宣城市公安局信息系统安全等级保护测评项目采购需求

（以下采购需求和评分细则部分由采购人：宣城市公安局提供并负责解释）

前注：

1、本采购需求中提出的服务方案仅为参考，如无明确限制，供应商可以进行优化，提供满足采购人实际需要的更优服务方案，且此方案须经评审委员会评审认可；

2、供应商应当在响应文件中列出完成本项目并通过验收所需的所有各项服务等全部费用。成交供应商必须确保整体通过采购人及有关主管部门验收,所发生的验收费用由成交供应商承担；供应商应自行勘察项目现场，如供应商因未及时勘察现场而导致的报价缺项漏项废标、或成交后无法完工，供应商自行承担一切后果；

3、如对本磋商文件有任何疑问或澄清要求，请按本磋商文件“供应商须知前附表”中约定方式联系，或接受答疑截止时间前联系采购人和代理机构，否则视同理解和接受，供应商对采购文件、采购过程、成交结果的质疑，应当在法定质疑期内一次性提出针对同一采购程序环节的质疑。

4、★条款须满足或优于采购文件要求，否则响应无效；非★条款由评审委员会讨论后酌情评审。

一、项目概况

本项目主要包括等级保护测评服务、安全培训服务及安全响应、测评整改意见服务。此次等级保护测评服务共包括六个系统的等级保护测评服务，安全培训服务为对被测评信息系统的业务主管部门提供集中培训。总预算不超过45.3万元。

二、服务需求

根据国家相关规定，等级保护 2.0 标准于 2019 年 12 月 1 日正式实施，此次服务按照 2.0 新标准执行。测评服务工期预计为，招标完成后合同签订之日起 3 个月。

详细需求如下：

（一）等级保护测评服务

包括但不限于宣城市公安局信息系统的等级保护测评工作。  

参与项目的测评人员必须具备较强沟通协调能力，能按照客户要求独立完成业务管理部门相关人员的沟通协调，按时、保值、保量完成测评任务；

依据《信息安全等级保护管理办法》（公通字[2007]43 号）

《计算机信息系统安全等级保护划分准则》（GB17859-1999）

《信息系统安全管理要求》（GB/T20269-2006）

《信息安全技术 信息系统安全保护等级定级指南》 （GB/T 22240—2020）

《信息系统等级保护安全设计技术要求》（GB/T24856-2009）

《网络安全等级保护定级指南》（GA/T1389-2017）

《网络安全等级保护基本要求-第 2 部分：云计算安全扩展要求》 （GA/T）

《信息系统安全等级保护实施方案》（GB/T25058-2010）

《信息安全技术 网路安全等级保护基本要求》（GB／T22239-2019)

《信息安全技术 网络安全等级保护测试评估技术指南 GB/T 36627-2018》

《信息安全技术 网络安全等级保护测评过程指南 GB/T 28449-2018》

《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070-2019）

《信息安全技术 网络安全等级保护测评要求 GB/T28448-2019》

《信息安全技术 网络安全等级保护安全管理中心技术要求 GB/T 36958-2018》等相关标准检测并出具报告；

协助被检测方完成定级、备案等相关工作；

具有等保 2.0要求的能力及资质；

具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书；

协助被检测方建立完善制度体系，确保相关制度要求合规，满足测评要求；

全面检测信息系统安全防范能力，对测评发现的问题能通过安全加固解决的直接解决，对不能直接解决的重大安全问题，给出可落地整改建议；

在服务期限内，对安全加固或整改后的系统，按要求对指定系统提供复测 ；

针对公安行业特点，提供风险控制措施，确保系统信息及敏感数据的安全；

提供详细测评方案，风险控制措施等。

（二）安全培训及安全响应

中标供应商需为对应警种系统管理人员的现场培训，培训地点为宣城市公安局，人数不限，所涉及费用包含在本次报价中由中标供应商承担。

提供完备的培训计划，包括培训内容、课时安排、培训教室或机构的资质等。培训服务为集中培训。培训内容为等级保护工作的专项培训服务，培训对象为所有应用系统的主管部门人员、应用系统开发维护人员。培训时长 1 天。培训内容至少包括：国家等级保护制度介绍，等级保护测评工作的流程，等级保护工作开展的分工，每项具体工作的落实介绍，相关技术的介绍，安全管理落实的介绍等。

