招标文件
采购内容与技术要求
一.项目概况:
呼伦贝尔市党政机关67个重要网络与信息系统商用密码应用安全性评估,其中通过测评的系统出具国家标准的商用密码应用安全性评估报告,未通过出具整改建议报告。
一.项目概况
随着《中华人民共和国密码法》《中华人民共和国网络安全法》《商用密码管理条例》等法律法规以及相关密码监管条例的相继出台,在基于非涉密信息系统全面落实网络安全等级保护相关要求的同时,国产商用密码在重要信息系统的应用和使用要求也同步提出,并明确商用密码须落实同步规划、同步建设、同步运行原则。为进一步贯彻落实国家、自治区有关国产商用密码应用文件精神,响应国家关于国产商用密码应用政策要求,加强对重要信息系统、重要数据采用国产商用密码的保护工作,保障呼伦贝尔市本级重要网络与信息系统密码应用及网络安全,本项目拟统一组织开展呼伦贝尔市本级重要网络与信息系统商用密码应用安全性评估工作,确保相关系统的商用密码应用安全合规,建立健全商用密码安全保障、密码保护机制,为保证呼伦贝尔市本级重要网络与信息系统稳定、安全运行奠定坚实基础。
二、项目原则
本项目的实施应满足以下原则:
(1)保密性原则:项目实施方应与招标方签订保密协议,对商用密码应用安全性评估的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害招标方的权益,否则招标方有权追究投标方的责任。
(2)标准性原则:商用密码应用安全性评估方案的设计与实施应依据国家及行业的相关标准进行。
(3)规范性原则:项目实施方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
(4)可控性原则:项目的进度应符合进度安排,保证招标方对测评工作的可控性。三、参考的法律法规及技术标准
服务内容参考但不仅限于以下标准:
《中华人民共和国密码法》
《中华人民共和国网络安全法》
《中华人民共和国个人信息保护法》
《中华人民共和国数据安全法》
《中华人民共和国电子签名法》
《商用密码管理条例》
GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》GM/T 0024-2014《SSL VPN技术规范》
GM/T 0025-2014《SSL VPN网关产品规范》GM/T 0030-2014《服务器密码机技术规范》GM/T 0027-2014《智能密码钥匙技术规范》GM/T 0028-2014《密码模块安全技术要求》GM/T 0029-2014《签名验签服务器技术规范》
GB/T 37092-2018《信息安全技术密码模块安全要求》
GB/T 38636-2020《信息安全技术传输层密码协议(TLCP)》GB/T32918.1-2016《SM2椭圆曲线公钥密码算法第1部分:总则》GB/T32918.2-2016《SM2椭圆曲线公钥密码算法第2部分:数字签名算法》
GB/T32918.3-2016《SM2椭圆曲线公钥密码算法第3部分:密钥交换协议》GM/T 0016-2012《智能密码钥匙应用接口规范》
GM/T 0017-2012《智能密码钥匙密码应用接口数据格式规范》GB/T 36322-2018《信息安全技术密码设备应用接口规范》GM/T 0030-2014《服务器密码机技术规范》
GM/T 0050-2016《密码设备管理设备管理技术规范》
四、具体需求
为呼伦贝尔市本级重要网络与信息系统提供商用密码应用安全性评估服务,使平台能够合规、正确、有效地使用商用密码技术、产品及服务,达到商用密码应用安全性评估合规要求,通过商用密码应用安全性评估。
1.商用密码总体要求
密码算法合规性要求:信息系统中使用的密码算法符合法律法规的规定和密码相关国家标准、行业标准的有关要求。密码技术合规性要求:信息系统中使用的密码技术遵循密码相关国家标准和行业标准。
密码产品合规性要求:信息系统中使用的密码产品与密码模块通过国家密码管理部门核准。密码服务合规性要求:信息系统中使用的密码服务通过国家密码管理部门许可。
2.密码技术应用要求
从网络和通信、设备和计算、应用和数据等安全层面对信息系统提供密码应用服务。
网络和通信层面要求:分析评估信息系统是否合理、合规、正确、有效地利用商用密码技术,在网络和通信层面进行密码保护。对用户进行身份鉴别,保证网络和通信中用户身份的真实性;保证系统中通信数据完整性;保证系统中通信过程中重要数据的机密性;保证系统中网络边界访问控制信息的完整性;保证安全接入认证。
