招标
询价邀请函
金额
25.19万元
项目地址
安徽省
发布时间
2022/09/23
公告摘要
公告正文
各相关单位:
合肥市交通规划数据模型及应用平台建设项目为我局今年新建设的市级政府投资公益性信息化项目,该项目主要通过构建交通规划数据模型及应用平台为我市交通分析预测提供技术支撑,目前项目正在组织实施,我单位拟以询价方式择优采购合肥市交通规划数据模型及应用平台建设(项目监理包、第三方检测包、等保测评包)项目,现邀请各相关单位就以下采购内容予以报价,具体情况如下:
一、采购内容
(一)项目监理包
本项目采购为对合肥市交通规划数据模型及应用平台建设项目建设内容挑选监理,负责对其建设内容进行全过程监理。
(二)第三方检测包
本项目采购为对合肥市交通规划数据模型及应用平台建设项目建设内容挑选第三方检测单位,负责对上述建设内容进行软件检测服务。
(三)等保测评包
本项目采购为对合肥市交通规划数据模型及应用平台建设项目建设内容挑选等保测评单位,负责对上述建设内容进行等保测评服务。
注:本项目投标单位可以同时投报多个包,但只能中标其中一个包,如果投标单位在所投的多个标包中评审结果均排名第一时,则按顺序(项目监理包/第三方检测包/等保测评包)逐包确定第一中标候选人,并自动放弃其余包的第一中标候选人资格。
二、相关要求
(一)项目经费及支付方式
(1)资金来源:财政资金。
(2)预算金额:25.19万元(项目监理包7.68万元,第三方检测包8.51万元,等保测评包9.0万元)。
(3)付款方式:项目竣工验收后一次性无息支付全部合同金额。
(二)资格要求
(1)投标人符合《中华人民共和国政府采购法》第二十二条规定的条件的法人。
(2)本项目不接受联合体投标。
(3)本项目三个包别专门面向中小企业。
(三)投标报价
本项目按各包分别报总价,投标人的报价应包含完成全部工作及服务所涉及的所有材料、资料、劳务、利润、税金、保险、验收、政策性文件规定及合同包含的所有风险、责任、义务等一切应有费用。
(四)完成时限
本项目完成时限:合同签订之日起至合肥市交通规划数据模型及应用平台建设项目整体通过竣工验收止。
(五)投标响应文件要求
(1)投标响应文件包含投标函(格式自拟)、法人代表授权委托书原件(格式自拟)、报价表原件(格式自拟)、营业执照复印件、业绩合同复印件等材料,所有复印件需加盖单位公章,具体文件格式按市采购相关要求执行。
(2)投标响应文件提供正本1份,副本4份,并分别装订成册,采用胶订、平订或线订等,不得采用活页装订方式。
(3)投标响应文件应装袋密封,封面写明项目名称、报价单位名称,并在封口盖章。
三、工作内容及要求
(一)项目监理包
1、项目组织及技术总体方案的把关
按照信息技术服务咨询设计标准审核和确认承建单位的总体技术方案(系统集成方案、平台软件设计方案、传输网络建设方案及网络安全、等级保护、风险评估等工作);
审核和确认承建单位的组织实施方案;
审核和确认承建单位的工程质量保证计划及质量控制体系;
审核和确认承建单位的配置管理方案;
审核和确认承建单位的测试计划;
审核和确认承建单位的工程进度计划;
明确项目质量控制的关键性环节;
根据承建单位和成交供应商签订的合同,确定本项目实施和验收的技术标准;
确定验收的软件模块、设备清单、到货时间及相关要求。
2、 质量控制
1)应用软件开发质量的控制
软件开发计划的审核和确认;
对软件开发的需求分析、概要设计、详细设计、应用测试等每个开发阶段进行审核;
对承建单位的开发质量记录进行审核;
源代码及应用程序的移交验收;
参与对应用软件的总体验收。
2)系统质量保证检测
项目根据需要进行测试的,应协助采购人委托专业机构完成。
3)系统安全质量控制
负责系统安全方案的审核和确认;
对安全系统的采购、安装、调试、配置过程的监督;
4)培训的质量控制
审核确认承建单位的培训计划;
监督承建单位实施其培训计划,并征求用户的反馈意见;
审核确认承建单位的培训总结报告。
3、进度控制
