常州市应急地理信息平台等5个系统信息安全风险检查评估项

1、常州市政府采购中心常州市应急地理信息平台等5个系统信息安全风险检查评估项目竞争性谈判文件常采竞20160392-2号采购人：常州市经信委集中采购机构：常州市政府采购中心常州市政府采购中心22016年9月常州市政府采购中心3前附表项号内容规格1 1项目名称：常州市应急地理信息平台等5 5个系统信息安全风险检查评估项目项目编号： 常米竞20160392-220160392-2 号2 2谈判保证金数额：元（本项目不需要） 户名：常州市政府非税收入专户 开户银行：工商银行常州分行营业部账号：110502010900009989511050201090000998953 3米购人联系方式：戴先生，联系电

2、话：0519-856812790519-856812794 4响应文件份数：正本壹份、副本 贰份5 5响应文件提交接收时间：20162016年1010月1212日下午1 1： 3030响应文件提交截止时间：20162016年1010月1212日下午1 1： 3030响应文件提交地点：常州市政府米购中心9 9楼902902室联系人：朱先生，0519-868001870519-868001876 6谈判电议时间：20162016年1010月1212日下午1 1： 3030地点：常州市政府米购中心9 9楼902902会议室7 7评审办法：最低评标价法8 8报价次数：至少2 2次常州市政府采购中心4目

3、 录竞争性谈判公告. 2 2第一章总 贝U U . 4 4第二章响应文件. 6 6第三章响应文件密封和提交. 9 9第四章谈判报价. 1010第五章谈判、评审、评定成交 . 1111第六章采购内容及要求 . 1313第七章格式附表. 2424常州市政府采购中心2竞争性谈判采购公告常采竞20160392-220160392-2号常州市政府采购中心受常州市经信委委托，就常州市应急地理信息平台等 5 5个系统信息安全风险检查评估项目实行竞争性谈判方式采购，有关事项公告如 下。一、项目名称及编号项目名称：常州市应急地理信息平台等5 5个系统信息安全风险检查评估项目项目编号：常采竞20160392-22

4、0160392-2号二、项目简要说明：为进一步保障信息系统的安全，完善业务信息网络安全系统，控制由于系统 漏洞、病毒、黑客攻击等原因引起的重大网络危害，常州市经济和信息化委员会 拟对以下5 5个系统实施信息安全风险检查评估和安全服务项目，具体5 5个系统为：常州市应急地理信息平台、常州国土资源“一张图”系统、智慧旅游公共服务平 台、常州市河道湖泊管理处泵闸站信息化系统以及自来水控制系统。三、供应商资格条件：1 1、 供应商须符合政府采购法第二十二条规定；2 2、 供应商须具有国家信息安全信息测评中心或信息安全认证中心颁发的信 息安全服务资质证书、江苏省信息安全检查评估机构备案证书以及江苏省两化

5、融 合信息安全示范服务机构资质；3 3、 供应商须至少具有CISPCISP认证工程师和信息安全保障认证人员各1 1名；4 4、 20142014年以来须具有2020万元及以上行政机关事业单位信息安全服务项目 案例3 3个（含）以上（提供合同）；5 5、 投标人所有相关资质必须与投标主体保持完全一致，不接受投标主体以 外的母公司、子公司或者关联公司的资质，不接受联合体投标，中标后不允许分 包、转包。四、谈判文件领取的时间和地点：供应商自公告之日起自行下载谈判文件。五、响应文件提交及谈判信息：响应文件提交截止暨开标时间：20162016年1010月1212日下午1 1： 3030。响应文件提交暨开

6、标地点：常州市政府采购中心9 9楼902902室。六、联系方式：米购中心联系人：朱卫华联系电话：0519-868001870519-86800187传真电话：0519-868003520519-86800352联系地址：常州市龙锦路1259-21259-2号网 址: http:/ 12581258号常州市政府采购中心320162016常州市政府采购中心年9 9月3030日常州市政府采购中心4第一章 总则一、采购项目：常州市应急地理信息平台等 5 5个系统信息安全风险检查评估项目二、供应商的资格要求：见谈判公告三、谈判费用供应商应自行承担其编制、提交响应文件以及参加招竞争性谈判活动所产生 之一切

