“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估竞争性磋商

内容
 
发送至邮箱

“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估竞争性磋商

公告概要:
公告信息:
采购项目名称 “壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估
品目

服务/专业技术服务/气象服务
采购单位 广西壮 (略) (略)
(略) 域 广西壮 (略) 公告时间 2024年10月18日 17:58
获取采购文件时间 2024年10月18日至2024年10月25日
每日上午:8:30 至 12:00 下午:15:00 至 18:00(北京时间,法定节假日除外)
响应文件递交地点 (略) 开标厅( (略) 白沙大道53号松宇时代13楼)。截止时间后为磋商小组与磋商供应商磋商时间,具体时间由本代理机构另行通知。地点: (略) 评标室( (略) 白沙大道53号松宇时代13楼),参加磋商的法定代表人或委托代理人必须持有效证件[法定代表人凭身份证或委托代理人凭法人授权委托书原件和身份证]依时到达指定地点等候当面磋商。
响应文件开启时间 2024年10月29日 11:00
响应文件开启地点 (略) 评标室( (略) 白沙大道53号松宇时代13楼)
预算金额 ¥15.*万元(人民币)
联系人及联系方式:
项目联系人 李宁芳
项目联系电话 0771-*
采购单位 广西壮 (略) (略)
采购单位地址 (略) (略) 民族大道81号气象大厦
采购单位联系方式 白工,0771-*
代理机构名称 (略)
代理机构地址 (略) 白沙大道53号松宇时代13楼
代理机构联系方式 李宁芳,0771-*

项目概况

“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估 采购项目的潜在供应商应 (略) 白沙大道53号松宇时代13楼 (略) 财务室(电话:0771-*、*)获取采购文件,并于2024年10月29日 11点00分(北京时间)前提交响应文件。

一、项目基本情况

项目编号:GXGL2024S-C373-Z

项目名称:“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估

采购方式:竞争性磋商

预算金额:15.* 万元(人民币)

采购需求:

一、采购项目编号:GXGL2024S-C373-Z

二、采购项目类别: 服务类

三、采购需求一览表

说明:

1、本项目需求表中打‘★’及表述为“须”或“必须”的条款均为实质性要求或条件,供应商必须作出满足或者优于该要求和条件的承诺,否则响应文件无效。

2、采购标的对应的中小企业划分标准所属行业:根据《关于印发中小企业划型标准规定的通知》(工信部联企业〔2011〕300号),本次采购标的属于:软件和信息技术服务业。

本项目采购预算:人民币*元

项号

名称

数量

单位

内容和要求

1

“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估

1

1、项目建设背景

为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,对无缝隙全覆盖智能预报业务支撑系统( (略) 格预报服务和应用系统、短时临近监测预报预警业务系统、广西智慧决策气象服务系统、气象综合信息共享系统)、 (略) (天擎)-广西、气象综合业务实时监控系统(天镜)-广西、国内气象通信系统广西分系统,共4个业务系统开展商用密码应用安全性评估服务项目,查找不足以及存在的安全隐患,为后续的安全建设和整改工作提供依据。

2、项目建设目标

按照国家商用密码应用安全性评估相关标准和要求,通过测评项目的实施,根据被测信息系统当前的安全状况,给出测评结果并提出改进建议,以确保被测信息系统达到GB/T *—2021《信息安全技术 信息系统密码应用基本要求》的要求,也为其信息资产安全和业务持续稳定运行提供保障。

3、项目建设方案

按照商用密码应用安全性分类分级评估的要求,依据《信息安全技术信息系统密码应用基本要求》(GB/T *-2021)要求及信息系统等级保护定级情况,测评至少应该包括以下内容:系统总体要求,物理和环境安全,网络和通信安全设备和计算安全,应用和数据安全,管理制度,密钥管理,人员管理,建设运行, (略) 置。最终得到相应的信息系统商用密码应用安全性评估报告。

4、项目建设依据

此次依据的标准包括但不限于以下内容:

商用密码应用安全性评估:

1. 标准和规范:《中华人民共和国密码法》、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、GB/T *-2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》;

