招标文件
采购需求
一、项目概况:
1.项目背景
密码是保障网络安全的核心技术和基础支撑,是解决网络与信息安全问题最有效、最可靠、最经济的手段。近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥了越来越重要的作用,国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求。2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过《中华人民共和国密码法法》第二十七条明确要求:“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”。2020年8月20日国家密码管理局发布《商用密码管理条例(修订草案征求意见稿)》第三十八条明确要求:“非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统,运营者应当使用商用密码进行保护,制定商用密码应用方案,配备必要的资金和专业人员,同步规划、同步建设、同步运行商用密码保障系统,自行或者委托商用密码检测机构开展商用密码应用安全性评估。”。因此,采购人认真贯彻和执行国家密码管理局的商用密码管理要求,对信息系统开展商用密码应用安全性评估工作。
目前,采购人按照广东“数字政府”改革建设方案的要求,相继建设了市电子政务办公业务系统集约化平台、“互联网+不动产”登记系统、工程建设项目审批管理平台、“一门式一网式”政务服务信息系统、电子政务短信平台、政府网站集约化平台、市政府门户网站、市电子政务外网平台、省政府网站集约化平台韶关分平台、市公共资源交易一体化平台、市12345政府服务热线平台、市残疾人信息共享分析应用平台等政务应用系统或平台,现需引入第三方机构为上述政务应用系统或平台开展密码应用评估工作。
2.项目内容
评估对象计划为韶市电子政务办公业务系统集约化平台、“互联网+不动产”登记系统、工程建设项目审批管理平台、“一门式一网式”政务服务信息系统、电子政务短信平台、政府网站集约化平台、市政府门户网站、市电子政务外网平台、省政府网站集约化平台韶关分平台、市公共资源交易一体化平台、市12345政府服务热线平台、市残疾人信息共享分析应用平台等政务应用系统或平台,具体评估系统数量以项目实施过程中的实际数量为准。
依据GB/T 39786-2021《信息系统密码应用基本要求》、GM/T 0115-2021 《信息系统密码应用测评要求》、GM/T 0116-2021 《信息系统密码应用测评过程指南》、《商用密码应用安全性评估测评作业指导书(试行)》、《政务信息系统密码应用与安全性评估工作指南》和信息系统自身的安全需求分析,对被评估系统进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为,推动提升我单位密码应用水平。具体服务内容如下:
(1)密码应用方案评估:针对指定信息系统密码应用方案的完整性、准确性、可行性等方面进行分析并出具报告。
(2)密码应用安全性评估:针对信息系统按照评估后的密码应用方案建设情况,引入密码管理部门认定具有商用密码应用安全性评估资质的评估机构,对指定的信息系统进行商用密码应用安全性评估,依据《商用密码应用安全性评估量化评估规则》综合判定,指导密码应用消减重要安全风险后出具《密码应用系统安全性评估报告》。
3.项目目标
为全面贯彻总体国家安全观和网络强国战略,深入贯彻落实关于核心技术自主可控重要批示精神和工作安排,持续推进商用密码工作,依据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《国家政务信息化项目建设管理办法》、《信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法(试行)》等法律法规、制度和规范;经研究,拟通过购买评估服务的方式,对指定的信息系统开展密码应用安全性评估。通过密码应用安全性评估掌握信息系统密码应用情况,深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,提出下步整改举措,推动整改措施落实,为提升信息系统安全奠定基础,推动密码应用水平不断提升。
采购包1(韶关市数字政府一体化安全保障体系服务(2023-2025年)项目标段三(密码应用评估服务)子包一)1.主要商务要求
|
标的提供的时间 |
自合同签订之日起计算,服务期36个月,以采购人确认的服务启动报审备案时间为起始时间。 |
|
标的提供的地点 |
采购人所在地。 |
|
付款方式 |
1期:支付比例33%,签订合同并服务期满6个月,付33%,中标人按照采购人的要求完成指定的信息系统的密码应用评估服务,经采购人和监理单位确认后15个工作日内容,中标人书面提出支付申请函及与拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到发票并确认后5个工作日内办理首期款支付手续,支付本期完成的商用密码方案及密码应用安全性评估费用。
