招标文件
采购需求
一、项目概况:
一、项目简介
|
项目名称 |
数量 |
所属行业 |
主要标的 |
服务期 |
最高限价 |
|
云浮市政务信息系统商用密码应用改造(2024年)项目 |
1项 |
软件和信息技术服务业 |
云浮市政务信息系统商用密码应用改造(2024年)项目 |
自项目合同签订之日起1年,具体时间以项目合同为准。项目服务以实际提供服务工作量结算直至项目资金使用完毕为止。 |
467.2万元 |
二、项目概况
(一)项目名称:云浮市政务信息系统商用密码应用改造(2024年)项目
(二)采购人:云浮市政务服务和数据管理局
(三)本项目采购总预算为:¥4672000.00元
(四)项目背景
当前,网络威胁形式复杂多样,未知威胁渐成主流,“没有网络安全,就没有国家安全”。网络安全威胁被国家列为第一层级的安全威胁,上升为国家战略并付诸行动。
通过对应用系统的商用密码改造、方案编制、评估与安全性评估,能够推动政务信息化建设和发展。密码技术的应用能够为政务信息化提供更为安全、可靠的技术支持,同时也能够提高政务信息化的技术水平和管理水平。
在政务信息化规划中,商用密码改造、方案编制、评估与安全性评估的定位是保障政务信息安全的基础、提升政务服务的安全性和可靠性、符合国家密码政策和法规要求、推动政务信息化建设和发展以及保障政务信息数据的安全。
因此,通过本项目可切实推进云浮市政务信息化项目密码应用工作,坚决落实《中华人民共和国密码法》相关要求,创新开展密码应用与数字政府改革建设的融合,推动云上政务系统密码应用改造,实现合规性、正确性、有效性的密码应用要求,确保通过商用密码应用安全性评估。
《中华人民共和国密码法》2020年1月1日起施行。第十一条县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。
《中华人民共和国网络安全法》2017年6月1日起施行。第十条 建设、运营网络或者通过网络提供服务,应当依照法律、行政法规的规定和国家标准的强制性要求,采取技术措施和其他必要措施,保障网络安全、稳定运行,有效应对网络安全事件,防范网络违法犯罪活动,维护网络数据的完整性、保密性和可用性。
依据《“十四五”国家信息化规划》要求,“建设基础网络、数据中心、云、数据、应用等一体协同的安全保障体系。开展通信网络安全防护,研究完善海量数据汇聚融合的风险识别与防护技术、数据脱敏技术、数据安全合规性评估认证、数据加密保护机制及相关技术检测手段。”
依据《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》国办发〔2019〕57号,第九条 拟新建、改建、扩建,以及通过政府购买服务方式产生的政务信息化项目,应当按规定履行审批程序,备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容。第十五条“项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,同步规划、同步建设、同步运行密码保障系统并定期进行评估。”第十六条 项目应当采用安全可靠的软硬件产品。在项目报批阶段,要对产品的安全可靠情况进行说明。项目软硬件产品的安全可靠情况,项目密码应用和安全审查情况是项目验收的重要内容。第二十五条 政务信息化项目建成后半年内,项目建设单位应当按照国家有关规定申请审批部门组织验收,提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告、密码应用安全性评估报告等材料。第二十八条 (三)对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,不安排运行维护经费,项目建设单位不得新建、改建、扩建政务信息系统。
依据《广东省政务服务数据管理局广东省财政厅关于做好2023年省级政务信息化项目立项申报工作的通知粤政数函〔2022〕18号》,涉及政务信息系统、关键信息基础设施、网络安全登记保护第三级及以上信息系统等项目,应按照《广东省省级政务信息化项目商用密码应用工作指引》(粤密码协调组〔2020〕2号)文件要求,在申请立项或备案时一并提供省密码局审核意见。未能提供的,原则上不受理项目立项或备案申请。
依据《广东省省级政务信息化项目立项审批细则》第十二条提出:“密码应用备案。涉及密码应用的项目,省政务服务数据管理局应编制《商用密码应用建设方案》,组织专家或委托经国家密码管理部门认定的商用密码应用安全性测评机构进行评估,将评估结果连同《商用密码应用建设方案》报送省密码管理局进行备案。”
根据《广东省数字政府基础能力均衡化发展指标任务执行标准》第38条工作要求,“关于等保三级及以上政务信息系统通过商用密码应用安全性评估比例2023年12月底前需达60%,2024年12月底前需达100%。”
《国家电子政务总体框架》中提到“完善密钥管理基础设施,充分利用密码、访问控制等技术保护电子政务安全,促进应用系统的互联互通和信息共享。”
(五)政策依据
《中华人民共和国密码法》;
《中华人民共和国网络安全法》;
《国务院办公厅关于印发政务信息化项目建设管理办法的通知》(国办发〔2019〕57号)
《广东省政务服务数据管理局关于印发广东省政务信息化服务项目立项审批细则的通知》(粤政数〔2021〕12号);
《广东省政务服务数据管理局关于印发广东省政务信息化项目验收前符合性审查细则的通知》(粤政数〔2020〕13号);
《广东省省级政务信息化项目商用密码应用工作指引》(2022年修订版,粤密码协调组〔2022〕6号)。
广东省政务服务数据管理局广东省财政厅关于做好2023年省级政务信息化项目立项申报工作的通知(粤政数函〔2022〕18号
《广东省数字政府基础能力均衡化发展指标任务执行标准》;
《关于进一步规范市级政务信息化项目建设密码应用有关工作的通知》(云密码组办〔2022]7号);
(六)服务目标
