一、項目名稱及預算
益陽智慧水利一體化平臺商用密碼應用安全性評估服務項目
預算:*****元
二、采購需求
*.*項目背景
為全面貫徹總體國家安全觀和網絡強國戰略,深入貫徹落實《中華人民共和國密碼法》、《商用密碼管理條例》等相關法律法規要求,符合《國家政務信息化項目建設管理辦法》、《湖南省省直單位政務信息系統項目建設管理辦法》等相關管理要求,益陽市水利局擬對益陽智慧水利一體化平臺及密碼應用方案進行商用密碼應用安全性評估,從而強化益陽市水利局密碼應用安全管理,進一步完善密碼應用安全體系。
*.*采購內容
對益陽市水利局*個三級系統“益陽智慧水利一體化平臺”(含信創及非信創部分)進行****年度商用密碼應用安全性評估并出具密評報告。
*.* 技術要求
依據《信息安全技術 信息系統密碼應用基本要求》(**/* *****-****)、《信息系統密碼測評要求》、《信息系統密碼應用測評過程指南》、《商用密碼應用安全性評估量化評估規則》、《信息系統密碼應用高風險判定指引》等標準對益陽智慧水利一體化平臺從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行、應急處置等方面進行密碼應用安全性評估并出具密碼應用安全性評估報告。
*.*服務內容
序號 服務類別 服務名稱 服務內容 交付物 * 技術服務類 商用密碼應用安全性評估服務 對益陽智慧水利一體化平臺進行****年度商用密碼應用安全性評估,系統安全保護等級為三級。 *)商用密碼應用方案、《商用密碼應用安全性評估報告》紙質版*份。 *)《商用密碼應用安全性評估報告》電子版。 協助采購人確認密碼測評指標、測評檢查點及測評內容。整理信息系統密碼應用安全性評估情況,為對應信息系統編制密碼應用安全性評估報告。 協助采購人完成測評備案工作,在完成上述信息系統密碼應用安全性評估工作的基礎上,協助采購人向對應地區密碼應用監管單位完成商用密碼應用安全性評估報告的備案工作。
*.*依據標準
信息系統安全服務全過程所有工作嚴格按照最新國內/國際相關安全標準執行,以保證服務工作科學、規范地進行,具體參考的標準如下:
《**/* *****-**** 信息系統密碼應用基本要求》
《**/* *****-****信息安全技術 信息系統密碼應用設計指南》
《信息系統密碼應用測評要求》
《政務信息系統密碼應用與安全性評估工作指南》
《商用密碼應用安全性評估測評過程指南(試行)》
《商用密碼應用安全性評估量化評估規則》
《信息系統密碼應用高風險判定指引》
《商用密碼應用安全性評估管理辦法》。
三、資格要求
供應商特定資格條件:供應商須具有或所投測評機構具有國家密碼管理局頒發的《商用密碼檢測機構資質證書》(業務范圍:商用密碼應用安全性評估)。
四、項目實施要求
*.*實施總體要求
按照國家相關密碼應用與密碼應用安全性評估最新標準,結合項目建設文件等資料,在采購人要求的時間內完成對檢測范圍內的相關密碼應用方案及信息系統進行密碼應用檢測并出具整改意見,在采購人組織完成整改后,應對相應密碼應用方案及信息系統進行復測,并出具符合相關密碼標準和主管單位要求的商用密碼應用安全性評估報告。
*.* 項目實施管理要求
供應商應嚴格依據下列原則和國家密碼應用安全性評估相關標準開展項目實施工作:
(*) 標準化原則
測評和測試工作不僅要遵循國家相關標準規范,還要符合有關行業規范要求。
(*) 規范化原則
本項目的實施將嚴格按照有關質量體系要求,通過分析項目實施風險,在項目管理的基礎上,建立規范的實施操作流程、文檔管理制度和項目管理制度,最大限度降低項目實施風險。
(*) 業務主導原則
本次項目將遵循業務主導原則,即以業務完全為評估工作導向,根據本項目信息系統項目業務特點確定評估重點,分析信息安全風險和漏洞對業務的影響,充分發揮密碼應用安全性評估對促進信息系統安全保障以完成業務使命的積極作用。
(*) 最小影響原則
