• 交易编号：ZZCG-LZ-*******

采购标包信息

公告内容

• 兰州日报社全媒体采编系统商用密码应用安全性

  评估招标公告

  根据《必须招标的工程项目规定》（国家发改委令第16号）、《甘肃省住房和城乡建设厅关于进一步改善和优化招标管理工作的通知》（甘建建〔2018〕223号）、甘肃省人民政府办公厅《转发省公共资源交易局关于加快推进阳光招标平台建设和运用实施的通知》(甘政办〔2018〕168号)等文件要求，兰州日报社全媒体采编系统商用密码应用安全性评估具备招标条件，现对本项目进行招标。

  一、项目概况及招标范围

  1.采购单位：兰州日报社

  2.项目名称：兰州日报社全媒体采编系统商用密码应用安全性评估

  3.项目编号：ZZCG-LZ-*******

  4.项目内容：依据《信息安全技术信息系统密码应用基本要求》（GB/T*****-2021）、《信息系统密码测评要求》、《商用密码应用安全性评估测评过程指南》，对兰州日报社全媒体采编系统商用密码应用的合规性、正确性、有效性进行安全性评估，并提供《密码应用安全性评估报告》（详细需求见附件）。

  4.服务期：60日历天。

  5.采购预算：13万元；

  6.竞价办法：最低价中标法。

  二、投标人资格要求

  1.投标人具有营业执照、税务登记证、组织机构代码证或企业“三证合一”只需提供营业执照；

  2.投标人是国家密码管理局指定商用密码应用安全性评估试点机构，提供相关证明材料；

  3.投标人须提供2020年度或2021年度完整的合法的财务审计报告或提供其基本开户银行出具的资信证明；（须提供复印件并加盖本单位公章）

  4.投标人须具有缴纳税收的有效凭证（投标人需提供投标截止日前近一年内缴纳的至少一个月任意一项主要税种的凭据）（须提供复印件并加盖本单位公章）

  5.投标人须具有缴纳社保资金的有效凭证（投标人逐月缴纳社会保障资金的，须提供投标截止日前近一年内至少任意一个月的缴纳社会保障资金的入账凭证复印件；投标人逐年缴纳社会保障资金的，须提供投标截止日前上年度缴纳社会保障资金的入账凭证复印件。（须提供复印件并加盖本单位公章）；

  6. 投标人须为未被列入“信用中国”或“信用中国（甘肃）”网站记录失信被执行人或重大税收违法案件当事人名单；未被列入“信用中国”或“信用中国（甘肃）”网站记录失信被执行人或财政性资金管理使用领域相关失信责任主体、统计领域严重失信企业及其有关人员等；查询网址：信用中国（https://www.creditchina.gov.cn/），信用中国（甘肃）（http://credit.gansu.gov.cn/）。（以在“信用中国”网站或“信用中国（甘肃）”网站的查询结果为准

  7.投标人需提供有无财产冻结的说明及未被法院列为失信被执行人名单的承诺；

  8.参加采购活动前三年内，经营活动中没有重大违法记录的承诺书。

  三、发布公告的媒介

  甘肃省公共资源阳光交易平台（兰州）。

  四、注册须知

  凡是拟参与兰州市公共资源交易中心阳光招标采购平台交易活动的投标人需先在兰州市公共资源交易网甘肃省阳光招标采购平台（兰州）（http://lzggzyjy.lanzhou.gov.cn/）上注册后，方可投标；注册成功后，投标人每次参加项目投标前须重新登录系统进行项目投标登记。

  五、竞价方式

  本项目采用最低价中标法，采购人将参照网上竞价结果，排出无效报价后按照低价优先的原则确定中标供应商，同时发布公示。

  本次招标要求供应商上传完整的资格证明等材料。招标人对各供应商上传的资格证明等进行审核，通过资格证明的供应商进行网上竞价，供应商未按要求上传资格或上传不全者视为资格不符合要求或未按规定时限上传，将按无效标处理。

