招标文件
采购项目技术、服务、政府采购合同内容条款及其他商务要求
前提:本章采购需求中标注“*”号的条款为本次磋商采购项目的实质性要求,供应商应全部满足。
一、项目概述
建设项目背景:
《成都市公园城市建设发展“十四五”规划》(征求意见稿),对公园城市2025年的发展目标进行了规划,提出加快实现绿色低碳、集约高效、智慧韧性的城市发展方式,支撑高质量发展的创新体系、现代产业体系和城市治理体系基本建成,率先实现碳达峰、碳中和,基本建成践行新发展理念的公园城市示范区。公园城市建设是践行国家生态文明思想,贯彻落实碳达峰、碳中和战略目标的重要抓手,信息化建设则是提升公园城市内部运转效率和对外城市风貌展示的关键工程,是智慧蓉城建设中的亮点,能够在整体智慧城市运行管理的过程中彰显成都特色,引领公园城市建设潮流。
本项目按照“智慧蓉城”建设有关标准和要求,优化整合市公园城市局现有信息系统,并实现与“智慧蓉城”平台充分对接,建成市公园城市局城运分中心,实现行业领域“一体共享、一屏全观、一网通办”,聚焦“高效处置一件事”,创新管理模式手段,构建线上线下联动、服务管理同步工作模式,实现业务协同智能化、目标管控智慧化、公众服务便捷化,全面提升公园城市业务处理效率和智慧化水平,全面增强行业领域公共服务能力。
本项目从“成都市公园城市建设管理智慧云平台(一期)”需求角度出发,对“成都市公园城市建设管理智慧云平台(一期)”提供第三方软件测评、等级保护测评及密码应用和安全性评估服务,直至项目验收。
本项目共3个包,具体情况如下:
|
包号 |
标的名称 |
所属行业 |
数量 |
是否允许进口产品 |
是否属于优先采购节能产品 |
是否属于强制采购节能产品 |
是否属于优先采购环境标志产品 |
|
01 |
成都市公园城市建设管理智慧云平台(一期)第三方软件测评 |
软件和信息技术服务业 |
1批 |
否 |
否 |
否 |
否 |
|
02 |
成都市公园城市建设管理智慧云平台(一期)等级保护测评 |
软件和信息技术服务业 |
1批 |
否 |
否 |
否 |
否 |
|
03 |
成都市公园城市建设管理智慧云平台(一期)密码应用和安全性评估服务 |
软件和信息技术服务业 |
1批 |
否 |
否 |
否 |
否 |
*二、商务要求
01包
1.服务期限:合同签订生效之日起12个月内。具体实施节点根据成都市公园城市建设管理智慧云平台建设项目(一期)及所需软件测评相关项目的实施时间进行调整。
2.服务地点:成都市。
3.付款方式:
(1)采购合同签订生效后,采购人收到供应商发票后10个工作日内向供应商支付合同总价的50%;
(2)完成服务准备期所有测评工作且出具符合采购人系统现状的测评报告,采购人收到供应商发票后10个工作日内向供应商支付合同总价的30%;
(3)本次采购的软件测评项目验收合格,采购人收到供应商发票后10个工作日内向供应商支付合同总价的20%。
(4)供应商须向采购人出具合法有效完整的完税发票及凭证资料进行支付结算,付款方式均采用公对公的银行转账,成交供应商接受转账的开户信息以双方在采购合同中载明的为准。
4.履约验收
①履约验收主体:采购人
②履约验收时间:合同期满后半个月内进行验收(注:本次采购的服务是对建设完成后的成都市公园城市建设管理智慧云平台(一期)进行测评,若智慧云平台未按时完成,本服务履约时间相应顺延。)
③验收组织方式:自行验收
④履约验收程序:一次性验收
⑤技术履约验收内容:按照本项目招标文件中“技术、服务要求”及中标人投标文件进行验收。
⑥商务履约验收内容:按照本项目招标文件中“商务要求”及中标人投标文件进行验收。
⑦验收标准:采购人按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)的要求进行验收。
5.其他要求
(1)保密要求
①成交供应商承担本项目范围内的所有技术情报和资料的保密义务,不得以任何形式向任意第三方传泄,不论本项目是否变更、解除或终止,本条款均有效;
②成交供应商在合同期内或合同终止后,未征得采购人书面同意,不得向任意第三方以任何形式泄露本项目及同业务有关的一切资料。否则造成泄密的,成交供应商需承担采购人由此引起的一切损失,若后果严重且触犯法律的,采购人依法追究其法律责任。
(2)知识产权:成交供应商应保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权。
02包
1.服务期限:合同签订生效之日起12个月内。具体实施节点根据成都市公园城市建设管理智慧云平台建设项目(一期)及所需软件测评相关项目的实施时间进行调整。
2.服务地点:成都市。
3.付款方式:
(1)采购合同签订生效后,采购人收到供应商发票后10个工作日内向供应商支付合同总价的50%;
(2)完成服务准备期所有测评工作且出具符合采购人系统现状的测评报告,采购人收到供应商发票后10个工作日内向供应商支付合同总价的30%;
(3)本次采购的软件测评项目验收合格,采购人收到供应商发票后10个工作日内向供应商支付合同总价的20%。
(4)供应商须向采购人出具合法有效完整的完税发票及凭证资料进行支付结算,付款方式均采用公对公的银行转账,成交供应商接受转账的开户信息以双方在采购合同中载明的为准。
4.履约验收
①履约验收主体:采购人
②履约验收时间:合同期满后半个月内进行验收(注:本次采购的服务是对建设完成后的成都市公园城市建设管理智慧云平台(一期)进行测评,若智慧云平台未按时完成,本服务履约时间相应顺延。)
③验收组织方式:自行验收
④履约验收程序:一次性验收
⑤技术履约验收内容:按照本项目招标文件中“技术、服务要求”及中标人投标文件进行验收。
⑥商务履约验收内容:按照本项目招标文件中“商务要求”及中标人投标文件进行验收。
⑦验收标准:采购人按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)的要求进行验收。
5.其他要求
(1)保密要求
①成交供应商承担本项目范围内的所有技术情报和资料的保密义务,不得以任何形式向任意第三方传泄,不论本项目是否变更、解除或终止,本条款均有效;
②成交供应商在合同期内或合同终止后,未征得采购人书面同意,不得向任意第三方以任何形式泄露本项目及同业务有关的一切资料。否则造成泄密的,成交供应商需承担采购人由此引起的一切损失,若后果严重且触犯法律的,采购人依法追究其法律责任。
