****
*****同乐开关站商用密码应用
安全性评估招标文件
*、工作内容
完成****伏同乐开关站商用密码应用安全性评估,出具商
用密码评估报告。
*、项目地点
****市****区同乐乡。
*、工期要求
**天内提交商用密码测评报告。
*、付款方式
乙方提交审定版评估资料经过甲方审查后和本合同约定的全部增值
税专用发票,甲方在*个工作日内支付合同总价的***%。
*、挂网价格
不含税**.***元。
*、供应商资格要求
(*)营业执照、资质条件
*.营业执照
具备独立的企业法人资格,不接受分公司投标。
*.资质条件
供应商在国家密码管理局公布的《商用密码应用安全性评估试点机构
目录》中(提供在国家密码管理局官方网站公布的《商用密码应用安全性
评估试点机构目录》截图并加盖受托人鲜章,截图中的单位名称须与营业
执照上单位名称*致)。
*.业绩要求
提供*级系统密码测评服务业绩。
(*)项目人员要求
供应商投入本项目技术人员具有商用密码应用安全性评估人员测评
能力考核证书总人数不少于*人;团队至少包含专职项目经理*名、专职
技术负责人*名。
供应商应任命*名具备相应资质能力,具有同类服务测评项目管理经
验、并熟悉服务测评项目全过程管理的合格人员作为专职项目经理,全面
负责运行服务测评管理工作。
供应商应任命*名具备相应资质能力的高级技术人员作为技术负责
人。该负责人应具有同类服务测评项目管理经验,熟悉信息系统及网络结
构、网络、系统运行标准和有关技术措施,熟悉质量管理程序、不符合项
管理程序、质量缺陷管理程序、设备试运行调试程序,熟悉安全评测工具
的使用及关于安全文明检修等有关规定。
(*)技术要求
详见技术条件书(附后)
*、选取标准
本项目在****市网上中介超市发布信息,选用择优+直选的采购方式。
在择优环节由聚龙电力公司评标专家对响应文件进行评审,综合比较各报
名服务商响应方案后,确定方案最优的服务商为中选机构。
*****同乐开关站商用密码应用安全性评估
技术条件书
*、项目内容
完成****伏同乐开关站商用密码应用安全性评估,出具商
用密码评估报告。
*、招标要求
(*)报价说明与合同结算
*、报价方式:总价包干(不含增值税税额的价款)。
*、合同结算:工程结算价=合同总价+补充协议(若有)。
(*)设计单位资质要求
*.营业执照
具备独立的企业法人资格,不接受分公司投标。
*.资质条件
供应商在国家密码管理局公布的《商用密码应用安全性评估
试点机构目录》中(提供在国家密码管理局官方网站公布的《商
用密码应用安全性评估试点机构目录》截图并加盖受托人鲜章,
截图中的单位名称须与营业执照上单位名称*致)。
*.业绩要求
供应商需提供*级系统密码测评服务案例要求。
(*)项目人员要求
供应商投入本项目技术人员具有商用密码应用安全性评估
人员测评能力考核证书总人数不少于*人;团队至少包含专职项
目经理*名、专职技术负责人*名。
供应商应任命*名具备相应资质能力,具有同类服务测评项
目管理经验、并熟悉服务测评项目全过程管理的合格人员作为专
职项目经理,全面负责运行服务测评管理工作。
供应商应任命*名具备相应资质能力的高级技术人员作为
技术负责人。该负责人应具有同类服务测评项目管理经验,熟悉
信息系统及网络结构、网络、系统运行标准和有关技术措施,熟
悉质量管理程序、不符合项管理程序、质量缺陷管理程序、设备
试运行调试程序,熟悉安全评测工具的使用及关于安全文明检修
等有关规定。
(*)项目工期要求
*、工期要求:乙方承诺按照约定及时向甲方提供以下服务,
并做到设计质量满足甲方要求,**天内提交商用密码测评报告。
*、技术要求:
(*)测评方法
访谈:通过与被测单位的相关人员进行交谈和问询,了解被
测信息系统技术和管理方面的*些基本信息,并对*些测评内容
进行确认;
文档审查:审核被测单位提交的有关信息系统安全的各个方
面的文档,如:被测系统总体描述文件,被测系统密码总体描述
文件,安全管理制度文件,密钥管理制度,各种密码安全规章制
度及相关过程管理记录、配置管理文档,被测单位的信息化建设
与发展状况以及联络方式;密码应用方案及评审意见,安全保护
等级定级报告,系统验收报告,安全需求分析报告,安全总体方
案,自查或上次评估报告等等。通过对这些文档的审核与分析确
认测评的相关内容是否达到安全保护等级的要求;
实地查看:现场查看测评对象所处的环境、外观等情况;
配置检查:查看测评对象的相关配置;
工具测试:根据被测信息系统的实际情况,密评人员使用适
合的技术工具对其进行测试。
(*)测评内容
按照商用密码应用安全性分类分级评估的要求,依据《信息
安全技术信息系统密码应用基本要求》(**/******-****)要求
及信息系统等级保护定级情况,测评至少应该包括以下内容:系
统总体要求,物理和环境安全,网络和通信安全设备和计算安全,
应用和数据安全,管理制度,密钥管理,人员管理,建设运行,
应急处置。
| 指标类 |
