项号

服务名称

数量

服务内容及要求

1

南宁市智慧校园示范校-平台第三方软件评测和信息安全等级保护测评服务

1项

一、项目概述

项目概况：本项目建设通过整合教育行业关键数据、融合信息技术与教育教学，推进教师利用信息技术改进教学方法创新教学模式，推进信息化课堂教学的全面普及，提高教学点和薄弱学校的教学质量。

二、第三方软件评测服务

依据南宁市信息化项目建设管理等要求，信息化项目建设完成后应安排第三方软件测评，由信息化（工程）项目相关检测单位承担智慧校园示范校项目项目进行第三方软件测评服务工作。

1、测评依据

GB/T 25000.51:2016《软件工程_软件产品质量要求和评价(SQuaRE)_商业现货(COTS)软件产品的质量要求和测试细则》

GB/T 16260.1-2006 《软件工程产品质量第1部分：质量模型》

GB/T 16260.2-2006 《软件工程产品质量第2部分：外部度量》

GB/T 16260.4-2006 《软件工程产品质量第4部分：使用质量的度量》

GB/T 15532-2008 计算机软件测试规范

GB/T 18905-2002  软件工程产品评价

GB 9386-88 计算机软件测试文件编制规范

GB/T 18336-2008 信息技术安全技术信息技术安全性评估准则

2、测评内容：

供应商依据国家标准检测规范以及计算机软件检测规范，对项目进行科学、客观、公正、高效的测评。

在测评过程中，要定期向采购人告知检测过程中出现的问题。

测评内容包括：

（1）测试项目功能和性能是否达到采购人和相关项目承建方的合同约定要求。

（2）检测项目是否满足项目初步设计方案要求的规范和标准要求等。

（3）其他需要测评的相关内容。

三、信息安全等级保护测评服务

1.总体要求

1、依据《信息安全等级保护管理办法》（公通字[2007]43号）和《信息安全等级保护定级指南》（GB/T 22240-2008）(安全保护等级拟定为2级)开展信息系统定级和备案工作，协助采购单位编写和提交符合公安管理部门规范要求的定级报告和备案表以获得公安机关颁发的信息系统安全等级备案证明。
2、依据《信息系统安全等级保护基本要求》（GB/T 22239-2008）对系统(安全保护等级拟定为2级)开展安全等级测评工作，在项目终验前完成正式等级测评并出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。
3、协助采购单位建立和完善信息安全管理制度，初步建立信息安全管理体系。
4、上述信息系统的安全等级测评内容应包括技术和管理两大类，其中技术类应包括对物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等方面的测评，管理类测评应包括对机构安全管理机构、人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的测评，并提出安全建设整改建议。
5、在等级保护测评过程中，应采用访谈、检查、测试、工具扫描等国际国内认可的先进方法和手段进行，并与国家相关规范及标准的要求相符。测评中必须采用专业的国内安全扫描设备及软件产品辅助测评工作的完成。
6、对信息系统进行安全漏洞检测和挖掘，检测例如缓冲区溢出、SQL注入和跨站脚本等常见安全漏洞，并提供漏洞修补建议及时采取适当的处理措施进行修补，有效阻止安全隐患被利用和发生安全事件。
7、测评机构的测评人员（不少于1个）必须具备公安部信息安全等级保护评估中心颁发的《信息安全等级测评师证书》。响应文件提供有效证书复印件。
8、必须按采购人要求签署相关保密协议，严格遵守协议要求。9、实施要求

本项目要求成交测评方，进行信息安全等级保护测评并信息安全等级保护评估报告，并作为项目采购人验收的依据。

成交人应对整个系统进行安全功能验证、配置扫描、漏洞扫描、代码扫描等安全测评，对整个系统承载设备进行全方面扫描；应针对本项目制定完整的实施方案，包括但不限于进度安排、人力资源计划、质量保证、风险管理、沟通管理等内容。

9.1项目的资源配置

成交供应商须在其技术文件中清晰陈述对于该项目的资源配置情况，包括：

9.1.1、项目组配备人员的能力与资质

9.1.2、测评环境构建方案

供应商应在其响应文件中陈述拟安排的资源和可用性保障条件，明确拟投入项目人员的专业背景、项目实践经验、资质及技术能力说明、并在响应文件提供相关人员资质证书复印件（原件备查）。

安全评测应采用业界主流的测评工具进行测评，由供应商提供，如果出现知识产权问题，责任归供应商。

9.2.工作流程

供应商的响应文件中须清晰描述其如何安排项目的工作流程，包含但不限于以下环节：

9.2.1. 测评调研：对被测系统进行调研，熟悉测评需求。

9.2.2. 测评准备：测评方案、测评脚本等的编制和准备。

9.2.3. 测评方案评审：中标人、招标单位对测评方案进行评审。

9.2.4. 测评执行：完成测评方案中要求的所有内容，并填写详细测评记录。

9.2.5. 测评报告提交：提交正式信息安全等级保护评估报告。

9.3质量控制和保障

供应商响应文件中须清晰陈述其对项目实施质量控制和质量保障的方法、控制的目标、内容与流程、项目沟通制度、对于变更的管理等。

10、测评结果

10.1.在测评结束时必须提供信息安全测评报告，其测评报告内容包括但不仅限于以下方面：

1）物理安全情况及问题分析；

2）网络安全情况及问题分析；

3）主机系统情况及问题分析；

4）应用安全情况及问题分析；

5）数据安全及备份恢复情况及问题分析；

6）安全管理制度情况及问题分析；

7）安全管理机构情况及问题分析；

8）人员安全管理风险分析；

9）系统建设管理情况及问题分析；

10）系统运维管理情况及问题分析；

11）数据安全情况及问题分析；

12）安全建设整改建议。

10.2.提交原始评估数据包括但不仅限于：

1）主机安全测评数据；

2）配置核查测评数据。

商

务

条

款

一、合同签订期：自成交通知书发出之日起7个工作日内。

★二、提交服务成果时间：自合同签定之日起至出具报告之日止。

三、提交服务成果地点：南宁市。

四、提交服务成果内容：出具第三方软件测试报告和信息安全等级保护评测结果报告。

五、售后服务要求：

1、出具的测试报告具备法律效力；

2、对于测试的工作要承担法律责任；

3、第三方测试属于通过技能及规范为用户提供服务；

4、符合服务行业的特性；

★5、质量保证期：自提交服务并验收合格之日止。

六、其他要求：

★1、报价必须含以下部分，包括：

（1）服务的价格；

本项目竞标报价为总额报价，即一次性报出本项目所需的所有费用，含派出工作人员的交通费、住宿费、伙食补助费及其他与评测服务有关的费用。本项目至验收结束，采购人不另支付任何费用。

（2）必要的保险费用和各项税金；

★2、付款方式：本项目无预付款，项目全部竣工验收合格后一次性支付合同款项。

★3、成交人在签订合同后一周内，提供项目测评方案和项目管理方案，经采购人同意后方可执行。