项目概况

中国疾控中心辐射安全所全国放射卫生信息平台网络安全等级保护三级测评项目 采购项目的潜在供应商应在北京市西城区德外新康街2号主楼417房间获取采购文件，并于2021年05月27日 16点00分（北京时间）前提交响应文件。

一、项目基本情况

项目编号：ZJKFSS20210519

项目名称：中国疾控中心辐射安全所全国放射卫生信息平台网络安全等级保护三级测评项目

采购方式：询价

预算金额：12.0000000 万元（人民币）

最高限价（如有）：12.0000000 万元（人民币）

采购需求：

中国疾病预防控制中心辐射防护与核安全医学所（以下简称采购单位）就中国疾控中心辐射安全所全国放射卫生信息平台网络安全等级保护三级测评项目的相关货物和有关服务进行采购公告，现邀请合格的供应商参加报价。

一、项目名称：中国疾控中心辐射安全所全国放射卫生信息平台网络安全等级保护三级测评项目

项目编号：ZJKFSS20210519

二、采购需求:

项目预算：人民币12万元

（一）、测试对象及范围要求

中国疾病预防控制中心辐射防护与核安全医学所将于2021年5月进行全国放射卫生信息平台网络安全等级保护三级测评工作。即通过实施等级测评工作，以人工和自动化方式对项目建设的信息系统进行详细的调研和技术测试，发现并总结信息系统安全现状与等级保护要求的差距，整改后出具等级测评报告。本次测评对全国放射卫生信息平台进行三级等级保护测评，服务周期为一年。

（二）、需求分析

1、等保测评业务目标

通过本项目的开展，不断提升系统的安全性，降低系统网络安全事件发生的概率，减少信息系统中断风险，保证业务系统的高可用性，提升业务工作效率，不断完善业务和信息资源的管理。总的来说具有如下业务目标：

（1）、总体提升系统的安全防护能力；

（2）、保证系统的运行安全和业务稳定性；

（3）、深入贯彻落实国家、网络安全政策法规要求，从管理和技术上保证各项网络安全措施的落地执行。

（4）、通过项目的实施，为业务的开展和后续规划建设提供有力的技术支撑；

2、技术目标

本次网络安全等级保护项目需要达到以下技术目标：

（1）、保证信息安全技术体系，在安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理方面能够符合等级保护要求；

（2）、保证信息安全管理运维体系能够有效维护信息安全技术体系和信息安全管理体系的动态运行，逐步完善信息安全运维管理体系，推动信息安全保障体系的全面建设。

（3）、提升信息安全事件响应水平和应急处置能力，快速解决各类信息安全事件，保证信息系统的健康、稳定运行。

3、测试实施方案及要求

完成项目建设内容中的等级保护安全测评。具体要求为：

（1）、测试要求总则

A、应遵循“面向应用、保证质量、客观公正、诚信守诺”的原则，并依据相关国家标准、行业标准开展第三方测试工作。

B、本测试要求提供的是最低限度的要求，应保证提供符合本测试要求和有关标准的优质服务。

C、本测试要求所使用的标准和规范如与执行的标准不一致时，按较高标准执行。

（2）、相关标准

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)

《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令）

《信息安全等级保护管理办法》（公通字[2007]43号）

GB/T 36627-2018 网络安全等级保护测试评估技术指南

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》

《公安机关信息安全等级保护检查工作规范（试行）》

《网络安全等级保护条例（征求意见稿）》

（3）、测评服务内容

全国放射卫生信息平台网络安全等级保护三级测评工作，包括但不限于：

A、系统调研和梳理

对所有应备案的信息系统进行全面调查和梳理，每个系统应提交《信息系统基本情况调查表》

B、信息安全等级保护测评

按照《信息安全技术-网络安全等级保护测评要求》（GB/T 28448-2019）对备案的应用系统开展网络安全等级保护测评，测评交付物应包括《漏洞扫描报告》、《渗透测试报告》、《网络安全等级保护差距分析报告》、《网络安全等级保护整改建议》、《网络安全等级保护测评报告》

