项号

服务名称

数量

服务内容及要求

1

南宁市互联网票务平台项目第三方测评服务

1项

1、测试服务内容

（1）功能测试要求

1）分析被测应用系统功能需求，依据《软件需求规格说明书》、《系统详细设计文档》和软件产品质量要求验证系统实现了全部需求和设计，测试覆盖所有功能点，确保各项功能是可正确执行的；

2）系统业务流的测试和对数据的测试。系统业务流的测试包括正常业务流程、异常业务流程，测试系统是否符合设计方案，且在业务流程中数据不会丢失、不出现异常和不确定流程；数据的测试包括对基础数据、应用数据进行测试，保证数据的真实、准确。

（2）可靠性测试要求

可靠性测试主要验证被测系统的容错性、易恢复性、抗破坏性等是否满足系统建设要求；验证系统在出现故障或者违反指定接口的情况下，是否仍能维持规定的性能级别；是否具有避免由软件中故障而导致失效的能力。

（3）性能测试要求

性能测试需通过模拟多种政策、峰值以及异常负载条件来对系统的各项性能指标进行测试，验证软件系统能否达到系统要求的性能指标，同时测试系统在设计要求的性能指标外的冗余能力，发现软件系统中存在的性能瓶颈，以优化系统提高性能。

（4）可维护性测试要求

可维护性测试应验证软件产品可被修改的能力。修改可能包括纠正、改进或软件对环境、需求和功能规格说明变化的适应。

（5）可移植性测试要求

可移植性测试主要验证软件产品从一种环境转移到另外一种环境的能力。

（6）易用性测试要求

易用性测试要求至少覆盖以下内容：界面内容是否易理解；必要的提示信息是否清晰；网站的操作是否简便；网站风格是否一致等。

（7）适应性测试要求

适应性测试应从硬件适应性、操作系统适应性、数据库适应性等方面，验证系统毋需采用额外的活动或手段就可适应需求中明确的必须适应的软硬件环境。

（8）接口测试要求

系统接口测试需覆盖被测系统与第三方之间的外部接口，测试系统是否对第三方提供了充分的交互数据、满足应用要求；验证被测系统接口数据的交换、传递和控制管理过程是否满足系统建设要求。

（9）用户文档测试要求

用户文档测试应对检查项目的相关文档是否齐全，是否符合验收要求。

（10）信息资源测试要求

1)完整性测试要求

对系统中涉及到的信息资源进行完整性测试，验证信息资源开发中涉及到的数据、文档、图片等信息的完整性能否满足信息资源开发合同中的要求。

2)准确性测试要求

从使用信息资源用户的角度对信息资源进行准确性测试，包括是否满足信息利用者的实际需要，信息含量、实用价值、可靠程度、信息要素详细程度以及各类数据的准确率等方面。

3)格式测试要求

通过对信息资源的格式测试，验证格式是否符合招标文件、合同规定的标准和业务规范要求。

（11）源代码安全测试

通过对对互联网票务平台的源代码进行测试，验证源代码中是否存在与国家标准不符合的安全要求。

2、应用系统交付管控解决方案设计

应用系统是整个项目的灵魂，也是项目建设形成的高技术无形资产，但是该资产变动频率高，一但管理不善容易引起新的缺陷，甚至是安全事故，同时也容易造成项目投资资产（软件部分）的流失。为此，希望依托目前平台已有网络和应用环境，为业主设计一套今后对各类应用系统在新建、升级、维护过程中如何实施有效管控的方案，管控的内容要包括软件的代码、文档、程序的管控，软件资产的有效管理，软件运行的监测等，最终保障平台中各类应用系统随时的完整性、一致性和安全性。

3、测试依据：

系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则（GB/T 25000.51-2016）。

GB/T 34944-2017《Java语言源代码漏洞测试规范》

4、其他要求：

（1）测试前必须编制各受检项目的测试方案，做好人员和工具的充分准备；

（2）测试前必须配合受检项目的承建方做好测试平台搭建；

（3）严格按照经批准的测试方案实施测试工作；

（4）测试应符合相关标准的要求；

（5）指导承建方针对测试过程中发现的问题进行整改；

（6）在整改完成后完成对所有问题的回归测试。

（7）测试必须保留原始测试记录，记录测试时间、内容、结果等，并有测试人签字；

商务条款

一、合同签订期：自中标通知书发出之日起7个工作日内。

二、提交服务成果时间：自合同签订之日起至以上所列工程完成验收测试并提交测试报告。

★三、提交服务成果：

（1）软件测试报告（测试报告封面需要盖有CNAS、CMA章）

（2）软件源代码安全测评报告（测试报告封面需要盖有CNAS、CMA章）

（3）测试问题清单及整改建议

（4）回归测试报告

（5）应用系统交付管控解决方案

四、提交服务成果地点：采购人指定地点现场提交。

五、售后服务要求：

1、服务保证期不少于 1 年（自提交服务成果并验收合格之日起计）。

2、处理问题响应时间：接到采购人处理问题通知后2小时内到达采购人指定现场。

★3、竞标文件技术文件中须提供竞标人针对本项目的测评工作计划、服务方案等（格式自拟）。

六、其他要求：

★1、报价必须含以下部分，包括：

（1）服务的价格：本项目竞标报价为总额报价，即一次性报出本项目所需的所有费用，含软件测评费、派出工作人员的交通费、住宿费、伙食补助费及其他与软件测评有关的费用。本项目至验收结束，采购人不另支付任何费用；

