中标
滨州市公共资源交易中心政务信息系统软件测试服务项目
金额
-
项目地址
山东省
发布时间
2023/03/22
公告摘要
项目编号sdgp371600202308000831
预算金额10万元
招标公司滨州市公共资源交易中心
招标联系人李凤军
中标公司天行健信息安全技术有限公司
中标联系人-
中标公司成都创信华通信息技术有限公司
中标联系人-
中标公司北方实验室(沈阳)股份有限公司
中标联系人-
中标公司中互金认证有限公司
中标联系人-
中标公司道普信息技术有限公司
中标联系人-
中标公司北京卓识网安技术股份有限公司
中标联系人-
公告正文
项目信息
需求信息
成交供应商
供应商报价详情
系统内置意见
最低价成交。
| 项目名称 | 滨州市公共资源交易中心政务信息系统软件测试服务项目 | 项目编号 | SDGP371600202308000831 |
| 计划编号 | Z37160020230320044839 | 是否拆包 | 是 |
| 包号 | A1 | 预算总金额(元) | 100000.00 |
| 联系人 | 李凤军 | 联系电话 | |
| 服务方式 | 按项目 | ||
| 服务地址 | 山东省滨州市滨城区黄河八路355号 | ||
| 付款条款 | 合同生效之日起10个工作日内甲方向乙方支付合同金额的20%;乙方提供服务后,经双方验收合格之日起10个工作日内甲方向乙方支付合同金额的 80 % | ||
| 采购方式 | 定点竞价 | ||
需求信息
| 序号: 1 | 品目: 政务信息系统软件测试服务 |
| 基本服务要求: 1.测试工作要求 投标人应依据项目委托合同、国家相关标准和规定、项目建设需求,协助建设单位全面地进行项目管理和技术监督,对软件系统的功能性、性能效率、安全性、易用性、可靠性、可维护性等质量的诸多因素进行检查、核验,对差异提出调整措施,当出现项目偏差及时予以调整;运用专业的信息化管理手段对信息系统建设进行软件测试管理,并采取相应的管理措施,确保软件建设质量,并达到建设合同规定的目标。信息工程项目软件测试服务商应通过专业的信息化项目安全管理经验及方法,为信息化项目提供便捷、高效、优质的软件测试服务,提高信息化项目的建设质量,并为信息化项目验收提供依据,保证项目按质保量建设完成。 2.安全保密要求 投标人须对工程技术文件以及由建设单位提供的所有内部资料、技术文档和信息予以保密。未经建设单位书面许可,投标人不得以任何形式向第三方透露本项目的任何内容。 3.文档交付要求 投标人应按照GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》输出相应的软件测试文档和过程记录文件。 4.测试实施方案要求(其中标*内容为必须项) 投标人须提交测试实施方案。测试实施方案应包含但不限于以下内容:*(1)本项目测试业务需求分析;*(2) 项目测试工作依据;* (3)项目测试范围;* (4) 项目测试内容;*(5)项目测试方法;(6)测试实施设备及工具;* (7)项目实施计划及进度流程;* (8)项目团队过程及人员安排;(9)确保项目质量的技术、组织保障措施。 5.测试服务工期要求 软件评测项目要求在软件系统开发完毕后按照服务周期约定的时间内完成。 6.测试服务的验收要求 投标人协助业主单位进行验收工作,促使信息系统工程项目最终的功能和性能等指标符合承建合同、法律、法规和标准的要求。投标人提供的测试服务应达到建设单位要求及以下主要标准及规范要求: (1)《GB/T 25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第 51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》 (2)《GB/T 25000.10-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第 10部分:系统与软件质量模型》 (3)《GB/T 18905:2002软件工程产品评价》 (4)《GB/T 8567-2006计算机软件文档编制规范》 (5)《GB/T 11457-2006信息技术软件工程术语》 (6)《GB/T 8567-2006计算机软件文档编制规范》 (7)《GB/T 11457-2006信息技术软件工程术语》 (8)软件需求规格说明书、设计文档等软件开发过程中所涉及的技术文档 | |