设备和计算层面要求:分析评估信息系统是否合理、合规、正确、有效地利用商用密码技术,在设备和计算层面进行密码保护。对登录设备的用户进行身份鉴别,保证用户身份的真实性;建立远程设备管理的安全信息传输通道;保证系统资源访问控制信息、日志记录、重要可执行程序的完整性,以及重要可执行程序的来源真实性。
应用和数据层面要求:分析评估信息系统是否合理、合规、正确、有效地利用商用密码技术,在应用和数据层面进行密码保护。对登录用户进行身份鉴别,保证应用系统用户身份的真实性;保证系统中重要数据在传输和存储中的机密性;保证系统中重要数据在传输和存储中的完整性;保证系统应用的访问控制信息、重要信息资源安全标记的完整性,以及数据原发行为和接收行为的不可否认性。
3.密钥管理要求
对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于:密钥生成、密钥存储、密钥分发、密钥导入、密钥导出、密钥使用、密钥备份、密钥恢复、密钥归档、密钥销毁等。
4.安全管理要求
对影响商用密码防护效能的管理制度与措施进行分析与评估,管理制度与措施包括但不限于:安全管理制度、人员管控、信息系统实施、应急预案等。
五、服务内容
参照GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》要求,结合呼伦贝尔市本级重要网络与信息系统商用密码应用需求,综合考虑呼伦贝尔市本级重要网络与信息系统商用密码服务需要,本项目计划采购呼伦贝尔市本级重要网络与信息系统商用密码应用安全性评估服务。
二.主要商务要求、技术要求
合同包1(党政机关重要网络与信息系统商用密码应用安全性评估项目)
1.主要商务要求
|
标的提供的时间 |
中标签订合同开始服务至2024年11月30日前完成项目服务 |
|
标的提供的地点 |
中国共产党呼伦贝尔市委员会保密机要局 |
|
付款方式 |
1期:支付比例60%,签订合同后,支付60%。 2期:支付比例40%,依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》开展商用密码应用安全性评估并出具密评报告或整改建议报告支付40%。 |
|
验收要求 |
1期:依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》开展商用密码应用安全性评估并出具密评报告或整改建议报告。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术要求
|
序号 |
核心产品(“△ ”) |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元 ) |
分项预算总价(元 ) |
面向对象 情况 |
所属行业 |
技术要求 |
|
1 |
|
测试评估认证 服务 |
党政机关重要网络与信息系统商用密码应用安全性评估项目 |
项 |
1. 00 00 |
1,950,00 0.00 |
1,950,00 0.00 |
面向中小 企业 |
软件和信息技术服 务业 |
详见附表 一 |
附表一:党政机关重要网络与信息系统商用密码应用安全性评估项目是否允许进口:否
|
参数性质 |
序 号 |
具体技术(参数)要求 |
|
|
|
一.项目概况 随着《中华人民共和国密码法》《中华人民共和国网络安全法》《商用密码管理条例》等法律法规以及相关密码监管条例的相继出台,在基于非涉密信息系统全面落实网络安全等级保护相关要求的同时,国产商用密码在重要信息系统的应用和使用要求也同步提出,并明确商用密码须落实同步规划、同步建设、同步运行原则。为进一步贯彻落实国家、自治区有关国产商用密码应用文件精神,响应国家关于国产商用密码应用政策要求,加强对重要信息系统、重要数据采用国产商用密码的保护工作,保障呼伦贝尔市本级重要网络与信息系统密码应用及网络安全,本项目拟统一组织开展呼伦贝尔市本级重要网络与信息系统商用密码应用安全性评估工作,确保相关系统的商用密码应用安全合规,建立健全商用密码安全保障、密码保护机制,为保证呼伦贝尔市本级重要网络与信息系统稳定、安全运行奠定坚实基础。 二、项目原则 本项目的实施应满足以下原则: (1) 保密性原则:项目实施方应与招标方签订保密协议,对商用密码应用安全性评估的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害招标方的权益,否则招标方有权追究投标方的责任。 (2) 标准性原则:商用密码应用安全性评估方案的设计与实施应依据国家及行业的相关标准进行。 (3) 规范性原则:项目实施方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。 (4) 可控性原则:项目的进度应符合进度安排,保证招标方对测评工作的可控性。三、参考的法律法规及技术标准 服务内容参考但不仅限于以下标准: 《中华人民共和国密码法》 《中华人民共和国网络安全法》 《中华人民共和国个人信息保护法》 《中华人民共和国数据安全法》 《中华人民共和国电子签名法》 |
