第四章采購項(xiàng)目需求及具體要求

第四章采購項(xiàng)目需求及具體要求注：1、以下《采購需求說明》及《采購需求一覽表》所列內(nèi)容為招標(biāo)人（采購人）所提招標(biāo)（采購）需求，投標(biāo)人（供應(yīng)商）應(yīng)認(rèn)真仔細(xì)研究，投標(biāo)時(shí)應(yīng)慎重選擇相應(yīng)符合要求的服務(wù)進(jìn)行投標(biāo)。標(biāo)有“*”的參數(shù)為實(shí)質(zhì)性參數(shù)，必須滿足，否則其投標(biāo)無效。3、本項(xiàng)目競(jìng)爭(zhēng)性磋商文件通用部分第四章中“競(jìng)爭(zhēng)性磋商響應(yīng)文件格式”內(nèi)容應(yīng)根據(jù)項(xiàng)目需要和評(píng)標(biāo)辦法規(guī)定填寫；如不需要，則填寫無。4、中標(biāo)人和采購人簽訂的合同應(yīng)與競(jìng)爭(zhēng)性磋商文件中的采購合同一致，不得另行簽訂與采購合同相背離的其他合同。5、下列《采購需求一覽表》中：標(biāo)注▲的服務(wù)，投標(biāo)供應(yīng)商在競(jìng)爭(zhēng)性磋商響應(yīng)文件《主要成交標(biāo)的承諾函》中填寫服務(wù)項(xiàng)目名稱、服務(wù)要求簡(jiǎn)述、數(shù)量、單價(jià)等信息，承諾函經(jīng)評(píng)標(biāo)委員會(huì)評(píng)審認(rèn)可后隨評(píng)審結(jié)果一并公示，如競(jìng)爭(zhēng)性磋商響應(yīng)文件中未提供、提供不全將可能導(dǎo)致投標(biāo)無效。采購需求說明1、項(xiàng)目簡(jiǎn)介為深入貫徹落實(shí)習(xí)近平總書記關(guān)于網(wǎng)絡(luò)安全工作的重要指示精神，根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》、《安徽省信息化促進(jìn)條例》、《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》以及《關(guān)于開展全國重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知》等文件要求，進(jìn)一步提高蕪湖住建局機(jī)房基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)的整體安全防護(hù)水平，找出網(wǎng)絡(luò)中存在的安全漏洞及隱患，為系統(tǒng)的后續(xù)整改、加固工作提供建議和決策依據(jù)，完善系統(tǒng)的安全管理體系和技術(shù)防護(hù)體系，切實(shí)提高系統(tǒng)的安全防護(hù)能力，達(dá)到網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0的相關(guān)技術(shù)標(biāo)準(zhǔn)，保障系統(tǒng)安全、穩(wěn)定的運(yùn)行，對(duì)蕪湖住建局機(jī)房基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)實(shí)施網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作。2、測(cè)評(píng)內(nèi)容（一）測(cè)評(píng)對(duì)象根據(jù)中華人民共和國國家標(biāo)準(zhǔn)《信息安全等級(jí)保護(hù)基本要求》、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》以及有關(guān)文件要求，將對(duì)以下信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目進(jìn)行公開詢價(jià)。序號(hào)系統(tǒng)名稱等級(jí)備注1機(jī)房基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)二級(jí)等級(jí)保護(hù)測(cè)評(píng)服務(wù)（二）等級(jí)保護(hù)測(cè)評(píng)服務(wù)內(nèi)容1、測(cè)評(píng)內(nèi)容2019年12月起，國家實(shí)施等級(jí)保護(hù)2.0技術(shù)標(biāo)準(zhǔn)，強(qiáng)調(diào)“一個(gè)中心，三重防護(hù)”，由被動(dòng)防御變?yōu)橹鲃?dòng)防御；等保2.0測(cè)評(píng)依據(jù)《GB/T22239-2019網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》和《GB/T28448-2019網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》，本次對(duì)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)，主要包含但不限于以下服務(wù)內(nèi)容：（1）安全技術(shù)測(cè)評(píng)：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心等五個(gè)方面的安全測(cè)評(píng)。