2025年中通陽(yáng)光保險商城三級等保測評服務(wù)項目

采購詢(xún)價(jià)公告

項目概況

按照采購計劃，擬對2025年中通陽(yáng)光保險商城三級等保測評服務(wù)項目進(jìn)行公開(kāi)詢(xún)價(jià)采購，潛在供應商應在網(wǎng)上下載獲取采購文件，并于2025年09月07日 17點(diǎn)30分（北京時(shí)間）前提交響應文件。

一、項目基本情況

項目編號：ZTYGXJ******

項目名稱(chēng)：2025年中通陽(yáng)光保險商城三級等保測評服務(wù)項目

采購方式：公開(kāi)詢(xún)價(jià)

預算金額：肆萬(wàn)伍仟元整（人民幣）

最高限價(jià)：肆萬(wàn)伍仟元整（人民幣）

采購需求：三級等保測評服務(wù)

合同履行期限：自合同簽訂之日起至60日歷日之內

工期（供貨期）要求：自合同簽訂之日起至60日歷日之內

本項目不接受聯(lián)合體投標。

二、申請人的資格要求

1.服務(wù)商應當具備下列一般條件

(1) 具有獨立承擔民事責任的能力；

(2) 具有良好的商業(yè)信譽(yù)和健全的財務(wù)會(huì )計制度；

(3) 具有履行合同所必需的人員和專(zhuān)業(yè)技術(shù)能力；

(4) 有依法繳納稅收和社會(huì )保障資金的良好記錄；

(5) 參加政府采購活動(dòng)前3年內，在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄；

(6) 法律、行政法規規定的其他條件。

2.服務(wù)商需具備以下特殊條件

(1) 服務(wù)商出具針對本項目所提供的維保服務(wù)人員本單位繳納社會(huì )基本養老保險近3個(gè)月的社保繳費憑證。

(2) 服務(wù)商針對此項目中的各業(yè)務(wù)系統軟件模塊提供得維保服務(wù)應是設備制造商原廠(chǎng)服務(wù)，服務(wù)方式包括但不限于：電話(huà)技術(shù)支持服務(wù)、Internet在線(xiàn)支持、實(shí)時(shí)遠程診斷服務(wù)、現場(chǎng)服務(wù)。

(3) 服務(wù)商出具針對本項目專(zhuān)業(yè)資質(zhì)憑證，專(zhuān)業(yè)資質(zhì)憑證包括但不限于：《信息安全管理體系認證證書(shū)》、《環(huán)境管理體系認證證書(shū)》、《職業(yè)健康安全管理體系認證證書(shū)》。

3.拒絕下述供應商參加本次采購活動(dòng)

(1) 供應商單位負責人為同一人或者存在直接控股、管理關(guān)系的不同供應商，不得參加同一合同項下的采購活動(dòng)。

(2) 凡為采購項目提供項目管理、監理、檢測等服務(wù)的供應商，不得再參加本項目的采購活動(dòng)。

(3) 供應商被“信用中國”網(wǎng)站（ww.creditchina.gov.cn）列入失信被執行人、重大稅收違法案件當事人名單、政府采購嚴重違法失信行為記錄名單。

三、項目需求

（一）項目范圍

（二）項目測評內容

1.項目依據

按照網(wǎng)絡(luò )安全等級保護2.0標準開(kāi)展本次等保測評工作，測評的指標、內容及其程序需嚴格執行如下規范要求：

《中華人民共和國網(wǎng)絡(luò )安全法》

《中華人民共和國數據安全法》

《中華人民共和國個(gè)人信息保護法》

《信息安全等級保護管理辦法》(公通字[2007]43號)

《信息系統安全保護等級定級指南》（GB/T 22240-2008）

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護基本要求》（GB/T 22239-2019）

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護安全設計技術(shù)要求》（GB/T 25070-2019）

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評要求》（GB/T 28448-2019）

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護測評過(guò)程指南》（GB/T 28449-2018）

