自贡市惠民惠农财政补贴资金“一卡通”信息系统等级保护测评服务项目竞争性磋商公告

        自贡市惠民惠农财政补贴资金“*卡通”信息系统等级保护测评服务项目采用竞争性磋商方式确定供应商，欢迎符合条件的供应商报名参加，具体事宜公告如下。        *、采购项目基本情况        （*）采购人：自贡市人力资源社会保障信息管理中心[联系方式]。        （*）采购项目名称：自贡市惠民惠农财政补贴资金“*卡通”信息系统等级保护测评服务项目。        （*）采购最高限价：*万元，超过最高限价的报价无效。采购人实行总价包干，即采购人不再支付成交供应商成交报价之外的任何费用。        （*）本项目不接受供应商以联合体形式参加磋商。        *、要求具备的资格条件        （*）《中华人民共和国政府采购法》第***条第*款第*项至第*项规定的条件：        *.具有独立承担民事责任的能力。        *.具有良好的商业信誉和健全的财务会计制度。        *.具有履行合同所必须的设备和专业技术能力。        *.具有依法缴纳税收和社会保障资金的良好记录。        *.参加本次政府采购活动前*年内，在经营活动中没有重大违法记录。        *.法律、行政法规规定的其他条件。        （*）根据采购项目提出的特殊条件：        供应商须具备有效的《网络安全等级测评与检测评估机构服务认证证书》。        *、采购项目技术、服务及其他商务要求        （*）项目概况        *.项目背景        为了落实公安部、网信办和自贡市人力资源和社会保障局应用系统安全等级保护要求，进*步增强系统安全防护能力，确保系统安全稳定运行，防止因系统安全事件引发安全事故，依据《信息系统安全等级保护基本要求》（**/* *****-****）、《信息安全等级保护管理办法》（公通字〔****〕**号）和《中华人民共和国网络安全法》等标准规范，特开展此次等级保护测评工作。        *.测评目标        依据国家和行业信息安全的相关标准，全面了解和掌握系统现有安全状况，找出其与《信息系统安全等级保护基本要求》对应级别的差距，及时发现系统存在的安全问题，针对等级保护测评中发现的各种安全风险，结合实际提出安全整改建议，提交系统等级保护测评报告。        *.测评依据        此次依据的标准包括但不限于以下内容：        《信息安全等级保护管理办法》（公通字〔****〕** 号）        《信息安全技术 网络安全等级保护基本要求》（**/* *****-****）        《信息安全技术 网络安全等级保护定级指南》（**∕* *****-****）        《信息安全技术信息系统安全等级保护实施指南》（**/* *****-****）        《信息安全技术信息安全风险评估规范》（**/* *****-****）        《信息安全技术信息系统安全等级保护测评要求》（**/* *****-****）        《信息安全技术网络安全等级保护测评过程指南》（**/* *****-****）        《中华人民共和国网络安全法》        （*）服务内容及要求        *.测评对象

系统名称	安全保护等级
自贡市惠民惠农财政补贴资金“*卡通”信息系统（包含：自贡市惠民惠农财政补贴资金社会保障卡“*卡通”发放监管信息系统和自贡市惠民惠农财政补贴资金“*卡通”阳光审批系统）	第*级

        *.评测要求及内容        按照网络安全等级保护测评依据《**/* *****-**** 信息安全技术网络安全等级保护基本要求》、《**/* *****-**** 信息安全技术网络安全等级保护测评要求》、开展测评工作（至少包括以下项目）：        （*）安全物理环境        安全物理环境检查主要是了解信息系统的物理安全保障情况，涉及对象为机房。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	物理位置的选择	检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
*	物理访问控制	检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。
*	防盗窃和防破坏	检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
*	防雷击	检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。
*	防火	检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。
*	防水和防潮	检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。
*	防静电	检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。
*	温湿度控制	检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内的温湿度进行控制。
*	电力供应	检查机房供电线路、设备等过程，测评是否具备为信息系统提供*定电力供应的能力。
**	电磁防护	检查主要设备等过程，测评信息系统是否具备*定的电磁防护能力。

        （*）安全通信网络        安全通信网络检查主要是了解系统的网络架构和通信传输等，涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	网络架构	检查核心设备的***和内存使用率，整个网络带宽是否满足现状，****划分是否合理，网络架构是否做到设备冗余、链路。
*	通信传输	检查数据在传输过程中的完整性和保密性措施。
*	可信计算	检查设备是否进行可信验证。

