一、项目名称及预算
益阳智慧水利一体化平台商用密码应用安全性评估服务项目
预算:70000元
二、采购需求
2.1 项目背景
为全面贯彻总体国家安全观和网络强国战略,深入贯彻落实《中华人民共和国密码法》、《商用密码管理条例》等相关法律法规要求,符合《国家政务信息化项目建设管理办法》、《湖南省省直单位政务信息系统项目建设管理办法》等相关管理要求,益阳市水利局拟对益阳智慧水利一体化平台及密码应用方案进行商用密码应用安全性评估,从而强化益阳市水利局密码应用安全管理,进一步完善密码应用安全体系。
2.2 采购内容
对益阳市水利局1个三级系统“益阳智慧水利一体化平台”(含信创及非信创部分)进行2025年度商用密码应用安全性评估并出具密评报告。
2.3 技术要求
依据《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《商用密码应用安全性评估量化评估规则》、《信息系统密码应用高风险判定指引》等标准对益阳智慧水利一体化平台从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等方面进行密码应用安全性评估并出具密码应用安全性评估报告。
2.4 服务内容
序号
服务类别
服务名称
服务内容
交付物
1
技术服务类
商用密码应用安全性评估服务
对益阳智慧水利一体化平台进行2025年度商用密码应用安全性评估,系统安全保护等级为三级。
1)商用密码应用方案、《商用密码应用安全性评估报告》纸质版2份。
2)《商用密码应用安全性评估报告》电子版。
协助采购人确认密码测评指标、测评检查点及测评内容。整理信息系统密码应用安全性评估情况,为对应信息系统编制密码应用安全性评估报告。
协助采购人完成测评备案工作,在完成上述信息系统密码应用安全性评估工作的基础上,协助采购人向对应地区密码应用监管单位完成商用密码应用安全性评估报告的备案工作。
|
序号 |
服务类别 |
服务名称 |
服务内容 |
交付物 |
|
1 |
技术服务类 |
商用密码应用安全性评估服务 |
对益阳智慧水利一体化平台进行2025年度商用密码应用安全性评估,系统安全保护等级为三级。 |
1)商用密码应用方案、《商用密码应用安全性评估报告》纸质版2份。 2)《商用密码应用安全性评估报告》电子版。 |
|
协助采购人确认密码测评指标、测评检查点及测评内容。整理信息系统密码应用安全性评估情况,为对应信息系统编制密码应用安全性评估报告。 |
||||
|
协助采购人完成测评备案工作,在完成上述信息系统密码应用安全性评估工作的基础上,协助采购人向对应地区密码应用监管单位完成商用密码应用安全性评估报告的备案工作。 |
2.5 依据标准
信息系统安全服务全过程所有工作严格按照最新国内/国际相关安全标准执行,以保证服务工作科学、规范地进行,具体参考的标准如下:
《GB/T 39768-2021 信息系统密码应用基本要求》
《GB/T 43207-2023信息安全技术 信息系统密码应用设计指南》
《信息系统密码应用测评要求》
《政务信息系统密码应用与安全性评估工作指南》
《商用密码应用安全性评估测评过程指南(试行)》
《商用密码应用安全性评估量化评估规则》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估管理办法》。
三、资格要求
供应商特定资格条件:供应商须具有或所投测评机构具有国家密码管理局颁发的《商用密码检测机构资质证书》(业务范围:商用密码应用安全性评估)。
四、项目实施要求
4.1 实施总体要求
按照国家相关密码应用与密码应用安全性评估最新标准,结合项目建设文件等资料,在采购人要求的时间内完成对检测范围内的相关密码应用方案及信息系统进行密码应用检测并出具整改意见,在采购人组织完成整改后,应对相应密码应用方案及信息系统进行复测,并出具符合相关密码标准和主管单位要求的商用密码应用安全性评估报告。
4.2 项目实施管理要求
供应商应严格依据下列原则和国家密码应用安全性评估相关标准开展项目实施工作:
(1) 标准化原则
测评和测试工作不仅要遵循国家相关标准规范,还要符合有关行业规范要求。
(2) 规范化原则
本项目的实施将严格按照有关质量体系要求,通过分析项目实施风险,在项目管理的基础上,建立规范的实施操作流程、文档管理制度和项目管理制度,最大限度降低项目实施风险。
(3) 业务主导原则
本次项目将遵循业务主导原则,即以业务完全为评估工作导向,根据本项目信息系统项目业务特点确定评估重点,分析信息安全风险和漏洞对业务的影响,充分发挥密码应用安全性评估对促进信息系统安全保障以完成业务使命的积极作用。
(4) 最小影响原则
本项目工作要做到充分的计划性,所采用手段的工具均须经过严格的评审和测试,对预期的结果和影响进行充分的估计,并做好应急措施,不对现有网络系统的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行,同时在安全服务实施前做好风险防范和应急措施。
(5) 保密性原则
项目团队对工作过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人利益的行为。
4.3 项目人员管理要求
竞价人应向用户提供优秀的项目测评团队,选派专人担任项目经理,熟悉密码应用安全性评估相关工作,具有丰富经验和较强的沟通协调能力;具有丰富预见和应对项目风险能力。团队人员应严格遵守采购人方的各项规章制度和管理规定,具有很强的工作责任心和客户服务意识。
4.4 项目测评方案
供应商需根据对项目的理解,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、《信息系统密码测评要求》、《商用密码应用安全性评估测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等标准规范制定测评实施方案。方案需涵盖测评原则、测评内容、测评工作流程、测评方法描述、测评风险规避等。实施过程中方案如有变更,应报采购人同意后实施。
4.5 项目实施内容
信息系统评估实施内容
供应商通过对系统密码应用安全性评估,及时发现系统脆弱性,识别变化的风险,了解系统安全状况。对照密码应用方案对系统开展评估。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
1)密码技术应用测评
物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