审核承建单位的进度分解计划,确认分解计划可以保证总体计划目标;
对项目实施进度进行实时跟踪,并要求承建单位对进度计划进行动态调整,以确保项目的阶段和总体进度目标的实现;
当工期目标出现偏离时,应及时指出,并提出对策建议,同时督促承建单位尽快采取措施。
4、投资控制
通过对系统的总体设计方案和项目实施中的方案及设计的评估和优化,确保投资控制在预算和合理、性价比高的范围内。
协助采购人将付款进度与工程质量的进度结合起来;
负责根据相关文件要求,做好方案变更、审核报送工作。
5、合同管理
跟踪检查合同的执行情况,确保承建单位按时履约;
对合同工期的延误和延期进行审核确认;
对工程暂停,复工等事宜进行审核确认;
对合同变更、索赔、违约等事宜进行审核确认;
根据合同约定,审核承建单位提交的支付申请;
建立变更控制系统;对工程变更控制,明确界定项目变更的目标,防止变更范围的扩大化,加强变更风险以及变更效果的评估;
任何变更都要得到三方(采购人、监理单位和承建单位)的书面确认。
6、信息管理/工程文档管理
根据采购人要求提出相应的项目文档管理规范;
做好监理日记及工程大事记;
做好合同批复等各类往来文件的批复与存档;
做好项目协调会、技术专题会的会议纪要;
管理好实施期间的各类技术文档;
提交验收所需的管理文档汇编;
项目周报、月报;
监理工程师通知;
阶段性项目总结。
7、项目安全的管理
协助承建单位编制有关安全保密工程技术方案;
负责项目建设施工过程中安全控制,防止出现安全事故。
8、项目知识产权的管理
负责项目建设过程中所产生成果的知识产权保护,防止被非授权使用;
负责项目建设过程中涉及知识产权的产品和系统的使用审核,保证不在本项目建设中出现违反知识产权的行为。
9、项目的协调和组织
接受委托,负责协调项目所涉及的各单位之间的工作关系,并协调解决项目建设过程中的各类纠纷。
监理方应通过必要的会议制度来实施协调工作,主要包括项目例会、专题讨论会、专家评审会、问题通报会、监理协调会、监理交底会、阶段工作总结会、阶段以及最终验收会和参与采购人组织的有关会议等。
10、咨询及项目管理服务
根据《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号)第二十五条之规定,在项目建设过程中提供咨询意见,应具有信息安全风险评估和软件测试能力,并协助采购人完成信息/网络信息安全等级保护、风险评估和商用密码评估等相关工作。
11、移交及质保相关服务
组织承建单位做好验收、移交工作;
须组织、督促承建单位做好整个质保期内相关维护工作。
成交供应商应严格依照相关国家和行业标准开展项目,为保证项目顺利实施成交供应商具备完善的质量、环境管理、信息安全、信息技术服务管理体系实施工作。
(二)第三方检测
1、检测依据
系统的检测需遵守国家现行的规范与标准,对我国未制定的规范,可参照对应的国际标准执行。
检测工作依据至少包括但不局限于:
1)采购人与承建单位签订的项目建设合同;
2)与系统相关的技术资料;
3)GB/T
25000.51-2016《系统与软件工程系统与软件质量要求和评价第51部分:就绪可用软件产品的质量要求和测试细则》;
4)国家、地方及行业相关的技术标准
2、工作要求
1)质量要求
① 测试报告内容及数据应准确、完整、客观、公正;
② 测试服务质量应符合评测规范中的相关要求,且技术评测结果及报告必须提交最终用户确认。
③为保证本次测评服务的质量,要求派遣具有丰富项目管理经验人员担任项目负责人,并要求具有相关职业资格证书(软件测试方面的资格证书)的技术人员参与项目测试工作。
④项目实施严格按照国家及行业标准进行,项目实施中所使用的测试工具应具有正版授权或自主知识产权。
2)检测任务
围绕检测工作目标,成交供应商需完成的任务包括但不限于:
①编写测试方案,对项目测试内容进行阐述,并提出项目对应的测试通过准则及测试实施计划。
