关于美食类官方网站开发运营项目信息安全等级保护三级等保服务的采购公告

　　我单位有美食类官方网站开发运营项目信息安全等级保护三级等保的服务需求，现请各供应商结合实际情况，对项目进行真实有效的报价，欢迎符合资格、有实力的供应商参加。

　　一、项目名称

　　美食类官方网站开发运营项目信息安全等级保护三级等保服务

　　二、采购时间

　　公告时间：2023年9月27日—10月7日（3个工作日）

　　材料接收截止时间：2023年10月7日18:00，逾期将视为无效投递。

　　三、采购形式

　　最低价中标，信息安全等级保护三级等保服务预算控制价为195000元，供应商报价不得超过预算控制价，否则视为无效报价。

　　四、采购内容

　　1.官方网站系统等保咨询及测评服务项目（每年1次，两年共2次）：按网络安全等级保护制度要求，提供三级等保系统相匹配的软硬件安全设备和等保测评服务。参照《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》等标准规范要求，结合行业特点和安全需求，在规定的时间内完成指定官方网站的等保咨询及测评等服务，并取得正式的等保测评报告，且测评结论综合得分达到70分以上，最终协助业主单位完成被测系统的备案工作。具体要求如下：

　　1.1、等保咨询服务

　　信息安全等级保护服务分为定级备案咨询、安全建设规划、安全等级现状测评、信息系统安全整改咨询和信息安全等级测评五个阶段，各阶段工作内容如下：

　　（1）定级备案咨询阶段：通过定级对象分析、定级要素分析，初步确定系统保护等级，协助召开定级专家咨询会议，确定系统保护等级，协助撰写定级报告、协助联络公安机关，完成定级备案工作。

　　（2）安全建设规划阶段：协助建设单位按照同步规划、同步建设、同步运行的原则，做好项目建设的安全规划。

　　（3）安全等级现状测评阶段：详实调研业务系统，了解系统边界、功能、服务范围、涉及部门、重要程度，全面进行差距分析和脆弱性评估；找出不足之处和安全漏洞，为等级保护体系设 计提供客观依据；将根据之前的项目成果，制定合理安全管理措施和技术措施，形成等级化的信息安全保障体系。

　　（4）信息系统安全整改咨询阶段：依据脆弱性评估结果，弥补技术层面的安全漏洞；建立健全信息安全管理制度；根据前期信息安全保障体系设 计方案，指导系统运维方落实相关安全保障措施。

　　（5）信息安全等级测评阶段：实施等级测评，以满足国家信息安全监管的相关政策要求。

　　1.2、专家定级服务

　　在信息系统自行定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，撰写信息系统定级报告，明确信息系统的边界和安全保护等级，说明定级的方法和理由。组织网络安全评审专家召开评审会议确认系统级别，并收集整理定级系统参与测评机构安全等级测评所需的资料和文档。

　　1.3、等保差距分析

　　按照等级保护实施要求，信息系统应该具备相应等级的安全防护能力，部署相应的安全设备，制定相应的安全管理机构、制度、岗位等。

　　差距分析就是依据等级保护技术标准和管理规范，比较分析信息系统安全防护能力与等级要求之间的差距。为等级化体系设计提供依据。差距分析将从技术上的物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面分别进行。具体内容为：

　　1.3.1、技术差距检测

　　（1）物理安全：针对信息系统所处的物理环境即机房、线路、基础支撑设施等进行标准符合性识别。主要包含：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。

　　（2）网络安全：对评估工作范围内的网络与安全设备、网络架构进行网络安全符合性调查。主要包含：结构安全与网段划分、网络访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等方面。

　　（3）主机安全：评估信息系统的主机系统安全保障情况。主要包含：身份鉴别、访问控制、安全审计、系统保护、入侵防护、恶意代码防护、资源控制等方面。

　　（4）应用安全：对信息系统进行应用安全符合性调查。主要包含：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、抗抵赖、软件容错、资源控制等方面。

