关于网络安全巡检及系统安全等级保护测评服务的询价公告

关于网络安全巡检及系统安全等级保护测评服务的询价公告

杭州市质量技术监督检测院作为采购机构，就网络安全巡检及系统安全等级保护测评服务进行公开询价。具体如下：

一、采购编号：HZZJY-2019-02

二、项目名称：网络安全巡检及系统安全等级保护测评服务

三、采购预算：本项目采购预算不超过人民币250000元

四、服务内容

    服务期限：1年

（1）等级保护测评：

杭州市质量技术监督检测院，因工作需要，门户网站系统、OA办公系统和LIMS业务管理系统需开展信息安全等级保护测评工作，保护等级为二级。工作内容主要包括协助用户完成等保备案，对系统进行等保测评，指导用户完成问题整改等。

测评内容：

依据《GB/T 22239-2008 信息安全服务 信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》的条款要求，逐一对信息系统的安全保护等级进行测评，测评的内容包括但不限于以下内容：

（1）安全服务测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

（2）安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

输出成果：

本项目输出包括且不仅仅包括以下成果：

（1）《信息系统等级保护测评报告》

（2）《信息系统等级保护整改建议》

测评工作结束后，由专业测评机构协助委托方完成系统的备案工作。

（2）安全服务内容：

1.漏洞扫描服务

随着企业IT规模的不断增大，在网络安全建设中面临千变万化的攻击手法，单纯采取被动防御的技术手段越发显得力不从心，更多的用户开始关注风险的管理与度量，侧重在“事前”尽量降低甚至规避风险。

安全漏洞扫描服务，针对系统、设备、应用的脆弱性进行安全扫描，真实全面地反映主机系统、网络设备、应用系统所存在的网络安全问题和面临的网络安全威胁。侦测某个特定设备的系统配置、系统结构和属性；执行安全评估和漏洞检测；提供漏洞修补和补丁管理。

参与漏洞扫描的人员必须具有丰富的漏洞分析和修补方面的经验，能够为客户提供更加详细、更具针对性的解决方案。漏洞扫描产品可以帮助客户发现安全漏洞，但是只能对漏洞进行粗浅的定性和不够完备的解决方案，无法达到安全漏洞精细化管理的目标。而漏洞扫描正是对其最有效的补充。

输出成果：

本项目输出包括且不仅仅包括以下成果：

（1）《信息系统漏洞威胁报告》

（2）《信息系统漏洞修补及整改方案》

2.应急响应服务

安全应急响应服务主要是针对安全事件发生时，及时，准确的解决安全事件，化解安全危机、将安全事件的风险及损失降到最低。安全事件是指在客户信息系统中出现的影响业务正常运行的任何异常事件。例如：破坏系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问，系统资源的滥用以及任何可能对系统造成损害的行为等。

本项目提供如下服务：

提供入侵影响抑制：通过对事件检测分析，提供抑制手段，降低入侵影响，协助快速恢复业务。

提供入侵威胁清除：排查攻击路径，恶意文件清除，分析入侵事件原因。

提供入侵原因分析：排查攻击路径，分析入侵事件原因。

提供加固建议指导：结合现有安全防御体系，指导用户进行安全加固，防止再次入侵。

3.安全服务要求：

安全服务商须按照我院技术要求进行服务工作，确保我院办公网络稳定安全运行，具体要求如下：

1、配备专业化的团队运维队伍，建立热线客服、一线上门维护人员、项目管理人员、后备技术支撑的一体化运维体系。

2、要求配备拥有自主开发运维管理平台执行运维管理和服务质量管理、能够实现对运维服务过程的管理，需提供软件自主产权证书，要求服务人员角色分层匹配，以工单形式进行整体流程管控，系统接入界面支持WEB、APP、微信等多种途径，支持运维数据实时分时统计与分析，支持多途径电子化线上或线下方式服务评价。要求与我单位企业微信进行系统对接、系统管理方式满足事件管理、问题管理、用户管理、设备管理等，支持所有运维业务种类。需支持设备二维码扫码报障。

3、建立7×8小时维护体系，由专人值班，建立固定的网管值班电话并保证24小时联络畅通。对全院终端与网络设备及线路故障应做到处理及时，局部故障1小时内响应，2小时内恢复；重大故障0.5小时内响应，2小时内恢复，并建立故障逐级通报制度。

4、做好周期性的维护工作，建立健全各种技术文档资料。每季度第一个月结束前，提供上一个季度完整的漏扫报告及对应漏洞的解决方案。

4.运维平台要求

有自主研发的运维管理软件，建立针对用户的维护信息。提供多途径故障受理通道(如：电脑、手机、微信等多种方式)为用户提供自助服务，服务过程信息实时告知用户、使用户能实时查看故障维修进展情况。提供有效便捷的用户服务评价方式，保障用户服务满意度。记录、跟踪各类出现的问题及解决方案，并能提供工作量统计及运维成果分析。要求与我单位企业微信进行系统对接、需支持设备二维码扫码报障和扫码评价功能。

五、合格的应标人应具备的资格要求：

在中华人民共和国境内工商局登记注册、具有独立法人资格、根据中华人民共和国有关法律合法成立并存在的企业，注册资金（本）不少于人民币1000万元。

1.具备计算机系统集成资质叁级（含）以上证书。

2.熟悉政府信息化环境，具备电子政务和网络运维经验。

3.具有较强的本地化服务能力：

投标人需提供在杭州市工商部门登记注册的服务网点证明；

投标人需提供10人以上服务人员的杭州市社保证明。

4.本项目不接受联合体投标。

六、采购方式：询价采购。

七、获取采购文件：在本公告网页下载。

八、领取采购文件：

（1）时间：2019年5月8日-2019年5月21日

（2）地点：杭州市质量技术监督检测院（江干区九环路50号601室）。

九、应标文件投递截止时间与地点：截止时间至2019年5月21日上午11点，九环路50号杭州市质量技术监督检测院601室。

十、应标文件需包含：运维报价、相关资质复印件盖章、应标承诺书，其他投标人认为需要提供的材料。

十一、联系方式：杭州市质量技术监督检测院；联系人：傅妙妙；联系电话： 81995009，传真81995009 。

附件：关于网络安全巡检及系统安全等级保护服务的询价公告2019.doc