根据网络安全工作需要及义乌市数管中心要求，义乌市农业标准地数字化应用建设项目需要开展网络安全等级保护测评及源代码审计，现就该工作公开询价，相关情况如下：

一、项目背景

2021年，全省推进数字化改革以来，义乌市农业农村局围绕农业标准地改革，谋划建设了农业标准地数字化应用。该应用经过两期建设，按照“143”整体架构，即建设农业标准地“一张图”数字底座，构建招商、监管、服务、绩效4大场景，融合治理端、运营端和服务端3端入口，以“上下贯通、综合集成、全域推进”的原则，加快农业标准地业务规范、生产监管服务及数据等标准体系建设。已上架浙里办、浙政钉，服务端已开通微信小程序。

二、资格要求

1.满足《中华人民共和国政府采购法》第二十二条规定；未被“信用中国”（www.creditchina.gov.cn)、中国政府采购网（www.ccgp.gov.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

2.具有网络安全等级测评与检测评估机构服务认证证书；

3.本项目不接受联合体投标。

三、报价文件要求

应包括下列内容（并不仅限于以下）并应按顺序装订成册：（复印件需加盖单位公章，提供的所有证书应在有效期内，逾期的无效）

（1）法定代表人授权书；

（2）关于资格的声明函；

（3）投标单位情况介绍；

（4）有效的营业执照副本、资质证明复印件；

（5）测评服务质量承诺书；

（6）拟投入本项目测评人员一览表（须附有关资质证书及在本单位缴纳社保证明）；

（7）报价一览表

（8）投标人认为需提供的其他资料。

四、项目服务依据标准及原则

（一）供应商应依据国家等级保护及源代码审计相关标准开展工作，依据标准（包括但不限于）如下国家及行业标准：

1.等级测评依据

GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》

GB/T 22240-2020  《信息安全技术 网络安全等级保护定级指南》

GB/T 28448-2019 《信息安全技术  网络安全等级保护测评要求》

《网络安全等级保护测评报告模板（2021版）》

2.源码审计

GB/T 39412-2020 《信息安全技术 代码安全审计规范》

YD/T 3447-2019 《联网软件源代码安全审计规范》

（二）在本次项目实施过程中，项目团队应遵循以下原则：

1.保密性原则

在体系优化工作开始前，与采购人签署保密协议，规定实施过程和实施结束后做好敏感信息的保密工作，如对数据加密存储、清除用户数据等。

2.最小影响原则

通过管理和技术两个层面将工作所带来的影响降至最小，避免由于占用采购人过多人力或资源而干扰其正常业务，避免实施过程对信息系统的正常运行产生不利的影响。

3.可操作性原则

通过详细定义每个阶段的任务和任务实践内容，明确定义参与人员的职责和每项工作开始前的必备条件和结束时的输出结果，从而规范实施的流程，保证实施过程的可操作性和可控性。

4.质量控制原则

通过项目管理的方法，从项目的组织、角色定义与培训、沟通与确认、进度控制、文档控制、汇报与验收等多个环节保证评估服务的总体质量。

5.风险规避原则

在体系优化工作开始前，充分考虑可能引入的多方面风险，告知用户可能存在的风险，并采取相应的控制措施加以规避。

6.符合性原则

体系优化工作应符合国家、行业、国际等相关的安全标准与规范。

7.整体性原则

体系优化的范围和内容应当系统性、全面，覆盖采购人安全所涉及的各个层面、业务条线、内部组织架构，力求建立全面、整体的安全防护体系。

五、项目服务内容：

（一）根据网络安全等级保护相关标准规范和主管部门要求，完成：

1.本次测评系统的定级备案等工作，包括编制定级相关材料、专家评审、公安机关备案、提供整改建议报告、协助取得等保备案证明文件；

2.本次项目测评内容包括（但不仅限于）：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，以及整体测评。