　　（5）数据安全：评估信息系统的数据安全保障情况。主要检查系统的数据在采集、传输、处理和存储过程中的安全。

　　1.3.2、管理差距检测

　　（1）安全管理制度:评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

　　（2）安全管理机构:评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

　　（3）人员安全管理：评估机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。

　　（4）系统建设管理：评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

　　（5）系统运维管理：评估系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。

　　基于技术、管理层面的标准合规性检测结果，根据国家等级保护标准，结合行业规范，针对标准的每项具体要求，从微观角度展开，深入分析信息系统与相应等级要求之间的差距，并从宏观角度对计算环境、区域边界和通信网络等方面对单元检测的结果进行验证、分析和整体评价，确认信息系统的整体安全防护能力有无缺失，是否能够对抗相应等级的安全威胁，为安全规划设计提供依据。

　　1.4、安全加固指导

　　根据前期对信息系统进行的调研、评估与测评结果，以及网络安全特殊需求和业务流程制定安全加固方案，在不影响当前业务开展的前提下，对信息系统内的操作系统、数据库、安全设备以及中间件的安全配置策略进行加强，及时消除因安全漏洞被恶意攻击者利用从而引发的风险。

　　根据信息系统网络现状，本次项目安全加固对象分为四类，即信息系统内的操作系统、数据库、中间件以及网络与安全设备。

　　1.5、等保制度建设

　　制定和完善与信息系统的安全保护等级相适应的配套管理制度，制度相关内容如下：

　　（1）安全管理机构：加强和完善安全机构的建设，设立指导和管理信息安全工作的信息安全领导小组，设立安全主管、安全管理各个方面的负责人，明确定义各个工作岗位的职责。建立各种安全管理活动的审批程序，明确对内对外的沟通协作方式，建立对各项安全管理活动的监督审核机制。

　　（2）安全管理制度：在差距分析的基础上，建立信息安全工作总体方针、安全策略，以方针策略为依据建立配套的安全管理制度及流程规范，由专门的组织机构负责管理制度的制订、发布和贯彻落实。定期对制度进行评审和修订，确保管理制度的适用性。

　　（3）人员安全管理：主要涉及两方面，对内部人员的安全管理和对外部人员的安全管理。具体包括人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理等方面。

　　（4）系统建设管理：为了建设符合安全等级保护要求的信息系统、系统建设管理主要关注的是信息系统生命周期中的前三个阶段（即设计、采购、实施）中各项安全管理活动，实现信息系统的安全管理贯穿系统的整个生命周期。系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑，具体包括系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评和安全服务商选择等方面。

　　（5）系统运维管理：系统运行涉及到很多管理方面，要保证系统始终处于相应安全保护等级的安全状态中。要监控系统发生的重大变化，以便修改对应的安全措施。系统运维管理主要包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。

　　1.6、等保测评服务

　　按照《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T22240-2019）、《信息安全技术网络安全保护等级实施指南》（GB/T 25058 2019）的要求，对所服务信息系统开展等保测评，确定不同业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于信息系统安全事件引发安全事故，全面提高信息系统安全防护水平提供科学依据。

　　等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容：

　　（1）总体要求测评：包括总体技术要求、总体管理要求；

　　（2）安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

　　（3）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评；

　　（4）测评通过后最终出具：对应系统的《信息安全等级保护测评报告》 。

　　1.7、提供的技术服务成果及要求

　　（1）技术服务的方式：现场测评、数据分析。

　　（2）技术服务对象:采购人申请测评的信息系统，如所申请系统的相关信息与实际环境不相符合，以信息系统实际运行环境为准。

　　（3）辅助等级保护服务：在测评阶段协助采购人准备测评材料，指导采购人单位配合测评工作开展。

　　（4）辅助等级保护整改服务：根据差距分析，辅助采购人对存在的不足进行整改，包括等级保护要求的安全技术体系整改。

　　（5）技术服务成果：取得并提交等级保护测评机构出具的安全等级测评报告。

　　（6）技术服务质量要求：专业的工具在检测过程中，不能对采购人的网络运行情况与信息系统的运行情况造成任何影响。

　　（7）现场测评时，应遵守采购人的工作纪律，不破坏采购人的工作设备和软、硬件设施。

　　（8）现场测评时，应与采购人项目负责人充分沟通，如在运用相关工具或开展相关测评工作前，应事先做好风险评估和回退机制，做好安全防范措施，确保在测评工作开展过程中不影响系统的正常运行。

