各供应商：

为做好全国信用信息平台（四川宜宾）2023年网络安全等级保护测评（三级）工作，按照《中华人民共和国网络安全法》相关要求，特邀请符合条件的测评机构，负责全国信用信息平台（四川宜宾）2023年网络安全等级保护测评（三级）工作。

一、项目概况

1.项目名称：全国信用信息平台（四川宜宾）2023年网络安全等级保护测评（三级）项目。

2.项目主要内容：对全国信用信息平台（四川宜宾）开展2023年网络安全等级保护测评（三级）；依据《中华人民共和国网络安全法》《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》《GB-T 28449-2018 信息安全技术网络安全等级保护测评过程指南》等有关规定及要求出具测评报告。

3.采购方式：公开竞价。

4.服务工期：自签订合同之日起，至2023年12月15日前完成本项目。

5.预算金额：人民币壹拾壹万伍仟元整（￥115000.00）；前述预算为报价最高限价，报价超过上述限价的作无效响应处理。

6.本项目不接受联合体。

7.项目验收标准：完成全国信用信息平台（四川宜宾）2023年网络安全等级保护测评（三级）服务，出具等级保护测评报告，符合公安部门相关要求并通过等保备案。

二、资格条件

1.具有独立承担民事责任的能力；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有履行合同所必需的设备和专业技术能力；

4.有依法缴纳税收和社会保障资金的良好记录；

5.参加本次采购活动前三年内，在经营活动中没有重大违法记录；

6.未被信用中国网站（www.creditchina.gov.cn）列入严重失信主体名单，未被中国政府采购网网站（http://www.ccgp.gov.cn/search/cr/）列入政府采购严重违法失信行为记录名单（处罚期限尚未届满的）。

7.供应商须具有《网络安全等级测评与检测评估机构服务认证证书》。如为省外测评机构，还需提供在有效期内的公安机关异地备案证明材料，并提供在四川省常设机构相关证明文件。

8.法律、法规规定的其他条件。

三、响应文件要求

（1）有效的加载统一社会信用代码的企业营业执照副本复印件或事业单位法人证书副本复印件（加盖公章）；

（2）法定代表人第二代身份证正、反面复印件，或授权书及被授权人的第二代身份证正、反面复印件，要求证件有效（加盖公章）；

（3）供应商近3年内任何一年的经会计师事务所或审计机构审计的财务会计报表，包括资产负债表、现金流量表、利润表、财务情况说明书和审计报告（加盖公章）；

（4）供应商依法缴纳税收和社会保障资金的证明文件（加盖公章）；

（5）满足资格条件要求的承诺函（格式自拟，加盖公章）；

（6）信用中国网站、中国政府采购网等信用查询结果（加盖公章）；

（7）近三年完成的网络安全等级保护测评项目清单（加盖公章）；

（8）等保测评服务方案（加盖公章）；

（9）单位简介及报价函（报价需覆盖相应服务内容，格式自拟并加盖公章）；

（10）提供《网络安全等级测评与检测评估机构服务认证证书》（复印件加盖公章）；

（11）供应商如为省外测评机构，还需提供在有效期内的公安机关异地备案证明材料，并提供在四川省常设机构相关证明文件（包括：四川省内营业执照原件及复印件1份（加盖公章）；办公场所购买或租赁（至少2年以上）证明文件原件及复印件1份（加盖公章）；测评师在四川省内购买的三个月以上社保记录原件及复印件（加盖公章））

四、评选标准

（一）参加公开竞价的供应商应不少于三家。

（二）测评费用最高限价不得超过11.5万元，高于11.5万元报价的供应商视为无效供应商。

（三）按照能满足方案实质性要求且报价最低的原则，选择中选供应商。

（四）评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价，有可能影响服务质量或者不能诚信履约的，应当要求该投标人在评标当日合理的时间内提供书面说明，必要时提交相关证明材料；投标人不能证明其报价合理性的，评标委员会应当将其作为无效投标处理。

（五）若产生最低价相同2家及以上供应商，满足以下条件者优先考虑：

拟派本项目的人员具有信息安全等级评测师（高级）证书或网络安全等级评测师（高级）证书或COBIT Foundation信息系统审计认证证书或重要信息系统保护人员CIIP-A（可信计算）证书或ISO27001 Foundation信息安全管理体系认证证书或计算机技术与软件专业技术人员资格证书（信息安全工程师）或信息技术应用创新考试评价证书（信息安全工程师）或ISTQB国际软件测试工程师证书或ITILFoundation管理认证证书或注册信息安全专业人员（CISP）证书或网络与信息安全应急人员（管理I级）或注册云安全系统认证专家（CCSSP）证书。

以上方式如仍无法选出中选供应商则采取随机抽签方式选取中选供应商。

五、其他要求

（一）商务要求

中选供应商签订合同前需缴纳1万元履约保证金，在测评工作完成付款时一并退回，履约保证金不计利息。要求报价包含相关税费、人工、材料、编制、差旅等成本，以及在甲方办公现场乙方产生的住宿、餐饮、办公用品等一切费用。

（二）人员要求（实质性响应，提供承诺函）

为确保测评工作高质量完成，投标人要严格按照国家标准规范开展工作，保证8名测评师现场实施（高级测评师至少配备1名），并在响应文件中和现场实施过程中提供人员名单（包括信息安全等级测评师证书复印件、身份证复印件、近3个月的社保证明、联系方式）。