| 项目服务要求: 一、项目概述 滨州市公共资源交易平台(等级保护第三级)作为我中心重要信息系统,需要进行国产密码应用、改造工作,满足国家相关政策和标准要求。根据“同步规划、同步建设、同步运行”的原则,需对管理、运营、使用的信息系统进行商用密码应用安全评估。经研究,我中心拟通过购买测评服务方式对其开展密码应用安全性评估,宣传普及密码应用政策要求,掌握信息系统密码应用情况,分析研究、归纳梳理、发现密码应用存在的问题,提出下一步整改举措,对系统整改,实现国产密码应用,保障公共资源交易信息安全。 二、总体要求 滨州市公共资源交易平台的评估过程应严格按照《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)、《信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《商用密码应用安全性评估测评作业指导书》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》及相关国家标准和密码行业标准开展商用密码应用安全性评估,查找系统密码应用的薄弱环节和安全隐患,规范密码应用,综合评估密码应用风险,分析面临的风险,形成科学规范的评估报告,高质量完成平台各系统的密码应用安全性评估工作,切实提高新形势下重要信息系统密码应用保障能力。 三、服务目标 按照国家密码管理部门和主管部门对密码应用的相关标准和要求,对滨州市公共资源交易平台进行密码应用安全性评估,发现密码应用的薄弱环节和风险,提出完善、可行的整改建议(差距报告),并出具商用密码应用安全性评估报告。 四、项目要求 1.评估及整改对象 根据相关法律法规,对表中项目进行商用密码应用安全性评估及整改。 序号 平台名称 等级要求 备注 1 滨州市公共资源交易平台 三级2.服务内容 被评估对象的商用密码应用安全性评估服务内容如下: 2.1密码应用通用要求测评 2.1.1信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求; 2.1.2信息系统中使用的密码技术应遵循密码相关国家标准和行业标准; 2.1.3信息系统中使用的密码产品、密码服务应符合法律法规的相关要求。 2.2密码应用技术要求测评 2.2.1物理和环境安全测评 (1)采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; (2)采用密码技术保证电子门禁系统进出记录数据的存储完整性; (3)采用密码技术保证视频监控音像记录数据的存储完整性。 2.2.2网络和通信安全测评 (1)采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; (2)采用密码技术保证通信过程中数据的完整性; (3)采用密码技术保证通信过程中重要数据的机密性; (4)采用密码技术保证网络边界访问控制信息的完整性; (5)采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 2.2.3设备和计算安全测评 (1)采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; (2)远程管理设备时,应采用密码技术建立安全的信息传输通道; (3)采用密码技术保证系统资源访问控制信息的完整性; (4)采用密码技术保证设备中的重要信息资源安全标记的完整性; (5)采用密码技术保证日志记录的完整性; (6)采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 2.2.4应用和数据安全测评 (1)采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; (2)采用密码技术保证信息系统应用的访问控制信息的完整性; (3)采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; (4)采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; (5)采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; (6)采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; (7)采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; (8)在可能涉及法律责任认定的应用中,采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 |
| 序号: 2 | 品目: 政务信息系统软件测试服务 |