《信息安全技術(shù)網(wǎng)絡(luò )安全等級保護定級指南》（GB/T 22240-2020）

《信息系統安全管理測評》（GA/T 713-2007）

《信息安全等級保護等級測評實(shí)施細則》

《信息安全風(fēng)險評估規范》（GB/T 20984-2007）

《信息安全風(fēng)險管理指南》（GB/Z 24364-2009）

《信息安全管理體系要求》（GB/T 22080-2008）

《信息安全管理實(shí)用規則》（GB/T 22081-2008）

《信息系統安全管理要求》（GB/T 20269-2006）

《信息安全事件分類(lèi)分級指南》（GB/Z 20986-2007）

《信息安全事件管理指南》（GB/Z 20985-2007）

《信息系統災難恢復規范》（GB/T 20988-2007）

《信息安全應急響應計劃規范》（GB/T 24363-2009）

《網(wǎng)絡(luò )安全審查辦法》

2.服務(wù)內容及說(shuō)明

2.1 等保保護測評

等保測評覆蓋安全技術(shù)測評和安全管理測評兩大類(lèi)10******管理中心等5個(gè)層面上的安全控制測評；安全管理測評包括：安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等5個(gè)方面的安全控制測評。

2.1.1 等保測評內容

根據國家對網(wǎng)絡(luò )安全等級保護工作的相關(guān)法律和技術(shù)標準要求，結合本項目的系統保護等級開(kāi)展實(shí)施與之相應的檢查工作，具體檢查內容應包括：

（1）安全物理環(huán)境

測評內容主要包括：物理位置選擇、物理訪(fǎng)問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等。

（2）安全通信網(wǎng)絡(luò )

測評內容主要包括：網(wǎng)絡(luò )架構、通信傳輸、可信驗證等。

（3）安全區域邊界

測評內容主要包括：邊界防護、訪(fǎng)問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等。

（4）安全計算環(huán)境

測評內容主要包括：身份鑒別、訪(fǎng)問(wèn)控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個(gè)人信息保護等。

（5******管理中心

測評內容主要包括：系統管理、審計管理、安全管理、集中管控等。

（6）安全管理制度

測評內容主要包括：安全策略、管理制度、制定和發(fā)布、評審和修訂等。

（7）安全管理機構

測評內容主要包括：崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查等。

（8）安全管理人員

測評內容主要包括：人員錄用、人員離崗、安全意識教育和培訓、外部人員訪(fǎng)問(wèn)管理等。

（9）安全建設管理

測評內容主要包括：定級和備案、安全方案設計、產(chǎn)品采購和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測試驗收、系統交付、等級測評、服務(wù)供應商選擇等。

（10）安全運維管理

測評內容主要包括：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風(fēng)險管理、網(wǎng)絡(luò )和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等。

2.1.2等保測評目標

（1）識別信息安全風(fēng)險。通過(guò)對信息系統在安全技術(shù)和安全管理方面的分析，發(fā)現信息系統在安全技術(shù)和安全管理方面與相應安全等級保護要求之間的差距，并進(jìn)行風(fēng)險分析，出具差距分析報告，明確信息系統面臨的風(fēng)險。

（2）增強安全防護能力。依據差距分析報告的結果，并結合實(shí)際情況，區分輕重緩急，制定針對性的安全整改計劃，通過(guò)安全整改不斷提高信息系統的整體安全保護水平。

（3）測評結果分析

??單項測評結果判定

??單元測評結果判定

??整體測評分析

??形成測評分析報告

??針對測評分析報告的整改建議

2.2 滲透測試

選取可能發(fā)起攻擊的測試點(diǎn)，使用滲透測試的方式查找可能存在的滲透點(diǎn),發(fā)現信息系統防護體系的薄弱環(huán)節，找出可能發(fā)生的惡意攻擊事件和違規行為。

2.2.1 滲透測試內容

工作內容包括滲透測試及提供漏洞修復方案。本次滲透測試工作為黑盒測試。

（1）需要包含如下階段

??前期交互階段：與用戶(hù)組織進(jìn)行討論，確定滲透測試范圍和目標。

??信息搜集階段：采用各種方法搜集用戶(hù)方的所有相關(guān)信息。

??威脅建模階段：使用在信息搜集階段所獲取到的信息，標識出目標系統上可能存在的安全漏洞與弱點(diǎn)。

??漏洞分析階段：綜合前面幾個(gè)環(huán)節獲取到的信息，從中分析和理解，找出攻擊途徑和攻擊方法。

??滲透攻擊階段：針對確定好的攻擊途徑和攻擊方法實(shí)施滲透攻擊，獲取系統相關(guān)權限。

??后滲透攻擊階段：以特定的業(yè)務(wù)系統作為目標，識別出關(guān)鍵的基礎設施，找出用戶(hù)組織最具價(jià)值和嘗試進(jìn)行安全保護的信息和資產(chǎn)，找出能夠對用戶(hù)組織造成重要業(yè)務(wù)影響的攻擊途徑。