测评指标 |
测评标准 |
| 指标类 |
测评指标 |
测评标准 |
|
合规性 |
密码技术应以国家标准或行业标准发布。 |
| 总体要求 |
合规性 |
核查密码算法是否以国家标准或行业标准形式发布、或取得国家密码管理部门同意其使用的证明文件。 |
| 总体要求 |
合规性 |
密码产品、密码模块应获得国家密码管理部门颁布的密码产品型号证书,或国家密码管理部门认可的商用密码测评机构出具的合格检测报告。 |
| 总体要求 |
合规性 |
密码服务应获得密码管理部门颁布的密码服务许可证。 |
| 物理和环境安全 |
真实性 |
在电子门禁系统中,应使用密码技术的真实性服务来保护身份鉴别信息,保证重要区域进入人员身份的真实性。 |
| 物理和环境安全 |
完整性 |
应使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。 |
| 指标类 |
测评指标 |
测评标准 |
|
完整性 |
应使用密码技术的完整性服务来保证视频监控音像记录的完整性。 |
|
完整性 |
应使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。 |
| 网络和通信安全 |
机密性和真实性 |
应在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性。 |
| 网络和通信安全 |
完整性 |
应采用密码技术保证通信过程中数据的完整性。 |
| 网络和通信安全 |
机密性 |
应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。 |
| 网络和通信安全 |
集中管理 |
应采用密码技术建立*条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。 |
| 指标类 |
测评指标 |
测评标准 |
|
完整性 |
应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯*性、鉴别信息具有复杂度要求并定期更换。 |
|
完整性 |
应使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。 |
| 设备和计算安全 |
真实性 |
应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯*性、鉴别信息具有复杂度要求并定期更换。 |
|
完整性 |
应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。 |
|
机密性 |
应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。 |
|
可信计算、完整性 |
应使用密码技术的完整性服务来对日志记录进行完整性保护。 |
| 指标类 |
测评指标 |
测评标准 |
|
完整性 |
应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记的完整性。 |
|
机密性 |
应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。 |
| 应用和数据安全 |
真实性 |
应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保护应用系统用户身份的真实性。 |
|
机密性 |
应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息、重要可执行程序等。 |
|
完整性 |
应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。 |
| 指标类 |
测评指标 |
测评标准 |
|
完整性 |
应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。 |
|
完整性 |
应使用密码技术的完整性服务来实现对日志记录完整性的保护。 |
|
完整性 |
应采用密码技术对重要应用程序的加载和卸载进行安全控制。 |
| 密钥管理 |
密码模块内部 |
密钥生成使用的随机数应符合**/*****《随机性检测规范》要求,密钥应在符合**/*****《密码模块安全技术要求》的密码模块中产生,不得以明文方式出现在密码模块之外,应具备检查和剔除弱密钥的能力。 |
| 指标类 |
测评指标 |
测评标准 |
|
加密存储 |
密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在符合**/*****《密码模块安全技术要求》的*级及以上密码模块中。 |
|
身份鉴别、数据完整性、数据机密性 |
