招标
2022年松江区综合为老服务平台密码应用安全性评估复测项目询价函
金额
15万元
项目地址
上海市
发布时间
2022/10/17
公告摘要
公告正文
上海市松江区民政局对“2022年松江区综合为老服务平台密码应用安全性评估复测项目”进行询价,特邀请投标。
一、采购背景
开展密码应用安全性评估工作是完善信息系统密码应用安全防护能力的一个重要环节,也是信息系统密码应用安全建设和管理的重要组成部分。通过测评可以发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异,进行全面有效的密码应用安全整改建设,使系统密码应用在技术和管理方面有针对性的加强和完善,以确保网络和信息系统的安全。
本项目需邀请国家密码管理局授权的商用密码应用安全性测评目录中明确的测评机构进行测评,出具符合规范的《密码应用安全性评估报告》,并协助被测评单位及相关技术支撑单位落实密码应用安全整改工作。
二、采购内容
对松江区综合为老服务平台密码应用的合规性,正确性,有效性进行安全性评估项目
(一)测评依据标准和规范
1、《商用密码应用安全性评估管理办法》(试行);
2、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021);
3、《信息系统密码应用测评要求》;
4、《信息系统密码应用测评过程指南》;
5、《信息系统密码应用高风险判定指引》;
6、《商用密码应用安全性评估量化评估规则》。
(二)测评内容
依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等技术要求,逐一对信息系统进行密码应用的合规性、正确性、有效性进行安全性评估,通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全奠定基础。
测评的内容包括但不限于以下内容:
1、安全技术测评:包括物理和环境安全、 网络和通信安全、 设备和计算安全、 应用和数据安全等四个方面的安全测评。
(1)物理和环境安全
(2)网络和通信安全
(3)设备和计算安全
(4)应用和数据安全
2、安全管理测评:包括安全管理(分为制度、人员、建设和应急四个子模块)的安全测评。
(1)管理制度
(2)人员管理
(3)建设运行
(4)应急处置
(三)测评工作原则
遵循以下若干原则,是评估结论真实、准确、可信的基础,也是评估组在独立实施评估时,在相似的情况下得出相似结论的前提。本次商用密码应用安全性测评实施方案设计与具体实施应满足以下原则:
(1)客观公正原则:评估实施过程中评估人员应保证在最小主观判断情形下,按照评估双方认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。
(2)经济性和可重用性原则:评估工作可重用已有评估结果,包括商用密码应用安全性评估结果。所有重用结果都应以结果适用于待评估系统为前提,并能够客观反映目前系统的安全状态。
(3)可重复性和可再现性原则:依照同样的要求,使用同样的评估方法,不同的评估机构对每个评估实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于,前者关注不同评估者评估结果的一致性,后者则与同一评估者评估结果的一致性有关。
(4)结果完善性原则:在正确理解《GB/T39786-2021 信息安全技术信息系统密码应用基本要求》各个要求项内容的基础之上,检测所产生的结果应客观反映系统的运行状态。评估过程和结果应服从正确的评估方法,确保其满足要求。
(四)测评服务总体要求
1、供应商应详细描述本次项目的整体实施方案,包括项目概述、密评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2、供应商应详细描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施。
3、本次项目实施过程中所使用到的各种工具软件由供应商推荐,经采购人确认后由供应商提供并在项目中使用。在响应文件中应详细描述所使用的安全技术工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
4、本次项目实施过程中所使用到的测评工具,应包括自主密码专用检测工具、漏洞扫描工具等获得许可的检测工具,对系统数据进行分析,并以分析结果辅证评估报告。
5、安全技术工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经采购人确认后由供应商提供并在项目中使用。
6、项目实施需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
(五)测评服务过程及内容要求
测评服务过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。
1、测评准备活动
本活动是开展测评工作的前提和基础,主要任务是掌握被测信息系统的详细情况,准备测评工具,为编制密评方案做好准备。
2、方案编制活动
本活动是开展测评工作的关键活动,主要任务是确定与被测信息系统相适应的测评对象、测评指标、测评检查点及测评内容等,形成密评方案,为实施现场测评提供依据。
3、现场测评活动
本活动是开展测评工作的核心活动,主要任务是根据密评方案分步实施所有测评项目,以了解被测信息系统真实的密码应用现状,获取足够的证据,发现其存在的密码应用安全性问题。