7、费用。无论竞争性谈判活动中的做法和结果如何 （包括采购单位决定取消 米购的），米购人和集中米购机构对上述费用不负任何责任。四、谈判文件1、 谈判文件的组成本文件及依法对本文件所作的书面更正内容均为谈判文件的组成部分。2、 谈判文件的更正供应商在收到谈判文件后，如有疑问需要澄清，应在答疑会议1 1日前以书面 形式向集中采购机构提出，如无疑问，视作供应商完全响应谈判文件的条款和要 求。集中采购机构作出的澄清或修改将公告通知所有谈判文件收受人。谈判文件各项条款最终解释权归常州市政府采购中心，供应商对集中采购机构提供的谈判文件所做出的推论、 解释和结论，集中采购机构概不负责。供应商 由于对谈判文件的任

8、何推论和误解以及集中采购机构对有关问题的口头解释所 造成的后果，均由供应商自负。集中采购机构有权对已发出的谈判文件进行必要的澄清或修改，并以更正公告形式通知所有供应商。集中采购机构可视具体情况，延长响应文件提交截止时间和谈判时间，并将 此变更以公告形式通知所有谈判文件收受人。公告通知以江苏省政府采购网和常州市政府采购网所发布的为准。五、供应商的义务1 1、供应商应当认真阅读谈判文件，完全明了采购项目之名称、用途、数量、 常州市政府采购中心5质量和交货日期，完全明了供应商所应具备的资格条件。2 2、供应商应当按照谈判文件的要求编制响应文件。响应文件应对谈判文件 提出的实质性要求和条件作出完全响应

9、。3 3、供应商应在响应文件提交截止时间前，将密圭寸的响应文件送达指定地点。4 4、供应商不得相互串通谈判报价，不得排挤其他供应商的公平竞争，损害 采购人或者其他供应商合法权益。 供应商不得与采购人串通，损害国家利益，公 众利益或者他人的合法权益。5 5、供应商在响应文件提交截止时间前，对所提交的响应文件可以补充、修 改或者撤回，并书面通知集中采购机构。补充、修改的内容为响应文件的组成部 分。常州市政府采购中心6第二章响应文件六、响应文件组成一式 叁 份，壹份正本, 贰 份副本。响应文件应当符合谈判文件的要求, 并应包括但不限于下列内容。1 1、供应商情况说明：供应商简介（含供应商规模、银行资

10、信、技术能力及装备水平等）、人员情况、典型项目介绍。2 2、供应商资格审查材料，证明供应商符合资格要求的证明材料包括但不限 于以下材料（所有项目若有缺失或无效将可能导致无效响应且不允许在响应文 件提交截止后补正。响应文件中提供复印件，并将原件（或公证件）同时携带 至谈判现场备查，否则视作无效响应文件）:1 1）响应函（附件一）；2 2）法定代表人资格证明书（附件二），授权委托书（附件三），供应商法定 代表人或者委托代理人的身份证；3 3） 有效的营业执照（事业单位的可提供组织机构代码证）；4 4）有效的税务登记证；5 5）供应商资格要求涉及的证明材料。3 3、谈判报价：谈判报价的具体要求见谈判

11、文件第四章。4 4、项目技术和实施方案，应当包括但不限于如下主题：1 1）项目技术方案2 2）项目组织实施方案和管理计划3 3）培训方案（含培训承诺中的所有培训，费用均由供应商负担 ）4 4）技术支持、售后服务方案5 5）优惠条款或承诺。6 6）其他。4 4、其他评审相关材料：1 1）供应商应提交的各类证明资料；常州市政府采购中心72 2）典型项目合同3 3）供应商参与本项目的技术人员一览表（提供姓名、学历、年龄、资质证 书情况、以往参加类似项目情况、在本项目中的责任等），明确负责本项目的项 目经理、技术负责人，提供相关人员的职称或资格证书复印件，提供项目经理、 技术负责人、本项目技术人员的劳

12、动合同和社保缴费记录证明；4 4）供应商相关荣誉证明资料；5 5）其他相关材料。七、供应商应认真检查谈判文件的内容是否齐全，如有遗漏，应及时向集中采购机构索取，否则责任自负。八、响应文件的制作应当符合以下要求1 1、供应商应准备响应文件的正本1 1套，副本_2_2_套，在每一份响应文件上 要明确注明“正本” 或“副本”字样。一旦正本和副本内容有差异，以正本为 准。2 2、响应文件正本必须打印。供应商应按照要求，在正本规定的地方加盖单 位公章或由供应商法定代表人（或其委托代理人）签字，副本可通过正本复印。3 3、全套响应文件应无修改和行间插字。如有修改，须在修改处加盖供应商 法定代表人或其委托代