②开展基础的系统检测,提供测试和质量保证服务,根据平台的需求及业务功能特点,对各数据进行检测,对标准进行校验及对应用系统各软件进行功能测试;根据平台对信息应用系统的性能的要求,对系统进行性能测试,验证系统的运行性能能否满足预定指标,是否可提供稳定、可靠的服务。
③完成项目的验收测试工作后,根据测试情况,出具验收评测报告。
3、检测内容
在合肥市交通规划数据模型及应用平台完成组件开发、集成工作后,参照系统功能设计,根据软件开发模型的不同,采用符合实际的方法对系统进行系统测试,验证指定的需求是否已经满足;总体开发完成后,进行验收测试,即确认提供的产品完全达到了预期的用途,对软件进行评价以证实它是否和软件需求相一致;对于测试中发现的问题,承建方整改后,检测机构需要进行回归测试,在修改缺陷后验证是否有新的缺陷引入。
软件部分测试工作具体内容包括但不限于:
1)功能测试
功能测试要求成交供应商依据用户对系统建设的整体功能方向,对系统涉及到的所有业务逻辑、功能逻辑、功能项的全覆盖评测。包含但不限于以下内容:
适合性:系统为制定的任务和用户目标提供一组核实的功能的能力。
准确性:系统提供具有所需精度的正确或相符的结果或效果的能力。
互操作性:系统与一个或更多的规定系统进行交互的能力。
一致性:系统功能及数据实现与用户文档相互符合的能力。
2)性能测试
性能评测要求成交供应商通过站在用户体验的角度,使用专业的负载生成设备,在性能模型的基础上验证系统是否能够达到用户提出的性能指标,是否符合用户文档中对系统设计时的性能关注点。在系统正常交互量及峰值交互量的情况下发现系统中存在的性能瓶颈,优化软件,最后达到优化系统的目的。包含但不限于以下内容:
并发数:选择典型业务,调研系统最大并发数据,进行并发测试。
时间特性:在达到并发或吞吐量的指标后,系统还必须让最终用户能够及时完成他们的任务。响应时间为主要考核指标,响应时间=网络响应时间+应用处理时间。
资源利用性:在规定条件下,软件产品执行其功能时,使用合适数量和类别的资源的能力。
吞吐量:对于交互式应用来说,吞吐量指标反映的是服务器承受的压力。
3)安全性测试
根据《中华人民共和国网络安全法》第二十一条规定,防止网络数据泄露或者被窃取、篡改;应用系统是提供对外服务,很容易被黑客利用;为了使系统在上线前能最大限度地堵住安全漏洞,需对系统进行漏洞扫描测试。包含但不限于以下内容:
身份认证:用户认证的密码,具有口令长度要求,复杂度要求以及定期更新的特点;应具有登录失败的处理功能,结束会话以及限制登录次数;应用系统能设置用户鉴别的口令复杂度和鉴别的方式等和对匿名用户应该限制访问应用资源和登录频率;
安全审计:必须覆盖到系统每个用户,包括临时用户;必须记录应用系统的
安全相关事件,必须记录重要用户行为和重要系统功能执行状态;必须记录操作时间,类型,事件结果等和安全审计记录必须受到保护,防止遭到篡改和覆盖;
资源控制:应用系统应支持单个用户的会话限制和应支持对特定用户,ip的会话限制;
数据安全:应用系统支持防止对未认证用户的访问;应用系统支持防止认证用户对未授权数据的访问;数据必须支持集中存储,端不留密的原则;系统能检索数据破坏和恶意修改,并且能自动恢复和应用系统提供自动备份和恢复重要数据的机制;
漏洞扫描检查方面:主要包括 HTTP 响应分割、LDAP 注入、SQAP
数组滥用、
SQL 注入、SSI 注入、URL 复位向器滥用、XML 实体扩展、XML
外部实体、XML 属性放大、Xpath 注入、不安全索引、操作系统命令等检查。所有的安全性测试行为将在客户的书面明确授权和监督下进行。通过系统漏洞扫描利用、端口扫描、服务扫描利用、密码攻击、权限攻击、SQL 注入攻击、XSS 跨站脚本攻击、应用层框架漏洞、远程缓冲区溢出攻击和病毒木马攻击等,对目标网络和系统进行测试。
测试完成后,形成渗透测试报告并提供加固建议,待加固后复查测试。使得网络系统能够提升安全质量,在一定程度上抵御黑客的攻击。
4)文档测试
