标的提供的时间

 交付时间：自合同签订之日起至全部9个项目的商用密码应用安全性评估报告及政务信息化（2023-2024年）项目密码应用方案评估报告，取得广东省密码管理部门批复备案回函之日止

标的提供的地点

 广东省人力资源和社会保障厅政务服务中心。

付款方式

 1期：支付比例30%,合同签订后，采购人应于中标人提交合规的等额发票之日起5个工作日内，向中标人支付合同总价30%作为服务款。

2期：支付比例70%,按合同约定，在中标人交付全部9个项目的商用密码应用安全性评估报告及政务信息化（2023-2024）年项目密码应用方案评估报告，并协助采购人取得广东省密码管理部门批复备案回函后15个工作日内，采购人收到中标人提交的合规等额发票后支付合同款总价的70%。 中标人开具合规发票给采购人，中标人提供前述发票是采购人付款的重要条件，如因中标人未能及时提供前述发票而造成付款延误，不属采购人违约。

验收要求

 1期：1.验收时间：以全部9个项目的商用密码应用安全性评估报告及政务信息化（2023-2024年）项目密码应用方案评估报告收到广东省密码管理部门批复备案回函时间为准。 2.验收程序：中标人提供项目资料及相关成果报告，协助采购人完成9个项目的商用密码应用安全性评估报告及政务信息化（2023-2024年）项目密码应用方案评估报告的密评结果备案，并取得备案回函，中标人提出验收申请，采购人组织专家验收并提出确认验收意见，确认同意视为通过验收。 3.验收内容：合同约定的服务清单、9个项目的商用密码应用安全性评估报告、政务信息化（2023-2024年）项目密码应用方案评估报告及备案回函。（说明：验收内容要包括合同约定的履约情况。） 4.验收标准：专家对评估报告整体质量控制效果、是否满足密码管理部门形式审查要求等履行情况是否满足合同约定进行评审。 5. 验收方式：终期验收

履约保证金

 不收取

其他

参数性质

编号

内容明细

内容说明

1

售后服务

中标人应在取得广东省密码管理部门批复备案回函之后针对评估报告、整改建议等提供不少于三个月的咨询及跟踪服务。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标（响应）无效。
打“▲”号条款为重要参数（如有），若有部分“▲”条款未响应或不满足，将根据评审要求影响其得分，但不作为无效投标（响应）条款。

序号

品目名称

标的名称

单位

数量

分项预算单价（元）

分项预算总价（元）

所属行业

技术要求

1

测试评估认证服务

省人力资源社会保障厅政务信息化（2022-2023年）项目配套商用密码评估服务

项

1.00

5,280,000.00

5,280,000.00

软件和信息技术服务业

详见附表一

参数性质

序号

具体技术(参数)要求

1

一、技术要求
1、根据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等技术标准，通过人员访谈、工具检测、配置检查、文档审查等方法从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处理等方面，进行商用密码总体要求评估、密码技术应用评估、安全管理评估。评估业务系统在商用密码应用方面的合规性、正确性和有效性，判断业务系统在商用密码技术应用及安全管理等方面是否存在高风险项，并提出相应的改进建议，出具评估报告。
另需完成省人力资源社会保障厅政务信息化（2023-2024年）项目密码应用方案评估服务（方案数量视新建项目流程进度另行约定）。
2、中标人应使用自主研发或有授权的密码测评工具，并保证工具安全可靠，不得影响或损毁采购人业务系统服务或数据。
3、中标人应使用自主研发或有授权的商用密码应用安全性评估作业或管理系统对本项目的全过程，从项目管理、信息处理、数据分析、报告生成等各方面进行规范作业和管理控制。
4、服务原则：
1)符合性原则：中标人的服务过程应符合密码法、相关法律法规及密码管理部门的要求。
2)标准性原则：中标人的服务方案设计、实施与信息安全体系的构建应依据国内、国际的相关标准进行。
3)规范性原则：中标人的服务实施应由专业的密码应用安全性评估人员依照相关规范或标准要求的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。
4)可控性原则：中标人的服务实施方法和过程要在采购人认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。
5)整体性原则：中标人提供的安全测评的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。
6)最小影响原则：中标人的服务实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。
7)保密原则：中标人对项目实施过程获得的数据和结果严格保密，未经采购人授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害客户利益的行为。
8)标准化原则：中标人应有成熟的服务的标准体系，体系中至少包括测评方法、测评实施过程、测试模板、结果报告模板等内容，以保障服务过程符合商用密码应用安全性评估工作要求。
5、服务依据
1)《中华人民共和国密码法》
2)《中华人民共和国网络安全法》
3)《商用密码管理条例》
4)《商用密码应用安全性评估管理办法（试行）》
5)《政务信息系统密码应用与安全性评估工作指南》
6)《广东省省级政务信息化项目商用密码应用工作指引》
7)《广东省省级政务信息化服务项目管理办法（试行）》
8)《广东省省级政务信息化项目验收前符合性审查细则》
9)《广东省省级政务信息化服务项目立项审批细则（试行）》
10)《关于规范商用密码应用安全性评估结果备案工作的通知》
11)《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）
12)《信息系统密码应用测评要求》（GM/T 0115-2021）
13)《信息系统密码应用测评过程指南》（GM/T 0116-2021）
14)《信息系统密码应用方案评估规范》（T/GDCCA0001-2022）
15)《信息系统密码应用方案评估过程指南》（T/GDCCA0002-2022）
16)《信息系统密码应用高风险判定指引》
17)《商用密码应用安全性评估量化评估规则》