为切实推进云浮市政务领域信息化项目密码应用工作,落实省政数局、省密码局、市密码局关于政务信息化项目“密码保障同步规划、同步建设、同步运行、定期评估”的政策要求,以云浮市密码资源池为支撑,按照《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的密码应用要求,完成三级等保系统商用密码整改工作,分阶段实现《广东省数字政府基础能力均衡化发展指标任务执行标准》第38条要求“等保三级及以上政务信息系统通过商用密码应用安全性评估比例2024年12月底前达100%”,并根据云浮市云上等保三级系统实际情况,完成应用系统商用密码改造、方案编制、方案评估并通过商用密码应用安全性评估。
(七)服务内容
本项目围绕云浮市政务云上13个网络安全等级保护定级为三级的应用系统,开展商用密码应用改造服务、商用密码方案编制、商用密码方案评估、商用密码应用安全性评估等服务内容。具体内容如下:
1、商用密码改造服务
完成密码应用方案编制、方案评估工作后,组织系统开发商、密码集成厂商配合开展系统密码应用改造工作,根据密码应用方案设计要求,明确应用系统按照密码测评的要求需要进行密码保护的环节、申请对接密码服务资源,并开展系统密码应用对接和改造工作,实现系统从用户登录、数据传输、数据存储、数据使用、机房管理等全流程实现密评要求,提升系统安全。具体需要改造的系统如下(列表清单仅供参考,按采购人实际需求为准):
表2-1需要开展商用密码改造服务的系统
|
序号 |
主系统名称 |
子系统名称 |
责任部门 |
|
1 |
云浮市公共资源交易服务平台 |
云浮市公共资源交易服务平台蔓延电子保函服务平台 |
市公共资源交易中心 |
|
云浮市公共资源交易服务平台白鸽在线区块链电子保函平台 |
|||
|
公共资源交易中心信息化平台交易系统 |
|||
|
公共资源交易中心信息化平台门户网站系统 |
|||
|
公共资源交易中心信息化平台接口系统 |
|||
|
2 |
云浮市电子公文系统 |
云浮市党政机关电子公文系统信息技术创新应用替代项目 |
市政务服务和数据管理局 |
|
3 |
广东省不动产登记信息基础管理平台 |
广东省不动产登记信息基础管理平台 |
市自然资源局 |
|
权籍系统 |
|||
|
4 |
云浮市“互联网+不动产登记”系统 |
云浮市“互联网+不动产登记”系统 |
|
|
5 |
云浮市公共信用信息管理系统 |
云浮市公共信用信息管理系统 |
市发展改革局 |
|
政府内部信用信息系统 |
|||
|
6 |
云浮市行政执法信息平台 |
云浮市行政执法信息平台 |
市司法局 |
|
7 |
云浮市产权与交易管理信息平台 |
云浮市危房安全鉴定管理系统 |
市住房和城乡建设局 |
|
云浮市产权与交易管理信息平台 |
|||
|
8 |
云浮市工程建设项目审批管理系统 |
云浮市工程建设项目审批管理系统 |
|
|
云浮市多规合一业务协同平台 |
|||
|
9 |
云浮市“微网格”社会治理综合平台 |
云浮市“微网格”社会治理综合平台 |
中共云浮市委政法委员会 |
|
10 |
广东省高中阶段教育招生服务平台 |
广东省高中阶段教育招生服务平台 |
市教育局 |
|
11 |
云浮市互联网医院信息平台 |
云浮市互联网医院信息平台项目云服务资源系统 |
市卫生健康局 |
2、商用密码方案编制
本项目根据《广东省省级政务信息化项目商用密码应用工作指引》等文件要求,按照GB/T 39786-2021《信息系统密码应用基本要求》及国家有关商用密码应用有关法律法规、政策标准的要求,编制信息系统密码应用方案。具体需要开展商用密码方案编制的系统如下(列表清单仅供参考,按采购人实际需求为准):
表2-2需要开展商用密码方案编制的系统
|
序号 |
主系统名称 |
子系统名称 |
责任部门 |
|
1 |
云浮市公共资源交易服务平台 |
云浮市公共资源交易服务平台蔓延电子保函服务平台 |
市公共资源交易中心 |
|
云浮市公共资源交易服务平台白鸽在线区块链电子保函平台 |
|||
|
公共资源交易中心信息化平台交易系统 |
|||
|
公共资源交易中心信息化平台门户网站系统 |
|||
|
公共资源交易中心信息化平台接口系统 |
|||
|
2 |
云浮市电子公文系统 |
云浮市党政机关电子公文系统信息技术创新应用替代项目 |
市政务服务和数据管理局 |
|
3 |
广东省不动产登记信息基础管理平台 |
广东省不动产登记信息基础管理平台 |
市自然资源局 |
|
权籍系统 |
|||
|
4 |
云浮市“互联网+不动产登记”系统 |
云浮市“互联网+不动产登记”系统 |
|
|
5 |
云浮市公共信用信息管理系统 |
云浮市公共信用信息管理系统 |
市发展改革局 |
|
政府内部信用信息系统 |
|||
|
6 |
云浮市行政执法信息平台 |
云浮市行政执法信息平台 |
市司法局 |
|
7 |
云浮市产权与交易管理信息平台 |
云浮市危房安全鉴定管理系统 |
市住房和城乡建设局 |
|
云浮市产权与交易管理信息平台 |
|||
|
8 |
云浮市工程建设项目审批管理系统 |
云浮市工程建设项目审批管理系统 |
|
|
云浮市多规合一业务协同平台 |
|||
|
9 |
云浮市“微网格”社会治理综合平台 |
云浮市“微网格”社会治理综合平台 |
中共云浮市委政法委员会 |
|
10 |
广东省高中阶段教育招生服务平台 |
广东省高中阶段教育招生服务平台 |
市教育局 |
|
11 |
云浮市互联网医院信息平台 |
云浮市互联网医院信息平台项目云服务资源系统 |
市卫生健康局 |
3、商用密码方案评估
商用密码应用方案编制完成后,将组织开展商用密码应用方案评估服务,评估密码应用方案是否深入分析密码安全需求,是否合理确定密码安全预期目标,密码安全设计是否达到相应等级的密码应用基本要求等,并提出相应的改进建议,作为责任单位进一步完善密码应用方案的参考和依据。评估通过后,出具《商用密码应用方案评估报告》。具体需要开展商用密码方案评估的系统如下(列表清单仅供参考,按采购人实际需求为准):
表2-3需要开展商用密码方案评估的系统
|
序号 |
主系统名称 |
子系统名称 |
责任部门 |
|
1 |
云浮市公共资源交易服务平台 |
云浮市公共资源交易服务平台蔓延电子保函服务平台 |
市公共资源交易中心 |
|
