準(zhǔn)及已編制的相關(guān)等級保護(hù)測評指導(dǎo)書對信息系統(tǒng)中的相關(guān)資產(chǎn)進(jìn)行測評項(xiàng)的檢查、記錄檢查結(jié)果。

分析整改：根據(jù)前述工作內(nèi)容，分析信息系統(tǒng)安全情況與等級保護(hù)基本要求的差距，提供差異化測評服務(wù)，并進(jìn)行風(fēng)險(xiǎn)分析，可根據(jù)現(xiàn)場情況出具科學(xué)合理的整改建議及整改方案，配合采購單位安全整改工作。

結(jié)論報(bào)告：根據(jù)前述工作內(nèi)容，分析當(dāng)前信息系統(tǒng)安全保護(hù)能力是否符合相應(yīng)等級的安全要求，針對整改項(xiàng)進(jìn)行再次測評，提供安全等級符合性測評服務(wù)，出具相關(guān)系統(tǒng)測評報(bào)告。

配合驗(yàn)收：整理項(xiàng)目過程中所有相關(guān)的過程文檔，提交系統(tǒng)相關(guān)人員，做好驗(yàn)收匯報(bào)和整改工作。

四、資質(zhì)要求

營業(yè)執(zhí)照副本（事業(yè)單位法人證書副本）、稅務(wù)登記證副本（非盈利性事業(yè)單位不提供）、組織機(jī)構(gòu)代碼證副本或者統(tǒng)一社會信用代碼證（三證合一）；

法定代表人委托授權(quán)書，法定代表人或事業(yè)單位法人參加招標(biāo)只需提供其身份證；

具有國家信息安全等級保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)的《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦證書》；

本項(xiàng)目不接受聯(lián)合體投標(biāo)。

備注：以上資質(zhì)文件提供復(fù)印件加蓋公章查驗(yàn)。

五、其他要求

1. 測評人員要求：本項(xiàng)目的測評人員需具有1年或1年以上測評工作經(jīng)驗(yàn)，項(xiàng)目經(jīng)理和質(zhì)量負(fù)責(zé)人必須具備豐富的安全服務(wù)經(jīng)驗(yàn)及相關(guān)資質(zhì)認(rèn)證，并提供人員管理及配備方案，并確保人員穩(wěn)定。如需更換測評人員，須由采購單位同意。

2. 人員配備：投標(biāo)方參與此項(xiàng)目組人員不少于4人（其中高級測評師不少于1人，中級測評師不少于1人），提供現(xiàn)場服務(wù)的測評師不少于2人（至少1名中級）。投標(biāo)人必須為本項(xiàng)目成立本地化等級保護(hù)測評小組，由測評小組組長統(tǒng)一負(fù)責(zé)，測評小組組長具有一定的技術(shù)及管理知識和經(jīng)驗(yàn)，能容易地與客戶溝通，能很好地執(zhí)行與完成測評工作，并根據(jù)適當(dāng)情況增加測評人員。

3. 投標(biāo)人應(yīng)按等級保護(hù)測評要求制定測評過程中產(chǎn)生的文檔，做到科學(xué)、規(guī)范、詳盡、統(tǒng)一。

六、服務(wù)交付內(nèi)容

在本次等級保護(hù)測評項(xiàng)目中，服務(wù)商須提交主要成果文檔包含如下：

1.《信息系統(tǒng)安全等級保護(hù)項(xiàng)目計(jì)劃書》；

2.《信息系統(tǒng)安全等級保護(hù)測評方案》（陜西省地震局地震應(yīng)急響應(yīng)輔助決策系統(tǒng)）；

3.《信息系統(tǒng)安全等級保護(hù)測評方案》（陜西省地震數(shù)據(jù)資源平臺）；

4.《信息系統(tǒng)安全等級保護(hù)測評報(bào)告》（陜西省地震局地震應(yīng)急響應(yīng)輔助決策系統(tǒng)）；

5.《信息系統(tǒng)安全等級保護(hù)測評報(bào)告》（陜西省地震數(shù)據(jù)資源平臺）；

6.《信息系統(tǒng)整改建議書》（含兩個系統(tǒng)）；

7.《信息系統(tǒng)安全等級保護(hù)整改方案》（含兩個系統(tǒng)）；

8. 對出現(xiàn)的網(wǎng)絡(luò)安全事件或問題提供溯源和解決。

七、項(xiàng)目技術(shù)標(biāo)準(zhǔn)及要求

（一）總體要求

根據(jù)國家《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)與《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》GB/T22239-2019要求，等級測評工作須覆蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等方面的內(nèi)容，并根據(jù)現(xiàn)場實(shí)際情況完成風(fēng)險(xiǎn)分析工作,最終為完善等級保護(hù)安全防護(hù)體系提供指導(dǎo)依據(jù)。

