瀘州機場（集團）（略）
等保測評項目公開詢價公告
瀘州機場（集團）（略）等保測評項目在國內進行公開詢價，茲邀請符合要求的申請人參加?，F將有關內容告知如下：
一、采購條件
（一）項目名稱：（略）
（二）（略）：LZJC-GKXJ（2025）062401。
（三）資金來源（金額，來源）：總限價6.3萬元（含稅），該價格包含此項目所有費用，企業自有資金，財政性資金占比為0%。
（四）組織方式：（略）
二、項目概況與內容
（一）項目地點：（略）
（二）服務要求、采購范圍：
本項目為瀘州機場（集團）（略）等保測評項目，項目共1個包，（略）、OA系統等保測評，（略）安全運行，（略）絡安全事件，確保OA系統定級備案并完成等保2級測評。主要測評服務內容有：
1.安全技術測評：包括安全物理環境、（略）絡、（略）域邊界、安全計算環境、（略）五個方面的安全測評。
2.安全管理測評：安全管理機構、安全管理制度、安全管理人員、安全建設管理和安全運維管理五個方面的安全測評。
3.系統整體測評：從安全控制點間、區域間對單項測評結果進行分析和整體評價。
4.整改咨詢：（略）存在的主要問題提出整改建議方案。
5.系統測評：（略）完成整改或即將超過一個周期后，出具正式測評報告。
6.技術服務的方式：（略）
（三）人員要求：
項目負責人（1名）同時具有信息（或網絡）安全等級測評師（中級及以上）證書、（略）審計師證書（ISA）、注冊信息安全專業人員證書CISP；其余測評工程師（至少2名）同時具有信息（或網絡）安全等級測評師（中級及以上）證書；
（四）服務內容：
根據等級保護測評的工作要求，（略）、安全物理環境、（略）絡、（略）域邊界、安全計算環境、安全管理制度。
具體服務內容包括：
（1）協助業主單位：（略）
（2）差距測評，至少包括：
安全技術測評。包括安全物理環境、（略）絡、（略）域邊界、安全計算環境、（略）方面的安全測評。
安全管理測評。包括安全管理制度、安全管理機構、安全管理人員、（略）運維五個方面的安全測評。
形成問題匯總及整改意見報告。依據測評結果，對等級測評結果進行匯總統計（測評項符合情況及比例、單元測評結果符合情況比例以及整體測評結果）；（略）基本安全保護狀態的分析給出初步測評結論。根據測評結果制定《系統等級保護測評問題匯總及整改意見報告》，（略）中存在的主要問題以、整改意見。
（3）協助完成整改工作。依據整改方案，為安全整改的各項工作提供技術咨詢服務。
（4）等級測評，至少包括：
（略）從安全技術、安全管理等方面進行等級測評工作。
編制測評報告，制定并提交《網絡安全等級測評報告》，報告需提交公安機關有關部門備案，且能滿足合規性要求。
（五）服務內容指標：
二級通用指標：詳見附件5。
（六）完成項目所需提交的文檔清單
在本項目完成后，服務方須提供以下文檔資料：
《（略）安全問題匯總及整改建議》
《網絡安全等級保護等級測評報告》及過程資料
（七）技術標準和規范
1.《信息安全等級保護管理辦法》；
2.《（略）安全保護等級劃分準則》（GB（略））；
3.《（略）絡安全等級保護定級指南》（GB/T（略））；
4.《（略）絡安全等級保護基本要求》（GB/T（略））；
5.《（略）絡安全等級保護測評要求》（GB/T（略））；
6.《（略）絡安全等級保護測評過程指南》（GB/T（略））。
（八）安全要求
成交供應商在項目實施過程中，必須遵守以下技術原則：
1.保密原則：對測評的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位：（略）