13、理人的印鉴。4 4、谈判报价清晰准确，不存在影响其他供应商评分的严重错误。九、在响应文件提交截止时间之前的密封完好的响应文件可以接受。十、谈判保证金（本项目不需要）1 1、供应商必须按要求在响应文件提交截止时间前向集中采购机构交纳谈判 保证金元整（以到账为准，拒绝以个人名义缴纳），谈判保证金可采用银行 转账方式，缴纳后自行到常州市政府采购中心综合科领取收据。2 2、在谈判时，响应文件中必须提供谈判保证金收款收据复印件 （或执原件备 查）, ,对于未按要求提交谈判保证金的，其响应文件将作为无效响应文件处理， 不 予参加评审。常州市政府采购中心83 3、 未成交供应商的谈判保证金在将在中标通知书发

14、出后的一周内予以全额 退还（无息），请未成交供应商自行开具加盖本单位公章的财务收据到采购中心 综合科办理退款。4 4、 成交供应商的谈判保证金将转入履约保证金，待合同按约履行完毕后的 7 7个工作日内全额退还（无息），履约保证金另有约定的除外。5 5、 供应商出现下列情况，集中采购机构报经主管部门批准同意后有权取消 其中标资格，并没收其谈判保证金。1 1） 供应商在提交后又撤回其响应文件；2 2） 成交供应商未能在谈判文件规定的期限提交履约担保；3 3） 成交供应商无正当理由拒绝签订合同；4 4） 由于供应商的原因导致中标无效的。常州市政府采购中心9第三章响应文件密封和提交十、响应文件的密圭寸

15、与标志1 1、供应商应将响应文件密封。2 2、 所有封袋上都应写明供应商名称、采购项目名称，采购项目编号，年月 日。3 3、所有响应文件都必须在封袋骑缝处加盖供应商公章。4 4、 供应商违反上述规定的，其响应文件将被作为无效响应文件，不予拆封 和参加评审。十二、响应文件提交，截止时间和地点供应商须在竞争性谈判采购公告规定的响应文件提交截止时间之前在指定 地点将响应文件提交给集中采购机构。供应商在提交响应文件时须提供法定代表人或代理人身份证原件，未提供 的，集中采购机构不接受其响应文件，不予参加谈判和评审。十三、响应文件的修改和撤回在响应文件提交截止时间之前，供应商可以对所提交的响应文件进行修改

16、和 撤回，但所提交的修改或撤回通知必须按谈判文件的规定进行编制、密封、标志（在包封上标明“修改”或“撤回”字样，并注明修改或撤回的时间）和提交。 响应文件提交截止时间之后，供应商不得修改或撤回响应文件。常州市政府采购中心10第四章谈判报价十四、项目总价应包括谈判文件所确定的采购范围相应货物或者服务的供 货、包装、运输、保险、安装调试管理、劳务、培训、办公设备、设备、工具、 耗材、运送工具及耗材、利润、风险、税金及政策性文件规定等各项应有费用， 以及为完成该项货物或者服务项目所涉及到的一切相关费用。十五、谈判报价方式1 1、供应商应按照谈判文件中提供的格式完整、正确填写开标一览表。开标一览表中的

17、报价应与分项报价表的总价完全一致，如有不一致的，以开标一览表的报价为准。报价货币为人民币，评标时以人民币为准。2 2、供应商应按照谈判文件规定格式填报投分项报价表。3 3、培训服务费用报价：由各供应商根据企业自身情况自行决定是否单列。 如供应商单列培训费用，则自行将谈判文件所提供的“分项报价表”格式扩展。4 4、售后服务费用报价：同上。5 5、供应商需对每部分报价包含的服务内容进行明确说明。如有特别承诺， 也需明确说明。6 6本项目的最高限价为2121万元，项目总价高于最高限价的作为无效响应 处理。7 7、谈判报价次数：本项目采用至少二次报价，响应文件的谈判报价作为首 次报价，在谈判小组评审谈

