一、项目要求及技术需求

项号

服务名称

数量

服务内容及要求

1

南宁市智慧停车公共服务平台项目第三方测评和信息安全等级测评服务

1项

一、第三方系统测评

（一）测试服务内容

（1）功能测试要求

1）分析被测应用系统功能需求，依据《软件需求规格说明书》、《系统详细设计文档》和软件产品质量要求验证系统实现了全部需求和设计，测试覆盖所有功能点，确保各项功能是可正确执行的；

2）系统业务流的测试和对数据的测试。系统业务流的测试包括正常业务流程、异常业务流程，测试系统是否符合设计方案，且在业务流程中数据不会丢失、不出现异常和不确定流程；数据的测试包括对基础数据、应用数据进行测试，保证数据的真实、准确。

（2）可靠性测试要求

可靠性测试主要验证被测系统的容错性、易恢复性、抗破坏性等是否满足系统建设。

（3）性能测试要求

性能测试需通过模拟不同峰值以及异常负载条件来对系统的各项性能指标进行测试，验证软件系统能否达到系统要求的性能指标，同时测试系统在设计要求的性能指标外的冗余能力，发现软件系统中存在的性能瓶颈，以优化系统提高性能。

（4）可维护性测试要求

可维护性测试应验证软件产品可被修改的能力。修改可能包括纠正、改进或软件对环境、需求和功能规格说明变化的适应。

（5）易用性测试要求

易用性测试要求至少覆盖以下内容：界面内容是否易理解；必要的提示信息是否清晰；APP的操作是否简便等。

（6）适应性测试要求

适应性测试应从硬件适应性、操作系统适应性、数据库适应性等方面，验证系统毋需采用额外的活动或手段就可适应需求中明确的必须适应的软硬件环境。

（7）接口测试要求

系统接口测试需覆盖被测系统与第三方之间的外部接口，测试系统是否对第三方提供了充分的交互数据、满足应用要求；验证被测系统接口数据的交换、传递和控制管理过程是否满足系统建设要求。

（8）用户文档测试要求

用户文档测试应对检查项目的相关文档是否齐全，是否符合验收要求。

（9）信息资源测试要求

1)完整性测试要求

对系统中涉及到的信息资源进行完整性测试，验证信息资源开发中涉及到的数据、文档、图片等信息的完整性能否满足信息资源开发合同中的要求。

2)准确性测试要求

从使用信息资源用户的角度对信息资源进行准确性测试，包括是否满足信息利用者的实际需要，信息含量、实用价值、可靠程度、信息要素详细程度以及各类数据的准确率等方面。

3)格式测试要求

通过对信息资源的格式测试，验证格式是否符合招标文件、合同规定的标准和业务规范要求。

（10）源代码安全测试

通过对南宁市智慧停车公共服务平台平台的源代码进行测试，验证源代码中是否存在与国家标准不符合的安全要求。

★（二）测试依据：

（1）系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则（GB/T 25000.51-2016）。

（2）GB/T 34944-2017《Java语言源代码漏洞测试规范》

（4）南宁市智慧停车公共服务平台建设及运营服务采购合同

（3）南宁市智慧停车公共服务平台项目信息系统第三方检测方案。

（三）其他要求：

（1）测试前必须编制各受检项目的测试方案，做好人员和工具的充分准备；

（2）测试前必须配合受检项目的承建方做好测试平台搭建；

（3）严格按照经批准的测试方案实施测试工作；

（4）测试应符合相关标准的要求；

（5）指导承建方针对测试过程中发现的问题进行整改；

（6）在整改完成后完成对所有问题的回归测试。

（7）测试必须保留原始测试记录，记录测试时间、内容、结果等，并有测试人签字；

★（四）服务成果：

（1）软件测试报告（测试报告封面需要盖有CNAS或CMA章）

（2）软件源代码安全测评报告（测试报告封面需要盖有CNAS或CMA章）

（3）测试问题清单及整改建议

二、信息安全等级测评服务

★（一）总体要求：

依照国家网络安全等级保护（2.0）系列国家标准、自治区公安厅《关于开展全区政府信息系统安全等级保护检查工作的函》（桂公函[2009]429号）的要求，对南宁市智慧停车公共服务平台项目(二级)进行信息安全等级保护测评。

