南宁市科技馆票务及场馆活动预约系统项目商用密码应用安全性评估、网络安全等级保护测评服务采购询价公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
根据南宁市科技馆票务及场馆活动预约系统项目建设需求我单位拟采购商用密码应用安全性评估、网络安全等级保护测评服务。现公开询价,欢迎符合要求的供应商参与报价,具体事项说明如下:
一、项目名称
南宁市科技馆票务及场馆活动预约系统项目商用密码应用安全性评估、网络安全等级保护测评服务采购。
二、项目内容
(一)总的要求
商用密码应用安全性评估服务总要求:依据《信息安全技术信息系统密码应用基本要求》( GB / T 39786—2021)、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等标准、规范,对南宁市科技馆票务及场馆活动预约系统项目(二级)开展商用密码应用安全性评估。根据实际评估结果,对受测系统进行安全风险分析并给出改进建议,出具密评报告。
网络安全等级保护测评服务总要求:依据《网络安全等级保护基本要求》(GB/T 22239-2019)对南宁市科技馆票务及场馆活动预约系统项目(二级)开展网络安全等级保护测评工作,并给出指导意见,在改进达到等保二级要求后,出具网络安全等级保护测评报告。
(二)评估依据
1.商用密码应用安全性评估主要依据的标准或规范性文件
《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)
《政务信息系统密码应用与安全性评估工作指南》
《信息系统密码应用测评要求》
《信息系统密码应用测评过程指南》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
2.网络安全等级保护测评主要依据的标准或规范性文件
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《网络安全等级保护基本要求》(GB/T 22239-2019)
《网络安全等级保护测评要求》(GB/T 28448-2019)
《网络安全等级保护测评过程指南》(GB/T 28449-2018)
《网络安全等级保护设计技术要求》(GB/T 25070-2019)
《网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
3.参考标准及规范
评估过程中其它参考性标准或规范性文件:
GM / T 0024—2014 SSL VPN 技术规范
GM / T 0029—2014签名验签服务器技术规范
(三)商用密码安全性评估原则
本次密评工作中严格遵循以下原则
1.客观公正原则:密评人员在最小主观判断情况下,按照双方认可的密评方案,基于明确定义的评估方式和解释实施密评活动。
2.经济及重用性原则:密评工作可重用包括商用密码安全产品评估结果和信息系统密码评估结果在内的已有评估结果。重用结果应适用于受测系统,并且能够反应出当前系统的安全状态。
3.可重复、可再现性原则:任何密评人员,依照同样的要求,使用同样的评估方法,对每个密评实施过程的重复执行均应得到相同的密评结果。
4.规范性原则:项目实施过程中,在人员、质量和时间进度等方面进行严格管控,在保证测试质量的前提下,按计划进度执行。评估工具、方法和过程要在双方认可的范围之内合法进行。
5.完整性原则:密评过程中,确保密评数据、过程记录的完整性。
6.最小影响原则:应充分考虑密评活动对受测系统的影响,采取必要的措施,避免影响受测系统正常运行。
7.保密原则:应确保密评项目涉及的所有信息,不会泄露给第三方单位或个人,不擅自利用这些信息。
(四)商用密码应用安全性评估内容
商用密码应用安全性评估要求依据国家有关最新标准和规范对包括(但不限于)物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等方面进行评估。
1.物理和环境安全包括身份鉴别、电子门禁记录数据完整性、视频记录数据完整性、密码服务、密码产品等评估项。
2.网络和通信安全包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证、密码服务、密码产品等评估项。
3.设备和计算安全包括身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序来源真实性、密码服务、密码产品等评估项。
4.应用和数据安全包括身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性、密码服务、密码产品等评估项。
5.管理制度包括具备密码应用安全管理制度、密钥管理规制、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存等评估项。
6.人员管理包括了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度等评估项。
7.建设运行包括制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习等评估项。
8.应急处置包括应急策略、事件处置、向有关主管部门上报处置情况等评估项。
(五)网络安全等级保护测评内容及测评方法
1.安全通用要求
