发送至邮箱
三亚市商务局关于2024年商用密码安全性评估服务的询价公告
(略) 商务局
关于2024年商用密码安全性评估服务的
询价公告
根据《国家商用密码管理条例》、《 (略) 政务信息化项目管理办法》、《关于 (略) 政务信息化项目密码应用有关要求的通知》等文件通知要求,为做好我单位2024年信息系统商用密码应用安全性评估工作,结合我局采购管理规定,现以公开询价的方式购买中国(三亚)跨境电子商务综合试验区线上综合服务平台商用密码应用安全性评估服务,特邀各具备商用密码应用安全性评估资质的专业评估机构参与询价,现将相关要求公告如下:
一、项目名称
中国(三亚)跨境电子商务综合试验区线上综合服务平台商用密码应用安全性评估。系统部署位置:中国电子口岸数据中心海口分中心。
二、服务期限
自协议签订之日起90日内。
三、项目内容
(一)对中国(三亚)跨境电子商务综合试验区线上综合服务平台项目信息系统进行摸底、分析和梳理,提出详细的测评方案。
(二)依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》及信息系统等级保护定级情况,从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面对中国(三亚)跨境电子商务综合试验区线上综合服务平台(等保第三级)开展密码应用安全性评估,包括但不限于以下内容:
| 测评单元 | 测评指标 | ||
| 技术要求 | 物理和环境安全 | 身份鉴别 | a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; |
| 电子门禁记录数据存储完整性 | b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; | ||
| 视频监控记录数据存储完整性 | c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 | ||
| 网络和通信安全 | 身份鉴别 | a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; | |
| 通信数据完整性 | b)宜采用密码技术保证通信过程中数据的完整性; | ||
| 通信过程中重要数据的机密性 | c)应采用密码技术保证通信过程中重要数据的机密性; | ||
| 网络边界访问控制信息的完整性 | d)宜采用密码技术保证网络边界访问控制信息的完整性; | ||
| 安全接入认证 | e)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 | ||
| 设备和计算安全 | 身份鉴别 | a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; | |
| 远程管理通道安全 | b)远程管理设备时,应采用密码技术建立安全的信息传输通道; | ||
| 系统资源访问控制信息完整性 | c)宜采用密码技术保证系统资源访问控制信息的完整性; | ||
| 重要信息资源安全标记完整性 | d)宜采用密码技术保证设备中的重要信息资源安全标记的完整性; | ||
| 日志记录完整性 | e)宜采用密码技术保证日志记录的完整性; | ||
| 重要可执行程序完整性、重要可执行程序来源真实性 | f)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 | ||
| 应用和数据安全 | 身份鉴别 | a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; | |
| 访问控制信息完整性 | b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; | ||
| 重要信息资源安全标记完整性 | c)宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; | ||
| 重要数据传输机密性 | d)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; | ||
| 重要数据存储机密性 | e)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; | ||
| 重要数据传输完整性 | f)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; | ||
| 重要数据存储完整性 | g)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; | ||
| 不可否认性 | h)在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 | ||
| 管理 要求 | 管理 制度 | 具备密码应用安全管理制度 | a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; |
| 密钥管理规则 | b)应根据密码应用方案建立相应密钥管理规则; | ||
| 建立操作规程 | c)应对管理人员或操作人员执行的日常管理操作建立操作规程; | ||
| 定期修订安全管理制度 | d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; | ||
| 明确管理制度发布流程 | e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; | ||
