2023年政务信息化建设项目(第二批)招标项目的潜在供应商应在线上获取招标文件,并于2024年01月16日 09时00分(北京时间)前递交投标文件。
一、服务内容
对以下7个三级应用系统进行测评,并出具《测评报告》:(1)沈阳市农村生活污水处理设施运维智慧监管与生态环境执法指挥调度平台,共计1个三级应用系统;(2)市红十字会关于建设智慧信息综合服务平台,共计1个三级应用系统;(3)沈阳教育管理公共服务平台,共计1个三级应用系统;(4)沈阳市纪委监委智慧纪检监察平台,共计1个三级应用系统。(5)沈阳市民政局“一网通办”大救助智慧协同平台,共计1个三级应用系统;(6)沈阳市农村户厕信息化管理系统,共计1个三级应用系统;(7)沈阳市智慧供热监管平台,共计1个三级应用系统;
二、服务要求
(一)等保测评
依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对以上8个应用系统进行测评,并出具《测评报告》。若首次测评后被测信息系统需要进行整改,在约定的整改期限内提供复测服务。同时在项目交付过程中应提供完善的网络安全紧急事件应急服务方案,并有能力对上述系统负责人员进行网络安全意识以及网络安全技术的培训。
服务时间:7*24
服务方式:现场和远程
交付成果:测评报告。
(二)定级备案
协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。
服务方式:现场
交付成果:备案证明。
(三)测评服务范围
依据《信息安全技术 网络安全等级保护基本要求》,测评内容包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。
(1)安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
(2)安全通信网络测评内容:
网络架构、通信传输、可信验证。
(3)安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
(4)安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5)安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
(6)安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
(7)安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(8)安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(9)安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
(10)安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(四)项目使用工具
等级保护测评阶段,应使用安全扫描系统对服务器、网络设备进行安全扫描,投标人须提供测评工具,包括但不限于:WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。
(五)人员能力要求
1)投标人须承诺:中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。
2)投标人拟派专业的服务团队,服务团队不少于10人(投标文件中须提供拟派人员名单及岗位分工)。其中,项目经理1人,对项目的整体进行把控;技术负责人1名,负责提供项目所需的技术指导和支持。
对以下8个项目编制密码应用方案进行评审:(1)沈阳市农村生活污水处理设施运维智慧监管与生态环境执法指挥调度平台项目;(2)市红十字会关于建设智慧信息综合服务平台项目;(3)国有企业退休人员数字档案系统;(4)沈阳教育管理公共服务平台建设项目(二期);(5)沈阳市纪委监委智慧纪检监察平台(一期)项目(外网);(6)沈阳市民政局“一网通办”大救助智慧协同平台项目;(7)沈阳市农村户厕信息化管理系统建设项目;(8)沈阳市智慧供热监管平台二期项目。
通过对8个项目的现状和密码应用需求进行分析,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》(以下简称《基本要求》),从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等4个层面,结合密钥管理、安全管理等方面,设计该项目密码应用方案,包含技术内容、安全管理内容、应急预案内容和实施保障内容。 二、服务要求
(1)围绕《国家政务信息化项目建设管理办法》中关于政务信息系统在系统规划阶段的密码应用要求,综合考虑系统物理和环境、网络和通信、设备和计算、应用和数据、安全管理等层面的密码应用需求,设计合规、正确、有效的业务系统密码应用方案,满足《基本要求》中三级指标要求,并为通过密码应用安全性评估奠定基础。
(2)指标要求:密码应用方案评审,包含技术内容、安全管理内容、应急预案内容和实施保障内容。
(3)服务方式:现场和远程。
(4)交付成果:合规、正确、有效的密码应用方案评审报告。
三、人员要求
投标人拟派专业的服务团队,服务团队成员不少于4人(投标文件中须提供拟派人员名单及岗位分工)。其中,项目经理1人,负责项目的整体管理,以及对项目进度进行把控;技术负责人1人,负责提供项目所需的技术指导和支持。
一、总体要求
针对5套系统“沈阳市农村生活污水处理设施运维智慧监管与生态环境执法指挥调度平台项目”、“市红十字会关于建设智慧信息综合服务平台项目”、“沈阳教育管理公共服务平台建设项目(二期)”、“沈阳市民政局“一网通办”大救助智慧协同平台项目”、“沈阳市农村户厕信息化管理系统建设项目”,从第三方角度执行系统压力测试、性能测试,提供客观明确的测试结果报告和结论。
二、服务内容
本项目任务清单如下表:
序号
目标系统
提供服务
1
沈阳市农村生活污水处理设施运维智慧监管与生态环境执法指挥调度平台项目
压力测试
性能测试
2
市红十字会关于建设智慧信息综合服务平台项目
3
沈阳教育管理公共服务平台建设项目(二期)
4
沈阳市民政局“一网通办”大救助智慧协同平台项目
5
沈阳市农村户厕信息化管理系统建设项目
三、服务要求
1. 压力测试
目标是检查功能点的入口,提供信息,并确认获得预期输出和功能效果。
功能测试的参考基准是目标系统的需求规格说明书和开发合同,可参考开发方自测试使用的所有测试用例。投标方可按需主动增加开发方未覆盖的其它测试用例。
本项目要求功能测试覆盖目标系统所有功能点。
测试完成后输出测试结果汇总报告和明细记录,对发现的错误根据严重程度划分等级。
厂商修复测试发现的问题后,投标方承诺愿意免费做一轮针对修复的复测确认。
2. 性能测试
性能测试关注的不是软件是否能够完成特定的功能,而是在完成该功能时展示出来的及时性。完成功能测试后再执行性能测试。
性能测试主要针对目标系统中,预期有大量访问和大任务负载的目标点执行测试。测试覆盖范围需与客户确认。
要求中标人通过自动化的测试工具(中标人自备)模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。中标人规划测试指标,经客户方确认后执行。
四、成果物要求
1. 测试前提供测试实施计划。
2. 针对每个目标系统的每轮次每类测试,都提供测试结论和明细报告。
五、团队要求
为保障项目执行管理调度得当,过程管控高效,确保工作质量和成果,投标人组建不少于6人的项目团队,根据工作需要合理设置岗位,投标文件中须提供拟派人员名单及岗位分工。其中,项目经理1人,具备规划测试方案、信息化综合能力,管理沟通能力。
六、其他要求
1.启动测试前,测试的覆盖范围和方案需经采购人和用户确认。
2.所有测试活动均在招标方指定的环境下执行。
3.投标人承诺测试过程和结论的客观性。
