一、项目背景与目标

1.1 项目背景

根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》及国家网络安全等级保护制度相关要求，对吉林大学官方网站（网站群平台）系统、吉林大学科研服务支撑系统、吉林大学招生服务系统、吉林大学校园一卡通服务系统四个三级信息系统的等级保护定级、备案及测评工作。为确保信息系统持续符合三级等保要求，防范网络安全风险，保障教育教学工作顺利开展，现需对这四个三级信息系统进行等级保护定级与测评。

1.2 项目目标

通过本次等级保护测评，全面检验四个三级信息系统的安全状况，发现系统存在的安全隐患和不足，提出合规性整改建议，确保各系统符合GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》中三级信息系统的相关要求，保障系统安全稳定运行。

二、项目概况

2.1 系统基本信息

本次测评涉及的四个三级信息系统分别为：

吉林大学官方网站（网站群平台）系统、吉林大学科研服务支撑系统、吉林大学招生服务系统、吉林大学校园一卡通服务系统

2.3 服务地点

学校指定地点及相关信息系统部署环境

2.4 合同履行期限

2025年12月5日前完成向公安部门的测评材料提交

2.5 项目预算

预算金额：29.8万元（人民币）。

三、投标人资格要求

具有独立法人资格，能够独立承担民事责任，提供有效的营业执照（或事业单位法人证书）。

近三年内（自投标截止日起前三年）无重大违法违规记录，未被列入失信被执行人名单。

拥有足够数量的等级保护测评人员，其中持有效注册测评师证书的人员不少于5 人。

近三年具有至少3 个三级及以上信息系统等级保护测评项目经验（需提供合同关键页复印件等证明材料）。

本项目不接受联合体投标，不允许转包或分包。

四、测评依据

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《关键信息基础设施安全保护条例》

GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》

GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》

相关主管部门发布的等级保护政策文件及技术标准

五、测评内容与要求

5.1 测评范围

四个三级信息系统的整体安全状况，包括但不限于：

物理环境安全

网络安全

主机安全

应用安全

数据安全及备份恢复

安全管理制度

安全管理机构

人员安全管理

系统建设管理

系统运维管理

5.2 测评内容

按照GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》，对四个信息系统进行全面测评，主要包括：

技术层面

物理安全：机房环境、设备防护、物理访问控制等

网络安全：网络架构、访问控制、安全审计、边界防护等

主机安全：操作系统安全、数据库安全、恶意代码防范等

应用安全：Web 应用安全、移动应用安全（如适用）、接口安全等

数据安全：数据分类分级、数据加密、数据备份与恢复等

管理层面

安全管理制度：制度建设、制度落实、制度评审与修订等

安全管理机构：机构设置、人员配备、职责分工等

人员安全管理：人员录用、离岗、考核、安全意识培训等

系统建设管理：规划、采购、开发、测试、验收等环节安全管理

系统运维管理：环境管理、资产管理、介质管理、漏洞管理等

5.3 测评要求

测评过程应遵循客观、公正、科学的原则，确保测评结果真实有效。

测评人员应遵守保密规定，不得泄露测评过程中接触到的学校敏感信息。

测评方法应包括访谈、检查、测试等多种方式，确保测评的全面性和准确性。

对发现的问题应进行风险分析，明确风险等级，并提出针对性的整改建议。

应按照《网络安全等级保护测评机构管理办法》第十五条，与被测评单位签署测评服务协议，依据有关标准规范开展测评业务，防范测评风险，客观准确地反映被测评对象的安全保护状况。

六、交付成果

四个信息系统的定级报告

四个信息系统的《等级保护测评总报告》（正式版，含电子版和纸质版，纸质版不少于2份）

针对发现问题的《安全整改建议方案》

所有交付成果需符合国家等级保护相关标准要求，内容完整、逻辑清晰、结论准确。

七、服务要求

投标人应成立专门的项目组，明确项目负责人及核心成员，项目负责人需具有3 年以上等级保护测评项目管理经验。

测评过程中应尽量避免影响信息系统的正常运行，如需进行可能影响系统运行的测试，需提前与学校相关负责人沟通，在非工作时间或征得同意后进行。

提供必要的技术支持，解答学校在测评过程中及对测评报告的疑问。

对测评发现的重大安全隐患，应立即向学校进行口头报告，并在24 小时内提交书面报告。

项目完成后，应配合学校进行整改验证工作，提供必要的指导。

八、保密要求

投标人应对测评过程中获取的所有学校信息（包括但不限于系统数据、业务流程、管理文档等）严格保密，不得向任何第三方泄露。

投标人应与学校签订保密协议，明确保密责任和义务。

测评结束后，应将所有涉及学校敏感信息的纸质材料和电子文档按学校要求处理，不得私自留存。

保密义务不因本项目的结束而终止，有效期为自获取信息之日起3 年。

九、响应文件提交

响应文件应包括但不限于以下内容：

报价函（报价应包含所有测评服务费用、税费等，为最终结算价）

投标人资格证明文件（营业执照、等保测评资质证书等）

项目实施方案（包括测评方法、工作计划、人员安排等）

过往类似项目业绩证明材料

响应文件应密封包装，并在封套的封口处加盖投标人单位章。

截止时间：2025年11月7日 16点30分（北京时间）

地点：吉林大学南区逸夫图书馆107室

十、公告期限

自本公告发布之日起3个工作日。

十一、凡对本次采购提出询问，请按以下方式联系。

名称：吉林大学大数据和网络管理中心

地址：长春市前进大街2699号

联系方式：李老师、0431-85166439