长沙市大数据中心：2024-2026年度长沙市大数据中心等保测评项目采购需求公开

一、功能及要求：一、项目概况
1、项目名称：（略）
2、项目概述：根据《（略）络安全法》第二十一条“（略）络安全等级保护制度”、《信息安全等级保护管理办法》（公通字〔2007〕第43号）第十四条“（略）应当每年至少进行一次等保测评”以及《（略）络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）第二点中“（略）络运营者应委托符合国家有关规定的等级测评机构，（略）络安全等级测评”要求，（略）（略）每年完成30次等保测评，在2025-（略）（略）每年完成39次等保测评,并且协助完成资产识别、差距分析、整改加固等安全服务，出具等级保护测评报告。
二、服务要求
1、项目实施范围包括
（略）（略）范围为：
（略）（略）30个；
（略）（略）39个。
（略）（略）39个
（略）新增、停用、降级、更换等情况，（略）测评，在不超过总预算情况下按实际测评次数进行结算。
2、测评内容：
2.1对系统进行安全现状等级保护测评，（略）与相应等级基本要求之间的差距，（略）安全运行现状。
2.2对系统进行安全等级保护测评，包括安全物理环境、（略）域边界、（略）络、安全计算环境、（略）等内容、安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等内容，（略）在其相应等级保护要求下运行。
2.3参照《GB/T（略）（略）络安全等级保护基本要求》、《GB/T（略）（略）络安全等级保护安全设计技术要求》、《GBT（略）（略）络安全等级保护测评要求》等相关规范，（略）进行等级保护测评，（略）与国家标准要求之间的差距，对存在的风险进行评估，提出整改建议，协助采购人：（略）
通用指标如下：
（略）
测评内容分类
测评控制点
1
安全物理环境
物理位置选择
2
物理访问控制
3
防盗和防破坏
4
防雷击
5
防火
6
防水和防潮
7
防静电
8
温湿度控制
9
电力供应
10
电磁防护
11
（略）络
（略）络架构
12
通信传输
13
可信验证
14
（略）域边界
边界防护
15
访问控制
16
入侵防范
17
恶意代码及垃圾邮件防范
18
安全审计
19
可信验证
20
安全计算环境
身份鉴别
21
访问控制
22
安全审计
23
入侵防范
24
恶意代码防范
25
可信验证
26
数据完整性
27
数据保密性
28
数据备份恢复
29
剩余信息保护
30
个人信息保护
31
（略）
（略）管理
32
审计管理
33
安全管理
34
集中管控
35
安全管理制度
安全策略
36
管理制度
37
制定和发布
38
评审和修订
39
安全管理机构
岗位设置
40
人员配备
41
授权和审批
42
沟通和合作
43
审核和检查
44
安全管理人员
人员录用
45
人员离岗
46
安全意识教育和培训
47
外部人员访问管理
48
安全建设管理
定级和备案
49
安全方案设计
50
产品采购和使用
51
自行软件开发
52
外包软件开发
53
工程实施
54
测试验收
55
（略）交付
56
等级测评
57
服务供应商选择
58
安全运维管理
环境管理
59
资产管理
60
介质管理
61
设备维护管理
62
漏洞和风险管理
63
（略）安全管理
64
恶意代码防范管理
65
配置管理
66
密码管理
67
变更管理
68
备份与恢复管理
69
安全事件处置
70
应急预案管理
71
外包运维管理
2.4工具及渗透测试
根据工具测试过程管理表单，（略）的设备进行扫描，扫描结束后，根据目标设备的具体情况，判断漏洞验证的风险程度。
组织人员开展按测评要求渗透测试，并给出整改建议。
3、测评原则：
本次等级保护测评应满足的原则：
保密原则：对测评的过程数据和结果数据及因测试所知悉的任何非公开信息均应严格保密，未经采购人：（略）
标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。
可控性原则：测评服务的进度要跟上进度表的安排，保证采购人：（略）
整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。
