• 商品名称规格型号数量单位
• 等保测评服务二级3次

1、依据标准

实施方应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求

GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求

2、技术要求

根据国家网络安全等级保护相关标准，实施方对用户信息系统安全等级保护测评的内容包括但不限于以下内容：

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评；

3、等级测评要求

1)实施方应在对本单位系统详细了解的基础上，编制针对性的等级保护测评整体实施方案，包括项目概述、等级测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2)实施方应详细描述测评人员的组成、资质及各自职责的划分。实施方应配置有经验的测评人员进行本次等级测评工作。

3)本次等级测评实施过程中所使用到的各种工具软件由实施方推荐，经采购方确认后由实施方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。

5)安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由实施方推荐，经采购方确认后由实施方提供并在测评中使用。

6)安全测评需要的运行环境（如场地、网络环境等）由采购方提供，实施方应详细描述需要的运行环境的具体要求。

7)项目完成后必须提交完整的技术文档、测评报告、整改建议等。

4、项目实施要求

1)实施方应保证投标项目在采购方条件成熟时应立即开展实施；

2)实施方在项目实施过程中应服从采购方的统一领导和协调，采购方有权裁决实施方的责任范围，实施方必须执行，在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容，采购方有权中止项目、索赔或拒付款项；

3)实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件；

4)实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成；

5)本次项目实施骨干人员至少包含1名高级测评师（提供证书复印件）。本项目负责人必须具有5年以上的测评工作经验，并参与过具有大型复杂测评项目的实施经验；承担本次项目的项目经理必须同时具有高级测评师、国家级优秀科技成果完成者证书、信息安全保障人员认证证书(CISAW)、国家重要信息系统保护人员培训证书（CIIPT）、信息安全管理系统审计认证（DNV）、软件性能测试高级工程师、商用密码应用安全性评估人员测评能力证书（合同签订时提供证书复印件，中标供应商不能提供的做废标处理），项目组成员具有高级测评师且同时具有公安部科学技术奖证书确保项目的顺利实施。

6)项目验收完成后，要求提供为期一年的安全咨询服务，以保证项目正常运行。

5、测评报告要求

实施方应对采购人的各个信息系统进行等级保护测评，形成相应的报告。

1)实施方在测评完成后，出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评报告；

2)对不符合信息安全等级保护有关管理规范和技术标准的，实施方出具可行的信息系统整改建议，并指导用户方完成整改；

3)实施方协助用户方办理信息系统安全等级保护备案手续等相关工作。