18、判结束后，所有继续参加谈判的供应商在规定时间内 同时提交最终报价。8 8、其他要求常州市政府采购中心11第五章谈判、评审、评定成交十六、谈判会议时间和地点见前附表十七、评审、评定成交方法本项目采用最低评标价法，响应文件满足谈判文件全部实质性要求且最终报 价最低的供应商为成交供应商。十八、谈判评审会议谈判评审会议按谈判文件中规定的时间、地点举行，由集中米购机构主持， 在有关部门监督下进行。采购人、所有供应商和政府采购管理机关等有关监督部 门的代表参加会议。供应商应由法定代表人或者委托代理人携带身份证明原件准时参加谈判会 议，并签名报到以证明其出席。十九、由监督部门会同供应商代表检查响应文件的密封

19、情况，或由公证机关监督。检查完毕后，供应商退场，由谈判小组开始组织评审。二十、集中采购机构在响应文件提交截止时间前收到的所有合格响应文件， 谈判评审时都予以拆封，集中采购机构对谈判评审过程予以记录。二一、响应文件出现下列情况之一的，将作为无效响应文件处理，无效 响应文件不予参加评审。1 1、响应文件未按规评定成交志、密圭寸、盖章的；2 2、响应文件未加盖供应商公章的；3 3、授权委托书无供应商公章、法定代表人的印鉴（或签名），或委托书非原 件的；4 4、 供应商未通过报名的或者在名称上和法人地位上与报名情况发生实质性 的改变的;常州市政府采购中心125 5、供应商不符合谈判文件中规定资格要求的

20、，或者资格要求证明材料提供 不齐全的；6 6响应文件未按谈判文件规定的格式、内容和要求编制，响应文件字迹潦 草、模糊、难以辨认；7 7、 供应商在一份响应文件中，对同一采购项目报有两个或多个报价，且未 书面确定以哪个报价为准的；8 8、 供应商在谈判报价中存在严重错误，并影响对其他供应商的评价的；9 9、 响应文件材料所述情况和所附相关资料不实的；1010、供应商以他人的名义投标、串通投标、以行贿手段谋取中标或者以其他 弄虚作假方式投标的。1111、逾期送达的响应文件；1212、未按谈判文件要求缴纳谈判保证金的；1313、供应商的最终谈判报价超出采购预算或者最高限价的；1414、谈判文件明确规

21、定无效的其他情形， 或者其他被谈判小组认定无效的情 况；1515、不符合法律、法规和谈判文件规定的其他实质性要求的。二十二、评审、评定成交评审由集中采购机构依法组建的谈判小组负责。由谈判小组出具书面评审报 告并推荐成交供应商二十三、响应文件的澄清1 1、 为了有助于响应文件的审查、评价和比较，谈判小组可以书面方式要求 供应商对响应文件中含义不明确、对同类问题表述不一致或者明显文字和计算错 误的内容作必要的澄清、说明或者补正。供应商的澄清、说明或者补正应以书面 方式进行并不得超出响应文件的范围或者改变响应文件的实质性内容。2 2、 响应文件中的大写金额和小写金额不一致时的，以大写金额为准；单价乘

22、数量不等于总价，数量符合谈判文件要求，以单价计算金额为准；单价金额小 数点有明细错位的，应以总价为准，并修改单价；缺项漏项或者数量不符合谈判 文件要求的作为无效响应文件处理；对不同文字文本响应文件的解释发生异议常州市政府采购中心13的，以中文文本为准。3 3、所有澄清或说明必须以书面方式正式为之，由法定代表人或其代理人的 签名或盖章。4 4、供应商拒不按照谈判小组要求作出澄清、说明或者补正的，作为无效响 应处理。二十四、评审中作为终止竞争性谈判活动的情况1 1、因情况变化，不再符合规定的竞争性谈判采购方式适用情形的2 2、出现影响采购公正的违法、违规行为的；3 3、供应商的报价均超过了采购预算

23、，采购人不能支付的；4 4、因重大变故，采购任务取消的。二十六、授予合同，合同条款1 1、成交供应商应当在成交公告发出之日起的三十日内与采购人签订合同。2 2、成交供应商应按采购人要求的时间、地点派代表前来与采购人具体商谈 签订合同。谈判文件、成交供应商的响应文件及澄清文件等， 均为签订合同的依 据。3 3、采购人在授予合同时有权对“响应文件”中的货物及配置在合法范围内 进行调整。4 4、成交供应商因不可抗力导致无法按期签订合同的，应当在不可抗力发生 之日起5 5日内提出，并提供书面证据，采购人及成交供应商互不承担任何责任及 损失。如成交供应商无正当理由未按期签订合同的， 视为自动放弃中标资格