| 制度执行过程记录留存 | f)应具有密码应用操作规程的相关执行记录并妥善保存。 | ||
| 人员 管理 | 了解并遵守密码相关法律法规 和密码管理制度 | a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; | |
| 建立密码应用岗位责任制度 | b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 | ||
| 建立上岗人员培训制度 | c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; | ||
| 定期进行安全岗位人员考核 | d)应定期对密码应用安全岗位人员进行考核; | ||
| 建立关键岗位人员保密制度和调离制度 | e)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 | ||
| 建设 运行 | 制定密码应用方案 | a)应依据密码相关标准和密码应用需求,制定密码应用方案; | |
| 制定密钥安全管理策略 | b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; | ||
| 制定实施方案 | c)应按照应用方案实施建设; | ||
| 投入运行前进行密码应用安全性评估 | d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; | ||
| 定期开展密码应用安全性评估及攻防对抗演习 | e)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 | ||
| 应急 处置 | 应急策略 | a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; | |
| 事件处置 | b)事件发生后,应及时向信息系统主管部门进行报告; | ||
| 向有关主管部门上报处置情况 | c)事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 | ||
(三)分析信息系统与基本要求之间的差距,出具《中国(三亚)跨境电子商务综合试验区线上综合服务平台项目信息系统密码应用安全性评估报告》,提出具有针对性的整改意见,并根据信息系统及安全防护措施的现状,提供其他安全服务,确保信息系统的安全运行。
(四)服务期间提供7×24服务响应,需要进行现场服务的,技术人员能够在2小时之内到达现场;评估报告提交1年内,围绕评估发现的问题和针对性改进建议,测评服务机 (略) 商务局免费提供咨询服务。
四、项目预算金额
不超过¥120,000.00元
五、资格要求
1.在中华人民共和国注册,具有独立承担民事责任的能力,法定代表人为同一个人,或两个及 (略) 、全 (略) ,都不得在本采购项目中同时参加询价。企业需提供营业执照、税务登记证、组织机构代码证复印件或者三证合一复印件,事业单位需提供事业单位法人证书复印件(加盖公章);
2.应具有依法缴纳税收和社会保障资金的良好记录,提供近一年以来任意一个月依法缴纳税收及社会保障资金的凭证(加盖公章);
3.提供参加政府采购活动前三年内,在经营活动中没有重大违法记录的声明函(附件3),营业执照不满三年的,按照营业执照注册年限起算;
4.必须为未被列入信用中国网站(http://**.cn)和中国政府采购网(http://**.cn)渠道信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商(网址证明截图加盖公章);
5. (略) 级密码管理机构颁发的具备开展商用密码应用安全性评估资质的相关证明文件(复印件加盖公章);
6.按照国家密码管理局对商用密码应用安全性评估服务机构管理的规定和要求,评估项目现场实施的人员必须是本机构持有国家商用密码应用安全性评估人员测评能力考核小组颁发的测评能力考核证书的人员,持证上岗并接受查验,需在投标文件中提供测评师证书及最近三个月社保证明(复印件加盖公章);
7.不接受联合体报价,不允许分包或转包;
8.中标人如无法满足以上要求,采购人有权解除合同并追究其法律责任。
六、服务供应商的确定方式
根据各报名单位提供的有关资料和承诺,进行综合评分,得分最高的单位为中标单位。
七、报价所需材料
1.机构简介、相关项目经历证明材料及满足本公告资格要求的相关材料及资质证书复印件(加盖公章);
2.营业执照副本复印件、税务登记证复印件、组织机构代码证复印件或者具有三证合一的工商营业执照的复印件(加盖公章);非本地报价人必须在海南有办事处。(提供营业场所租赁合同或产权证明资料复印件并加盖公章);
3.投标单位法人授权委托书(附件2)及法人身份证复印件( (略) 社保清单中人员);
4.本次测评投入人员名单及人员资质证书复印件(加盖公章);
5.服务方案和报价单(附件1)(盖公章);
6.出具满足报名要求的承诺函(加盖机构公章、法定代表人签字);
7.以上材料装订成册,需盖单位公章,用信封密封并加盖公章报送。
八、报名时间和联系方式
截止日期:**日至7月15日
联系方式: (略) 商务局对外经贸科,0898-*
地址: (略) 天涯区文明 (略) 政府二办8楼
九、其他
各报名单位需将相关材料、联系人、联系电 (略) 商务局对外经贸科。本次询价不接受电话、邮件、传真等方式报名。
附件:1.报价表docx
??????????3.关于无重大违法记录的声明函
????????????????????????? (略) 商务局
?????????????????????????**日
(略) 商务局
关于2024年商用密码安全性评估服务的
询价公告
