招标文件
采购需求
标项一:2022年丽水市大数据发展管理局信息系统商用密码应用安全性评估项目
一、项目背景
党的十八大以来,我国商用密码管理逐步向法治化、规范化、体系化方向迈进。2021年1月1日,《中华人民共和国密码法》正式施行。该法对密码应用的主要制度和开展商用密码应用安全性评估的要求作了明确规定。同时《网络安全法》、《电子签名法》、《商用密码管理条例》等稳步推进金融和重要领域的密码应用,这既是党中央作出的重要战略部署,也是顺应全球信息化发展趋势、维护国家网络和信息安全的必然要求。
为深入贯彻落实习近平总书记关于核心技术自主可控重要批示精神和《中央办公厅、国务院办公厅关于印发〈金融和重要领域密码应用与创新发展工作规划(2018—2022年)〉的通知》(厅字〔2018〕36号)要求,省委密码工作领导小组于2019年6月印发了《浙江省密码应用与创新发展实施方案》(浙密组发〔2019〕1号),对开展商用密码应用安全性评估工作做了具体部署。根据《商用密码应用安全性评估管理办法(试行)》规定,应对三级系统开展商用密码应用安全性评估工作,对商用密码应用的合规性、正确性、有效性进行准确评估分析。开展密码应用安全性评估工作是完善信息系统密码应用安全防护能力的一个重要环节,也是信息系统密码应用安全建设和管理的重要组成部分。通过测评可以发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异,进行全面有效的密码应用安全整改建设,使系统密码应用在技术和管理方面有针对性的加强和完善,以确保网络和信息系统的安全。
在商用密码应用安全性评估项目实施过程中,需邀请国家密码管理局授权的商用密码应用安全性测评目录中明确的测评机构进行测评,并出具符合规范的《安全性评估报告》,并协助被测评单位及相关技术支撑单位落实密码应用安全整改工作。
二、▲项目系统范围
|
序号 |
系统名称 |
等级 |
|
1 |
丽水市“天眼守望”卫星遥感数字化系统 |
三级 |
|
2 |
丽水市电子政务基础设施一体化管控系统 |
三级 |
|
3 |
丽水市网络安全一体化支撑系统 |
三级 |
|
4 |
丽水市公共安全视频图像共享总平台 |
三级 |
|
5 |
丽水市电子政务网络及数据安全监管系统 |
三级 |
|
6 |
丽水市党政机关协同办公系统(含下属区县) |
三级 |
|
7 |
丽水市统一密码服务系统 |
三级 |
|
8 |
丽水市数据安全一体化支撑系统 |
三级 |
|
9 |
丽水市公共数据管理综合应用 |
三级 |
|
10 |
丽水市花园码统一发码系统 |
三级 |
|
11 |
丽水市花园云多业务协同系统 |
三级 |
三、▲项目描述
根据《GB/T 39786-2021 信息安全技术信息系统密码应用基本要求》,测评机构选择与之相对应的标准条款,对信息系统所涉及的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理及安全管理等方面进行测评,协助采购人编制系统密码应用方案并根据每个系统出具《XXX系统商用密码应用安全性评估测评方案》、《XXX系统密码应用方案》商用密码应用安全性评估报告、《XXX系统商用密码应用安全性评估报告》。
四、商用密码应用安全性评估服务
1.商用密码应用安全性测评要求具体内容
根据信息系统的安全保护等级,依据《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》的条款要求,逐一对信息系统密码应用进行检测,测评的内容包括但不限于以下内容:
1.1安全技术测评:包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面的安全测评。
1.2安全管理测评:包括密钥管理、安全管理(分为制度、人员、建设和应急四个子模块)两个方面的安全测评。
商用密码应用安全性要求具体内容:
物理和环境安全
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
应使用密码技术的真实性服务来保护物理访问控制身份鉴别信息,保证重要区域进入人员身份的真实性。 |
|
2 |
电子门禁记录数据完整性 |
检查使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性情况。 |
|
3 |
视频记录数据完整性 |
检查使用密码技术的完整性服务来保证视频监控音像记录的完整性情况。 |
网络和通信安全
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
检查网络和通信设备的身份标识与鉴别和用户登录的配置情况。 |
|
3 |
通信数据完整性 |
通过抓包分析及验证的方式对访通信数据的完整性进行分析检查。 |
|
4 |
通信数据机密性 |
通过抓包分析及验证的方式对访通信数据的机密性进行分析检查。 |
|
5 |
网络边界访问控制信息完整性 |
通过抓包分析、配置检查、工具测试等方式对访问控制信息的完整性进行分析检查。 |
|
6 |
安全接入认证 |
检查是否使用数据签名等密码技术对从外部接入到内部网络的行为进行安全认证。 |
设备和计算安全
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
检查服务器的身份标识与鉴别和用户登录的配置情况。 |
|
2 |
远程管理通道安全 |
核查远程管理过程中,身份鉴别数据是否采用密码技术进行保护;身份过程是否满足要求。 |
|
3 |
系统资源访问控制信息完整性 |