云浮市公共资源交易服务平台白鸽在线区块链电子保函平台 |
|||
|
公共资源交易中心信息化平台交易系统 |
|||
|
公共资源交易中心信息化平台门户网站系统 |
|||
|
公共资源交易中心信息化平台接口系统 |
|||
|
2 |
云浮市电子公文系统 |
云浮市党政机关电子公文系统信息技术创新应用替代项目 |
市政务服务和数据管理局 |
|
3 |
广东省不动产登记信息基础管理平台 |
广东省不动产登记信息基础管理平台 |
市自然资源局 |
|
权籍系统 |
|||
|
4 |
云浮市“互联网+不动产登记”系统 |
云浮市“互联网+不动产登记”系统 |
|
|
5 |
云浮市公共信用信息管理系统 |
云浮市公共信用信息管理系统 |
市发展改革局 |
|
政府内部信用信息系统 |
|||
|
6 |
云浮市行政执法信息平台 |
云浮市行政执法信息平台 |
市司法局 |
|
7 |
云浮市产权与交易管理信息平台 |
云浮市危房安全鉴定管理系统 |
市住房和城乡建设局 |
|
云浮市产权与交易管理信息平台 |
|||
|
8 |
云浮市工程建设项目审批管理系统 |
云浮市工程建设项目审批管理系统 |
|
|
云浮市多规合一业务协同平台 |
|||
|
9 |
云浮市“微网格”社会治理综合平台 |
云浮市“微网格”社会治理综合平台 |
中共云浮市委政法委员会 |
|
10 |
广东省高中阶段教育招生服务平台 |
广东省高中阶段教育招生服务平台 |
市教育局 |
|
11 |
云浮市互联网医院信息平台 |
云浮市互联网医院信息平台项目云服务资源系统 |
市卫生健康局 |
4、商用密码应用安全性评估
商用密码应用改造后,组织商用密码应用安全性评估机构,依据GB/T 39786-2021《信息系统密码应用基本要求》、GM/T0115-2021《信息系统密码应用测评要求》、GM/T0116- 2021《信息系统密码应用测评过程指南》《商用密码应用安全性评估测评作业指导书(试行)》《政务信息系统密码应 用与安全性评估工作指南》和信息系统自身的安全需求分析,完成商用密码应用安全性评估工作,并输出《商用密码应用安全性评估报告》,配合协助采购人完成云浮市密码管理局的审核备案工作。具体需要进行商用密码应用安全性评估的系统如下(列表清单仅供参考,按采购人实际需求为准):
表2-3需要开展商用密码应用安全性评估的系统
|
序号 |
主系统名称 |
子系统名称 |
责任部门 |
|
1 |
云浮市公共资源交易服务平台 |
云浮市公共资源交易服务平台蔓延电子保函服务平台 |
市公共资源交易中心 |
|
云浮市公共资源交易服务平台白鸽在线区块链电子保函平台 |
|||
|
公共资源交易中心信息化平台交易系统 |
|||
|
公共资源交易中心信息化平台门户网站系统 |
|||
|
公共资源交易中心信息化平台接口系统 |
|||
|
2 |
云浮市电子公文系统 |
云浮市党政机关电子公文系统信息技术创新应用替代项目 |
市政务服务和数据管理局 |
|
3 |
广东省数据资源“一网共享” |
广东省数据资源“一网共享”平台云浮市分节点 |
|
|
4 |
云浮市数字政府政务云平台 |
云浮市数字政府政务云平台密码资源池 |
|
|
5 |
广东省不动产登记信息基础管理平台 |
广东省不动产登记信息基础管理平台 |
市自然资源局 |
|
权籍系统 |
|||
|
6 |
云浮市“互联网+不动产登记”系统 |
云浮市“互联网+不动产登记”系统 |
|
|
7 |
云浮市公共信用信息管理系统 |
云浮市公共信用信息管理系统 |
市发展改革局 |
|
政府内部信用信息系统 |
|||
|
8 |
云浮市行政执法信息平台 |
云浮市行政执法信息平台 |
市司法局 |
|
9 |
云浮市产权与交易管理信息平台 |
云浮市危房安全鉴定管理系统 |
市住房和城乡建设局 |
|
云浮市产权与交易管理信息平台 |
|||
|
10 |
云浮市工程建设项目审批管理系统 |
云浮市工程建设项目审批管理系统 |
|
|
云浮市多规合一业务协同平台 |
|||
|
11 |
云浮市“微网格”社会治理综合平台 |
云浮市“微网格”社会治理综合平台 |
中共云浮市委政法委员会 |
|
12 |
广东省高中阶段教育招生服务平台 |
广东省高中阶段教育招生服务平台 |
市教育局 |
|
13 |
云浮市互联网医院信息平台 |
云浮市互联网医院信息平台项目云服务资源系统 |
市卫生健康局 |
采购包1(云浮市政务信息系统商用密码应用改造(2024年)项目)1.主要商务要求
|
标的提供的时间 |
服务周期要求:自项目合同签订之日起1年,具体时间以系统取得通过市密码管理局审核备案结果为准。项目服务以实际提供服务工作量结算直至项目资金使用完毕为止。项目里程碑要求:投标人需承诺严格按照本项目的服务内容和进度要求,通过关键节点、里程碑事件的监控,来控制项目工作的进展和保证实现总目标。项目涉及的等保三级及以上政务信息系统需将在合同签订生效后10个月内完成商用密码应用改造并通过商用密码应用安全性评估,取得《商用密码应用安全性评估报告》。完成密改及密评的系统需备案后方可申请项目终验,项目里程碑要求如下:1.项目正式启动(T+0);2.完成商用密码应用改造并通过商用密码应用安全性评估(T+11);3.通过市密码管理局密码备案(T+12)(T表示项目合同签订日期)。 |
|
标的提供的地点 |
采购人指定地点 |
|
付款方式 |
1期:支付比例40%,首期款:签订合同后10个工作日内,中标服务提供商书面提出支付申请及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动首期款支付流程,支付合同金额的40%。 2期:支付比例60%,尾款:项目经采购人最终验收通过并取得验收报告后15日内,采购人根据中标服务提供商实际提供服务工作量结算得出尾款金额,中标服务供应商书面提出支付申请及与拟支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后,支付尾款(尾款=实际结算费用总金额-首期款)。 注:因采购方使用的是财政资金,采购方在前款规定的付款时间为向政府采购支付部门提出办理财政支付申请手续的时间(不含政府财政支付部门审核的时间),在规定时间内提出支付申请手续后即视为采购方已经按期支付;采购方有义务督促财政部门尽快向中标服务提供商付款。如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 |