根据《国家商用密码管理条例》、《 (略) 政务信息化项目管理办法》、《关于 (略) 政务信息化项目密码应用有关要求的通知》等文件通知要求,为做好我单位2024年信息系统商用密码应用安全性评估工作,结合我局采购管理规定,现以公开询价的方式购买中国(三亚)跨境电子商务综合试验区线上综合服务平台商用密码应用安全性评估服务,特邀各具备商用密码应用安全性评估资质的专业评估机构参与询价,现将相关要求公告如下:
一、项目名称
中国(三亚)跨境电子商务综合试验区线上综合服务平台商用密码应用安全性评估。系统部署位置:中国电子口岸数据中心海口分中心。
二、服务期限
自协议签订之日起90日内。
三、项目内容
(一)对中国(三亚)跨境电子商务综合试验区线上综合服务平台项目信息系统进行摸底、分析和梳理,提出详细的测评方案。
(二)依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》及信息系统等级保护定级情况,从物理和环境、网络和通信、设备和计算、应用和数据、安全管理等方面对中国(三亚)跨境电子商务综合试验区线上综合服务平台(等保第三级)开展密码应用安全性评估,包括但不限于以下内容:
| 测评单元 | 测评指标 | ||
| 技术要求 | 物理和环境安全 | 身份鉴别 | a)宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; |
| 电子门禁记录数据存储完整性 | b)宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; | ||
| 视频监控记录数据存储完整性 | c)宜采用密码技术保证视频监控音像记录数据的存储完整性。 | ||
| 网络和通信安全 | 身份鉴别 | a)应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; | |
| 通信数据完整性 | b)宜采用密码技术保证通信过程中数据的完整性; | ||
| 通信过程中重要数据的机密性 | c)应采用密码技术保证通信过程中重要数据的机密性; | ||
| 网络边界访问控制信息的完整性 | d)宜采用密码技术保证网络边界访问控制信息的完整性; | ||
| 安全接入认证 | e)可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 | ||
| 设备和计算安全 | 身份鉴别 | a)应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; | |
| 远程管理通道安全 | b)远程管理设备时,应采用密码技术建立安全的信息传输通道; | ||
| 系统资源访问控制信息完整性 | c)宜采用密码技术保证系统资源访问控制信息的完整性; | ||
| 重要信息资源安全标记完整性 | d)宜采用密码技术保证设备中的重要信息资源安全标记的完整性; | ||
| 日志记录完整性 | e)宜采用密码技术保证日志记录的完整性; | ||
| 重要可执行程序完整性、重要可执行程序来源真实性 | f)宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 | ||
| 应用和数据安全 | 身份鉴别 | a)应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; | |
| 访问控制信息完整性 | b)宜采用密码技术保证信息系统应用的访问控制信息的完整性; | ||
| 重要信息资源安全标记完整性 | c)宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; | ||
| 重要数据传输机密性 | d)应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; | ||
| 重要数据存储机密性 | e)应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; | ||
| 重要数据传输完整性 | f)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; | ||
| 重要数据存储完整性 | g)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; | ||
| 不可否认性 | h)在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 | ||
| 管理 要求 | 管理 制度 | 具备密码应用安全管理制度 | a)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; |
| 密钥管理规则 | b)应根据密码应用方案建立相应密钥管理规则; | ||
| 建立操作规程 | c)应对管理人员或操作人员执行的日常管理操作建立操作规程; | ||
| 定期修订安全管理制度 | d)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; | ||
| 明确管理制度发布流程 | e)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; | ||
| 制度执行过程记录留存 | f)应具有密码应用操作规程的相关执行记录并妥善保存。 | ||
| 人员 管理 | 了解并遵守密码相关法律法规 和密码管理制度 | a)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; | |
