第*章磋商项目技术、服务、商务及其他要求
(注:带“★”的参数需求为实质性要求,供应商必须响应并满足的参数需求,采购人、
采购代理机构应当根据项目实际需求合理设定,并明确具体要求。带“▲”号条款为允许负偏离
的参数需求,若未响应或者不满足,将在综合评审中予以扣分处理。)
*.*、采购项目概况
****蓉北商圈发展服务局拟采购等级保护测评服务、商用密码应用安全性评估、软件测试及监理
服务*项。
*.*、服务内容及服务要求
*.*.*服务内容
采购包*:
采购包预算金额(元):***,***.**
采购包最高限价(元):***,***.**
* |
**** |
*.** |
***,***.** |
项 |
**** |
否 |
否 |
否 |
否 |
序号 |
标的名称 |
数量 |
标的金额(元) |
计量单位 |
所属行业 |
是否涉及核心产品 |
是否涉及采购进口产品 |
是否涉及采购节能产品 |
是否涉及采购环境标志产品 |
*.*.*服务要求
采购包*:
标的名称:****
★ |
* |
(*)等级保护测评服务 |
参数性质 |
序号 |
技术参数与性能指标*.项目需求根据等级保护测评的工作要求,测评范围覆盖安全管理中心、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度,以及云计算安全、移动互联安全、物联网安全、工控制系统安全等扩展方面的要求。具体服务内容包括:(*)协助业主单位进行信息系统的信息安全等级定级和备案工作。(*)差距测评,至少包括:安全技术测评。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面的安全测评。安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全系统建设和安全系统运维*个方面的安全测评。形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以、整改意见。(*)协助完成整改 |
工作。依据整改方案,为
安全整改的各项工作提
供技术咨询服务。
(*)等级测评,包
括:
按照等级保护相关
标准对系统从安全技术、
安全管理等方面进行等
级测评工作。
编制测评报告,制定
并提交《网络安全等级测
评报告》,报告需提交公
安机关有关部门备案,且
能满足合规性要求。
*.服务内容指标
*级系统通用指标要求
|
防盗窃和防 |
*)应将设备或主要部件进行固定,并设置明显的不易 |
|
安全物理环境 |
物理位置选择 |
*)机房场地应选择在具有防震、防风和防雨等能力的建筑内;*)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
|
|
|
|
安全物理环境 |
物理访问控制 |
机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
|
|
|
分类 |
子类 |
基本要求 |
|
防火 |
*)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火;*)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料;*)应对机房划分区域进行管理,区域和区域之 |
|
|
|
|
破坏 |
除去的标识;*)应将通信线缆铺设在隐蔽安全处。*)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
|
|
|
|
防雷击 |
*)应将各类机柜、设施和设备等通过接地系统安全接地。*)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 |
|
电力供 |
*)应在机房供电线路上配置稳压 |
|
|
|
|
|
间设置隔离防火措施。 |
|
温湿度控制 |
应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 |
|
|
|
|
防静电 |
*)应采用防静电地板或地面并采用必要的接地防静电措施;*)应采取措施防止静电的产生,例如采用静电消除器、佩戴防静电手环等。 |
|
防水和防潮 |
*)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透;*)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透;*)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 |
|
安全通信网络 |
网络架构 |
*)应保证网络设备的业务处理能力满足业务高峰期需要;*)应保证网络各个部分的带宽满足业务高峰期需要;*)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;*)应避免将重要网络区域部署在 |
|
|
|
|
应 |
