*分中心****年密码应用安全性评估服务
采购需求
****市大数据中心
****年*月
项目概述
项目背景:依据《中华人民共和国密码法》、《信息安全技术信息系统密码应用基本要求》(**/******-****)、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等法律法规要求,结合****市大数据中心密码应用安全性评估实际工作需求,****市大数据中心信息化服务第*分中心(以下简称“第*分中心”)为满足所服务领域各委办局密码应用安全性评估需求,组织开展信息系统密码应用安全性评估工作,深入查找密码应用的薄弱环节和安全隐患,确保第*分中心管辖内的信息系统和数据安全、可靠、稳定运行。拟通过****方式,选择优质的服务商提供网络和数据安全保障服务。
服务期限:合同签订之日起至****年**月**日
服务地点:****市大数据中心信息化服务第*分中心
预算金额:*,***,***元
采购金额(最高限价):*,***,***元
组织形式:集中采购
采购方式:****
面向企业类型:中小微
是否接受联合体响应:否
服务范围
开展密码应用安全性评估工作是完善信息系统密码应用安全防护能力的*个重要环节,也是信息系统密码应用安全建设和管理的重要组成部分。有序开展第*分中心****年度密码应用安全性评估工作,可以发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异,从而有效加强和完善密码应用安全整改工作。
第*分中心****年密码应用安全性评估范围覆盖第*分中心下属*个信息化服务团队(绿化市容局团队、生态环境局团队、规划资源局团队、交通委团队、国防动员办团队、应急局团队、房管局团队)所属系统商用密码应用安全性评估工作。
服务内容
服务内容概述
信息系统商用密码应用安全性评估的内容包括但不限于以下内容:
*、安全技术测评:包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等*个方面的安全测评。
(*)物理和环境安全
测评类别 |
测评单元 |
安全技术测评-物理和环境安全 |
身份鉴别 |
|
电子门禁记录数据完整性 |
|
视频记录数据完整性 |
|
密码产品 |
|
密码服务 |
(*)网络和通信安全
测评类别 |
测评单元 |
安全技术测评-网络和通信安全 |
实体鉴别 |
|
通信数据完整性 |
|
敏感信息或通信报文机密性 |
|
网络边界访问控制信息完整性 |
|
安全接入认证 |
|
密码产品 |
|
密码服务 |
(*)设备和计算安全
测评类别 |
测评单元 |
安全技术测评-设备和计算安全 |
实体鉴别 |
|
安全的信息传输通道 |
|
系统资源访问控制信息完整性 |
|
重要信息资源安全标记完整性 |
|
日志记录完整性 |
|
重要程序或文件完整性 |
|
密码产品 |
|
密码服务 |
(*)应用和数据安全
测评类别 |
测评单元 |
安全技术测评-应用和数据安全 |
实体鉴别 |
|
访问控制 |
|
重要信息资源安全标记完整性 |
|
数据传输机密性 |
|
数据存储机密性 |
|
数据传输完整性 |
|
数据存储完整性 |
|
不可否认性 |
|
密码产品 |
|
密码服务 |
*、安全管理测评:包括安全管理(分为制度、人员、建设和应急*个子模块)的安全测评。
(*)管理制度
测评类别 |
测评单元 |
安全管理测评-管理制度 |
具备密码应用安全管理制度 |
|
密钥管理规则 |
|
建立操作规程 |
|
定期修订安全管理制度 |
|
明确管理 制度发布流程 |
|
制度执行过程记录留存 |
(*)人员管理
测评类别 |
测评单元 |
安全管理测评-人员管理度 |
了解并遵守密码相关法律法规和密码管理制度 |
|
建立密码应用岗位责任制度 |
|
建立上岗人员培训制度 |
|
定期进行安全岗位人员考核 |
|
建立关键岗位人员保密制度和调离制度 |
(*)建设运行
测评类别 |
测评单元 |
安全管理测评-建设运行 |
制定密码应用方案 |
|
制定密钥安全管理策略 |
|
制定实施方案 |
|
投入运行前进行密码应用安全性评估 |
|
定期开展密码应用安全性评估及攻防对抗演习 |
(*)应急处置
测评类别 |
测评单元 |
安全管理测评-应急处置 |
应急策略 |
|
事件处置 |
|
向有关主管部门上报处置情况 |
服务内容清单
本项目为以下系统提供商用密码应用安全性评估服务,具体以实际服务范围为准:
序号 |
单位名称 |
系统名称 |
系统数量 |
* |
****市规划和自然资源局 |
市规划资源局外网门户网站 |