2.参考标准和规范:GM/T 0005-2021 《随机性检测规范》、GM/T 0009-2023 《SM2 密码算法采用规范》、GB/T *-2016 《信息安全技术 SM4 分组密码算法》、GB/T *-2016 《信息安全技术 SM3 密码杂凑算法》、GM/T 0024-2023 《SSL VPN 技术规范》、GM/T 0014-2023 《数字证书认证系统密码协议规范》、GM/T 0015-2023《数字证书格式》、GM/T 0036-2014 《采用非接触卡的门禁系统密码应用技术指南》、GM/T 0032-2014 《基于角色的授权与访问控制技术规范》。

★5、工作内容及要求

5.1测评对象及服务内容

序号

系统名称

安全保护等级

服务内容

1

无缝隙全覆盖智能预报业务支撑系统( (略) 格预报服务和应用系统、短时临近监测预报预警业务系统、广西智慧决策气象服务系统、气象综合信息共享系统)

二级

开展商用密码应用方案密评、提供商用密码应用安全性评估服务

2

(略) (天擎)-广西

三级

提供商用密码应用安全性评估服务

3

气象综合业务实时监控系统(天镜)-广西

三级

提供商用密码应用安全性评估服务

4

国内气象通信系统广西分系统

三级

提供商用密码应用安全性评估服务

5.2 商用密码评估内容

按照商用密码应用安全性分类分级评估的要求,依据《信息安全技术信息系统密码应用基本要求》(GB/T *-2021)要求及信息系统等级保护定级情况,测评至少应该包括以下内容:系统总体要求,物理和环境安全,网络和通信安全设备和计算安全,应用和数据安全,管理制度,密钥管理,人员管理,建设运行, (略) 置。

指标类

测评指标

测评标准

总体

要求

合规性

核查密码算法是否以国家标准或行业标准形式发布、或取得国家密码管理部门同意其使用的证明文件。

合规性

密码技术应以国家标准或行业标准发布。

合规性

密码产品、密码模块应获得国家密码管理部门颁布的密码产品型号证书,或国家密码管理部门认可的商用密码测评机构出具的合格检测报告。

合规性

密码服务应获得密码管理部门颁布的密码服务许可证。

物理和环境安全

真实性

在电子门禁系统中,应使用密码技术的真实性服务来保护身份鉴别信息,保 (略) 域进入人员身份的真实性。

完整性

应使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。

完整性

应使用密码技术的完整性服务来保证视频监控音像记录的完整性。

网络和通信安全

机密性和真实性

应在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的 (略) 络设备实体身份的真实性。

完整性

应使用密码技术的完整性服 (略) 络边界和系统资源访问控制信息的完整性。

完整性

应采用密码技术保证通信过程中数据的完整性。

机密性

应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。

集中管理

应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。

设备和计算安全

真实性

应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性、鉴别信息具有复杂度要求并定期更换。

完整性

应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性、鉴别信息具有复杂度要求并定期更换。

完整性

应使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。

完整性

应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。

机密性

应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。

可信计算、完整性

应使用密码技术的完整性服务来对日志记录进行完整性保护。

应用和数据安全

真实性

应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保护应用系统用户身份的真实性。

完整性

应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记的完整性。

机密性

应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。

机密性

应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息、重要可执行程序等。

完整性

应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。

完整性

应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。

完整性

应使用密码技术的完整性服务来实现对日志记录完整性的保护。

完整性

应采用密码技术对重要应用程序的加载和卸载进行安全控制。

密钥

管理

密码模块内部

密钥生成使用的随机数应符合GM/T 0005《随机性检测规范》要求,密钥应在符合GM/T 0028《密码模块安全技术要求》的密码模块中产生,不得以明文方式出现在密码模块之外,应具备检查和剔除弱密钥的能力。

加密存储

密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在符合GM/T 0028《密码模块安全技术要求》的二级及以上密码模块中。

身份鉴别、数据完整性、数据机密性

密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等共计,保证密钥的安全性。

正确性、防窃取或篡改

密钥的导入和导出应采取有效的安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。

正确使用、防泄露和替换

密钥应明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应 (略) 理和响应措施。应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性。

