一、資質要求：符合《政府采購法》第二十二條規定：

（一）具有獨立承擔民事責任的能力；

（二）具有良好的商業信譽和健全的財務會計制度；

（三）具有履行合同所必需的設備和專業技術能力；

（四）有依法繳納稅收和社會保障資金的良好記錄；

（五）參加政府采購活動前三年內，在經營活動中沒有重大違法記錄；

以上需提供承諾函。

（六）符合政府采購信用相關規定；

（七）須具備CCRC信息安全服務資質認證證書復印件并加蓋公章（須同時具備以下三項：風險評估、信息安全應急處理、信息系統安全運維）；

二、項目實施地點：廊坊市發改委

三、服務期限：合同簽訂后10個工作日內完成評估，并出具評估報告。

四、服務內容及標準：

1、服務說明

依據《網絡安全法》、《關鍵信息基礎設施安全保護條例》對廊坊市人民政府網站關鍵信息基礎設施進行安全風險評估；合同簽訂后3個工作日內出具風險評估實施方案，我方同意后5個工作日內完成風險評估。風險評估完畢，出具風險評估報告。報告中應包含對存在的所有風險點進行整改、加固建議。協助我方對現有軟硬件存在的所有風險點進行整改、加固。

五、付款方式：服務完成后一次清付清全款。

2、具體服務要求

1）通過對系統進行信息安全風險評估服務，確保信息安全整體保障水平的提高，需要實現以下目標：

a.梳理系統安全等級保護現狀，為信息安全等級保護工作奠定基礎；

梳理信息系統現狀，從信息安全等級保護基本要求出發，形成現有信息系統與安全等級保護基本要求的差距。從信息安全等級保護完善的角度，確保信息系統的安全策略和管理規范符合國家信息安全等級保護基本要求。

b.掌握信息系統的風險管理現狀，為信息安全規劃提供依據；

開展一次信息系統的風險評估工作，提供專業的人工檢測分析和工具測試服務。全面識別出信息系統中目前存在的技術和管理脆弱性，基于已發現的技術和管理脆弱性，提出相關的安全建議。

c.持續優化信息安全管理機制，提升信息安全管理水平；

梳理和完善信息安全管理制度，持續提升信息安全管理水平。在日常工作中針對發現的安全問題定期及不定期進行總結分析和匯報，針對各種問題給出安全改進建議，并協助采購人從安全管理機制上持續完善信息安全規范和流程。