检查各主机相应操作系统或数据库的自主访问控制设置情况,包括安全策略覆盖、访问控制信息完整性情况等。 |
|
4 |
重要信息资源安全标记完整性 |
通过访谈系统管理员和安全管理员关于信息系统重要信息资源的敏感标记设置,并且通过相关技术手段进行强制访问控制措施有效性,同时检查敏感标记的完整性。 |
|
5 |
日志记录完整性 |
检查各主机服务器相应操作系统或数据库的日志记录的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计记录的保护及完整性验证情况。 |
|
6 |
重要可执行程序文件完整性、重要可执行程序来源真实性 |
对重要程序及文件的完整性进行分析检查。 |
应用和数据安全
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
身份鉴别 |
检查业务应用系统的身份标识与鉴别功能设置和使用配置情况; |
|
2 |
访问控制 |
检查业务应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
|
3 |
重要信息资源安全标记完整性 |
通过访谈系统管理员和安全管理员关于信息系统重要信息资源的敏感标记设置,并且通过相关技术手段进行强制访问控制措施有效性,同时检查敏感标记的完整性。 |
|
4 |
重要数据传输机密性 |
检查业务应用系统的重要数据传输机制、加密算法等信息。 |
|
5 |
重要数据存储机密性 |
检查业务应用系统的重要数据传输机制、加密算法等信息。 |
|
6 |
重要数据传输完整性 |
检查重要数据存储的环境及安全性。 |
|
7 |
重要数据存储完整性 |
检查重要数据存储的环境及安全性。 |
|
8 |
不可否认性 |
检查业务应用系统的数据接收行为和数据原发行为是否进行了不可否认性确定。 |
安全管理
|
序号 |
工作单元名称 |
工作单元描述 |
|
1 |
管理制度 |
检查密码安全管理制度的制订情况。 |
|
2 |
人员管理 |
通过访谈安全主管,检查人员名单等文档,检查关于密码管理的相关规定及岗位设置、职责情况。 |
|
3 |
建设运行 |
通过检查相关密码项目文档对密码项目的规划、建设及运行情况进行检查。 |
|
4 |
应急处置 |
通过访谈系统运维负责人,检查密码应用安全事件的应急预案、记录分析文档、密码应用安全事件报告和处置管理制度等过程,评估被评估单位是否采取必要的措施对密码应用安全事件进行等级划分和对密码应用安全事件的报告、处理过程进行有效的管理。 |
2.商用密码应用安全性测评应满足的原则
遵循以下若干原则,是评估结论真实、准确、可信的基础,也是评估组在独立实施评估时,在相似的情况下得出相似结论的前提。本次商用密码应用安全性测评实施方案设计与具体实施应满足以下原则:
(1)客观公正原则:评估实施过程中评估人员应保证在最小主观判断情形下,按照评估双方认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。
(2)经济性和可重用性原则:评估工作可重用已有评估结果,包括商用密码应用安全性评估结果。所有重用结果都应以结果适用于待评估系统为前提,并能够客观反映目前系统的安全状态。
(3)可重复性和可再现性原则:依照同样的要求,使用同样的评估方法,不同的评估机构对每个评估实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于,前者关注不同评估者评估结果的一致性,后者则与同一评估者评估结果的一致性有关。
(4)结果完善性原则:在正确理解《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》各个要求项内容的基础之上,检测所产生的结果应客观反映系统的运行状态。评估过程和结果应服从正确的评估方法,以确保其满足要求。
3.测评要求
(1)供应商应详细描述本次项目的整体实施方案,包括项目概述、密评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2)供应商应详细描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施。
(3)本次项目实施过程中所使用到的各种工具软件由供应商推荐,经采购人确认后由供应商提供并在项目中使用。在响应文件中应详细描述所使用的安全技术工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(4)本次项目实施过程中所使用到的测评工具,应包括国密局认可的密码专用检测工具、漏洞扫描工具等获得许可的检测工具,对系统数据进行分析,并以分析结果辅证评估报告。
(5)安全技术工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经采购人确认后由供应商提供并在项目中使用。
(6)项目实施需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
4.商用密码应用安全性评估成果
本项目测评工作输出包括且不仅仅包括以下成果:
(1)《XXX系统密码应用方案》商用密码应用安全性评估报告
(2)《XXX系统商用密码应用安全性评估测评方案》
(3)《XXX系统商用密码应用安全性评估报告》
五、项目实施要求
1.供应商应保证投标项目在采购人条件成熟时应立即开展实施;
2.供应商在项目实施过程中应服从采购人的统一领导和协调,采购人有权裁决供应商的责任范围,供应商必须执行,在采购人限定的时间内解决问题。如果供应商不能按时完成测评内容,采购人有权中止项目、索赔或拒付款项;