安全通用要求测评内容应包括安全技术和安全管理两大类。技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评。安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。
2.安全扩展要求
本项目涉及等级保护对象涉及测评标准安全扩展要求(云计算、移动互联网、物联网、大数据、工业控制)方面内容的,投标人应该满足对被测评系统两个或以上网络环境的测评,需根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。
3.测评方法
在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;
检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;
测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;
渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
(六)服务成果
1.商用密码应用安全性评估服务
完成被评估系统的商用密码应用方案评估并出具商用密码应用方案评估报告;完成系统密码应用建设后开展商用密码应用安全性评估工作并出具商用密码应用安全性评估报告。报告按照国家密码管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。协助采购单位完成评估结果的备案工作。
2.网络安全等级保护测评服务
测评完成后,并提出相关改进意见,在改进达到等保二级要求后,对南宁市科技馆票务及场馆活动预约系统出具符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
三、项目预算
项目总预算为人民币柒万元整(¥70000.00)。
四、项目服务时间
自签订合同之日起7个工作日内供应商进场提供服务;在系统商用密码应用方案编制完成后,15个工作日内出具商用密码应用方案评估报告;在完成系统商用密码应用建设后,35个工作日内出具网络安全等级保护测评报告、商用密码应用安全性评估报告。
五、项目服务供应商资格要求
(一)必须是已在中国境内依法登记注册的报价人,并且其所持有由工商行政管理部门所核发的营业执照或单位法人证书上载明的营业期限剩余时间应当不少于本次采购的相关合同基本义务履行所需期限,或已经提供相关证明材料能够证明具有履约能力。否则,采购人有权拒绝其报价。
(二)应遵守有关的国家法律、法规和条例,具备《中华人民共和国政府采购法》《中华人民共和国政府采购实施条例》和本文件中规定的条件。
(三)供应商须具备公安部第三研究所认证发放的《网络安全等级评测与检测评估机构服务认证证书》。
(四)供应商必须在国家密码管理局公告(第42号)的商用密码应用安全性评估试点机构目录中或提供“可在本地区、本行业(领域)开展密码应用安全性评估业资质的密评机构名单”的相关证明材料,提供证书或证明复印件并加盖公章。
(五)具有履行合同所必需的专业人员和设备。
(六)该项目专门面向中小微企业。
六、编制报价文件要求
(一)报价文件一式三份,封面须加盖单位公章,并在外包装上注明单位名称、联系人及联系方式后密封送达。
(二)报价供应商应认真阅读询价文件中所有事项格式、条款等。报价供应商没有按照询价文件要求提交全部资料,或者没有对询价文件各个方面做出实质性响应,导致报价被拒绝的风险由报价供应商自行承担。
(三)报价供应商应保证所提供文件资料的真实性,所有文件资料必须是针对本次询价的。如发现报价供应商提供了虚假文件资料,其报价将被拒绝,并自行承担相应的法律责任。
(四)投标报价为供应商提供的所有服务的报价,需报出项目整体服务总价和单价;报价中漏报、少报的费用,视为此项费用已包含在报价文件中,不得再向采购人收取任何费用。(报价包括项目整体服务的价格)
(五)项目方案须满足馆方需求且不得超过预算总费用,否则按无效报价处理,不推荐为供应商候选人。
七、报价文件构成清单
(一)报价一览表(盖章)。
(二)项目方案、售后服务承诺书、保密承诺等材料。
(三)资格证明文件:报价供应商有效营业执照副本(复印件盖章);法人身份证复印件(盖章);项目负责人身份证复印件(盖章);中小微企业证明文件或声明函(盖章);供应商必须在国家密码管理局公告(第42号)的商用密码应用安全性评估试点机构目录中或提供“可在本地区、本行业(领域)开展密码应用安全性评估业资质的密评机构名单”的相关证明材料,提供证书或证明复印件并加盖公章;公安部第三研究所认证发放的《网络安全等级评测与检测评估机构服务认证证书》或证书复印件并加盖公章;其他证明文件(如有,须盖章)。
(四)报价供应商近三年相关项目的业绩证明材料(合同或中标通知书)。
(五)报价供应商认为可以展示自身技术能力或服务水平的相关资料,如报价服务商有效的企业资质证书、取得的主要经营业绩及相关荣誉,以及其他文件和技术资料。
以上所需各种证书、证件、证明、执照若系复印件,须在复印件上加盖有效公章。
八、响应文件递交时间及地点
(一)时间:2024年3月18日至2024年3月22日17时。现场递交响应文件的以递交时间为准,邮寄递交响应文件的,以寄出邮戳时间为准(EMS)。
(二)系统项目具体情况可到现场咨询。
咨询时间:2024年3月18日至2024年3月21日。
(三)地点:南宁市青秀区铜鼓岭路10号南宁市科技馆C馆605室,联系人:蒲工(0771-5579108)。
九、其他要求