| 基本服务要求: 1.测试工作要求 投标人应依据项目委托合同、国家相关标准和规定、项目建设需求,协助建设单位全面地进行项目管理和技术监督,对软件系统的功能性、性能效率、安全性、易用性、可靠性、可维护性等质量的诸多因素进行检查、核验,对差异提出调整措施,当出现项目偏差及时予以调整;运用专业的信息化管理手段对信息系统建设进行软件测试管理,并采取相应的管理措施,确保软件建设质量,并达到建设合同规定的目标。信息工程项目软件测试服务商应通过专业的信息化项目安全管理经验及方法,为信息化项目提供便捷、高效、优质的软件测试服务,提高信息化项目的建设质量,并为信息化项目验收提供依据,保证项目按质保量建设完成。 2.安全保密要求 投标人须对工程技术文件以及由建设单位提供的所有内部资料、技术文档和信息予以保密。未经建设单位书面许可,投标人不得以任何形式向第三方透露本项目的任何内容。 3.文档交付要求 投标人应按照GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》输出相应的软件测试文档和过程记录文件。 4.测试实施方案要求(其中标*内容为必须项) 投标人须提交测试实施方案。测试实施方案应包含但不限于以下内容:*(1)本项目测试业务需求分析;*(2) 项目测试工作依据;* (3)项目测试范围;* (4) 项目测试内容;*(5)项目测试方法;(6)测试实施设备及工具;* (7)项目实施计划及进度流程;* (8)项目团队过程及人员安排;(9)确保项目质量的技术、组织保障措施。 5.测试服务工期要求 软件评测项目要求在软件系统开发完毕后按照服务周期约定的时间内完成。 6.测试服务的验收要求 投标人协助业主单位进行验收工作,促使信息系统工程项目最终的功能和性能等指标符合承建合同、法律、法规和标准的要求。投标人提供的测试服务应达到建设单位要求及以下主要标准及规范要求: (1)《GB/T 25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第 51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》 (2)《GB/T 25000.10-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第 10部分:系统与软件质量模型》 (3)《GB/T 18905:2002软件工程产品评价》 (4)《GB/T 8567-2006计算机软件文档编制规范》 (5)《GB/T 11457-2006信息技术软件工程术语》 (6)《GB/T 8567-2006计算机软件文档编制规范》 (7)《GB/T 11457-2006信息技术软件工程术语》 (8)软件需求规格说明书、设计文档等软件开发过程中所涉及的技术文档 | |
| 项目服务要求: 2.3密钥生存周期管理测评 对密钥的产生、分发、储存、使用、更新、归档、撤销、备份、恢复和销毁等环节进行管理和策略制定的全过程进行测评: 2.3.1密钥产生 密钥可以以随机产生、协商产生等不同的方式来产生。密钥在符合GB/T37092的密码产品中产生,产生的同时可在密码产品中记录密钥关联信息,包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等。 2.3.2密钥分发 密钥分发是密钥从一个密码产品传递到另一个密码产品的过程,分发时要注意抗截取、篡改、假冒等攻击,保证密钥的机密性、完整性以及分发者、接收者身份的真实性等。 2.3.3密钥储存 (1)密钥不以明文方式存储在密码产品外部,并采取严格的安全防护措施,防止密钥被非授权的访问或篡改。 (2)公钥是例外,可以以明文方式在密码产品外存储、传递和使用,但有必要采取安全防护措施,防止公钥被非授权篡改。 2.3.4密钥使用 每个密钥一般只有单一的用途,明确用途并按用途正确使用。密钥使用环节需要注意的安全问题是:使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等。另外,有必要为密钥设定更换周期,并采取有效措施保证密钥更换时的安全性。 2.3.5密钥更新 密钥更新发生在密钥超过使用期限、已泄露或存在泄露风险时,根据相应的更新策略进行更新。 2.3.6密钥归档 如果信息系统中有密钥归档需求,则根据实际安全需求采取有效的安全措施,保证归档密钥的安全性和正确性。需要注意的是,归档密钥只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息。如果执行密钥归档,则有必要生成审计信息,包括归档的密钥、归档的时间等。 2.3.7密钥撤销 密钥撤销一般针对公钥证书所对应的密钥。当证书到期后,密钥自然撤销;也可以按需进行密钥撤销,撒销后的密钥不再具备使用效力。 2.3.8密钥备份 对于需要备份的密钥,采用安全的备份机制对密钥进行备份,以确保备份密钥的机密性和完整性,这与密钥存储的要求是一致的。密钥备份行为是审计涉及的范围,有必要生成审计信息,包括备份的主体、备份的时间等。 2.3.9密钥恢复 可以支持用户密钥恢复和司法密钥恢复。密钥恢复行为是审计沙及的范围,有必要生成审计信息,包括恢复的主体、恢复的时间等。 2.3.10密钥销毁 密钥销毁要注意的是销毁过程的不可逆,即无法从销毁结果中恢复原密钥。 