3.供应商需根据自己的工程实施经验结合采购人的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件;
4.协助采购人编制XXX系统密码应用方案;
5.供应商应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;
6.为保证本次项目的质量,承担本次项目的项目负责人具有商用密码应用安全性评估工作经验,且为高级测评师(需提供资格证明文件),项目实施骨干人员要求至少有1名具有密码领域工作经验,其它骨干人员应具有信息安全测评相关工作经验,提供证明文件。
7.为便于采购人建立一套规范的信息安全管理体系,供应商应具备相关认证资质;
8.项目验收完成后,要求提供为期一年的技术咨询服务,以保证项目正常运行。
六、保密要求
供应商必须和采购人签订保密协议,供应商必须要与参加此次项目的所有项目组成员签订保密协议,在合同签订时一并提供给采购人。
供应商具体实施项目中的重要资料和结果,在项目实施期间和实施结束后,供应商不得带离该地点。
供应商对本规范书中的内容及在磋商过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商成交与否,其对上述内容的保密责任将长期存在。
七、服务期限
本项目服务期限为合同签订之日起至2022年12月底前完成本采购需求规定所有内容。
八、付款方式
在合同签订生效且具备实施条件起7个工作日内支付合同价的50%作为预付款,提供完整报告和完成备案并收到发票后的7个工作日内支付合同价的20%;项目实施完成采购人根据绩效评价结果完成最终验收且收到发票后的7个工作日内支付尾款。
标项二:2022年丽水市大数据发展管理局信息系统安全等级保护测评项目
一、项目概况
(一)根据《浙江省信息安全等级保护工作实施方案》(浙等保[2007]3号)、《关于印发〈浙江省信息安全等级评审实施细则〉的通知》(浙信信[2007]145号)《关于开展信息安全等级测评工作的通知》(浙等保[2008]5号)等相关文件及标准要求,对丽水市大数据发展管理局的业务信息系统进行分类和梳理、信息系统定级及备案、等级测评。
根据国家等级保护2.0相关标准,供应商对信息系统安全等级保护的内容,但不限于以下内容:
安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)及扩展项要求。
(二)测评依据
供应商应依据国家及浙江等级保护相关标准2.0的要求开展信息安全等级保护测评工作,依据标准包括但不限于如下国家标准:
GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》
GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》
GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》
GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》
GB/T 28449-2012《信息安全技术信息系统安全等级保护测评过程指南》
GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
GB/T 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》
GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》
(三)测评原则
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究供应商的责任,并签订保密协议。
标准性原则:测评方案的设计与实施应依据国家等级保护2.0的相关标准进行。
规范性原则:测评工作过程中的文档,具有良好的规范性,便于项目的跟踪和控制。
可控性原则:测评服务的进度要严格进度表的安排,保证采购人对于测评工作的可控性。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:测评工作对系统和网络的影响必须在可控范围内,测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响。
(四)整体要求
详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有经验的测评人员进行本次等级保护测评工作。
本次等级保护测评实施过程中所使用到的各种工具软件由供应商提供,经采购人确认后由供应商提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用方式和时间、对环境和平台的要求及使用可能对系统造成的风险等。
安全测评需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
应根据等级测评结果,在等级保护对象运维单位、设备厂商等授权下,协助用户单位针对不符合项开展安全整改(用户单位因为系统版本缺陷、设备缺失需要采购等原则暂时不方便整改,或整改后对现有业务的运行带来影响的安全整改内容除外),整改完成后,针对整改结果协助出具整改结果报告。协助整改的内容应包括但不限于:针对被测系统的主机操作系统、网络及安全设备的安全策略进行安全加固;提供针对不符合项的安全管理制度模板,并协助用户进行内容修改等。
(五) 安全测评报告
供应商应对采购人的各个信息系统进行等级保护测评,形成相应的等级保护2.0标准的报告。