4、分析与报告编制活动
本活动是给出测评工作结果的活动,主要任务是根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的有关要求,通过单元测评、整体测评、量化评估和风险分析等方法,找出被测信息系统密码应用的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距可能导致的被测信息系统所面临的风险,从而给出各个测评对象的测评结果和被测信息系统的评估结论,形成密评报告。
测评各阶段详细的服务内容如下表:
测评服务流程如下图所示:
(六)保密要求
供应商必须和采购人签订保密协议,供应商必须要与参加此次项目的所有项目组成员签订保密协议,在合同签订时一并提供给采购人。
供应商具体实施项目中的重要资料和结果,在项目实施期间和实施结束后,供应商不得带离该地点。
供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商中标与否,其对上述内容的保密责任将长期存在。
三、项目验收要求
项目整体完成,松江区综合为老服务平台密码应用安全性评估复测通过,并出具《密码应用安全性评估报告》。
四、项目周期
合同签订后3个月内。
五、对供应商的条件
1、供应商满足《中华人民共和国政府采购法》第二十一条及二十二条规定的条件;
2、具有国家密码管理局下发的《关于同意开展商用密码应用安全性评估试点工作的告知书》公文的接收单位的证明材料;
3、本项目不接受联合体参加投标。与采购人存在利害关系可能影响公正性的法人、其他组织或者个人,不得参加投标;单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加本项目的投标。
六、项目最高限价以及评标方式
本项目限价15万元,分两次支付,第一笔支付总金额的30%,第二笔为项目整体完成并验收合格后支付总金额的70%。本项目以询价最低价中标。
七、供应商需递交投标文件(复印件加盖单位公章、一式三份)
1、提供工商营业执照、税务登记证、组织机构代码证或者三证合一,工作业绩情况及相关专业资质文件复印件并加盖公章。
2、法人授权委托书及被授权人身份证复印件。
3、供应商提供参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明;
4、参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单。
5、具有国家密码管理局下发的《关于同意开展商用密码应用安全性评估试点工作的告知书》公文的接收单位的证明材料;
6、投标报价表。
八、投标截止时间与地点
请于2022年 10 月26日(周三)15:00前将投标文件密封盖骑缝章送至上海市松江区民政局1017室。
九、采购单位信息
单位:上海市松江区民政局
地址:上海市松江区中山中路38号
联系人:陈露
联系电话:021-37736173
上海市松江区民政局
2022年10月17日
投 标 报 价 表
投标项目名称:2022年松江区综合为老服务平台密码应用安全性评估复测项目
本单位已仔细阅读关于松江区民政局发布的关于项目询价函的所有内容,对项目的要求非常清楚,承诺有能力按照招标要求完成此项工作。
报价单位(盖章):
法人代表或授权代表(签字):
一、采购背景
开展密码应用安全性评估工作是完善信息系统密码应用安全防护能力的一个重要环节,也是信息系统密码应用安全建设和管理的重要组成部分。通过测评可以发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异,进行全面有效的密码应用安全整改建设,使系统密码应用在技术和管理方面有针对性的加强和完善,以确保网络和信息系统的安全。
本项目需邀请国家密码管理局授权的商用密码应用安全性测评目录中明确的测评机构进行测评,出具符合规范的《密码应用安全性评估报告》,并协助被测评单位及相关技术支撑单位落实密码应用安全整改工作。
二、采购内容
对松江区综合为老服务平台密码应用的合规性,正确性,有效性进行安全性评估项目
(一)测评依据标准和规范
1、《商用密码应用安全性评估管理办法》(试行);
2、《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021);
3、《信息系统密码应用测评要求》;
4、《信息系统密码应用测评过程指南》;
5、《信息系统密码应用高风险判定指引》;
6、《商用密码应用安全性评估量化评估规则》。
(二)测评内容
依据《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等技术要求,逐一对信息系统进行密码应用的合规性、正确性、有效性进行安全性评估,通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全奠定基础。
测评的内容包括但不限于以下内容:
1、安全技术测评:包括物理和环境安全、 网络和通信安全、 设备和计算安全、 应用和数据安全等四个方面的安全测评。
(1)物理和环境安全
| 测评类别 | 测评单元 |
| 安全技术测评-物理和环境安全 | 身份鉴别 |
| 电子门禁记录数据完整性 | |
| 视频记录数据完整性 | |
| 密码产品 | |
| 密码服务 |
(2)网络和通信安全
| 测评类别 | 测评单元 |
| 安全技术测评-网络和通信安全 | 实体鉴别 |