明确备份策略、可审计

密钥的备份与恢复,应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生产审计信息;审计信息包括备份或恢复的主体、备份或恢复的时机等。

安全性和正确性、仅用于历史信息、可审计、安全备份

密钥归档,应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥的历史信息或验证该密钥签名的历史信息;归档密钥应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。

紧急情况可销毁

密钥销毁,应具有在紧急情况下销毁密钥的措施。

安全

管理

管理制度

应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。

应定期对密码管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

应明确相关管理制度发布流程。

人员管理

应了解并遵守商用密码相关法律法规。

应能够正确使用商用密码产品。

应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位。

应建立相应的岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制 。

密钥管理、安全审计、密码操作人员职责、互相制约互相监督,相关设备与系统的管理和使用账号不得多人共用。

应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。

应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。

应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。

建设运行

信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。

应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。

应选用的经国家密码管理部门核准的密码产品、许可的密码服务。

信息系统投入运行前,应经密码测评机构进行安全性评估,评估通过方可投入正式运行。

信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。

(略) 置

制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情 (略) 置。

事件发生后,应及时向信息系统的上级主管部门进行报告。

(略) 置完成后,应及时向同级的密码主管部门报告事件发生 (略) 置情况。

★6、成果交付

1、《商用密码应用安全性评估整改建议书》

2、《商用密码应用安全性评估报告》

3、生成的阶段性评估结果报告或资料等中间文件;

4、提交备案证明材料及项目相关其他材料。

★7、其他服务

1、为采购单位的信息技术人员及相关部门人员提供不少于3*2学时的培训服务,内容包括相应的信息安全培训或者采购单位需要的相关信息安全培训服务。

2、在项目实施前后,为采购单位提供专业客观的商用密码应用安全性评估整改建议和专业客观的指导,直至业主顺利完成改造工作。

3、协助采购人完成商用密码应用安全性评估结果备案。

商务要求表

交付时间及地点

(1)交付时间(合同履行期限)及地点:自合同签订起6个月内,到达广西壮 (略) (略) 进行测评,并交付评估报告

(2)合同签订时间: 自成交通知书发出之日起20日内。

售后服务及其他商务要求

(1)在服务期内,成交人必须有可靠的售后服务保障机构,提供5×8小时服务免费的技术咨询、指导服务。

(2)成交供应商对测评中发现的问题进行分析,并提出整改建议,指导采购人制定整改方案,协助采购人开展整改。

(3)成交供应商必须对服务过程中获得的采购人数据和结果数据严格保密,未经采购人书面授权同意不得泄露给任何单位和个人,以确保本项目的所有数据及资料保密安全,数据及资料即使向履行本项目有关的人员提供,也应注意保密并限于履行项目的必需范围,不得利用此数据进行任何侵害采购方利益的行为。本项目成果及其相关知识产权权利归*方所有。

付款方式

合同款分三次支付:

  1. 合同签订生效后,成交人向采购人提供合同总金额2%的履约保函。采购人收到履约保函及成交人开具的正式发票和请款报告后,十五个工作日内向成交人支付合同总金额30%的首付合同款。
  2. 成交人向采购人提交完整的评估工作方案和实施方案,开具正式发票和请款报告,十五个工作日内采购人向成交人支付合同总金额60%的第二笔合同款。

(3)成交人完成指定4个系统的评估报告,采购人收到评估报告、正式发票和请款报告后十五个工作日内向成交人支付合同总金额10%的合同余款。

报价要求

本次报价为人民币报价,包含磋商供应商完成本项目所需的人工费、运输费、交通费、辅助材料费、机械费、企业管理费、利润、保险、风险费、代理服务费等和各种应纳的税费。由磋商供应商结合自身实力、市场行情自主合理报价,磋商供应商必须自行考虑本项目在实施期间的一切可能产生的费用,中标后,采购人不另外增加任何费用。