2期:支付比例33%,签订合同并服务期满18个月,付33%,中标人按照采购人的要求完成指定的信息系统的密码应用评估服务,经采购人和监理单位确认后15个工作日内容,中标人书面提出支付申请函及与拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到发票并确认后5个工作日内办理第二期款支付手续,本期完成的商用密码方案及密码应用安全性评估费用。
3期:支付比例34%,服务期满,付34%,中标人完成所有工作内容并通过最终验收,采购人、中标人、监理单位对服务期完成商用密码方案、密码应用安全性评估及相关费用进行最终结算,中标人书面提出支付申请函及与拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到发票并确认后5个工作日内办理尾款支付手续,尾款金额=最终结算金额-前两期已支付费用及中标人可能出现的违约金。 具体的支付方式和时间以合同约定为准。 以上付款时间为采购人向财政部门提出支付申请的时间,不含财政部门审查的时间及预算下达的时间,如因政府财政支付管理流程导致的支付延期,支付期限自动顺延,采购人不承担责任,中标人不得以此为由迟延履行或不履行合同义务。 |
|
验收要求 |
1期:服务期间,中标人应按照合同、采购文件的要求和响应文件服务承诺提供优质的服务,定期进行服务总结。服务期满后,提交的《服务总结报告》。项目验收按照采购人项目验收管理工作指引等有关规定执行。项目验收的具体组织工作由项目采购人承担。 本项目的验收应符合采购人相关验收管理办法的要求,同时应遵循下列标准: (1)实现合同、采购人的招标文件,以及中标人根据招标文件所编写的报价文件中列举的全部内容。有不一致的,按最高的标准和最全的内容进行验收。 (2)项目验收文档包括按照合同、采购人的招标文件,中标人根据招标文件所编写的报价文件中所标明相关的技术文档、项目文档及采购人项目相关验收管理办法所要求的全部文档。有不一致的,按最高标准和最全的文档进行验收。1.交付确认:中标人根据采购人的要求,完成采购指定的政务应用系统或平台密码应用评估工作后,经采购人和监理单位确认后,由采购人和监理单位出具交付确认报告。2.最终验收:服务到期,完成所有服务内容后,投标人应将所有相关的技术文件、资料、交付确认报告、服务总结报告等文档汇集成册交付采购人,采购人组织项目验收,按服务承诺及评价方法、服务要求进行最终验收和结算,并出具验收报告。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
权重% |
所属行业 |
技术要求 |
|
1 |
其他服务 |
韶关市数字政府一体化安全保障体系服务(2023-2025年)项目标段三(密码应用评估服务)子包一 |
项 |
1.00 |
542,500.00 |
542,500.00 |
100.0 |
软件和信息技术服务业 |
详见附表一 |
备注:最终综合总报价=(各产品报价×各项产品权重)的相加值
附表一:韶关市数字政府一体化安全保障体系服务(2023-2025年)项目标段三(密码应用评估服务)子包一
|
参数性质 |
序号 |
具体技术(参数)要求 |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
|
1 |
采购项目需求 本项目总预算为101.40万元,优先使用广东省数字政府基础能力均衡化发展奖补资金,不足部分由韶关市级财政解决。 本项目共分2个子包进行采购。其中:子包一预算为54.25万元,子包二预算为47.15 万元。 本项目各子包间兼投不兼中。投标人可对一个或多个包同时投标,每个投标人最多只能被确定为1个子包的第一中标候选人。本项目将按子包号从小到大的顺序进行评审,依次按照评标总得分由高到低的顺序,每个子包推荐两名中标候选人。已获得前面子包的第一中标候选人资格的,如参加后续子包的投标,将不能通过符合性审查。 (一)采购项目需求一览表
注:1.本项目的报价方式为下浮率报价,投标人必须采用下浮率方式进行报价,报价范围为0≤投标下浮率<100%,否则,评标委员会将对其投标文件作无效投标处理。 2.投标人的投标下浮率将作为本次评标价格分的计分依据。 3.报价格式参照本招标文件投标文件开标一览表,否则,评标委员会将对其投标文件作无效投标处理。 子包一、二投标人按投标下浮率进行报价,所投服务单价=各项服务最高限价*(1-投标下浮率),各项服务最高限价如下:
★投标人须对上表各服务内容报统一下浮率,不允许不同服务内容有不同的下浮率。 (二)采购项目需求清单表