C、风险评估

按照《GB/T 20984-2007信息安全风险评估规范》等文件和标准要求，对全国放射卫生信息平台开展安全风险评估工作并出具风险评估报告。

D、系统安全整改

根据测评中发现的问题，提出整改意见与建议，并指导甲方进行整改以及根据整改情况组织开展相关复评检查工作。

E、网络安全制度建设

指导甲方完善网络安全管理制度体系建设，按照相关制度规范，指导相关管理制度编写、修改与发布。

F、网络安全渗透测试服务

协助甲方定期开展信息系统、官方网站渗透测试工作，每季度输出渗透测试报告，并指导进行整改。

G、公安机关相关信息备案与填报

指导甲方网络安全管理人员填写公安机关网络安全监督检查自查表，最终通过属地网安部门的审核。

（4）、测试实施要求

A、等级保护测评实施总体要求

应针对本项目提供完整、详细的信息系统安全等级测评方案和项目实施计划。计划包括工程进度表、人员配备，实施说明等。

应依据合同条款及相关标准分阶段向用户方提交测试文档，如系统安全风险报告、系统安全漏洞扫描报告、系统安全整改建议等

应按管理方要求提交信息系统安全等级保护测评报告，测评报告格式必须符合《信息安全技术 网络安全等级保护测评报告模版》。

应成立合理的组织机构，严格按照项目管理制度保证测试工作按质、按量、按时实施。

B、测评方案要求

针对项目总体情况和测评工作要求，指定整体测评工作方案，方案内容包括但不限于：

测评背景

测评标准

测评流程

采用的测评方法

参与各方的职责

C、测评计划要求

针对项目总体情况，指定整体测评工作计划。测评计划中需规定被测评的对象、明确测评需求、被测评项目的特性、应完成的测评任务、人员职责及风险等，确定要完成的测评活动，评估完成活动所需要的时间和资源，设计测评组织和岗位职权，进行活动安排和资源分配，安排跟踪和控制测评过程的活动。

D、测评人员要求

测评工作必须成立合理的组织机构，建立健全保障项目顺利实施的各项管理制度和质量保证体系；建立测试方、开发方、管理方专人接口、实时沟通的处理机制。明确各岗位的职责、任职资格及成果，确保工程顺利实施。

参与此项目的安全测评技术人员必须具有强烈的服务意识和高度的责任感，必须具有丰富的安全测评经验，能够与用户进行良好的沟通；具备知识产权意识，确保有关利益和机密不被泄漏。

（a）项目团队结构要求

项目团队人员配置科学合理、分工明确，至少应包括项目负责人、测评负责人、测评组长、测评工程师、配置管理员、质量保证员等角色。

项目团队需保持稳定，制定具体管理措施，以确保具体工作得到有效落实。

（b）项目团队人员要求

必须指定一名项目负责人（项目经理），全程负责本测试工作。项目负责人必须具有1年以上的安全测试工作经验。

应明确项目负责人等角色在实际测评工作中的岗位职责、任职资格及管理权限，以确保工程顺利实施。

根据项目业务性质，应分别配备经验丰富的项目负责人、核心技术人员承担本项目工作。

应承诺配置足够的人员组织实施项目，确保按项目进度完成建设工作；招标方提供办公场所后。

对于最终确定的项目组成员，核心成员除离职外，应保证在系统建设期间内不得变动。

技术服务人员技能不足情况下，应该在甲方提出人员替换要求后一周内安排具备足够技能的人员代替。

承诺未经甲方同意，不得以任何方式把服务转包给第三方。

（5）测试环境要求

甲方提供被测试的应用系统安全测试环境。如果是生产环境必须给出合理的使用计划，该计划不会对生产环境造成任何影响。

必须在文件中详细说明用于本次测试的测试内容、测试方法、测试工具及其使用计划。

应对测试过程中使用的各种软件的版权负责。如果因此引起版权纠纷，由乙方承担相应责任。

（6）测试工具要求

为保证测试的公正和准确，测试所采用的测试工具均需为第三方测试工具，需写出具体的工具介绍和使用计划。

（7）测评产出物

等级保护测评方案、安全整改建议、网络安全等级保护测评报告。

（8）保密要求

应与委托方签订保密协议。如果参与测试的人员在规定的保密期内发生失泄密行为，应承担全部责任。

必须在文件中对测试过程中引用或产生的所有资料做出明确的保密承诺，包括但不限于纸质文档、电子文档、数据、软件、程序等。保密责任最终以正式签署的保密协议为准。

在未经采购人书面同意的情况下，不得将本项目、与项目中相关的任何内容、资料（包括所涉及的书面和磁介质资料，下同）透露给任何人。否则，必须承担因此给采购人造成的一切经济损失，采购人保留追究法律责任的权力。必须在对外保密的前提下，对从事本项目的供应商应提供有关情况的说明，所提供的情况说明仅限于执行投标必不可少的范围。