        （*）安全区域边界        安全区域边界检查主要是了解系统在网络边界的防护措施，涉及对象为防火墙、入侵检测、安全审计等安全设备。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	边界防护	检查网络边界是否有访问控制设备，访问控制策略是否合理，是否关闭了闲置端口等。
*	访问控制	检查网络中的访问控制策略是否合理、有效。
*	入侵防范	检查网络中是否采用了入侵防范措施，验证该措施是否有效。
*	恶意代码和垃圾邮件防范	检查网络中是否有恶意代码和垃圾邮件防范措施。
*	安全审计	检查网络中是否有综合安全审计措施。
*	可信验证	检查设备是否进行可信验证。

        （*）安全计算环境        安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施，涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	身份鉴别	检查所有设备的登录用户是否有身份鉴别措施，是否有复杂度、唯*性等检查。
*	访问控制	检查用户的权限分配情况，默认用户和默认口令使用情况等。
*	安全审计	检查是否开启安全审计功能，是否能审计到每个用户，审计记录是否有保护措施。
*	入侵防范	检查设备在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。
*	恶意代码防范	检查设备的恶意代码防范情况。
*	可信验证	检查设备是否进行可信验证。
*	数据完整性	检查系统数据的传输完整性和存储完整性措施。
*	数据保密性	检查系统数据的传输保密性和存储保密性措施。
*	数据备份恢复	检查系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。
**	剩余信息保护	检查系统的剩余信息保护情况，如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。
**	个人信息保护	检查系统对个人信息的采集和使用情况。

        （*）安全管理中心        安全管理中心检查主要是了解系统在管理、审计等集中管理的情况，涉及对象为综合管理类设备、综合审计类设备等。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	系统管理	检查是否对系统管理员进行统*的身份鉴别，操作审计等。
*	审计管理	检查是否对审计管理员进行统*的身份鉴别，操作审计等。
*	安全管理	检查是否对安全管理员进行统*的身份鉴别，操作审计等。
*	集中管控	检查是否划分独立的安全管理区域，是否对网络中运行的设备进行状态监测、日志审计、安全审计等，是否对补丁、恶意代代码进行统*管理。

        （*）安全管理制度        安全管理制度测评是为了评测安全管理制度的制定、发布、评审和修订等情况，主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	安全策略	核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略
*	管理制度	检查有关管理制度文档和重要操作规程等过程，测评信息系统管理制度在内容覆盖上是否全面、完善。
*	制定和发布	检查有关制度制定要求文档等过程，测评信息系统管理制度的制定和发布过程是否遵循*定的流程。
*	评审和修订	检查管理制度评审记录等过程，测评信息系统管理制度定期评审和修订情况。

        （*）安全管理机构        安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况，主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	岗位设置	检查部门/岗位职责文件，测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。
*	人员配备	检查人员名单等文档，测评信息系统各个岗位人员配备情况。
*	授权和审批	检查相关文档，测评信息系统对关键活动的授权和审批情况。
*	沟通和合作	检查相关文档，测评信息系统内部部门间、与外部单位间的沟通与合作情况。
*	审核和检查	检查记录文档等过程，测评信息系统安全工作的审核和检查情况。

        （*）安全管理人员        安全管理人员测评是为了了解单位人员安全方面的情况，主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	人员录用	检查人员录用文档等过程，测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
*	人员离岗	检查人员离岗安全处理记录等过程，测评信息系统人员离岗时是否按照*定的手续办理。
*	安全意识教育和培训	检查培训计划和执行记录等文档，测评是否对人员进行安全方面的教育和培训。
*	外部人员访问管理	检查有关文档等过程，测评对第*方人员访问（物理、逻辑）系统是否采取必要控制措施。

        （*）安全建设管理        安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况，主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。工作具体内容要求如下：

序号	工作单元名称	工作单元描述
*	定级和备案	检查系统定级相关文档等过程，测评是否按照*定要求确定系统的安全等级。
*	安全方案设计	检查系统安全建设方案等文档，测评系统整体的安全规划设计是否按照*定流程进行。
*	产品采购和使用	测评是否按照*定的要求进行系统的产品采购。
*	自行软件开发	检查相关软件开发文档等，测评自行开发的软件是否采取必要的措施保证开发过程的安全性。
*	外包软件开发	检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
*	工程实施	检查相关文档，测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
*	测试验收	检查测试验收等相关文档，测评系统运行前是否对其进行测试验收工作。
*	系统交付	检查系统交付清单等过程，测评是否采取必要的措施对系统交付过程进行有效控制。
*	等级测评	检查系统之前等级测评的情况，以及之前测评机构的资质等。
**	服务供应商选择	测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

        （**）安全运维管理        安全运维管理测评是为了了解系统运维管理过程中的安全控制情况，主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。工作具体内容如下：

