*.投标人需依据《中华人民共和国网络安全法》、《信息安全技术网络安全等级保护基本要求》（**/***********）、《信息安全技术网络安全等级保护测评要求》（**/***********）、《信息安全技术网络安全等级保护测评过程指南》（**/* **********）以及相关法律法规和技术标准，为哈尔滨市教育云平台、招生考试信息化管理信息系统开展三级系统开展等保测评服务；
*.测评机构需从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个安全层面开展测评工作；
*.安全物理环境测评需通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。测试过程中投标人必须使用高低频电磁辐射计、绝缘电阻测试仪、粉尘颗粒物计数器等检测设备开展工作，并在报告中体现具体物理数值；
*.安全通信网络测评需通过核查和验证测试的方式验证通信网络安全性，主要验证对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证；
*.安全区域边界测评需通过核查和验证测试的方式验证网络区域边界的安全性，主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等；
*.安全计算环境测评需通过核查和验证测试的方式验证计算环境安全性，主要对象为边界内部的所有对象。包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等；
*.安全管理中心测评需通过核查和验证测试的方式验证安全管理中心的安全性，主要对象为集中管控平台、集中运维平台、日志审计系统等。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控等；
*.安全管理制度测评将通过访谈和核查的方式测评信息系统的安全管理制度建立情况。主要涉及对象为：信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等；
*.安全管理机构测评将通过访谈和核查的方式测评信息系统的安全管理机构建立情况。主要涉及对象为：安全管理机构设立文档、信息安全小组名单、岗位说明书、等文档及执行记录；
**.安全管理人员测评将通过访谈和核查的方式测评信息系统的人员安全管理方面情况。主要涉及对象为：人事管理制度、外部人员访问要求等安全管理制度及执行记录；
**.安全建设管理测评将通过访谈和核查的方式测评信息系统的系统建设管理方面情况。主要涉及对象为：系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录；
**.安全运维管理测评将通过访谈和核查的方式测评信息系统的系统运维管理方面情况。主要涉及对象为：系统运维过程中涉及的安全管理制度及执行记录；
**.测评机构需严格依据《**/***********信息安全技术网络安全等级保护测评过程指南》开展现场测评工作，测评方法包括但不限于访谈、核查、工具测试等内容；
**.测评机构需在测评工作结束后，依据《网络安全等级保护测评报告****版》为采购单位出具符合等保*.*测评要求的测评报告；
**.测评机构需制定严格的风险控制方案，确保工具测试环节不会对采购单位信息系统造成损害；
**.测评机构需依据《网络安全等级保护测评机构管理办法》（公信安【****】***号）配置现场实施人员，且常驻在现场测评操作时不得少于四名测评师，分别为一名高级测评师、一名中级测评师和两名初级测评师；
**.依据《网络安全等级测评与检测评估机构自律规范》（信安联【****】*号）要求，本次项目现场实施人员至少有*人具备国家注册渗透工程师（********）资质证书；
**.测评机构需协助采购单位编写《定级报告》、《备案表》等合规性文档，并完成上述系统在公安机关的备案工作；
**.测评机构需提供完整的项目实施方案；
**.网站监测监测服务：对哈尔滨市教育云平台和招生考试信息化管理信息系统进行****小时网站安全监测，包括脆弱性监测、完整性监测、可用性监测。脆弱性监测主要定期扫描网站面临的安全风险，为其提供专业化的安全建议；完整性监测能够甄别出页面是否发生了恶意篡改，是否被恶意挂马，是否被嵌入敏感内容等信息；可用性监测能够了解网站此时的通断状况，延迟状况；
**.代码审计服务：采用人工分析为主、工具分析为辅的方式对哈尔滨市教育云平台和招生考试信息化管理信息系统进行代码审计服务，通过系统化地分析程序代码的安全弱点。检查内容包含（不限于）注入漏洞、跨站脚本漏洞、认证漏洞、上传漏洞、敏感信息泄露、文件包含漏洞、***重定向、验证器不当设定等。从根本上消除逻辑缺陷、***注入、越权漏洞、跨站攻击、敏感信息泄露、开发组件及插件安全、重定向和转发验证、文件包含、文件上传等安全隐患；
**.数据泄露监测服务：为哈尔滨市教育局提供网络数据泄露监测服务，通过对数百个数据泄露源的监测，结合大数据和知识图谱技术，从暗网交易、、威胁情报、企业暴露面、新闻舆情、社交网站、代码平台、在线文库、云端网盘等协助哈尔滨市教育局及时从网络发现和预警数据泄露事件，减缓事件带来的负面影响，做到数据泄露事件可管可控。