具體工作內(nèi)容：

1. 陜西省地震局地震應(yīng)急響應(yīng)輔助決策系統(tǒng)二級等保測評，該系統(tǒng)用于實(shí)現(xiàn)我省震后第一時間地震災(zāi)情評估和快速發(fā)布、地震災(zāi)情獲取和地震烈度快速評定等關(guān)鍵信息的產(chǎn)出及服務(wù)。需公司依據(jù)等保二級要求進(jìn)行信息系統(tǒng)測評，形成測評報(bào)告、整改報(bào)告，同時修改完善對應(yīng)的信息系統(tǒng)備案相關(guān)資料。

2. 陜西省地震數(shù)據(jù)資源平臺二級等保測評，該平臺用于實(shí)現(xiàn)我省地震測震觀測數(shù)據(jù)、編目數(shù)據(jù)、速報(bào)數(shù)據(jù)、地球物理數(shù)據(jù)的流程化、自動化、智能化的匯聚接入及服務(wù)。需公司依據(jù)等保二級要求進(jìn)行信息系統(tǒng)測評，形成測評報(bào)告、整改報(bào)告，同時修改完善對應(yīng)的信息系統(tǒng)備案相關(guān)資料。

3. 提供日常及重要安保時期的網(wǎng)絡(luò)安全事件處置和溯源服務(wù)。

從合同簽訂時間起10個工作日完成系統(tǒng)檢查，在取得備案證書后30個工作日內(nèi)完成測評報(bào)告；同時從合同簽訂時間起一年內(nèi)提供應(yīng)急響應(yīng)與安全事件處置、配合檢查、電話支持、安全咨詢等服務(wù)在內(nèi)的安全維保服務(wù)。

（二）第一階段：等級保護(hù)

信息安全等級保護(hù)工作共分為五步，分別是：“定級、備案、建設(shè)整改、等級測評、監(jiān)督檢查”。該項(xiàng)目主要完成系統(tǒng)的安全測評工作，依據(jù)安全技術(shù)和安全管理兩個方面的測評要求，分別從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理十個安全類別進(jìn)行安全測評。

1.等級保護(hù)測評要求

服務(wù)商在測評過程中要求按照《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》（GB17859-1999）、《信息安全技術(shù) 信息系統(tǒng)安全等級保護(hù)實(shí)施指南》（GB/T25058-2010）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》（GB/T28448-2019）、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》（GB/T28449-2018）等相關(guān)的標(biāo)準(zhǔn)規(guī)范開展等級測評工作，對系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理共10個層面進(jìn)行安全等級保護(hù)測評。

2.等級保護(hù)測評流程及內(nèi)容

等級保護(hù)測評過程中要求服務(wù)商嚴(yán)格按照下列流程開展工作，具體工作流程如下：

（1）測評準(zhǔn)備階段：是開展等級測評工作的前提和基礎(chǔ)，是整個等級測評過程有效性的保證。測評準(zhǔn)備工作是否充分直接關(guān)系到后續(xù)工作能否順利開展。本活動的主要任務(wù)是掌握被測系統(tǒng)的詳細(xì)情況，準(zhǔn)備測試工具，為編制測評方案做好準(zhǔn)備。

（2） 方案編制階段：是開展等級測評工作的關(guān)鍵活動，為現(xiàn)場測評提供最基本的文檔和指導(dǎo)方案。本活動的主要任務(wù)是確定與被測信息系統(tǒng)相適應(yīng)的測評對象、測評指標(biāo)及測評內(nèi)容等，并根據(jù)需要重用或開發(fā)測評指導(dǎo)書，形成測評方案。

（3） 現(xiàn)場測評階段：是開展等級測評工作的核心活動。本活動的主要任務(wù)是按照測評方案的總體要求，嚴(yán)格按照測評指導(dǎo)書執(zhí)行，分步實(shí)施所有測評項(xiàng)目，以了解系統(tǒng)的真實(shí)保護(hù)情況，獲取足夠證據(jù)，發(fā)現(xiàn)系統(tǒng)存在的安全問題。

（4） 分析與報(bào)告編制階段：是給出等級測評工作結(jié)果的活動，是總結(jié)被測系統(tǒng)整體安全保護(hù)能力的綜合評價(jià)活動。本活動的主要任務(wù)是根據(jù)現(xiàn)場測評結(jié)果和《等級測評過程指南》的有關(guān)要求，通過單項(xiàng)測評結(jié)果判定、單元測評結(jié)果判定、整體測評和風(fēng)險(xiǎn)分析等方法，找出整個系統(tǒng)的安全保護(hù)現(xiàn)狀與相應(yīng)等級的保護(hù)要求之間的差距，并分析這些差距導(dǎo)致被測系統(tǒng)面臨的風(fēng)險(xiǎn)，從而給出等級測評結(jié)論，形成《信息系統(tǒng)安全等級測評報(bào)告》文本。