最小影响原则：（略）络，并在可控范围内；（略）的的正常运行、业务的正常开展产生任何影响。
成交供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
4、测评实施流程：
4.1测评准备活动：测评准备活动中，成交供应商主要完成启动测评项目，组建测评项目组；
（略）的相关资料信息，（略）的大体情况；并准备测评工具和表单等测评所需的相关资料。
4.2方案编制活动：方案编制活动中，成交供应商主要完成确定测评对象和测评指标，选择测试工具接入点，从而进一步确定测评实施内容，并从已有的测评指导书中选择本次需要用到的测评指导书，最后根据上述情况编制测评方案。
4.3现场测评活动：现场测评活动中，成交供应商在与测评委托单位：（略）
4.4分析与报告编制活动：分析与报告编制活动中，测评人员通过分析现场测评获得的测评证据和资料，判定单项测评结果及单元测评结果，进行整体测评和风险分析，形成等级保护测评结论，并编制等级保护测评报告。
5、知识产权保护：
5.1成交供应商应当享有知识产权或经权利人合法授权，保证没有侵犯任何第三人的知识产权和商业秘密等权利。
5.2采购人：（略）
6、执行标准
投标人应依据国家相关政策标准开展工作，依据标准包括但不限于如下国家政策标准：
《（略）安全保护等级划分准则》（GB（略））；
《信息安全等级保护管理办法》（公通字〔2007〕43号）；
《（略）络安全等级保护实施指南》(GB/T（略）)；
《（略）安全等级保护定级指南》（GB/T（略））；
《（略）络安全等级保护基本要求》（GB/T（略））；《（略）络安全等级保护测评要求》（GB/T（略））；《信息安全技术信息安全风险评估方法》（GB/T20984—2022）；
《（略）络安全等级保护测评过程指南》（GB/T（略））；
《（略）络安全等级保护测试评估技术指南》（GB/T（略））
7、需实现的要求及目标
7.1人数配备情况：
须配备1名项目经理：（略）
7.2实施人员和服务工作要求：
客观性和公正性要求：测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案开展。
保密原则要求：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。
最小影响要求：（略）络的正常运行，不能对业务的正常运行产生明显的影响（（略）性能明显下降、网络阻塞、服务中断等），如无法避免，则应在测试前做出说明。
规范性要求：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的等级测评报告。
质量保障要求：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。
（略）安全要求：项目工作人员需遵守等保检测规定，采用符合标准的检测工具和检测方法实施检测，（略）的破坏或其他损失的，则应承担相应责任。
测评师规范要求：检测实施方工作人员必须通过等级保护等级测评师认证，持证上岗，经项目委托方确认资格后方可实施检测。
7.3交付成果要求：
成交供应商应严格按照项目建设内容要求提供服务，各阶段交付成果包括但不限于以下内容：
项目阶段
项目成果
定级备案阶段
（略）《定级报告》
（略）定级报告的《专家评审意见表》
（略）《备案表》
现状调研阶段
（略）《网络安全等级保护测评调研表》
现场测评阶段
现场测评文档：测评结果记录、整改建议等
报告编制阶段
（略）《等级测评报告》
7.4服务响应要求：
供应商需具备及时响应能力，签订后根据采购人：（略）
现场实施测评时供应商应尽量避开业务高峰期，并合理提出关于如何减低测评过程中可能产生的风险建议。
7.5保密责任要求：
成交供应商必须承诺对从采购及履约活动中获得的采购人：（略）
7.6考核管理范围：
服务人员考核:
采购人：（略）
服务质量考核：
采购人：（略）
考核指标如下表：
（略）
考核指标
考核标准
1
测评规范性（20分）
文档内容符合《（略）络安全等级保护测评要求》GB_T（略）标准，内容是否遵循GB17859、GB/T22239等国家标准。