|
验收要求 |
1期:项目服务期间,中标(成交)供应商须按照合同、采购文件的要求和响应文件服务承诺提供稳定、可靠、安全、优质的服务,定期进行服务总结。 项目主要验收材料应包括但不限于以下文档: 本项目涉及的信息系统的《密码应用方案》; 本项目涉及的信息系统的《<密码应用方案>商用密码应用安全性评估报告》及通过云浮市密码管理局的备案审核; 本项目涉及的信息系统的《商用密码应用安全性评估报告》及通过云浮市密码管理局的备案审核; 项目服务总结报告; 项目验收申请表。 |
|
履约保证金 |
不收取 |
|
其他 |
报价要求,(1)投标报价为全包价,包括商用密码技术改造软件开发服务、商用密码应用方案编制服务、商用密码应用方案评估服务、商用密码应用安全性评估服务相关所有的费用,以及项目过程中所发生的雇员费、专家费、税费、保险、交通费、通信费、差旅费、办公费、管理费等。除按合同约定支付的服务费用,采购人不再另行支付其他费用。 (2)投标人按以下取费标准计算服务费用,投标人的报价采用统一下浮率的方式报价,即投标人对全过程服务费用整体统一报出唯一的投标下浮率b,b范围:0≤投标下浮率<100%,b必须为固定值报价,不得采用区间值报价形式。 实际结算费用=按取费标准计算费用×(1-b)。项目实施周期内,取费标准不作调整。 (3)未按上述要求报价视为无效投标。最终结算给投标人的费用按实际产生费用结算,当咨询服务费用总金额累计达到采购预算时,本项目合同自动终止。具体取费标准如下: 1、商用密码技术改造软件开发服务16.8万元,按子系统数量计算; 2、商用密码应用方案编制服务2万元,按主系统数量计算; 3、商用密码应用方案评估服务2万元,按主系统数量计算; 4、商用密码应用安全性评估服务8万元,按主系统数量计算。 (4)★报价合理性要求:项目报价以下浮率报价。下浮率是固定值,报价区间为0%-100%,下浮率高于35%(不含35%)需提供合理成本分析报告文件,否则视为无效报价。财政部 87 号令第六十条:评标委员会认为投标人的报价明显低于其他通过符合生审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效投标处理。 |
其他商务需求
|
参数性质 |
编号 |
内容明细 |
内容说明 |
|
|
1 |
投标公平竞争承诺 |
★投标人须承诺本项目投标将遵守中华人民共和国的相关法律法规,包括但不限于反垄断法反不正当竞争法等。承诺内容包括但不限于禁止具有市场支配地位的经营者从事下列滥用市场支配地位的行为等。(投标人须提供承诺函,承诺函格式自拟) |
|
|
2 |
项目服务内容及要求1 |
对我市13个网络安全等级保护三级以上系统(包含云浮市公共资源交易服务平台、云浮市电子公文系统、广东省数据资源“一网共享”平台云浮市分节点、云浮市数字政府政务云平台密码资源池、广东省不动产登记信息基础管理平台、云浮市“互联网+不动产登记”系统、云浮市公共信用信息管理系统、云浮市行政执法信息平台、云浮市产权与交易管理信息平台、云浮市工程建设项目审批管理系统、云浮市“微网格”社会治理综合平台、广东省高中阶段教育招生服务平台、云浮市互联网医院信息平台。)完成密码应用方案编制、方案评估工作后,组织系统开发商、密码集成厂商配合开展系统密码应用改造工作,根据密码应用方案设计要求,明确应用系统按照密码测评的要求需要进行密码保护的环节、申请对接密码服务资源,并开展系统密码应用对接和改造工作,实现系统从用户登录、数据传输、数据存储、数据使用、机房管理等全流程实现密评要求,提升系统安全。 1、商用密码技术改造软件开发服务 组织系统开发商、密码集成厂商配合开展系统密码应用改造工作,根据密码应用方案设计要求,明确应用系统按照密码测评的要求需要进行密码保护的环节、申请对接密码服务资源,并开展系统密码应用对接和改造工作,实现系统从用户登录、数据传输、数据存储、数据使用等全流程实现密评要求,提升系统安全。具体如下: (1)身份鉴别密码改造服务 在网络安全等级保护第三级以上的上云系统中确认操作者身份的过程,系统登录(包含普通登录或者单点登录的改造)时需采用国密智能密码钥匙Ukey进行身份认证登录应用系统,从而确定该用户是否具有对某种资源的访问和使用权限,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。 (2)访问控制密码改造服务 将网络安全等级保护第三级以上的上云系统中的所有功能标识出来,组织/托管起来,将所有的数据组织起来标识出来托管起来,然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是:谁是否对某资源具有实施某个动作的权限。返回的结果只有:有、没有或者权限引擎异常三种。 (3)数据传输机密性密码改造服务 本项目网络安全等级保护第三级以上的上云系统使数据安全保密传输,防止明文数据传输时,被黑客截获所带来的安全隐患。 为了保证网络安全等级保护第三级以上的上云系统与用户交互时重要数据传输的机密性,在浏览器和服务器之间采用SSL加密方式,业务办理时对交互业务数据进行加密,数据采用密文方式交互,服务器端根据密文进行算法解析,从而在服务器端进行实际业务处理,处理完成后结果反馈同样根据密评要求进行加密反馈,浏览器端经算法解析后进行业务展示,来保证数据报文在网络传播过程中不被窃取。 (4)数据存储机密性密码改造服务 针对本项目网络安全等级保护第三级以上的上云系统存在诸多政府、企业、个人等重要敏感信息安全需求,对数据进行密码保护之前,需确定哪些数据需要保护,针对数据敏感程度进行数据分级,即根据敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义,针对不同敏感程度进行差异化加密存储。 