按照国家重要信息系统等级保护要求，合肥特殊教育中心对合肥特殊教育中心校园网系统网络安全等级保护测评项目公开招标，欢迎具备条件的国内投标人参加投标。

一、项目名称及内容

1.项目名称：合肥特殊教育中心校园网系统等级保护测评。

2.项目概况：根据《中华人民共和国网络安全法》第二十一条规定“国家实行网络安全等级保护制度”，为全面落实网络安全等级保护制度，履行信息系统安全保护义务，合肥特殊教育中心组织开展合肥特殊教育中心校园网系统网络安全等级保护测评工作。

3.资金来源及预算：市级财政资金，3.8万元。

二、服务范围

本次参于网络安全等级保护测评的系统如下：

三、服务需求和内容

1.指导思想和基本准则

根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息安全等级保护管理办法》（公通字〔2007〕43号）、《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安〔2009〕1429号）等文件精神，结合合肥特殊教育中心工作实际，现拟对合肥特殊教育中心重要信息系统实施网络安全等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力。

2.等级保护测评主要包括以下几个方面：

（1）等保测评：完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；

（2）工具测试：针对重要信息系统进行漏洞扫描、渗透测试等安全服务工作；

（3）整改建议：投标人应根据现场测评中发现的问题，分析与GB/T 22239-2019、ISO/IEC 27001、ISO/IEC 20000、ISO 22301、ITIL和ITSS等行业最佳实践之间的差距，按照网络安全等级保护标准要求提出安全整改建议；

（4）编制测评报告：完成上述测评工作和整改加固实施后，投标人最后出具符合标准要求的信息系统网络安全等级保护测评报告。

3.工作要求：

（1）实施原则

规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行；

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）测评依据

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术 网络安全等级保护测评过程指南》（GB∕T 28449-2018）

（3）等级保护测评内容

根据国家等级保护相关标准，本次项目的网络安全等级保护测评应包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

①安全物理环境

安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。

②安全通信网络

安全通信网络测评是对网络系统安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。

③安全区域边界

安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。

④安全计算环境

安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。

⑤安全管理中心

安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。

⑥安全管理制度

安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。

⑦安全管理机构

安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。

⑧安全管理人员

安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。

⑨安全建设管理

安全建设管理测评是对建设过程中安全方案设计、产品采购和使用、自行软件开发、外包软件开发、 工程实施、测试验收、系统交付、 等级测评、服务供应商选择等情况进行测评。

⑩安全运维管理

安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、 应急预案管理、外包运维管理等情况进行测评。

四、履约要求

本项目服务的交付将以成交供应商提交《测评报告》并在公安部登记管理系统填报结果为准。招标人根据项目进度提前10天通知中标人开展测评工作，中标人进场测评后，10天内出具《整改建议》，招标人整改完成后，中标人进行复测并在20天内出具《测评报告》。若中标人履约良好，在年度预算能保障的前提下，经双方同意，可续签下一年度合同，最多续签两次（合同一年一签），续签合同的服务内容等实质性内容不变。

五、投标人资格要求

1.投标人应具有独立法人资格，具备独立承担民事责任能力，具有有效的营业执照，需提供复印件并盖投标人公章。

2.投标人具有公安部门第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”，需提供复印件并盖投标人公章。

3.投标人须在网络安全等级保护网（www.djbh.net）中《全国网络安全等级测评与检测评估机构目录》可查询，并提供查询截图。

4.本项目不接受联合体投标。

5.投标人存在以下不良信用记录情形之一的,不得推荐为中标候选人,不得确定为中标人:

(1）被人民法院列入失信被执行人的；

(2）被市场监督行政管理部门列入严重违法失信企业名单的；

(3）被税务部门列入重大税收违法案件当事人名单的。

(4）投标人或其法定代表人或拟派项目经理（项目负责人）被人民检察院列入行贿犯罪档案的；

(5）被工商行政管理部门列入企业经营异常名录的。

六、报名及相关要求

1.报名时间：自本公告发布之日起至2024年5月6日17点前将报名资料（营业执照复印件、资质证书、授权委托书）递送到合肥特殊教育中心，逾期不予接收。

2.评定办法：以“公开、公平、公正”为原则，按照公开招标的形式，由合肥特殊教育中心组织评标小组对投标的专业机构进行综合评分，最终选定1家中标单位，并与其签订测评合同。