24、，并 承担违约责任。5 5、货款支付：(1) 合同签订后1010个工作日内支付合同总价6060%的预付款；(2) 其余40%40%合同款在项目验收合格后1010个工作日内支付。第六章采购内容及要求常州市应急地理信息平台等5个系统信息安全风险检查评估项目技术要求一、项目概况常州市政府采购中心14此次信息安全风险检查评估的5 5个系统为：常州市应急地理信息平台、常州 国土资源“一张图”系统、智慧旅游公共服务平台、常州市河道湖泊管理处泵闸站 信息化系统以及自来水控制系统。常州市应急地理信息平台是在智慧常州空间框架下，基于电子政务网云计算 环境，建立较为完善的应急专业（公共）地理信息数据体系，与市应急

25、联动成员 单位及相关部门之间形成应急地理信息资源共享交换机制的系统，实现应急联动成员单位在“应急一张图”上联合指挥，全面提升信息化条件下政府应急管理能力 和水平。常州市应急地理信息平台集地理信息数据共享、资源管理中心、信息服务、辅助决策与业务应用为一体，为政府治安防控决策、应急处置提供专业地理 信息服务。常州国土资源“一张图”系统是遥感影像、土地利用现状、基本农田、土地利用总体规划、矿产资源、基础地理，以及遥感监测等多源信息的集合，与国土资源管理规划计划、审批、利用、补充、开发、执法等行政管理系统叠加，共同构 建的统一综合监管平台。智慧旅游公共服务平台主要分为三个子系统，分别为常州旅游网，主要

26、是电脑端包 含常州所有旅游相关的信息，提供了旅游商品的在线预订，用户可以直接在线注册购买景点 门票，酒店预订，自由行套餐和乡村旅游产品，并且可以直接通过支付宝，银联、微信实现 在线支付、提供了便民服务系统、提供了旅游活动相关资讯，二是游常州微网站，是与微信相关接口开发的微信端的常州智慧旅游系统，此系统提供了产品预订、 公共服务、智慧影像、语音导游、龙城攻略、在线客服等功能；三是乐在常州APPAPP客户端（IOSIOS、anan droiddroid）主要提供产品预订、在线实时客服、公共服务、产品预订等功能。常州市河道湖泊管理处泵闸站信息化系统包括现场操作子系统、远程操作子系统、远程监控子系统、

27、远程数据分析与查询子系统、手机客户端查询子系统。 现场操作子系统以MCGSE7.6MCGSE7.6组态软件作为开发平台、以EVCEVC语言作为编辑 软件，触摸屏和PLCPLC之间通过交换机实现业务数据的交换和现场控制；远程操 作子系统以IFIXIFIX组态软件作为开发平台、以 VBVB语言作为编辑软件，将远程采 常州市政府采购中心15集的业务数据直接写入实时数据库（IFIXIFIX）和存储数据库（SQLSQL）；远程数据查 询与分析子系统基于GISGIS的客户端平台、以JavaJava语言作为编程软件，通过应用 服务器访问数据库既可以实时查询业务数据，又可以查询任意时段的业务数据； 视频监控子

28、系统是以科达视频监控客户端为软件平台，由于受带宽的限制，监控内容视频存储内容采用泵闸站前端存储的方式，工作人员通过公网或局域网查看各站点的视频图像，该监控系统既可以实现白天的监控， 又可以开启夜间模式实 现夜晚的监控，并可对各站点室内的球机摄像机云台进行远程控制，各站点的录像硬盘容量为3T3T,视频内容存储满后可自动进行覆盖，工作人员可对各个泵闸 站3030天内的视频录像进行回调；除了上述子系统外，该信息化工程还增设手机 客户查询端子系统，该子系统以 APPAPP软件作为开发平台，工作人员可通过手机 实时查询各泵闸站水情、雨情、工情和视频。自来水控制系统是工控系统，主要用于水厂生产的自动控制、