(2)知识产权:成交供应商应保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权。
03包
1.服务期限:合同签订生效之日起12个月内。具体实施节点根据成都市公园城市建设管理智慧云平台建设项目(一期)及所需软件测评相关项目的实施时间进行调整。
2.服务地点:成都市。
3.付款方式:
(1)采购合同签订生效后,采购人收到供应商发票后10个工作日内向供应商支付合同总价的50%;
(2)完成服务准备期所有测评工作且出具符合采购人系统现状的测评报告,采购人收到供应商发票后10个工作日内向供应商支付合同总价的30%;
(3)本次采购的软件测评项目验收合格,采购人收到供应商发票后10个工作日内向供应商支付合同总价的20%。
(4)供应商须向采购人出具合法有效完整的完税发票及凭证资料进行支付结算,付款方式均采用公对公的银行转账,成交供应商接受转账的开户信息以双方在采购合同中载明的为准。
4.履约验收
①履约验收主体:采购人
②履约验收时间:合同期满后半个月内进行验收(注:本次采购的服务是对建设完成后的成都市公园城市建设管理智慧云平台(一期)进行测评,若智慧云平台未按时完成,本服务履约时间相应顺延。)
③验收组织方式:自行验收
④履约验收程序:一次性验收
⑤技术履约验收内容:按照本项目招标文件中“技术、服务要求”及中标人投标文件进行验收。
⑥商务履约验收内容:按照本项目招标文件中“商务要求”及中标人投标文件进行验收。
⑦验收标准:采购人按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)的要求进行验收。
5.其他要求
(1)保密要求
①成交供应商承担本项目范围内的所有技术情报和资料的保密义务,不得以任何形式向任意第三方传泄,不论本项目是否变更、解除或终止,本条款均有效;
②成交供应商在合同期内或合同终止后,未征得采购人书面同意,不得向任意第三方以任何形式泄露本项目及同业务有关的一切资料。否则造成泄密的,成交供应商需承担采购人由此引起的一切损失,若后果严重且触犯法律的,采购人依法追究其法律责任。
(2)知识产权:成交供应商应保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权。
三、技术、服务要求
01包
(一)、技术服务要求
1、测试概述
软件测试内容应根据成都市公园城市建设管理局为成都市公园城市建设管理智慧云平台建设项目(一期)软件建设内容。依据被测试项目招投标文件、需求文档的要求,对软件平台内容进行全面检测和验证,
项目的测评依据包括两个方面的材料,一方面是项目建设实施相关的项目文档,另一方面是国家针对测评的相关项目技术标准和规范。
2、项目相关材料
《项目招标文件》、《项目投标文件》、《项目合同》以及需求单位确认的技术要求等。
3、国家相关技术标准
GB/T 25000.51:2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》;
参考GB/T 25000.10:2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第10部分:系统与软件质量模型》;
GB/T 16260.2《软件工程产品质量第2部分外部度量》;
GB/T 18905.1《软件工程产品评价第1部分概述》;
GB/T 18905.2《软件工程产品评价第2部分策划和管理》;
GB/T 18905.5《软件工程产品评价第5部分评价者用的过程》;
GB/T 18905.6《软件工程产品评价第6部分概述评价模块的文档编制》;
GB/T 8567-2006《计算机软件文档编制规范》;
GB/T 9385-2008《计算机软件需求说明编制指南》;
GB 9386-2008《计算机软件测试文件编制规范》;
GB 14394-2008《计算机软件可靠性和可维护性管理》;
相关行业标准及政府法规。
(二)、服务目标
为保障软件平台稳定运行达到软件设计要求,根据项目要求需要对软件平台进行系统功能性、性能效率、可靠性、可移植性、易用性、兼容性、可维护性、信息安全性、源代码等某一项要求或者某几项要求进行测试,同时通过测试过程了解目前需求方的交付现状,并结合测试机构的经验,为需求方设计一套有效的应用系统升级、维护交付可控方案。通过采购专业第三方测试服务,达成如下总体测试目标:
依据国家标准GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》对我单位成都市公园城市建设智慧管理云平台(一期)进行功能测评及性能测试,其中性能测试应包括:可靠性测试、易用性测试、性能效率测试、维护性测试、可移植性测试等,出具软件测试报告。
判定各项目的建设方案、招标方案、需求规格说明书等是否实现;
判定各项目的建设是否满足国家、各项政策法规及标准要求;
为需求方设计一套有效的应用交付管控解决方案。
通过测试来发现问题、解决问题,从而帮助平台的使用者规避安全风险。测试服务提供者将在采购人指定地点完成所有信息系统的测评服务,并提出整改建议。
(三)、服务内容
成都市公园城市建设管理局为成都市公园城市建设管理智慧云平台建设项目(一期)软件测试内容须遵循但不限于下表要求的内容开展工作,具体所示:
|
测试内容 |
备注 |
|
|
功能性测试 |
功能完备性测试 |
|
|
功能准确性测试 |
||
|
功能适合性测试 |
||
|
性能测试 |
时间特性测试 |
|
|
资源特性测试 |
||
|
兼容性测试 |
共存性测试 |
|
|
互操作性测试 |
||
|
可靠性测试 |
成熟性测试 |
|
|
可用性测试 |
||
|
容错性测试 |
||
|
易恢复性测试 |
||
|
易用性测试 |
可辨识性测试 |
|
|
易学性测试 |
||
|
操作易用性测试 |
||
|
用户差错防御性 |
||
|
用户界面舒适性 |
||
|
访问易用性测试 |
||
|
用户文档集测试 |
可用性测试 |
|
|
内容测试 |
||
|
标识和标示测试 |
||
|
完备性测试 |
||
|
正确性测试 |
||
|
易理解性测试 |
||
|
信息安全性测试 |
其它相关测试 |
|
1、功能性测试
功能性测试验证系统功能模块是否都能正常运行并完成所赋予的任务,客观全面的检查系统功能。系统的功能性测试包括以下3个方面:
(1)功能完备性测试
基本功能测试
整体业务流程测试
数据访问控制测试
(2)功能准确性测试