供应商在测评后出具符合主管单位要求的系统安全等级保护测评报告。
供应商协助采购人办理信息系统安全保护等级备案手续。
二、▲项目系统范围
|
序号 |
系统名称 |
系统等级 |
|
1 |
丽水市党政机关协同办公系统(含下属区县) |
三级 |
|
2 |
丽水市公共数据管理综合应用 |
三级 |
|
3 |
丽水市花园码统一发码系统 |
三级 |
|
4 |
丽水市花园云多业务协同系统 |
三级 |
|
5 |
丽水市政务服务用户基础信息库系统 |
二级 |
三、项目成果
提交包括且不仅仅包括以下成果:
1.《XXX系统测评方案》
2.《信息系统等级保护测评报告》
3.《信息系统等级保护整改建议书》
4. 取得等级保护备案证书
测评工作结束后,协助采购人完成系统的报备工作。
四、项目承诺
1.供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
2.保密性要求:供应商必须和采购人签订保密协议和非侵害性协议,供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签定时一并提供给采购人。
3.供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,供应商不得带离该地点。
4.供应商对本规范书中的内容及在磋商过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商成交与否,其对上述内容的保密责任将长期存在。
5.等级保护测评的品质保证:供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
6.供应商须承诺在完成现场测评工作后提供问题清单,并协助配合用户进行整改。对三级信息系统初测未达到“良好”要求的,原则上待协助整改完成达到80分及以上后,复测出具相应系统测评报告。
五、保密要求
供应商必须和采购人签订保密协议,供应商必须要与参加此次项目的所有项目组成员签订保密协议,在合同签订时一并提供给采购人。
供应商具体实施项目中的重要资料和结果,在项目实施期间和实施结束后,供应商不得带离该地点。
供应商对本规范书中的内容及在磋商过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商成交与否,其对上述内容的保密责任将长期存在。
六、服务期限
本项目服务期限为合同签订之日起至2022年12月底前完成本采购需求规定所有内容。
七、付款方式
在合同签订生效且具备实施条件起7个工作日内支付合同价的50%作为预付款,提供完整报告和完成备案并收到发票后的7个工作日内支付合同价的20%;项目实施完成采购人根据绩效评价结果完成最终验收且收到发票后的7个工作日内支付尾款。
绩效评价
绩效评价参照《丽水市大数据局信息化项目购买服务绩效评价管理细则》
根据工作人员日常工作表现、工作能力、责任心、问题解决情况和满意度为依据,分德、能、勤、绩几个方面进行考核评分。
在整个项目的服务周期中,对服务内容以及服务质量,按照丽水市大数据发展管理局定制的共性指标(40分)和个性指标(60分)进行综合考评。
标段一、二共性指标
|
指标内容 |
分值 |
评价标准 |
|
进度 |
8 |
8分:按照服务项目合同要求期限,实施计划完成率达到100%的; 4分:按照服务项目合同要求期限,实施计划完成率在60%(含)-100%之间的; 0分:按照服务项目合同要求期限,实施计划完成率在60%以下的。 |
|
质量 |
8 |
8分:满意。按照服务项目合同的质量要求完成,服务响应速度快、质量有保障; 4分:较满意。基本按照服务项目合同的质量要求完成; 0分:不满意。不能按照服务项目合同的质量要求完成。 |
|
范围 |
8 |
8分:全部完成。按照服务项目合同要求全部完成项目内容; 4分:基本完成。按照服务项目合同要求基本完成项目内容; 0分:完成较差。不能按照服务项目合同要求完成项目内容。 |
|
资金 |
8 |
8分:购买服务成本合理,资金使用规范; 4分:购买服务成本基本合理,资金使用较规范; 0分:购买服务成本不合理,资金使用不规范。 |
|
风险 |
8 |
8分:购买服务过程中对风险把控适中,没有出现因风险导致的服务未完成; 4分:购买服务过程中对风险把控基本合理,没有出现因风险导致的服务未完成; 0分:购买服务过程中对风险把控不合理,出现因风险导致的服务未完成; |
标段一、二个性指标
|
指标内容 |
分值 |
评价标准 |
|
项目信息安全和保密及纪律性 |
10 |
遵守业主的各项管理制度和流程规范,出现项目信息数据外泄等信息安全事件、违反管理制度和流程规范等出现项目安全事故或者被相关部门通报的,出现一次扣5分,最多扣10分。 |
|
文档资料质量 |
10 |
根据要求提供各项文档资料,提交的各类文档符合规范,如没有提交则不得分。分为满意(10分),较满意(8分),一般(6分),不满意(不得分) |
|
服务规范性 |
10 |
遵守业主的各项管理制度和流程规范。由业主单位对服务规范满意度打分,发现一次不规范扣2分,扣完为止。 |
|
服务响应及时性 |
10 |
收到用户服务需求后,是否积极响应。超过12小时未回复,每次扣2分,扣完为止。由业主单位对响应情况满意度打分。 |
|
服务质量 |
10 |
项目服务过程中,发生有理由投诉的,每次扣2分,最多扣10分 |
|
成果交付 |
10 |
是否按要求完成成果交付进行打分,分为满意(10分),较满意(8分),一般(6分),不满意(不得分) |
收藏