|
|
1 |
《商用密码管理条例》 GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》GM/T 0024-2014《SSL VPN技术规范》 GM/T 0025-2014《SSL VPN网关产品规范》GM/T 0030-2014《服务器密码机技术规范》GM/T 0027-2014《智能密码钥匙技术规范》GM/T 0028-2014《密码模块安全技术要求》GM/T 0029-2014《签名验签服务器技术规范》GB/T 37092-2018《信息安全技术密码模块安全要求》GB/T 38636-2020《信息安全技术传输层密码协议(TLCP)》GB/T32918.1-2016《SM2椭圆曲线公钥密码算法第1部分:总则》GB/T32918.2-2016《SM2椭圆曲线公钥密码算法第2部分:数字签名算法》GB/T32918.3-2016《SM2椭圆曲线公钥密码算法第3部分:密钥交换协议》GM/T 0016-2012《智能密码钥匙应用接口规范》GM/T 0017-2012《智能密码钥匙密码应用接口数据格式规范》GB/T 36322-2018《信息安全技术密码设备应用接口规范》GM/T 0030-2014《服务器密码机技术规范》GM/T 0050-2016《密码设备管理设备管理技术规范》 四、具体需求 为呼伦贝尔市本级重要网络与信息系统提供商用密码应用安全性评估服务,使平台能够合规、正确、有效地使用商用密码技术、产品及服务,达到商用密码应用安全性评估合规要求,通过商用密码应用安全性评估。 1. 商用密码总体要求 密码算法合规性要求:信息系统中使用的密码算法符合法律法规的规定和密码相关国家标准、行业标准的有关要求。密码技术合规性要求:信息系统中使用的密码技术遵循密码相关国家标准和行业标准。 密码产品合规性要求:信息系统中使用的密码产品与密码模块通过国家密码管理部门核准。密码服务合规性要求:信息系统中使用的密码服务通过国家密码管理部门许可。 2. 密码技术应用要求 从网络和通信、设备和计算、应用和数据等安全层面对信息系统提供密码应用服务。 网络和通信层面要求:分析评估信息系统是否合理、合规、正确、有效地利用商用密码技术,在网络和通信层面进行密码保护。对用户进行身份鉴别,保证网络和通信中用户身份的真实性;保证系统中通信数据完整性;保证系统中通信过程中重要数据的机密性;保证系统中网络边界访问控制信息的完整性;保证安全接入认证。 设备和计算层面要求:分析评估信息系统是否合理、合规、正确、有效地利用商用密码技术,在设备和计算层面进行密码保护。对登录设备的用户进行身份鉴别,保证用户身份的真实性;建立远程设备管理的安全信息传输通道;保证系统资源访问控制信息、日志记录、重要可执行程序的完整性,以及重要可执行程序的来源真实性。 应用和数据层面要求:分析评估信息系统是否合理、合规、正确、有效地利用商用密码技术,在应用和数据层面进行密码保护。对登录用户进行身份鉴别,保证应用系统用户身份的真实性;保证系统中重要数据在传输和存储中的机密性;保证系统中重要数据在传输和存储中的完整性;保证系统应用的访问控制信息、重要信息资源安全标记的完整性,以及数据原发行为和接收行为的不可否认性。 3. 密钥管理要求 对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命 |
|
|
|
周期相关环节包括但不限于:密钥生成、密钥存储、密钥分发、密钥导入、密钥导出、密钥使用、密钥备份、密钥恢复、密钥归档、密钥销毁等。 4.安全管理要求 对影响商用密码防护效能的管理制度与措施进行分析与评估,管理制度与措施包括但不限于:安全管理制度、人员管控、信息系统实施、应急预案等。 五、服务内容 参照GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》要求,结合呼伦贝尔市本级重要网络与信息系统商用密码应用需求,综合考虑呼伦贝尔市本级重要网络与信息系统商用密码服务需要,本项目计划采购呼伦贝尔市本级重要网络与信息系统商用密码应用安全性评估服务。 |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致响应无效。 |
|
收藏