2.標準性原則：測評方案的設計與實施應依據國家等級保護的相關標準進行。
3.規范性原則：供應商的工作中的過程和文檔，具有很好的規范性，可以便于項目的跟蹤和控制，測評出具的報告須符合公安部頒布的《（略）安全等級測評報告模板》。
4.可控性原則：等保測評服務的進度要按照招標文件的要求，保證采購方對于測評工作的可控性。
5.整體性原則：等保測評服務的范圍和內容應當整體全面，包括國家等級保護相關要求測評要求涉及的各個層面。
6.安全性原則：（略）絡的正常運行；（略）的正常運行、業務的正常開展產生任何影響。
7.測評機構資質及人員要求：
（略）檢測評估相關工作人員無違法記錄。
工作人員僅限于中華人民共和國境內的中國公民，且無犯罪記錄。
測評期間需遵守被測單位：（略）
（九）實施時間：自合同簽訂之日起3個月內完成全部等保測評工作。
（十）服務周期：自合同簽訂起至最終正式、合格的專業測評報告出具為止。
（十一）結算方式：（略）
三、供應商資格要求
（一）資質條件
1.具有獨立承擔民事責任能力；
2.具有良好的商業信譽和健全的財務會計制度；
3.具有履行合同所必需的設備和專業技術能力；
4.具有依法繳納稅收和社會保障資金的良好記錄；
5.參加本次采購活動前三年內，在經營活動中沒有重大違法違規記錄；
6.具有《網絡安全服務認證證書等級保護測評服務認證》；
7.具有數據安全服務能力評定資格證書；
8.具備法律和行政法規規定的其他條件；
9.項目負責人（1名）須具有信息（或網絡）安全等級測評師（中級及以上）證書、（略）審計師證書（ISA）、注冊信息安全專業人員證書CISP；其余測評工程師（至少2名）同時具有信息（或網絡）安全等級測評師（中級及以上）證書。
（二）聯合體采購要求
本次采購不接受聯合體投標。
（三）關聯方投標要求
單位：（略）
四、報名
（一）報名時間：2025年7月2日9:00至2025年7月4日17:00。
（二）報名方式：（略）
（三）報名文件組成：
1.公司營業執照副本復印件；
2.聯系人：（略）
以上文件均需加蓋公章。
五、報價申請文件遞交
（一）申請文件遞交截止時間：2025年7月8日15:30。
（二）申請文件遞交地點：（略）
（三）逾期送達拒收提醒：逾期送達到指定郵箱：（略）
（四）報價文件組成
1.《企業法人營業執照》（副本）復印件；
2.法人代表或被授權人身份證復印件；
3.聯系人：（略）
4.報價函（詳見附件2）；
5.授權委托書（詳見附件3）；
6.承諾函（詳見附件4）；
7.提供《網絡安全服務認證證書等級保護測評服務認證》；
8.提供數據安全服務能力評定資格證書；
9.提供項目負責人（1名）信息（或網絡）安全等級測評師（中級及以上）證書、（略）審計師證書（ISA）、注冊信息安全專業人員證書CISP；其余測評工程師（至少2名）提供信息（或網絡）安全等級測評師（中級及以上）證書。
以上文件均需加蓋公章，用信封密封后張貼封條并加蓋騎縫章，信封正面應注明“瀘州機場（集團）（略）等保測評項目”報價文件及報價單位：（略）
（五）詢價地點：（略）
（略）。
（六）候選人確定方式：（略）
項目按照不含稅價進行比價，按照總價由低到高確認中標候選人。若報價存在瑕疵，則認定報價無效。
六、發布公告媒介
（一）本次公開詢價公告將在瀘州機場（集團）（略）官網（https://（略））、（略）（https://（略））（略）（四川省-（略））（https://（略））上以公告形式發布。