  通过资格审查进入竞价环节的投标人自行报价，只能报价一次，投标人提交报价时认真核算报价。

  备注：中标单位在项目成交后5日内，必须提交完整的投标文件（包括实施方案），要求提供纸质版胶装成册（一正一副）送至代理公司，逾期未送达者视为自动放弃，成交结果无效。

  六、上传资质证明文件截止时间及竞价截止时间

  1.请投标人于2022年8月31日8时30分至2022年9月2日17时00分，登录甘肃省阳光招标采购平台（兰州市）（http://lzggzyjy.lanzhou.gov.cn/），在阳光招标采购平台进行资质上传及报价。

  2.上传资质证明文件截止时间：2022年9月2日17 时00分。

  3.竞价截止时间：2022年9月 2日17时00分。

  七、联系方式

  采购单位：兰州日报社

  地 址：甘肃省兰州市城关区雁南路299号

  联系人：时先生

  电话：181*****377

  招标代理机构：甘肃中哲项目管理有限责任公司

  地址：兰州市西固区康乐路27号

  联系人：郑媛文

  电话：188*****389

  附件：

  一、项目总体需求

  依据《网络安全法》、《密码法》和“国家政务信息化项目建设管理办法（国办发【2019】57号）”的要求，遵循《信息安全技术信息系统密码应用基本要求》（GB/T*****-2021）、《信息系统 密码测评要求》、《商用密码应用安全性评估测评过程指南》等密码应用技术和管理标准，对“兰州日报社全媒体采编系统”商用密码应用的合规性、正确性、有效性进行安全性评估，并出具《密码应用安全性评估报告》，通过密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升系统的总体安全性奠定基础。

  二、项目实施要求

  1.系统商用密码评估总体要求

  （1）密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

  （2）密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

  （3）密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

  （4）密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

  2.密码技术应用测评

  从物理和环境、网络和通信、设备和计算、应用和数据 4 个层面对信息系统中应用的密码技术进行分析与评估。

  物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能，对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制，监控设备的物理访问控制，以及物理访问记录、监控信息等敏感信息数据完整性。

  网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备，通信双方的身份认证过程，通信数据完整性，敏感信息数据字段机密性， 网络边界访问控制信息完整性，系统资源访问控制信息完整性，安全设备、安全组件的集中管理方式和信息传输通道。

  设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程，系统设备和计算环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要程序或文件完整性，信息系统设备和计算环境的日志记录完整性。

  应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能，对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程，系统应用和数据操作环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要数据传输过程的机密性、完整性，重要信息存储过程的机密性、完整性，重要程序的加载和卸载过程，信息系统应用相关实体行为不不可否认性，信息系统应用和数据操作环境的日志记录完整性。

  3.密钥管理测评：对影响商用密码防护效能的密钥生命周期相关环节，以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成，密钥存储，密钥分发，密钥 导入，密钥导出，密钥使用，密钥备份，密钥恢复，密钥归档，密钥销毁。

  4.安全管理测评

  对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度，人员管控，信息系统实施，应急预案。

  （1）安全管理制度：包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容，密码相关操作规范、安全操作规范，安全管理制度的合理性和适用性论证与审定，安全管理制 度的改进和修订，安全管理制度的发布，安全管理制度的执行。

  （2）人员管控：包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用， 关键岗位划分，相关人员职责与权限划分，岗位责任制与人员制约、监督机制，管理和使用账号，人员培训、人员选拔，人员考核、奖惩与调离，人员保密措施。

  （3）信息系统实施：包括但不限于下列内容与措施：信息系统规划，信息系统建设方案，信息系统密码产品、服务选用，信息系统运行前与定期评估，信息系统整改。

  （4）应急预案：包括但不限于下列内容与措施：应急预案，应急资源准备，应急情况与处置，上级主管部门应急报告，同级密码主管部门应急报告。

  5. 其它要求

  （1）报价供应商对有关采购单位信息化建设项目的资料和信息保密。

  （2）报价供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系，不得利用所处地位通过上述单位直接或间接获益处。