（辽宁省公安厅沈抚改革创新示范区公安局密码安全性评估服务）招标公告
项目概况
辽宁省公安厅沈抚改革创新示范区公安局密码安全性评估服务招标项目的潜在供应商应在线上获取招标文件,并于2023年03月31日 09时30分（北京时间）前递交投标文件。
一、项目基本情况
项目编号：JH23-211500-00002
项目名称：辽宁省公安厅沈抚改革创新示范区公安局密码安全性评估服务
包组编号：001
预算金额（元）：3,600,000.00
最高限价（元）：3,600,000
采购需求：查看
沈抚改革创新示范区在2023年度需要对示范区17个部门48个信息系统开展商用密码应用安全性评估工作，受管委会委托，由沈抚示范区公安局负责组织招标，委托商用密码应用安全性评估服务第三方机构，开展商用密码应用安全性评估工作，确保测评、评定标准统一，保障工作实效。
一、项目建设依据
自2020年1月起，国家陆续出台《中华人民共和国密码法》、《数据安全法》、《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）等一系列法律法规，旨在加强针对国家关键信息基础设施保障力度，督促政府机关、企事业单位等机构部门提升信息安全保护意识。
《中华人民共和国密码法》2020年1月1日正式实施，其中第二十七条规定，法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。
商用密码管理条例征求意见稿，第三十八条规定，非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，其运营者应当使用商用密码保护进行保护，指定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检查机构开展商用密码应用安全性评估。前款所列网络云信息系统通过商用密码应用安全性评估方可投入运行，运行后每年至少进行一次评估，评估情况报送所在地设区的的市级密码管理部门备案。
为积极响应国家大力推进信息化网络安全工作的号召，结合当前严峻的网络安全态势，沈抚改革创新示范区的重要信息系统需要开展商用密码应用安全性评估工作，旨在使相应系统满足国家商用密码相关要求，进而满足《中华人民共和国密码法》中对商用密码应用安全性评估工作的要求。
重要信息系统需把控网络安全等级保护工作，根据信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）、《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）等国家标准确保系统建成或升级改造后通过商用密码应用安全性评估，满足国家商用密码应用安全性评估工作要求。
二、项目实施依据
1)  《中华人民共和国密码法》；
2)  《中华人民共和国网络安全法》；
3)  GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》；
4)  GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》；
5)  《商用密码应用安全性评估管理办法》（试行）；
6)  GB/T 25070-2019《网络安全等级保护设计技术要求》
7)  辽密局【2022】15号文件
三、 进度计划
本项目计划2023年12月31日结束。
自项目开始至2023年9月30日，根据了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。
2023年4月1日至2023年4月30日，召开测评现场首次会，密评机构介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排，测评过程中可能存在的安全风险等，以便于后面的测评工作开展。测评双方确认现场测评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。被测单位签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新；测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者签字确认。
2023年12月31日前完成48个系统的最终测评，在现场测评工作结束后，密评机构对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。
密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论，并出具商用密码应用安全性评估报告。
四、 服务内容
要求服务单位按《中华人民共和国密码法》、《中华人民共和国网络安全法》、GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》、《商用密码应用安全性评估管理办法》（试行）、GB/T 25070-2019《网络安全等级保护设计技术要求》等（如在服务期内，国家相关部门出台最新政策，以最新政策为测评标准）相关法律法规和国家标准要求，对示范区的关键基础设施、重要应用、网络系统、安全可靠应用系统进行等级保护测评，并出具商用密码应用安全性评估报告。共分以下四个阶段：
1）测评准备阶段
根据测评双方签订的委托测评协议书和被测信息系统规模，密评机构组建测评项目组，从人员方面做好准备，并编制项目计划书。密评机构通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。
2）方案编制阶段
根据已经了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。
3）现场测评阶段
