福州市市域社会治理现代化综合指挥平台系统测试与安全测评项目

编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福州市“智慧福州”管理服务中心

乙方：厦门信网安检测技术有限公司

 

根据招标编号为[350100]FJSXZB[CS]2022001的福州市市域社会治理现代化综合指挥平台系统测试与安全测评项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□（若有联合协议或分包意向协议）无。

2、合同标的

3、合同总金额

3.1合同总金额为人民币大写：壹拾万零贰仟元整（￥102000.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 (60) 天内完成磋商文件规定的所有工作内容；

4.2交付地点：福建省福州市仓山区南江滨西大道199号福州规划馆；

4.3交付条件： 完成各项要求，验收合格 。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

本合同包为安全测评服务，乙方将按相关要求，出具安全测评报告。 5.1. 安全服务方案 5.1.1. 等保咨询服务 5.1.1.1. 等保资产分析服务 根据等级保护范围内的资产组成，对服务范围内各个测评对象整理的网络结构拓扑以及相关联的 资产，基于等级保护综合管理系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环 境、安全管理中心以及安全管理制度进行调研和梳理，编制《信息系统等级保护基本情况调研表》，并通过系统实现资产管理，包含网络拓扑、机房管理、设备管理、应用管理、数据管理等。 5.1.1.2. 等保风险分析服务 根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理 中心的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析、等级保护综合管理系统等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全 风险评估分析，编制《等级保护安全评估与整改建议报告》与《等级保护安全加固建议报告》。 5.1.1.3. 等保差距评估服务 在安全评估和信息系统定级的基础上，根《GB/T22239-2019信息安全技术网络安全等级保护基本要求》将测评对象对应等级的等级保护的各项基本要求与信息安全现状进行比较分析，并通过等级保护综合管 理系统提供展示本单位的指标自评的总体情况、10大层面指标符合情况、自评得分变化趋势。差距评估从管 理和技术两个层面找出存在的问题并进行差距分析，包含以下内容： 安全通用要求差距 (1) 技术层面的差距评估（三级）内容： 安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静 电、温湿度控制、电力供应、电磁防护。 安全通信网络：网络架构、通信传输、可信验证。 安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数 据保密性、数据备份恢复、剩余信息保护、个人信息保护。 安全管理中心：系统管理、审计管理、安全管理、集中管控。 (2) 管理层面的差距评估（三级）内容： 安全管理制度：安全策略、管理制度、制定与发布、评审与修订。 安全管理机构：岗位设置、人员配备、授权和审批、沟通与合 作、审核和检查。 安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 安全建设管理：定级和备案、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实 施、测试验收、系统交付、等级测评、服务供应 商管理。 安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管 理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管 理、外包运维管理。 云计算安全扩展要求差距： 安全物理环境：基础设施位置。 安全通信网络：网络架构。 安全区域边界：访问控制、入侵防范、安全审计安全计算环境。 安全计算环境：身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护。 安全管理中心：集中管控。 安全建设管理：云服务商选择、供应链管理 安全运维管理：云计算环境管理 移动互联安全扩展要求差距： 无线接入点的物理位置、边界防护、访问控制、入侵防范、移动终端管控、移动应用管控、移动应用软 件采购、移动应用软件开发、配置管理 物联网安全扩展要求差距： 感知感知节点设备物理防护、接入控制、入侵防范、感知节点设备安全 抗数据重放、数据融合处理、感知节点管理 5.1.1.4.等保定级咨询服务 在用户信息系统自行定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底 调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户 数量、系统结构、部署方式、安全策略、内控制度等信息，协助用户单位完成撰写信息系统定级报告，明确 信息系统的边界和安全保护等级，并组织专家评审，提交《定级报告》、《专家评审意见》，所需专家费用 由服务供 应商支付。 5.1.2.等保测评服务 根据网络安全法及国家等级保护相关标准，对需要进行测评的应用系统进行等级测评工作，出具符合公 安部门要求的测评报告。 5.1.2.1.国家标准 依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》 GA/T 1389-2017 《信息安全技术网络安全等级保护定级指南》 GB/T 25058-2019《信息安全技术网络安全等级保护实施指南》 GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》 GB/T 28449-2018《信息安全技术网络安全等级保护测评过程指南》 5.1.2.2.技术要求 根据国家等级保护相关标准，测评人员服务范围内的系统安全等级保护测评的内容包括但不限于以下内容： (1)安全技术方面 1)安全物理环境：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水 和防潮、防静电、温湿度控制、电力供应、电磁防护等方面。 2)安全通信网络：包括网络架构、通信传输、可信验证等方面。 3)安全区域边界：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、 可信验证等方面。 4)安全计算环境：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验 证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面。 5)安全管理中心：包括系统管理、审计管理、安全管理、集中管控等方面。 (2)安全管理方面 1)安全管理制度：包括信息系统的管理制度、制定和发布、评审和修订等方面。 2)安全管理机构：包括岗位设置、人员配备、授权和审批、沟通和合 作、审核和检查等方面。 3)安全人员管理：包括信息系统的人员录用、人员离岗、人员考核、安全意识教育和培训、外 部人员访问管理等方面。 4)安全建设管理：包括系统定级、安全方案设 计、产品采购和使用、自行软件开发、外包软件 开发、工程实施、测试验收、系统交付、安全服务商选择、系统备案、等级测评等方面。 5)安全运维管理：包括环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中 心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等方面。 5.1.2.3.等级保护测评要求 5.1.2.3.1.测评原则 本次安全保护等级保护测评实施方案设 计与具体实施应满足以下原则： 1)保密原则：乙方对测评的过程数据和结果数据须严格保密，未经授权不得泄露给任何单位和个 人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究其责任。 2)标准性原则：测评方案的设 计与实施须依据国家等级保护的相关标准进行。 3)规范性原则：评测工作中的过程和文档，须具有很好的规范性，便于采购人对项目的跟踪和控 制。 4)可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。 5)整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 6)最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有 信息系统的正常运行、业务的正常开展产生任何影响。 乙方应严格依照上述原则和国家等级保护相关标准开展项目实施工作。 5.1.2.3.2. 等级测试的整体要求 1)在项目现场实施周期内，乙方为本项目成立等级保护测评小组，同时安排负责本项目的项目 经理和核心技术人员驻场服务。等级保护测评小组人员需由具有等保测评资质的测评机构（须在公安部网络 安全保卫局--中国网络安全等级保护网--全国网络安全等级保护测评机构推荐目录内）派出，且具备 《信息安全等级保护师认证》，在项目实施途中，驻场人员未经采购人同意不得随意更换，项目小组成员不少于3人。 2)等级保护测评实施过程中所使用到的各种工具软件均由乙方推荐，经采购人确认后由乙方提供并在测评中使用。 3)安全测评工具软件运行需要的所有硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等 均由乙方推荐，经采购人确认后由乙方提供并在测评中使用。 4)安全测评需要的运行环境（如场地、网络环境等）由采购人提供，乙方应根据项目需要向采购 人说明需要的运行环境的具体要求。 5.1.2.3.3.安全等级保护测评报告要求 上述系统需根据采购人要求在规定时间内（根据实际需求分批次）完成等级测评，并由乙方（须在公安 部网络安全保卫局--中国网络安全等级保护网--全国网络安全等级测评与检测评估机构目录内）出具等级保护测评报告报告。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