针对本项目网络安全等级保护第三级以上的上云系统重要数据和敏感数据,需要在关键数据的安全性,保持应用系统的功能可用性和系统可维护性方面综合考虑,保证重要数据安全性大原则下确定需要加密要素的技术方案,在数据写入存储介质前将数据进行加密,实现数据的存储加密,在从存储介质加载数据到内存前进行数据解密,实现数据的解密使用。 (5)数据传输完整性密码改造服务 为了保证网络安全等级保护第三级以上的上云系统与用户交互时重要数据传输的完整性,在浏览器和服务器之间采用SSL完整性保护方式,业务办理时对交互业务数据进行完整性保护,数据采用完整性校验方式交互,来保证数据报文在网络传播过程中不可篡改。 (6)数据存储完整性密码改造服务 针对本项目网络安全等级保护第三级以上的上云系统存在诸多政府、企业、个人等重要敏感信息安全需求,对数据进行密码保护之前,需确定哪些数据需要保护,针对数据敏感程度进行数据分级,即根据敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义,针对不同敏感程度进行完整性保护密码改造。 (7)日志记录完整性密码改造服务 日志记录了系统中的各种事件,包括入侵行为引发的事件,通过分析日志,可以发现系统的异常。通过删除或修改与其入侵行为相关的日志记录,使其入侵行为不被发现。入侵者也可能在日志文件中恶意插入伪造的日志记录,干扰系统的正常工作。入侵者删除或修改日志记录全导致日志完整性被破坏。所以日志记录完整性的必要性非常重要。 对应用系统产生的日志进行完整性保护时,调用密码资源池签名验签服务,对用户产生的操作进行数字签名,同时需要兼顾验证签名的功能。 本项目网络安全等级保护第三级以上的上云系统涉及日志记录的存储完整性保护,通过申请对接密码资源池支持国密算法的云服务器密码机、密码服务平台,日志记录存储进行完整性保护,实现重要数据防篡改保护。 2、商用密码应用方案编制服务 本项目根据《广东省省级政务信息化项目商用密码应用工作指引》等文件要求,依据《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)等相关要求对我市11个网络安全等级保护第三级以上的上云系统开展商用密码应用方案编制服务,每个系统形成1套符合第三方密码方案评估机构评估要求《商用密码应用方案》。 (1)开展信息系统调研 服务单位应在密码应用方案编制前,对上云系统的实地调研。调研内容主要包括信息系统所承载的业务及其描述、所承载的数据及其敏感程度、系统业务逻辑、系统架构、系统所采用的数据库和中间件、系统用户、系统联系人及方式等方面的内容,并形成调研报告。 (2)编制密码应用方案 完成系统调用工作后,组织开展上云系统密码应用方案编制工作。方案编制要求按照现行最新的《政务信息系统密码应用方案模板》格式编制,主要是立足信息系统密码应用需求,以及目前的密码能力现状,在调研的基础上,按照上述指引、标准、规范进行方案编制,确保通过第三方密码方案评估机构对方案的评估和云浮市密码管理局的备案审核。 |
|
|
3 |
项目服务内容及要求2 |
3、商用密码应用方案评估服务 商用密码应用方案编制完成后,组织第三方密评机构依据《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)等相关要求对我市11个网络安全等级保护三级以上的上云系统开展《商用密码应用方案》评估服务。评估密码应用方案是否深入分析密码安全需求,是否合理确定密码安全预期目标,密码安全设计是否达到相应等级的密码应用基本要求等,并提出相应的改进建议,作为责任单位进一步完善密码应用方案的参考和依据。评估通过后,每个系统出具1套《<商用密码应用方案>密码应用安全性评估报告》。 (1)选取具备资质的第三方评估单位 对照《国家密码管理局第42号公告》中的附件名录,从48家具备资质的单位中择优选取第三方评估单位,对已完成《商用密码应用方案》编制报告进行方案评估工作。 (2)开展商用密码应用方案评估 通过组织委托第三方评估单位开展评估工作,出具商用密码应用方案安全性评估报告,评估要求和具体指标如下: (一) 评估主要是对方案的完整性和合理性、密码应用的正确性、密码技术对信息系统安全保护的有效性、密码产品选取的合规性等方面进行评估,并出具《商用密码应用方案评估报告》; 商用密码应用方案评估将依据GB/T 39786—2021《信息安全技术信息系统密码应用基本要求》等标准要求,对方案的完整性和合理性、密码应用的正确性、密码技术对信息系统安全保护的有效性、密码产品选取的合规性等方面进行评估,提供具有商用密码应用安全性评估资质机构出具的《商用密码应用方案评估报告》。报告需按照现行最新的《商用密码应用方案评估报告模板》格式编制。 (二)方案评估从总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面开展测评。 4、商用密码应用安全性评估服务 组织商用密码应用安全性评估机构,依据GB/T 39786-2021《信息系统密码应用基本要求》、GM/T0115-2021《信息系统密码应用测评要求》、GM/T0116- 2021《信息系统密码应用测评过程指南》《商用密码应用安全性评估测评作业指导书(试行)》《政务信息系统密码应 用与安全性评估工作指南》和信息系统自身的安全需求分析,开展商用密码应用安全性评估,完成商用密码应用安全性评估工作,并输出《商用密码应用安全性评估报告》,配合协助采购人完成云浮市密码管理局的审核备案工作。 ★密改集成对接兼容适配要求 为确保本项目涉及到的云浮市政务云上11个网络安全等级保护定级为三级的应用系统顺利开展商用密码改造工作,相关应用系统需实现与云浮市数字政府政务云平台密码资源池关键密码设备(包括但不限于密码服务平台、云服务器密码机、服务器密码机、签名验签服务器、IPSec/SSL VPN综合安全网关)的密改集成对接兼容适配,如果因投标人无法实现与云浮市数字政府政务云平台密码资源池有关密码设备的密改集成对接兼容适配,导致无法推动本项目涉及相关系统的密改对接和密评工作,采购人有权终止合同,所造成的一切损失由投标人承担(投标人须提供承诺函,承诺函格式自拟)。 ★服务资质要求 1、为本项目提供商用密码应用安全性评估服务的第三方测评机构须符合国家密码管理局要求,被列入国家密码管理局发布的《商用密码应用安全性评估试点机构目录》。(提供相关证明文件复印件并加盖测评机构及投标人公章) 2、为本项目提供商用密码应用安全性评估服务的第三方测评机构需提供针对本项目的原厂商服务的承诺函或授权函(格式自拟)并加盖投标人公章。 ★服务能力要求 为本项目提供商用密码应用安全性评估服务的第三方测评机构需为本项目配备不少于3名测评师,测评师需通过商用密码应用安全性评估能力考试。(提供有效证书复印件并加盖测评机构公章,提供投标截止日前3个月内任意一个月的社保证明材料复印件并加盖测评机构公章。) 运维服务要求:项目验收后,中标人需为本项目提供1年免费运维服务,保障本项目开展密码改造及评估涉及的13个网络安全等级保护三级系统对接密码资源池的稳定正常运行及服务正常提供。 项目实施进度要求 本项目合同签订生效之日起10个月内,完成项目涉及的等保三级及以上政务信息系统的商用密码应用改造并通过商用密码应用安全性评估服务,取得《商用密码应用安全性评估报告》,完成密改及密评的系统需通过市密码管理局审核备案。 服务人员要求 服务提供商应为本项目组建专业的技术服务团队,提供7×24小时的技术支持服务,服务团队成员不得少于 5 人(不包括密码测评人员)。要求如下: (1)项目经理:全面负责本项目管理工作、负责项目计划制定、协调安排项目团队具体实施工作、负责对接采购人、系统开发商、密码设备厂商、密评机构等关联主体以及配合采购人要求的其它项目相关工作。 (2)项目成员:负责项目具体实施工作开展,对项目经理负责。 |
|
|
4 |
其他 |
★由于本项目使用的是财政资金,项目总金额会根据财政资金落实情况作出调整,项目总金额不高于人民币肆佰陆拾柒万贰仟元整(¥4672000.00元),采购人有权根据财政资金下达情况终止本项目且不视为违约。(投标人须提供承诺函,承诺函格式自拟) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标(响应)无效。 |
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
权重% |
所属行业 |
技术要求 |
|
1 |
安全集成实施服务 |
云浮市政务信息系统商用密码应用改造(2024年)项目 |
项 |
1.00 |
4,672,000.00 |
4,672,000.00 |
100.0 |
软件和信息技术服务业 |
详见附表一 |
备注:最终综合总报价=(各产品报价×各项产品权重)的相加值
附表一:云浮市政务信息系统商用密码应用改造(2024年)项目
|
参数性质 |
序号 |
具体技术(参数)要求 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
|
1 |
1、业务需求分析 根据国家、省市相关密码应用法律法规、政策要求,政务信息系统需同步规划、同步建设、同步运行密码保障系统并定期进行密码应用安全性评估,等保三级及以上系统每年需开展一次商用密码应用安全性评估。政务云平台云上等保三级及以上系统未采用合规密码技术进行密码应用改造,未能满足相关密码应用安全要求。 此外,根据《广东省数字政府基础能力均衡化发展指标任务执行标准》第38条工作要求,关于等保三级及以上政务信息系统通过商用密码应用安全性评估比例2023年12月底前需达60%,2024年12月底前需达100%。 因此,需通过本项目开展政务云平台上云等保三级系统密码应用改造,有效落实《中华人民共和国网络安全法》、《中华人民共和国密码法》、《中华人民共和国商用密码管理条例》等法律法规要求,确保我局网络安全等级保护第三级以上的上云系统在身份认证、重要数据传输安全、重要数据加密存储安全、以及数据完整性保护等安全防护能力,全面提升系统安全防护水平,避免发生危及社会稳定和公共利益的网络安全事件。 2、密码合规性需求分析 国家密码管理局制定了信息系统密码应用测评要求(GM/T 0115-2021),要求政务信息系统需遵循密码应用要求,尤其是第三级以上系统应按照相关要求执行。2021年3月9日,《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)正式发布,于2021年10月1日正式实施,将“信息系统密码应用基本要求”从行业标准GM/T 0054-2018《信息系统密码应用基本要求》上升为国家标准。 同时,按照《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)的要求,本项目需满足政务云上等级保护第三级信息系统密码应用改造和评估需求。 3、密码应用安全需求分析 根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,本项目网络安全等级保护第三级以上的上云系统密码应用安全从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等层面,进行风险分析。 (1)物理和环境安全风险分析 物理和环境是指信息机房等重要场所。物理和环境安全是保障网络系统安全的前提。特别是对电子门禁,监控设备等需要采用密码技术保证重要区域进入人员身份的真实性和完整性。保证视频监控音像记录的完整性。物理和环境安全层面主要涉及云浮市政务云机房,存在的密码安全风险分析如下: 身份鉴别:电子门禁系统安全机制不完善,未实现对重要区域进入人员的身份真实性校验; 电子门禁记录数据存储完整性:电子门禁系统未采用符合要求的密码算法和密码技术等对物理进出记录进行完整性保护。 视频监控记录数据存储完整性:未采用符合要求的密码算法和密码技术等对视频记录进行完整性保护。 (2)网络和通信安全风险分析 本项目网络安全等级保护第三级以上系统的网络和通信安全层面存在的密码安全风险分析如下: 身份鉴别:网络通信通道在建立前未使用密码技术对通信实体进行验证,存在恶意设备接入、网络攻击、恶意代码传播等风险。 通信数据完整性:网络通信通道未通过密码技术实现通信数据的完整性保护,存在重要数据被篡改的风险。 