器和过电压防护设备;*)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;*)应设置冗余或并行的电力电缆线路为计算机系统供电。 |
|
|
|
|
电磁防护 |
*)电源线和通信线缆应隔离铺设,避免互相干扰;*)应对关键设备实施电磁屏蔽。 |
|
可信验证 |
可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形 |
|
|
|
|
|
边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段;*)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
|
|
|
|
通信传输 |
*)应采用校验技术或密码技术保证通信过程中数据的完整性;*)应采用密码技术保证通信过程中数据的保密性。 |
|
访问控制 |
*)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信;*)应删除多余或无效的访问控制规则,优化 |
|
安全区域边界 |
边界防护 |
*)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信;*)应能够对非授权设备私自联到内部网络的行为进行检查或限制;*)应能够对内部用户非授权联到外部网络的行为进行检查或限制;*)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 |
|
|
|
|
|
成审计记录送至安全管理中心。 |
|
入侵防范 |
*)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为;*)应在关键网络节点处检测、防止或限制从内部发起的网络攻击行为;*)应采取技术措施对 |
|
|
|
|
|
访问控制列表,并保证访问控制规则数量最小化;*)应对源地址、目的地址、源端口、目的端口和协议等进行检查,以允许/拒绝数据包进出;*)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力;*)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 |
|
安全审计 |
*)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全 |
|
|
|
|
|
网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析;*)当检测到攻击行为时,记录攻击源**、攻击类型、攻击目标、攻击时间,在发生严重入侵事件时应提供报警。 |
|
|
|
|
恶意代码和垃圾邮件防范 |
*)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新;*)应在关键网络节点处对垃圾邮件进行检测和防护,并维护垃圾邮件防护机制的升级和更新。 |
|
制度 |
应制定密码安全管理制度及操作规范、安全操作规范。密码 |
应制定密码安全管理制度及操作规范、安全操作规范。密码 |
|
|
*.*.*密钥销毁*.*安全管理测评指标 |
归档 |
归档 |
保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。不适用时需标识。 |
|
测评单元 |
测评指标 |
测评指标 |
|
|
|
测评单元 |
测评单元 |
测评指标 |
|
|
|
密钥销毁 |
密钥销毁 |
应具有在紧急情况下销毁密钥的措施。不适用时需标识。 |
|
应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位;建立相应岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制;密钥管理、安全审计、密码操作人员职责应建立多人共管制度,互相制约互相监 |
|
人员 |
应了解并遵守商用密码相关法律法规。 |
|
|
|
|
安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。 |
|
人员 |
应能够正确使用商用密码产品。 |
|
|
|
|
应明确相关管理制度发布流程。 |
|
应定期对密码管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
|
建设 |
应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用 |
|
实施 |
规划 |
信息系统规划阶段,责任单位应依据密码有关标准,制定密码应用建设方案,组织专家进行评审。评审意见作为项目规划立项的重要材料。 |
|
|
|
|
督,相关设备与系统的管理和使用账号不得多人公用。 |
督,相关设备与系统的管理和使用账号不得多人公用。 |
|
应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。 |