本項目工作要做到充分的計劃性,所采用手段的工具均須經過嚴格的評審和測試,對預期的結果和影響進行充分的估計,并做好應急措施,不對現有網絡系統的運行和業務的正常提供產生顯著影響,盡可能小地影響系統和網絡的正常運行,同時在安全服務實施前做好風險防范和應急措施。
(*) 保密性原則
項目團隊對工作過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據進行任何侵害采購人利益的行為。
*.* 項目人員管理要求
競價人應向用戶提供優秀的項目測評團隊,選派專人擔任項目經理,熟悉密碼應用安全性評估相關工作,具有豐富經驗和較強的溝通協調能力;具有豐富預見和應對項目風險能力。團隊人員應嚴格遵守采購人方的各項規章制度和管理規定,具有很強的工作責任心和客戶服務意識。
*.* 項目測評方案
供應商需根據對項目的理解,依據**/* *****-****《信息安全技術 信息系統密碼應用基本要求》、《信息系統密碼測評要求》、《商用密碼應用安全性評估測評過程指南》、《信息系統密碼應用高風險判定指引》、《商用密碼應用安全性評估量化評估規則》等標準規范制定測評實施方案。方案需涵蓋測評原則、測評內容、測評工作流程、測評方法描述、測評風險規避等。實施過程中方案如有變更,應報采購人同意后實施。
*.* 項目實施內容
信息系統評估實施內容
供應商通過對系統密碼應用安全性評估,及時發現系統脆弱性,識別變化的風險,了解系統安全狀況。對照密碼應用方案對系統開展評估。根據被評估對象的實際情況、所屬行業及系統使用的密碼產品情況,選擇并確定測評依據。在系統真實環境下進行測評,以評估密碼保障是否安全有效,密碼使用是否合規、正確、有效。并通過測評發現系統存在的安全隱患和風險,提出可行性完善建議。
*)密碼技術應用測評
物理和環境安全密碼測評、網絡和通信安全密碼測評、設備和計算安全密碼測評、應用和數據安全密碼測評。測評驗證不同安全等級信息系統的商用密碼應用是否達到具有相應安全等級的安全保護能力,是否滿足相應安全等級的保護要求。
*)安全管理測評
對管理制度、人員管理、建設運行和應急等四個方面安全管理的測評,并協助完善商用密碼應用安全性管理制度,協助完善密碼相關系統運維管理制度。
*)具體評估范圍
具體評估范圍主要包括:物理機房、服務器操作系統、數據庫系統、交換機、路由器、防火墻、密碼算法、密碼技術、密碼產品、密碼服務、應用、安全管理相關文檔等,主要測評內容包含但不限于下表所示:
| 序號 |
評估單元 |
評估內容 |
評估對象 |
| * |
總體要求測評 |
密碼算法測評 |
密碼算法 |
| 密碼技術測評 |
密碼技術 |
| 密碼產品測評 |
密碼產品 |
| 密碼服務測評 |
密碼服務 |
| * |
物理和環境安全測評 |
身份鑒別 |
物理機房 |
| 電子門禁記錄數據完整性 |
物理機房 |
| 視頻記錄數據完整性 |
物理機房 |
| 硬件密碼模塊實現 |
物理機房 |
| * |
網絡和通信安全測評 |
身份鑒別 |
交換機、路由器、防火墻等 |
| 網絡邊界訪問控制信息完整性 |
交換機、路由器、防火墻等 |
| 通信數據完整性 |
交換機、路由器、防火墻等 |
| 通信數據機密性 |
交換機、路由器、防火墻等 |
| 安全接入認證 |
交換機、路由器、防火墻等 |
| 密碼模塊安全 |
交換機、路由器、防火墻等 |
| * |
設備和計算安全測評 |
身份鑒別 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| 遠程管理通道安全 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| 系統資源訪問控制信息完整性 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| 重要信息資源安全標記完整性 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| 重要可執行程序完整性、重要可執行程序來源真實性 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| 日志記錄完整性 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| 硬件密碼模塊實現 |