其他要求

1、磋商供应商如有能体现其履约实力的类似业绩、荣(信)誉、奖项、资质(格)证书、服务方案等证明材料的,可在响应文件中提供。

  1. 验收要求及标准:按照国家相关行业标准进行验收。

磋商小组根据与供应商磋商情况可能实质性变动的内容

未标识‘★’的采购项目技术规格、参数及要求。

合同履行期限:自合同签订起6个月内,到达广西壮 (略) (略) 进行测评,并交付评估报告。

本项目( 不接受 )联合体投标。

二、申请人的资格要求:

1.满足《中华人民共和国政府采购法》第二十二条规定;

2.落实政府采购政策需满足的资格要求:

3.本项目的特定资格要求:无。

三、获取采购文件

时间:2024年10月18日 至 2024年10月25日,每天上午8:30至12:00,下午15:00至18:00。(北京时间,法定节假日除外)

地点: (略) 白沙大道53号松宇时代13楼 (略) 财务室(电话:0771-*、*)

方式:获取时间内,供应商代表携带授权委托书原件或复印件到获取地点购买。【邮购文件的,需于获取截止时间前将以上材料邮寄(传真或扫描发送)到采购代理机构,同时请注明拟投标采购项目名称、采购项目编号、投标人收件人、邮寄地址、邮编、电子邮箱、联系电话、传真号码等信息。】

售价:¥300.0 元(人民币)

四、响应文件提交

截止时间:2024年10月29日 11点00分(北京时间)

地点: (略) 开标厅( (略) 白沙大道53号松宇时代13楼)。截止时间后为磋商小组与磋商供应商磋商时间,具体时间由本代理机构另行通知。地点: (略) 评标室( (略) 白沙大道53号松宇时代13楼),参加磋商的法定代表人或委托代理人必须持有效证件[法定代表人凭身份证或委托代理人凭法人授权委托书原件和身份证]依时到达指定地点等候当面磋商。

五、开启

时间:2024年10月29日 11点00分(北京时间)

地点: (略) 评标室( (略) 白沙大道53号松宇时代13楼)

六、公告期限

自本公告发布之日起3个工作日。

七、其他补充事宜

1. 磋商保证金(人民币):1500.00 。(必须足额交纳)

磋商保证金的交纳方式:银行转账、支票、汇票、本票或者银行、保险机构出具的保函,禁止采用现金形式。采用银行转账方式的,在响应文件提交截止时间前交至采购代理机构指定账户并且到账;采用支票、汇票、本票或者保函等方式的,在响应文件提交截止时间前,磋商供应商应当递交单独密封的支票、汇票、本票或者保函原件。否则视为无效磋商保证金。(财务室电话:0771-*、*)

开户名称: (略)

开户银行:广西北部湾银行金凯支行(网银支付可选广西北部湾银行江南支行)

银行账号:*

银行行号:*

2.本项目需要落实的政府采购政策

政府采购促进中小企业发展;政府采购促进残疾人就业政策;政府采购支持监狱企业发展。

3.网上公告媒体查询

中国 (略) (http://**.cn)、()、 (略) 网站(http://**)。

八、凡对本次采购提出询问,请按以下方式联系。

1.采购人信息

名 称:广西壮 (略) (略)      

地址: (略) (略) 民族大道81号气象大厦        

联系方式:白工,0771-*      

2.采购代理机构信息

名 称: (略)             

