某单位等保测评、密评服务采购

一、项目信息

项目名称：某单位等保测评、密评服务采购

项目编号：62026050630051574
项目联系人及联系方式： 苏先生 19199223318

报价起止时间：2026-05-06 21:25 - 2026-05-09 18:00

采购单位：新疆维吾尔自治区巴音郭楞某单位

供应商规模要求： -

供应商资质要求： -

二、采购需求清单

买家留言：响应附件内要求

附件： 附件-等保、密评采购需求.docx

响应附件要求：响应附件内要求

三、收货信息

送货方式: 送货上门

送货时间: 工作日09:00-17:00

送货期限: 竞价成交后3个工作日内

送货地址： 新疆维吾尔自治区 巴音郭楞蒙古自治州 焉耆回族自治县 四十里城子镇 201信箱

送货备注： -

四、商务要求

某单位网络安全等级保护测评及商用密码应用安全性评估服务项目

采购要求

一、采购内容

结合我单位网络信息化建设现状，全面落实总体国家安全观和网络强国战略，确保关键技术自主可控，按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）、《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）的条款要求，开展智能安防集成平台网络安全等级保护测评及商用密码应用安全性评估服务。

二、具体内容

智能安防集成平台网络安全等级保护测评及商用密码应用安全性评估项目，以网络安全等级保护工作的开展为基础，服务内容包括：指导系统定级备案、渗透测试、等级保护测评服务、商用密码应用安全性评估服务等，项目具体需求：

1.协助采购单位组织完成智能安防集成平台网络系统的定级备案工作，包含但不限于协助完成被测评网络系统定级备案材料编制，通过被测评网络系统定级专家评审取得《被测评网络系统备案证明》。

2.完成智能安防集成平台的安全等级保护差距分析，针对信息系统的安全保护现状，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面进行分析，分析各层面安全现状与等级保护基本要求之间的差距。

3.完成智能安防集成平台等级保护测评工作，包含现场正式测评工作，并出具《网络安全等级测评报告》。

4.对智能安防集成平台开展商用密码应用安全性评估服务：主要分为商用密码技术基本测评和商用密码技术应用测评服务，通过物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全密码评估服务，并出具《商用密码应用安全性评估报告》。

5.渗透测试：通过对重点服务器进行准确、全面的渗透、漏洞扫描测试，发现系统脆弱环节，以便对危害性严重的漏洞及时修补。测试结果指导应用厂商进行修复和加固；修复后进行测试复查，验证漏洞修复情况，出具复查报告。

三、投标人的资格要求

供应商须具备***门颁发的《网络安全服务认证证书等级保护测评服务认证》；

供应商具备商用密码检测机构资质证书（证书业务范围包括商用密码应用安全性评估业务）。

参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明；

未被“信用中国”网站（www.creditchina.gov.cn）列入失信被执行人、重大税收违法案件当事人名单和中国政府采购网（www.ccgp.gov.cn）无政府采购严重失信行为记录名单。（查询时间为2024年1月1日至今，截图须体现无异常记录内容，保存完整网页截图。）

四、投标人对以下要求的内容全部进行响应

五、项目技术内容

5.1网络安全等级保护测评内容

安全通信网络测评：

网络安全测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类，具体的测评内容如下所示：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。

安全区域边界测评：

主机系统安全测评通过访谈、检查和测试的方式，测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。具体测评内容包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。

安全计算环境测评：

应用安全测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统，具体测评内容包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

安全管理中心测评：

通过访谈和检查的方式评估生产系统的数据安全保障情况。重点检测信息系统的数据在采集、传输、处理和存储过程中的安全，以及数据备份恢复的安全。具体测评内容包括：数据完整性、数据保密性、备份和恢复。

安全管理制度测评：

安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评标和修订等情况。主要涉及的对象为安全主管人员、安全管理人员、其他人员、管理制度、操作规程文件等，具体测评内容包括：管理制度、制定和发布、评标和修订。

安全管理机构测评：

安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及的对象为安全主管人员、安全管理人员、相关的文件资料和工作记录等，具体测评内容包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

安全管理人员测评：

人员安全管理测评通过访谈和检查的形式评估机构人员安全控制方面的情况。主要涉及对象为安全主管人员、人事管理人员、相关管理制度、相关工作记录等，具体测评内容包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。

安全建设管理测评：

系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及对象为安全主管人员、系统建设负责人、管理制度、操作规程文件、执行过程记录等，具体测评内容包括：系统定级、安全方案设计、采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。

安全运维管理测评：

通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、运维人员，涉及内容有运维管理制度、运维服务团队的管理制度、操作规程文件、执行过程记录等。具体测评内容包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

根据以上10个层面的现场测评结果出具相应的单项和整体测评报告，测评报告需得到项目单位的确认，最终出具《系统等级保护测评报告》。

5.2商用密码应用安全性评估

物理和环境安全评估

针对“身份鉴别”、“电子门禁记录数据完整性”、“视频记录数据完整性”、“密码模块实现”等物理和环境安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。

网络和通信安全评估

针对“身份鉴别”、“访问控制信息完整性”、“通信数据完整性”、“通信数据机密性”、“集中管理通道安全”、“密码模块实现”等网络和通信安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。

设备和计算安全评估

针对“身份鉴别”、“远程管理身份鉴别信息机密性”、“访问控制信息完整性”、“敏感标记的完整性”、“重要程序或文件完整性”、“日志记录完整性”、“密码模块实现”等设备和计算安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。

应用和数据安全评估

针对“身份鉴别”、“访问控制信息和敏感标记完整性”、“数据传输机密性”、“数据存储机密性”、“数据传输完整性”、“数据存储完整性”、“日志记录完整性”、“重要应用程序的加载和卸载”、“抗抵赖”、“密码模块实现”等应用和数据安全方面采取的密码保障措施进行各项测评，完成单项及单元测评结果判定。

密钥管理评估

测评密钥管理各个环节，包括对密钥生成、存储、分发、导入与导出、使用、备份与恢复、归档、销毁等环节进行管理和策略制定的全过程是否符合要求，完成单项及单元测评结果判定。

密码应用管理评估

从制度、人员、实施和应急四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能够确保密码技术被合规、正确、有效地实施。

整体测评与风险评估对重要信息系统结构进行整体安全测评，并采用风险分析的方法分析密码应用安全问题可能对信息系统安全造成的影响，提交整体测评与风险评估结果。

形成密码应用安全性评估相关报告

针对每个被测评重要信息系统编制密码应用安全性评估报告，报告应按照国家密码管理局要求编制。最终出具《系统商用密码应用安全性评估报告》。

六、售后服务

提供售后服务人员的固定电话+手机（7×24小时）联系方式应急支撑服务承诺。提供本项目售后服务人员的名单。提供人员配置名单且证明材料完整。

七、其他要求

等级保护测评、商用密码应用安全性评估项目组人员有义务对项目实施过程中所收集、产生的所有与本项目相关文档、资料，包括文字、图片、表格、数字等各种形式的内容保密，应按照要求签署保密协议。