（2）必要的保险费用和各项税金。

（3）根据《政府采购货物和服务招标投标管理办法》（财政部令第87号）第六十条规定“评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价，有可能影响产品质量或者不能诚信履约的，应当要求其在评标现场合理的时间内提供书面说明，必要时提交相关证明材料；投标人不能证明其报价合理性的，评标委员会应当将其作为无效投标处理”。

2、成交人必须安排一名指定专门的服务联络人与各被测试单位保持经常性联系，以减少交流的中间环节及项目实施的保密性。

3、成交人在规定时间向被测试单位提供的测试报告；测试报告内容必须包含所有测试项目，对各子项目的测试情况进行详细分析描述，并包含技术和管理方面的整改指导意见。

4、付款方式：本项目无预付款，成交人所提交的服务经采购人验收合格后10个工作日内，一次性支付合同款。

项号

服务名称

数量

服务内容及要求

1

南宁市互联网票务平台项目信息安全等级测评服务

1项

一、总体要求

依照《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息系统安全等级保护测评准则》、自治区公安厅《关于开展全区政府信息系统安全等级保护检查工作的函》（桂公函[2009]429号）的要求，对南宁市互联网票务平台项目(三级)进行信息安全等级保护测评。

二、项目基本原则

（1）客观性和公正性原则

测评工作虽然不能完全摆脱个人主张或判断，但测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

（2）经济性和可重用性原则

基于测评成本和工作复杂性考虑，鼓励测评工作重用以前的测评结果，包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果，都应基于这些结果还能适用于目前的系统，能反映目前系统的安全状态。

（3）可重复性和可再现性原则

无论谁执行测评，依照同样的要求，使用同样的方法，对每个测评实施过程的重复执行都应该得到同样的测评结果。可再现性体现在不同测评者执行相同测评的结果的一致性。可重复性体现在同一测评者重复执行相同测评的结果的一致性。

（4）符合性原则

测评所产生的结果应当是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。

★三、等级保护测评标准

《信息安全等级保护管理办法》（公通字[2007]43号）

《信息系统安全等级保护实施指南》（GB/T 25058-2010）

《信息系统安全等级保护定级指南》（GB/T 22240-2008）

《信息系统安全等级保护基本要求》（GB/T 22239-2008）

《信息系统安全等级保护测评要求》（GB/T 28448-2012）

《信息系统安全等级保护测评过程指南》（GB/T 28449-2012）

本次信息系统等级测评服务项目的实施流程、技术方法必须严格执行国家相关标准规范。

★四、测评主要内容

1、安全管理评估；

2、网络安全评估；

3、主机系统评估；

4、应用系统安全评估；

5、数据安全评估；

6、物理安全评估。

★五、测评方法

在测评实施过程中，应采用访谈、检查和测试等测评方法进行，并与国家相关规范及标准的要求相符。其中，访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程，检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程，测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程。

★六、测评结果

（一）在测评结束时必须提供信息系统的《信息安全等级保护测评报告》，内容包括但不仅限于以下方面：

1、物理安全情况及问题分析；

2、网络安全情况及问题分析；

3、主机系统情况及问题分析；

4、应用安全情况及问题分析；

5、数据安全及备份恢复情况及问题分析；

6、安全管理制度情况及问题分析；

7、安全管理机构情况及问题分析；

8、人员安全管理风险分析；

9、系统建设管理情况及问题分析；

10、系统运维管理情况及问题分析；

11、数据安全情况及问题分析；

12、安全建设整改建议。

七、漏洞挖掘能力

测评机构应具备对测评过程中发现的漏洞进行深度挖掘的能力，以获得过国家计算机网络应急技术处理协调中心和国家信息安全漏洞共享平台（CVND）颁发的《原创漏洞证明》为佳。

★八、服务成果：测评完成后，出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。

商务条款

一、合同签订期：自中标通知书发出之日起7个工作日内。

二、提交服务成果时间：

1、完成时间：自甲方项目书面通知进场之日起20工作日内完成该项目现场测评工作，现场测评结束后35个工作日内提供该项目的初次测评报告；

2、若甲方初次测评合格，乙方不提供复测服务；

3、若甲方初次测评不合格，经甲方整改完成后再与乙方联系确定复测日期，复测完成后25个工作日内提供该项目的最终测评报告。

   注：测评起止时间为乙方从系统调研到出具测评报告的时间周期，不包括甲方的信息系统建设和整改时间。

三、提交服务成果地点：采购人指定地点。

四、售后服务要求：

★1、质量保证期不少于 1 年（自提交服务成果并验收合格之日起计）。

2、处理问题响应时间：接到采购人处理问题通知后2小时内到达采购人指定现场。

五、其他要求：

★1、报价必须含以下部分，包括：

（1）服务的价格：本项目竞标报价为总额报价，即一次性报出本项目的所有费用，含派出工作人员的交通费、住宿费、伙食补助费及其他与测评有关的费用。本项目至审计结束，采购人不另支付任何费用

（2）必要的保险费用和各项税金；

（3）根据《政府采购货物和服务招标投标管理办法》（财政部令第87号）第六十条规定“评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价，有可能影响产品质量或者不能诚信履约的，应当要求其在评标现场合理的时间内提供书面说明，必要时提交相关证明材料；投标人不能证明其报价合理性的，评标委员会应当将其作为无效投标处理”。

2、成交人必须安排一名指定专门的服务联络人与各被测试单位保持经常性联系，以减少交流的中间环节及项目实施的保密性。

3、付款方式：本项目无预付款，成交人所提交的服务经采购人验收合格后10个工作日内，一次性支付合同款。