地 址: (略) 白沙大道53号松宇时代13楼            

联系方式:李宁芳,0771-*            

3.项目联系方式

项目联系人:李宁芳

电 话:  0771-*

 
公告概要:
公告信息:
采购项目名称 “壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估
品目

服务/专业技术服务/气象服务
采购单位 广西壮 (略) (略)
(略) 域 广西壮 (略) 公告时间 2024年10月18日 17:58
获取采购文件时间 2024年10月18日至2024年10月25日
每日上午:8:30 至 12:00 下午:15:00 至 18:00(北京时间,法定节假日除外)
响应文件递交地点 (略) 开标厅( (略) 白沙大道53号松宇时代13楼)。截止时间后为磋商小组与磋商供应商磋商时间,具体时间由本代理机构另行通知。地点: (略) 评标室( (略) 白沙大道53号松宇时代13楼),参加磋商的法定代表人或委托代理人必须持有效证件[法定代表人凭身份证或委托代理人凭法人授权委托书原件和身份证]依时到达指定地点等候当面磋商。
响应文件开启时间 2024年10月29日 11:00
响应文件开启地点 (略) 评标室( (略) 白沙大道53号松宇时代13楼)
预算金额 ¥15.*万元(人民币)
联系人及联系方式:
项目联系人 李宁芳
项目联系电话 0771-*
采购单位 广西壮 (略) (略)
采购单位地址 (略) (略) 民族大道81号气象大厦
采购单位联系方式 白工,0771-*
代理机构名称 (略)
代理机构地址 (略) 白沙大道53号松宇时代13楼
代理机构联系方式 李宁芳,0771-*

项目概况

“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估 采购项目的潜在供应商应 (略) 白沙大道53号松宇时代13楼 (略) 财务室(电话:0771-*、*)获取采购文件,并于2024年10月29日 11点00分(北京时间)前提交响应文件。

一、项目基本情况

项目编号:GXGL2024S-C373-Z

项目名称:“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估

采购方式:竞争性磋商

预算金额:15.* 万元(人民币)

采购需求:

一、采购项目编号:GXGL2024S-C373-Z

二、采购项目类别: 服务类

三、采购需求一览表

说明:

1、本项目需求表中打‘★’及表述为“须”或“必须”的条款均为实质性要求或条件,供应商必须作出满足或者优于该要求和条件的承诺,否则响应文件无效。

2、采购标的对应的中小企业划分标准所属行业:根据《关于印发中小企业划型标准规定的通知》(工信部联企业〔2011〕300号),本次采购标的属于:软件和信息技术服务业。

本项目采购预算:人民币*元

项号

名称

数量

单位

内容和要求

1

“壮美广西”智慧气象防灾减灾工程—无缝隙全覆盖智能预报业务支撑系统云化改造项目商用密码应用安全性评估

1

1、项目建设背景

为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,对无缝隙全覆盖智能预报业务支撑系统( (略) 格预报服务和应用系统、短时临近监测预报预警业务系统、广西智慧决策气象服务系统、气象综合信息共享系统)、 (略) (天擎)-广西、气象综合业务实时监控系统(天镜)-广西、国内气象通信系统广西分系统,共4个业务系统开展商用密码应用安全性评估服务项目,查找不足以及存在的安全隐患,为后续的安全建设和整改工作提供依据。

2、项目建设目标

按照国家商用密码应用安全性评估相关标准和要求,通过测评项目的实施,根据被测信息系统当前的安全状况,给出测评结果并提出改进建议,以确保被测信息系统达到GB/T *—2021《信息安全技术 信息系统密码应用基本要求》的要求,也为其信息资产安全和业务持续稳定运行提供保障。

3、项目建设方案

按照商用密码应用安全性分类分级评估的要求,依据《信息安全技术信息系统密码应用基本要求》(GB/T *-2021)要求及信息系统等级保护定级情况,测评至少应该包括以下内容:系统总体要求,物理和环境安全,网络和通信安全设备和计算安全,应用和数据安全,管理制度,密钥管理,人员管理,建设运行, (略) 置。最终得到相应的信息系统商用密码应用安全性评估报告。

4、项目建设依据

此次依据的标准包括但不限于以下内容:

商用密码应用安全性评估:

1. 标准和规范:《中华人民共和国密码法》、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、GB/T *-2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》;

2.参考标准和规范:GM/T 0005-2021 《随机性检测规范》、GM/T 0009-2023 《SM2 密码算法采用规范》、GB/T *-2016 《信息安全技术 SM4 分组密码算法》、GB/T *-2016 《信息安全技术 SM3 密码杂凑算法》、GM/T 0024-2023 《SSL VPN 技术规范》、GM/T 0014-2023 《数字证书认证系统密码协议规范》、GM/T 0015-2023《数字证书格式》、GM/T 0036-2014 《采用非接触卡的门禁系统密码应用技术指南》、GM/T 0032-2014 《基于角色的授权与访问控制技术规范》。