（二）本次公開詢價結果公告將在瀘州機場（集團）（略）官網（https://luzhouairport.com/）（略）（四川省-（略））（https://（略））以公告形式發布。
七、聯系方式：（略）
（一）采購人：（略）
（二）地址：（略）
（三）聯系人：（略）
（四）電話：（略）
（五）電子郵箱：（略）
附件：1.總限價明細表
2.報價確認函
3.法定代表人授權委托書
4.承諾函
瀘州機場（集團）（略）
2025年7月1日
附件1
總限價明細表
（略）
（略）名稱：（略）
服務內容
級別
數量
單位：（略）
單位：（略）
限價含稅小計（元）
1
OA系統
等級保護測評（詳細要求見公告）
二級
1
項
31500.00
31500.00
2
（略）
等級保護測評（詳細要求見公告）
二級
1
項
31500.00
31500.00
限價含稅合計（元）
￥63000.00
以上價格包含本次等保測評服務的全部費用。須提供增值稅專用發票。
附件2
報價確認函
瀘州機場（集團）（略）：
我方按照公告所列要求，自愿參加貴司“瀘州機場（集團）（略）等保測評項目”的公開詢價，一旦我方中選，將嚴格履行合同規定的責任和義務。
我司關于此項目的報價如下：
（略）
（略）名稱：（略）
服務內容
級別
數量
單位：（略）
含稅單價（元）
含稅小計（元）
1
OA系統
等級保護測評（詳細要求見公告）
二級
1
個
2
（略）
等級保護測評（詳細要求見公告）
二級
1
個
含稅合計（元）
稅率（%）
以上價格包含本次等保測評服務的全部費用。須提供增值稅專用發票。
參選單位：（略）
年月日
附件3
法定代表人授權書
瀘州機場（集團）（略）：
_________________（公司名稱：（略）
特此授權。
法定代表人/單位：（略）
授權代表（被授權人）簽字：
（單位：（略）
年月日
附件4
承諾函
瀘州機場（集團）（略）：
本單位：（略）
完全理解并接受本項目的全部程序、辦法及時間安排，并在此不可撤銷地放棄提出任何異議及索賠的權利。
我方承諾所提交一切文件的真實性與準確性。并承諾參加本次采購活動前三年內，未涉及任何形式的行政處罰、刑事責任、經濟糾紛或其他違法違規行為。如經審查發現我方所提交資料的真實性和準確性與事實不符，我方無條件接受貴方對此所做出的任何處理，也不要求貴方對此做出任何解釋。
單位：（略）
（加蓋公章）
年月日
附件5
二級通用指標：
分類
子類
基本要求
安全物理環境
物理位置選擇
a)機房場地應選擇在具有防震、防風和防雨等能力的建筑內；
b)機房場地應避免設在建筑物的頂層或地下室，否則應加強防水和防潮措施。
物理訪問控制
（略），控制、鑒別和記錄進入的人員。
防盜竊和防破壞
a)應將設備或主要部件進行固定，并設置明顯的不易除去的標識；
b)應將通信線纜鋪設在隱蔽安全處。
防雷擊
應將各類機柜、（略）安全接地。
防火
a)（略），能夠自動檢測火情、自動報警，并自動滅火；
b)機房及相關的工作房間和輔助房應采用具有耐火等級的建筑材料。
防水和防潮
a)應采取措施防止雨水通過機房窗戶、屋頂和墻壁滲透；
b)應采取措施防止機房內水蒸氣結露和地下積水的轉移與滲透。
防靜電
應采用防靜電地板或地面并采用必要的接地防靜電措施。
溫濕度控制
應設置溫濕度自動調節設施，使機房溫濕度的變化在設備運行所允許的范圍之內。
電力供應
a)（略）上配置穩壓器和過電壓防護設備；
b)應提供短期的備用電力供應，至少滿足設備在斷電情況下的正常運行要求。
電磁防護
電源線和通信線纜應隔離鋪設，避免互相干擾。
（略）絡
（略）絡架構