序号	工作单元名称	工作单元描述
*	环境管理	检查机房安全管理制度，机房和办公环境等过程，测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
*	资产管理	检查资产清单，检查系统、网络设备等过程，测评是否采取必要的措施对系统的资产进行分类标识管理。
*	介质管理	检查介质管理记录和各类介质等过程，测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
*	设备维护管理	检查设备使用管理文档和设备操作规程等过程，测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
*	漏洞和风险管理	检查系统对于漏洞和安全隐患风险的管理，是否有报告、记录等文档，是否定期开展安全测评等。
*	网络和系统安全管理	检查系统和网络的安全管理文档，是否明确了角色划分、权限划分，是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容；检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容；核查是否具有对日志、监测和报警数据等进行分析统计的报告；核查开通远程运维的审批记录，核查针对远程运维的审计日志是否不可以更改等。
*	恶意代码防范管理	检查恶意代码防范管理文档和恶意代码检测记录等过程，测评是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。
*	配置管理	检查是否对基本配置信息进行记录和保存，基本配置信息改变后是否及时更新基本配置信息库等。
*	密码管理	测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。
**	变更管理	检查变更方案和变更管理制度等过程，测评是否采取必要的措施对系统发生的变更进行有效管理。
**	备份与恢复管理	检查系统备份管理文档和记录等过程，测评是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。
**	资产管理	检查是否有资产清单，清单是否包括资产类别、资产责任部门、 重要程度和所处位置等内容；是否依据资产的重要程度对资产进行标识，不同类别的资产在管理措施 的选取上是否不同；核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。
**	应急预案管理	检查应急响应预案文档等过程，测评是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。
**	外包运维管理	检查外包运维服务情况，单位是否符合国家有关规定，协议是否明确约定外包运维的范围和工作内容等。

        （**）形成差距分析报告。依据测评结果，对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出差距测评结论（结论为达标、基本达标、不达标）。根据测评结果制定《网络安全等级保护 *.* *级测评差距分析报告》，列出被测信息系统中存在的主要问题以及可能造成的后果。        （**）完成整改工作。依据整改方案，为自贡市惠民惠农财政补贴资金“*卡通”信息系统安全整改的各项工作提供技术咨询服务，并协助制定整改计划、确定网络安全整改标准和整改结果达标确认。        （**）因自贡市惠民惠农财政补贴资金“*卡通”信息系统由自贡市惠民惠农财政补贴资金社会保障卡“*卡通”发放监管信息系统和自贡市惠民惠农财政补贴资金“*卡通”阳光审批系统合并而成，故在实际测评阶段需分别对发放监管、阳光审批进行单独测评，并对应出具现状分析报告，给出对应整改建议措施。        *、项目主要交付物包括但限于以下资料：

*	自贡市惠民惠农财政补贴资金“*卡通”信息系统》安全等级测评报告
*	系统整改建议（可包含在等级测评报告内）
*	风险分析和评价（可包含在等级测评报告内）
*	自贡市惠民惠农财政补贴资金社会保障卡“*卡通”发放监管信息系统现状分析报告
*	自贡市惠民惠农财政补贴资金“*卡通”阳光审批系统现状分析报告