★5、工作内容及要求

5.1测评对象及服务内容

序号

系统名称

安全保护等级

服务内容

1

无缝隙全覆盖智能预报业务支撑系统( (略) 格预报服务和应用系统、短时临近监测预报预警业务系统、广西智慧决策气象服务系统、气象综合信息共享系统)

二级

开展商用密码应用方案密评、提供商用密码应用安全性评估服务

2

(略) (天擎)-广西

三级

提供商用密码应用安全性评估服务

3

气象综合业务实时监控系统(天镜)-广西

三级

提供商用密码应用安全性评估服务

4

国内气象通信系统广西分系统

三级

提供商用密码应用安全性评估服务

5.2 商用密码评估内容

按照商用密码应用安全性分类分级评估的要求,依据《信息安全技术信息系统密码应用基本要求》(GB/T *-2021)要求及信息系统等级保护定级情况,测评至少应该包括以下内容:系统总体要求,物理和环境安全,网络和通信安全设备和计算安全,应用和数据安全,管理制度,密钥管理,人员管理,建设运行, (略) 置。

指标类

测评指标

测评标准

总体

要求

合规性

核查密码算法是否以国家标准或行业标准形式发布、或取得国家密码管理部门同意其使用的证明文件。

合规性

密码技术应以国家标准或行业标准发布。

合规性

密码产品、密码模块应获得国家密码管理部门颁布的密码产品型号证书,或国家密码管理部门认可的商用密码测评机构出具的合格检测报告。

合规性

密码服务应获得密码管理部门颁布的密码服务许可证。

物理和环境安全

真实性

在电子门禁系统中,应使用密码技术的真实性服务来保护身份鉴别信息,保 (略) 域进入人员身份的真实性。

完整性

应使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。

完整性

应使用密码技术的完整性服务来保证视频监控音像记录的完整性。

网络和通信安全

机密性和真实性

应在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的 (略) 络设备实体身份的真实性。

完整性

应使用密码技术的完整性服 (略) 络边界和系统资源访问控制信息的完整性。

完整性

应采用密码技术保证通信过程中数据的完整性。

机密性

应采用密码技术保证通信过程中敏感信息字段或整个报文的保密性。

集中管理

应采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。

设备和计算安全

真实性

应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性、鉴别信息具有复杂度要求并定期更换。

完整性

应使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性、鉴别信息具有复杂度要求并定期更换。

完整性

应使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。

完整性

应使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。

机密性

应采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。

可信计算、完整性

应使用密码技术的完整性服务来对日志记录进行完整性保护。

应用和数据安全

真实性

应使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保护应用系统用户身份的真实性。

完整性

应使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记的完整性。

机密性

应采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。

机密性

应采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息、重要可执行程序等。

完整性

应采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。

完整性

应采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。

完整性

应使用密码技术的完整性服务来实现对日志记录完整性的保护。

完整性

应采用密码技术对重要应用程序的加载和卸载进行安全控制。

密钥

管理

密码模块内部

密钥生成使用的随机数应符合GM/T 0005《随机性检测规范》要求,密钥应在符合GM/T 0028《密码模块安全技术要求》的密码模块中产生,不得以明文方式出现在密码模块之外,应具备检查和剔除弱密钥的能力。

加密存储

密钥应加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥应存储在符合GM/T 0028《密码模块安全技术要求》的二级及以上密码模块中。

身份鉴别、数据完整性、数据机密性

密钥分发应采取身份鉴别、数据完整性、数据机密性等安全措施,应能够抗截取、假冒、篡改、重放等共计,保证密钥的安全性。

正确性、防窃取或篡改

密钥的导入和导出应采取有效的安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。

正确使用、防泄露和替换

密钥应明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前应对其进行验证;应有安全措施防止密钥的泄露和替换;密钥泄露时,应停止使用,并启动相应 (略) 理和响应措施。应按照密钥更换周期要求更换密钥;应采取有效的安全措施,保证密钥更换时的安全性。

明确备份策略、可审计

密钥的备份与恢复,应制定明确的密钥备份策略,采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复应进行记录,并生产审计信息;审计信息包括备份或恢复的主体、备份或恢复的时机等。