a)應劃分不同的（略）域，并按照方便管理和控制的原則為各（略）域分配地址：（略）
通信傳輸
應采用校驗技術保證通信過程中數據的完整性。
可信驗證
（略）引導程序、系統程序、重要配置參數和通信應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，（略）。
（略）域邊界
邊界防護
應保證跨越邊界的訪問和數據流通過邊界設備提供的受控接口進行通信。
訪問控制
a)（略）絡邊（略）域之間根據訪問控制策略設置訪問控制規則，默認情況下除允許通信外受控接口拒絕所有通信；b)應刪除多余或無效的訪問控制規則，優化訪問控制列表，并保證訪問控制規則數量最小化；c)應對源地址：（略）
入侵防范
（略）絡攻擊行為。
惡意代碼防范
（略）絡節點處對惡意代碼進行檢測和清除，并維護惡意代碼防護機制的升級和更新。
安全審計
a)（略）絡邊界、（略）絡節點進行安全審計，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。
可信驗證
（略）引導程序、系統程序、重要配置參數和邊界防護應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，（略）。
安全計算環境
身份鑒別
a)應對登錄的用戶進行身份標識和鑒別，身份標識具有唯一性，身份鑒別信息具有復雜度要求并定期更換；b)應具有登錄失敗處理功能，應配置并啟用結束會話、限制非法登錄次數和當登錄連接超時自動退出等相關措施；c)當進行遠程管理時，（略）絡傳輸過程中被竊聽。
訪問控制
a)應對登錄的用戶分配賬戶和權限；b)應重命名或刪除默認賬戶，修改默認賬戶的默認口令；c)應及時刪除或停用多余的、過期的賬戶，避免共享賬戶的存在；
d)應授予管理用戶所需的最小權限，實現管理用戶的權限分離。
安全審計
a)應啟用安全審計功能，審計覆蓋到每個用戶，對重要的用戶行為和重要安全事件進行審計；b)審計記錄應包括事件的日期和時間、用戶、事件類型、事件是否成功及其他與審計相關的信息；c)應對審計記錄進行保護，定期備份，避免受到未預期的刪除、修改或覆蓋等。
入侵防范
a)應遵循最小安裝的原則，僅安裝需要的組件和應用程序;b)（略）服務、默認共享和高危端口；c)應通過設定終端接入方式：（略）
惡意代碼防范
應安裝防惡意代碼軟件或配置具有相應功能的軟件，并定期進行升級和更新防惡意代碼庫。
可信驗證
（略）引導程序、系統程序、重要配置參數和應用程序等進行可信驗證，并在檢測到其可信性受到破壞后進行報警，（略）。
數據完整性
應采用校驗技術保證重要數據在傳輸過程中的完整性。
數據備份恢復
a)應提供重要數據的本地數據備份與恢復功能；b)應提供異地數據備份功能，（略）絡將重要數據定時批量傳送至備用場地。
剩余信息保護
應保證鑒別信息所在的存儲空間被釋放或重新分配前得到完全清除。
個人信息保護
a)應僅采集和保存業務必需的用戶個人信息；b)應禁止未授權訪問和非法使用用戶個人信息。
（略）
（略）管理
a)（略）管理員進行身份鑒別，（略）管理操作，并對這些操作進行審計；b)（略）的資源和運行進行配置、控制和管理，包括用戶身份、系統資源配置、系統加載和啟動、系統運行的異常處理、數據和設備的備份與恢復等。
審計管理
a)應對審計管理員進行身份鑒別，只允許其通過特定的命令或操作界面進行安全審計操作，并對這些操作進行審計；b)應通過審計管理員對審計記錄進行分析，并根據分析結果進行處理，包括根據安全審計策略對審計記錄進行存儲、管理和查詢等。
