一、项目概况

    按照《中华人民共和国网络安全法》和《信息安全等级保护管理办法》等相关要求，采购网络安全等级保护测评服务，对我单位的信息系统安全等级状况开展等级测评工作，并配合完成系统信息安全等级保护新版的备案工作，出具测评报告。

二、采购项目内容

（一）服务需求

1.测评内容包括技术和管理测评：

（1）技术安全性测评包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。

（2）管理安全测评包括但不限于：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

2.测评对象及范围

本次等级保护测评系统如下：

3.依据标准

①《中华人民共和国网络安全法》

②GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

③GB/T28448-2019《信息安全技术 网络安全等级保护测评要求》

④GB/T28449-2018《信息安全技术 网络安全等级保护测评过程指南》

⑤GB/T36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》

⑥《信息安全等级保护管理办法》公通字 〔2007〕43号

注：若有最新标准以新版

4.项目具体要求

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

对安全控制测评的描述，使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面；安全管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。

系统整体测评涉及信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。因此，全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况，结合本标准要求，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

测评机构根据国家对信息安全等级保护工作的相关法律和技术标准要求，结合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作。

（二）测评要求

包含安全物理环境、安全通信网络、安全区域边界等，详情参考磋商文件。

（三）测评工作步骤

等级保护测评工作流程，受委托测评机构实施的等级测评工作活动及流程与运营、使用单位的自查活动及流程会有所差异，初次等级测评和再次等级测评的工作活动及流程也不完全相同，而且针对不同等级信息系统实施的等级测评工作活动及流程也不相同。受委托测评机构对信息系统的初次等级测评可以分为四项活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评机构应对等级保护测评各阶段具体工作内容进行描述。

1.准备活动阶段：对被测系统进行调研分析，明确测评对象、测评方法等工作。

2.方案编制阶段：制定信息安全等级保护测评项目计划书、测评实施方案，并提交委托方确认。

3.现场测评阶段：按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《差距分析整改建议》，并在整改过程中提供技术咨询服务。

4.分析与报告编制：向委托方提交被测信息系统安全等级保护测评报告以及相应文档。

（四）实施要求

1.系统梳理

协助完成待测信息系统梳理工作。

2.初测

对本项目所涉及信息系统进行现场测评，初次测评完成后提交初评的整改意见报告。

3.整改加固协助

协助对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。

4.成果递交

整理测评结果，提交被测信息系统安全等级保护测评报告以及相应文档。

（五）项目管理与实施保障

对项目进行科学严格的管理，通过系统计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，供应商必须提供完整的项目管理方案，并符合以下要求：

1.测评机构及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任。

2.测评机构应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。

3.测评机构在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅自复制、保留。

4.测评机构的岗位配置要至少配置项目经理（或总测评师）、技术负责人、质量负责人、渗透工程师等，其中项目经理（或总测评师）、技术负责人、质量负责人应独立配置，不能有兼任的情况。

5.测评人员要求

参与此次等级保护测评的供应商测评人员应具备并符合以下要求：

（1）开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。

（2）测评项目组人员在开展等级保护测评工作之前需签订保密协议。

三、预算金额

　　预算总额控制在8万元以内。（报价超过8万元视为无效投标）。

四、供应商资格要求

（一）供应商必须是具有独立法人资格的专业公司，具备相关领域的专业资质和丰富经验。

（二）供应商应具有良好的商业信誉和健全的财务会计制度。

（三）供应商应具有履行合同所必需的设备和专业技术能力。

（四）供应商应有依法缴纳税收和社会保障资金的良好记录。

（五）供应商在参加政府采购活动前三年内，在经营活动中没有重大违法记录。

五、采购方式

根据中华人民共和国财政部令第102号《政府购买服务管理办法》，本项目将采取单位自行组织竞争性磋商的方式开展。

六、报名及磋商文件获取

　　（一）报名时间：自公告发布之日起至2025年9月28日中午12:00止。

（二）报名方式：请将公司资质证明、营业执照、法人代表授权书、业绩证明材料等相关文件扫描件发送至绵阳市政务服务局指定邮箱：642072667@qq.com。

（三）磋商文件将在报名截止后，通过电子邮件方式发送给符合资格的供应商。

七、响应文件提交

（一）磋商响应文件递交截止时间：2025年9月30日。

（二）提交方式：请将响应文件电子版发送至指定邮箱，并在磋商当天携带纸质版文件进行现场磋商。

（三）磋商时间，另行通知。

八、联系方式

联系人：向老师
联系电话：0816-2338752
电子邮箱：642072667@qq.com
地址：绵阳市政务服务监督管理局（绵兴东路133号）

　　九、其他事项

　　供应商需认真阅读本公告及采购文件，确保完全理解并满足项目要求。

　　本公告未尽事宜，由绵阳市政务服务监督管理局负责解释。

绵阳市政务服务监督管理局
2025年9月25日