2.4安全管理测评 2.4.1管理制度测评 使用密码技术的信息系统应符合以下管理制度要求: (1)具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置,密码软硬件及介质管理等制度; (2)根据密码应用方案建立相应密钥管理规则; (3)对管理人员或操作人员执行的日常管理操作建立操作规程; (4)定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; (5)明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; (6)具有密码应用操作规程的相关执行记录并要善保存。 2.4.2人员测评 使用密码技术的信息系统应符合以下人员管理要求: (1)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; (2)建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限; (3)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位; (4)对关键岗位建立多人共管机制; (5)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任; (6)相关设备与系统的管理和使用账号不得多人共用。 (7)建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; (8)定期对密码应用安全岗位人员进行考核; (9)建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 2.4.3建设运行测评 (1)依据密码相关标准和密码应用需求,制定密码应用方案; (2)根据密码应用方案,确定系统涉及的密钥种类,体系及其生存周期环节,各环节密钥管理要求参照密匙生存周期管理测评; (3)按照应用方案实施建设; (4)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; (5)在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 2.4.4应急处置测评 (1)制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; (2)事件发生后,应及时向采购人进行报告; (3)事件处置完成后,应及时向采购人报告事件发生情况及处置情况。 |
| 序号: 3 | 品目: 政务信息系统软件测试服务 |
| 基本服务要求: 1.测试工作要求 投标人应依据项目委托合同、国家相关标准和规定、项目建设需求,协助建设单位全面地进行项目管理和技术监督,对软件系统的功能性、性能效率、安全性、易用性、可靠性、可维护性等质量的诸多因素进行检查、核验,对差异提出调整措施,当出现项目偏差及时予以调整;运用专业的信息化管理手段对信息系统建设进行软件测试管理,并采取相应的管理措施,确保软件建设质量,并达到建设合同规定的目标。信息工程项目软件测试服务商应通过专业的信息化项目安全管理经验及方法,为信息化项目提供便捷、高效、优质的软件测试服务,提高信息化项目的建设质量,并为信息化项目验收提供依据,保证项目按质保量建设完成。 2.安全保密要求 投标人须对工程技术文件以及由建设单位提供的所有内部资料、技术文档和信息予以保密。未经建设单位书面许可,投标人不得以任何形式向第三方透露本项目的任何内容。 3.文档交付要求 投标人应按照GB/T 25000.51-2016《系统与软件工程 系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》输出相应的软件测试文档和过程记录文件。 4.测试实施方案要求(其中标*内容为必须项) 投标人须提交测试实施方案。测试实施方案应包含但不限于以下内容:*(1)本项目测试业务需求分析;*(2) 项目测试工作依据;* (3)项目测试范围;* (4) 项目测试内容;*(5)项目测试方法;(6)测试实施设备及工具;* (7)项目实施计划及进度流程;* (8)项目团队过程及人员安排;(9)确保项目质量的技术、组织保障措施。 5.测试服务工期要求 软件评测项目要求在软件系统开发完毕后按照服务周期约定的时间内完成。 6.测试服务的验收要求 投标人协助业主单位进行验收工作,促使信息系统工程项目最终的功能和性能等指标符合承建合同、法律、法规和标准的要求。投标人提供的测试服务应达到建设单位要求及以下主要标准及规范要求: (1)《GB/T 25000.51-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第 51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》 (2)《GB/T 25000.10-2016系统与软件工程系统与软件质量要求和评价(SQuaRE)第 10部分:系统与软件质量模型》 (3)《GB/T 18905:2002软件工程产品评价》 (4)《GB/T 8567-2006计算机软件文档编制规范》 (5)《GB/T 11457-2006信息技术软件工程术语》 (6)《GB/T 8567-2006计算机软件文档编制规范》 (7)《GB/T 11457-2006信息技术软件工程术语》 (8)软件需求规格说明书、设计文档等软件开发过程中所涉及的技术文档 | |
