一、项目服务需求

二、技术要求

2.1.服务范围

根据信息系统安全建设现状及信息系统的重要程度，本单位本次采购的服务系统清单如下：

2.2技术依据

《中华人民共和国网络安全法》（主席令第53号）

关于印发《信息安全等级保护工作的实施意见》的通知（公通字[2004]66号文件）

关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43号文件）

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术 网络安全等级保护测评要求》（GB∕T 28448-2019）

《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术 个人信息安全规范》（GB/T 35273—2020）

《信息安全技术 信息安全风险评估方法》（GB/T20984-2022）

《信息安全技术 信息安全风险评估实施指南》(GB/T31509-2015)

2.3项目范围

针对江西省科学院2个二级系统开展等级测评工作，同时通过开展网络安全等级保护定级和备案服务、系统网络安全等级保护测评服务、管理制度梳理服务、应急响应服务、商业密码评估咨询服务等年度安全服务工作。

2.4项目内容与具体要求

1.网络安全等级保护定级与备案、测评

（1）服务对象：江西省科学院二个二级系统。

1）定级备案：

协助用户单位完成等级保护定级与备案或变更工作。为了准确、科学的开展信息系统定级工作，开展进行摸底调查，摸清信息系统底数，掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况，进下一步明确要求、落实责任奠定基础。

定级工作将严格遵循《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2020），深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析，准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。工作过程文件及项目交付成果（包括但不限于）：省级公安监管机关颁发的《信息系统安全等级保护备案证明》；

2）等级保护测评：

工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T 28448-2019)和《网络安全等级保护测评过程指南》（GB/T 28449-2018）文件，根据系统等级开展相应级别的单项测评和整体测评；测评报告内容及格式严格遵照《网络安全等级保护测评报告模版（2019年版）》。

按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T 22239-2019）等技术标准，从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评，并参考被测单位自身信息安全管理要求，从安全控制间、层面间、区域间的综合分析进行整体测评，供应商需具备有效期内的《网络安全服务认证证书等级保护测评服务认证》，否则做无效响应。

应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临网络安全的威胁。

安全物理环境层面应在采用专用测试工具测试和人工现场复核方式对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。

安全通信网络层面应通过上机配置验证的方式对网络和安全设备的安全配置及设置逐项进行检测验证，以发现网络架构、通信传输、可信验证等方面的安全隐患。

安全区域边界应通过上机配置验证的方式对网络和安全设备的安全配置及设置逐项进行检测验证，以发现边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范等措施的安全隐患。

安全计算环境应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患；并通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

安全管理中心应通过上机配置验证的方式对安全管理中心平台的安全配置及设置逐项进行检测验证，以发现系统管理、审计管理、安全管理、集中管控等措施得安全隐患。

安全管理层面应对被测单位网络安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的安全运维管理制度、人员安全管理制度、安全建设管理制度、定期检查制度。

应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB应用漏洞分析工具等对网络、主机等进行渗透测试分析。

应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，供应商应提供的等级保护智能评估系统，具备等级保护测评数据采集、自动分析、智能风险评估的能力，判断安全保护建设需求及其分析。

在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。

工作过程文件及项目交付成果（包括但不限于）：《网络安全等级保护等级测评报告》；

2.应急响应服务

（1）服务对象：江西江西省科学院2个二级系统。

（2）具体要求：在事件发生后，作为第三方机构客观分析各类安全设备厂家在事件中的状态，避免相互推诿和相关责任，出具事件分析报告，以供用户或监管机关作为证据备查，为用户提升管理安全效率。在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复。在服务周期范围内，提供不限次数现场应急响应服务。工作经验丰富技术人员完成实施工作，根据每次应急响应的情况，必要时提供软、硬件设备参与应急响应工作，并进行分析，出具《安全事件分析与处置报告》。同时，尽可能地减少和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生，供应商应保证服务过程符合信息技术服务标准，要求供应商所使用的应急支撑工具支持以下功能点：

（1）系统内置第三方互联网公司情报源(腾讯、360、奇安信、华为情报源)，提供受控外联类情报源,受控外联情报类型至少包含 IP类、URL 类和域名类情报

（2）支持情报源的基础属性画像，至少包含归属地、经纬度、运营商等属性

（3）支持最近三个月的攻击轨迹溯源，至少包含历史攻击单位、攻击类型、被攻击单位所属行业等属性

（响应文件中提供具有CMA和CNAS标识的第三方检测机构出具的测评工具功能检测报告原件扫描件，以上材料加盖投标供应商公章。注:功能点需通过醒目标识标记出对应功能点在报告中的检测情况，未提供或提供不符合要求视为无效响应）

3.商用密码评估咨询服务

具体要求：对目前采购人现状系统提出商业密码咨询如：方案优化建议：根据评估结果提供改进密码系统的建议，如升级密码算法、完善密钥管理系统。安全策略制定：协助企业建立科学合理的密码安全策略，包括员工密码使用培训计划等。应急响应规划：协助提供密码泄露等安全事件的应急处理方案。为保证商用密码咨询服务专业性，供应商必须提供专业的咨询服务团队为采购人提供服务。

工作过程文件及项目交付成果（按需）：《商用密码评估咨询方案》。

提交要求：纸质版1份（加盖服务机构公章）及电子版

注:以上技术要求为实质性要求必须完全满足或优于，不满足作无效投标处理。

三、商务条款

1.等级测评交付期限：合同生效后，成交供应商在60天内（不含建设整改时间）完成等级测评，出具《测评报告》（2025年12月31日前提交《信息安全等级保护备案证明》）。

2.服务期：自合同签订之日起一年内。

3.服务内容：

（1）根据测评结果，提出安全建设整改方案，供采购人有针对性的进行安全建设整改。

（2）免费提供整改技术咨询与技术支持。

4.付款方式：

4.1提供《信息系统网络安全等级保护测评报告》后30个工作日内，一次性支付全额服务费。

5.其它:

中标单位应保证采购人在使用该系统及货物或其任何一部分时不受第三方提出侵犯其专利权、商标权和设计权的起诉。如果任何第三方提出侵权指控或赔偿要求，成交单位必须与第三方交涉，并承担发生和可能发生的一切损失、费用和法律责任。

6.人员安排要求:

提供固定服务技术团队，其中技术主管需具有DJCP高级测评师证书，项目经理必须由中级或以上测评师担任，响应文件中提供证书复印件及供应商为其缴纳报价前三个月内任意一个月的社保证明复印件）；全程参与项目的服务，及时发现运行中出现故障，并在规定时间内解决。服务期内提供7×24小时的上门、远程和电话方式的技术服务支持。为保证本项目服务质量，供应商必须任命一名DJCP高级测评师作为本项目的质监负责人，同时为保证质量监管工作的独立性不受到相关利益或冲突影响，质监人员不得为实施团队成员。

7.服务地点：江西省南昌市昌东大道7777号。

8.报价文件递交时间：2025年11月28日17：00时前（北京时间）。对逾期送达的或者未送达指定地点的报价文件，不予受理。

9.递交地点：江西省南昌市昌东大道7777号，联系人：徐老师，联系电话：0791-88177874，递交方式：将密封文件送至递交地点。

注:以上商务要求为实质性要求必须完全满足或优于，不满足作无效投标处理。

 江西省科学院   

2025年11月21日