　　（9）须使用等级保护相应等级的差距分析表格，协助采购人对整体的网络安全态势进行分析与梳理。

　　（10）须根据等级保护要求，根据差距分析内容辅助采购人构建安全管理体系，并协助采购人将管理体系进行落地。

　　（11）成交人需积极配合采购人的第三方安全服务商以及对应系统开发商完成测评整改工作。

　　2.在规定时间内为官网办理SSL证书，每年1次，两年共2次；

　　3.搜索引擎推广（每年1次，两年共2次）：完成“福州美食之都”（待定）关键词的搜索排名，确保网站在百度搜索引擎首页显示。

　　五、资格要求

　　（一）供应商必须是经过中华人民共和国工商行政管理部门核准登记，且在规定时间内年检合格以及具有采购项目经营资质（活动执行相关）的企业法人。

　　（二）供应商需在福州市设有固定办公场所，社会信誉、商业信誉良好，需提供相关企业信用证明。

　　（三）供应商具有履行合同所必需的专业能力和突发应急能力，接受并承诺积极响应我单位在本项目中开展的所有工作安排。

　　（四）供应商须拥有同类型项目经验；

　　（五）供应商拟投入本项目的一名负责人具有足够的等保测评咨询服务能力，获得中国网络安全审查技术与认证中心认证的信息安全保障人员工程师（安全运维专业级）证书及云安全知识认证证书及数据安全工程师证书。

　　（六）供应商拟投入本项目等保测评的组成员具有至少一名工程师有足够的网络安全分析能力，获得工业与信息化部教育与考试中心颁发的高级渗透工程师证书。

　　（七）供应商合作的等级保护测评机构具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》。

　　（八）供应商合作的等级保护测评机构近五年来未收到国家（及省级）网络安全等级保护协调小组办公室警告、处罚、整改。提供相关证明材料或承诺函。

　　（九）供应商合作的等级保护测评机构具有2个高级等保测评师提供以上人员请提供近6个月的任意一个月社保证明（不含投标当月）。

　　（十）供应商合作的等级保护测评机构项目团队测评师中获得全国网络与信息安全管理职业技能大赛获奖。提供以上人员请提供近6个月的任意一个月社保证明（不含投标当月）及证书复印件。

　　（十一）供应商具有应急演练能力评价服务认证证书，提供有效的证明材料。

　　（十二）如供应商未能按规定时间执行或未到达要求，则我单位有权更换执行单位，所产生的费用由成交供应商负责；

　　（十三）要求成交供应商不得私自转包该项目；

　　（十四）项目完成前，成交供应商需配合我单位积极调整，不得因调整次数或人员紧缺等原因拖延或拒绝完成。

　　六、材料要求（以下材料缺一不可）

　　（一）提供营业执照复印件

　　（二）法人身份证复印件

　　（三）法人授权书及投标代表人身份证复印件（如法人投标则不需要提供此项）

　　（四）同类项目执行经验（附合同）

　　（五）针对“采购内容”和“资格要求”所有范围无偏离承诺书并按要求提供相关材料（格式自拟）

　　（六）信用记录查询的截止时点：信用记录查询的截止时点为本项目提交响应文件截止时间当日；信用记录查询渠道：信用中国（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）

　　（七）报价文件

　　七、特别申明

　　（一）本项目不得以低于成本的报价竞标，如经我单位认定有恶意竞标的嫌疑，则视为相关报价行为无效，供应商的恶意报价行为给我单位造成损失的（包括直接损失和间接损失），我单位将保留追究该供应商相应法律责任的权利。

　　（二）本项目报价若高于预算控制价195000元，视为无效投标。

　　（三）有任何疑问，可在工作日指定时段（10:00—12:00 /15:00—18:00）电话咨询：0591-83509337。

　　（四）开标后，我单位将在2个工作日内致电通知成交供应商。

附件1：询价通知单

附件2：报价文件

　　福州报业网络文化传播有限公司

　　2023年9月26日