2

二、服务要求
1、为保障服务质量和结果公正可靠，中标人应列入国家密码管理局发布的“商用密码应用安全性评估试点机构目录”，且项目服务团队（不含项目负责人）不少于4个人员，须具有国家商用密码应用安全性评估人员测评能力考核小组出具商用密码应用安全性评估人员测评能力考核证明（60分合格或以上）。
2、项目负责人总体负责本项目的管理工作和技术指导，调度资源高效推进项目实施，提供优质服务。需具有商用密码应用安全性评估人员测评能力考核证明，具有五年以上安全测评或密码评估工作经验，曾参与不少于两个商用密码应用安全性评估项目；熟悉密码应用政策及技术规范。
3、项目服务团队成员（不含项目负责人）负责项目实施、现场测评、文档收集整理。需具有三年以上安全测评或商用密码应用安全性评估项目实施经验，保证积极响应项目服务需求和持续提供项目服务。
4、投标人须承诺项目负责人和服务团队人员未经采购人同意不得调整；如须调整人员，须书面向采购人提出申请，说明申请理由，经采购人书面同意方可调整团队人员。调入人员的资历和从业经验不得低于调出人员，否则视为违约行为，采购人有权终止服务合同。
5、中标人应采取必要技术手段，在质量控制、进度控制、变更控制、文档管理、安全管理及组织协调等各个方面对评估工作采取必要和完善的监督、控制和管理措施，保证评估工作能够按时、按质、按量完成。
6、服务期间中标人应提供7×24服务响应（7×24小时，工程师2小时内作好服务应答和反馈）。需要现场支撑时，需在3小时内安排至少1名具有服务能力的工程师到达现场处理。
7、服务期间提供应急保障工作，应充分预估密评操作可能造成的影响，并提前与被测单位沟通协商，作好应急预案。如因中标人原因造成被测单位系统故障、瘫痪、数据丢失等情况，由中标人承担全部责任。
8、中标人必须严守工作秘密，与采购人签署保密协议，工作人员须与本单位签署《保密承诺书》，对知悉的事项及信息予以保密，所有资料、技术文档妥善保管，不得遗失、转借、复印，不得以任何形式向第三方透露。
9、中标人必须严格遵循操作规程，承担服务工作质量责任。

3

三、其他要求
中标人向采购人提供的服务成果不得存在任何侵犯第三方专利权、商标权、著作权等合法权益的情况。如因中标人提供的服务成果侵犯任何第三方的合法权益，导致该第三方追究采购人责任的，中标人应负责解决并赔偿因此给采购人造成的全部损失。

说明

打“★”号条款为实质性条款，若有任何一条负偏离或不满足则导致投标无效。
打“▲”号条款为重要技术参数，若有部分“▲”条款未响应或不满足，将导致其响应性评审加重扣分，但不作为无效投标条款。