文档是系统的非软件部分,经常会被忽略。同时文档也是系统的重要组成部分,它不但可以提供系统开发指导,也在系统后期的使用指导、后期维护、二次开发中扮演着不可替代的角色。中标人应通过文档测试,对系统所属的文档集进行查缺,对单一文档是否可以正确、简明的指引用户对系统的认识、理解、维护的能力进行评价。包含但不限于以下内容:
完备性:验证系统文档集中的文档类目是否完全可以覆盖系统从立项、设计到后期维护等各生命周期中需要被定义的工作过程。
正确性:文档中内容描述正确,无错误、无歧义、无模糊化描述。
一致性:文档中内容与实际系统的实际要求相符合,无差异化描述。
易理解性:文档中内容以图文并茂的方式进行描述,并应采用该系统读者可理解的术语和文体,用直观、易懂的描述语言。
易学性:文档中内容便于浏览,逻辑关系清晰,应为用户学会如何使用该系统提供必要的信息。
可操作性:文档应注明必要的操作模式,并提供目次和索引,对于不常用的数据和首字母缩略语应加以定义。
4、保密要求
涉及本项目的所有资料都视为内部涉密数据,成交供应商有责任和义务保证项目所涉及全部内容的保密和安全,不得在其他任何场合以任何手段使用。对于本项目中所涉及的全部内容的安全保密,服务实施前成交供应商需向采购人提供书面的保密保证。对于成交供应商未经采购人书面同意,以任何方式和渠道泄露秘密的情况,成交供应商将承担由此造成的一切损失并承担法律责任。成交供应商需建立完善的安全和保密体制,在本项目结束后,需将本次安全服务中所使用和拥有的采购人的资料进行归档和清点并归还,对于不能归还的资料进行书面说明由双方进行协商处理,成交供应商应在项目实施前与采购人签订保密协议。
(三)等保测评
1、测评目的
进一步提高合肥市交通规划数据模型及应用平台的整体安全防护水平,依托有资质的第三方等保测评技术服务单位对合肥市交通规划数据模型及应用平台及网络实施等级保护测评工作,找出系统和网络存在的安全漏洞及隐患,为合肥市交通规划数据模型及应用平台的后续整改、加固工作提供建议和决策依据。从而进一步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,保障合肥市交通规划数据模型及应用平台安全、稳定的运行。
2、测评内容
2019年5月13日,国家颁布了等级保护2.0技术标准,确定实施时间为2019年12月;等级保护测评内容具体要求依据国家等级保护相关标准《GB/T22239-2019 网络安全等级保护基本要求》、《GB/T
28448-2019 网络安全等级保护测评要求》,并派遣项目管理经验丰富、沟通能力强且具备项目管理、应用工程师等相关认证的人员为本项目的项目经理,对各信息系统进行等级保护测评,并根据三级等保 2.0 相关要求,为采购人提供测评和咨询服务,主要包括以下几个方面:
1)确定测评范围
协助采购人确定本次项目建设三级等保测评范围。
2)安全技术测评
进行安全物理环境、安全通信网络、安全计算环境、安全区域边界、安全管理中心等技术层面进行现场测评和差距分析,记录相关的测评结果。
3)安全管理差距测评
对采购人安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等管理层面进行现场测评和差距分析,记录相关的测评结果。
4)工具测试
针对重要信息系统进行漏洞扫描、渗透测试等安全服务工作。
5)差距测评记录撰写、定稿
根据技术、管理测评和工具测试结果,按照标准测评报告模板撰写测评记录,定稿后交采购人,为下阶段开展整改工作提供依据。
6)提供整改建议书
根据测评结果和整改建议,提出可行性整改方案,并提供相应的整改建议书。
7)协助完成等级保护整改
根据整改建议书中的建议,由中标人协助采购人开展基于三级等保要求的差距项整改。对涉及到安全管理差距部分的整改,由中标人协助采购人完成安全管理制度初稿编制。协助采购人在一年内进行不少于两次的检查,以验证技术整改和安全管理制度的适用性和有效性。最终,协助采购人完成差距项的整改。
8)形成等级测评结论及测评报告提交
由中标人提交信息系统三级等保测评结论,编制《等级保护测评报告》报市公安局网安支队。