密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等共计,保证密钥的安全性。 |
|
正确性、防窃取或篡改 |
密钥的导入和导出应采取有效的安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。 |
| 指标类 |
测评指标 |
测评标准 |
|
正确使用、防泄露和替换 |
密钥应明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应的应急处理和响应措施。应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性。 |
|
明确备份策略、可审计 |
密钥的备份与恢复,应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生产审计信息;审计信息包括备份或恢复的主体、备份或恢复的时机等。 |
| 指标类 |
测评指标 |
测评标准 |
|
安全性和正确性、仅用于历史信息、可审计、安全备份 |
密钥归档,应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥的历史信息或验证该密钥签名的历史信息;归档密钥应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。 |
|
紧急情况可销毁 |
密钥销毁,应具有在紧急情况下销毁密钥的措施。 |
| 安全管理 |
管理制度 |
应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。 |
| 指标类 |
测评指标 |
测评标准 |
|
应明确相关管理制度发布流程。 |
|
应能够正确使用商用密码产品。 |
|
|
应定期对密码管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
|
应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位。 |
|
人员管理 |
应了解并遵守商用密码相关法律法规。 |
|
应建立相应的岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制。 |
|
密钥管理、安全审计、密码操作人员职责、互相制约互相监督,相关设备与系统的管理和使用账号不得多人共用。 |
| 指标类 |
测评指标 |
测评标准 |
|
应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。 |
|
应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。 |
|
|
应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。 |
|
建设运行 |
信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。 |
|
建设运行 |
应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。 |
| 指标类 |
测评指标 |
测评标准 |
|
信息系统投入运行前,应经密码测评机构进行安全性评估,评估通过方可投入正式运行。 |
|
信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。 |
|
|
应选用的经国家密码管理部门核准的密码产品、许可的密码服务。 |
|
事件发生后,应及时向信息系统的上级主管部门进行报告。 |
|
应急处置 |
制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情况及时处置。 |
|
事件处置完成后,应及时向同级的密码主管部门报告事件发生情况及处置情况。 |
|
应急处置 |
|
(*)项目实施结果
*、验收标准
供应商提供符合国家相关标准的商用密码测评报告,甲方签
收的方式验收。
*、项目资料要求
供应商应加强本项目资料的保密管控,必须针对本项目建立
项目纸质、声音、影像、图像、电子等各种形态资料及其载体的
保密管控措施,记录资料由生成到销毁整个生命周期内的使用日
志,并根据实际工作情况及时对制度进行调整。供应商应加强本
项目在用户工作场所使用设备,特别是笔记本电脑、移动存储介
质等便携设备使用的保密管理。接入系统网络内使用的设备,必
须遵守该系统关于终端安全管理、移动存储介质管理等要求。
(*)后续服务要求及****
提供基于商用密码的政策法规、商用密码技术、整改等相关
咨询服务。
甲方合同编号:
乙方合同编号:
*****同乐开关站商用密码应用
安全性评估合同
甲方:****
乙方:
签订地点:****市****区