（三）第二階段：代碼審計(jì)

采用Fortify SCA 工具，對系統(tǒng)進(jìn)行代碼審計(jì)。內(nèi)容包括但不限于：

1. 審核應(yīng)用流程中是否存在可被繞過的隱患；

2. 審核應(yīng)用代碼中是否有一般性的漏洞類型；

3. 審核應(yīng)用代碼中因需要開放給管理員或用戶而可能導(dǎo)致的隱蔽漏洞；

4. 審核應(yīng)用系統(tǒng)中三方組件及產(chǎn)品的漏洞隱患；

5. 結(jié)合黑盒滲透測試方法，對應(yīng)用代碼審計(jì)結(jié)果驗(yàn)證；

6. 發(fā)現(xiàn)安全隱患，確定后給出加固解決方案；

7. 對應(yīng)用代碼中不符合安全規(guī)范的部分進(jìn)行規(guī)范；

8. 對今后應(yīng)用代碼編寫的安全措施給出指導(dǎo)意見。

（四）第三階段：漏洞掃描與分析

針對系統(tǒng)進(jìn)行漏洞掃描，涉及漏洞包括OWASP TOP 10等主流安全漏洞,包括：SQL注入、XSS跨站腳本、偽造跨站點(diǎn)請求（CSRF）、隱藏字段、表單繞過、AJAX注入、弱配置、敏感信息泄露、HI－JACK攻擊、弱口令、Xpath注入、LDAP注入、框架注入、鏈接注入、操作系統(tǒng)命令注入、Flash源代碼泄露、Flash跨域攻擊、Cookie注入、敏感文件、其他各類CGI漏洞。

（五）第四階段：安全檢測

安全檢測采用專業(yè)工具掃描（漏洞掃描采用產(chǎn)品必須為商業(yè)化產(chǎn)品）、人工評估、滲透測試三種相結(jié)合的方式，對目標(biāo)系統(tǒng)進(jìn)行評估，包括：帳戶與口令安全、網(wǎng)絡(luò)服務(wù)安全、內(nèi)核參數(shù)安全、文件系統(tǒng)安全、日志安全等；從應(yīng)用系統(tǒng)相關(guān)硬件、軟件和數(shù)據(jù)等方面。其他評估內(nèi)容應(yīng)至少包括網(wǎng)絡(luò)設(shè)備與防火墻、Web服務(wù)、文件服務(wù)、Mail服務(wù)、數(shù)據(jù)庫問題、跨站腳本攻擊、其他服務(wù)、其他問題等。

（六）第五階段：建設(shè)整改咨詢及安全加固（不涉及硬件）

建設(shè)整改咨詢工作以等級測評和滲透檢測發(fā)現(xiàn)的安全問題為工作重點(diǎn)，編寫《信息系統(tǒng)安全建設(shè)整改建議》；將信息系統(tǒng)的安全建設(shè)整改需求落實(shí)到可操作的安全技術(shù)和管理上，提出能夠?qū)崿F(xiàn)的技術(shù)參數(shù)或制度及其具體規(guī)范。

（七）第六階段：服務(wù)與售后

為期一年的服務(wù)與售后工作中，服務(wù)方將向陜西省地震局提供應(yīng)急響應(yīng)與安全事件處置、配合檢查、電話支持、安全咨詢等服務(wù)在內(nèi)的安全維保服務(wù)。具體服務(wù)時效如下：

（1）應(yīng)急響應(yīng)與安全事件處置服務(wù)

針對本次項(xiàng)目，服務(wù)方提供7X24的常規(guī)應(yīng)急響應(yīng)及災(zāi)難恢復(fù)專家服務(wù)。在接到用戶故障報(bào)修電話10分鐘內(nèi)響應(yīng)。對客戶信息網(wǎng)絡(luò)應(yīng)用系統(tǒng)突發(fā)的信息安全事件進(jìn)行響應(yīng)、處理、恢復(fù)、取證、跟蹤、事后分析的方法及過程。對于網(wǎng)絡(luò)安全事件處置按需提供現(xiàn)場服務(wù)，得到通知后1小時到現(xiàn)場。

（2）配合檢查服務(wù)

服務(wù)方免費(fèi)協(xié)助陜西省地震局響應(yīng)公安機(jī)關(guān)、單位內(nèi)部以及第三方機(jī)構(gòu)針對信息系統(tǒng)安全等級保護(hù)工作的檢查工作。服務(wù)內(nèi)容包括協(xié)助陜西省地震局準(zhǔn)備、完善各類資料文檔，配合檢查過程中的答疑及技術(shù)支持及其他現(xiàn)場檢查的響應(yīng)。

（3）電話支持服務(wù)