9)咨询服务
在服务期间,为采购人提供定级备案协助、对标差距分析、职位职责梳理、管理体系建设等咨询服务。
10)培训服务
中标人需要为采购人提供线上或线下的信息安全技术培训,由具备专业培训资格的讲师针对网络信息安全相关内容进行授课,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度、信息安全管理制度和相关流程等内容。
11)其他需求
为本项目服务的等级保护测评服务机构应按安徽省或合肥市行业主管部门的规定办理相关手续(如备案等)。如达不到备案要求,中标人应无条件复测并出具相应信息系统网络安全等级保护测评报告,直至完成备案工作。
3、测评实施原则
1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究成交供应商的责任。
2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
3)规范性原则:成交供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
成交供应商应严格依照上述原则和国家等级保护相关标准开展项目,为保证项目顺利实施成交供应商具备完善的信息安全、职业、安全服务管理体系实施工作。
四、评判标准
采购方针对此次询价成立询价小组,询价小组按相关要求由合肥市自然资源和规划局相关成员组成。
本项目每包综合评分满分为100分,其中:技术资信分值占总分值的权重为90%,价格分值占总分值的权重为10%。具体评分细则见附件中的评分表。
五、投标响应文件递交截止时间
2022年10月8日17:30之前将纸质资料递交或邮寄至:合肥市自然资源和规划局,地址:合肥市政务区怀宁路1800号国土规划大厦415办公室,期间如有疑问,请与周工联系,联系电话:0551-62779739。未递交(或未寄至),视为自动放弃。
六、投标响应文件开启时间及地点
2022年10月9日9:00,合肥市国土规划大厦,如有变化,另行通知,响应文件开启时供应商无需现场汇报。
七、结果通知及其他
本项目开标后3个工作日内在合肥市自然资源和规划局网站进行结果公示,公示期3个工作日,如有异议,请于公示期内向合肥市自然资源和规划局反映,联系电话:0551-62779739。
附件:评分表.pdf
如果内容不能正常显示,请安装pdf浏览器插件, 或下载本PDF文档 [鼠标右键点击此处“链接另存为”]。
(请点击下载)
合肥市自然资源和规划局
2022年9月23日
合肥市交通规划数据模型及应用平台建设项目为我局今年新建设的市级政府投资公益性信息化项目,该项目主要通过构建交通规划数据模型及应用平台为我市交通分析预测提供技术支撑,目前项目正在组织实施,我单位拟以询价方式择优采购合肥市交通规划数据模型及应用平台建设(项目监理包、第三方检测包、等保测评包)项目,现邀请各相关单位就以下采购内容予以报价,具体情况如下:
一、采购内容
(一)项目监理包
本项目采购为对合肥市交通规划数据模型及应用平台建设项目建设内容挑选监理,负责对其建设内容进行全过程监理。
(二)第三方检测包
本项目采购为对合肥市交通规划数据模型及应用平台建设项目建设内容挑选第三方检测单位,负责对上述建设内容进行软件检测服务。
(三)等保测评包
本项目采购为对合肥市交通规划数据模型及应用平台建设项目建设内容挑选等保测评单位,负责对上述建设内容进行等保测评服务。
注:本项目投标单位可以同时投报多个包,但只能中标其中一个包,如果投标单位在所投的多个标包中评审结果均排名第一时,则按顺序(项目监理包/第三方检测包/等保测评包)逐包确定第一中标候选人,并自动放弃其余包的第一中标候选人资格。
二、相关要求
(一)项目经费及支付方式
(1)资金来源:财政资金。
(2)预算金额:25.19万元(项目监理包7.68万元,第三方检测包8.51万元,等保测评包9.0万元)。
(3)付款方式:项目竣工验收后一次性无息支付全部合同金额。