应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。 |
|
|
|
|
应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。 |
应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。 |
|
应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。 |
应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。 |
|
信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行 |
|
运行 |
信息系统投入运行前,应经密评机构进行安全性评估,评估通过方可投入正式运行。 |
|
|
|
|
|
密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。 |
|
* |
(*)软件测试*.项目概述为掌握信息系统的安全状况、排查系统功能隐患和薄弱环节、明确信息系统建设整改需求,发现存在的隐患,查找信息系统运行使用过程中存在的不足,及时改进,保证信息系统安全、稳定的运行,全面提升信息系统 |
(*)软件测试*.项目概述为掌握信息系统的安全状况、排查系统功能隐患和薄弱环节、明确信息系统建设整改需求,发现存在的隐患,查找信息系统运行使用过程中存在的不足,及时改进,保证信息系统安全、稳定的运行,全面提升信息系统 |
(*)软件测试*.项目概述为掌握信息系统的安全状况、排查系统功能隐患和薄弱环节、明确信息系统建设整改需求,发现存在的隐患,查找信息系统运行使用过程中存在的不足,及时改进,保证信息系统安全、稳定的运行,全面提升信息系统 |
应选用的经国家密码管理部门核准的密码产品、许可的密码服务。(*)软件测试*.项目概述为掌握信息系统的安全状况、排查系统功能隐患和薄弱环节、明确信息系统建设整改需求,发现存在的隐患,查找信息系统运行使用过程中存在的不足,及时改进,保证信息系统安全、稳定的运行,全面提升信息系统 |
|
成果 |
出具《商用密码应用安全性评估报告》 |
出具《商用密码应用安全性评估报告》 |
|
|
|
|
|
整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。 |
|
事件处置完成后,应及时向同级的密码主管部门报告事件发生情况及处置情况。 |
事件处置完成后,应及时向同级的密码主管部门报告事件发生情况及处置情况。 |
|
|
|
应急 |
事件发生后,应及时向信息系统的上级主管部门和同级的密码主管部门进行报告。 |
事件发生后,应及时向信息系统的上级主管部门和同级的密码主管部门进行报告。 |
|
|
|
应急 |
制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情况及时处置。 |
制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情况及时处置。 |
|
* |
(*)监理*.主要依据:*.*建设方与监理方的监理服务合同;*.*建设方与承建方的承建合同;*.*本项目采购文件、响应文件;*.*监理服务合同、建设合同;*.*本项工程规划设计方案;*.*本项工程的实施方案;*.********《数据中心设计规范》;*.***/*****《计算机软件文档编制规范》;*.*.**/******.*信息技术服务监理第* |
|
|
整体稳定性。*.技术和服务要求:*.*测试依据*.*.*、**/******.**《系统与软件工程系统与软件质量要求和评价(******)第**部分:就绪可用软件产品(****)的质量要求和测试细则》;*.*.*、《计算机软件测试规范》(**/******);*.*.*、**/*****《计算机软件文档编制规范》;*.*.*、**/******.*/*/*《系统与软件功能性》(第*部分:指标体系、第*部分:度量方法、第*部分:测试方法)。部分:总则;*.**.**/******.*信息技术服务监理第*部分:基础设施工程监理规范;*.**.**/******.*信息技术服务监理第*部分:运行维护监理规范;*.**.**/******.*信息技术服务监理第*部分:信息安全监理规范;*.**.**/******.*信息技术服务监理第*部分:软件工程监理规范;*.****/******.*信息技术服务监理第*部分:应用系统数据中心工程监理规范;*.**.国家发改委第**号令《国家电子政务工程建设项目管理暂行办法》 |
*.*.*人员配置要求
采购包*:
按需求配置
*.*.*设施设备要求
采购包*:
按需求配置
*.*.*其他要求
采购包*:
*.供应商为本项目提供技术服务方案:包含①测评指标、②被测系统网络拓扑及资产清单、③被
测系统密码应用现状分析、④风险告知及规避对策、⑤人员安排及时间进度安排、⑥安全物理环