现场测评准备：召开测评现场首次会，密评机构介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排，测评过程中可能存在的安全风险等，以便于后面的测评工作开展。测评双方确认现场测评需要的各种资源，包括被测单位的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。被测单位签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新；测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，测评双方对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由被测单位文档资料提供者签字确认。
4）分析与报告编制阶段
在现场测评工作结束后，密评机构对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。
密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。
五、 技术要求
服务单位需依据现行有效的国家标准、行业标准，遵照等级保护相关规范，完成48个系统的测评工作。
针对三级系统的基本测评内容如下：
根据被测信息系统密码应用安全要求等级，选择GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》中对应级别的安全要求作为本次测评工作的基本指标，以表格形式在下表中列出。

测评指标			测评指标描述	应用要求
技术 要求	物理和环境安全	身份鉴别	8.1 a）宜采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性；	宜
		电子门禁记录数据存储完整性	8.1 b）宜采用密码技术保证电子门禁系统进出记录数据的存储完整性；	宜
		视频监控记录数据存储完整性	8.1 c）宜采用密码技术保证视频监控音像记录数据的存储完整性。	宜
	网络和通信安全	身份鉴别	8.2 a）应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；	应
		通信数据完整性	8.2 b）宜采用密码技术保证通信过程中数据的完整性；	宜
		通信过程中重要数据的机密性	8.2 c）应采用密码技术保证通信过程中重要数据的机密性；	应
		网络边界访问控制信息的完整性	8.2 d）宜采用密码技术保证网络边界访问控制信息的完整性；	宜
		安全接入认证	8.2 e）可采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入的设备身份真实性。	可
	设备和计算安全	身份鉴别	8.3 a）应采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性；	应
		远程管理通道安全	8.3 b）远程管理设备时，应采用密码技术建立安全的信息传输通道；	应
		系统资源访问控制信息完整性	8.3 c）宜采用密码技术保证系统资源访问控制信息的完整性；	宜
		重要信息资源安全标记完整性	8.3 d）宜采用密码技术保证设备中的重要信息资源安全标记的完整性；	宜
		日志记录完整性	8.3 e）宜采用密码技术保证日志记录的完整性；	宜
		重要可执行程序完整性、重要可执行程序来源真实性	8.3 f）宜采用密码技术对重要可执行程序进行完整性保护，并对其来源进行真实性验证。	宜
	应用和数据安全	身份鉴别	8.4 a）应采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性；	应
		访问控制信息完整性	8.4 b）宜采用密码技术保证信息系统应用的访问控制信息的完整性；	宜
		重要信息资源安全标记完整性	8.4 c）宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性；	宜
		重要数据传输机密性	8.4 d）应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性；	应
		重要数据存储机密性	8.4 e）应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性；	应
		重要数据传输完整性	8.4 f）宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性；	宜
		重要数据存储完整性	8.4 g）宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性；	宜
		不可否认性	8.4 h）在可能涉及法律责任认定的应用中，宜采用密码技术提供数据原发证据和数据接收证据，实现数据原发行为的不可否认性和数据接收行为的不可否认性。	宜
管理 要求	管理 制度	具备密码应用安全管理制度	8.5 a）应具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度；	应
		密钥管理规则	8.5 b）应根据密码应用方案建立相应密钥管理规则；	应
		建立操作规程	8.5 c）应对管理人员或操作人员执行的日常管理操作建立操作规程；	应
		定期修订安全管理制度	8.5 d）应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定，对存在不足或需要改进之处进行修订；	应
		明确管理制度发布流程	8.5 e）应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制；	应
		制度执行过程记录留存	8.5 f）应具有密码应用操作规程的相关执行记录并妥善保存。	应