2)項目范圍

評估對象如下：

機房物理環境評估；

相關業務信息系統服務器人工檢查；

應用服務器的操作系統、數據庫人工檢查；

網絡設備、網絡安全設備人工檢查；

內控制度脆弱性檢查；

具體評估資產對象清單（評估可采取抽樣選取的方法）：

核心網絡設備：全部選取評估；

接入網絡設備：抽樣選取評估；

安全設備：抽樣選取評估；

主機設備：抽樣選取評估；

數據庫設備：抽樣選取評估；

3)評估依據

本項目遵循/引據如下內容：

政策法規：

中華人民共和國計算機信息系統安全保護條例（1994國務院147號令）

計算機信息系統安全保護等級劃分準則（GB17859-1999）

《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）

關于信息安全等級保護工作的實施意見（公通字[2004]66號）

《信息安全等級保護管理辦法》公通字[2007]43號

關于開展全國重要信息系統安全等級保護定級工作的通知（公信安[2007]861號）

《國家信息化領導小組關于加強信息安全保障工作的意見》（中辦發[2003]27號）

其他相關標準

標準規范：

《計算機信息系統安全保護等級劃分準則》GB/T 17859-1999

《信息安全技術 信息系統安全等級保護基本要求》GB/T 22239-2019

《信息安全技術 信息系統安全等級保護定級指南》GB/T 20440-2020

《信息安全技術 信息系統等級保護安全設計技術要求》GB/T 25070-2019

《信息安全技術 信息系統安全等級保護實施指南》GB/T 25058-2019

《信息安全技術 信息安全風險評估規范》GB/T 20984-2007

《信息安全技術 信息安全風險評估實施指南》GB/T 31509-2015

《信息安全技術 信息安全控制實踐指南》GB/T 22081-2016

《信息安全技術 信息技術安全評估準則 第1部分：簡介和一般模型》GB/T 18336.1-2015

《信息安全技術 信息技術安全評估準則 第2部分：安全功能組件》GB/T 18336.2-2015

《信息安全技術 信息技術安全性評估方法》GB/T 30270-2013

《信息安全技術 信息安全治理》GB/T 32923-2016 ISO_IEC 27014 2013

《信息安全技術 安全管理指南第1部分：信息技術安全概念和模型》GB/T 19715.1-2005

《信息安全技術 安全管理指南第2部分：管理和規劃信息技術安全》GB/T 19715.2-2005

4）評估內容

風險評估工作共分為6個階段：即準備階段、識別階段、分析階段、風險控制規劃階段、總結匯報階段以及驗收階段。

準備階段：主要完成項目組織、項目實施方案確定、組織培訓、項目啟動的工作。

識別階段：主要完成大量的現場識別工作，主要有資產識別、威脅識別、脆弱性識別、安全措施識別。

分析階段：在識別的基礎上進行大量整理并分析，得出風險評估各要素的風險狀況，具體有資產影響分析、威脅分析、脆弱性分析、安全措施有效性分析、綜合風險分析。

總結匯報階段：總結以上所有結論形成最終報告，并向領導小組匯報并提交。

驗收階段：進行離場交接（包含借閱文檔交接等），對項目依據驗收方案進行項目最終驗收。

a資產評估

通過安全訪談、現場調研、安全檢測等方式，全面梳理網絡內所有資產狀況，形成資產清單，并對資產根據其在保密性、完整性、可用性的等級分析結果，經過綜合評定進行賦值。

b威脅評估

識別所評估信息資產存在的潛在威脅，識別威脅利用脆弱性的可能性，并分析威脅利用脆弱性對采購方可能造成的影響。

依據相關國家標準或國際標準，對存在脆弱性的資產進行威脅的全面識別，及時發現潛在威脅的原因，避免或降低威脅發生的幾率。

威脅來源應至少包括但不限于以下四類：

人員威脅：包括內部人員、第三方人員，有意、無意威脅；

環境威脅：自然災害、設施故障等；

社會威脅：社會動亂、恐怖襲擊、戰爭、自然威脅（洪水、地震、臺風、滑坡、雷電等）。

c脆弱性評估

在評估中，將從基礎環境、網絡環境、技術、安全管理四個方面進行脆弱性評估?；A環境評估按照國家等級保護三級系統的機房物理環境基本要求對現有的機房物理環境進行檢查，發現物理環境中的缺陷和不足。

技術方面主要是通過遠程和本地兩種方式進行手工檢查、工具掃描（漏洞掃描、滲透測試、基線檢查等）、數據分析等方式進行評估，以保證脆弱性評估的全面性和有效性；

管理脆弱性評估按照國家等級保護三級系統的基本要求對現有的安全管理制度的制定和執行情況進行檢查，發現其中的管理漏洞和不足。

d安全措施有效性分析

識別信息系統中已有的安全措施，分析安全措施的效力，確定威脅利用弱點的實際可能性，一方面可以指出當前安全措施的不足，另一方面也可以避免重復投資。安全措施識別工作完成之后，對安全措施所采取后的有效性進行分析，分析其安全措施對防范威脅、降低脆弱性的有效性。

e風險識別

完成資產、威脅和脆弱性的評估賦值后，計算信息資產的風險值，確定風險值對應的風險等級。

f綜合風險分析

綜合現場專家的訪談、問卷調查、現場制度核查、手工技術核查和安全工具檢測結果，并進行綜合風險的分析，得出采購方信息系統主機、數據庫、應用中間件、網絡架構、網絡設備和安全設備、機房物理環境、內控制度管理等方面脆弱性風險的結果，并提出可落地的建議、方案。

5）風險評估交付成果

項目驗收前應提交真實可靠、客觀公正的評估文檔，文檔應包括但不限于以下內容：

《信息系統風險評估報告》

六、報價文件遞交截止時間： 2022年11月16日17：30，超出此時間發出的報價文件為無效文件。

七、請按以下格式制作報價文件。報價文件須加蓋公章后轉換成PDF格式發送電子郵件到：qdl@lf.gov.cn。

聯系人：齊工 電話：2317032

八、評分標準

2022年11月11日? ? ? ? ? ? ?