| 通信数据完整性 | |
| 敏感信息或通信报文机密性 | |
| 网络边界访问控制信息完整性 | |
| 安全接入认证 | |
| 密码产品 | |
| 密码服务 |
(3)设备和计算安全
| 测评类别 | 测评单元 |
| 安全技术测评-设备和计算安全 | 实体鉴别 |
| 安全的信息传输通道 | |
| 系统资源访问控制信息完整性 | |
| 重要信息资源安全标记完整性 | |
| 日志记录完整性 | |
| 重要程序或文件完整性 | |
| 密码产品 | |
| 密码服务 |
(4)应用和数据安全
| 测评类别 | 测评单元 |
| 安全技术测评-应用和数据安全 | 实体鉴别 |
| 访问控制 | |
| 重要信息资源安全标记完整性 | |
| 数据传输机密性 | |
| 数据存储机密性 | |
| 数据传输完整性 | |
| 数据存储完整性 | |
| 不可否认性 | |
| 密码产品 | |
| 密码服务 |
2、安全管理测评:包括安全管理(分为制度、人员、建设和应急四个子模块)的安全测评。
(1)管理制度
| 测评类别 | 测评单元 |
| 安全管理测评-管理制度 | 具备密码应用安全管理制度 |
| 密钥管理规则 | |
| 建立操作规程 | |
| 定期修订安全管理制度 | |
| 明确管理 制度发布流程 | |
| 制度执行过程记录留存 |
(2)人员管理
| 测评类别 | 测评单元 |
| 安全管理测评-人员管理度 | 了解并遵守密码相关法律法规和密码管理制度 |
| 建立密码应用岗位责任制度 | |
| 建立上岗人员培训制度 | |
| 定期进行安全岗位人员考核 | |
| 建立关键岗位人员保密制度和调离制度 |
(3)建设运行
| 测评类别 | 测评单元 |
| 安全管理测评-建设运行 | 制定密码应用方案 |
| 制定密钥安全管理策略 | |
| 制定实施方案 | |
| 投入运行前进行密码应用安全性评估 | |
| 定期开展密码应用安全性评估及攻防对抗演习 |
(4)应急处置
| 测评类别 | 测评单元 |
| 安全管理测评-应急处置 | 应急策略 |
| 事件处置 | |
| 向有关主管部门上报处置情况 |
(三)测评工作原则
遵循以下若干原则,是评估结论真实、准确、可信的基础,也是评估组在独立实施评估时,在相似的情况下得出相似结论的前提。本次商用密码应用安全性测评实施方案设计与具体实施应满足以下原则:
(1)客观公正原则:评估实施过程中评估人员应保证在最小主观判断情形下,按照评估双方认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。
(2)经济性和可重用性原则:评估工作可重用已有评估结果,包括商用密码应用安全性评估结果。所有重用结果都应以结果适用于待评估系统为前提,并能够客观反映目前系统的安全状态。
(3)可重复性和可再现性原则:依照同样的要求,使用同样的评估方法,不同的评估机构对每个评估实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于,前者关注不同评估者评估结果的一致性,后者则与同一评估者评估结果的一致性有关。
(4)结果完善性原则:在正确理解《GB/T39786-2021 信息安全技术信息系统密码应用基本要求》各个要求项内容的基础之上,检测所产生的结果应客观反映系统的运行状态。评估过程和结果应服从正确的评估方法,确保其满足要求。
(四)测评服务总体要求
1、供应商应详细描述本次项目的整体实施方案,包括项目概述、密评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2、供应商应详细描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施。
3、本次项目实施过程中所使用到的各种工具软件由供应商推荐,经采购人确认后由供应商提供并在项目中使用。在响应文件中应详细描述所使用的安全技术工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
4、本次项目实施过程中所使用到的测评工具,应包括自主密码专用检测工具、漏洞扫描工具等获得许可的检测工具,对系统数据进行分析,并以分析结果辅证评估报告。
5、安全技术工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经采购人确认后由供应商提供并在项目中使用。
6、项目实施需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
(五)测评服务过程及内容要求
测评服务过程包括四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程。
1、测评准备活动
本活动是开展测评工作的前提和基础,主要任务是掌握被测信息系统的详细情况,准备测评工具,为编制密评方案做好准备。
2、方案编制活动
本活动是开展测评工作的关键活动,主要任务是确定与被测信息系统相适应的测评对象、测评指标、测评检查点及测评内容等,形成密评方案,为实施现场测评提供依据。
3、现场测评活动
本活动是开展测评工作的核心活动,主要任务是根据密评方案分步实施所有测评项目,以了解被测信息系统真实的密码应用现状,获取足够的证据,发现其存在的密码应用安全性问题。
4、分析与报告编制活动