注:供应商必须对本项目的全部内容进行投标报价,如有缺漏,评标委员会将对其投标文件作无效投标处理。 采购项目执行标准 本采购项目执行以下相关标准: 1.法律依据 (1)《中华人民共和国密码法》 (2)《中华人民共和国网络安全法》 2.法规要求 (1)《商用密码管理条例》 (2)《商用密码应用安全性评估管理办法(试行)》 (3)《国家政务信息化项目建设管理办法》 (4)《广东省省级政务信息化项目商用密码应用工作指引》 (5)《广东省省级政务信息化项目立项审批细则》 (6)《广东省省级政务信息化项目验收前符合性审查细则》 3.遵循的主要标准 (1)GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》 (2)GM/T 0115-2021 《信息系统密码应用测评要求》 (3)GM/T 0116-2021 《信息系统密码应用测评过程指南》 (4)《政务信息系统密码应用与安全性评估工作指南》 (5)《商用密码应用安全性评估测评作业指导书(试行)》 (6)《商用密码应用安全性评估量化评估规则》 (7)《信息系统密码应用高风险判定指引》 采购项目技术要求 (一)基本要求 1.总体技术要求 (1)符合性原则:中标人的服务过程应符合国家商用密码应用制度及相关法律法规。 (2)标准性原则:中标人的服务方案设计、实施与密码应用安全体系的构建应依据国内、国际的相关标准进行。 (3)规范性原则:中标人的服务实施应由专业的测评师依照相关规范或标准要求的操作流程进行,在实施之前将详细量化出每项测评内容,对操作过程和结果提供规范的记录,以便于项目的跟踪和控制。 (4)可控性原则:中标人的服务实施方法和过程要在采购人认可的范围之内,实施进度要按照采购人的安排,保证项目实施的可控性。 (5)整体性原则:中标人提供测评的范围和内容应当整体全面,包括密码应用安全涉及的各个层面,避免由于遗漏造成未来的安全隐患。 (6)最小影响原则:中标人的服务实施工作应尽可能小的影响网络和信息系统的正常运行,不能对信息系统的运行和业务的正常提供产生显著影响。 (7)保密原则:中标人对项目实施过程获得的数据和结果严格保密,未经采购人授权不得泄露给任何单位和个人,不得利用此数据和结果进行任何侵害客户利益的行为。 2.商用密码应用评估服务要求 商用密码应用评估是对采用密码技术、产品和服务集成建设的网络和信息系统密码应用的合规性、正确性、有效性所进行的评估。 中标人需严格按照《信息系统密码应用基本要求》(GB/T 39786-2021),对信息系统的总体要求,包括密码算法、密码技术、密码产品和密码服务进行测评;对信息系统的密码技术应用要求,包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理及安全管理进行测评。中标人对所负责评估的系统提供商用密码应用方案评估服务和商用密码应用安全性评估服务,最终输出被评估系统密码应用方案评估报告、商用密码应用安全性评估报告(含整改建议),满足商用密码应用评估工作的验收要求,并协助采购人在评估结束后30个工作日内完成在密码管理部门的报告备案工作。 2.1.总体要求 (1)密码算法合规性评估:本项目商用密码应用方案中关于信息系统使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 (2)密码技术合规性评估:本项目商用密码应用方案中关于信息系统使用的密码技术是否遵循密码相关国家标准和行业标准。 (3)密码产品合规性评估:本项目商用密码应用方案中关于信息系统使用的密码产品与密码模块是否通过国家密码管理部门核准。 (4)密码服务合规性评估:本项目商用密码应用方案中关于信息系统使用的密码服务是否通过国家密码管理部门许可。 2.2.密码技术应用评估 从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统的密码技术设计和应用情况进行分析与评估。 (1)▲物理和环境密码安全设计评估:分析评估是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素是否得到有效控制。 (2)▲网络和通信密码安全设计评估:分析评估是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素是否得到有效控制。 (3)▲设备和计算层面评估:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素是否得到有效控制。 (4)▲应用和数据层面评估:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素是否得到有效控制。 2.3.安全管理评估 分析评估对影响商用密码防护效能的管理制度与措施是否进行规划和设计。管理制度与措施包括但不限于下列典型维度:安全管理制度,密钥管理、人员管控,信息系统实施,应急预案。 2.4.评估方法 (1)人员访谈 与被测系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据,了解有关信息。在访谈范围上,一般应基本覆盖所有的密码应用相关人员类型,在数量上可以抽样。 (2)配置检查 利用上机验证的方式检查密码设备、数据库、安全设备、应用系统等配置是否正确,是否与文档、相关设备和部件保持一致,对文档审核的内容进行核实(包括日志审计等),评估其实施的正确性和有效性,检查配置的完整性,从而测试系统是否达到可用性和可靠性的要求。 (3)文档审查 检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、密码设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。 (4)实地查看 通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况,评估其是否达到了相应等级的密码应用安全要求。 ▲(5)工具检测 通过使用安全检测工具及手段,检测被测对象的安全性脆弱性,验证检测结果的有效性,从而评估系统是否达到密码安全有效的要求。 2.5.服务内容