29、 监控及生产数 据的采集。为进一步保障信息系统的安全，完善业务信息网络安全系统，控制由于系统 漏洞、病毒、黑客攻击等原因引起的重大网络危害，常州市经济和信息化委员会 拟对以上5 5个系统实施信息安全风险检查评估和安全服务项目。二、完成目标根据常州市地理信息平台等5 5个系统现有的网络架构和正常运行的业务系统 可能存在的安全漏洞风险级别，针对不同漏洞选择针对性的安全解决方案，解决 现有的系统安全问题。完善业务信息网络安全系统，控制由于系统漏洞、病毒、 黑客攻击等原因引起的重大网络危害。从物理安全、网络安全、应用安全、系统 安全和管理安全五个层次分别加以实施。三、项目实施内容（一）风险评估对象及内

30、容评估对象：本次风险评估项目实施的对象为常州市应急地理信息平台、常州国土资源“一张图”系统、智慧旅游公共服务平台、常州市河道湖泊管理处泵闸站信息化系 常州市政府采购中心16统以及自来水控制系统，对各系统的组织架构、策略体系、人员安全、物理安全、 网络（含）安全设备、服务器系统及应用（含数据库、中间件）系统进行风险评 估。投标人必须在项目建设的各个阶段及时提交测评成果，主要包括（但不限于）以下内容：信息系统资产调查报告信息系统资产赋值报告信息系统现状分析报告信息系统风险评估报告信息安全整体解决方案信息安全体系建议报告系统渗透测试报告系统加固报告评估内容：1 1、资产边界分析（1 1 ）分析待评估

31、资产范围；（2 2 ）划分内部资产子系统；（3 3）对各子系统进行边界确认； （4 4）确疋最终资产子系统边界;2 2、 资产识别（1 1 ）根据资产表格进行资产审计；（2 2）分组对本地、非本地区域资产进行有效录入登记；（3 3 ）每类资产明细需要审计资产详细配置与当前状态；3 3、 威胁识别常州市政府采购中心17（1 1 ）从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机 房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别；（2 2） 从网络拓扑、地址分配、VLANVLAN划分、路由协议、准入控制、访问控 制等多个方面进行网络威胁识别；（3 3） 从系统来源、系统补丁、账号

32、安全、密码安全、审计安全、服务安全、 恶意代码防护等多方面进行系统威胁识别；（4 4 ）从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别；（5 5）从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个 方面进行管理威胁识别。4 4、 脆弱性识别（1 1） 从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、 机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别；（2 2） 从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、 恶意代码防护、日常运维等多方面进行系统脆弱性识别；（3 3） 从网络拓扑、

33、地址分配、VLANVLAN划分、路由协议、准入控制、访问控 制、日常运维等多个方面进行网络脆弱性识别；（4 4 ）从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、 密码安全、审计安全、日常运维等多个方面进行应用脆弱性；（5 5）从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性 识别；5 5、 已有安全措施登记（1 1 ）识别已有操作系统安全策略；常州市政府采购中心18（2 2 ）识别已有应用系统安全策略；（3 3 ）识别已有网络系统安全策略；（4 4 ）识别已有安防系统安全策略；（5 5 ）识别已有机房系统安全策略；6 6、 风险分析（1 1 ）根据收集的用户数据进行分

34、析，评估要素关系映射；（2 2） 根据评估要素关系进行风险值计算（3 3） 形成风险评估报告；（4 4） 针对风险评估报告的解决方案；7 7、 应用系统渗透性测试在相关部门的授权下，对常州市流动人口信息管理系统和门户网站进行渗 透测试，并提供相关渗透测试报告。8 8、系统加固服务依据评估结果，和用户方共同制定系统加固实施方案，依据方案实施加固， 并输出完整的系统加固实施记录。四、其他要求1 1、协助整改安全服务协助用户落实以下安全保护技术措施：（一） 系统重要部分的冗余或备份措施；（二） 系统安全加固措施。服务目标：全面给出相应的安全隐患和脆弱性报告，以及安全性整改建议。使用户对系 常州市政府

35、采购中心19统安全性状况和整体安全状况有全面具体的了解， 保护用户不遭受新的安全性威 胁带来的损失，保护安全与性能的平衡。达到以下目标：及时提供操作系统安全 漏洞信息，并协助作出相应处理或给予建议解决方案；及时发现系统配置漏洞， 并协助作出相应处理或给予建议解决方案； 及时通报应用软件安全漏洞，并协助 作出相应处理或给予建议解决方案；保证操作系统的安全等级与最新安全技术的 同步，保障应用系统的安全；及时通报数据备份硬、软件系统的动转情况，对存 在的安全隐患给出解决方案。2 2、 安全顾问服务总体规划咨询服务提出信息系统安全防护对策，协助用户方对信息系统进行安全体系建设， 制定安全方案，保证信息