（2）安全管理測(cè)評(píng)：包括安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。（3）漏洞掃描：針對(duì)網(wǎng)絡(luò)設(shè)備，服務(wù)器，應(yīng)用等進(jìn)行漏洞掃描出具漏洞掃描報(bào)告。（4）形成差距分析報(bào)告：依據(jù)測(cè)評(píng)結(jié)果和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，要求從信息系統(tǒng)是否具備標(biāo)準(zhǔn)所要求的安全保護(hù)設(shè)施、安全設(shè)施的策略是否達(dá)到標(biāo)準(zhǔn)的要求、安全策略是否達(dá)到保護(hù)的效果三個(gè)方面開展差距測(cè)評(píng)工作。全面的從物理、網(wǎng)絡(luò)、數(shù)據(jù)、管理等指標(biāo)逐項(xiàng)對(duì)系統(tǒng)中相關(guān)的資產(chǎn)進(jìn)行檢查。對(duì)系統(tǒng)進(jìn)行安全現(xiàn)狀分析，形成相應(yīng)的差距分析報(bào)告。（5）依據(jù)等保2.0相關(guān)技術(shù)標(biāo)準(zhǔn)，協(xié)助招標(biāo)人制訂和完善各項(xiàng)信息安全管理制度，規(guī)范信息安全日常管理工作，提高信息安全基礎(chǔ)管理水平。（6）完成上述測(cè)評(píng)工作和實(shí)施整改后，最后出具符合公安機(jī)關(guān)要求的（年度）網(wǎng)絡(luò)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告。2、測(cè)評(píng)實(shí)施原則（1）保密原則：對(duì)測(cè)評(píng)的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害招標(biāo)人的行為，否則招標(biāo)人有權(quán)追究中標(biāo)人的責(zé)任。（2）標(biāo)準(zhǔn)性原則：測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。（3）規(guī)范性原則：中標(biāo)人的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制。（4）可控性原則：測(cè)評(píng)服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證招標(biāo)人對(duì)于測(cè)評(píng)工作的可控性。（5）整體性原則：測(cè)評(píng)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括國家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。（6）最小影響原則：測(cè)評(píng)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測(cè)評(píng)工作不能對(duì)現(xiàn)有信息系統(tǒng)的正常運(yùn)行、業(yè)務(wù)的正常開展產(chǎn)生任何影響。中標(biāo)人應(yīng)嚴(yán)格依照上述原則和國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展項(xiàng)目實(shí)施工作。3、安全服務(wù)（1）漏洞掃描檢測(cè)借助專業(yè)化漏洞檢測(cè)工具，對(duì)檢測(cè)范圍內(nèi)的交換機(jī)、路由器和服務(wù)器實(shí)施掃描，發(fā)現(xiàn)配置上存在的弱點(diǎn)，作為對(duì)手工檢查工作所獲取數(shù)據(jù)的補(bǔ)充，同時(shí)也是制定安全加固方案的重要依據(jù)。（2）差距分析等保2.0發(fā)布了《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》和《GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等三項(xiàng)標(biāo)準(zhǔn)。為切實(shí)提升我單位的網(wǎng)絡(luò)安全防護(hù)水平，測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)完成后，需依據(jù)測(cè)評(píng)結(jié)果和《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《GB/T25070-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》等標(biāo)準(zhǔn)規(guī)范，從系統(tǒng)是否具備等保2.0標(biāo)準(zhǔn)所要求的安全保護(hù)設(shè)施、安全設(shè)施的策略是否達(dá)到標(biāo)準(zhǔn)的要求、安全策略是否達(dá)到保護(hù)的效果三個(gè)方面開展差距測(cè)評(píng)及安全需求提升分析工作；從系統(tǒng)實(shí)際業(yè)務(wù)流程出發(fā)，指導(dǎo)系統(tǒng)運(yùn)維方按照等級(jí)保護(hù)對(duì)應(yīng)等級(jí)的管理標(biāo)準(zhǔn)，編寫管理制度文件，并進(jìn)行反復(fù)溝通和修訂，確保所制定的文件的適用性，且滿足系統(tǒng)二級(jí)保護(hù)等級(jí)的安全管理要求。