（四）、本项目服务地点为招标人指定地点。

（五）、本项目服务期为一年。

（六）、资质要求及业绩等要求

1、资质要求

具有信息安全等级保护测评机构推荐证书、CNAS检验机构认可证书、ISO 27001信息安全管理体系、ISO20000认证证书。

2、项目团队要求

项目成员具有等保测评师证书、信息安全专业人员证书（CISP或CISP-A 或CISSP）。

叁、业绩要求

近三年至少有3个以上网络安全等级保护三级测评业绩。

（七）、产出成果数量要求

乙方负责按上述有关要求向甲方提交各类测评报告及方案，以上成果纸质版各2份，电子版各1份（光盘）。

（八）、结算要求

本项目结算价为中标价，不再另行追加费用。

三、合格的报价人

1）符合《中华人民共和国政府采购法》第二十二条规定；（2）供应商及其提供的货物和服务符合国家法律法规及强制性规范所规定的条件；（3）如供应商满足《政府采购促进中小企业发展暂行办法》（财库[2011]181号）规定条件的，必须提供《中小企业声明函》。（4）本项目不接受供应商以联合体的方式参加。

四、报价文件格式及相关要求

报价文件包括：1）法人代表授权委托书；2）盖有企业公章的营业执照、组织代码证、税务登记证复印件； 3）报价表，4）售后服务承诺；5）性能参数/技术指标要求偏离表6）投标供应商关联性承诺书7）报价人认为需要的其他资料。报价文件每页须加盖公章，文件格式见第九条。报价须按包对整包进行报价，且须为一次性报价。 报价文件需单独密封，且在封面注明项目名称、编号及所报包号。报价人必须以包为单位进行投标响应，评标和合同授予也以包为单位。 报价人要按报价表的格式填写价格，除此之外，采购人无需再支付任何费用。 由于报价表填报不完整、不清楚或存在其它任何失误，所导致的任何不利后果均应当由投标人自行承担。

五、报价文件的递交（密封报价）

报价人可将密封好的报价文件直接送至采购单位，或以邮寄或速递方式送达。密封报价文件须在密封处加盖公章，邮寄或快递的报价文件须在信封处注明“密封报价”字样。邮寄或速递方式的报价文件送达时间晚于报价截止时间，或以传真、电子邮件、电报、电话等方式递交的投标文件恕不接受。

六、报价时间及地点

接受报价时间2021年5月25日 09:00 至 2021年5月27日 16:00(双休日及法定节假日除外)逾期收到或不符合规定的报价文件将被拒绝。

1. 报价递交地点：北京市西城区德外新康街2号主楼417房间

地址：北京市西城区德外新康街2号主楼417房间

邮编：100088

联系人：王燕君 电话:13426025320

七、评审原则

根据符合采购需求、质量和服务相等且报价最低的原则确定成交供应商。

八、联系方式：

本项目联系人：王燕君

电话：13426025320

传真：010-62389748

九、报价文件格式

1、法定代表人的授权委托书

中国疾病预防控制中心辐射防护与核安全医学所：

本授权委托书声明：注册于（报价人地址）的（报价人名称）法定代表人（法定代表人姓名、职务）代表本公司授权在下面签字的（报价人代表职务、姓名）为本公司的合法代理人，就贵方组织的（项目名称）项目，采购编号：，以本公司名义参加报价。授权代表在报价过程中签署的一切文件及成交后签定的采购合同，以及处理与之有关的一切事务，我公司均予以承认。授权代表无转委托权。

本授权书于 年 月 日签字生效，特此声明。

法定代表人姓名： 签字：

报价人代表姓名： 签字： 职务：

法定代表人身份证号：（身份证复印件附后）

报价人代表身份证号：（身份证复印件附后）

报价人全称（公章）：

2. 盖有企业公章的营业执照、组织代码证、税务登记证复印件

3. 报价表

价格单位：人民币元

总计金额：

交货时间、地点：

报价有效期：

报价人全称（公章）：

日期：

联系人姓名：

联系方式：电话传真手机

邮编:

（请报价人分包按上述格式填写报价表）

4. 售后服务承诺

（由报价人自行填写）

5. 性能参数/技术指标要求偏离表

（由报价人自行填写）

6.投标供应商关联性承诺书

投标供应商关联性承诺书

致：(采购人)

我们（投标人名称）承诺，未有与我公司存在关联性的其他公司共同参与（项目名称）（招标编号）包号（品目号）的询价采购事宜。若违反此承诺，我们（投标人名称）将承担由此带来的一切法律后果。

法定代表人姓名： 签字：

报价人代表姓名： 签字： 职务：

日期：

投标人全称（公章）：

7. 报价人认为需要提供的其他资料。

（由报价人自行填写）

中国疾病预防控制中心辐射防护与核安全医学所

2021年5月25日

合同履行期限：90天

本项目(不接受 )联合体投标。

二、申请人的资格要求：

1.满足《中华人民共和国政府采购法》第二十二条规定；

2.落实政府采购政策需满足的资格要求：

《中国政府采购法》等