(一)供应商应当保证其所提供服务符合国家法律法规要求。
(二)供应商经营范围应当涵盖本项目的所有服务,不允许转包分包。
南宁市科技馆
2024年3月18日
一、项目名称
南宁市科技馆票务及场馆活动预约系统项目商用密码应用安全性评估、网络安全等级保护测评服务采购。
二、项目内容
(一)总的要求
商用密码应用安全性评估服务总要求:依据《信息安全技术信息系统密码应用基本要求》( GB / T 39786—2021)、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等标准、规范,对南宁市科技馆票务及场馆活动预约系统项目(二级)开展商用密码应用安全性评估。根据实际评估结果,对受测系统进行安全风险分析并给出改进建议,出具密评报告。
网络安全等级保护测评服务总要求:依据《网络安全等级保护基本要求》(GB/T 22239-2019)对南宁市科技馆票务及场馆活动预约系统项目(二级)开展网络安全等级保护测评工作,并给出指导意见,在改进达到等保二级要求后,出具网络安全等级保护测评报告。
(二)评估依据
1.商用密码应用安全性评估主要依据的标准或规范性文件
《信息安全技术 信息系统密码应用基本要求》(GB/T 39786—2021)
《政务信息系统密码应用与安全性评估工作指南》
《信息系统密码应用测评要求》
《信息系统密码应用测评过程指南》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
2.网络安全等级保护测评主要依据的标准或规范性文件
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《网络安全等级保护基本要求》(GB/T 22239-2019)
《网络安全等级保护测评要求》(GB/T 28448-2019)
《网络安全等级保护测评过程指南》(GB/T 28449-2018)
《网络安全等级保护设计技术要求》(GB/T 25070-2019)
《网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
3.参考标准及规范
评估过程中其它参考性标准或规范性文件:
GM / T 0024—2014 SSL VPN 技术规范
GM / T 0029—2014签名验签服务器技术规范
(三)商用密码安全性评估原则
本次密评工作中严格遵循以下原则
1.客观公正原则:密评人员在最小主观判断情况下,按照双方认可的密评方案,基于明确定义的评估方式和解释实施密评活动。
2.经济及重用性原则:密评工作可重用包括商用密码安全产品评估结果和信息系统密码评估结果在内的已有评估结果。重用结果应适用于受测系统,并且能够反应出当前系统的安全状态。
3.可重复、可再现性原则:任何密评人员,依照同样的要求,使用同样的评估方法,对每个密评实施过程的重复执行均应得到相同的密评结果。
4.规范性原则:项目实施过程中,在人员、质量和时间进度等方面进行严格管控,在保证测试质量的前提下,按计划进度执行。评估工具、方法和过程要在双方认可的范围之内合法进行。
5.完整性原则:密评过程中,确保密评数据、过程记录的完整性。
6.最小影响原则:应充分考虑密评活动对受测系统的影响,采取必要的措施,避免影响受测系统正常运行。
7.保密原则:应确保密评项目涉及的所有信息,不会泄露给第三方单位或个人,不擅自利用这些信息。
(四)商用密码应用安全性评估内容
商用密码应用安全性评估要求依据国家有关最新标准和规范对包括(但不限于)物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等方面进行评估。
1.物理和环境安全包括身份鉴别、电子门禁记录数据完整性、视频记录数据完整性、密码服务、密码产品等评估项。
2.网络和通信安全包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证、密码服务、密码产品等评估项。
3.设备和计算安全包括身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序来源真实性、密码服务、密码产品等评估项。
4.应用和数据安全包括身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性、密码服务、密码产品等评估项。
5.管理制度包括具备密码应用安全管理制度、密钥管理规制、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存等评估项。
6.人员管理包括了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度等评估项。
7.建设运行包括制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习等评估项。
8.应急处置包括应急策略、事件处置、向有关主管部门上报处置情况等评估项。
(五)网络安全等级保护测评内容及测评方法
1.安全通用要求
安全通用要求测评内容应包括安全技术和安全管理两大类。技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评。安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。
2.安全扩展要求