（3）完善制度制定和完善與系統(tǒng)相關(guān)的等保二級(jí)的配套管理制度，制度相關(guān)內(nèi)容如下：安全管理機(jī)構(gòu)：加強(qiáng)和完善安全機(jī)構(gòu)的建設(shè)，設(shè)立指導(dǎo)和管理信息安全工作的信息安全領(lǐng)導(dǎo)小組，設(shè)立安全主管、安全管理各個(gè)方面的負(fù)責(zé)人，明確定義各個(gè)工作崗位的職責(zé)。建立各種安全管理活動(dòng)的審批程序，明確對(duì)內(nèi)對(duì)外的溝通協(xié)作方式，建立對(duì)各項(xiàng)安全管理活動(dòng)的監(jiān)督審核機(jī)制。安全管理制度：在差距分析的基礎(chǔ)上，建立信息安全工作總體方針、安全策略，以方針策略為依據(jù)建立配套的安全管理制度及流程規(guī)范，由專門的組織機(jī)構(gòu)負(fù)責(zé)管理制度的制訂、發(fā)布和貫徹落實(shí)。定期對(duì)制度進(jìn)行評(píng)審和修訂，確保管理制度的適用性。安全人員管理：主要涉及兩方面，對(duì)內(nèi)部人員的安全管理和對(duì)外部人員的安全管理。具體包括人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)和外部人員訪問管理等方面。安全建設(shè)管理：為了建設(shè)符合安全等級(jí)保護(hù)要求的信息系統(tǒng)、系統(tǒng)建設(shè)管理主要關(guān)注的是信息系統(tǒng)生命周期中的前三個(gè)階段（即設(shè)計(jì)、采購、實(shí)施）中各項(xiàng)安全管理活動(dòng)，實(shí)現(xiàn)信息系統(tǒng)的安全管理貫穿系統(tǒng)的整個(gè)生命周期。系統(tǒng)建設(shè)管理分別從工程實(shí)施建設(shè)前、建設(shè)過程以及建設(shè)完畢交付等三方面考慮，具體包括系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、系統(tǒng)備案、等級(jí)測(cè)評(píng)和安全服務(wù)商選擇等方面。安全運(yùn)維管理：系統(tǒng)運(yùn)行涉及到很多管理方面，要保證系統(tǒng)始終處于相應(yīng)安全保護(hù)等級(jí)的安全狀態(tài)中。要監(jiān)控系統(tǒng)發(fā)生的重大變化，以便修改對(duì)應(yīng)的安全措施。系統(tǒng)運(yùn)維管理主要包括環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理等方面。（5）報(bào)告編制完成上述測(cè)評(píng)工作和建設(shè)方實(shí)施整改后，出具符合公安機(jī)關(guān)要求的（年度）網(wǎng)絡(luò)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告。3、其他要求1、項(xiàng)目實(shí)施團(tuán)隊(duì)?wèi)?yīng)不少于2人，均需具備信息安全等級(jí)測(cè)評(píng)師資質(zhì)。2、在本項(xiàng)目進(jìn)行期間，未經(jīng)采購方同意，中途不得更換人員，也不得將檢測(cè)任務(wù)分包或轉(zhuǎn)包。3、中標(biāo)人必須為采購方承擔(dān)保密義務(wù)，向采購方提交保密承諾函，采取必要的控制措施防止因項(xiàng)目實(shí)施造成的任何信息泄漏。4、風(fēng)險(xiǎn)規(guī)避。中標(biāo)人應(yīng)提供風(fēng)險(xiǎn)規(guī)避聲明，自簽訂合同之日起至服務(wù)期結(jié)束，采取必要的控制措施防止因項(xiàng)目實(shí)施造成的系統(tǒng)運(yùn)行故障事件發(fā)生。5、項(xiàng)目實(shí)施完成后，要求投標(biāo)人提供包括但不限于交付物如下：（1）《信息系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》；（2）《信息安全等級(jí)保護(hù)差距分析報(bào)告及整改建議》；6、該項(xiàng)目費(fèi)用包含以下設(shè)備購置、安裝調(diào)試及運(yùn)維服務(wù)：（1）監(jiān)控室內(nèi)UPS電源安裝氣體滅火系統(tǒng)清單產(chǎn)品名稱單位數(shù)量備注七氟丙烷瓶體瓶1七氟丙烷氣體Kg78氣體滅火主機(jī)臺(tái)1主機(jī)配件