** |
* |
|
市规划资源局规划管理系统 |
|
* |
|
市规划资源局基础应用支撑系统 |
|
* |
|
市规划资源局自然资源确权登记管理系统 |
|
* |
|
市规划资源局测调管理系统 |
|
* |
|
市规划资源局土地管理系统 |
|
* |
|
市规划资源局建设项目管理系统 |
|
* |
|
市规划资源局地质地矿管理系统 |
|
* |
|
市规划资源局监督及执法管理系统 |
|
** |
|
市规划资源局综合事务系统 |
|
** |
|
市规划资源局内网统*门户系统 |
|
** |
|
市规划资源局数据中台 |
|
** |
****市生态环境局 |
****环境网站(包含****市企事业单位生态环境服务系统、****环境网站) |
* |
** |
|
****市生态环境局电子政务平台(包含****市生态环境局固定污染源综合管理系统、****建设用地地块土壤污染环境管理系统、****市生态环境局数据中台、****市城运系统生态环境管理子系统、****市生态环境局电子政务系统、****市环境保护和生态建设项目管理信息系统、****市入河排污口排查整治综合管理系统、****市环境统计数据应用分析系统、****市生态环境局非道路移动机械管理系统、****市生态环境局政务服务系统、****市生态环境局化学品管理信息系统、****市生态环境局扬尘在线数据业务应用管理系统、****市环境监察移动执法系统、****市移动源环保智慧信息管理系统、****市水生态环境质量综合监管系统) |
|
** |
|
****市生态环境局生态系统保护与评估系统(包含****市“*线*单”成果应用管理系统) |
|
** |
****市交通委员会 |
****巡游出租车监管服务平台 |
* |
** |
****市应急管理局 |
安全生产基础信息平台系统(包含****市安全生产综合管理系统*期、“安全生产基础信息平台”大系统“*网通办”改造、协同办公系统) |
* |
** |
|
****市自然灾害综合监测预警系统 |
|
** |
****市绿化和市容管理局 |
****绿化和市容管理局优化营商环境政务服务系统(包含****绿化和市容管理局优化营商环境“*网通办”应用服务平台) |
* |
** |
|
****市绿化市容综合服务信息平台 |
|
** |
|
****市绿化和市容管理局机关绩效考核管理信息系统 |
|
** |
|
****市绿化和市容行政事务受理系统 |
|
** |
|
****绿化市容科研科创管理平台 |
|
** |
|
****市餐厨垃圾(废油脂)及固体废弃物监管系统 |
|
** |
|
****市绿化市容统计信息管理系统 |
|
** |
|
****市绿化和市容管理局智能辅助决策系统 |
|
** |
|
****市林长制数字化系统 |
|
** |
****市国防动员办公室 |
****市民防行政审批管理系统 |
* |
** |
|
****市民防办公室内控管理服务平台 |
|
** |
|
****市地下空间专业网格化管理系统 |
|
** |
****市房屋管理局 |
****市房屋管理局住房保障管理系统(包含住房保障业务平台) |
** |
** |
|
****市房屋管理局住房保障管理系统(包含国有土地上房屋征收与补偿管理信息系统) |
|
** |
|
****市房屋管理局物业管理系统(包含物业招投标管理子系统) |
|
** |
|
****市房屋管理局物业管理系统(包含****住宅物业网系统) |
|
** |
|
****市房屋管理局物业管理系统(包含公房集中式管理子系统) |
|
** |
|
****市房屋管理局物业管理系统(包含优秀历史建筑保护子系统) |
|
** |
|
****市房屋管理局物业管理系统(包含******物业热线管理子系统) |
|
** |
|
****市房屋管理局物业管理系统(包含****市住宅小区物业服务监管平台) |
|
** |
|
****市房屋管理局房地产市场调控和涉税评估系统(包含****市商办楼宇监测系统) |
|
** |
|
****市房屋管理局房屋状况信息核查系统(包含****市新建商品住房认购资格审核管理系统) |
|
** |
|
****市房屋管理局住房租赁公共服务系统(包含****市住房租赁公共服务平台) |
|
备注:以上系统清单将结合****市大数据中心系统整合和停用情况,以实际清单为准。 |
服务需求
按照第*分中心****年商用密码应用安全性评估工作要求,完成不少于**个信息系统密码应用安全性评估服务(具体信息系统清单以实际需求为准,由采购方确认),出具符合规范的《密码应用安全性评估报告》,提供密码应用技术支撑并协助第*分中心各信息化服务团队开展密码应用安全整改工作。
