我公司作为贵州省高速公路路网运行及客服保障服务项目市场运营主体单位，根据业务需求，现需开展网络安全等级保护项目询价工作，欢迎具备相关服务能力的单位参与报价。报价具体要求如下：

一、报价资质要求

具有独立承担民事责任的能力：

提供有效的企业法人营业执照或合法有效的事业单位法人代表证书。

二、服务要求

1.服务内容：根据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》、《交通运输部网络安全管理办法》、《收费公路联网收费系统网络安全管理暂行办法》、《联网收费系统省域系统并网接入网络安全基本技术要求》、《贵州省交通运输厅网络安全管理办法（试行）》、《贵州省交通运输厅厅属单位网络安全工作考核评价规则（试行）》等法律法规、管理制度、技术规范要求，以及网络安全等级保护2.0标准规范等文件要求，落实贵州省高速公路联网收费系统网络安全等级保护各方面工作，为省技信中心提供规范的、专业的网络安全等级保护测评、备案、咨询等服务，切实推进和提升全省高速公路联网收费系统的网络安全等级保护工作水平，服务内容包含等级保护测评、整改督导、咨询服务等，在2024年12月底之前取得等保测评证书。（详细内容见附件）

2.服务期：六个月

3.项目地点：贵阳市

三、报送资料清单及其他要求

参与询价单位需首先确认是否符合上述“资质要求”后再参与报价。参与单位需提交以下资料清单：

• 营业执照或事业单位法人代表证书等证明文件扫描件，须经年检有效；

（二）报价函（格式自拟，报价包含人工费、税费等所有费用）。

上述材料均须加盖单位公章。

四、报价材料接收形式

请于2024年5月6日09:00前将上述材料的PDF扫描件报送至下列邮箱：359442540@qq.com，邮件标题格式：单位名称+项目名称。

五、此次报价仅作为开展限价编制的重要参考依据。

联 系 人：周先生  联系电话：18798011492  

联系地址：贵州省贵阳市观山湖区贵阳西收费站旁新大楼4楼

澳门新葡萄新京8883

                           2024年4月28日

附件：服务内容及工作要求

服务内容及工作要求

第一节 服务内容

根据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》、《交通运输部网络安全管理办法》、《收费公路联网收费系统网络安全管理暂行办法》、《联网收费系统省域系统并网接入网络安全基本技术要求》、《贵州省交通运输厅网络安全管理办法（试行）》、《贵州省交通运输厅厅属单位网络安全工作考核评价规则（试行）》等法律法规、管理制度、技术规范要求，以及网络安全等级保护2.0标准规范等文件要求，落实贵州省高速公路联网收费系统网络安全等级保护各方面工作，为省技信中心提供规范的、专业的网络安全等级保护测评、备案、咨询等服务，切实推进和提升全省高速公路联网收费系统的网络安全等级保护工作水平，具体服务内容如下：

一、等级保护测评

根据网络安全等级保护2.0测评标准，对省技信中心高速公路联网收费系统（含清分结算、密钥管理、费率计算、通行卡发行管理、票据管理、ETC发行管理、ETC 客服整合平台、MTC 和 ETC 车道系统监测平台、全国 ETC 联网、营改增、取消省界站跨省联网收费业务等子系统，下称省技信中心系统）按照测评准备、方案编制、现场测评和报告编制四个环节实施网络安全等级保护第三级测评工作，编制并提交规范的测评报告。并协助按照公安部门网络安全等级保护工作管理规范和要求，及时对省技信中心系统网络安全等保测评情况进行备案，并获取备案证明。