密碼設備、網絡設備、通用服務器操作系統、數據庫等 |
| * |
應用和數據安全測評 |
身份鑒別 |
應用 |
| 訪問控制信息完整性 |
應用 |
| 數據傳輸機密性 |
應用 |
| 數據存儲機密性 |
應用 |
| 數據傳輸完整性 |
應用 |
| 數據存儲完整性 |
應用 |
| 重要信息資源安全標記完整性 |
應用 |
| 不可否認性 |
應用 |
| 硬件密碼模塊實現 |
應用 |
| * |
安全管理測評 |
管理制度 |
安全管理相關文檔 |
| 人員管理 |
安全管理相關文檔 |
| 建設運行 |
安全管理相關文檔 |
| 應急處置 |
安全管理相關文檔 |
| * |
密鑰管理測評 |
密鑰生成 |
全局 |
| 密鑰存儲 |
全局 |
| 密鑰分發 |
全局 |
| 密鑰導入與導出 |
全局 |
| 密鑰使用 |
全局 |
| 密鑰備份與恢復 |
全局 |
| 密鑰歸檔 |
全局 |
| 密鑰銷毀 |
全局 |
*)編制密碼應用安全性評估報告
針對每個被評估系統編制密碼應用安全性評估報告,報告按照國家密碼管理局要求包含的內容編制或參考模板編制。協助被評估單位認清風險,查找漏洞,找出差距,提出有針對性的加強完善密碼安全管理和防護建議。
五、項目交付要求
*.*項目交付物
本項目主要交付成果如下表所列
| 序號 |
交付物名稱 |
形式 |
備注 |
| * |
益陽智慧水利一體化平臺商用密碼應用方案、《密碼應用安全性評估報告》 |
電子版 紙質版 |
商用密碼應用方案、《密碼應用安全性評估報告》兩份,電子檔一份 |
*.*交付時間
簽訂合同后,*個月內完成商用密碼應用安全性評估工作(不含信息系統整改時間)。
六、項目驗收要求
本項目按照國家密碼應用相關技術規格和密碼應用測評相關要求進行驗收。依據《信息安全技術 信息系統密碼應用基本要求》(**/* *****-****)、《信息安全技術 信息系統密碼應用設計指南》(**/* *****-****)、《信息系統密碼應用測評要求》(**/* ****-****)、《信息系統密碼應用測評過程指南》(**/* ****-****)、《信息系統密碼應用高風險判定指引》等標準規范完成合同范圍內所有信息系統的《密碼應用安全性評估報告》編制與交付。
七、其他要求
*.* 服務響應要求
在本項目測評服務周期內,中標人應提供現場答疑和電話咨詢服務,提供*×**小時服務響應、*小時內做好服務應答和反饋;需要現場支持時,在*小時內安排至少*名具有相應服務能力的工程師到達現場協助采購人處理。
*.* 保密要求
(*)中標人參與項目的所有人員應嚴格遵守采購人的保密要求簽訂保密協議和保密承諾書,并由中標人擔保。
(*)中標人對于采購人提供的資料,以及本項目實施過程中所涉及的所有文檔、數據、介質和相關信息保密,未經許可,不得以任何形式向第三方傳播。保密期限不受本項目期限的限制,在本項目履行完畢后,保密信息接受方仍應承擔保密義務。
(*)如因中標人單方面原因造成泄密,采購人將保留追究其法律責任的權利。
八、詢價程序
*、申報期限:
截止時間為****年**月*日*:**(以送達時間為準)。
*、申報材料:
(*)法定代表人身份證明和法定代表人身份證復印件;
(*)營業執照正副本或組織機構代碼證復印件;
(*)公司相關資質證書;
(*)報價函原件(格式自擬)。
*、提交材料:申報材料應通過現場遞交或郵寄方式提交。詢價小組從符合相應資格條件的供應商名單中確定不少于三家的供應商參與詢價采購活動。
九、聯系方式
采購人:益陽市水利局
通信地址:湖南省益陽市梓山西路***號
聯系人:李先生
聯系方式:***********
監督機構:益陽市水利局
聯系電話:****-*******
益陽市水利局
****年**月**日