通信过程中重要数据的机密性:网络通信通道未通过密码技术实现通信数据的机密性保护,存在重要数据泄露的风险。 网络边界访问控制信息完整性:网络通信通道未采用完整性技术保护访问控制信息,存在网络边界和系统资源访问控制信息被窃取,导致系统被非法访问的风险。 安全接入认证:设备从外部连接到内部网络时,未采用密码技术对设备进行接入认证,确保接入设备身份的真实性,存在外部设备恶意接入、网络攻击等风险。 (3)设备和计算安全风险分析 本项目网络安全等级保护第三级以上系统涉及的设备和计算安全层面的密码安全风险分析如下: 身份鉴别:操作系统和数据库等设备未对访问的用户进行身份真实性校验。身份鉴别信息未按复杂度和定期更换的要求实现。 远程管理通道安全:远程管理设备时,未采用密码技术建立安全的信息传输通道,对管理员的身份鉴别信息未进行机密性保护,鉴别信息等重要信息有泄露的风险。 系统资源访问控制信息完整性:服务器、数据库等设备的访问控制信息未做完整性保护,存在被恶意篡改或删除的风险,导致无法对安全事件进行追溯。 重要信息资源安全标记完整性: 本系统设备无重要信息资源安全标记,无此密码应用需求。 日志记录完整性:未实现对操作系统和数据库等日志记录进行完整性保护,导致日志记录被恶意篡改或删除等风险。 重要可执行程序完整性、重要可执行程序来源真实性:未采用密码技术对相关设备的重要可执行程序进行完整性保护,并未对其来源真实性进行验证,有导致重要程序或文件被恶意篡改的风险。 (4)应用和数据安全风险分析 本项目网络安全等级保护第三级以上系统在应用和数据安全层面的密码安全风险如下: 身份鉴别:未使用密码技术对登录用户进行身份鉴别,存在合法账户的鉴别信息被攻击者获取,并对目标系统未授权访问的风险。 访问控制信息完整性:未对业务应用系统访问控制策略、数据库表访问控制信息等信息进行完整性保护,导致访问控制信息被篡改后失效,将会有非法用户登录并操作等风险。 重要信息资源安全标记完整性:系统不涉及重要信息资源安全标记。 数据传输安全:对重要数据在传输过程中未实现机密性和完整性保护,导致等重要数据在传输过程中遭到窃听或窃取,将造成系统和个人隐私泄露和被篡改的风险。 数据存储安全:对重要数据在存储过程中未实现机密性和完整性保护,导致数据在存储过程中遭到窃听或篡改,将造成系统和个人隐私泄露和被篡改的风险。 不可否认性:系统涉及抗抵赖需求的业务,未使用商用密码算法和数字证书,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 4、密码应用管理需求分析 (1)风险分析 管理制度层面 未建立起健全的密码安全管理制度,涵盖密码人员管理、密钥管理、建设运行、应急处置、密码软件介质管理等相关内容,导致密码安全管理混乱。 未建立密钥管理规则和操作规程,涵盖密钥管理制度及策略类文档,包括密钥全生命周期的安全性保护相关内容、密码相关管理人员或操作人员操作建立操作规程,具有未对密钥全生命周期的安全性进行保护,且未对密钥管理规则进行评审,存在密钥被非授权访问、使用、泄露修改和替换的风险。 未定期修订安全管理制度、未明确管理制度发布流程和制度执行过程记录留存,未定期对密码应用安全管理制度和操作规程的合理性和使用性进行论证和审定,对存在的不足或需要改进之处进行修订,有相关管理制度不适用于当前的信息系统的风险。 人员管理层面:相关人员不了解和遵守密码相关法律法规和密码管理制度、未建立密码应用岗位责任制度、未建立上岗人员培训制度、未定期对安全岗位人员进行考核、未建立关键岗位人员保密制度和调离制度,有相关人员会错误使用密码、操作失误、相关人员泄露密码等风险。 建设运行层面:未制定密码应用方案、密钥安全管理策略、实施方案、未在投入运行前进行密码应用安全性评估、未定期开展密码应用安全性评估及攻防对抗演习,有系统运行过程中重要数据未被真实保护的风险。 应急处置层面:未制定应急策略、未规定事件处理流程、未规定向有关主管部门上报处置情况,有应急事件发生后没有相应制度依据、责任划分不明确的风险。 (2)安全需求 在管理制度层面:应制定密码安全管理制度及相关操作规范、安全操作规范,密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。应定期对密码安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订,并留存审定记录。 在人员管理层面:定期宣贯普及密码相关法律法规和密码应用安全管理制度;建立密码应用岗位责任制度,设置密钥管理员、密码安全审计员、密码操作员等关键岗位,并在关键岗位建立多人共管机制,其中重要岗位不由单人兼任;对于涉及的密码操作的操作和管理人员进行专门的培训,确保其具备专业技能并定期对相应人员进行考核;对于离岗人员及时终止其所有密码应用相关的访问权限、操作权限,建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 在建设运行层面:制定密码相关标准和密码应用需求,制定密码应用方案;确定密钥种类、体系及其生存周期环节,并制定密钥安全管理策略;制定实施方案并在系统运行前组织进行密码应用安全性评估;定期开展密码应用安全性评估及攻防对抗演习,核查系统是否符合密码应用方案建设要求,并根据评估结果进行整改。 在应急处置层面:根据密码应用安全事件等级制定相应应急策略并对应急策略进行评审,在应急策略中明确密码应用安全事件发生时处理流程及其他管理措施,并遵照执行。 5、商用密码技术改造软件开发需求 本项目涉及的11个系统需要开展系统商密应用改造,实现系统从用户登录、数据传输、数据存储等环节实现密评要求,提升系统安全。系统开发改造具体需求如下: (1)身份鉴别密码改造需求 需要通过系统开发改造,在系统中确认操作者身份的过程,系统登录(包含普通登录或者单点登录的改造)时需采用国密智能密码钥匙Ukey进行身份认证登录应用系统,从而确定该用户是否具有对某种资源的访问和使用权限,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。 (2)访问控制密码改造需求 需要将系统中的所有功能标识出来,组织/托管起来,将所有的数据组织起来标识出来托管起来,然后提供一个简单的唯一的接口,这个接口的一端是应用系统一端是权限引擎。权限引擎所回答的只是:谁是否对某资源具有实施某个动作的权限。返回的结果只有:有、没有或者权限引擎异常三种。密码开发改造需求包括: 应用系统调用密码资源池密码机\签名验签设备的服务接口,针对访问控制策略(用户访问权限列表等)进行数字签名或计算MAC 校验码进行完整性保护。 系统访问这些信息需要调用接口实现验证信息的完整性; 如果应用系统涉及敏感标记,调用接口对敏感标记进行完整性保护。 (3)数据传输机密性密码改造需求 为了保证系统与用户交互时重要数据传输的机密性,需要在浏览器和服务器之间采用SSL加密方式,业务办理时对交互业务数据进行加密,数据采用密文方式交互,服务器端根据密文进行算法解析,从而在服务器端进行实际业务处理,处理完成后结果反馈同样根据密评要求进行加密反馈,浏览器端经算法解析后进行业务展示,来保证数据报文在网络传播过程中不被窃取。 (4)数据存储机密性密码改造需求 针对本项目系统存在诸多政府、企业、个人等重要敏感信息安全需求,对数据进行密码保护之前,需确定哪些数据需要保护,针对数据敏感程度进行数据分级,即根据敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,需要按照一定的原则和方法进行定义,针对不同敏感程度进行差异化加密存储。 (5)数据传输完整性密码改造需求 为了保证网络安全等级保护第三级以上的上云系统与用户交互时重要数据传输的完整性,需要在浏览器和服务器之间采用SSL完整性保护方式,业务办理时对交互业务数据进行完整性保护,数据采用完整性校验方式交互,来保证数据报文在网络传播过程中不可篡改。 (6)数据存储完整性密码改造需求 针对本项目系统存在诸多政府、企业、个人等重要敏感信息安全需求,需要对数据进行密码保护之前,需确定哪些数据需要保护,针对数据敏感程度进行数据分级,即根据敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行定义,针对不同敏感程度进行完整性保护密码改造。 (7)日志记录完整性密码改造需求 日志记录了系统中的各种事件,包括入侵行为引发的事件,通过分析日志,可以发现系统的异常。通过删除或修改与其入侵行为相关的日志记录,使其入侵行为不被发现。入侵者也可能在日志文件中恶意插入伪造的日志记录,干扰系统的正常工作。入侵者删除或修改日志记录全导致日志完整性被破坏。所以需要完成日志记录完整性的密码改造。 6、密码应用方案编制及评估需求 根据《广东省省级政务信息化项目商用密码应用工作指引》《政务信息系统密码应用与安全性评估工作指南》等文件要求,政务信息系统开展商用密码应用及安全性评估,首先需组织开展系统《商用密码应用方案》编制工作,并组织委托密评机构开展《商用密码应用方案》评估,取得《商用密码应用方案评估报告》,具体需求如下: (1)组织调研,编制《商用密码应用方案》 在政务云上信息系统商用密码应用改造规划阶段,需根据《广东省省级政务信息化项目商用密码应用工作指引》(粤密码协调组〔2021〕4号)要求,立足云上政务信息系统密码应用需求,以及目前的密码支撑能力现状,在实地深入调研的基础上,按照《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021),高质量编制《商用密码应用方案》。 (2)委托第三方评估,出具《商用密码应用方案评估报告》 委托具备商用密码测评资质的第三方单位对方案进行科学评估,并监督好第三方评估单位按照《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021),对方案的完整性和合理性、密码应用的正确性、密码技术对信息系统安全保护的有效性、密码产品选取的合规性等方面进行评估,并出具《商用密码应用方案评估报告》。 (3)高质量完成编制及评估,确保通过省密码管理局审核 按照有关要求高质量开展《商用密码应用方案》的编写,并组织开展好《商用密码应用方案评估报告》编制工作,确保密码应用方案及评估报告通过市密码管理局审核备案。 7、商用密码应用安全性评估需求 依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》及密码相关国家标准、行业标准,从总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面,开展商用密码应用安全性评估。提供政策、标准等方面的指导,对密码应用的合规性、正确性和有效性等进行应用评估,并出具《商用密码应用安全性评估报告》。 主要需求包括:通用要求测评、密码技术应用测评、密钥管理测评、安全管理测评等内容。
通用要求测评具体要求如下: (1)密码技术应用测评 需要从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。具体要求如下:
(2)密钥管理测评 密钥管理测评是对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节主要包括:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。 (3)安全管理测评 安全管理测评是对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施主要包括:管理制度,人员管控,信息系统实施,应急预案。具体要求如下:
(4)形成商用密码应用安全性评估报告 根据《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)相关指标内容对安全性评估范围进行分析,完成测评并编制《商用密码应用安全性评估报告》,报告按照国家密码管理局要求包含的内容编制或参考模板编制。 |
||||||||||||||||||||||||||||||||||||||||||||||||
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
收藏