按磋商文件、响应文件及甲方的要求进行终验。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

。

8、履约保证金

无。

9、合同有效期

合同签订之日起至双方合同项下义务均履行完毕之日止。

10、违约责任

10.1因乙方原因造成合同无法按时签订，视为乙方违约，乙方需向甲方支付合同总金额20%的违约金，违约金不足以弥补损失的，乙方还应赔偿甲方损失。 10.2在签订合同之后，乙方要求解除合同的，视为乙方违约，乙方应向甲方支付合同总金额20%的违约金，违约金不足以弥补损失的，乙方还应赔偿甲方损失。 10.3因乙方原因发生重大质量事故，甲方有权解除本合同，不予支付乙方合同款项，乙方应向甲方支付合同总金额20%的违约金，违约金不足以弥补甲方损失的，乙方还应当赔偿甲方损失。且乙方还应按法律、法规规定承担由此产生的责任。 10.4若发生安全事故的，乙方应按国家有关安全管理规定及甲方有关安全管理办法承担相应的法律后果。且甲方有权解除本合同，不予支付乙方合同款项，乙方应向甲方支付合同总金额20%的违约金，违约金不足以弥补甲方损失的，乙方还应当赔偿甲方损失。且乙方还应按法律、法规规定承担由此产生的责任。 10.5乙方未按规定时间完成工作的，每逾期1日，应按合同总金额的万分之五向甲方支付违约金，逾期超过15日的，甲方有权解除合同，不予支付乙方合同款项，且乙方应按合同总金额的20%向甲方支付违约金。 10.6乙方的工作成果无法通过甲方验收的，乙方应当负责根据合同约定进行返工，乙方未进行返工或返工后仍无法通过验收的，甲方有权解除本合同，不予支付乙方合同款项，且乙方应按合同总金额的20%向甲方支付违约金。 10.7如因甲方原因导致项目不能如期完成的，乙方不承担逾期完工的违约责任。乙方应与甲方重新确认测评报告的交付期限，并且根据重新确定的交付期限及时出具测评报告。 10.8若乙方在等级保护测评服务的实施中，利用工作中获取的资源从事有损于甲方名誉、利益的活动并造成甲方损失，乙方应当赔偿甲方损失，并承担相应的法律责任。 10.9 乙方应当严格遵循《中华人民共和国网络安全法》《中华人民共和国数据安全法》《个人信息保护法》相关法律法规要求，采取有效措施监测、防御、处置网络安全风险和威胁，保护本合同项目服务的平台系统，避免相关系统存储的个人信息、业务数据泄露。若因乙方原因发生信息泄漏的，乙方应承担相应的法律责任，并赔偿由此引起的全部损失。 10.10 除本合同另有约定外，因乙方原因导致本合同解除或终止的，甲方有权不予支付乙方合同款项，且乙方应按合同总金额的20%向甲方支付违约金。 10.11 在明确违约责任后，乙方应在接到书面通知书起七天内支付违约金、赔偿金等，否则甲方有权从应支付给乙方的合同款项中直接扣除相应款项。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：甲方有权解除本合同，乙方应向甲方支付合同总金额20%的违约金，违约金不足以弥补损失的，乙方还应赔偿甲方损失。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

           

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

14.1 送达地址 双方确认本合同签署页所载明的住所为送达地址，双方送达地址的约定的适用范围包括双方签署和履行本协议所需的各类通知、要求或其它文件以及就本协议发生争议时相关文件和法律文书的送达，同时包括在争议进入仲裁、民事诉讼程序后的一审、二审、再审和执行程序。 一方按照该地址寄出的通知、函件、履约文书及法律文书等，自送达之日起视为对方已知悉上述文书。如拒收或无人签收的，则从寄出之日起三日后视为有效送达。如一方变更联系方式的，应及时通知对方，未及时通知对方的，按原地址寄出的仍视为有效送达，由此产生不利后果均由未通知一方承担。

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 肆 份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无 。