包括数据更新和共享等功能,如单位和个人信息的更新、调用,确认系统在数据调用过程中要求达到系统预期的准确度。
(3)功能适合性测试
系统与外部系统、设备、文件以及系统内部的数据传送功能。如其它外部系统编写的组件在数据中心系统的注册授权发布等。
2、性能测试
性能测试内容主要包括时间特性和资源特性:组件调用并发访问,检测用户的数量极限以及响应时间的压力测试:利用测试软件,模拟巨大的工作负荷以查看应用程序在峰值使用情况下如何执行操作,例如模拟一个更新个人基本资料的操作,在相同的测试背景下,分别模拟不同的用户同时并发更新个人基本资料,记录响应时间,并分析。
3、兼容性测试
在与其它产品共享通用的环境和资源的情况下,产品可有效执行所需的功能,且没有对其它产品造成负面影响。
4、易用性测试
易用性测试是考察软件产品是否易于理解、学习和使用。对该系统的易用性测试包括以下6个方面:
(1)可辨识性测试
对系统的各项功能容易被识别和被理解的程度、界面的输入和输出的格式和含义容易被理解的程度进行验证。
(2)易学性测试
验证系统帮助、用户文档描述说明的有效性和容易学习程度。
(3)操作易用性测试
考察系统界面整体的规范性、合理性、一致性和定制性,对窗口、菜单、图标、鼠标和文字各项界面元素内容进行测试,对提示信息的各项测试内容进行考察,验证系统是否易于操作。
(4)用户差错防御性测试
为重要的操作返回必要的结果信息,所有界面元素提供了充分而必要的提示。
(5)用户界面舒适性
控件的大小、颜色、背景和显示信息等属性一致,标签和讯息的措辞一致。
(6)访问易用性
用户容易知道自己在界面中的位置,不会迷失方向。
5、可靠性测试
可靠性主要针对系统的稳定可靠进行测试。对该系统的可靠性测试包括以下4个方面:
(1)成熟性
对重要数据输入时系统能进行检查,并对用户的非法输入值给出对应的提示信息。
(2)可用性
程序运行过程中出现断电或断网等异常时,系统和数据不受影响。若受损,系统提供补救工具。
(3)容错性测试
系统能屏蔽用户常见的误操作、操作错误以及当软件发生错误时,系统能进行提示。
(4)易恢复性测试
数据库系统出错或系统崩溃,导致无法正常使用,数据库系统本身应具有恢复功能。
6、用户文档集测试
对软件产品的用户文档进行测试,根据标准要求包括以下6个方面:
(1)可用性测试
确认用户文档是否包含了使用产品所需的信息,系统的所有功能以及在程序中用户可调用的所有功能是否都进行了完整描述,对于系统存在的边界值是否都具体列出,需要用户进行安装时是否说明了具体的安装过程。
(2)内容测试
确认用户文档的所有信息是否正确,有无歧义和错误的表达。
(3)标识和标示测试
确认用户文档自身内容间、用户文档与产品实际运行结果间是否无相互矛盾之处,每个术语的含义是否处处一致。
(4)完备性
用户文档应为用户学会如何使用该软件提供必要的信息。
(5)正确性
出现错别字及有二义性的说法,特别要注意的是屏幕截图或绘制图形中的文字与当前软件版本的一致。
(6)易理解性测试
确认用户文档对于正常执行其工作任务的一般用户是否易理解,例如,通过适当的术语、图形表示、详细的解释以及引用有用的信息源来表示。
7、信息安全性测试
按照信息安全性要求,主要从保密性、权限控制、访问控制(留痕功能)等方面验证系统自身的安全性是否满足要求。
(四)、项目交付物
软件测试工作主要交付物:测试方案、测试问题报告、软件测试报告。
(五)、项目团队(供应商需提供承诺函并加盖单位公章,承诺函格式自拟)
应至少有项目负责人、项目经理、软件测试工程师、质检工程师。
(六)、测试要求
本次测试以成都市公园城市建设管理智慧云平台建设项目(一期)建设成果为测试对象,测试范围包括但不限于成交供应商提供的实施方案、需求文档、需求变更文档等文档所提供的建设内容。功能测试时主要参照软件质量模型,从软件的功能性、兼容性的方面进行测试。以及采购人要求的测试模块及测试内容。
功能性测试验证系统功能模块是否都能正常运行并完成所赋予的任务,客观全面的检查系统功能。
|
总体方向 |
功能性测试是依据用户确定的《用户手册》和《需求规格说明书》中的技术要求,并结合用户对系统建设的整体功能方向,对系统的内涉及到的所有业务逻辑、功能逻辑、功能项的全覆盖测试。 |
|
测试关注 |
功能正确性:产品或系统提供具有所需精度的正确的结果的程度。 功能适合性:功能促使指定的任务和目标实现的程度。 |
02包
(一)测评要求
1.整体概述
1.1项目背景
为了落实公安部应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故。根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全等级保护管理办法》(公通字〔2007〕43号)、《中华人民共和国网络安全法》和《四川省市县财政网络安全工作规范》等标准规范,现拟招一家供应商提供等保测评服务。
依据网络安全等级保护的标准要求,本次网络安全等级保护测评涵盖安全技术(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、)以及安全管理(安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)方面。依据相关的测评准则,结合系统的构成特点,判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求,找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保其安全防护水平达到网络安全等级保护相应能力的要求。
1.2测评原则
方案设计与实施应满足以下原则:
(1)符合性原则:应符合国家网络安全等级保护制度及相关法律法规,指出防范的方针和保护的原则。
(2)标准性原则:方案设计、实施与网络安全体系的构建应依据国内、国际的相关标准进行。
(3)规范性原则:项目实施应由专业的等级测评师依照规范的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。
(4)可控性原则:项目实施的方法和过程要在双方认可的范围之内,实施进度要按照进度表进度的安排,保证项目实施的可控性。
(5)整体性原则:安全体系设计的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。