优秀得18-20分，良好得11-17分，一般得0-10分。


2
测评全面性（25分）
评估测评输入是否参照业务需求文档；是否按委托测评协议书的要求编制项目计划书；系统调查表格中安全保护等级、业务情况、数据情况、网络情况、软硬件情况、管理模式和相关部门及角色等情况的准确性、完整性；测评工具选型准确性；风险告知、交接的文档名称：（略）
3
测评结果符合度
（25分）
测评服务机构出具测评报告的质量，主要考察：测试覆盖度，测试报告的准确性、完整性、专业度、测评指标、测评对象、测评实施、结果判定情况。
优秀得15-25分，良好得5-15分，一般得0-5分。
4
测评服务时间（20分）
按测评服务机构完成相应测评并出具盖章的测评报告的时间进行评价。因测评服务机构的原因未按签收的工作联系单要求的时间内完成，（略）每延迟1天扣0.1分。
5
人员稳定性
（10分）
未获得招标单位：（略）
未获得招标单位：（略）
考评打分与付款：
成交供应商年度考核分数按整数计分为X
X≥90时按照“按测评数量结算的当年度实际结算金额”支付；
85分≤X＜90分，采购人：（略）
80分≤X＜85分，采购人：（略）
75分≤X＜80分，采购人：（略）
X＜75分，采购人：（略）
7.7应达到的目标：
（略）等级保护测评，出具等级保护测评报告。
具体以发布的招标文件为准。
二、相关标准：投标人应依据国家相关政策标准开展工作，依据标准包括但不限于如下国家政策标准：
《（略）安全保护等级划分准则》（GB（略））；
《信息安全等级保护管理办法》（公通字〔2007〕43号）；
《（略）络安全等级保护实施指南》(GB/T（略）)；
《（略）安全等级保护定级指南》（GB/T（略））；
《（略）络安全等级保护基本要求》（GB/T（略））；《（略）络安全等级保护测评要求》（GB/T（略））；《信息安全技术信息安全风险评估方法》（GB/T20984—2022）；
《（略）络安全等级保护测评过程指南》（GB/T（略））；
《（略）络安全等级保护测试评估技术指南》（GB/T（略））
具体以发布的招标文件为准。
三、技术规格：详见附件，具体以发布的招标文件为准。
四、交付时间和地点：（略）
（略）年度：接采购人：（略）
若未按以上时间要求完成任务，按照考核指标进行评分考核。
2、服务期限：自合同签订之日起叁年。
3、服务地点：（略）
详见附件，具体以发布的招标文件为准。
五、服务标准：详见附件，具体以发布的招标文件为准。
六、验收标准：1、项目验收国家有强制性规定的，按国家规定执行，与本项目有关的国家、行业标准亦成为本项目验收标准。根据《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》（财库〔2016〕205号）、按照《关于加强（略））的规定，本项目采用按年度分期验收，验收报告作为申请付款的凭证之一，以成交供应商提交项目成果并得到采购人：（略）
2、验收过程中产生纠纷的，由市场监督部门认定的检测机构检测，如为成交供应商原因造成的，由成交供应商承担检测费用；因采购人：（略）
3、项目验收不合格，由供应商返工直至合格，有关返工、再行验收，以及给采购方造成的损失等费用由成交供应商承担。连续两次项目验收不合格的，采购方可终止合同，另行按规定选择其他供应商采购，由此带来的一切损失由成交供应商承担。
具体以发布的招标文件为准。
七、其他要求：1、结算方法
1.1付款人：（略）。
1.2付款方式：（略）
1.3付款条件：在满足下列条件后15日内，以合同签订后的年度为周期按实际完成的等保测评数量据实结算，采购人：（略）
2、其他
2.1本项目采用费用包干方式：（略）
2.2一旦中标，中标人必须独立完成本项服务，不得将本项服务转包、分包给第三方机构。
2.3中标人负责为其派出的所有工作人员购买足额的工伤及人身意外保险，成交供应商承担其派出人员受到人身伤害（包括但不限于工伤、交通事故、意外、第三人侵权等）引发的责任、损失和所有费用。采购人：（略）
2.4利益冲突回避：中标人及其所有项目参与人员均不得在所测评的项目的采购、建设、验收等各阶段再为第三方提供咨询服务，但是，经甲方允许的情形除外。
具体以发布的招标文件为准。
采购需求仅供参考，相关内容以采购文件为准。