*****同乐开关站商用密码应用
安全性评估合同
甲方:****(以下简称甲方)
乙方:,(以下简称乙方)
****(以下称甲方)拟开展*****同乐开关
站商用密码应用安全性评估工作,经与,(以下称乙方)
协商,双方达成如下协议,并签订本商用密码应用安全性评估合同,
以兹共同遵守执行。
第*条甲方委托乙方承担的工程项目名称、内容。
*.工程项目名称:*****同乐开关站商用密码应用安全性评估。
*.项目地点:****区同乐乡。
*.项目内容:
完成****伏同乐开关站商用密码应用安全性评估工作,出具商
用密码评估报告。
第*条甲方应提交有关基础资料,本项工期从合同签订之日起。
*.工期:
(*)工期要求:乙方承诺合同签订之日起**天内向甲方提交报
审版商用密码评估报告,并做到评估质量满足甲方要求。
(*)乙方须严格依据国家现行规范、标准进行评估。
第*条甲方责任
第*页共**页
向乙方提供与本项目相关的基础资料,并对提供资料的时间、进
度与可靠性负责。
第*条乙方责任
*.严格按国家规程、规范开展评估工作,保证质量,并对评估的
正确性负责。
*.遵守现行的国家、电力行业、企业标准、规范、规定以及相关
文件要求。相关标准、规范、规定、要求发生冲突时,由甲方负责解
释并确定。
*.未经甲方书面允许,不得向他人泄露、转让、扩散、使用甲方
关于该项目所涉及的信息、资料和工作成果。
第*条项目费用
*.*****同乐开关站商用密码应用安全性评估总费用(不含税)
¥*元(人民币大写:),含税价¥*元(税率*%,人民币大
写:),该价格为固定总价,包括完成本项目各项工作,提交最
终成果所需的全部费用,非甲方原因价格不作调整。
*.付款前,乙方须按国家规定的适用税率向甲方开具增值税专用
发票,甲方按增值税专用发票价税合计金额结算支付相应费用。若乙
方未向甲方提交税务部门认可的正规等额发票,则甲方有权暂缓支付
合同价款。
*.费用支付进度:乙方提交审定版评估资料经过甲方审查后和本
合同约定的全部增值税专用发票,甲方在*个工作日内支付合同总价
的***%。
第*页共**页
*.费用支付方式:银行转账。
第*条违约责任
*.乙方的违约责任
(*)乙方未履行本合同义务或者履行义务不符合约定的,甲方有
权解除合同,且不支付乙方任何费用或者要求乙方承担继续履行、并删除[*************]:不再退还履约保证金并
赔偿已造成的经济损失和可期待的利益损失或支付违约金等违约责任。
(*)乙方逾期交付评估文件的,每延误*天,向甲方支付惩罚性
违约金(****元/天);若延误超过**天的,甲方有权解除合同,同
时乙方向甲方支付合同总价的**%惩罚性违约金,若甲方有损失的,乙
方应予以赔偿。
删除[*************]:(*)禁止违法分包
(*)因乙方原因引起评估不符合法律法规定的和合同约定的标
①乙方不得以劳务分包的名义转包或违法分包工程。乙方
不得将其承包的全部工程转包给第*人,或将其承包的全
准,由乙方继续完善评估任务直至符合规定标准,同时乙方应按本合
部工程肢解后以分包的名义转包给第*人。乙方不得将工
程主体结构、关键性工作分包给第*人。
同第*条*.(*)逾期交付约定向甲方支付惩罚性违约金,因此给甲方
②即使乙方需要将专业事项分包给第*人,须征得甲方的
书面同意,否则仍视为违法分包。同时,分包人应符合国
造成的损失,乙方应予以赔偿(包括甲方可得利益损失),且甲方有
家法律规定的资质等级,否则不能作为分包人。乙方有义
务对分包人的资质进行审查。乙方对分包人的行为向甲方
权解除合同。
负责,乙方和分包人就分包工作向甲方承担连带责任。
③在合同履行过程中实行实名制管理,甲方有权核查乙方
(*)当乙方无正当理由未履行法律法规定的及合同约定的义务
管理人员的资格证件、工程价款往来银行账户、施工单位
的材料构配件、设备的发票等资料,配合相关行政主管部
时,甲方有权要求乙方限期改正。若甲方在乙方接到通知后的*天内
门加大对转包、违法分包行为的查处。
④*经查实,乙方的履约保证金不予退还,甲方有权终止
未收到乙方书面形式的合理解释,或拒不改正的,甲方有权要求乙方
合同;同时甲方有权向相关行政监管部门举报,根据《住
房和城乡建设部关于印发建筑工程施工发包与承包违法行
退回全部或者部分合同价款,同时乙方向甲方支付合同总价的*%违约
为认定查处管理办法的通知》(建市规〔****〕*号)相关
规定条执行。
金,且甲方有权解除合同。
⑤乙方违反合同约定进行转包或违法分包的违约责任:按
照违反合同约定进行转包和(或)违法分包相应转包和(或)
(*)因乙方原因导致合同解除的,乙方应退还甲方已支付的全部
分包合同的合同金额的*%支付违约金,违法转/分包商应在
*天内撤离出场。
费用,同时乙方向甲方支付合同总价的**%的惩罚性违约金及赔偿甲方
删除[*************]:*
第*页共**页
因此而遭受的损失。
(*)乙方按合同约定应支付的违约金低于给甲方造成的损失(包删除[*************]:*