(6)最小影响原则:项目实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。
(7)保密原则:对项目实施过程获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害测评委托单位利益的行为。
1.3测评依据
信息系统等级测评依据《网络安全等级保护基本要求》、《网络安全等级保护测评要求》,在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上,针对相应等级的信息系统遵循的标准进行综合系统测评,提出相应的系统安全整改建议。
主要参考标准如下:
《中华人民共和国网络安全法》
GB17859-1999:《计算机信息系统安全保护等级划分准则》
GB/T 20984-2007:《信息安全技术信息安全风险评估规范》
GB/T 22239-2019:《信息安全技术网络安全等级保护基本要求》
GB/T 22240-2008:《信息安全技术信息系统安全等级保护定级指南》
GB/T 25058-2019:《信息安全技术网络安全等级保护实施指南》
GB/T 25070-2019:《信息安全技术网络安全等级保护安全设计技术要求》
GB/T 28448-2019:《信息安全技术网络安全等级保护测评要求》
GB/T 28449-2018:《信息安全技术网络安全等级保护测评过程指南》
GB/T 31509-2015:《信息安全技术信息安全风险评估实施指南》
GB/T 36627-2018:《信息安全技术网络安全等级保护测试评估技术指南》
2.测评实施内容
2.1测评分析
2.1.1测评对象
|
序号 |
系统名称 |
安全等级 |
|
1 |
成都市公园城市建设管理智慧云平台(一期) |
第三级 |
2.2测评内容
网络安全等级保护测评要求由安全测评通用要求和安全测评扩展要求两部分组成。安全测评通用要求具体分为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个方面。安全测评扩展要求具体分为云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全测评扩展要求等四个方面。在具体测评实施过程中根据不同的等级保护对象组成,选择安全测评通用要求以及合适的安全测评扩展要求进行测评。
2.2.1安全物理环境测评
|
序号 |
控制点 |
安全要求项 |
|
01 |
物理位置选择 |
a)机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
|
02 |
b)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。 |
|
|
03 |
物理访问控制 |
a)机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 |
|
04 |
防盗窃和防破坏 |
a)应将设备或主要部件进行固定,并设置明显的不易除去的标识; |
|
05 |
b)应将通信线缆铺设在隐蔽安全处; |
|
|
06 |
c)应设置机房防盗报警系统或设置有专人值守的视频监控系统。 |
|
|
07 |
防雷击 |
a)应将各类机柜、设施和设备等通过接地系统安全接地; |
|
08 |
b)应采取措施防止感应雷,例如设置防雷保安器或过压保护装置等。 |
|
|
09 |
防火 |
a)机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; |
|
10 |
b)机房及相关的工作房间和辅助房应采用具有耐火等级的建筑材料; |
|
|
11 |
c)应对机房划分区域进行管理,区域和区域之间设置隔离防火措施。 |
|
|
12 |
防水和防潮 |
a)应采取措施防止雨水通过机房窗户、屋顶和墙壁渗透; |
|
13 |
b)应采取措施防止机房内水蒸气结露和地下积水的转移与渗透; |
|
|
14 |
c)应安装对水敏感的检测仪表或元件,对机房进行防水检测和报警。 |
|
|
15 |
防静电 |
a)应采用防静电地板或地面并采用必要的接地防静电措施; |
|
16 |
b)应采取措施防上静电的产生,例如采用静电消除器、佩戴防静电手环等。 |
|
|
17 |
湿温度控制 |
a)应设置温、湿度自动调节设施,使机房温、湿度的变化在设备运行所允许的范围之内。 |
|
18 |
电力供应 |
a)应在机房供电线路上配置稳压器和过电压防护设备; |
|
19 |
b)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求; |
|
|
20 |
c)应设置冗余或并行的电力电缆线路为计算机系统供电。 |
|
|
21 |
电磁防护 |
a)电源线和通信线缆应隔离铺设,避免互相干扰; |
|
22 |
b)应对关键设备实施电磁屏蔽。 |
2.2.2安全通信网络测评
|
序号 |
控制点 |
安全要求 |
|
01 |
网络架构 |
a)应保证网络设备的业务处理能力满足业务高峰期需要; |
|
02 |
b)应保证网络各个部分的带宽满足业务高峰期需要; |
|
|
03 |
c)应划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址; |
|
|
04 |
d)应避免将重要网络区域部署在边界处,重要网络区域与其他网络区域之间应采取可靠的技术隔离手段; |
|
|
05 |
e)应提供通信线路、关键网络设备和关键计算设备的硬件冗余,保证系统的可用性。 |
|
|
06 |
通信传输 |
a)应采用校验技术或密码技术保证通信过程中数据的完整性; |
|
07 |
b)应采用密码技术保证通信过程中数据的保密性。 |
|
|
08 |
可信验证 |
a)可基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
2.2.3安全区域边界测评
|
控制点 |
安全要求项 |
|
|
01 |
边界防护 |
a)应保证跨越边界的访问和数据流通过边界设备提供的受控接口进行通信; |
|
02 |
b)应能够对非授权设备私自联到内部网络的行为进行检查或限制; |
|
|
03 |
c)应能够对内部用户非授权连到外部网络的行为进行检查或限制; |
|
|
04 |