36、系统的安全运行；对系统集成项目、应用软件集成项目、 安全集成项目等进行安全方案咨询服务，并负责安全性审查和实施过程的全面监 控。安全管理体系咨询服务依照用户方管理要求内容，协助建立、完善、监督、执行相关安全保护管 理制度（一）计算机机房安全管理制度；（二）安全管理责任人、信息审查员的任免和安全责任制度；（三）网络安全漏洞检测和系统升级管理制度；（四）操作权限管理制度；（五）用户登记制度；（六）信息发布审查、登记、保存、清除和备份制度，信息群发服务管理 制度。五、项目实施原则客观性和公正性原则常州市政府采购中心20测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明

37、确定义的测评方式和解释，实施测评活动。可重复性和可再现性原则依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评 结果的一致性有关，后者与同一测评者测评结果的一致性有关。连续性原则确保在高速变化的信息安全环境中，在有效的服务期间内，保证招标方风险评估结论的准确性和及时性，对于招标方单位新增设的信息资产和服务， 或新 建立的信息化项目，进行局部系统的重新评估。从经济上，降低了招标方单位的 成本，从信息安全性上，保证信息安全评估的动态稳定性。扩展性原则在风险评估过程结束后，倡导信息安全评估过程要保持扩展性，从扩展的属

38、性上进一步加强评估结束后被评估用户单位的安全管理有效性和可用性。保密原则在风险评估过程中，需严格遵循保密原则，招标方与投标方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害用户利益。互动原则在整个风险评估过程中，强调用户的互动参与，每个阶段都能够及时根据 用户的要求和实际情况对评估的内容、 方式做出相关调整，进而更好的进行风险 评估工作。常州市政府采购中心21最小影响原则风险评估工作应该尽可能小地影响系统和网络的正常运行，不能对业务的 正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等） ， 如无法避免，则应做出说明。规范性

39、原则信息安全风险评估服务的实施必须由专业的评估服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。质量保障原则在整个风险评估过程中，将特别重视项目质量管理。项目的实施将严格按 照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质 量。六、测评技术要求按照GB/TGB/T 20984-200720984-2007风险评估和等级保护要求，对信息系统进行安全 评估，明确信息系统存在的问题和不足，主要包括：1 1、 差距分析通过、调查问卷、人员访谈、文档查看、现场勘查、人工检查、记录分析、技术测试、渗透测试等方式进行安全技术和安全管理方面的评估，判断

40、安全技术 和安全管理的各个方面与等级保护相应等级基本要求之间的差距， 给出差距分析 结果，提出信息系统的安全保护需求。2、风险评传对信息系统重要资产进行风险评估，分析并确定不能接受的安全风险，然后确定额外安全措施并判断对超出等级保护基本要求部分实施额外安全措施的必要性，提出信息系统的额外安全保护需求。常州市政府采购中心223 3、 管理体系规划设计针对信息系统的安全需求，规划设计管理体系，包括组织体系和制度体系。4 4、 技术体系规划设计针对信息系统的安全需求和信息安全方针策略，规划设计技术体系，包括 技术防护体系、技术管控体系和技术恢复体系。5 5、 实施运作（1 1） 依据管理体系规划设计

41、和技术体系规划设计的成果，设计分期分批 的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进 关系等。（2 2） 在时间和经费上对安全建设项目进行总体考虑， 分到不同时期和阶段， 设计建设顺序，进行投资估算，形成安全建设项目计划。七、项目进度及实施要求本项目服务开始时间以合同签订日为准，已建系统和网站的信息安全风险评估一个月内完成，在建系统的信息安全风险评估和安全服务与软件项目开发周期同步进行。常州市政府采购中心23第七章格式附表附件一：响应函致：常州市政府采购中心我单位收到贵单位“常采竞20162016 号”谈判文件后，经详细研究，我们 决定参加该项目采购活动。为此，我方郑重声明以下诸点，并负法律责任。1 1、按谈判文件规定的各项要求，向采购人提供所需货物与服务。谈判报价 包括但不限于谈判文件及其准备（包括现场踏勘、技术核对等）、设备（包括备 品备件、专用工具）、技术资料、设计、制造、检验、包装、技术资料、发