安全性和正确性、仅用于历史信息、可审计、安全备份

密钥归档,应采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥只能用于解密该密钥的历史信息或验证该密钥签名的历史信息;归档密钥应进行记录,并生成审计信息;审计信息包括归档的密钥、归档的时间等;归档密钥应进行数据备份,并采用有效的安全保护措施。

紧急情况可销毁

密钥销毁,应具有在紧急情况下销毁密钥的措施。

安全

管理

管理制度

应制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度应包括密码建设、运维、人员、设备、密钥等密码管理相关内容。

应定期对密码管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。

应明确相关管理制度发布流程。

人员管理

应了解并遵守商用密码相关法律法规。

应能够正确使用商用密码产品。

应根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位。

应建立相应的岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制 。

密钥管理、安全审计、密码操作人员职责、互相制约互相监督,相关设备与系统的管理和使用账号不得多人共用。

应建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。

应建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。

应建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。

建设运行

信息系统规划阶段,责任单位应依据密码相关标准,制定密码应用方案,组织专家进行评审,评审意见作为项目规划立项的重要材料。

应按照国家相关标准,制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质、功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。

应选用的经国家密码管理部门核准的密码产品、许可的密码服务。

信息系统投入运行前,应经密码测评机构进行安全性评估,评估通过方可投入正式运行。

信息系统投入运行后,责任单位每年应委托密码测评机构开展密码应用安全性评估,并根据评估意见进行整改;有重大安全隐患的,应停止系统运行,制定整改方案,整改完成并通过评估后方可投入运行。

(略) 置

制定应急预案,做好应急资源准备,当事件发生时,按照应急预案结合实际情 (略) 置。

事件发生后,应及时向信息系统的上级主管部门进行报告。

(略) 置完成后,应及时向同级的密码主管部门报告事件发生 (略) 置情况。

★6、成果交付

1、《商用密码应用安全性评估整改建议书》

2、《商用密码应用安全性评估报告》

3、生成的阶段性评估结果报告或资料等中间文件;

4、提交备案证明材料及项目相关其他材料。

★7、其他服务

1、为采购单位的信息技术人员及相关部门人员提供不少于3*2学时的培训服务,内容包括相应的信息安全培训或者采购单位需要的相关信息安全培训服务。

2、在项目实施前后,为采购单位提供专业客观的商用密码应用安全性评估整改建议和专业客观的指导,直至业主顺利完成改造工作。

3、协助采购人完成商用密码应用安全性评估结果备案。

商务要求表

交付时间及地点

(1)交付时间(合同履行期限)及地点:自合同签订起6个月内,到达广西壮 (略) (略) 进行测评,并交付评估报告

(2)合同签订时间: 自成交通知书发出之日起20日内。

售后服务及其他商务要求

(1)在服务期内,成交人必须有可靠的售后服务保障机构,提供5×8小时服务免费的技术咨询、指导服务。

(2)成交供应商对测评中发现的问题进行分析,并提出整改建议,指导采购人制定整改方案,协助采购人开展整改。

(3)成交供应商必须对服务过程中获得的采购人数据和结果数据严格保密,未经采购人书面授权同意不得泄露给任何单位和个人,以确保本项目的所有数据及资料保密安全,数据及资料即使向履行本项目有关的人员提供,也应注意保密并限于履行项目的必需范围,不得利用此数据进行任何侵害采购方利益的行为。本项目成果及其相关知识产权权利归*方所有。

付款方式

合同款分三次支付:

  1. 合同签订生效后,成交人向采购人提供合同总金额2%的履约保函。采购人收到履约保函及成交人开具的正式发票和请款报告后,十五个工作日内向成交人支付合同总金额30%的首付合同款。
  2. 成交人向采购人提交完整的评估工作方案和实施方案,开具正式发票和请款报告,十五个工作日内采购人向成交人支付合同总金额60%的第二笔合同款。