括但不限于甲方委托****方完成本合同项下评估工作所发生的额外费
用)的,并应就差额部分向甲方进行赔偿,甲方有损失(包括第*方
向甲方主张损失)乙方应进行赔偿。
(*)乙方违约除应承担相应违约责任外,甲方向乙方主张权利所删除[*************]:*
产生的费用亦由乙方承担(包括律师费等费用)。
(*)乙方因违约需向甲方支付违约金或赔偿损失的,甲方有权从删除[*************]:*
任何*期合同应付款项中予以扣除。
(*)若乙方设计人员不具备履行合同的能力,甲方有权单方面终删除[*************]:**
止合同,且不予支付乙方任何费用。
*.甲方的违约责任
(*)甲方逾期支付评估费用的,应就逾期部分向乙方支付按照全
国银行间同业拆借中心公布的贷款市场报价利率计算的逾期付款违约
金,但因乙方原因造成的除外。
(*)甲方违约变更项目、规模、条件,未按期提交资料或提交资
料错误及对所提交资料作较大修改,以致造成乙方返工或增加工作量
时,甲方应按乙方的实际工作量向乙方支付返工费或评估费。
(*)在合同履行期间,因甲方责任要求解除合同的,应根据乙方
的实际工作量结算设计费。乙方未开始评估工作的,乙方应退还甲方
已支付的全部款项;已开始评估工作的,甲方应根据乙方已进行的经
甲方确认的实际工作量向乙方支付费用,已支付的款项超过前述费用
第*页共**页
的,乙方应将超过部分退还甲方。
(*)由于不可抗外力因素致使合同被延误或无法履行时,双方应
及时协商解决。
第*条合同执行过程中,如有纠纷,双方应本着实事求是的原
则协商解决,解决不成,则由合同签订地法院管辖。合同签订地:重
庆市****区。
第*条合同未尽事宜双方可以协商解决,经双方协商*致后,
可另行签订补充协议,补充协议和本合同具有同等效力。
第*条本合同附件、双方往来的传真件、合同期间的会议纪要、
工作往来函,均为本合同的组成部分,具有同等法律效力。
第*条本合同*式*份,经双方法定代表人或授权代表签字并
盖公章或合同专用章后生效。甲方持*份、乙方持*份,具同等效力。
此后无正文,合同签署盖章页附后
第*页共**页
此页无正文,为《*****同乐开关站商用密码应用安全性评估合同》
各方当事人签署盖章页
甲方:****乙方:
(盖章),(盖章)
法定代表人或,法定代表人或
授权代表(签字):,授权代表(签字):
签订日期:年月日签订日期:年月日
地址:****市****区新城区鹤凤大地址:
道**号
邮编:
邮编:******
联系人:
联系人:
电话:
电话:
传真:
传真:
*****:
*****:
开户银行:
开户银行:****农村商业银行****
账号:
分行营业部
统*社会信用代码:
账号:*******************
统*社会信用代码:
******************
第*页共**页
廉洁协议
甲方:****(以下简称甲方)
乙方:,(以下简称乙方)
为了防范和控制*****同乐开关站商用密码应用安全性评估合同
(合同编号:,)履行过程中的廉洁风险,维护正常的市
场秩序和双方的合法权益,根据反腐倡廉相关规定,经双方商议,特
签订本协议。
第*条甲乙双方责任
*.严格遵守国家的法律法规和廉洁从业有关规定。
*.坚持公开、公正、诚信、透明的原则(国家秘密、商业秘密和合
同文件另有规定的除外),不得损害国家、集体和双方的正当利益。
*.定期开展党风廉政宣传教育活动,提高从业人员的廉洁意识。
*.规范招标及采购管理,加强廉洁风险防范。
*.开展多种形式的监督检查。
*.发生涉及本项目的不廉洁问题,及时按规定向双方纪检部门或
司法机关举报或通报,并积极配合查处。
第*条甲方人员义务
*.不得索取或接受乙方提供的利益和方便。
(*)不得索取或接受乙方的礼品、礼金、有价证券、支付凭证和
商业预付卡等(以下简称礼品礼金);
(*)不得参加乙方安排的宴请和娱乐活动,不得接受乙方提供的
第*页共**页
通讯工具、交通工具及****服务;
(*)不得在个人住房装修、婚丧嫁娶、配偶、子女和****亲属就
业、旅游等事宜中索取或接受乙方提供的利益和便利,不得在乙方报
销任何应由甲方负担或支付的费用;
*.不得利用职权从事各种有偿中介活动,不得营私舞弊;
*.甲方人员的配偶、子女、近亲属不得从事与甲方项目有关的物
资供应、工程分包、劳务等经济活动;
*.不得违反规定向乙方推荐分包商或供应商;
*.不得有****不廉洁行为。
第*条乙方人员义务
*.不得以任何形式向甲方及相关人员输送利益和方便。
(*)不得向甲方及相关人员行贿或馈赠礼品礼金;
(*)不得向甲方及相关人员提供宴请和娱乐活动,不得为其购置
或提供通讯工具、交通工具及****服务;
(*)不得为甲方及相关人员在住房装修、婚丧嫁娶、配偶、子女
和****亲属就业、旅游等事宜中提供利益和便利,不得以任何名义报
销应由甲方及相关人员负担或支付的费用。