d)应限制无线网络的使用,保证无线网络通过受控的边界设备接入内部网络。 |
|
|
05 |
访问控制 |
a)应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下除允许通信外受控接口拒绝所有通信; |
|
06 |
b)应删除多余或无效的访问控制规则,优化访问控制列表,并保证访问控制规则数量最小化; |
|
|
07 |
c)应对源地址、目的地址,源端口、目的端口和协议等进行检查,以允许/拒绝数数据包进出; |
|
|
08 |
d)应能根据会话状态信息为进出数据流提供明确的允许/拒绝访问的能力; |
|
|
09 |
e)应对进出网络的数据流实现基于应用协议和应用内容的访问控制。 |
|
|
10 |
入侵防范 |
a)应在关键网络节点处检测、防止或限制从外部发起的网络攻击行为; |
|
11 |
b)应在关键网络节点处检测、防止或限制从内部发起的网络政击行为; |
|
|
12 |
c)应在关键网络节点处检测、防止或限制从内部发起的网络政击行为; |
|
|
13 |
d)应采取技术措施对网络行为进行分析,实现对网络攻击特别是新型网络攻击行为的分析; |
|
|
14 |
恶意代码和垃圾邮件防范 |
a)应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代码防护机制的升级和更新; |
|
15 |
b)应在关键网络节点处对垃圾邮件进行检测和防护并维护垃圾邮件防护机制的升级和更新。 |
|
|
16 |
安全审计 |
a)应在网络边界、重要网络节点进行安全审计,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
|
17 |
b)审计记录应包括事件的日期和时间、用户、事件类型、事件是否成功及其他与审计相关的信息; |
|
|
18 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖; |
|
|
19 |
d)应能对远程访问的用户行为、访问互联网的用户行为等单独进行行为审计和数据分析。 |
|
|
20 |
可信验证 |
a)可甚于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
2.2.4安全计算环境测评
|
序号 |
控制点 |
安全要求项 |
|
01 |
身份鉴别 |
a)应对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换; |
|
02 |
b)应具有登录失败处理功能,应配置并启用结束会话、限制非法登录次数和当登录连接超时自动退出等相关措施; |
|
|
03 |
c)当进行远程管理时,应采取必要措施、防止鉴别信息在网络传输过程中被窃听; |
|
|
04 |
d)应采用口令、密码技术、生物技术等两种或两种以上组合的鉴别技术对用户进行身份鉴别,且其中一种鉴别技术至少应使用密码技术来实现。 |
|
|
05 |
访问控制 |
a)应对登录的用户分配账户和权限; |
|
06 |
b)应重命名或删除默认账户,修改默认账户的默伙口令; |
|
|
07 |
c)应及时删除或停用多余的、过期的账户,避免共享账户的存在; |
|
|
08 |
d)应授予管理用户所需的最小权限,实现管理用户的权限分离; |
|
|
09 |
e)应由授权主体配置访问控制策略,访问控制策略规定主体对客体的访问规则; |
|
|
10 |
f)访问控制的粒度应达到主体为用户级或进程级,客体为文件、数据库表级; |
|
|
11 |
g)应对重要主体和客体设置安全标记,并控制主体对有安全标记信息资源的访问。 |
|
|
12 |
安全审计 |
a)应启用安全审计功能,审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; |
|
13 |
b)审计记录应包括事件的日期和时间,用户、事件类型,事件是否成功及其他与审计相关的信息; |
|
|
14 |
c)应对审计记录进行保护,定期备份,避免受到未预期的删除、修改或覆盖等; |
|
|
15 |
d)应对审计进程进行保护,防止未经授权的中断。 |
|
|
16 |
入侵防范 |
a)应遵循最小安装的原则仅安装需要的组件和应用程序; |
|
17 |
b)应关闭不需要的系统服务、默认共享和高危端口; |
|
|
18 |
c)应通过设定终端接入方式或网络地址范围对通过网络进行管理的管理终端进行限制; |
|
|
19 |
d)应提供数据有效性检验功能,保证通过人机接口输入或通过通信接口输入的内容符合系统设定要求; |
|
|
20 |
e)应能发现可能存在的已知漏洞,并在经过充分测试评估后,及时修补漏洞; |
|
|
21 |
h)应能够检测到对重要节点进行入侵的行为,并在发生严重入侵事件时提供报警。 |
|
|
22 |
恶意代码防范 |
a)应采用免受恶意代码攻击的技术措施或主动免疫可信验证机制及时识别入侵和病毒行为,并将其有效阻断。 |
|
23 |
可信验证 |
a)可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 |
|
24 |
数据完整性 |
a)应采用校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限千鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; |
|
25 |
b)应采用校验技术或密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
|
|
26 |
数据保密性 |
a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; |
|
27 |
b)应采用密码技术保证重要数据在存储过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等。 |
|
|
28 |
数据备份恢复 |
a)应提供重要数据的本地数据备份与恢复功能; |
|
29 |
b)应提供异地实时备份功能,利用通信网络将重要数据实时备份至备份场地; |
|
|
30 |
c)应提供重要数据处理系统的热冗余,保证系统的高可用性。 |
|
|
31 |
剩余信息保护 |