(二)资格要求
(1)投标人符合《中华人民共和国政府采购法》第二十二条规定的条件的法人。
(2)本项目不接受联合体投标。
(3)本项目三个包别专门面向中小企业。
(三)投标报价
本项目按各包分别报总价,投标人的报价应包含完成全部工作及服务所涉及的所有材料、资料、劳务、利润、税金、保险、验收、政策性文件规定及合同包含的所有风险、责任、义务等一切应有费用。
(四)完成时限
本项目完成时限:合同签订之日起至合肥市交通规划数据模型及应用平台建设项目整体通过竣工验收止。
(五)投标响应文件要求
(1)投标响应文件包含投标函(格式自拟)、法人代表授权委托书原件(格式自拟)、报价表原件(格式自拟)、营业执照复印件、业绩合同复印件等材料,所有复印件需加盖单位公章,具体文件格式按市采购相关要求执行。
(2)投标响应文件提供正本1份,副本4份,并分别装订成册,采用胶订、平订或线订等,不得采用活页装订方式。
(3)投标响应文件应装袋密封,封面写明项目名称、报价单位名称,并在封口盖章。
三、工作内容及要求
(一)项目监理包
1、项目组织及技术总体方案的把关
按照信息技术服务咨询设计标准审核和确认承建单位的总体技术方案(系统集成方案、平台软件设计方案、传输网络建设方案及网络安全、等级保护、风险评估等工作);
审核和确认承建单位的组织实施方案;
审核和确认承建单位的工程质量保证计划及质量控制体系;
审核和确认承建单位的配置管理方案;
审核和确认承建单位的测试计划;
审核和确认承建单位的工程进度计划;
明确项目质量控制的关键性环节;
根据承建单位和成交供应商签订的合同,确定本项目实施和验收的技术标准;
确定验收的软件模块、设备清单、到货时间及相关要求。
2、 质量控制
1)应用软件开发质量的控制
软件开发计划的审核和确认;
对软件开发的需求分析、概要设计、详细设计、应用测试等每个开发阶段进行审核;
对承建单位的开发质量记录进行审核;
源代码及应用程序的移交验收;
参与对应用软件的总体验收。
2)系统质量保证检测
项目根据需要进行测试的,应协助采购人委托专业机构完成。
3)系统安全质量控制
负责系统安全方案的审核和确认;
对安全系统的采购、安装、调试、配置过程的监督;
4)培训的质量控制
审核确认承建单位的培训计划;
监督承建单位实施其培训计划,并征求用户的反馈意见;
审核确认承建单位的培训总结报告。
3、进度控制
审核承建单位的进度分解计划,确认分解计划可以保证总体计划目标;
对项目实施进度进行实时跟踪,并要求承建单位对进度计划进行动态调整,以确保项目的阶段和总体进度目标的实现;
当工期目标出现偏离时,应及时指出,并提出对策建议,同时督促承建单位尽快采取措施。
4、投资控制
通过对系统的总体设计方案和项目实施中的方案及设计的评估和优化,确保投资控制在预算和合理、性价比高的范围内。
协助采购人将付款进度与工程质量的进度结合起来;
负责根据相关文件要求,做好方案变更、审核报送工作。
5、合同管理
跟踪检查合同的执行情况,确保承建单位按时履约;
对合同工期的延误和延期进行审核确认;
对工程暂停,复工等事宜进行审核确认;
对合同变更、索赔、违约等事宜进行审核确认;
根据合同约定,审核承建单位提交的支付申请;
建立变更控制系统;对工程变更控制,明确界定项目变更的目标,防止变更范围的扩大化,加强变更风险以及变更效果的评估;
任何变更都要得到三方(采购人、监理单位和承建单位)的书面确认。
6、信息管理/工程文档管理
根据采购人要求提出相应的项目文档管理规范;
做好监理日记及工程大事记;
做好合同批复等各类往来文件的批复与存档;
做好项目协调会、技术专题会的会议纪要;
管理好实施期间的各类技术文档;
提交验收所需的管理文档汇编;
项目周报、月报;
监理工程师通知;
阶段性项目总结。
7、项目安全的管理
协助承建单位编制有关安全保密工程技术方案;
负责项目建设施工过程中安全控制,防止出现安全事故。
8、项目知识产权的管理
负责项目建设过程中所产生成果的知识产权保护,防止被非授权使用;
