服务内容
1、指导各系统厂商编制商用密码应用方案,并对商用密码应用方案进行商用密码应用安全性评估。包括对密码应用解决方案、实施方案和应急处理方案等以上方案编制要点的7项内容评估,确保方案内容完整。同时需要在**市大数据中心完成密码应用方案内审,并获得(略)。
2、依据国家等级保护相关标准GB/T (略)息安全技术信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用安全性评估测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《政务信息系统安全系统构建与安全性评估工作指南》,对**公共**交易中心五个等保三级信息系统每年开展一次商用密码应用安全性评估,并出具差距分析报告,指导系统承建厂商进行相关整改工作,确保其按照提出的改进措施整改后,通过复评测试,满足商用密码应用和安全性相关要求,获得**省密码局密评备案。
(略)
《GB/T (略)息安全技术 信息系统密码应用基本要求》
《信息(略)
《信息系统密码应用测评过程指南》
《商用密码应(略)
《商用密码应用安全性评估FAQ(第三版)》
参考标准
《GM/T 0001 祖冲之序列密(略)
《GM/T 0002 SM4分组密码算法》
《GM/T 0003 SM2 椭圆曲线公钥密码算法》
《GM/T 0004 SM3 密码杂凑算法》
《GM/T 0054 信息系统密码应用基本要求 》
《GM/T 0018 密码设备应用接口规范》
《GM/Z 0001 密码术语》
《GM/T 0022 IPSEC VPN 技术规范》
《GM/T 0024 SSL VPN 技术规范》
《GM/T 0030 服务器密码机技术规范》
《GM/T 0044 SM9 标识密码算法》
《GB/T 20984 信息安全技术 信息安全风险(略)
《GB/T 22239 信息安全技术 信息系统安全(略)
《GB/T 22240 信息安全技术 信息系统安全等级保护定级指南》
《GM/T 00(略) 可信计算 可信密码支撑平台功能与接口规范》
《测评项目管理程序》
《身份鉴别/访问控制/数据安全/密钥管理/安全审计/人员安全/制度安全/备份安全/应急安全/实施安全测评方法和判断标准》
三、技术规格:根据相关文件要求,等保三级以上系统每年至少开展一次密码应用安全性评估。经统计,2024-2026年中心符合相关条件,需开展密码应用安全性评估的信息系统共计5个,具体如下:
系统名称 |
等**级 |
**市公共**交易电子服务平台及数据分析系统 |
三级 |
工程建设电子招标投标系统(含智(略)) |
三级 |
**市政府采购全流程电子化交易系统 |
三级 |
**市国土(略) |
三级 |
国有(略) |
三级 |
商用密码应(略):
工作阶段 |
输出 |
测评准备阶段 |
1)密评(略) 2)密评工具及清单 3)调查问卷 4)委托协议、保密协议等 |
密码应用方案编制与评估 |
1)指导系统承建厂商编制密码应用方案 2)针对密码应用方案进行评估,并出具密码应用(略) |
密评方案编制阶段阶段 |
1)密码测评实施方案 |
现场测评阶段 |
1)现场测评授权书 2)会议记录 3)风险告知书 4)测评结果记录 5)测评问题汇总 6)整改建议 |
分析与报告编制阶段 |
1)测评报告 |
(略)
服务地点:(略)
五、服务标准:(略)
(1)对密码应用方案的内容完整性、内容合规性、内容正确性、内容有效性进行评估。根据评估情况编制密码应用方案的商用密码应用安全性评估报告,包括报告主体内容、评估结论、建议等。
(2)对照密码应用方案对系统开展评估。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。最终输出测评报告。
(3)获得**省密码局密评备案。
2.人员和任务分工要求
结合本项目的(略),对供应商的团队和分工要求如下:
人员类别 |
数量 |
具体要求 |
项目负责人 |
1名 |
负责组建项目团队,履行项目总负责人职责,监督项目计划(略),评估项目潜在风险,确保与各方的良好沟通与协作,保证评估(略)。为项目提供(略),指导和组(略),指导和检查项目管理任务日志及项目文件的管理,组织进行项目(略)。 |
项目经办人 |
1名 |
负责履行项目日常工作管理、对接、沟通管理、绩效评(略) |
测评工程师 |
不少于3名 |
负责评估项目的实施工作,可根据采购人实际需求进行人力调节。 |
3.保密要求
成交供应商在服务过程中,应严格遵守《中华人民**国网络安全法》、《中华人民**国密码法》等法律法规规定。
项目相(略),明确人员应遵守的相关信息安全管理制度、信息安全技术规范和保守商业秘密的要求以及违约责任等。
成交供应商应当采取有效的保密措施,不得将保密信息披露、公布、散布或分发给除了因工作(略)、传播、公开或披露。
六、验收标准:本项目按照国家密码应用相关技(略)采购〔2024]5 号)文件的相关规定进行验收。本项目采用(略)。
1、按国家规定执行。验收报告作为申请付款的凭证之一。
2、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。
3、项目验收不合格,由中标人返工直至合格。有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
七、其他要求:一、付款方式:合同签订,且甲方收到乙方合同金额全额增值税普通发票后10个工作日内,甲方支付合(略),获得**省密码局密评(略)完成,获得**省密码局密评备案且甲方验收合格之日起10个工作日内支付合同金额的30%。
二、其他要求
1. 本项目采用费用包干方式,供应商应根据项目要求和现场情况,详细列明项目所需的所有费用,包括完成合同范围的全部工作内容所发生(略)中(略),均由成交供应商免费提供,采购人不再支付其他任何费用。
2.供应商在参与本项目的全部过程中,应负责其所有工作人员的人(略)承担成交供应商工作人员因意外(包括但不限于:在驻场工作中发生的意外以及抵达驻场途中及返程中发生的意外)所致的任何责任。
3.采购人不组织现场踏勘,供应商在响应前,须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
三、对于上述项目要求,供应商应在响应文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。