a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; |
|
32 |
b)应保证存有敏感数据的存储空间被释放或重新分配前得到完全清除。 |
|
|
33 |
个人信息保护 |
a)应仅采集和保存业务必需的用户个人信息; |
|
34 |
b)应禁止未授权访问和非法使用用户个人信息。 |
2.2.5安全管理中心测评
|
控制点 |
安全要求项 |
|
|
01 |
系统管理 |
a)应对系统管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作行为进行审计; |
|
02 |
b)应通过系统管理员对系统的资源和运行进行配置、控制和管理,包括用户的身份、系统资源配置、系统加载和启动,系统运行的异常处理、数据和设备的备份与恢复等。 |
|
|
03 |
审计管理 |
a)应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行操作,并对这些操作进行审计; |
|
04 |
b)应通过审计管理员对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储,管理和查询等。 |
|
|
05 |
安全管理 |
a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作行为进行审计; |
|
06 |
b)应通过安全管理员对系统中的安全策略进行配置,包括安全参数的设置,主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略等。 |
|
|
07 |
集中管控 |
a)应划分出特定的管理区域,对分布在网络中的安全设备或安全组件进行管控; |
|
08 |
b)应能够建立一条安全的信息传输路径,对网络中的安全设备或安全组件进行管理; |
|
|
09 |
c)应对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测; |
|
|
10 |
d)应对分散在各个设备上的审计数据进行收集汇总和集中分析,并保证审计记录的留存时间符合法律法规要求; |
|
|
11 |
e)应对安全策略,恶意代码、补丁升级等安全相关事项进行集中管理; |
|
|
12 |
f)应能对网络中的各类安全事件进行识别、报警和分析。 |
2.2.6安全管理制度测评
|
控制点 |
安全要求项 |
|
|
01 |
安全策略 |
a)应制定网络安全工作的总体方针和安全策略,阐明机构安全工作的总体目标、范围、原则和安全框架等。 |
|
02 |
管理制度 |
a)应对安全管理活动中的各类管内容中建立安全管理制度; |
|
03 |
b)应对管理人员或操作人员执行的日常管理操作建立操作规程; |
|
|
04 |
c)应形成由安全策略、管理制度、操作规程,记录表单等构成的全面的安全管理制度体系。 |
|
|
05 |
制定和发布 |
a)应指定或授权专门的部门或人员负责安全管理制度的制定; |
|
06 |
b)安全管理制度应通过正式、有效的方式发布,并进行版本控制。 |
|
|
07 |
评审和修订 |
a)应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
2.2.7安全管理机构测评
|
控制点 |
安全要求项 |
|
|
01 |
岗位设置 |
a)应成立指导和管理网络安全工作的委员会或领导小组,其最高领导由单位主管领导担任或授权; |
|
02 |
b)应设立网络安全管理工作的职能部门,设立安全主管、安全管理各个方面的负责人岗位,并定义各负责人的职责; |
|
|
03 |
c)应设立系统管理员、审计管理员和安全管理员等岗位,并定义部门及各个工作岗位的职责。 |
|
|
04 |
人员配备 |
a)应配备一定数量的系统管理员、审计管理员和安全管理员等; |
|
05 |
b)应配备专职的安全管理员,不可兼职。 |
|
|
06 |
授权和审批 |
a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; |
|
07 |
b)应针对系统变更、重要操作、物理访问和系统接入等事项建立审批程序,按审批程序执行审批过程,对重要活动建立逐级审批制度; |
|
|
08 |
c)应定期审查审批事项,及时更新需授权和审批的项目、审批部门和审批等信息。 |
|
|
09 |
沟通和合作 |
a)应加强各类管理人员、组织内部机构和网络安全管理部门之间的合作,定期召开协调会议,共同协作处理网络安全问题; |
|
10 |
b)应加强与网络安全职能部门、各类供应商、业界专家及安全组织的合作与沟通; |
|
|
11 |
c)应建立外联单位联系列表,包括外联单位名称、合作内容、联系人和联系方式等信息。 |
|
|
12 |
审核和检查 |
a)应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据份等情况; |
|
13 |
b)应定期进行全面安全检套,检查内容包括现有安全技术措施的有效性、安全配置与安全策略的一致性、安全管理制度的执行情况等; |
|
|
14 |
c)应制定安全检查表格实施安全,汇总安全检查数据,并对安全检查结果进行通报。 |
2.2.8安全管理人员测评
|
序号 |
控制点 |
安全要求项 |
|
01 |
人员录用 |
a)应指定或授权专门的部门或人员负责人员录用; |
|
02 |
b)对被录用人员的身份,安全背景,专业资格或资质等进行审查,对其所具有的技术技能进行考核; |
|
|
03 |
c)应与被录用人员签署保密协议,与关键岗位人员签署岗位责任协议。 |
|
|
04 |
人员离岗 |
a)应及时终止离岗人员的所有访问放限,取回各种身份证、钥匙、徽章等以及机构提供的各种软硬件设备; |
|
05 |
b)应办理严格的调离手续,并承诺调离后的保密义务后方可离开。 |
|
|
06 |
安全意识教育和培训 |
a)应对各类人员进行安全意识教育和机构技能培训,并告知相关的安全责任和惩戒措施; |
|
07 |
b)应针对不同岗位制定不同的培训计划,对安全基础如识、岗位操作规程等进行培训; |
|
|
08 |
c)应定期对不同岗位的人员进行技能培训。 |
|
|
09 |
外部人员访问管理 |