*.不得有****不廉洁行为。
*.积极支持配合甲方调查问题,不得隐瞒、袒护甲方及相关人员
的不廉洁问题。
第*条责任追究
*.按照国家、上级机关和甲乙双方的有关制度和规定,以甲方为
第*页共**页
主、乙方配合,追究涉及本项目的不廉洁问题。
*.建立廉洁违约金制度。廉洁违约金的额度为合同总额的*%(不超
过***元)。
*.廉洁违约金的扣减:由合同管理单位的违约金意见,与合同进度
款的结算同步进行。
*.对积极配合甲方调查,并确有立功表现或从轻、减轻违纪违规
情节的,可根据相关规定履行审批手续后酌情减免违约金。
*.上述处罚(违约金)的同时,甲方可按照公司有关规定另行给
予乙方暂停合同履行,降低信用评级、禁止参加甲方****项目等处理。
*.甲方违反本协议,影响乙方履行合同并造成损失的,甲方应承
担赔偿责任。
第*条监督执行
*、本协议作为项目合同的附件,由甲乙双方纪检部门联合监督执
行。
*、甲方举报电话:***-********;乙方举报电话:
第*条****
*.因执行本协议所发生的有关争议,适用主合同争议解决条款。
*.本协议作为*****同乐开关站商用密码应用安全性评估合同附
件,*式*份,甲方执*份,乙方执*份。
*.双方法定代表人或授权代表在此签字并加盖公章,签字并盖章
之日起本协议生效。
第*页共**页
甲方:(盖章),乙方:(盖章)
法定代表人(或授权代表)法定代表人(或授权代表)
签字:,签字:
日期:年月日日期:年月日
第**页共**页
*****同乐开关站商用密码应用安全性评估
招标技术条件书
*、项目内容
完成****伏同乐开关站商用密码应用安全性评估,出
具商用密码评估报告。
*、招标要求
(*)报价说明与合同结算
*、报价方式:总价包干(不含增值税税额的价款)。
*、合同结算:工程结算价=合同总价+补充协议(若有)。
(*)设计单位资质要求
*.营业执照
具备独立的企业法人资格,不接受分公司投标。
*.资质条件
供应商在国家密码管理局公布的《商用密码应用安全性
评估试点机构目录》中(提供在国家密码管理局官方网站公
布的《商用密码应用安全性评估试点机构目录》截图并加盖
受托人鲜章,截图中的单位名称须与营业执照上单位名称*
致)。
*.业绩要求
供应商需提供*级系统密码测评服务案例要求。
(*)项目人员要求
供应商投入本项目技术人员具有商用密码应用安全性
评估人员测评能力考核证书总人数不少于*人;团队至少包
含专职项目经理*名、专职技术负责人*名。
—*—
供应商应任命*名具备相应资质能力,具有同类服务测
评项目管理经验、并熟悉服务测评项目全过程管理的合格人
员作为专职项目经理,全面负责运行服务测评管理工作。
供应商应任命*名具备相应资质能力的高级技术人员
作为技术负责人。该负责人应具有同类服务测评项目管理经
验,熟悉信息系统及网络结构、网络、系统运行标准和有关
技术措施,熟悉质量管理程序、不符合项管理程序、质量缺
陷管理程序、设备试运行调试程序,熟悉安全评测工具的使
用及关于安全文明检修等有关规定。
(*)项目工期要求
*、工期要求:乙方承诺按照约定及时向甲方提供以下
服务,并做到设计质量满足甲方要求,**天内提交商用密码
测评报告。
*、技术要求:
(*)测评方法
访谈:通过与被测单位的相关人员进行交谈和问询,了
解被测信息系统技术和管理方面的*些基本信息,并对*些
测评内容进行确认;
文档审查:审核被测单位提交的有关信息系统安全的各
个方面的文档,如:被测系统总体描述文件,被测系统密码
总体描述文件,安全管理制度文件,密钥管理制度,各种密
码安全规章制度及相关过程管理记录、配置管理文档,被测
单位的信息化建设与发展状况以及联络方式;密码应用方案
及评审意见,安全保护等级定级报告,系统验收报告,安全
需求分析报告,安全总体方案,自查或上次评估报告等等。
—*—
通过对这些文档的审核与分析确认测评的相关内容是否达
到安全保护等级的要求;
实地查看:现场查看测评对象所处的环境、外观等情况;
配置检查:查看测评对象的相关配置;
工具测试:根据被测信息系统的实际情况,密评人员使
用适合的技术工具对其进行测试。
(*)测评内容
按照商用密码应用安全性分类分级评估的要求,依据
《信息安全技术信息系统密码应用基本要求》(**/*
*****-****)要求及信息系统等级保护定级情况,测评至少
应该包括以下内容:系统总体要求,物理和环境安全,网络
和通信安全设备和计算安全,应用和数据安全,管理制度,
密钥管理,人员管理,建设运行,应急处置。
| 指标类 |
测评指标 |
测评标准 |
| 总体要求 |
合规性 |
核查密码算法是否以国家标准或行业标准形式发布、或取得国家密码管理部门同意其使用的证明文件。 |
| 总体要求 |
合规性 |
密码技术应以国家标准或行业标准发布。 |
| 指标类 |
测评指标 |
测评标准 |
|
合规性 |
