招标文件
采购项目技术、服务、政府采购合同内容条款及其他商务要求
一、项目概况
按照《信息安全等级保护管理办法》《关于切实加强省级政务信息化项目密码应用与安全性评估工作的通知》等相关要求,采购相应的测评服务供应商,对我单位3个业务信息系统开展等级保护测评和商用密码应用安全评估工作,并对我部商用密码应用方案进行评审。
第一包:业务信息系统等级保护测评
一、技术参数与性能指标
测评内容包括技术和管理测评,技术安全性测评包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面:安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
★二、商务要求
1、履约时间:自合同签订之日起60日
2、履约地点:商业街16号
3、付款方式:一次付清,付款条件说明:项目验收完成,达到付款条件起7日,支付合同总金额的100.00%;
4、验收要求:
4.1验收由采购人组织,成交人配合。在采购人通过评审后进行项目验收;
4.2验收标准:按GB/T28448-2019《信息安全技术网络安全等级保护测评要求》和国家有关规定以及采购人移交项目的质量要求和技术指标进行验收;双方如对质量要求和技术指标的约定标准有相互抵触或异议的事项,按双方合同约定标准进行验收;
4.3验收时如发现所交付的系统不符合国家相关标准及本合同规定的情形,采购人应做出详尽的现场记录,或由双方签署备忘录,此现场记录或备忘录可用作补充、缺失和更换损坏部件的有效证据,由此产生的时间延误与有关费用由成交人承担,验收期限相应顺延;
4.4如质量验收合格,双方签署质量验收报告。
4.5成交人所提供系统的资料应满足采购人服务要求;成交人不能完整交付的,必须负责补齐,否则采购人不予验收,且视为成交人未按合同约定交货。
4.6如测评报告经成交人3次修改仍不能达到国家有关规定以及采购人移交项目的质量要求和技术指标,采购人有权要求成交人全额返还采购人所支付的服务费,并支付该合同总金额百分之十的费用作为违约金。
4.7其他未尽事宜将严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库(2016)205号)和财政部关于印发《政府采购需求管理办法》的通知(财库(2021)22号)的文件要求进行验收。
5、违约责任与解决争议的方法:
5.1甲乙双方必须遵守本合同并执行合同中的各项规定,保证本合同的正常履行。
5.2如因乙方工作人员在履行职务过程中的的疏忽、失职、过错等故意或者过失原因给甲方造成损失或侵害,包括但不限于甲方本身的财产损失、由此而导致的甲方对任何第三方的法律责任等,乙方对此均应承担全部的赔偿责任。
6、商务履约验收内容:
6.1系统梳理协助完成待测信息系统梳理工作。
6.2初测对本项目所涉及信息系统进行现场测评,初次测评完成后提交初评的整改意见报告。
6.3整改加固协助协助对测评过程中发现的安全问题进行技术整改加固工作,并进行整改
后的回归测评。
6.4成果递交整理测评结果,提交被测信息系统安全等级保护测评报告以及相应文档。
第二包:业务信息系统商用密码应用与安全评估及密码方案评审
一、技术参数与性能指标
密码算法和密码技术合规性测评
|
测评单元 |
测评指标 |
|
密码算法和密码技术合规性测评 |
1) 信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 2) 信息系统中使用的密码技术应遵循密码相关国家标准和行业标准。 |
密钥管理安全性测评
|
测评单元 |
测评指标 |
|
密钥管理安全性测评 |
1)信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。2)采用的密码产品,应达到GB/T37092二级及以上安全要求。3)采用的密码服务,应符合法律法规的相关要求,应依法接受检测认证的,应经商用密码认证机构认证合格。 |
物理与环境安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
1)采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。 |
|
电子门禁记录数据完整性 |
1)采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。 |
|
视频记录数据完整性 |
1)采用密码技术保证视频监控音像记录数据的存储完整性。 |
网络与通信安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
1)采用密码技术对通信实体进行身份鉴别保证通信实体身份的真实性。 |
|
通信数据完整性 |
1)采用密码技术保证通信过程中数据的完整性。 |
|
通信过程中重要数据的机密性 |
1)采用密码技术保证通信过程中重要数据的机密性。 |
|
网络边界访问控制信息的完整性 |
1)采用密码技术保证网络边界访问控制信息的完整性。 |
|
安全接入认证 |
1)采用密码技术对从外部连接到内部网络的设备进行接入认证确保接入设备身份的真实性。 |
设备和计算安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
1)采用密码技术对登录设备的用户进行身份鉴别保证用户身份的真实性。 |
|
远程管理通道安全 |
1)远程管理设备时,采用密码技术建立安全的信息传输通道。 |
|
系统资源访问控制信息完整性 |
1)采用密码技术保证系统资源访问控制信息的完整性。 |
|
重要信息资源安全标记完整性 |
1)采用密码技术保证设备中的重要信息资源安全标记的完整性。 |
|
日志记录完整性 |
1)采用密码技术保证日志记录的完整性。 |
|
重要可执行程序完整性、重要可执行程序来源真实性 |
1)采用密码技术对重要可执行程序进行完整性保护并对其来源进行真实性验证。 |
应用和数据安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
1)采用密码技术对登录用户进行身份鉴别保证应用系统用户身份的真实性。 |
|
访问控制信息完整性 |
1)采用密码技术保证信息系统应用的访问控制信息的完整性。 |
|
重要信息资源安全标记完整性 |
1)采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。 |
|
重要数据传输机密性 |
1)采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。 |
|
重要数据存储机密性 |
1)采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。 |
|
重要数据传输完整性 |