安全管理制度
安全策略
（略）絡安全工作的總體方針和安全策略，闡明機構安全工作的總體目標、范圍、原則和安全框架等。
管理制度
a)應對安全管理活動中的主要管理內容建立安全管理制度；b)應對管理人員或操作人員執行的日常管理操作建立操作規程。
制定和發布
a)應指定或授權專門的部門或人員負責安全管理制度的制定；b)安全管理制度應通過正式、有效的方式：（略）
評審和修訂
應定期對安全管理制度的合理性和適用性進行論證和審定，對存在不足或需要改進的安全管理制度進行修訂。
安全管理機構
崗位設置
a)（略）絡安全管理工作的職能部門，設立安全主管、安全管理各個方面的負責人崗位，并定義各負責人的職責；b)（略）管理員、審計管理員和安全管理員等崗位，并定義部門及各個工作崗位的職責。
人員配備
（略）管理員、審計管理員和安全管理員等。
授權和審批
a)應根據各個部門和崗位的職責明確授權審批事項、審批部門和批準人等；b)（略）變更、重要操作、（略）接入等事項執行審批過程。
溝通和合作
a)應加強各類管理人員、（略）絡安全管理部門之間的合作與溝通，定期召開協調會議，（略）絡安全問題；b)（略）絡安全職能部門、各類供應商、業界專家及安全組織的合作與溝通；c)應建立外聯單位：（略）
審核和檢查
應定期進行常規安全檢查，（略）日常運行、系統漏洞和數據備份等情況。
安全管理人員
人員錄用
a)應指定或授權專門的部門或人員負責人員錄用；b)應對被錄用人員的身份、安全背景、專業資格或資質等進行審查。
人員離崗
應及時終止離崗人員的所有訪問權限，取回各種身份證件、鑰匙、徽章等以及機構提供的軟硬件設備。
安全意識教育和培訓
應對各類人員進行安全意識教育和崗位技能培訓，并告知相關的安全責任和懲戒措施。
外部人員訪問管理
a)應在外部人員物理訪問（略）域前先提出書面申請，批準后由專人全程陪同，并登記備案；b)（略）前先提出書面申請，批準后由專人開設賬戶、分配權限，并登記備案；
c)外部人員離場后應及時清除其所有的訪問權限。
安全建設管理
定級和備案
a)應以書面的形式說明保護對象的安全保護等級及確定等級的方法和理由；b)應組織相關部門和有關安全技術專家對定級結果的合理性和正確性進行論證和審定；c)應保證定級結果經過相關部門的批準；d)應將備案材料報主管部門和相應公安機關備案。
安全方案設計
a)應根據安全保護等級選擇基本安全措施，依據風險分析的結果補充和調整安全措施；b)應根據保護對象的安全保護等級進行安全方案設計；c)應組織相關部門和有關安全專家對安全方案的合理性和正確性進行論證和審定，經過批準后才能正式實施。
產品采購和使用
a)（略）絡安全產品采購和使用符合國家的有關規定；b)應確保密碼產品與服務的采購和使用符合國家密碼管理主管部門的要求。
自行軟件開發
a)應將開發環境與實際運行環境物理分開，測試數據和測試結果受到控制；b)應在軟件開發過程中對安全性進行測試，在軟件安裝前對可能存在的惡意代碼進行檢測。
外包軟件開發
a)應在軟件交付前檢測其中可能存在的惡意代碼；b)應保證開發單位：（略）
工程實施
a)應指定或授權專門的部門或人員負責工程實施過程的管理；b)應制定安全工程實施方案控制工程實施過程。
測試驗收
a)應制訂測試驗收方案，并依據測試驗收方案實施測試驗收，形成測試驗收報告；b)應進行上線前的安全性測試，并出具安全測試報告。
（略）交付
a)應制定交付清單，并根據交付清單對所交接的設備、軟件和文檔等進行清點；b)應對負責運行維護的技術人員進行相應的技能培訓；c)應提供建設過程文檔和運行維護文檔。