七、接收响应文件日期和地点

1.开标时间：待定

2.开标地点：合肥特殊教育中心

3.纸质投标文件，正本1份，副本2份，密封提交；

4.逾期送达的或者未送达指定地点的投标文件，招标人不予接收。

八、支付方式

甲方在收到乙方提交的《测评报告》后20个工作日内一次性支付全部款项。

九、评标办法

1.综合评审。议标小组只对通过初审，实质上响应议标文件要求的响应文件按照下述指标表进行综合评审。

2.分值权重分配。本项目资信技术分值占总分值的权重90%，价格分值占总分值的权重为10%。

3.评分步骤如下。根据评分细则，议标小组应对进入综合评审的所有供应商进行评分，并分别填写综合评审表。

汇总方法为对某一供应商的每一个指标项得分，取各位评委评分之平均值，保留至小数点后两位数，得到该供应商该指标项的得分。再将供应商每个指标项得分进行汇总，得到该供应商的技术及资信分之和。

    综合评审指标详见下表：

类别	分项	评分细则	分值范围
资信技术分	企业 资质	1.投标人具有中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质证书、“信息安全应急处理”服务资质证书的，每个得1分，共2分。 2.投标人具有国家互联网应急中心颁发的“网络安全能力认证”培训机构证书，得3分。 3.投标人具有经中国国家认证认可监督管理委员会批准的认证机构颁发的ISO 9001质量管理体系认证证书的，得3分。 4.投标人具有检验检测机构资质认定证书（CMA）证书且检验检测的能力范围包括网络安全等级保护测评的，得3分。 5.投标人具有信息安全管理体系认证证书ISO/IEC 27001（认证范围包含“等级保护测评”）、信息技术服务管理体系认证证书ISO/IEC 20000（认证范围包含“等级保护测评”），每个得3分，共6分。 6. 投标人具有数据安全服务能力评定资格证书的，得3分。	0-20分
	业绩 案例	自2020年以来，承担过行政事业单位信息系统安全等级三级（含三级）以上测评案例的，每一项得2分，最高10分。 注：有效案例须为已服务完毕业绩，响应文件中提供合同复印件或扫描件、测评报告签字页加盖投标人公章。	0-10分
	人员 资质	项目经理（1人，满分15分） 1.拟任项目经理具有高级测评师证书的，得3分。 2.具有公安部直属研究所颁发的网络安全等级保护2.0标准应用工程师认证证书的，得4分。 3. 具有重要信息系统保护人员（证书类别：CIIP-T）证书的，得4分。 4. 具有信息安全保障人员认证（CISAW）证书，且认证方向为风险管理和安全运维方向的，得4分。 团队成员（至少3人，每小项5分，满分15分） 1. 拟派测评师（具有测评师资质）具有注册信息安全专业人员（CISP）证书的，得5分。 2.拟派测评师（具有测评师资质）具有“网络安全能力认证”培训讲师（CCSC）的，得5分。 3.拟派渗透测试工程师（具有测评师资质）具有注册网络安全渗透评估专业人员证书（NSATP-A）证书的，得5分。 注： （1）投标文件中须提供相关证书扫描件；以上人员需专岗专人，不可兼任。 （2）响应文件中须提供该项证书扫描件并加盖公章。 （3）响应文件中须提供投标人为上述人员直接缴纳的近半年以来的社保证明材料扫描件。	0-30分
	测评 方案	投标人提供等级保护测评方案，包含测评对象与指标、测评方法与工具、测评相关工作的实施计划。重点评价方案编写的质量符合本项目实际现状，并对方案的客观性、准确性、公正性、符合性等进行评价。 1.方案编写的质量完全符合本项目技术方案实际现状、客观、准确、公正的，得9-15分； 2.方案编写的质量符合本项目技术方案实际现状、较为客观准确的，得 6-8 分； 3.方案编写的质量基本符合本项目技术方案实际现状、相对完整的，得 1-5 分； 4.不提供不得分。	0-15分
	测评 工具	投标人具有满足本项目实施要求的以下工具： 1.系统安全配置核查管理系统类工具。 2.系统脆弱性远程评估系统类工具。 3.WEB 应用脆弱性远程评估系统类工具。 4.网络渗透测试系统类工具。 5.WEB 渗透测试系统类工具。 每提供一项得 3 分，满分 15 分。 注：投标人针对每项工具提供证明材料（计算机软件著作权登记证书或工具购买合同）。	0-15分
服务报价分	价格采用低价优先法计算，即满足招标文件要求且最终报价最低的价格为评审基准价，其价格分为满分，其他投标人的价格分按照下列公式计算：最终报价得分=（评审基准价/最终报价）×10%×100。		0-10分

十、联系方式

联系单位：合肥特殊教育中心信息部

联系地址：合肥市瑶海区学林路与大众路交口东北角

联 系 人：刘老师  联系电话： 0551-65522393，13305604514

合肥特殊教育中心

2024年4月22日