中标系统供应商应对宣城市公安局发生的相关系统网络安全事件，随时进行安全响应和配合。

（三）测评整改意见服务

在信息系统网络安全测评过程中，对被测信息系统，提供与等级保护标准存在差异的，相关网络安全配置加固、高危风险修复、安全策略制定等技术整改服务；提供针对网络安全制度的整改，包括但不局限于：网络安全制度的制定、修订、落实，及相关记录完善等。

三、测评范围

四、报价要求

本包报投标总价，投标供应商的报价应含有服务、利润、税金、政策性文件规定及合同包含的所有风险、责任、义务等，即为完成招标文件要求的服务内容所包含的一切应有费用，采购人后期不再追加费用，投标供应商自行考虑投标风险。除非特别要求，每个项目只允许有一个方案、一个报价。否则，多方案、多报价的投标书将不被接受。

五、其他要求

1、所有信息系统测评及正式报告出具交付工作，需于合同签订后3个月内完成。

2、中标供应商出具虚假测评报告，导致被评测系统中的漏洞隐患未被及时发现处理，造成被测评网络发生重大网络安全事件的，采购人有权追究相关责任。

3、为确保本项目能尽快完成，中标供应商为本项目配备的成员需符合本招标文件要求，服务期间采购人将对配备人员进行严格管理。

4、中标供应商在项目期间规定严格执行安全管理规定，如因中标供应商原因发生重大安全事件，采购人将此类情况通报中标供应商主管单位/部门、相关监管单位， 并根据事件性质，酌情追究相关人员责任，同时上报财政监管部门申请列入宣城市招投标黑名单，并不予支付费用。

5、中标供应商要对参与的项目全部内容进行保密，如因中标供应商原因发生失泄密情况，采购人将此类情况通报中标供应商主管单位/部门、相关监管单位，并根据事件性质，酌情追究相关人员责任，同时上报财政监管部门申请列入宣城市招投标黑名单，并不予支付费用。

6、采购人要求中标供应商支付违约金，采购人应书面向中标供应商通知违约金额及有关违约金额的说明。如中标供应商不同意采购人要求的违约金金额，应在收到通知后的两周内答复对方，否则将视为违约方已接受对方的索赔要求。中标供应商在双方就违约金达成协议后 20 天内，违约金由采购人在应付款中直接扣除， 违约金的支付不能解除中标供应商的服务责任和义务。

7、采购人根据需求，可要求中标供应商在现场等保测评检查完成之后，在无需新增设备的情况下，对信息系统（高风险、中风险）安全问题进行整改，整改内容科学、合理、有效，整改后等保测评报告中无相关高风险及中风险判定，如果项目结束无法做到，将以合同额的 50%作为违约赔偿给采购人。

六、供应商资格要求

1、符合《中华人民共和国政府采购法》第二十二条规定；

2、落实政府采购政策需满足的资格要求：本项目专门面向采购人所定行业的中小企业采购；

3、本项目的特定资格要求：

3.1供应商存在以下不良信用记录情形之一的，不得推荐为成交候选供应商，不得确定为成交供应商：

   (1）供应商被人民法院列入失信被执行人的；

   (2）供应商被市场监督管理部门列入企业经营异常名录的；

   (3）供应商被税务部门列入重大税收违法案件当事人名单的；

   (4）供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。

3.2具备独立法人资格，具有合法有效的营业执照。

六、供应商必须提交的证明文件

1、营业执照副本；（扫描件加盖供应商电子签章）

2、授权委托书；（按格式上传）

3、中小企业声明函。（按规定格式）

4、供应商声明函。（按规定格式）

七、合同主要条款

1.付款方式：项目完成，经验收合格后支付经结算审计金额的90%，剩余款项合同期满一年后支付。

2.履约保证金：无

3.合同争议处理：采购合同在履行过程中发生的争议，由双方当事人协商解决，协商解决不成的，提交宣城仲裁委员会仲裁。

八、本项目属于安全运维服务行业。