等級測評
a)應定期進行等級測評，發現不符合相應等級保護標準要求的及時整改；b)應在發生重大變更或級別發生變化時進行等級測評；c)應確保測評機構的選擇符合國家有關規定。
服務供應商選擇
a)應確保服務供應商的選擇符合國家的有關規定；b)應與選定的服務供應商簽訂相關協議，（略）絡安全相關義務。
安全運維管理
環境管理
a)應指定專門的部門或人員負責機房安全，對機房出入進行管理，定期對機房供配電、空調、溫濕度控制、消防等設施進行維護管理；b)應對機房的安全管理做出規定，包括物理訪問、物品進出和環境安全等；c)應不在（略）域接待來訪人員，不隨意放置含有敏感信息的紙檔文件和移動介質等。
資產管理
應編制并保存與保護對象相關的資產清單，包括資產責任部門、重要程度和所處位置等內容。
介質管理
a)應將介質存放在安全的環境中，對各類介質進行控制和保護，實行存儲環境專人管理，并根據存檔介質的目錄清單定期盤點；b)應對介質在物理傳輸過程中的人員選擇、打包、交付等情況進行控制，并對介質的歸檔和查詢等進行登記記錄。
設備維護管理
a)應對各種設備（包括備份和冗余設備）、線路等指定專門的部門或人員定期進行維護管理；b)應對配套設施、軟硬件維護管理做出規定，包括明確維護人員的責任、維修和服務的審批、維修過程的監督控制等。
漏洞和風險管理
應采取必要的措施識別安全漏洞和隱患，對發現的安全漏洞和隱患及時進行修補或評估可能的影響后進行修補。
（略）安全管理
a)（略）的運維管理，明確各個角色的責任和權限；b)應指定專門的部門或人員進行賬戶管理，對申請賬戶、建立賬戶、刪除賬戶等進行控制；c)（略）安全管理制度，對安全策略、賬戶管理、配置管理、日志管理、日常操作、升級與打補丁、口令更新周期等方面做出規定；d)應制定重要設備的配置和操作手冊，依據手冊對設備進行安全配置和優化配置等；e)應詳細記錄運維操作日志，包括日常巡檢工作、運行維護記錄、參數的設置和修改等內容。
惡意代碼防范管理
a)應提高所有用戶的防惡意代碼意識，（略）前進行惡意代碼檢查等；b)應對惡意代碼防范要求做出規定，包括防惡意代碼軟件的授權使用、惡意代碼庫升級、惡意代碼的定期查殺等；c)應定期檢查惡意代碼庫的升級情況，對截獲的惡意代碼進行及時分析處理。
配置管理
應記錄和保存基本配置信息，（略）絡拓撲結構、各個設備安裝的軟件組件、軟件組件的版本和補丁信息、各個設備或軟件組件的配置參數等。
密碼管理
a)應遵循密碼相關國家標準和行業標準；b)應使用國家密碼管理主管部門認證核準的密碼技術和產品。
變更管理
應明確變更需求，變更前根據變更需求制定變更方案，變更方案經過評審、審批后方可實施。
備份與恢復管理
a)應識別需要定期備份的重要業務信息、（略）等；b)應規定備份信息的備份方式：（略）
安全事件處置
a)應及時向安全管理部門報告所發現的安全弱點和可疑事件；b)應制定安全事件報告和處置管理制度，明確不同安全事件的報告、處置和響應流程，規定安全事件的現場處理、事件報告和后期恢復的管理職責等；c)應在安全事件報告和響應處理過程中，分析和鑒定事件產生的原因，收集證據，記錄處理過程，總結經驗教訓。
應急預案管理
a)應制定重要事件的應急預案，包括應急處理流程、系統恢復流程等內容；b)（略）相關的人員進行應急預案培訓，并進行應急預案的演練。
外包運維管理
a)應確保外包運維服務商的選擇符合國家的有關規定；
b)應與選定的外包運維服務商簽訂相關的協議，明確約定外包運維的范圍、工作內容。