庐阳区“智慧庐阳”系统三级等保测评项目（2025年度）采购公告

序号

系统名称

数量

1

智慧**系统（三级）

1次

1

等级保护建设实施

1) 等保测评：完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、****中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；

2) 工具测试：针对此信息系统进行漏洞扫描、渗透测试等安全服务工作；

3) 整改建议：服务单位应根据现场测评中发现的问题，按照网络安全等级保护标准要求提出安全整改建议；

4) 编制测评报告：完成上述测评工作和建议整改措施后，服务单位最后出具符合标准要求的网络安全等级保护测评报告。

2

工作要求

（1）实施原则

规范性原则：服务单位工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行；

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）测评依据

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB∕T 28449-2018）

（3）等级保护测评内容

根据国家等级保护相关标准，本次项目的网络安全等级保护测评包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

3

报价要求

本项目报总价，报价包含完成本项目服务期间所产生的一切费用（含验收费用），采购人后期不再另行追加费用。

4

验收标准

本项目服务的验收将以服务单位提交《测评报告》并在**部登记管理系统填报结果为准。

5

其他要求

为协助采购人建立信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系，帮助采购人解决在等级保护测评过程中出现的问题，确保采购人能够顺**过等级保护测评，满足网络安全法律法规和国家政策的合规要求，服务单位需承诺为采购人提供以下增值服务：

1. 服务期内提供四次漏洞扫描服务（根据业主单位需求时间相应）；

2. 服务期内提供四次渗透测试服务（根据业主单位要求对政务云机房内6个业务系统进行渗透测试）；

3. 服务期内乙方针对漏扫报告、渗透报告以及日常发现的漏洞，需要协助业主单位进行整改及漏洞修复；

4. 服务期内在业主单位出现重要安全事件时(信息系统遭受攻击、网络病毒爆发等)提供应急安全保障工作以及根据甲方服务期内接到的监管单位通报提供应急响应服务（响应到场时间不得超过1小时），满足到场解决需求。1年内根据采购人要求不定期开展至少一次应急演练；

5. 服务期内按业主单位要求协助提供网络安全建设方案制定，结合现状和安全合规性要求，对客户现有信息系统现状进行差距分析；

6. 服务期内根据业主需求提供一次网络安全培训。