（三）响应文件规范要求

1.响应文件一正一副分别装订成册，密封在一个密封袋中。

2.响应文件外层密封袋的封口处应粘贴牢固。

3.响应文件外层密封袋的封口处应加盖供应商单位鲜章。

（四）提交响应文件

请供应商务必于2023年9月4日18：00前将响应文件寄到宜宾市发展和改革委员会（地址：四川省宜宾市叙州区蜀南大道中段8号420室，张天翠收），过期不再受理。

（五）开标时间和地点

开标时间为2023年9月5日上午10：00，开标地点为四川省宜宾市叙州区蜀南大道中段8号4楼会议室。中标结果将电话告知供应商。

联系人：张天翠、唐宏

电 话：0831-2339249

地 址：四川省宜宾市叙州区蜀南大道中段8号420室

邮政编码：644600

附件：采购需求说明

宜宾市发展和改革委员会

2023年8月28日

附件

宜宾市发展和改革委员会

全国信用信息平台（四川宜宾）2023年网络安全等级保护

测评（三级）项目采购需求说明

一、项目概述

为贯彻落实国家、省社会信用体系建设工作要求和信息系统网络安全等级保护要求，进一步增强我市信用信息平台系统安全防护能力，确保系统安全稳定运行，防止因系统安全事件引发安全事故，宜宾市发展和改革委员会拟对我市信用信息平台（即：全国信用信息平台（四川宜宾））开展2023年网络安全等级保护测评（三级）。

二、项目内容及技术要求

（一）项目内容

依据国家和行业信息安全的相关标准，全面了解和掌握全国信用信息平台（四川宜宾）现有安全状况，找出其与国家对信息系统网络安全等级保护相关要求的差距，及时发现系统存在的安全问题，针对等级保护测评中发现的各种安全风险，测评项目组提出适宜的安全整改建议，最终提交该系统等级保护测评报告。

本次项目的服务范围包括以下信息系统：

(二)项目实施依据

此次依据的标准包括但不限于以下内容：

1.《中华人民共和国网络安全法》；

2.《信息安全等级保护管理办法》(公通字[2007]43号)；

3.《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》

4.《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》

5.其它国家、省、行业信息安全等级保护有关要求和标准。

（三）项目技术要求

按照相关要求，对全国信用信息平台（四川宜宾）进行安全现状调研，采取相应的测评方法（包括：访谈、检查、测试等），按照相应的测评规程对测评对象(包括：制度文档、各类设备、安全配置、相关人员)进行相应力度（包括：广度、深度）的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，最终得到相应的系统等级保护测评报告，实施地点由采购人指定。

1.测评应满足的原则

本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

（1）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

（2）规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（3）可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

（4）整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

（5）最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

2.测评要求

根据项目需求，为保障现场测评过程安全可控，明确测评人员职责分配、规范测评人员操作，保障测评结果有效，至少包括以下几个流程：

3.测评内容按照信息系统等级保护测评依据开展测评工作(包括不限于以下项目)：

（1）安全物理环境：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。

（2）安全通信网络：网络架构、通信传输、可信验证。

（3）安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心：系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度：安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。（9）安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

除以上安全通用要求外，还包括云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。

4.其他要求

（1）渗透测试服务。对项目中所涉及的业务系统，提供五次安全渗透服务。

（2）安全技术、安全管理制度和应急演练培训。中选企业应在项目实施结束后，结合被测系统实际情况，开发符合采购单位安全需求的培训课程，并实施安全技术、安全管理制度和应急演练培训。

（3）投标人完成对招标人信息系统等级保护系统测评工作后，应并协助招标人完成该系统在宜宾市公安部门的等保备案工作，以保证信息系统可以顺利通过信息系统等级保护测评。

（4）为确保测评工作高质量完成，投标人要严格按照国家标准规范开展工作，保证8名测评师现场实施（高级测评师至少配备1名），并在响应文件中和现场实施过程中提供人员名单（包括信息安全等级测评师证书复印件、身份证复印件、近3个月的社保证明、联系方式）。

（5）为保障项目实施的及时响应，在服务期内，采购人提出项目现场服务需求，成交供应商需在4小时内赶到现场，并形成现场记录表（此项须在响应文件中提供盖鲜章承诺函）。

5.交付产物

包括但不仅限于以下资料：

三、商务要求

（一）中选人签订合同前需缴纳1万元履约保证金，在测评工作完成付款时一并退回，履约保证金不计利息。

（二）缴纳履约保证金需中标方提供以下信息：

缴款人全称，缴款人账户，缴款人开户银行，手机号码，统一社会信用代码。

中标供应商在转账请注明宜宾市发展和改革委员会信用平台2023年网络安全等级保护测评（三级）项目履约保证金，并将电子回单反馈至甲方。

（二）合同签订时间：自成交通知书发出之日起30日内签订。

（三）★项目完成时间：合同签订后至2023年12月15日前完成。

（四）采购方将按相关规定组织项目验收。

（五）甲方在项目验收后10个工作日内向乙方支付合同总额100%以及退回1万元履约保证金（无息退回）。合同总价（含税）已包含人工、材料、编制、差旅等费用，以及在甲方办公现场乙方产生的住宿、餐饮、办公用品等费用。

（六）以下情形甲方将取消中标方成交资格，并将不予支付项目期间该企业所产生的所有费用，不予退回履约保证金：甲方将检查现场实施人员资质、名单，如发现人员资质和名单与提供的技术方案不符的；中标方不能满足4小时内响应项目现场服务需求；其他属于中标方未按要求按时间完成项目的情形。

（撰稿人：张天翠；审核人：唐宏；审签人：罗道戡）