测评工作须严格按照以下国家及行业最新的网络安全等级保护标准规范等文件开展测评工作：

1.《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）

2.《信息安全等级保护管理办法》（公通字〔2007〕43号）

3.《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技〔2008〕2071号）

4.《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）

5.GB 17859-1999《计算机信息系统安全保护等级划分准则》

6. GB/T 22240-2020 《信息安全技术 网络安全等级保护定级指南》

7.GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

8.GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

9.GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》

10.GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》

11.GB/T 25058-2019《信息安全技术 网络安全等级保护实施指南》

12.GB/T 20983-2007《信息安全技术信息安全风险评估规范》

等保测评的现场实施过程由单元测试和整体测评两部分构成。单元测试是对应各安全控制点的测评，包括但不限于以下内容：

安全物理环境：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护；

安全通信网络：网络架构、通信传输、可信验证；

安全区域边界：边界防护、访问控制、入侵防范、恶意代码防范和垃圾邮件防范、安全审计、可信验证；

安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护；

安全管理中心：系统管理、审计管理、安全管理、集中管控；

安全制度管理：安全策略、管理制度、制定与发布、评审和修订；

安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查；

安全管理人员：人员录用、人员离岗、安全意识教育培训、外部人员访问管理；

安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、服务供应商选择、等级测评；

安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

整体测评是在单元测评的基础上，通过进一步分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。

测评工程师在进行各单元测评之前，需获得被测评方的授权，并签署安全保密协议，在现场测评过程中，需要对设备和系统进行一定验证测试工作，部分测试内容需要上机查看一些信息，可能会影响系统的正常运行。因此，在进行验证测试和工具测试时，应尽量避开业务高峰期，同时还应对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案。上机验证测试原则上应是测评人员提出需要查看或验证的内容，由测评委托单位的相关技术人员进行操作，测评人员根据操作结果进行记录。测评工作完成后，测评人员应交回测评过程中获取的所有特权，归还测评过程中借阅的相关资料文档，并严格清理测评过程中植入被测评系统中的相关代码/程序。

二、整改督导

根据《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例》、《交通运输部网络安全管理办法》、《收费公路联网收费系统网络安全管理暂行办法》、《收费公路联网收费系统网络安全信息通报工作规范（试行）》、《联网收费系统省域系统并网接入网络安全基本技术要求》、《贵州省交通运输厅网络安全管理办法（试行）》、《贵州省交通运输厅厅属单位网络安全工作考核评价规则（试行）》和《贵州省高速公路联网收费系统网络安全管理办法》等法律法规、管理制度，以及网络安全等级保护2.0标准规范等文件，结合省技信中心系统运行管理的实际情况，开展网络安全等级保护现状分析，查找网络安全风险和隐患，以及与国家、行业网络安全等级保护标准之间的差距，确定安全需求，为全省高速公路各级联网收费系统和ETC发行客服系统提供网络安全等级保护工作督导服务。

• 针对省技信中心系统网络安全等级保护测评发现的问题和风险漏洞，编制合理、有效、工作内容清楚的整改建议书，督导相关系统开发集成和运行维护单位落实整改工作。

（二）对省技信中心系统第三方网络安全保障服务工作质量进行评估，出具评估报告，督导第三方网络安全保障单位全面落实网络安全保障相关工作，切实提升网络安全保障服务工作质量。

（三）协助省技信中心督促全省各高速公路经营单位和ETC发行单位做好所辖系统网络安全等级保护工作，按省技信中心需求对全省收费系统进行不少于 5 个点（涵盖区域/路段分中心、收费站、车道、ETC门架、ETC 发行客服等相关系统）的现场调研和检查，查找差距和不足，明确各单位整改工作责任和内容。

三、咨询服务

协助省技信中心按照网络安全等级保护规范建立健全省技信中心系统和全省高速公路联网收费系统的网络安全管理制度和机制，以及相关应急预案和技术规范，针对省技信中心现有网络安全管理制度和应急预案等存在的差距和不足提出整改建议，落实安全管理措施，形成完善的网络安全防护体系和管理体系，有效保障省技信中心系统安全可控。

为省技信中心、全省各高速公路经营单位、ETC发行单位和相关参与方提供网络安全等级保护测评、备案和整改等咨询服务，促进提升全网系统网络安全等级保护工作水平。

第二节 工作要求

因服务单位落实本合同测评服务工作不到位，导致省技信中心受到上级或行业主管单位通报批评，省技信中心可对服务单位进行5千至1万元的罚款，罚款可从合同款中扣减。

因服务单位落实本合同测评服务工作不到位，导致发生网络安全事件，对省技信中心造成负面影响或较大损失，或省技信中心受到上级或行业主管单位通报批评，省技信中心可对服务单位进行1万至3万元的罚款，罚款可从合同款中扣减。