服务方式:远程与现场相结合的方式。
服务交付物:《商用密码应用安全性评估报告》。
服务质量考核要求
服务质量的考核结果将作为确认甲方需支付的最终合同总价的依据之*。就甲方需支付的最终合同总价,服务质量考核结果为优秀和良好的按成交金额的***%支付,服务质量考核结果为*般的按成交金额的**%支付。
*、根据项目要求在项目验收前完成相关商用密码应用安全性评估服务工作。
*、服务提供方应根据第*分中心商用密码应用安全性评估项目需求,制定详细商用密码应用安全性评估工作计划和方案。
*、商用密码应用安全性评估项目服务响应率=***%。
*、文档完整度和准确率大于**%。
验收要求
商用密码应用安全性评估工作期限终止时,服务提供方应当以书面形式向用户方提交商用密码应用安全性评估总结报告。用户方在收到服务提供方提交的密码应用安全性评估资料(服务周期内的服务过程文档和服务总结报告等)后**个工作日内,对服务提供方的工作进行验收。如属于服务提供方原因致使商用密码应用安全性评估服务未能通过验收的,服务提供方应当在**个工作日内进行整改,并自行承担相关商用密码应用安全性评估相关费用,再次接受用户方的验收,直至符合约定要求。
服务组织和人员要求
密码测评服务团队至少配备*名密码测评服务人员,其中专职项目经理*人,测评人员*人,保密和档案管理员*人。
具体人员要求如下表所示:
角色 |
主要职责 |
人数 |
人员要求 |
驻场要求 |
项目经理 |
负责制定项目计划方案,管控项目实施进度、团队人员日常管理,协调处理项目过程中遇到的各类问题。 |
* |
具备《商用密码应用测评人员测评能力考核》证书;具备密码学或计算机相关专业硕士以上学历,*年及以上密码应用安全性评估经验;具有密码技术应用员证书、信息安全高级工程师; |
不驻场 |
测评人员 |
负责项目实施过程中技术应用的测评工作。 |
* |
*、具备《商用密码应用测评人员测评能力考核》和密码技术应用员证书;*、具备*年以上密码应用安全性评估经验。 |
不驻场 |
档案管理员 |
负责对项目档案的接收、分类、编目等资料档案管理工作。 |
* |
具备《商用密码应用测评人员测评能力考核》证书。 |
驻场 |
对供应商综合实力的要求
供应商具备*******质量管理认证(资质范围:商用密码产品检测服务)的、********信息安全管理认证(资质范围:商用密码产品检测服务、商用密码应用安全性评估服务)的、具备国家密码管理部门颁发的商用密码产品检测机构资质的优先考虑。
密码测评工具和模拟测评环境要求
测评工具要求
本次项目实施过程中所使用到的测评工具,应包括具有自主知识产权或计算机软件著作权的密码检测工具(详细描述所使用工具的型号、功能、使用的方式和对环境和平台的要求以及使用可能对系统造成的风险等),对系统数据进行分析,并以分析结果辅证评估报告。
检测工具包括但不限于以下几类:
*、密码算法验证工具,包括国密算法***、***、***,常见的国际通用算法***、***、***等的验证;
*、随机数随机性检测工具;
*、数字证书检测工具,包括数字证书的格式的合规性验证、数字证书的证书链的检验等;
*、网络协议分析工具;包括但不限于***协议、*****协议;包括主动协议分析工具和被动分析工具。
模拟测评环境要求
服务提供方具有密码测评模拟验证环境的能力及相关设备,包括但不限于以下的密码设备:
*、******:支持国密算法;具有商用密码产品认证证书,用于搭建******网络,模拟******通信信道的测评。
*、********:支持国密算法;具有商用密码产品认证证书,用于搭建********网络,模拟********通信信道的测评。
*、服务器密码机:支持国密算法;具有商用密码产品认证证书,用于实现重要数据的加解密和完整性保护,模拟重要数据加解密和完整性保护的测评。
密码应用安全性评估服务管理要求
密码应用安全性评估服务原则
本项目商用密码应用安全性测评实施方案设计与具体实施应满足以下原则:
*、客观公正原则:测评实施过程中测评人员应保证在最小主观判断情形下,按照测评双方认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
*、经济性和可重用性原则:测评工作可重用已有测评结果,包括商用密码应用安全性测评结果。所有重用结果都应以结果适用于待测评系统为前提,并能够客观反映目前系统的安全状态。