（二）项目基本原则：

（1）客观性和公正性原则

测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

（2）经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。

（3）可重复性和可再现性原则

无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。

（4）符合性原则

测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

★（三）等级保护测评标准：

1、网络安全等级保护制度 2.0 国家标准

2、《网络安全等级保护基本要求》（GB/T22239-2019）

3、《网络安全等级保护测评要求》（GB/T28448-2019）

4、《网络安全等级保护测评指南》（GB/T28449-2018）

本次信息系统等级测评服务项目的实施流程、技术方法必须严格执行国家相关标准规范。

★（四）测评主要内容：

1、安全管理评估；

2、网络安全评估；

3、主机系统评估；

4、应用系统安全评估；

5、数据安全评估；

6、物理安全评估。

★（五）测评方法：

在测评实施过程中，应采用访谈、检查和测试等测评方法进行，并与国家相关规范及标准的要求相符。其中，访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程，检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程，测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程。

★（六）服务成果：

测评完成后，出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。内容包括但不仅限于以下方面：

1、物理安全情况及问题分析；

2、网络安全情况及问题分析；

3、主机系统情况及问题分析；

4、应用安全情况及问题分析；

5、数据安全及备份恢复情况及问题分析；

6、安全管理制度情况及问题分析；

7、安全管理机构情况及问题分析；

8、人员安全管理风险分析；

9、系统建设管理情况及问题分析；

10、系统运维管理情况及问题分析；

11、数据安全情况及问题分析；

12、安全建设整改建议。

七、其它：

（1）风险分析

对测评中发现的问题进行风险分析，并提出具体整改建议。

（2）漏洞发掘

对测评过程中发现的安全漏洞进行深度挖掘，并提出建议协助修补。

（3）安全管理制度

协助采购人建立和完善信息安全管理制度，建立信息安全管理体系；

（4）培训

在服务期内，为采购人提供相应的信息安全培训，包括安全态势、安全技术、攻防技术等内容。

（5）安全监测

在服务期内，供应商对南宁市智慧停车公共服务平台进行检测和监测，定期出具检测和监测报告。

二、商务要求表

★一、合同签订期：自中标通知书发出之日起30日内；若因中标人自身原因未能在约定的时间内与采购人签订合同的，采购人将不再受理合同签订事宜，并报南宁市政府采购监督管理办公室终止项目合同签订、取消中标人中标资格，中标人自行承担由此产生的后果。

★二、提交服务成果时间：自合同签订之日起至以上所列工程完成验收之日止。

★三、提交服务成果地点：南宁市，采购人指定地点。

★四、售后服务要求：

1、服务质保期：自测评结果完成验收之日起计不少于1年。

2、处理问题响应时间：接到采购人处理问题通知后1小时内到达采购人指定现场。

五、其他要求：

1、投标人投标时须提供详细的测评方案，并严格按测评方案执行。进场后，投标人须先行开展预测评，给出全面的测评问题清单及详细改进意见，待系统修改完善后再开展正式测评，并出具测评报告；

★2、投标人提供的测评报告必须是具有法律效力的报告；

★3、报价为总价包干，包括但不限于：

（1）服务的价格；

（2）服务过程中各项必要的开销；

（3）必要的保险费用和各项税金；

★4、付款方式：本项目无预付款，提交南宁市智慧停车公共服务平台所有正式测试报告后一次性支付全款。

★5、中标人必须与招标人签订项目建设保密协议，以确保本项目建设的所有数据及资料（包括审批相关信息、标准规范、技术方案和其他文本、参考资料等）保密安全。

其他

本项目采购标的需执行的国家相关标准、行业标准、地方标准或其他强制性标准、规范等要求：  无 。

（列明相应的标准和规范名称及文号或编号，若无则写“无”）