本活动是给出测评工作结果的活动,主要任务是根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》的有关要求,通过单元测评、整体测评、量化评估和风险分析等方法,找出被测信息系统密码应用的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距可能导致的被测信息系统所面临的风险,从而给出各个测评对象的测评结果和被测信息系统的评估结论,形成密评报告。
测评各阶段详细的服务内容如下表:
| 序号 | 测评阶段 | 测评类 | 服务说明 |
| 1 | 评估准备 | 准备阶段 | 编制项目计划书、收集被测系统基本资料并完成调查表格,分析调查结果,准备工具和评估表单 |
| 2 | 方案编制 | 评估方案编制 | 识别并描述被测系统基本情况、确定测评对象、资产和威胁评估、系统定级结果和测评指标、确定检查点和检查方法、确定单元测评内容 |
| 3 | 总体测评 | 总体要求 | 通过访谈、配置检查和工具测试的方式评估信息系统的密码算法、密码技术、密码产品和密码服务的合规性 |
| 4 | 安全技术测评 | 物理和环境安全 | 通过访谈、配置检查和工具测试的方式测评信息系统机房环境的安全情况。主要涉及对象为机房环境的电子门禁系统。本次评测包括电子门禁的身份鉴别和电子门禁记录的完整性保护。 |
| 网络和通信安全 | 通过访谈、配置检查和工具测试的方式测评信息系统的网络和通信安全保障情况。本次重点测评包括通信对象的身份鉴别、访问控制信息完整性、通信数据完整性和通信数据机密性等 | ||
| 设备和计算安全 | 通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况,本次重点测评包括本地主机和数据库服务器身份鉴别、远程管理身份鉴别身份信息机密性、访问控制信息完整性、敏感标记完整性、日志记录完整性等 | ||
| 应用和数据安全 | 将通过访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等,本次重点测评包括信息系统身份鉴别、访问控制信息完整性、数据传输机密性、数据存储机密性、数据传输完整性、数据存储完整性、日志记录完整性等 | ||
| 5 | 安全管理测评 | 安全管理 | 安全管理部分为全局性问题,涉及密码安全管理制度、密码安全管理人员、系统实施和系统应急管理等四个方面。 |
| 6 | 分析报告阶段 | 报告编制 | 根据测评编制《信息系统商用密码应用安全性评估报告》,包括:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评的结果记录及结果汇总、整体测评、测评结果汇总、风险分析、评估结论等内容。 |
测评服务流程如下图所示:
(六)保密要求
供应商必须和采购人签订保密协议,供应商必须要与参加此次项目的所有项目组成员签订保密协议,在合同签订时一并提供给采购人。
供应商具体实施项目中的重要资料和结果,在项目实施期间和实施结束后,供应商不得带离该地点。
供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商中标与否,其对上述内容的保密责任将长期存在。
三、项目验收要求
项目整体完成,松江区综合为老服务平台密码应用安全性评估复测通过,并出具《密码应用安全性评估报告》。
四、项目周期
合同签订后3个月内。
五、对供应商的条件
1、供应商满足《中华人民共和国政府采购法》第二十一条及二十二条规定的条件;
2、具有国家密码管理局下发的《关于同意开展商用密码应用安全性评估试点工作的告知书》公文的接收单位的证明材料;
3、本项目不接受联合体参加投标。与采购人存在利害关系可能影响公正性的法人、其他组织或者个人,不得参加投标;单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时参加本项目的投标。
六、项目最高限价以及评标方式
本项目限价15万元,分两次支付,第一笔支付总金额的30%,第二笔为项目整体完成并验收合格后支付总金额的70%。本项目以询价最低价中标。
七、供应商需递交投标文件(复印件加盖单位公章、一式三份)
1、提供工商营业执照、税务登记证、组织机构代码证或者三证合一,工作业绩情况及相关专业资质文件复印件并加盖公章。
2、法人授权委托书及被授权人身份证复印件。
3、供应商提供参加政府采购活动前3年内在经营活动中没有重大违法记录的书面声明;
4、参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单。
5、具有国家密码管理局下发的《关于同意开展商用密码应用安全性评估试点工作的告知书》公文的接收单位的证明材料;
6、投标报价表。
八、投标截止时间与地点
请于2022年 10 月26日(周三)15:00前将投标文件密封盖骑缝章送至上海市松江区民政局1017室。
九、采购单位信息
单位:上海市松江区民政局
地址:上海市松江区中山中路38号
联系人:陈露
联系电话:021-37736173
上海市松江区民政局
2022年10月17日
投 标 报 价 表
投标项目名称:2022年松江区综合为老服务平台密码应用安全性评估复测项目
| 报价(元) | |
本单位已仔细阅读关于松江区民政局发布的关于项目询价函的所有内容,对项目的要求非常清楚,承诺有能力按照招标要求完成此项工作。
报价单位(盖章):
法人代表或授权代表(签字):
解决方案
联系我们
返回顶部