结合杭州市疾病预防控制中心信息化建设现状，计划对现有业务系统开展网络安全等级保护测评工作。为全面贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），提高国家基础网络和重要信息系统工程安全保护能力奠定坚实基础，2007年7月四部委联合下发了《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号），全面部署了全国范围内的重要信息系统定级工作。2006年，浙江省政府制定出台了《浙江省信息安全等级保护管理办法》（省政府令第223号），并成立即由省公安厅牵头，省保密局、国家密码管理局和信息办参加的浙江省信息安全等级保护工作协调小组，各部门紧密配合，共同加强信息系统安全等级保护工作的建设。2017年6月1日实行网络安全法，等级保护制度由基本制度、基本国策上升为法律，第二十一条明确网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务。

对信息系统进行准确测评分析，理解信息系统安全保护等级和安全防护目标，是等级保护工作首要工作。根据信息系统安全保护等级进行测评工作是完善信息系统业务流和安全防护能力的一个重要环节，也是对信息系统安全建设和管理的重要组成部分。通过测评可以发现信息系统的安全现状与需要达到的安全等级或目标的差异，进行全面有效的安全整改建设，使信息系统的管理和使用单位可以在技术和管理方面进行有针对性的加强和完善，使我单位的信息系统安全工作有的放矢。

一、项目名称：信息安全等级保护测评采购项目

二、 项目编号:HZCDC-2022-016

三、 采购方式：竞争性磋商

四、 经费预算：70000元

五、供应商资质要求

（一）基本条件：

符合《中华人民共和国政府采购法》第二十二条第一款的规定：

1. 具有独立承担民事责任的能力；

2. 具有良好的商业信誉和健全的财务会计制度；

3. 具有履行合同所必需的设备和专业技术能力；

4. 有依法缴纳税收和社会保障资金的良好记录；

5. 参加政府采购活动前三年内，在经营活动中没有重大违法记录；

6. 法律、行政法规规定的其他条件。

（二）特定条件：具有网络安全等级保护测评与检测评估机构服务认证证书。

六、采购内容要求

项目内容

(一)   总体要求

根据《信息系统安全等级保护定级指南》和国家网络安全等级保护2.0相关标准，投标方对杭州市疾病预防控制中心信息系统开展等级保护测评的。

(二)   测评依据

投标供应商应依据国家等级保护相关标准开展工作，依据标准（包括但不限于）如下国家标准：

1. 《信息安全技术 网络安全等级保护测评要求》（GB/T28448-2019）;

2. 《信息安全技术 网络安全等级保护测评过程指南》（GB/T28449-2018）;

4. 《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T36627-2018）。

(三)   测评服务内容

全面分析应用系统的安全保护措施与等级保护相应级别之间的差距，进行合规性分析，为系统等级保护加固整改提供客观依据，测评的内容包括但不限于以下内容：

一是安全通用要求（安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理）。

二是现场测评完成后的整改建议服务。

（四）项目实施与验收

测评应满足的原则

1.  保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究投标供应商的责任。

2.  标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

3.  规范性原则：投标供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

4.  可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。

5.  整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

6.  最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

等级保护测评要求

1.  投标方应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案 、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2.  投标方应详细描述测评人员的组成、资质及各自职责的划分。投标人应安排专职项目经理和项目实施负责人负责本次项目的实施，投标方应配置有经验的测评人员进行本次等级保护测评工作。

3.  本次等级保护测评实施过程中所使用到的各种工具软件由投标方推荐，经招标方确认后由投标方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。在等级保护测评过程中，应采用询问、检查、测试、工具扫描等多种手段组合的方式。

4.  安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标方推荐，经招标方确认后由投标方提供并在测评中使用。

5.  安全测评需要的运行环境（如场地、网络环境等）由招标方提供，投标方应详细描述需要的运行环境的具体要求。安全调查和测评的过程中，投标方如需招标方人员配合，投标方需要详细描述需要配合的内容。如需要招标方人员协助完成各种表单，需要详细描述表单的名称、功能及主要表项等等，并由投标方给出具体示例。招标方有权利拒绝提供任何未事先提出的配合要求，由此产生的损失由投标方负全责。

6.  安全测评应按照分层的原则，包括但不限于以下对象：物理环境、网络结构、网络服务、主机系统、数据库系统、应用系统、安全相关人员、处理流程、安全管理制度、安全策略等。

7.  实施部分包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。安全调查和测评过程中，如需使用安全工具，请在实施方案中详细描述所使用的安全工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求等。

8.  投标方应详细描述安全调查和测评的组织方式，包括组成的人员及分工、测评的过程组织、实施时间安排、测评方式所遵循的标准等。

项目实施要求

1.  投标方应保证投标项目在招标方条件成熟时应立即开展实施；

2.  投标方在项目实施过程中应服从招标方的统一领导和协调，招标方有权裁决投标方的责任范围，投标方必须执行，在招标方限定的时间内解决问题；

3.  投标人应在项目现场实施周期内，中标方必须为本项目成立等级保护测评小组，安排包括项目经理和核心技术人员提供现场测评服务；

4.  投标方需根据自己的工程实施经验结合招标方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件；

5.  投标方应根据招标方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成；

6.  投标方应负责配合招标方制定相关验收标准，并完成工程实施等验收工作。

测评报告要求

投标方应对招标方的项目内容中信息系统进行等级保护测评，形成相应的测评报告。