一、项目编号：N**************** 二、项目名称：****年重要政务信息系统密码应用与安全性评估服务采购项目 三、采购结果 合同包*: 供应商名称 供应商地址 中标（成交）金额 河北翎****** 河北省石家庄市新华区翔翼路*号*层 ***,***.**元 四、主要标的信息 合同包*(****年重要政务信息系统密码应用与安全性评估服务): 服务类（河北翎******） 品目号 品目名称 采购标的 服务范围 服务要求 服务时间 服务标准 金额(元) *-* 测试评估认证服务 密码应用与安全性评估服务 供应商对成都市市场监督管理局**个重要政务信息系统按照密码应用要求开展密码测评工作,依据GB/T *****-****《信息安全技术信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发，围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作，通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距，进行逐项分析、整体分析、量化评估、风险分析，为信息系统的密码应用建设提供工作建议，保障信息系统密码合规、正确、有效地应用。供应商需提供符合相关要求的商用密码应用安全性评估报告，并协助在当地密码管理局备案。 商用密码应用安全性评估过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。 ***.******.***、测评准备活动 根据供应商和采购方签订的委托测评协议书和被测信息系统规模，供应商组建测评项目组，从人员方面做好准备，并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。 ***.******.***、方案编制活动 根据已经了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。 ***.******.***、现场测评活动 ①现场测评准备：召开测评现场首次会，供应商介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排，测评过程中可能存在的安全风险等，以便于后面的测评工作开展。供应商和采购方确认现场测评需要的各种资源，包括采购方的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。采购方签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。 ②测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，供应商和采购方对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由采购方文档资料提供者签字确认。 ***.******.***、分析与报告编制活动 ①在现场测评工作结束后，供应商对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。 ②密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。 自合同签订之日起**日 符合国家、行业相关标准 ***,***.** 五、评审专家（单一来源采购人员）名单： 魏昌华（采购人代表）、沈乐君、游君臣 六、代理服务收费标准及金额： 代理服务费收费标准： 本项目定额计取招标代理服务费（含税）*****元 代理服务费金额： 合同包*： *.**万元。收取对象：中标（成交）供应商。 七、公告期限 自本公告发布之日起*个工作日。 八、其他补充事宜 *、计划备案号: ********************[****]*****; *、财政监督部门:成都市财政局，监督电话: ***-********; *、采购项目需要落实的政府采购政策: 本项目属于专门面向中小企业采购； *、服务要求: *、总体服务内容 *.*、供应商对成都市市场监督管理局**个重要政务信息系统按照密码应用要求开展密码测评工作,依据GB/T *****-****《信息安全技术 信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发，围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作，通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距，进行逐项分析、整体分析、量化评估、风险分析，为信息系统的密码应用建设提供工作建议，保障信息系统密码合规、正确、有效地应用。供应商需提供符合相关要求的商用密码应用安全性评估报告，并协助在当地密码管理局备案。 *、具体服务内容 包含但不限于如下任务要求： *.*、开展密码测评工作，并依据相关文件模板，对**个重要政务信息系统作出具符合国家密码管理局和当地密码管理部门要求的密评报告； *.*、根据测评结果，给出整改意见，指导软件承建单位对被测系统暴露出的密码应用安全问题进行整改； *.*、根据测评需要承办专家评审会； *.*、根据国家密码管理局关于规范商用密码应用安全性评估结果备案工作的通知，协助准备备案资料并完成密评备案工作； *.*、对成都市市场监督管理局安全技术和密码管理人员开展相关培训； *.*、协助成都市市场监督管理局完成与密评相关的其他工作。 *、服务标准： *、评估流程 商用密码应用安全性评估过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。 *.*、测评准备活动 根据供应商和采购方签订的委托测评协议书和被测信息系统规模，供应商组建测评项目组，从人员方面做好准备，并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。 *.*、方案编制活动 根据已经了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。 *.*、现场测评活动 ①现场测评准备：召开测评现场首次会，供应商介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排，测评过程中可能存在的安全风险等，以便于后面的测评工作开展。供应商和采购方确认现场测评需要的各种资源，包括采购方的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。采购方签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。 ②测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，供应商和采购方对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由采购方文档资料提供者签字确认。 *.*、分析与报告编制活动 ①在现场测评工作结束后，供应商对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。 ②密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。 *、密评应用技术要求 *.*、密码测评的目的是通过对成都市市场监督管理局指定的信息系统在密码应用技术要求和密码应用管理要求等方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评,深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为成都市市场监督管理局进一步完善系统安全策略及安全技术防护措施依据。 *.*、依据GB/T *****—****《信息安全技术 信息系统密码应用基本要求》、GM/T ****-****《信息系统密码应用测评要求》、GM/T ****-****《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》等标准和系统自身的安全需求等，对被测系统进行密评工作，密码应用安全性评估的技术服务包括但不限于以下内容: ①通用测评要求：核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。 ②密码应用技术要求测评：具体包括但不限于:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，制定安全验证性测评工作方案，验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。 ③物理和环境安全测评：物理和环境安全主要实现对**个重要政务信息系统所在机房等重要区域的物理防护，物理机房的进出必须严格符合相关规范，并对相关人员进出信息实时记录，防止非法人员采用非法手段进出，如果出现人为物理破坏将造成不可逆的重大损失。针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果应由采购方配合人员确认，标准要求内容： A.宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。 B.宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。 C.宜采用密码技术保证视频监控音像记录数据的存储完整性。 ④网络和通信安全测评：网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护，密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性，以及网络边界访问控制和设备接入控制。 九、凡对本次公告内容提出询问，请按以下方式联系。 *.采购人信息 名称：成都市市场监督管理局 地址：成都市武侯区致民东路*号 联系方式：***-******** *.采购代理机构信息 名称：中成川宇(成都)****** 地址：成都市金牛区金牛万达甲级写字楼B座****、**** 联系方式：***-******** *.项目联系方式 项目联系人：王先生 电话：***-******** 中成川宇(成都)****** ****年**月**日 相关附件： ****年重要政务信息系统密码应用与安全性评估服务采购项目-文件集.zip 包*供应商评审情况表.pdf 合同包*：中小企业声明函（河北翎******）.pdf