a)应在外部人员物理访问受控区前先提出书面申请,批准后由专人全程陪同,并登记备案; |
|
10 |
b)应在外部人员接入受控网络访问系统前先提出书面申请,批准后由专人开设账户、分配权限,并登记备案; |
|
|
11 |
c)外部人员离场后应及时清除其所有的访问权限; |
|
|
12 |
d)获得系统访问授权的外部人员应签署保密协议,不得进行非授权操作,复制和泄露任何敏感信息。 |
2.2.9安全建设管理测评
|
序号 |
控制点 |
安全要求项 |
|
01 |
定级和备案 |
a)应以书面的形式说明保护对象的安全保护等级及确定等级的方法和理由; |
|
02 |
b)应组织相关部门和有关安全技术专家对定级结果的合理性和正确性进行论证和审定; |
|
|
03 |
c)应保证定级结果经过相关部门的批准; |
|
|
04 |
d)应将备案材料报主管部门和相应公安机关备案。 |
|
|
05 |
安全方案设计 |
a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; |
|
06 |
b)应根据保护对象的安全保护等级及与其他级别保护对象的关系进行整体安全体划和安全方案设计,设计内容应包含密码技术相关内容,并形成配套文件; |
|
|
07 |
c)应组织相关部门和有关安全专家对安全整体规划及其配套文件的合理性和正确性进行论证和审定,经过批准后才能正式实施。 |
|
|
08 |
安全产品采购和使用 |
a)应确保网络安全产品采购和使用符合国家的有关规定; |
|
09 |
b)应确保密码产品与服务的采购和使用符合国家密码管理主管部门的要求; |
|
|
10 |
c)应预先对产品进行选型测试,确定产品的候选范围,并定期审定和更新候选产品名单。 |
|
|
11 |
自行软件开发 |
a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; |
|
12 |
b)应制定软件开发管理制度,明确说明开发过程的控制方法和人员行为准则; |
|
|
13 |
c)应制定代码编写安全规范,要求开发人员参照规范编写代码; |
|
|
14 |
d)应具备软件设计的相关文档和使用指南,并对文档使用进行控制; |
|
|
15 |
e)应保证在软件开发过程中对安全性进行测试,在软件安装前对可能存在恶意代码进行检测; |
|
|
16 |
f)应对程序资源库的修改、更新、发布进行授权和批准,并严格进行版本控制; |
|
|
17 |
g)应保证开发人员为专职人员,开发人员的开发活动受到控制、监视和审查。 |
|
|
18 |
外包软件开发 |
a)应在软件交付前检测其中可能存在的恶意代码; |
|
19 |
b)应保证开发单位提供软件设计文档和使用指南; |
|
|
20 |
c)应保证开发单位提供软件源代码,并审查软件中可能存在的后门和隐蔽信道。 |
|
|
21 |
工程实施 |
a)应指定或授权专门的部门或人员负责工程实施过程的管理; |
|
22 |
b)应制定安全工程实施方案控制实施过程; |
|
|
23 |
c)应通过第三方工程监理控制项目的实施过程。 |
|
|
24 |
测试验收 |
a)应制订测试验收方案,并依据测试验收方案实施测试验收,形成测试验收报告; |
|
25 |
b)应进行上线前的安全性测试,并出具安全测试报告,安全测试报告应包含密码应用安全性测试相关内容。 |
|
|
26 |
系统交付 |
a)应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; |
|
27 |
b)对负责运行维护的技术人员进行相应的技能培训; |
|
|
28 |
c)应提供建设过程文档和运行维护文档。 |
|
|
29 |
等级测评 |
a)应定期进行等级测评,发现不符合相应等级保护标准要求的应及时整改还; |
|
30 |
b)应在发生重大变更或级别发生变化时进行等级测评; |
|
|
31 |
c)应确保测评机构的选择符合国家有关规定。 |
|
|
32 |
服务供应商的选择 |
a)应确保服务供应商的选择符合国家的规定; |
|
33 |
b)应与选定的服务供应商签订相关协议,明确整个服务供应链各方需履行的网络安全相关义务; |
|
|
34 |
c)应定期监督、评审和审核服务供应商提供的服务,并对其变更服务内容加以控制。 |
2.2.10安全运维管理测评
|
序号 |
控制点 |
安全要求项 |
|
01 |
环境管理 |
a)应指定专门的部门或人是负责机房安全、对机房的出入进行管理,定期对机房供配电、空调、温湿度控制,消防等设施进行维护管理; |
|
02 |
b)应建立机房安全管理制度,对有关物理访问、物品进出和环境安全等方面的管理作出规定; |
|
|
03 |
c)应不在重要区域接待来访人员,不随意放置含有敏感信息的纸质文件和移动介质等。 |
|
|
04 |
资产管理 |
a)应编制并保存与保护对象相关的资产清单,包括资产责任部门、重要程度和所处位置等内容; |
|
05 |
b)根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施; |
|
|
06 |
c)应对信息分类与标识方法作出规定,并对信息的使用,传输和存储等进行规范化管理。 |
|
|
07 |
介质管理 |
a)应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储介质专人管理,并根据存档介质的目录清单定期查点; |
|
08 |
b)应对介质的物理传输过程中的人员选择、打包、交付等情况进行控制,并对介质的归等进行登记记录。 |
|
|
09 |
设备维护管理 |
a)应对各种设备(包括备份和冗余设备)、线路等指定专门的部门成人员定期进行维护管理; |
|
10 |
b)应建立配套设施、软硬件维护方面的管理制度。对其维护进行有效管理,包括明确维护人员的责任、维修和服务的审批、维修过程的监督控制等; |
|
|
11 |
c)信息处理设备应经过审批才能带离机房或办公地点,含有存储介质的设备带出工作环境时其中重要数据应加密; |
|
|
12 |
d)含有存储介质的设备在报废或重用前,应进行完全清除或被安全覆盖,保证该设备上的敏感数据和授权软件无法被恢复重用; |
|
|
13 |
e)应来取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; |