        ★（*）商务要求        *.合同签订时间：成交通知书发出之日起**日内签订合同。        *.服务期限：在合同签订后**个工作日内完成服务要求的所有工作和资料交付        *.验收办法：        供应商与采购人应参照*川省财政厅《*川省政府采购项目需求论证和履约验收管理办法》（川财采〔****〕**号）和《自贡市政府采购履约验收管理办法》自财规〔****〕*号等相关法律法规的要求进行。        *.验收标准：        供应商应提供系统验收方案、验收测试报告及接受检验来证明其提供的系统符合本采购文件的各项要求，经过采购人同意后开始验收，项目验收总体分为如下阶段：        （*）供应商按技术要求完成所有工作及资料交付后，向采购方提出验收申请。        （*）由采购人确定验收时间，组织验收。        *.培训要求        成交供应商应根据本次公告内容所确定的目标和范围，提出相应的培训内容及计划。        *.质量要求        按照国家相关标准要求完成服务内容及要求中所有等保评测工作，对信息系统的定级提供指导意见，并协助单位完成在当地公安机关的信息系统等级保护定级备案工作，整理所有等保测评交付资料。        *.售后服务要求        （*）供应商在响应文件中必须明确承诺达到用户的服务响应要求：用户取得等级测评报告前，提供不少于**工作日的驻场指导服务；*×**小时电话或电子邮件服务，*小时内做出明确响应和安排；        （*）整个项目免费维护期为*年，并提供*次培训服务。        *.付款方式：自合同签订之日起并收到合法票据后**日内采购人支付合同金额的**%，出具正式测评报告并收到合法票据后**日内支付合同金额的**%。        *、磋商须知        （*）确定申请参加磋商的供应商数量不少于*家。        （*）参加磋商的供应商应仔细阅读公告的所有内容，按照公告要求提供响应文件，并保证所提供全部资料的真实性和有效性，*经发现有虚假行为的，将取消其参加磋商或成交资格，并承担相应的法律责任。        （*）出现下列情形之*的，磋商失败：*.参与磋商的供应商不足*家；*.供应商报价超过本项目最高限价；*.因重大变故，磋商任务取消；*.其他无法继续开展磋商或者无法成交的情形。        （*）递交响应文件及签到时间：****年**月*日上午*时**分起至**时**分止。提前送达或逾期送达或密封和标注不符合规定的磋商响应文件不予接受，本次磋商不接受邮寄的响应文件。        （*）递交响应文件、签到及磋商进行地点：自贡市人力资源和社会保障局*楼信息中心会议室。        （*）磋商开始时间：****年**月*日上午**时**分。        *、响应文件编制要求        （*）资格性响应文件：申请参加磋商的供应商应按照公告要求，准备磋商“资格响应文件”并按以下要求和顺序装订，包括但不限于：*.营业执照副本复印件（在有效期内，加盖单位公章）；*.法定代表人身份证复印件（加盖单位公章）；*.法定代表人授权委托书（*，法定代表人不能亲自参加的才提交，原件加盖单位公章）；*.授权委托人身份证复印件（法定代表人不能亲自参加的才提交，加盖单位公章）；*.《网络安全等级测评与检测评估机构服务认证证书》复印件（加盖单位公章）；*.响应函（*，加盖单位公章）；*.承诺函（*，加盖单位公章）；        （*）报价响应文件：申请参加磋商的供应商应按照公告要求，提供报价响应文件*份，单独密封。报价响应文件包括：磋商报价表（*，加盖单位公章）。报价响应文件封面上标注“磋商报价响应文件”字样，注明项目名称和磋商供应商名称，并在封面和密封处加盖单位公章。        （*）其他响应文件：对应综合评分表（*）能够提供的证明材料（加盖单位公章）。        （*）其他要求        *.“资格响应文件和其他响应文件”*式两份（其中正本*份、副本*份），统*用**纸，封面上标注“正本”、“副本”字样，注明项目名称和磋商供应商名称；正本和副本应分别装订成册，不得使用合页装订，装订应牢固、不易散落，应装袋密封，并在封面和密封处加盖单位公章；副本可用正本的复印件，封面须由磋商供应商的法定代表人或其授权代表签字并盖单位公章，并整本加盖骑缝章，副本与正本内容必须完全*致，否则无效。        *.上述响应文件须据实提供，不得有实质性遗漏，如公告提供有统*格式的（见），应按格式要求准备文件，未提供统*格式的，由申请参加磋商的供应商自拟。        *、磋商程序和成交标准        （*）申请参加磋商的供应商签到并递交响应文件。        （*）由采购人组建磋商评审小组（*人或*人单数）并对递交的响应文件进行审查，当场宣布资格审查结果（响应文件编制要求不符合公告规定的视为资格审查不合格），只有资格审查合格的供应商才能进入评审环节。        （*）评审小组对照综合评分表（见*）进行综合评审，综合评审得分最高的供应商为成交供应商。若供应商综合评审得分相同，报价低的供应商为成交供应商。若综合评审得分和报价得分均相同，则以类似业绩得分高的为成交供应商。        （*）采购人在自贡市人力资源和社会保障局官网通知公告栏公布成交结果。        *、联系方式        地址：自贡市人力资源和社会保障局（自贡市自流井区汇东路***号）        联 系 人：胡先生        联系电话：****-*******  *物理访问控制检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。*通信传输检查数据在传输过程中的完整性和保密性措施。*访问控制检查网络中的访问控制策略是否合理、有效。*访问控制检查用户的权限分配情况，默认用户和默认口令使用情况等。*审计管理检查是否对审计管理员进行统*的身份鉴别，操作审计等。*管理制度检查有关管理制度文档和重要操作规程等过程，测评信息系统管理制度在内容覆盖上是否全面、完善。*人员配备检查人员名单等文档，测评信息系统各个岗位人员配备情况。*人员离岗检查人员离岗安全处理记录等过程，测评信息系统人员离岗时是否按照*定的手续办理。*安全方案设计检查系统安全建设方案等文档，测评系统整体的安全规划设计是否按照*定流程进行。*资产管理检查资产清单，检查系统、网络设备等过程，测评是否采取必要的措施对系统的资产进行分类标识管理。*风险分析和评价（可包含在等级测评报告内）* 磋商报价表.***  (**.** **)