	人员 管理	了解并遵守密码相关法律法规 和密码管理制度	8.6 a）相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度；	应
		建立密码应用岗位责任制度	8.6 b）应建立密码应用岗位责任制度，明确各岗位在安全系统中的职责和权限： 1）根据密码应用的实际情况，设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位； 2）对关键岗位建立多人共管机制； 3）密钥管理、密码安全审计、密码操作人员职责互相制约互相监督，其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任； 4）相关设备与系统的管理和使用账号不得多人共用。	应
		建立上岗人员培训制度	8.6 c）应建立上岗人员培训制度，对于涉及密码的操作和管理的人员进行专门培训，确保其具备岗位所需专业技能；	应
		定期进行安全岗位人员考核	8.6 d）应定期对密码应用安全岗位人员进行考核；	应
		建立关键岗位人员保密制度和调离制度	8.6 e）应建立关键人员保密制度和调离制度，签订保密合同，承担保密义务。	应
	建设 运行	制定密码应用方案	8.7 a）应依据密码相关标准和密码应用需求，制定密码应用方案；	应
		制定密钥安全管理策略	8.7 b）应根据密码应用方案，确定系统涉及的密钥种类、体系及其生命周期环节，各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录B；	应
		制定实施方案	8.7 c）应按照应用方案实施建设；	应
		投入运行前进行密码应用安全性评估	8.7 d）投入运行前应进行密码应用安全性评估，评估通过后系统方可正式运行；	应
		定期开展密码应用安全性评估及攻防对抗演习	8.7 e）在运行过程中，应严格执行既定的密码应用安全管理制度，应定期开展密码应用安全性评估及攻防对抗演习，并根据评估结果进行整改。	应
	应急 处置	应急策略	8.8 a）应制定密码应用应急策略，做好应急资源准备，当密码应用安全事件发生时，应立即启动应急处置措施，结合实际情况及时处置；	应
		事件处置	8.8 b）事件发生后，应及时向信息系统主管部门进行报告；	应
		向有关主管部门上报处置情况	8.8 c）事件处置完成后，应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。	应
测评指标合计		41项

 
针对二级系统的基本测评内容如下：
根据被测信息系统密码应用安全要求等级，选择GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》中对应级别的安全要求作为本次测评工作的基本指标，选择以下27项标准中的安全要求作为等级测评的基本指标，以表格形式在下表中列出。

测评指标			测评指标描述	应用要求
技术要求	物理和环境安全	身份鉴别	7.1 a）宜采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性；	宜
		电子门禁记录数据存储完整性	7.1 b）可采用密码技术保证电子门禁系统进出记录数据的存储完整性；	可
	网络和通信安全	身份鉴别	7.2 a）宜采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性；	宜
		通信数据完整性	7.2 b)可采用密码技术保证通信过程中数据的完整性；	可
		通信过程中重要数据的机密性	7.2 c) 宜采用密码技术保证通信过程中重要数据的机密性；	宜
		网络边界访问控制信息的完整性	7.2 d)可采用密码技术保证网络边界访问控制信息的完整性；	可
	设备和计算安全	身份鉴别	7.3 a)宜采用密码技术对登录设备的用户进行身份鉴别，保证用户身份的真实性；	宜
		系统资源访问控制信息完整性	7.3 b)可采用密码技术保证系统资源访问控制信息的完整性；	可
		日志记录完整性	7.3 c)可采用密码技术保证日志记录的完整性；	可
	应用和数据安全	身份鉴别	7.4 a)宜采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性；	宜
		访问控制信息完整性	7.4 b)可采用密码技术保证信息系统应用的访问控制信息的完整性；	可
		重要数据传输机密性	7.4 c)宜采用密码技术保证信息系统应用的重要数据在传输过程中的机密性；	宜
		重要数据存储机密性	7.4 d)宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性；	宜
		重要数据传输完整性	7.4 e)宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性；	宜
		重要数据存储完整性	7.4 f)宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性；	宜
管理要求	管理制度	具备密码应用安全管理制度	7.5 a）应具备密码应用安全管理制度，包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度；	应
		密钥管理规则	7.5 b）应根据密码应用方案建立相应密钥管理规则；	应
		建立操作规程	7.5 c）应对管理人员或操作人员执行的日常管理操作建立操作规程；	应
	人员管理	了解并遵守密码相关法律法规 和密码管理制度	7.6 a）相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度；	应