| 建立密码应用岗位责任制度 | b)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限: 1)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; 2)对关键岗位建立多人共管机制; 3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任; 4)相关设备与系统的管理和使用账号不得多人共用。 | ||
| 建立上岗人员培训制度 | c)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; | ||
| 定期进行安全岗位人员考核 | d)应定期对密码应用安全岗位人员进行考核; | ||
| 建立关键岗位人员保密制度和调离制度 | e)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 | ||
| 建设 运行 | 制定密码应用方案 | a)应依据密码相关标准和密码应用需求,制定密码应用方案; | |
| 制定密钥安全管理策略 | b)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录A; | ||
| 制定实施方案 | c)应按照应用方案实施建设; | ||
| 投入运行前进行密码应用安全性评估 | d)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; | ||
| 定期开展密码应用安全性评估及攻防对抗演习 | e)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 | ||
| 应急 处置 | 应急策略 | a)应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; | |
| 事件处置 | b)事件发生后,应及时向信息系统主管部门进行报告; | ||
| 向有关主管部门上报处置情况 | c)事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 | ||
(三)分析信息系统与基本要求之间的差距,出具《中国(三亚)跨境电子商务综合试验区线上综合服务平台项目信息系统密码应用安全性评估报告》,提出具有针对性的整改意见,并根据信息系统及安全防护措施的现状,提供其他安全服务,确保信息系统的安全运行。
(四)服务期间提供7×24服务响应,需要进行现场服务的,技术人员能够在2小时之内到达现场;评估报告提交1年内,围绕评估发现的问题和针对性改进建议,测评服务机 (略) 商务局免费提供咨询服务。
四、项目预算金额
不超过¥120,000.00元
五、资格要求
1.在中华人民共和国注册,具有独立承担民事责任的能力,法定代表人为同一个人,或两个及 (略) 、全 (略) ,都不得在本采购项目中同时参加询价。企业需提供营业执照、税务登记证、组织机构代码证复印件或者三证合一复印件,事业单位需提供事业单位法人证书复印件(加盖公章);
2.应具有依法缴纳税收和社会保障资金的良好记录,提供近一年以来任意一个月依法缴纳税收及社会保障资金的凭证(加盖公章);
3.提供参加政府采购活动前三年内,在经营活动中没有重大违法记录的声明函(附件3),营业执照不满三年的,按照营业执照注册年限起算;
4.必须为未被列入信用中国网站(http://**.cn)和中国政府采购网(http://**.cn)渠道信用记录失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商(网址证明截图加盖公章);
5. (略) 级密码管理机构颁发的具备开展商用密码应用安全性评估资质的相关证明文件(复印件加盖公章);
6.按照国家密码管理局对商用密码应用安全性评估服务机构管理的规定和要求,评估项目现场实施的人员必须是本机构持有国家商用密码应用安全性评估人员测评能力考核小组颁发的测评能力考核证书的人员,持证上岗并接受查验,需在投标文件中提供测评师证书及最近三个月社保证明(复印件加盖公章);
7.不接受联合体报价,不允许分包或转包;
8.中标人如无法满足以上要求,采购人有权解除合同并追究其法律责任。
六、服务供应商的确定方式
根据各报名单位提供的有关资料和承诺,进行综合评分,得分最高的单位为中标单位。
七、报价所需材料
1.机构简介、相关项目经历证明材料及满足本公告资格要求的相关材料及资质证书复印件(加盖公章);
2.营业执照副本复印件、税务登记证复印件、组织机构代码证复印件或者具有三证合一的工商营业执照的复印件(加盖公章);非本地报价人必须在海南有办事处。(提供营业场所租赁合同或产权证明资料复印件并加盖公章);
3.投标单位法人授权委托书(附件2)及法人身份证复印件( (略) 社保清单中人员);
4.本次测评投入人员名单及人员资质证书复印件(加盖公章);
5.服务方案和报价单(附件1)(盖公章);
6.出具满足报名要求的承诺函(加盖机构公章、法定代表人签字);
7.以上材料装订成册,需盖单位公章,用信封密封并加盖公章报送。
八、报名时间和联系方式
截止日期:**日至7月15日
联系方式: (略) 商务局对外经贸科,0898-*
地址: (略) 天涯区文明 (略) 政府二办8楼
九、其他
各报名单位需将相关材料、联系人、联系电 (略) 商务局对外经贸科。本次询价不接受电话、邮件、传真等方式报名。
附件:1.报价表docx
??????????3.关于无重大违法记录的声明函
????????????????????????? (略) 商务局
?????????????????????????**日
招投标大数据
最近搜索
无
热门搜索
无
