一、密码测评服务项目具体需求

（一）服务内容

依据GB/T *****-2021《信息安全技术信息系统密码应用基本要求》等标准对被评估系统进行商用密码应用安全性评估，通过商用密码应用安全性评估工作，发现潜在的密码应用安全隐患，形成被评估系统商用密码应用安全性评估报告，为重要信息系统的密码安全提供科学评价。并提出有针对性的加强完善密码安全管理和防护建议,逐步提升被评估单位密码的使用能力。

1.测评主要依据和标准：

《中华人民共和国网络安全法》

《信息安全技术 信息系统密码应用基本要求》（GB/T *****-2021）

《信息系统密码应用测评要求》（GM/T 0115-2021）

《信息系统密码应用测评过程指南》（GM/T 0116-2021）

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

2.测评对象和测评范围

测评对象包括：核心系统等四个等保三级系统。测评范围包括但不限于以下方面：

1）通用测评

核查信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

核查信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

核查信息系统中使用的密码产品、密码服务是否符合法律法规的相关要求。

2）密码应用技术测评

包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，验证信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。

3）密码应用管理测评

从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能够确保密码技术被合规、正确、有效地实施。

4）整体测评与风险评估

对重要信息系统结构进行整体安全测评，并采用风险分析的方法分析密码应用安全问题可能对信息系统安全造成的影响，提交整体测评与风险评估结果。

3.测评方式

测评方式包括访谈、文档审查、配置检查、工具测试和实地查看等。

4.测评要求

供应商应坚持客观、公正的第三方立场进行测评工作，保持测评结果及结论的独立性和科学性。

（二）服务要求

1.合同签订后两周内开始开展测评工作。测评团队应包括不低于五人的专业测评人员。

2.每个系统现场测评完成后提交问题清单，我行将能整改的问题整改后测评人员到现场复测。全部测评完成后对每个被测评重要信息系统编制密码应用安全性评估报告，报告应按照国家密码管理局要求编制。

（三）服务目标

1.进行安全评估的工具、方法和过程应在双方认可的范围之内，应使用规范成熟的评估方法，符合行业安全风险评估标准，服务的进度要按照项目进度表的时间安排，并按时提交约定的交付成果。

2.评估工作应尽可能小的影响系统和网络的正常运行，不能对系统的运行和业务的正常提供产生显著影响。

3.对安全评估工作中提供的源程序、客户信息，和所产生的过程数据、结果数据严格保密，未经授权不得泄露给任何单位和个人。并应在检测结束后主动销毁。

4.提供项目相关的具有合法使用权的工具软件和信息资源数据，并保证工具和软件可用性和可靠性。

（四）付款要求

具体付款要求以实际项目采购时公布的为准。

（五）供应商后评价管理

本行建立供应商考核评价管理机制，具体考核评价管理指标、标准及考核措施以实际项目采购时公布的为准。

二、报名资格条件

（一）具有独立承担民事责任的能力；

（二）具有履行合同所需的专业技术能力和服务能力；

（三）不接受联合体响应；

（四）供应商不得存在的其他情况：

1.与采购人存在利害关系且可能影响采购活动公正性；

2.与本采购项目的其他响应方为同一个单位负责人； 3.与本采购项目的其他响应方存在控股、管理关系；

4.被依法暂停或者取消投标资格；

5.被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照；

6.进入清算程序，或被宣告破产，或其他丧失履约能力的情形；

7.在最近三年内发生重大产品质量问题；

8.被工商行政管理机关在全国企业信用信息公示系统中列入经营异常、严重违法失信企业名单；

9.被列为失信被执行人名单；

10.所属行业属于“两高一剩”行业；

11.法律法规规定的其他情形。

三、提供资料清单

（一）具有独立承担民事责任的能力：企业应提供合法有效的营业执照；非企业的其他组织，应提供其对应的非企业登记证书或批文或相关证明。（不具备独立承担民事责任能力的，还需要提供具有独立承担民事责任能力的总公司对本项目的授权）；

（二）提供国家密码局官方网站公布的《商用密码应用安全性评估试点机构目录》查询截图。

（三）提供1个2021年1月1日以后签订的，或者截止当前，合同履行结束时间仍在有效期内的类似项目业绩合同（须提供合同复印件）。

（四）提供企业诚信声明及承诺（格式自拟）

1.提供供应商不得存在的其他情形之一的承诺，内容应包括上述十一条；

2.承诺参加本项目采购活动，非联合体投标；

3.对所提供资料的真实性承诺。

（五）项目需求偏离表

序号

项目需求条款号

偏差说明

1



2



……



供应商保证：除项目需求偏离表列出的偏离外，供应商满足项目需求的全部要求（响应方仅对存在差异的内容进行填写；未填的视为无差异，视为响应方满足本项目全部要求）。

注：本项目不允许负偏差，供应商应当对项目需求作出满足性或更有利于采购人的响应。

（六）提供供应商基本信息：

1.供应商名称：

2.主体类型：【法人/非法人组织/自然人（个人工商户）】

3.统一社会信用代码：

4.联系人：

5.联系人手机：

6.联系人邮箱：

7.通过哪种渠道或网站获知的公告信息：
□ 重庆农商行官网
□ 其他渠道或网站（请具体列明何种渠道或网站，如：中国招标与采购网/中国采招网/招采网/千里马/乙方宝......）

8.可自行添加其他基本情况介绍

注：上述报名资料请各报名供应商按顺序编制，其中（一）至（五）项，属于必备项，是报名资料的必须组成部分，缺失其中之一的，则视为报名资料不合格。

四、资料递交要求

（一）按顺序将报名资料加盖公章后，制作成一个PDF格式电子文件（PDF电子文件需进行压缩，压缩文件大小应控制在50M范围内）。

（二）报名文件命名应由公司名称+项目名称组成（如：**公司2024年密码测评服务采购项目报名资料）；若文件命名未能体现公司名称和项目名称，或者文件命名公司名称和项目名称有误，导致报名资料无法识别，视为审核不通过。

（三）报名文件内容须完整且清晰可鉴，因文件内容不完整、不清晰，影响审核要素的，视为审核不通过。

（四）提供虚假资料，经查证属实的，采购人有权取消参与资格。

收件邮箱/收件地址：zhchenjie@cqrcb.com

联系人：陈女士，田先生

联系电话：023-********，023-********

收取资料截止时间：2024年4月28日17：30分，逾期递交的资料或以其他方式报名的不予受理。对审查未通过的报名供应商，另行通知。

重庆农村商业银行股份有限公司

2024年4月23日



分享