投標文件模板（*標項為必有項目，不得缺少）

廊坊市人民政府網站關鍵信息基礎設施

風險評估的服務采購報價文件

報價公司名稱（公章）：? ? ? ? ? ? ? ? ? ? ??

法定代表人或授權委托人（簽字或蓋章）：? ? ? ? ? ? ? ? ? ? ? ?

報價時間：? ? ? ?年? ? ? 月? ? ? ?日

*一、投 標 函

致：廊坊市發展和改革委員會：

(供應商全稱)授權 (供應商代表姓名)

(職務、職稱)為我方代表，參加貴方組織的(寫明項目名稱、； )的招標活動，并對以上項目進行投標。為此：

1、我方同意在本項目招標文件中規定的開標日起的有效期內（見前附表）遵守

本投標文件中的承諾且在此期限期滿之前均具有約束力。

2、我方承諾已經具備《中華人民共和國政府采購法》中規定的參加政府采購活動的供應商應當具備的全部條件。

3、提供投標須知規定的全部投標文件，包括：加密的電子公開文件一份（*.PDF 格式）；

4、按招標文件要求提供和交付的貨物和服務的投標報價詳見開標一覽表。

5、我方承諾：完全理解投標報價超過開標時公布的預算金額時，投標將被拒絕。

6、保證忠實地執行雙方所簽訂的合同，并承擔合同規定的責任和義務。

7、承諾完全滿足和響應招標文件中的各項商務和技術要求，若有偏差，已在投標文件商務條款偏離表中予以明確特別說明。

8、保證遵守招標文件的所有規定。

9、我方完全理解貴方不一定接受最低價的投標或收到的任何投標。

10、我方愿意向貴方提供任何與本項投標有關的數據、情況和技術資料。若貴方需要，我方愿意提供我方作出的一切承諾的證明材料。

11、我方已詳細審核全部投標文件，包括投標文件修改書（如有的話）、參考資料及有關附件，確認無誤。

12、我方承諾：采購人若需追加采購本項目招標文件所列貨物及相關服務的，在不改變合同其他實質性條款的前提下，按相同或更優惠的折扣率保證供貨。

13、 我方承諾提供的所有材料均為真實的、有效的，愿承擔所有責任。

所有有關本投標的一切往來聯系方式為：

地址： ????郵編： ?????電話： ????????傳真：

供應商代表姓名： ???供應商代表聯系電話： ????E-mail：

供應商(公章)：

日 期：

說明：除可填報項目外，對本投標函的任何修改將被視為非實質性響應投標，從而導致該投標被拒絕。

*二、報價一覽表

廊坊市人民政府網站關鍵信息基礎設施

風險評估的詢價報價一覽表

報價公司（公章）：? ? ? ? ? ? ? ? ? ? ??

聯系人：? ? ? ? ? ? ?聯系電話：? ? ? ? ? ? ?報價時間：? ? ? ? ? ? ? ??

報價說明：本表所報單價應包含購買本服務項目所需的各類費用（包含但不限于稅費、人員工資、差旅費等）

*三、資質證明文件：

1、授權委托書；

廊坊市發展和改革委員會：

本授權委托書聲明：注冊于（供應商住址）的（供應商名稱） 。法定代表人（法定代表人姓名、職務、身份證號）代表本公司在下面授權的 （供應商代表姓名、職務、身份證號）為本公司的合法代理人，就貴方組織的項目（項目名稱??????）， 以本公司名義處理一切與之有關的事務。

單位名稱（公章）

年? ? 月? ? 日? ?

委托代理人身份證復印件（正反面） 法定代表人身份證復印件（正反面）

（粘貼此處） ???????????????????????（粘貼此處）

2、營業執照復印件（加蓋公章）；

3、符合《政府采購法》第二十二條規定承諾函（格式自擬，加蓋公章）；

4、CCRC信息安全服務資質認證證書復印件（加蓋公章）；

四、評審相關資料。

下載原文：廊坊市發展和改革委員會關于廊坊市人民政府網站關鍵信息基礎設施風險評估服務采購的公告