??報告階段：將滲透測試結果編制成文檔提交給用戶(hù)，提供安全解決方案。并將在滲透測試階段產(chǎn)生的垃圾數據進(jìn)行清理。

（2）滲透測試工作要求

本次滲透攻擊測試工作應當以不破壞用戶(hù)應用系統為前提條件，不做危害用戶(hù)應用系統的工作行為，遵守職業(yè)道德，遵守行業(yè)規則，嚴格遵守保密制度，保密要求，不得擅自修改、拷貝用戶(hù)數據，不得泄露、傳播用戶(hù)的敏感信息，如有違反將負法律責任。

3.服務(wù)成果

本次安全服務(wù)應提交以下成果：

《信息系統等級測評報告》，包括單元測評分析結果、整改測評分析結果、測評結論和安全整改建議等。

《信息系統滲透測試報告》，包含但不限于如下方面的內容：滲透測試的方法、目標、范圍；測試的人員、時(shí)間、策略。測試的工具、風(fēng)險規避措施；測試的過(guò)程、漏洞利用截圖，測試的結果等。

4.項目總體要求

1）合同簽訂后60個(gè)日歷日內完成相關(guān)測評工作。測評單位需根據陽(yáng)光公司實(shí)際情況合理安排測評進(jìn)度，陽(yáng)光公司可能因為各類(lèi)突發(fā)狀況導致測評周期的不確定性，供應商需要配合公司進(jìn)行進(jìn)度的合理安排。項目工作人員需遵守等保檢測規定，采用符合標準的檢測工具和檢測方法實(shí)施檢測，如因違規操作造成對檢測系統的破壞，則應承擔相應責任。

2）測評單位必須針對此次測評給出詳細方案，內容包含測評計劃、測評實(shí)施、風(fēng)險管控、協(xié)助整改。要求方案充分考慮到行業(yè)特性，結合業(yè)務(wù)要求，提出切實(shí)可行的整改方案。

3）測評單位需針對此次測評列出本項目組織管理架構及主要參與人員情況介紹。項目實(shí)施過(guò)程中實(shí)行專(zhuān)人專(zhuān)職原則，保證各安全層面的測評全面有效，能夠發(fā)現實(shí)際存在安全風(fēng)險，現場(chǎng)實(shí)施人員均需持有等級保護測評師證書(shū)。項目組人員必須熟練掌握信息安全相關(guān)標準與規范，具備豐富的信息安全測評工作經(jīng)驗，具有成熟的信息安全技術(shù)和項目管理能力，能夠應對可能的突發(fā)性安全事件應急工作。

4）供應商必須單獨配備安全測評工具，包含但不限于以下種類(lèi)工具：網(wǎng)絡(luò )漏洞掃描系統、web 漏洞掃描系統。供應商必須在技術(shù)方案內明確專(zhuān)項檢查所需要的所有技術(shù)檢測工具，至少包含以下內容：名稱(chēng)、型號、主要功能、數量等。

5）在測評過(guò)程中保證客觀(guān)性和公正性原則，測評人員應當沒(méi)有偏見(jiàn)，在最小主觀(guān)判斷情形下，按照測評雙方相互認可的測評方案開(kāi)展。

6）測評工作應該盡可能小地影響系統和網(wǎng)絡(luò )的正常運行，不能對業(yè)務(wù)的正常運行產(chǎn)生明顯的影響（包括系統性能明顯下降、網(wǎng)絡(luò )阻塞、服務(wù)中斷等），如無(wú)法避免，則應做出說(shuō)明。詳細描述在測評過(guò)程中如何通過(guò)技術(shù)手段控制和規避可能對公司業(yè)務(wù)系統造成的影響。對于項目實(shí)施過(guò)程中出現的異常情況如何處理，保證公司系統正常運行以及測評的可進(jìn)行性。

7）協(xié)助整改，針對差距測評結果，給公司提出合理、可行的整改方案和建議，并在整改完畢后給出系統定級報告。

8）提供詳盡、明確的技術(shù)培訓，同時(shí)提供本次乃至后續的培訓方案，方案應包含網(wǎng)絡(luò )安全相關(guān)課程內容以及詳細培訓體系流程。