| 项目服务要求: 2.5整体测评与风险评估 对重要信息系统结构进行整体安全测评,并采用风险分析的方法分析密码应用存在的安全问题可能对信息系统安全造成的影响,提交整体测评与风险评估结果。 2.6其他服务 在评估的项目建设工作中,提供相关咨询服务。 3.出具密码应用安全性评估相关报告 3.1密码应用安全性评估报告 测评实施前,供应商须根据滨州市公共资源交易平台需评测系统实际情况,制定商用密码应用安全性评估测评方案,严格按照测评方案开展相关测评工作。测评完成后,供应商须提供符合《信息安全技术信息系统密码应用基本要求》(GB/T 39786-2021)、《信息系统密码应用测评要求》(GM/T 0115-2021)、《信息系统密码应用测评过程指南》(GM/T 0116-2021)等相关标准要求的商用密码应用安全性评估报告。出具的商用密码应用安全性评估报告,应按照国家密码管理局要求包含的内容编制或参考模板编制。报告中需协助滨州市公共资源交易中心认清风险,梳理密码应用需求,查找漏洞,找出差距,提出具体、实用、有针对性的密码应用技术和安全管理整改建议方案。。 3.2汇总形成密码应用安全性评估工作总结报告 完成信息系统的密码应用安全性评估工作后,对评估工作开展的情况、遇到的问题、评估结果数据进行汇总,梳理共性问题和个性问题,形成密码应用安全性评估工作总结报告。 4资格要求 4.1符合《中华人民共和国政府采购法》第二十二条的规定; 4.2供应商须在中华人民共和国境内登记注册的合法经营者,在人员、设备、资金等方面具备相应的能力及完善的售后服务体系; 4.3供应商在国家密码管理局发布的《商用密码应用安全性评估试点机构目录》中; 4.4本项目不接受联合体投标。 五、人员要求 投标人必须确保能够建立具有一定服务能力的管理团队,参与本次密码应用安全测评项目的测评技术人员至少3人,其中具备密码应用安全性评估人员测评能力考核证书应不少于2人。合理调配各岗位人员,保障服务工作相关岗位人员需要。 六、验收要求 1.系统评估完成,成交供应商出具正式的信息系统商用密码应用安全性评估报告并提交相关部门通过后,成交供应商向采购人提交验收申请及相关资料,采购人组织相关人员进行验收。 2.验收标准:按照国家有关规定及文件的服务内容、采购合同约定进行验收。 3.供应商应提供验收过程中必要的过程文件。 七、其他要求 1.供应商须全程介入项目整个建设周期,对项目的建设方案、概要设计、详细设计等提出相应建议。 2.项目实施之前供应商须向被评估单位提供风险告知,服务期内采取必要的控制措施,防止因项目实施造成系统运行故障发生。 3.服务期间提供7×24服务响应(工程师2小时内作好服务应答和反馈);必要时,工作日2小时内上门服务,非工作日4小时内上门服务。 4.服务期间提供应急保障工作,针对应急等事宜提供保障方案,包括专家支持、高层支撑和响应时间等。 5.严守工作秘密。供应商必须与招标人签署保密协议,工作人员须与被评估单位签署《保密承诺书》,对知悉的事项及信息予以保密,所有资料、技术文档妥善保管,不得遗失、转借、复印,不得以任何形式向第三方透露;所有密码应用方案和采集汇总后的数据严禁通过互联网等公共信息网络、普通邮政进行传递,严禁在连接互联网的计算机上存储、处理。 6.知识产权要求 (1)供应商应保证在本项目使用的服务和产品(包括部分使用)或其任何一部分时,均不会侵犯任何第三方的专利权、商标权或著作权,不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因知识产权而引起法律和经济纠纷,由供应商承担所有相关责任。 (2)采购人享有本项目实施过程中产生的知识成果及知识产权。 (3)如采用供应商所不拥有的知识产权,所产生的相关费用由供应商承担。 7.严格遵循操作规程,承担服务工作质量责任。 |
成交供应商
| 成交供应商 | 道普信息技术有限公司 | ||
| 联系人 | 滕玉艳 | 联系电话 | |
| 最终报价(元) | 98500.00 | ||
供应商报价详情
| 序号 | 供应商 | 报价(元) |
|---|---|---|
| 1 | 道普信息技术有限公司 | 98500.00 |
| 2 | 北京卓识网安技术股份有限公司 | 98900.00 |
| 3 | 中互金认证有限公司 | 99000.00 |
| 4 | 新疆天行健信息安全测评技术有限公司 | 99300.00 |
| 5 | 成都创信华通信息技术有限公司 | 99400.00 |
| 6 | 北方实验室(沈阳)股份有限公司 | 99800.00 |
系统内置意见
最低价成交。
解决方案
联系我们
返回顶部