境、⑦安全通信网络、⑧安全区域边界、⑨安全计算环境、⑩安全管理中心、⑪安全管理制度、
⑫安全管理机构、⑬安全管理人员、⑭安全系统建设及安全系统运维管理、⑮监理整体方案;*.
履约能力:具有类似项目业绩的实施案例。*.人员配置:项目总测评师(*人)具有以下有效证
书:①具有网络安全等级测评师高级证书,②具有商用密码应用安全性评估人员能力合格证书,
③具有信息系统监理证书,④具有软件测试工程师证书,⑤具有计算机技术与软件专业资格信息
安全工程师,⑥具有国家重要信息系统保护人员证书(****-*),⑦具有注册渗透测试工程师
(****-***),⑧具有系统架构师(高级),⑨具有网络信息安全工程证书,⑩具有网络安全管
理(*级)。项目经理(*人)具有以下有效证书:①具有信息安全等级测评师高级证书,②
具有信息技术应用创新考试评价证书(信创规划管理师),③具有信息安全保障人员认证证书
(*****)认证方向:风险管理(专业级),④具有网络工程师(高级),⑤具有软件性能测评
师高级,⑥具有系统架构师(高级)⑦具有国家重要信息系统保护人员证书(****-*)。其他测
评人员具有以下有效证书:①具有商用密码应用安全性评估人员能力合格证书,②具有国家重
要信息系统保护人员证书(****-*),③具有信息系统监理师证书,④具有注册网络安全渗透评
估专业人员,⑤具有网络信息安全工程证书,⑥具有网络安全技术(*级),⑦具有注册渗透测
试专家(****-***)。*.质量体系:供应商通过质量体系认证,且认证范围包括“信息安全等级
保护测试评估服务、商用密码应用安全性评估、软件测评”;通过信息安全管理系统认证,且
认证范围包括“信息安全等级保护测试评估服务、商用密码应用安全性评估、软件测评”;通过
环境管理体系认证,且认证范围包括“信息安全等级保护测试评估服务、商用密码应用安全性评
估、软件测评”;通过职业健康安全管理系统认证,且认证范围包括“信息安全等级保护测试评
估服务、商用密码应用安全性评估、软件测评”
*.*、商务要求
*.*.*服务期限
采购包*:
自合同签订之日起***日
*.*.*服务地点
采购包*:
采购人指定地点
*.*.*考核(验收)标准和方法
采购包*:
按本****文件*.*.*履约验收方案执行
*.*.*支付方式
采购包*:
分期付款
*.*.*支付约定
采购包*:付款条件说明:合同签订后,成交供应商向采购人提供合法、等额、有效的发票后,
达到付款条件起**日内,支付合同总金额的**.**%。
采购包*:付款条件说明:服务期限结束后出具全部成果报告,成交供应商向采购人提供合法、
等额、有效的发票后,达到付款条件起**日内,支付合同总金额的**.**%。
*.*.*违约责任及解决争议的方法
采购包*:
*、双方必须遵守本合同并执行合同中的各项规定,保证本合同的正常履行。*、甲方无正当理
由逾期付款的,除应及时付足款项外,应向乙方偿付应付而未付款总额*分之*/天的违约金;
但累计违约金不得超过应付而未付款总额的*%。*、除考核办法约定的情形外,供应商提供的
服务不符合本合同规定的,每出现*天违约(合同涉及“日期”和“天数”的,逾期*天或少*
天视为*天),供应商须向采购人支付本合同总金额*%的违约金并且按甲方要求进行整改,出
现违约__*__次及以上或未按采购人要求整改的,采购人有权无条件解除本合同并根据实际情况
要求供应商退还已收取的费用。*、如因乙方工作人员在履行职务过程中的疏忽、失职、过错等
故意或者过失原因给甲方造成损失或侵害,包括但不限于甲方本身的财产损失、由此而导致的甲
方对任何第*方的法律责任等,乙方应支付合同总价*分之*/天的违约金,并承担全部的赔偿
责任。*、任何*方不得擅自变更、中止或者终止合同。若合同发生变更、中止或终止的,有过
错的*方应当承担赔偿责任,双方都有过错的,各自承担相应的责任。*、供应商保证本合同所
涉产品的权利无瑕疵,包括所有权和知识产权等权利无瑕疵,不侵犯任何第*方的合法权益。如
任何第*方经法院(或仲裁机构)裁决有权对上述产品主张权利,由供应商承担经济责任的,供
应商除应向采购人返还已收款项及利息外,还应另按合同总价的*%向采购人支付违约金并赔偿
因此给采购人造成的*切损失,包括采购人因诉讼产生的律师费、诉讼费等费用。*、如果供应
商违反保密义务的,采购人有权解除本合同并要求供应商赔偿合同总金额*%的违约金,供应商
还应退还采购人已支付的全部款项。供应商及涉事人员还需承担相关的法律责任。*、供应商偿
付的违约金不足以弥补采购人损失的,还应按采购人损失尚未弥补的部分,支付赔偿金给采购人。
*、合同签订后,若供应商存在违法违规行为的,采购人有权无条件解除本合同并要求供应商退
还已经支付但尚未产生的费用。**、如果合同双方在履行本合同过程中发生争议,双方首先应
当采取协商的方式解决该争议,如果协商不成,双方同意选择向甲方所在地人民法院提起诉讼。
**、对任何争议进行诉讼,除争议事项或争议事项所涉及的条款外,双方应继续履行本合同项下
的其它义务。
*.*其他要求
本项目全部商务要求及*.*其他要求均为实质性要求,供应商必须响应并满足所有要求,若不满
足,响应文件做无效处理。