每周7天/每天24小時不間斷的電話支持服務(wù)，解答陜西省地震局在使用過程中遇到的問題，及時提出解決問題的建議和操作方法。電話響應(yīng)時間不小于10分鐘，根據(jù)不同響應(yīng)需求到達(dá)現(xiàn)場，解決問題不超過24小時。

（4）安全咨詢服務(wù)

服務(wù)方為陜西省地震局免費(fèi)提供一年技術(shù)咨詢服務(wù)，包括信息系統(tǒng)整改建設(shè)咨詢服務(wù)以及其他相關(guān)安全咨詢服務(wù)，一旦接到用戶的服務(wù)請求，技術(shù)服務(wù)工程師將立即開始提供服務(wù)，幫助客戶解決信息安全相關(guān)技術(shù)問題，全面配合陜西省地震局做好業(yè)務(wù)系統(tǒng)全保障工作。

八、采購響應(yīng)方式

采購響應(yīng)時間：2022年11月16日至2022年11月18日

采購響應(yīng)文件遞交地點(diǎn)：西安市碑林區(qū)邊家村水文巷4號防震減災(zāi)科技大樓9樓

聯(lián)系人：程燕

電話：029-88465343

本次采購接受郵寄，供應(yīng)商可將資質(zhì)材料復(fù)印件加蓋公章連同采購響應(yīng)文件一并郵寄。

九、付款方式

合同簽訂后7個工作日內(nèi)，由乙方向甲方支付10%的履約保證金，甲方收到后向乙方支付合同全額，10%的履約保證金待完成全部服務(wù)支持后返還。

十、采購響應(yīng)文件要求

采購響應(yīng)文件應(yīng)嚴(yán)格按照采購需求做出實(shí)質(zhì)性響應(yīng)，包含以下內(nèi)容：

1. 對測評準(zhǔn)備（現(xiàn)狀調(diào)研）、方案編制、現(xiàn)場測評、報(bào)告編制等內(nèi)容進(jìn)行詳細(xì)描述；

2. 對安全檢測方案及內(nèi)容進(jìn)行詳細(xì)描述；

3. 明確服務(wù)內(nèi)容及方法；

4. 明確合理的實(shí)施周期和進(jìn)度表 ；

5. 提供整個測評項(xiàng)目實(shí)施過程中的風(fēng)險(xiǎn)防范措施，并明確保密責(zé)任與賠償承諾；

6. 服務(wù)承諾及保障措施；

7. 其他認(rèn)為需要補(bǔ)充的合理化建議。

備注：以上資質(zhì)文件現(xiàn)場提供復(fù)印件加蓋公章查驗(yàn)

十一、評標(biāo)

本項(xiàng)目評審使用綜合評分法，評標(biāo)委員會將按照客觀、公正、科學(xué)、擇優(yōu)的原則，結(jié)合項(xiàng)目實(shí)際情況，以項(xiàng)目報(bào)價(jià)、企業(yè)技術(shù)實(shí)力、項(xiàng)目實(shí)施方案、項(xiàng)目人員從業(yè)經(jīng)驗(yàn)、業(yè)務(wù)開展情況等多個因素為評價(jià)指標(biāo)，依據(jù)評標(biāo)辦法，進(jìn)行分項(xiàng)評審，評審得分計(jì)入總得分。

（一）商務(wù)及技術(shù)標(biāo)評分辦法表

（二）評標(biāo)規(guī)則

各評委必須按照本辦法據(jù)實(shí)評分。凡評分不符合本辦法規(guī)定者，為無效評分。

評標(biāo)過程中，各種數(shù)字計(jì)算均精確至小數(shù)點(diǎn)后兩位。

評標(biāo)委員會根據(jù)總分由高到低對供應(yīng)商進(jìn)行排名；得分相同的，按投標(biāo)報(bào)價(jià)由低到高進(jìn)行排名；得分且報(bào)價(jià)相同的，按技術(shù)標(biāo)得分由高到低排名。按照上述排名辦法由評標(biāo)委員會推薦前三名供應(yīng)商為中標(biāo)候選人。

評定標(biāo)過程中，若出現(xiàn)本辦法以外的特殊情況時，將暫停評標(biāo)，有關(guān)情況待評標(biāo)委員會研究確定后，再行評定。

評標(biāo)委員會經(jīng)評審，認(rèn)為投標(biāo)供應(yīng)商的投標(biāo)不符合采購文件要求的，可以否決其投標(biāo)。

本評標(biāo)辦法解釋權(quán)歸采購人。

十二、定標(biāo)

陜西省地震局根據(jù)評標(biāo)結(jié)果確定成交單位，對未成交單位不做原因解釋，成交單位須在公示期結(jié)束后的7個工作日內(nèi)完成合同簽訂工作。

陜西省地震局

2022年11月16日