密码产品、密码模块应获得国家密码管理部门颁布的密码产品型号证书,或国家密码管理部门认可的商用密码测评机构出具的合格检测报告。 |
|
合规性 |
密码服务应获得密码管理部门颁布的密码服务许可证。 |
| 物理和环境安全 |
真实性 |
在电子门禁系统中,应使用密码技术的真实性服务来保护身份鉴别信息,保证重要区域进入人员身份的真实性。 |
| 物理和环境安全 |
完整性 |
应使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。 |
| 物理和环境安全 |
完整性 |
应使用密码技术的完整性服务来保证视频监控音像记录的完整性。 |
| 网络和通信安全 |
机密性和真实性 |
应在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性。 |
| 指标类 |
测评指标 |
测评标准 |
|
完整性 |
应采用密码技术保证通信过程中数据的完整性。 |
|
完整性 |
应使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。 |
|
机密性 |
应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。 |
|
集中管理 |
应采用密码技术建立*条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。 |
| 设备和计算安全 |
真实性 |
应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯*性、鉴别信息具有复杂度要求并定期更换。 |
| 设备和计算安全 |
完整性 |
应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯*性、鉴别信息具有复杂度要求并定期更换。 |
| 设备和计算安全 |
完整性 |
应使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。 |
| 指标类 |
测评指标 |
测评标准 |
|
机密性 |
应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。 |
|
完整性 |
应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。 |
|
可信计算、完整性 |
应使用密码技术的完整性服务来对日志记录进行完整性保护。 |
| 应用和数据安全 |
真实性 |
应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保护应用系统用户身份的真实性。 |
| 应用和数据安全 |
完整性 |
应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记的完整性。 |
| 应用和数据安全 |
机密性 |
应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。 |
| 指标类 |
测评指标 |
测评标准 |
|
完整性 |
应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。 |
|
机密性 |
应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息、重要可执行程序等。 |
|
完整性 |
应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。 |
|
完整性 |
应使用密码技术的完整性服务来实现对日志记录完整性的保护。 |
|
完整性 |
应采用密码技术对重要应用程序的加载和卸载进行安全控制。 |
| 密钥管理 |
密码模块内部 |
密钥生成使用的随机数应符合**/*****《随机性检测规范》要求,密钥应在符合**/*****《密码模块安全技术要求》的密码模块中产生, |
| 指标类 |
测评指标 |
测评标准 |
|
加密存储 |
密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在符合**/*****《密码模块安全技术要求》的*级及以上密码模块中。 |
|
|
不得以明文方式出现在密码模块之外,应具备检查和剔除弱密钥的能力。 |
|
身份鉴别、数据完整性、数据机密性 |
密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等共计,保证密钥的安全性。 |
|
正确性、防窃取或篡改 |
密钥的导入和导出应采取有效的安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。 |
|
正确使用、防 |