9）本次等級保護測評項目不得轉包或者分包，所有駐場(chǎng)測評師必須持證上崗，未經(jīng)采購方同意，項目組成員不得更改。

5.項目實(shí)施方案要求

供應商需根據本項目服務(wù)內容編制詳細的項目實(shí)施方案，包括測評內容、測評指標以及測評方法的詳細方案；測評工作流程；測評工作的詳細實(shí)施方案；測評過(guò)程中的滲透測試服務(wù)方案；測評工具的詳細介紹；培訓方案；人員配置方案以及供應商認為需要提供的其它方案。

6.項目服務(wù)期限

供應商應當在合同簽訂后60個(gè)日歷日內完成采購文件規定的項目并交付公司使用。

7.項目驗收標準及要求

項目完成后，供應商須按照項目采購服務(wù)內容及要求，按國家、行業(yè)或企業(yè)等標準，提供相應的服務(wù)內容及交付成果，供應商完成全部項目?jì)热莶⒔?jīng)采購人驗收合格后，項目整體驗收合格。

8.付款條件

項目合同簽訂，成交供應商人員服務(wù)到位，完成測評并形成紙質(zhì)稿信息系統等級保護測評報告和滲透測試報告，采購人一次性支付全部項目款80%；成交供應商完成項目合同的所有工作，采購人于一個(gè)月內完成項目驗收，并支付剩余20%尾款。每次付款前成交供應商應向采購人開(kāi)具發(fā)票，采購人收到發(fā)票并確認無(wú)誤后10日內向成交供應商支付相應款項。

四、評標方法和定標原則

(1) 參加詢(xún)價(jià)采購活動(dòng)的供應商，應當按照詢(xún)價(jià)文件的規定一次報出不得更改的價(jià)格。

(2) 詢(xún)價(jià)小組應當從質(zhì)量和服務(wù)均能滿(mǎn)足采購文件實(shí)質(zhì)性響應要求的供應商中，根據報價(jià)最低的原則確定成交供應商。

五、響應文件提交

截止時(shí)間：2025年9月7日17點(diǎn)30分（北京時(shí)間）

提交郵箱地址：******

U盤(pán)郵寄地點(diǎn)：湖南省長(cháng)沙市芙蓉區遠大二路236號

1.響應文件的組成

(1) 響應單位法定代表人身份證掃描件；

(2) 響應單位代理人身份證掃描件；

(3) 授權委托書(shū)（格式見(jiàn)附件）掃描件；

(4) 在有效期內的企業(yè)營(yíng)業(yè)執照副本掃描件；

(5)《響應報價(jià)一覽表》（格式見(jiàn)附件）掃描件；

(6) 《參加本項目成員一覽表》（格式見(jiàn)附件）掃描件；

(7) 《承諾書(shū)》（格式見(jiàn)附件）掃描件。

2.文件的簽署和密封要求

（1）詢(xún)價(jià)響應文件均應采用打印或使用不能擦去的黑色或藍色墨水書(shū)寫(xiě)，由響應單位法定代表人或其授權代表在詢(xún)價(jià)文件要求處親自簽署或蓋章，然后掃描成PDF或圖片格式投遞。

（2）響應文件僅需提交電子件壹份（U盤(pán)拷貝后郵寄或電子郵件形式投遞），郵件標題上應注明“XX公司2025年中通陽(yáng)光保險商城三級等保測評服務(wù)項目詢(xún)價(jià)響應文件”；

（3）采購單位有權拒絕未按上述要求制作的詢(xún)價(jià)響應文件。

六、開(kāi)啟

時(shí)間：2025年9月8日9點(diǎn)30分（北京時(shí)間）

地點(diǎn)：湖南省長(cháng)沙市芙蓉區遠大二路236號

七、公告期限

自本公告發(fā)布之日起3個(gè)工作日。

八、合同模板（律師審核后的合同）

九、其他補充事宜

無(wú)

十、凡對本次采購提出詢(xún)問(wèn)，請按以下方式聯(lián)系。

1.采購人信息

名　稱(chēng)：******有限公司

地　址：湖南省長(cháng)沙市芙蓉區遠大二路236號

2.項目聯(lián)系方式

項目聯(lián)系人：曾先生

郵件地址：******

電　話(huà)：******

2025中通陽(yáng)光保險商城三級等保詢(xún)價(jià)附件.docx