|
|
14 |
f)应定期开展安全测评,形成安全测评报告,采取措施应对发现的安全问题。 |
|
|
15 |
网络和系统安全管理 |
a)应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; |
|
16 |
b)应指定专门的部门或人员进行账户管理,对申请账户、建立账户、删除账户进行控制; |
|
|
17 |
c)应建立网络和系统安全管理制度,对安全策略、账户管理、配置管理、日志管理、日常操作、升级与补丁、口令周期更新等方面做出规定; |
|
|
18 |
d)应制定重要设备的配置和操作手册,依据手册对设备进行安全配置和优化配置等; |
|
|
19 |
e)应详细记录运维操作日志,包括日常巡检工作、运行维护记录、参数的设置、修改等内容; |
|
|
20 |
f)应指定专门的部门或人员对日志、监测和报警数据等进行分析、统计,及时发现可疑行为; |
|
|
21 |
g)应严格控制变更性运维,经过审批后才可改变连接、安装系统组件或调整配置参数,操作过程中应保留不可更改的审计日志,操作结束后应同步更新配置信息库; |
|
|
22 |
h)应严格控制运维工具的使用,经过审批才可接入进行操作,操作过程中应保留不可更改的审计日志,操作结束后应删除工中的敏感数据; |
|
|
23 |
i)应严格控制远程运维的开通,经过审批后才可开通远程运维接口或通道,操作过程中应保留不可更改的审计日志,操作结束后立即关闭接口或通道; |
|
|
24 |
j)应保证所有与外部的连接均得到授权和批准,应定期的检查违反规定无线上网及其他违反网络安全策略的行为。 |
|
|
25 |
恶意代码防范管理 |
a)应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; |
|
26 |
b)应定期验证防范恶意代码攻击的技术措施的有效性。 |
|
|
27 |
配置管理 |
a)应记录和保有基本配宣信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和补丁信息、各个设备或软件组件的配置参数等。 |
|
28 |
b)应将基本配置信息改变纳入变更范畴,实施对配置信息改变的控制,并及时更新基本配置信息库 |
|
|
29 |
密码管理 |
a)应遵循密码相关的国家标准和行业标准; |
|
30 |
b)应使用国家密码管理主管部门认证核准的密码技术和产品。 |
|
|
31 |
变更管理 |
a)应明确变更需求,变更前根据变更需求制定变更方案.变更方案经过评审、审批后才可实施; |
|
32 |
b)应建立变更的申报和审批控制程序,依据程序控制所有的变更,记录变更实施过程; |
|
|
33 |
c)应建立中止变更并从失败变更中恢复的程序,明确过程控制方法和人员职责,必要时对恢复过程进行演练。 |
|
|
34 |
备份与恢复管理 |
a)应识别需要定期备份的重要业务信息、系统表据及软件系统等; |
|
35 |
b)应规定备份信息的备份方式、备份频度、存储介质、保存期等; |
|
|
36 |
c)应根据数据的重要性和数据对系统运行的影响,制定数据的备份策略和恢复策略、备份程序和恢复程序等。 |
|
|
37 |
安全事件处置 |
a)应及时向安全管理部门报告所发现的安全弱点和可疑事件; |
|
38 |
b)应制定安全事件报告和处置管理制度,明确不同安全事件的报告、处置和响应流程,规定安全事件的现场处理、事件报告和后期恢复的管理职责等; |
|
|
39 |
c)应在安全事件报告和响应处理过程中分析和鉴定事件产生的原因,收集证据,记录处理过程,总结经验教训; |
|
|
40 |
d)对造成系统中断和造成信息泄露的重大安全事件应采用不同的处理程序和报告程序。 |
|
|
41 |
应急预案管理 |
a)应规定统一的应急预案框架,包括启动预案的条件、应急组织构成、应急资金保障、事后教育和培训等内容; |
|
42 |
b)应制定重要事件的应急预案,包括应急处理流程、系统恢复流程等内容; |
|
|
43 |
c)应定期对系统相关的人员进行应急预案培训,并进行应急预案的演练; |
|
|
44 |
d)应定期对原有的应急预要重新评估,修订完善。 |
|
|
45 |
外包运维管理 |
a)应确保外包运维服务商的选择符合国家的有关规定; |
|
46 |
b)应与选定的外包运维服务商签订相关的协议,明确规定外包运维的范围、工作内容; |
|
|
47 |
c)应保证选择的外包运维服务商在技术和管理方面均应具有按照等级保护要求开展安全运维工作的能力,并将能力要求在签订的协议中明确; |
|
|
48 |
d)应在与外包运维服务商签定的协议中明确所有相关的安全要求,如可能涉及对敏感信息的访问、处理、存储要求,对1T基础设施中断服务的应急保障要求等。 |
2.3交付成果包括但不仅限于以下资料:
|
1 |
信息系统安全等级测评报告(包含整改建议) |
|
2 |
其他未列入的应交资料 |
(二)、人员要求
为本项目的顺利、有序实施和质量保证,参选人需为本项目配置项目经理和一定数量的系统测评负责人、测评实施员,具体要求如下:
1.项目经理是本项目的总协调人,负责领导、指挥、协调系统测评负责人、测评实施员开展测评工作,负责项目人员安排,制定项目计划,对整个项目的质量、进度进行把控,负责项目总协调工作。
2.系统测评负责人是具体系统现场测评工作的现场负责人,负责组织、协调现场测评实施员开展具体的测试工作,制定具体系统的测评进度计划,负责具体系统的现场测评交流、沟通和组织协调,向招标人汇报系统测评进度。
3.测评实施人员在项目经理和系统测评负责人的领导下展开具体的系统测评工作。
(三)、管理要求
1、供应商必须提供完整的项目管理方案,供应商需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效供应商。
2、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。
5、测评工具要求
(1)采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;
(4)测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。
详见招标文件
收藏