1)采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。 |
|
重要数据存储完整性 |
1)采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。 |
|
不可否认性 |
1)在可能涉及法律责任认定的应用中,采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 |
管理制度测评
|
测评单元 |
测评指标 |
|
具备密码应用安全管理制度 |
1)具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。 |
|
密钥管理规则 |
1)根据密码应用方案建立相应密钥管理规则。 |
|
建立操作规程 |
1)对管理人员或操作人员执行的日常管理操作建立操作规程。 |
|
定期修订安全管理制度 |
1)定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定对存在不足或需要改进之处进行修订。 |
|
明确管理制度发布流程 |
1)明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。 |
|
制度执行过程记录留存 |
1)具有密码应用操作规程的相关执行记录并妥善保存。 |
人员管理测评
|
测评单元 |
测评指标 |
|
了解并遵守密码相关法律法规和密码管理制度 |
1)相关人员了解并遵守密码相关法律法规、密码应用安全管理制度。 |
|
|
建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权 |
|
建立密码应用岗位责任 |
限 |
|
制度 |
①根据密码应用的实际情况设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位:②对关键岗位建立多人共管机制;③密钥管理、密码安全审计、密码操作人员职责互相制约互相监督其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任④相关设备与系统的管理和使用账号不得多人共用。 |
|
建立上岗人员培训制度 |
1)建立上岗人员培训制度对于涉及密码的操作和管理的人员进行专门培训确保其具备岗位所需专业技能。 |
|
定期进行安全岗位人员考核 |
1)定期对密码应用安全岗位人员进行考核。 |
|
建立关键岗位人员保密制度和调离制度 |
1)建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 |
建设运行测评
|
测评单元 |
测评指标 |
|
制定密码应用方案 |
1)依据密码相关标准和密码应用需求.制定密码应用方案。 |
|
制定密钥安全管理策略 |
1)根据密码应用方案确定系统涉及的密钥种类、体系及其生存周期环节各环节密钥管理要求照GB/T39786-2021《信息安全技术信息系统密码应用基本要求》附录B。 |
|
制定实施方案 |
1)按照应用方案实施建设。 |
|
投入运行前进行密码应用安全性评估 |
1)投入运行前进行密码应用安全性评估评估通过后系统方可正式运行。 |
应急处置测评
|
应急处置 |
测评指标 |
|
应急策略 |
1)制定密码应用应急策略做好应急资源准备.当密码应用安全事件发生时立即启动应急处置措施结合实际情况及时处置。 |
|
事件处置 |
1)事件发生后,及时向信息系统主管部门进行报告。 |
|
向有关主管部门上报处置情况 |
1)事件处置完成后,及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 |
★二、商务要求
1、履约时间:自合同签订之日起60日
2、履约地点:商业街16号
3、付款方式:一次付清,付款条件说明:项目验收完成,达到付款条件起7日,支付合同总金额的100.00%;
4、验收要求:
4.1验收由采购人组织,成交人配合。在采购人通过评审后进行项目验收;
4.2验收标准:按《商用密码应用安全性评估量化评估规则》GM/T 0115—2021《信息系统密码应用测评要求》、GM/T 0116—2021《信息系统密码应用测评过程指南》和国家有关规定以及采购人移交项目的质量要求和技术指标进行验收;双方如对质量要求和技术指标的约定标准有相互抵触或异议的事项,按双方合同约定标准进行验收;
4.3验收时如发现所交付的系统不符合国家相关标准及本合同规定的情形,采购人应做出详尽的现场记录,或由双方签署备忘录,此现场记录或备忘录可用作补充、缺失和更换损坏部件的有效证据,由此产生的时间延误与有关费用由成交人承担,验收期限相应顺延;
4.4如质量验收合格,双方签署质量验收报告。
4.5成交人所提供系统的资料应满足采购人服务要求;成交人不能完整交付的,必须负责补齐,否则采购人不予验收,且视为成交人未按合同约定交货。
4.6如测评报告经成交人3次修改仍不能达到国家有关规定以及采购人移交项目的质量要求和技术指标,采购人有权要求成交人全额返还采购人所支付的服务费,并支付该合同总金额百分之十的费用作为违约金。
4.7其他未尽事宜将严格按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库(2016)205号)和财政部关于印发《政府采购需求管理办法》的通知(财库(2021)22号)的文件要求进行验收。
5、违约责任与解决争议的方法:
5.1甲乙双方必须遵守本合同并执行合同中的各项规定,保证本合同的正常履行。
5.2如因乙方工作人员在履行职务过程中的的疏忽、失职、过错等故意或者过失原因给甲方造成损失或侵害,包括但不限于甲方本身的财产损失、由此而导致的甲方对任何第三方的法律责任等,乙方对此均应承担全部的赔偿责任。
6、商务履约验收内容:
6.1现状梳理:对整个系统的构成和密码保护情况进行充分的调研;
6.2组织专家对我单位商用密码应用方案进行评审,出具评审报告;
6.3安全技术测评:包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全四个方面的应用安全测评。
6.4安全管理测评:包括安全管理制度、人员管理、建设运行、应急处置四个方面的管理安全测评。
6.5现场测评结果分析:依据现场测评结果,对现场测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果),通过对信息系统基本安全保护状态的分析给出初步测评结论。
6.6结果分析、报告编制及协助备案:包括单元测评、整体测评、量化评估、风险分析、评估结论形成及密码测评报告编制等六项主要任务,编制的《商用密码应用安全性评估报告》需提交所在地区密码管理部门备案。
★为实质性条款,不得偏离。
收藏