2.6.评估成果要求 中标人完成服务后的交付物至少应包括:《商用密码应用方案评估报告》、《信息系统商用密码应用安全性评估报告》(每个系统2份,具体文档名称以采购人确认为准)。 3.测评工具要求 中标人提供服务时需自带商用密码应用安全性评估基线测评、web应用源代码扫描软件系统、商用密码数字证书合规性测评软件、商用密码智能密码数据测评软件、商用密码网络协议分析测评软件、商用密码测评综合管理系统等专用测试工具,以实现本项目服务内容和目标。 (二)服务要求 1.服务人员要求 ★投标人须书面承诺,如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的,采购人有权要求更换项目经理,投标人必须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作,否则采购人有权终止合同并报相关管理部门进行处理。(投标时提供承诺函,格式自拟) 投标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整;投标人如中途更换项目经理和主要开发技术人员,应征得用户同意,否则采购人有权终止合同。 投标人应指派固定的团队为本项目提供专业服务,服务团队成员不得少于4人,其中:项目经理需具有国家密码管理局商用密码检测中心的商用密码应用安全性评估人员测评能力证明,具有注册信息系统安全专家(CISP)证书认证,具有信息系统项目管理师资质;项目团队成员应具有国家密码管理局商用密码检测中心的商用密码应用安全性评估人员测评能力证明。 中标人如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。 投标人应提供以上人员相关证明资料复印件并加盖公章,并提供以上人员在本公司任职的有效外部证明材料(如加盖政府有关部门印章的《投保单》或《社会保险参保人员证明》,或单位代缴个人所得税税单等,事业法人的相关人员应提供该单位的相关证明)复印件。 2.进度要求 本项目服务周期不超过36个月,具体以采购人确认的服务启动报审备案时间之日起至项目完成最终验收之日止。 3.组织实施要求 为使项目按质、按量、按时及有序实施,投标人应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础,支撑保障要求及其他相关要求。在机制保障方面,成立组织实施小组和项目专家组的双轨制的组织模式。在项目日常管理和条件保障方面,从行政组织、后勤保障和支撑条件各方面创造良好的服务环境,确保项目的顺利实施。 4.文档管理要求 投标人应在项目完成时,将本项目所有文档、资料汇集成册交付给采购人,所有文件要求用中文书写或有完整的中文注释。验收后,投标人按国家、省以及采购人档案管理要求,向采购人提供装订成册的纸质文档至少2套,电子文档1套。 5.质量保证要求 为保证本项目能按时高质的顺利完成,规避项目风险或将风险降至最低程度,投标人应建立项目质量管理体系,包括但不限于质量目标、质量指标、岗位责任、问题处理计划、质量评价、整改完善等内容,并建立奖惩制度。 5.验收标准
6.保密要求 6.1.投标人应签订保密协议,对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守,保证不被披露或使用,包括意外或过失。 6.2.投标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。投标人在从事政府项目时,不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息,严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或投标人内部与该项目无关的任何人员。 6.3.投标人对于工作期间知悉采购人的商业秘密和党政机关保密信息(包括业务信息在内)或工作过程中接触到的政府机关文件(包括内部发文、各类通知及会议记录等)的内容,同样承担保密责任,严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。 6.4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。 7.监理要求 ★投标人须承诺,在项目开展过程中接受采购人指定的监理机构的监理。(投标时提供承诺函,格式自拟) 8.考核要求 ★投标人需承诺,在服务的过程中无条件接受采购人的考核,并按照采购人考核标准的要求开展工作。(投标时提供承诺函,格式自拟) ▲投标供应商需至少派遣1名商用密码测评师和2名信息安全服务工程师组成服务项目团队提供商用密码应用安全性评估工作。(投标时提供承诺函,格式自拟) |
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
具体见招标文件
收藏