(3)成交人完成指定4个系统的评估报告,采购人收到评估报告、正式发票和请款报告后十五个工作日内向成交人支付合同总金额10%的合同余款。

报价要求

本次报价为人民币报价,包含磋商供应商完成本项目所需的人工费、运输费、交通费、辅助材料费、机械费、企业管理费、利润、保险、风险费、代理服务费等和各种应纳的税费。由磋商供应商结合自身实力、市场行情自主合理报价,磋商供应商必须自行考虑本项目在实施期间的一切可能产生的费用,中标后,采购人不另外增加任何费用。

其他要求

1、磋商供应商如有能体现其履约实力的类似业绩、荣(信)誉、奖项、资质(格)证书、服务方案等证明材料的,可在响应文件中提供。

  1. 验收要求及标准:按照国家相关行业标准进行验收。

磋商小组根据与供应商磋商情况可能实质性变动的内容

未标识‘★’的采购项目技术规格、参数及要求。

合同履行期限:自合同签订起6个月内,到达广西壮 (略) (略) 进行测评,并交付评估报告。

本项目( 不接受 )联合体投标。

二、申请人的资格要求:

1.满足《中华人民共和国政府采购法》第二十二条规定;

2.落实政府采购政策需满足的资格要求:

3.本项目的特定资格要求:无。

三、获取采购文件

时间:2024年10月18日 至 2024年10月25日,每天上午8:30至12:00,下午15:00至18:00。(北京时间,法定节假日除外)

地点: (略) 白沙大道53号松宇时代13楼 (略) 财务室(电话:0771-*、*)

方式:获取时间内,供应商代表携带授权委托书原件或复印件到获取地点购买。【邮购文件的,需于获取截止时间前将以上材料邮寄(传真或扫描发送)到采购代理机构,同时请注明拟投标采购项目名称、采购项目编号、投标人收件人、邮寄地址、邮编、电子邮箱、联系电话、传真号码等信息。】

售价:¥300.0 元(人民币)

四、响应文件提交

截止时间:2024年10月29日 11点00分(北京时间)

地点: (略) 开标厅( (略) 白沙大道53号松宇时代13楼)。截止时间后为磋商小组与磋商供应商磋商时间,具体时间由本代理机构另行通知。地点: (略) 评标室( (略) 白沙大道53号松宇时代13楼),参加磋商的法定代表人或委托代理人必须持有效证件[法定代表人凭身份证或委托代理人凭法人授权委托书原件和身份证]依时到达指定地点等候当面磋商。

五、开启

时间:2024年10月29日 11点00分(北京时间)

地点: (略) 评标室( (略) 白沙大道53号松宇时代13楼)

六、公告期限

自本公告发布之日起3个工作日。

七、其他补充事宜

1. 磋商保证金(人民币):1500.00 。(必须足额交纳)

磋商保证金的交纳方式:银行转账、支票、汇票、本票或者银行、保险机构出具的保函,禁止采用现金形式。采用银行转账方式的,在响应文件提交截止时间前交至采购代理机构指定账户并且到账;采用支票、汇票、本票或者保函等方式的,在响应文件提交截止时间前,磋商供应商应当递交单独密封的支票、汇票、本票或者保函原件。否则视为无效磋商保证金。(财务室电话:0771-*、*)

开户名称: (略)

开户银行:广西北部湾银行金凯支行(网银支付可选广西北部湾银行江南支行)

银行账号:*

银行行号:*

2.本项目需要落实的政府采购政策

政府采购促进中小企业发展;政府采购促进残疾人就业政策;政府采购支持监狱企业发展。

3.网上公告媒体查询

中国 (略) (http://**.cn)、()、 (略) 网站(http://**)。

八、凡对本次采购提出询问,请按以下方式联系。

1.采购人信息

名 称:广西壮 (略) (略)      

地址: (略) (略) 民族大道81号气象大厦        

联系方式:白工,0771-*      

2.采购代理机构信息

名 称: (略)             

地 址: (略) 白沙大道53号松宇时代13楼            

联系方式:李宁芳,0771-*            

3.项目联系方式

项目联系人:李宁芳

电 话:  0771-*

 
    
查看详情》
相关推荐
 

招投标大数据

查看详情 免费咨询

登录

搜索

最近搜索

热门搜索