第四章采购项目需求及具体要求.docVIP

第四章 采购项目需求及具体要求 注：1、以下《采购需求说明》及《采购需求一览表》所列内容为招标人（采购人）所提招标（采购）需求，投标人（供应商）应认真仔细研究，投标时应慎重选择相应符合要求的服务进行投标。 标有“*”的参数为实质性参数，必须满足，否则其投标无效。 3、本项目竞争性磋商文件通用部分第四章中“竞争性磋商响应文件格式”内容应根据项目需要和评标办法规定填写；如不需要，则填写无。 4、中标人和采购人签订的合同应与竞争性磋商文件中的采购合同一致，不得另行签订与采购合同相背离的其他合同。 5、下列《采购需求一览表》中：标注▲的服务，投标供应商在竞争性磋商响应文件《主要成交标的承诺函》中填写服务项目名称、服务要求简述、数量、单价等信息，承诺函经评标委员会评审认可后随评审结果一并公示，如竞争性磋商响应文件中未提供、提供不全将可能导致投标无效。 采购需求说明 1、项目简介 为深入贯彻落实习近平总书记关于网络安全工作的重要指示精神，根据《中华人民共和国网络安全法》、《安徽省信息化促进条例》、《信息系统安全等级保护管理办法》以及《关于开展全国重要信息系统安全等级保护定级工作的通知》等文件要求，进一步提高芜湖住建局机房基础网络系统的整体安全防护水平，找出网络中存在的安全漏洞及隐患，为系统的后续整改、加固工作提供建议和决策依据，完善系统的安全管理体系和技术防护体系，切实提高系统的安全防护能力，达到网络安全等级保护2.0的相关技术标准，保障系统安全、稳定的运行，对芜湖住建局机房基础网络系统实施网络安全等级保护测评工作。 2、测评内容 （一）测评对象 根据中华人民共和国国家标准《信息安全等级保护基本要求》 、《信息安全技术信息系统安全等级保护定级指南》以及有关文件要求，将对以下信息系统等级保护测评项目进行公开询价。 序号 系统名称 等级 备注 1 机房基础网络系统 二级 等级保护测评服务 （二）等级保护测评服务内容 1、测评内容 2019年12月起，国家实施等级保护2.0技术标准，强调“一个中心，三重防护”，由被动防御变为主动防御；等保2.0测评依据《GB/T 22239-2019 网络安全等级保护基本要求》和《GB/T 28448-2019 网络安全等级保护测评要求》，本次对系统的网络安全等级保护测评，主要包含但不限于以下服务内容： （1）安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。 （2）安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。 （3）漏洞扫描：针对网络设备，服务器，应用等进行漏洞扫描出具漏洞扫描报告。 （4）形成差距分析报告：依据测评结果和《信息系统安全等级保护基本要求》，要求从信息系统是否具备标准所要求的安全保护设施、安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从物理、网络、数据、管理等指标逐项对系统中相关的资产进行检查。对系统进行安全现状分析，形成相应的差距分析报告。 （5）依据等保2.0相关技术标准，协助招标人制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。 （6）完成上述测评工作和实施整改后，最后出具符合公安机关要求的（年度）网络安全保护等级测评报告。 2、测评实施原则 （1）必威体育官网网址原则：对测评的过程数据和结果数据严格必威体育官网网址，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究中标人的责任。 （2）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。 （3）规范性原则：中标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。 （4）可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。 （5）整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 （6）最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。 中标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。 3、安全服务 （1）漏洞扫描检测 借助专业化漏洞检测工具，对检测范围内的交换机、路由器和服务器实施扫描，发现配置上存在的弱点，作为对手工检查工作所获取数据的补充，同时也是制定安全加固方案的重要依据。 （2）差距分析 等保2.0发布了《GB /T22239-2019 信息安全技术 网络安全等级保护基本要求》、《GB /T28448-2019 信息安全技术 网络安全等级保护测评要求》和《GB /T25070-2019 信息安全技术 网络安全等级保护安全设计技