成都高新区科技创新局关于“四派人才”企业申报管理系统等相关信息系统网络安全及等级（三级）保护测评服务采购比选公告

序号

服务

项目

服务

项目

服务描述及完成指标

报价

（元）

1

等级保护（序号1-7）

等级保护测评服务

根据等级保护测评《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019、《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019、《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019、《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018、《网络安全等级保护测评高风险判定指引》T/ISEAA 001-2020等标准的工作要求，对系统及其子系统的等级保护开展（三级）测评服务，****管理中心、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等各个层面，以及各系统所涉及的云计算安全、移动互联安全、物联网安全、工控制系统安全等扩展方面的要求。

2

差距分析

对等级测评结果进行汇总统计，包括测评项符合情况、单元测评结果符合情况以及整体测评结果，通过对信息系统基本安全保护状态的分析，列出被测信息系统中存在的主要安全问题，编制差距分析报告。

3

制**全整改方案

依据差距分析报告，编制具有针对性、可行性的安全整改方案。

4

协助整改

依据整改方案，为相关信息系统安全整改的各项工作提供技术咨询服务。

5

等级保护测评复测服务

依据整改情况，对已整改的安全问题及结果进行核查，直至满足编制测评报告的要求。****机关备案要求的等级保护测评报告，每个系统2份。

6

****机关备案

****机关要求，准备全套备案相关纸质材料，****机关备案材料合规性要求，****机关备案。

7

协助制**全管理制度和应急预案

协助建立健全全流程安全管理制度并制定应急预案，参照国家法律法规、政策、标准，提供网络安全咨询服务，并形**全管理制度、应急预案、安全咨询服务台账各1份。

8

网络安全（序号8-13）

安全监测及防护

为保障网络相关信息系统稳定运行，通过监测、记录网络运行状态、网络安全事件等技术措施，开展安全监测防护相关工作，并出具监测、防护汇总月报共计12份。

9

应急响应

在安全事件发生时，2小时内启动标准化处置流程，针对系统漏洞、计算机病毒、网络攻击及网络侵入等风险实施快速控制（包括0day漏洞热补丁部署、勒索软件解密溯源、APT攻击溯源等），同步通过技术手段遏制威胁扩散，并全程记录处置过程，形成符合ISO/IEC 27032标准的结构化文档（含证据链存证及操作日志）。服务完成后协助甲方完成系统修复与加固，并指导其依据《中华人民**国网络安全法》《中华人民**国数据安全法》等法规向主管部门提交合规报告，确保事件响应全流程可追溯且满足监管要求。

10

漏洞扫描（含代码）

对指定的远程或者本地计算机系统进行安全脆弱性检测，并形成漏洞扫描报告，共计1份。

11

渗透测试

对信息系统Web应用、API接口、数据库等进行全栈渗透测试，覆盖网络层、应用层及供应链安全，识别0day/1day漏洞及供应链风险。服务需符合信息安全法规及标准要求，结合自动化工具与人工渗透，提供漏洞评分、攻击路径分析等。服务团队须保障数据隐私与知识产权安全，交付含漏洞复现、修复方案、风险评级的高规格报告。服务期内至少开展2次渗透测试服务，并形成渗透测试报告至少2份。

12

安全基线检查

对服务器、终端、网络设备及应用系统进行全面基线检查，验证配置是否符合ISO 27001、等保2.0等标准，识别偏离安全策略的配置项（如弱密码、未授权访问）。服务团队采用工具进行自动化扫描与人工复核，生成包含风险评级、整改建议的详细报告。

服务期内至少开展2次安全基线检查服务，并形**全基线检查报告至少2份。

13

安全应急演练和教育培训

服务期内开展1次实战应急演练，基于真实攻击场景设计实战演练，在受控环境下模拟生产系统风险，涵盖钓鱼邮件、供应链攻击等多维度威胁。服务团队由具备红蓝对抗经验的安全专家组成。交付包含攻击路径还原、防御缺口分析及合规改进建议的报告。服务期内开展培训时长不少于2个小时；针对安全管理、数据业务岗位等核心人员开展安全知识、技能培训，年度培训时长不少于20个小时。

14

其他

其他费用