在测评分析信息系统整体安全防范的合理性时，应熟悉信息系统安全保护措施的具体实现方式和部署情况等，结合业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等，参照纵深防御的要求，识别信息系统的安全防范是否突出重点、层层深入，综合判定信息系统的整体安全防范是否恰当合理等。

（二）源代码测试内容

源代码安全检测主要对象包括并不限于对Windows和Linux系统环境下的以下语⾔进⾏审核：C、C++、OC、C#、Java、 PHP、JSP、ASPX、JavaScript、Python、Cobol、Go等进⾏全⾯测试。

源代码安全检测的主要内容包括但不限于：

◆OWASP WEB TOP 10漏洞

◆WEB应⽤程序的权限架构

◆WEB应⽤通信安全

◆数据库的配置规范

◆SQL语句的编写规范

◆WEB应⽤框架安全性源代码安全检测主要对象包括并不限于对Windows和Linux系统环境下的以下语⾔进⾏审核：C、C++、OC、C#、Java、 PHP、JSP、ASPX、JavaScript、Python、Cobol、Go等进⾏全⾯测试。

六、测评要求

1.投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2.投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

3.本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经采购人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

4.安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经采购人确认后由投标人提供并在测评中使用。

5.安全测评需要的运行环境（如场地、网络环境等）由采购人提供，投标人应详细描述需要的运行环境的具体要求。

6.本次项目实施人员不少于3人，其中骨干人员至少包含1名高级测评师，其他人员须具有初级以上测评资质（提供证书复印件）。本项目负责人必须具有5年以上的测评工作经验，并具有参与过大型复杂测评项目的实施经验，同时具有高级测评师证书、国家重要信息系统保护人员培训证书（CIIPT）、信息安全管理系统审计认证（DNV）、信息安全保障人员认证证书(CISAW)、渗透测试认证证书（NSCP)、商用密码应用安全性评估人员测评能力证书。（合同签订时提供证书复印件，中标供应商不能提供的做废标处理）。

七、项目验收

（一）工期要求：合同签订日期起3个月内完成服务。

（二）成果要求，包括且不仅仅包括以下成果：

1.等保测评。网络安全等级保护测评方案、《网络安全等级保护测评报告》、《网络安全等级整改建议书》、渗透测试报、应急响应报告（若有应急事件）。测评工作结束后，协助采购人完成系统的备案工作。

2. 代码审计。出具代码审计报告。

（三）中标单位应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。中标单位应提交验收方案，供采购人参考。采购人将依据本项目的要求，组织相关部门或单位的技术专家对中标单位提交的项目成果进行验收。

八、保密要求

1.中标单位必须和采购人签订保密协议和非侵害性协议，中标单位必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签订时一并提供给采购人。

2.中标单位具体测评工作和等级保护测评报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，中标单位不得带离该地点。

3.中标单位对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。

九、评标办法及报价要求

采用最低价中标方式评标。报价货币单位为人民币。采购预算为10万元。本项目设最高限价，最高限价为预算价。采取总价（包括所有费用）合同承包，按总价报价和定标。投标报价包括人员经费、测评费、管理费、利润、税金、保险等完成本项目的其它费用和政策性文件规定及合同包含的所有风险、责任等各项应有费用，如有漏项，视同已包含在其总项目中。

十、确定中标单位

在义乌市农业农村局政务公开专栏发布中标公告，公告期为3个工作日。

十一、签发中标通知书

向中标人发出《中标（成交）通知书》，并将中标结果通知所有未中标的投标方。与中标单位签订合同。

十二、投标文件递交地址及时间

响应文件的数量： 壹 份，密封装订。

地址：义乌市江东中路369号农业农村局606室

时间：2023年6月14日至6月21日14：00

十三、开标地址及时间

地址：义乌市江东中路369号农业农村局六楼会议室

时间：2023年6月21日14：00

十四、联系方式

联系人：骆先生    联系电话：0579-89059136

附件：1.法定代表人授权书

2.关于资格的声明函

3.测评服务质量承诺书

4.拟投入本项目测评人员名单表格式

5.报价一览表

附件1-5.docx