2)安全管理测评
对管理制度、人员管理、建设运行和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
3)具体评估范围
具体评估范围主要包括:物理机房、服务器操作系统、数据库系统、交换机、路由器、防火墙、密码算法、密码技术、密码产品、密码服务、应用、安全管理相关文档等,主要测评内容包含但不限于下表所示:
|
序号 |
评估单元 |
评估内容 |
评估对象 |
|
1 |
总体要求测评 |
密码算法测评 |
密码算法 |
|
密码技术测评 |
密码技术 |
||
|
密码产品测评 |
密码产品 |
||
|
密码服务测评 |
密码服务 |
||
|
2 |
物理和环境安全测评 |
身份鉴别 |
物理机房 |
|
电子门禁记录数据完整性 |
物理机房 |
||
|
视频记录数据完整性 |
物理机房 |
||
|
硬件密码模块实现 |
物理机房 |
||
|
3 |
网络和通信安全测评 |
身份鉴别 |
交换机、路由器、防火墙等 |
|
网络边界访问控制信息完整性 |
交换机、路由器、防火墙等 |
||
|
通信数据完整性 |
交换机、路由器、防火墙等 |
||
|
通信数据机密性 |
交换机、路由器、防火墙等 |
||
|
安全接入认证 |
交换机、路由器、防火墙等 |
||
|
密码模块安全 |
交换机、路由器、防火墙等 |
||
|
4 |
设备和计算安全测评 |
身份鉴别 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
|
远程管理通道安全 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
||
|
系统资源访问控制信息完整性 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
||
|
重要信息资源安全标记完整性 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
||
|
重要可执行程序完整性、重要可执行程序来源真实性 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
||
|
日志记录完整性 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
||
|
硬件密码模块实现 |
密码设备、网络设备、通用服务器操作系统、数据库等 |
||
|
5 |
应用和数据安全测评 |
身份鉴别 |
应用 |
|
访问控制信息完整性 |
应用 |
||
|
数据传输机密性 |
应用 |
||
|
数据存储机密性 |
应用 |
||
|
数据传输完整性 |
应用 |
||
|
数据存储完整性 |
应用 |
||
|
重要信息资源安全标记完整性 |
应用 |
||
|
不可否认性 |
应用 |
||
|
硬件密码模块实现 |
应用 |
||
|
6 |
安全管理测评 |
管理制度 |
安全管理相关文档 |
|
人员管理 |
安全管理相关文档 |
||
|
建设运行 |
安全管理相关文档 |
||
|
应急处置 |
安全管理相关文档 |
||
|
7 |
密钥管理测评 |
密钥生成 |
全局 |
|
密钥存储 |
全局 |
||
|
密钥分发 |
全局 |
||
|
密钥导入与导出 |
全局 |
||
|
密钥使用 |
全局 |
||
|
密钥备份与恢复 |
全局 |
||
|
密钥归档 |
全局 |
||
|
密钥销毁 |
全局 |
4)编制密码应用安全性评估报告
针对每个被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制。协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。
五、项目交付要求
5.1项目交付物
本项目主要交付成果如下表所列
|
序号 |
交付物名称 |
形式 |
备注 |
|
1 |
益阳智慧水利一体化平台商用密码应用方案、《密码应用安全性评估报告》 |
电子版 纸质版 |
商用密码应用方案、《密码应用安全性评估报告》两份,电子档一份 |
5.2交付时间
签订合同后,3个月内完成商用密码应用安全性评估工作(不含信息系统整改时间)。
六、项目验收要求
本项目按照国家密码应用相关技术规格和密码应用测评相关要求进行验收。依据《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)、《信息安全技术 信息系统密码应用设计指南》(GB/T 43207-2023)、《信息系统密码应用测评要求》(GM/T 0115-2021)、《信息系统密码应用测评过程指南》(GM/T 0116-2021)、《信息系统密码应用高风险判定指引》等标准规范完成合同范围内所有信息系统的《密码应用安全性评估报告》编制与交付。
七、其他要求
7.1 服务响应要求
在本项目测评服务周期内,中标人应提供现场答疑和电话咨询服务,提供7×24小时服务响应、1小时内做好服务应答和反馈;需要现场支持时,在2小时内安排至少1名具有相应服务能力的工程师到达现场协助采购人处理。
7.2 保密要求
(1)中标人参与项目的所有人员应严格遵守采购人的保密要求签订保密协议和保密承诺书,并由中标人担保。
(2)中标人对于采购人提供的资料,以及本项目实施过程中所涉及的所有文档、数据、介质和相关信息保密,未经许可,不得以任何形式向第三方传播。保密期限不受本项目期限的限制,在本项目履行完毕后,保密信息接受方仍应承担保密义务。
(3)如因中标人单方面原因造成泄密,采购人将保留追究其法律责任的权利。
八、询价程序
1、申报期限:
截止时间为2025年12月5日9:30(以送达时间为准)。
2、申报材料:
(1)法定代表人身份证明和法定代表人身份证复印件;
(2)营业执照正副本或组织机构代码证复印件;
(3)公司相关资质证书;
(4)报价函原件(格式自拟)。
3、提交材料:申报材料应通过现场递交。询价小组从符合相应资格条件的供应商名单中确定不少于三家的供应商参与询价采购活动。
九、联系方式
采购人:益阳市水利局
通信地址:湖南省益阳市梓山西路173号
联系人:李先生
联系方式:18973750535
监 督 机 构:益阳市水利局
联 系 电 话:0737-4288227
益阳市水利局
2025年12月01日