密钥应明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证; |
| 指标类 |
测评指标 |
测评标准 |
|
明确备份策略、可审计 |
密钥的备份与恢复,应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生产审计信息;审计信息包括备份或恢复的主体、备份或恢复的时机等。 |
|
泄露和替换 |
应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应的应急处理和响应措施。应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性。 |
|
安全性和正确性、仅用于历史信息、可审计、安全备份 |
密钥归档,应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥的历史信息或验证该密钥签名的历史信息;归档密钥应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。 |
| 指标类 |
测评指标 |
测评标准 |
|
紧急情况可销毁 |
密钥销毁,应具有在紧急情况下销毁密钥的措施。 |
|
应定期对密码管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
|
应明确相关管理制度发布流程。 |
| 安全管理 |
管理制度 |
应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。 |
|
应能够正确使用商用密码产品。 |
| 安全管理 |
人员管理 |
应了解并遵守商用密码相关法律法规。 |
|
应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位。 |
|
人员管理 |
|
|
应建立相应的岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多 |
|
人员管理 |
|
—**—
| 指标类 |
测评指标 |
测评标准 |
|
密钥管理、安全审计、密码操作人员职责、互相制约互相监督,相关设备与系统的管理和使用账号不得多人共用。 |
|
应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。 |
|
应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。 |
|
|
人共管机制。 |
|
应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。 |
|
建设运行 |
信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。 |
|
建设运行 |
应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生 |
| 指标类 |
测评指标 |
测评标准 |
|
应选用的经国家密码管理部门核准的密码产品、许可的密码服务。 |
|
信息系统投入运行前,应经密码测评机构进行安全性评估,评估通过方可投入正式运行。 |
|
信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。 |
|
|
产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。 |
|
应急处置 |
制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情况及时处置。 |
|
应急处置 |
事件发生后,应及时向信息系统的上级主管部门进行报告。 |
|
应急处置 |
事件处置完成后,应及时向同级的密码主管部门报告事件发生情况及处置情况。 |
—**—
(*)项目实施结果
*、验收标准
供应商提供符合国家相关标准的商用密码测评报告,甲
方签收的方式验收。
*、项目资料要求
供应商应加强本项目资料的保密管控,必须针对本项目
建立项目纸质、声音、影像、图像、电子等各种形态资料及
其载体的保密管控措施,记录资料由生成到销毁整个生命周
期内的使用日志,并根据实际工作情况及时对制度进行调整。
供应商应加强本项目在用户工作场所使用设备,特别是笔记
本电脑、移动存储介质等便携设备使用的保密管理。接入系
统网络内使用的设备,必须遵守该系统关于终端安全管理、
移动存储介质管理等要求。
(*)后续服务要求及****
提供基于商用密码的政策法规、商用密码技术、整改等
相关咨询服务。
—**—
功能介绍
换一批
潜在投标单位
放大
缩小
公告内容:
您当前为:
招标采购
询价订单
分包项目
直采订单
拟在建项目
业主委托
免费客服热线:400-999-4928