本项目涉及等级保护对象涉及测评标准安全扩展要求(云计算、移动互联网、物联网、大数据、工业控制)方面内容的,投标人应该满足对被测评系统两个或以上网络环境的测评,需根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。
3.测评方法
在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。
访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;
检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程;
测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;
渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。
(六)服务成果
1.商用密码应用安全性评估服务
完成被评估系统的商用密码应用方案评估并出具商用密码应用方案评估报告;完成系统密码应用建设后开展商用密码应用安全性评估工作并出具商用密码应用安全性评估报告。报告按照国家密码管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。协助采购单位完成评估结果的备案工作。
2.网络安全等级保护测评服务
测评完成后,并提出相关改进意见,在改进达到等保二级要求后,对南宁市科技馆票务及场馆活动预约系统出具符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
三、项目预算
项目总预算为人民币柒万元整(¥70000.00)。
四、项目服务时间
自签订合同之日起7个工作日内供应商进场提供服务;在系统商用密码应用方案编制完成后,15个工作日内出具商用密码应用方案评估报告;在完成系统商用密码应用建设后,35个工作日内出具网络安全等级保护测评报告、商用密码应用安全性评估报告。
五、项目服务供应商资格要求
(一)必须是已在中国境内依法登记注册的报价人,并且其所持有由工商行政管理部门所核发的营业执照或单位法人证书上载明的营业期限剩余时间应当不少于本次采购的相关合同基本义务履行所需期限,或已经提供相关证明材料能够证明具有履约能力。否则,采购人有权拒绝其报价。
(二)应遵守有关的国家法律、法规和条例,具备《中华人民共和国政府采购法》《中华人民共和国政府采购实施条例》和本文件中规定的条件。
(三)供应商须具备公安部第三研究所认证发放的《网络安全等级评测与检测评估机构服务认证证书》。
(四)供应商必须在国家密码管理局公告(第42号)的商用密码应用安全性评估试点机构目录中或提供“可在本地区、本行业(领域)开展密码应用安全性评估业资质的密评机构名单”的相关证明材料,提供证书或证明复印件并加盖公章。
(五)具有履行合同所必需的专业人员和设备。
(六)该项目专门面向中小微企业。
六、编制报价文件要求
(一)报价文件一式三份,封面须加盖单位公章,并在外包装上注明单位名称、联系人及联系方式后密封送达。
(二)报价供应商应认真阅读询价文件中所有事项格式、条款等。报价供应商没有按照询价文件要求提交全部资料,或者没有对询价文件各个方面做出实质性响应,导致报价被拒绝的风险由报价供应商自行承担。
(三)报价供应商应保证所提供文件资料的真实性,所有文件资料必须是针对本次询价的。如发现报价供应商提供了虚假文件资料,其报价将被拒绝,并自行承担相应的法律责任。
(四)投标报价为供应商提供的所有服务的报价,需报出项目整体服务总价和单价;报价中漏报、少报的费用,视为此项费用已包含在报价文件中,不得再向采购人收取任何费用。(报价包括项目整体服务的价格)
(五)项目方案须满足馆方需求且不得超过预算总费用,否则按无效报价处理,不推荐为供应商候选人。
七、报价文件构成清单
(一)报价一览表(盖章)。
(二)项目方案、售后服务承诺书、保密承诺等材料。
(三)资格证明文件:报价供应商有效营业执照副本(复印件盖章);法人身份证复印件(盖章);项目负责人身份证复印件(盖章);中小微企业证明文件或声明函(盖章);供应商必须在国家密码管理局公告(第42号)的商用密码应用安全性评估试点机构目录中或提供“可在本地区、本行业(领域)开展密码应用安全性评估业资质的密评机构名单”的相关证明材料,提供证书或证明复印件并加盖公章;公安部第三研究所认证发放的《网络安全等级评测与检测评估机构服务认证证书》或证书复印件并加盖公章;其他证明文件(如有,须盖章)。
(四)报价供应商近三年相关项目的业绩证明材料(合同或中标通知书)。
(五)报价供应商认为可以展示自身技术能力或服务水平的相关资料,如报价服务商有效的企业资质证书、取得的主要经营业绩及相关荣誉,以及其他文件和技术资料。
以上所需各种证书、证件、证明、执照若系复印件,须在复印件上加盖有效公章。
八、响应文件递交时间及地点
(一)时间:2024年3月18日至2024年3月22日17时。现场递交响应文件的以递交时间为准,邮寄递交响应文件的,以寄出邮戳时间为准(EMS)。
(二)系统项目具体情况可到现场咨询。
咨询时间:2024年3月18日至2024年3月21日。
(三)地点:南宁市青秀区铜鼓岭路10号南宁市科技馆C馆605室,联系人:蒲工(0771-5579108)。
九、其他要求
(一)供应商应当保证其所提供服务符合国家法律法规要求。
(二)供应商经营范围应当涵盖本项目的所有服务,不允许转包分包。
南宁市科技馆
2024年3月18日
微信扫码关注