*、可重复性和可再现性原则:依照同样的要求,使用同样的测评方法,不同的测评机构对每个测评实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于,前者关注不同测评者测评结果的*致性,后者则与同*测评者测评结果的*致性有关。
*、结果完善性原则:在正确理解《**/******-****信息安全技术信息系统密码应用基本要求》各个要求项内容的基础之上,检测所产生的结果应客观反映系统的运行状态。测评过程和结果应服从正确的测评方法,确保其满足要求。
密码应用安全性评估服务过程及内容要求
测评服务过程包括*项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。
*、测评准备活动
本活动是开展测评工作的前提和基础,主要任务是掌握被测信息系统的详细情况,准备测评工具,为编制商用密码应用安全性评估方案做好准备。
*、方案编制活动
本活动是开展测评工作的关键活动,主要任务是确定与被测信息系统相适应的测评对象、测评指标、测评检查点及测评内容等,形成商用密码应用安全性评估方案,为实施现场测评提供依据。
*、现场测评活动
本活动是开展测评工作的核心活动,主要任务是根据商用密码应用安全性评估方案分步实施所有测评项目,以了解被测信息系统真实的密码应用现状,获取足够的证据,发现其存在的密码应用安全性问题。
*、分析与报告编制活动
本活动是给出测评工作结果的活动,主要任务是根据**/******-****《信息安全技术信息系统密码应用基本要求》的有关要求,通过单元测评、整体测评、量化评估和风险分析等方法,找出被测信息系统密码应用的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距可能导致的被测信息系统所面临的风险,从而给出各个测评对象的测评结果和被测信息系统的评估结论,形成商用密码应用安全性评估报告。
项目的变更、解除和终止
如果服务提供方丧失履约能力、发生资不抵债或进入破产程序,采购单位可在任何时候以书面形式通知服务提供方终止本项目的执行而不给予服务提供方补偿。该终止本项目将不损害或影响采购单位已经采取或将要采取任何行动或补救措施的权利。
如遇国家、行业管理部门等机构的有关标准和规定调整的,导致本项目内容须做相应调整时,双方应按照公平、合理的原则共同协商修改本项目对应的合同的相关条款。
保密责任
*、成交供应商因履行本项目而知悉的所有数据、信息和资料(包括但不限于账号信息、图表、文字、计算过程、任何形式的文件、访谈记录、现场实测数据、采购人相关工作程序等)以及因履行本项目而形成的数据、信息和任何形式的工作成果,均是采购人要求保密的信息。未经采购人书面同意,成交供应商不得对外泄露采购人要求保密的信息,不得用于其他用途,否则成交供应商需承担由此引起的法律责任和经济责任,包括但不限于直接损失、间接损失、律师费、诉讼费/仲裁费、调查费、公证费等。
*、成交供应商应采取必要的有效措施保证其参与本项目的人员(包括成交供应商聘用的人员、借调的人员、实习的人员)无论是在职或离职后,以及成交供应商的合作方无论是合作中或合作终止后,都能够履行本项目约定的保密义务。若成交供应商人员或成交供应商合作方违反保密规定,成交供应商应承担连带责任。
*、成交供应商(含成交供应商参与本项目的人员以及其合作方)未经采购方书面许可,不得以任何形式自行使用或以任何方式向第*方披露、转让、授权、出售与本项目有关的技术成果、计算机软件、源代码、策划文档、技术诀窍、秘密信息、技术资料和其他文件。
*、以上内容的保密期限自成交供应商知悉保密信息起始至保密信息被合法公开之日止。
*、成交供应商对采购人提拱的临时使用账号要保密,不得公开,对组件开发的账号密码需进行加密,避免信息安全的泄露。未经采购人的同意不得利用采购人的网络及平台进行短信、彩信、微信发送,造成的*切后果由成交供应商负责。
运维过程成交供应商如出现失、窃密事情,参照网络和数据安全事件处罚措施同等处置,具体处罚措施由中心保密管理部门确定。
违约责任
*、因服务提供方违反保密义务或知识产权约定的,采购人有权要求服务提供方支付本项目费用总额不超过**%的违约金,违约金不足以弥补采购人损失的,采购人有权要求服务提供方赔偿超过部分。若服务提供方违反保密义务,采购人还有权立即单方解除维护服务合同而不承担任何违约责任。
*、服务提供方有下列情形之*,采购人有权解除维护服务合同:
(*)服务提供方在服务周期内出现重大网络与信息安全事故;
(*)因服务提供方服务质量问题导致采购人无法实现目的;
(*)擅自转让或者分包其应履行的义务的;
(*)违反或者未履行维护服务合同约定的其他相关义务,且在采购人要求的合理时间内未能纠正的。
关于转让和分包的规定
本项目不得转让不得分包。