中國鐵路昆明局集團 信息技術所2022統建系統網絡安全等級保護測評項目公告

（招標編號ZB2022-CB18）

一、項目概況

根據國鐵集團的要求，以及集團公司對請示的批示，需對昆明局集團公司列車調度指揮系統（TDCS/CTC）、中國列車運行控制系統（CTCS）、鐵路客票發售和預定系統等43個統建信息系統進行網絡安全等級保護測評。

項目編號：ZB2022-CB18

本項目資金已到位。

二、公示期

2022年10月12日至2022年10月17日

三、合格供應商主要資質條件

1、在中華人民共和國境內依法注冊，具有獨立法人和增值稅一般納稅人資格的企業，且能提供符合國家規定的稅率的增值稅專用發票，注冊資本不小于2000萬元；

2、企業及其服務項目不在中國國家鐵路集團 和中國鐵路昆明局集團 暫停或停止合作關系期限內；

3、滿足國家、中國國家鐵路集團 、行業服務的有關規定和資質要求；

4、服務商須具有公安部第三研究所頒發的“網絡安全等級測評與監測評估機構服務認證書”；

5、服務商須具備中國國家認證認可監督管理委員會頒發的“檢驗監測機構資質認定證書（CMA）”；

6、投標人須具備中國合格評定國家認可委員會檢驗機構認可證書（CNAS）；投標人須具備中國合格評定國家認可委員會實驗室認可證書（CNAS）；

7、投標人須具備工業互聯網產業聯盟頒發的“工業互聯網安全評估評測機構”資質；

8、服務商須具備中國網絡安全審查技術與認證中心認定的符合信息安全服務規范(CCRC-ISV-C01:2021)的二級或以上服務資質；

9、服務商擬投入本項目的技術人員須具備如下條件：參與本項目組的成員至少有5人，且必須具備信息安全等級保護測評師資質，項目經理必須取得中級等級保護測評師資質和注冊信息安全專業人員（CISP）資質證書；

10、服務商擁有等級測評師人數要求50人以上，并提供等級測評師證書；

11、投標人能夠保證被測系統的安全穩定運行，具備7×24小時應急響應能力；

12、服務商應熟悉被測系統的技術架構及業務流程；

13、投標人須提供等保測評技術人員6個月以上的社保繳存證明復印件以備核查；

14、本項目不接受聯合體及代理商投標。

四、服務內容和要求

（一）服務內容

1.按照國家有關規定和要求，根據《信息安全技術信息系統安全等級保護定級指南》（GB/T 22240-2008），服務提供商須深入調研被測單位信息系統實際情況，開展業務信息安全和系統服務安全等方面的分析，確定信息系統等級，協助被測單位編制《網絡安全等級保護定級報告》。

2.測評前期協助被測單位，調查系統測評中需要的基本信息，包括系統基礎信息、物理機房、網絡設備、安全設備、服務器或存儲設備、終端或現場設備、系統管理軟件或平臺、業務應用系統或平臺、關鍵數據類型、數據類別、安全相關人員、安全管理文檔、網絡拓撲等。

3.協助被測單位從安全管理和安全技術等方面，針對各個系統具體的安全需求，在等級保護前期工作基礎上，提供專業的安全技術解決方案，提供技術咨詢服務。

4.在安全等級測評過程中，每個工作階段、流程、內容及成果交付嚴格遵循《信息安全技術網絡安全等級保護測評要求》(GB/T 28448-2019)和《信息安全技術網絡安全等級保護測評過程指南》(GB/T 28449-2018)文件要求，從每個信息系統的安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理十個層面進行等級保護測評。并通過安全控制層面間、區域間和系統結構間的綜合分析進行整體測評和風險分析，出具《網絡安全等級保護測評報告》及《系統風險整改問題庫》。

5.通過專業掃描工具對網絡、系統應用、主機操作系統、數據庫系統等安全漏洞進行掃描，發現安全漏洞并給出整改建議。

6.對測評系統進行安全滲透測試。

7.根據現場測評結論，給被測單位出具安全技術和安全管理層面的有針對性的安全整改建議，指導被測單位進行安全整改加固，并開展復測，最終使安全管理和技術兩方面達到相應等級的保護要求。

8.提供《系統風險整改問題庫》（包括系統名稱、測評，漏掃，滲透測試中發現的高、中、低風險問題、系統等級、問題風險等級、問題整改建議、問題涉及的對象設備或IP等）。

（二）服務要求：

1.2022年12月30日前出具測評報告。

2.質量保證期：驗收通過后，在服務期間（1年內）對測評范圍內的系統提供免費技術支持，現場應急服務。

3.人員培訓：由服務方負責免費對被測方管理人員、應用人員進行信息安全技術現場培訓，使其具備檢測、應急處置能力。

4.服務方不得以任何形式向第三方透露被測方在測評過程中提供的系統網絡拓撲信息、系統配置信息、數據庫相關信息、系統運行的數據、管理制度及流程，以及經被測方聲明需要保密的其他信息。

5.應急服務速度：接到通知遠程立即響應，具備7×24小時應急響應能力。

6.服務商提供《竣工報告》，包含完整準確的受測評系統的《網絡安全等級保護測評報告》、《系統風險整改問題庫》等內容；

7.技術服務成果需滿足《信息安全技術網絡安全等級保護基本要求》(GB/T 22239-2019)。

8.提交的資料符合國家、中國國家鐵路集團 （原中國鐵路總公司、原鐵道部）網絡安全等級保護測評相關技術標準。

（三）其他要求

1．投標方應牢固樹立“安全第一”的指導思想，建立健全各項安全管理規章制度，制訂并落實各項安全防護措施。

2. 投標方全面負責其作業人員日常安全管理工作，依照《勞動法》、《安全生產法》以及國家、云南省等其他有關法律法規的規定，對作業人員身份進行相關審核，建立合法勞動關系，依法承擔相應的各項安全職責，保證其作業人員的合法權益。

3.作業過程中的勞動人身安全、現場安全管理工作由投標方負責。投標方人員在作業期間發生的傷害事故由投標方負全部責任，與招標方無關。

4.項目實施相關人員應簽訂保密協議與安全責任書，確保被測系統的數據安全，保證系統的安全穩定運行。

5.測評過程及結果對第三方保密。

6.投標人從2016年11月1日至今，至少有1個鐵路行業信息系統等級保護測評三級及以上系統和關鍵基礎設施的實施業績，并提供有效合同；

7.能夠提供與鐵路行業相關的對等保三級以上信息系統滲透測試未產生影響的證明并加蓋被測單位公章。

五、

六、其他

凡有意參加本項目潛在供應商請與昆明局集團 信息技術所聯系，在2022年10月17日18：00前書面報名參與。

                                             中國鐵路昆明局集團 信息技術所

                                2022年10月12日