长沙公共资源交易中心:商用密码应用安全性评估服务年项目采购需求公开
长沙公共资源交易中心:商用密码应用安全性评估服务年项目采购需求公开
服务内容
1、指导各系统厂商编制商用密码应用方案,并对商用密码应用方案进行商用密码应用安全性评估。包括对密码应用解决方案、实施方案和应急处理方案等以上方案编制要点的7项内容评估,确保方案内容完整。同时需要在长沙市大数据中心完成密码应用方案内审,并获得湖南省密码局密码应用方案备案。
2、依据国家等级保护相关标准GB/T *****-2021《信息安全技术信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用安全性评估测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《政务信息系统安全系统构建与安全性评估工作指南》,对长沙公共资源交易中心五个等保三级信息系统每年开展一次商用密码应用安全性评估,并出具差距分析报告,指导系统承建厂商进行相关整改工作,确保其按照提出的改进措施整改后,通过复评测试,满足商用密码应用和安全性相关要求,获得湖南省密码局密评备案。
依据标准
《GB/T *****-2021 信息安全技术 信息系统密码应用基本要求》
《信息系统密码应用测评要求》
《信息系统密码应用测评过程指南》
《商用密码应用安全性评估管理办法》
《商用密码应用安全性评估FAQ(第三版)》
参考标准
《GM/T 0001 祖冲之序列密码算法》
《GM/T 0002 SM4分组密码算法》
《GM/T 0003 SM2 椭圆曲线公钥密码算法》
《GM/T 0004 SM3 密码杂凑算法》
《GM/T 0054 信息系统密码应用基本要求 》
《GM/T 0018 密码设备应用接口规范》
《GM/Z 0001 密码术语》
《GM/T 0022 IPSEC VPN 技术规范》
《GM/T 0024 SSL VPN 技术规范》
《GM/T 0030 服务器密码机技术规范》
《GM/T 0044 SM9 标识密码算法》
《GB/T ***** 信息安全技术 信息安全风险评估规范》
《GB/T ***** 信息安全技术 信息系统安全等级保护基本要求》
《GB/T ***** 信息安全技术 信息系统安全等级保护定级指南》
《GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范》
《测评项目管理程序》
《身份鉴别/访问控制/数据安全/密钥管理/安全审计/人员安全/制度安全/备份安全/应急安全/实施安全测评方法和判断标准》
三、技术规格:根据相关文件要求,等保三级以上系统每年至少开展一次密码应用安全性评估。经统计,2024-2026年中心符合相关条件,需开展密码应用安全性评估的信息系统共计5个,具体如下:
| 系统名称 | 等保定级 |
| 长沙市公共资源交易电子服务平台及数据分析系统 | 三级 |
| 工程建设电子招标投标系统(含智慧辅助评标系统) | 三级 |
| 长沙市政府采购全流程电子化交易系统 | 三级 |
| 长沙市国土资源网上交易系统 | 三级 |
| 国有资产交易系统 | 三级 |
商用密码应用安全性评估工作阶段性输出如下表所示:
| 工作阶段 | 输出 |
| 测评准备阶段 | 1)密评项目计划书 2)密评工具及清单 3)调查问卷 4)委托协议、保密协议等 |
| 密码应用方案编制与评估 | 1)指导系统承建厂商编制密码应用方案 2)针对密码应用方案进行评估,并出具密码应用方案评估报告 |
| 密评方案编制阶段阶段 | 1)密码测评实施方案 |
| 现场测评阶段 | 1)现场测评授权书 2)会议记录 3)风险告知书 4)测评结果记录 5)测评问题汇总 6)整改建议 |
| 分析与报告编制阶段 | 1)测评报告 |
服务期:2024-2026年,共三年。
服务地点:采购人指定地点。
五、服务标准:1.实施内容
(1)对密码应用方案的内容完整性、内容合规性、内容正确性、内容有效性进行评估。根据评估情况编制密码应用方案的商用密码应用安全性评估报告,包括报告主体内容、评估结论、建议等。
(2)对照密码应用方案对系统开展评估。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。最终输出测评报告。
(3)获得湖南省密码局密评备案。
2.人员和任务分工要求
结合本项目的评估服务需求,对供应商的团队和分工要求如下:
| 人员类别 | 数量 | 具体要求 |
| 项目负责人 | 1名 | 负责组建项目团队,履行项目总负责人职责,监督项目计划、文件和重要节点管理,评估项目潜在风险,确保与各方的良好沟通与协作,保证评估服务工作顺利进行。为项目提供方法指导和资源支持,指导和组织进行项目关键节点和重要里程碑的管理与保障,指导和检查项目管理任务日志及项目文件的管理,组织进行项目的知识提炼与总结。 |
| 项目经办人 | 1名 | 负责履行项目日常工作管理、对接、沟通管理、绩效评价、协调评估单位内部和外部资源、做好评估任务接收、单项评估合同签订、评估费支付、项目进展情况数据统计,以及其他整体管理事务工作等。 |
| 测评工程师 | 不少于3名 | 负责评估项目的实施工作,可根据采购人实际需求进行人力调节。 |
3.保密要求
成交供应商在服务过程中,应严格遵守《中华人民共和国网络安全法》、《中华人民共和国密码法》等法律法规规定。
项目相关人员须签订《保密承诺书》,明确人员应遵守的相关信息安全管理制度、信息安全技术规范和保守商业秘密的要求以及违约责任等。
成交供应商应当采取有效的保密措施,不得将保密信息披露、公布、散布或分发给除了因工作需要必须使用保密信息的人员之外的任何第三方,防止保密信息未经授权而被使用、传播、公开或披露。
六、验收标准:本项目按照国家密码应用相关技术规格和密码应用测评相关要求、长沙市《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购〔2024]5 号)文件的相关规定进行验收。本项目采用简易程序验收。
1、按国家规定执行。验收报告作为申请付款的凭证之一。
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
3、项目验收不合格,由中标人返工直至合格。有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
七、其他要求:一、付款方式:合同签订,且甲方收到乙方合同金额全额增值税普通发票后10个工作日内,甲方支付合同金额的30%;2025年测评完成,获得湖南省密码局密评备案且甲方验收合格之日起10个工作日内支付合同金额的40%;2026年测评完成,获得湖南省密码局密评备案且甲方验收合格之日起10个工作日内支付合同金额的30%。
二、其他要求
1. 本项目采用费用包干方式,供应商应根据项目要求和现场情况,详细列明项目所需的所有费用,包括完成合同范围的全部工作内容所发生的人员工资、社保、福利、管理、财务、培训、税费等所有费用,如一旦成交,在项目实施中出现任何遗漏,均由成交供应商免费提供,采购人不再支付其他任何费用。
2.供应商在参与本项目的全部过程中,应负责其所有工作人员的人身意外保险以及承担人身意外事故引发的责任、损失和所有费用。采购人不承担成交供应商工作人员因意外(包括但不限于:在驻场工作中发生的意外以及抵达驻场途中及返程中发生的意外)所致的任何责任。
3.采购人不组织现场踏勘,供应商在响应前,须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
三、对于上述项目要求,供应商应在响应文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