		建立密码应用岗位责任制度	7.6 b)应建立密码应用岗位责任制度，明确各岗位在安全系统中的职责和权限： 1) 根据密码应用的实际情况，设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位； 2) 对关键岗位建立多人共管机制； 3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督，其中密钥管理员岗位不可与密码审计员、密码操作员等关键安全岗位兼任； 4) 相关设备与系统的管理和使用账号不得多人共用。	应
		建立上岗人员培训制度	7.6 c) 应建立上岗人员培训制度，对于涉及密码的操作和管理的人员进行专门培训，确保其具备岗位所需专业技能；	应
		建立关键岗位人员保密制度和调离制度	7.6 d)应建立关键人员保密制度和调离制度，签订保密合同，承担保密义务。	应
	建设运行	制定密码应用方案	7.7 a）应依据密码相关标准和密码应用需求，制定密码应用方案；	应
		制定密钥安全管理策略	7.7 b）应根据密码应用方案，确定系统涉及的密钥种类、体系及其生命周期环节，各环节安全管理要求参照《信息安全技术 信息系统密码应用基本要求》附录B；	应
		制定实施方案	7.7 c）应按照应用方案实施建设；	应
		投入运行前进行密码应用安全性评估	7.7 d）投入运行前宜进行密码应用安全性评估，评估通过后系统方可正式运行；	宜
	应急处置	应急策略	7.8 a）应制定密码应用应急策略，做好应急资源准备，当密码应用安全事件发生时，应立即启动应急处置措施，结合实际情况及时处置；	应
测评指标合计		27项

　 　 　 　
合同履行期限：合同签订之日起至出具《商用密码应用安全性评估报告》之日止
需落实的政府采购政策内容：促进中小企业、促进残疾人就业、支持监狱企业、支持脱贫攻坚等政府采购相关政策；
本项目（是/否）接受联合体投标：否
二、供应商的资格要求
1.满足《中华人民共和国政府采购法》第二十二条规定。
2.落实政府采购政策需满足的资格要求：（1）对于中小微企业（含监狱企业）的相关规定；（2）对于促进残疾人就业政府采购政策的相关规定等。
3.本项目的特定资格要求：投标人须在《商用密码应用安全性评估试点机构目录》里内
三、政府采购供应商入库须知
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的，请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定，及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息，由系统自动开通账号后，即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》（辽财采函〔2020〕198号）。
四、获取招标文件
时间：2023年03月10日 16时30分至2023年03月17日 17时00分（北京时间，法定节假日除外）
地点：线上获取
方式：线上
售价：免费
五、提交投标文件截止时间、开标时间和地点
2023年03月31日 09时30分（北京时间）
地点：电子投标文件递交至辽宁政府采购网，备份投标文件递交至沈抚改革创新示范区公共资源交易中心一楼开标室（沈抚新示范区金风街建科大厦）
六、公告期限
自本公告发布之日起5个工作日。
七、质疑与投诉
供应商认为自己的权益受到损害的，可以在知道或者应知其权益受到损害之日起七个工作日内，向采购代理机构或采购人提出质疑。
1、接收质疑函方式：线上或书面纸质质疑函
2、质疑函内容、格式：应符合《政府采购质疑和投诉办法》相关规定和财政部制定的《政府采购质疑函范本》格式，详见辽宁政府采购网。
质疑供应商对采购人、采购代理机构的答复不满意，或者采购人、采购代理机构未在规定时间内作出答复的，可以在答复期满后15个工作日内向本级财政部门提起投诉。
八、其他补充事宜
1.参加辽宁省政府采购活动的供应商，请详阅辽宁政府采购网“首页-办事指南”中公布的“辽宁政府采购网关于办理CA数字证书的操作手册”和“辽宁政府采购网新版系统供应商操作手册”，具体规定详见《关于启用政府采购数字认证和电子招投标业务有关事宜的通知》（辽财采〔2020〕298号）、《关于完善政府采购电子评审业务流程等有关事宜的通知》（辽财采函〔2021〕363 号）。请按照相关规定，及时办理相关手续，因未办理相关手续造成的所有后果，由供应商自行承担。
2.响应文件递交方式为线上递交，开标现场需同时递交一份与线上递交的电子文件内容及格式保持一致的备份投标文件（密封递交），以备系统突发故障使用，备份投标文件以U盘、移动硬盘等可加密的形式密封递交。
3.开标现场供应商可选择远程电子解密或供应商授权代表自行准备电子设备现场进行解密。
4.各供应商于递交文件截止时自行解密（解密时间不超过60分钟），如未进行解密将视为无效投标（响应）。
5.如因供应商自身原因导致未成功递交线上电子投标文件或开标现场无法成功解密线上电子投标文件的按照无效投标（响应）。
6.在电子化开评标过程中出现的其他特殊情况及其他未尽事宜，按财政厅最新文件执行。
注：供应商在投标（响应）的全过程中要随时关注辽宁政府采购网，及时获取相关信息，否则由此造成的一切后果，由供应商自行承担。
九、对本次招标提出询问，请按以下方式联系
1.采购人信息
名  称： 辽宁省公安厅沈抚改革创新示范区公安局
地  址： 沈阳市浑南区金枫街75-1号
联系方式： 免费注册即可查看
2.采购代理机构信息：
名  称： 辽宁市场资源要素交易有限公司
地  址： 沈抚改革创新示范区金风街建科大厦
联系方式： 免费注册即可查看
邮箱地址： sczyysgs@163.com
开户行： 盛京银行股份有限公司沈阳沈抚示范区支行
账户名称： 辽宁市场资源要素交易有限公司
账号： 0338210102000017545
3.项目联系方式
项目联系人： 免费注册即可查看
电  话： 免费注册即可查看
评分办法:综合评分法 关联计划 附件：