负责项目建设过程中涉及知识产权的产品和系统的使用审核,保证不在本项目建设中出现违反知识产权的行为。
9、项目的协调和组织
接受委托,负责协调项目所涉及的各单位之间的工作关系,并协调解决项目建设过程中的各类纠纷。
监理方应通过必要的会议制度来实施协调工作,主要包括项目例会、专题讨论会、专家评审会、问题通报会、监理协调会、监理交底会、阶段工作总结会、阶段以及最终验收会和参与采购人组织的有关会议等。
10、咨询及项目管理服务
根据《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号)第二十五条之规定,在项目建设过程中提供咨询意见,应具有信息安全风险评估和软件测试能力,并协助采购人完成信息/网络信息安全等级保护、风险评估和商用密码评估等相关工作。
11、移交及质保相关服务
组织承建单位做好验收、移交工作;
须组织、督促承建单位做好整个质保期内相关维护工作。
成交供应商应严格依照相关国家和行业标准开展项目,为保证项目顺利实施成交供应商具备完善的质量、环境管理、信息安全、信息技术服务管理体系实施工作。
(二)第三方检测
1、检测依据
系统的检测需遵守国家现行的规范与标准,对我国未制定的规范,可参照对应的国际标准执行。
检测工作依据至少包括但不局限于:
1)采购人与承建单位签订的项目建设合同;
2)与系统相关的技术资料;
3)GB/T
25000.51-2016《系统与软件工程系统与软件质量要求和评价第51部分:就绪可用软件产品的质量要求和测试细则》;
4)国家、地方及行业相关的技术标准
2、工作要求
1)质量要求
① 测试报告内容及数据应准确、完整、客观、公正;
② 测试服务质量应符合评测规范中的相关要求,且技术评测结果及报告必须提交最终用户确认。
③为保证本次测评服务的质量,要求派遣具有丰富项目管理经验人员担任项目负责人,并要求具有相关职业资格证书(软件测试方面的资格证书)的技术人员参与项目测试工作。
④项目实施严格按照国家及行业标准进行,项目实施中所使用的测试工具应具有正版授权或自主知识产权。
2)检测任务
围绕检测工作目标,成交供应商需完成的任务包括但不限于:
①编写测试方案,对项目测试内容进行阐述,并提出项目对应的测试通过准则及测试实施计划。
②开展基础的系统检测,提供测试和质量保证服务,根据平台的需求及业务功能特点,对各数据进行检测,对标准进行校验及对应用系统各软件进行功能测试;根据平台对信息应用系统的性能的要求,对系统进行性能测试,验证系统的运行性能能否满足预定指标,是否可提供稳定、可靠的服务。
③完成项目的验收测试工作后,根据测试情况,出具验收评测报告。
3、检测内容
在合肥市交通规划数据模型及应用平台完成组件开发、集成工作后,参照系统功能设计,根据软件开发模型的不同,采用符合实际的方法对系统进行系统测试,验证指定的需求是否已经满足;总体开发完成后,进行验收测试,即确认提供的产品完全达到了预期的用途,对软件进行评价以证实它是否和软件需求相一致;对于测试中发现的问题,承建方整改后,检测机构需要进行回归测试,在修改缺陷后验证是否有新的缺陷引入。
软件部分测试工作具体内容包括但不限于:
1)功能测试
功能测试要求成交供应商依据用户对系统建设的整体功能方向,对系统涉及到的所有业务逻辑、功能逻辑、功能项的全覆盖评测。包含但不限于以下内容:
适合性:系统为制定的任务和用户目标提供一组核实的功能的能力。
准确性:系统提供具有所需精度的正确或相符的结果或效果的能力。
互操作性:系统与一个或更多的规定系统进行交互的能力。
一致性:系统功能及数据实现与用户文档相互符合的能力。
2)性能测试
性能评测要求成交供应商通过站在用户体验的角度,使用专业的负载生成设备,在性能模型的基础上验证系统是否能够达到用户提出的性能指标,是否符合用户文档中对系统设计时的性能关注点。在系统正常交互量及峰值交互量的情况下发现系统中存在的性能瓶颈,优化软件,最后达到优化系统的目的。包含但不限于以下内容:
并发数:选择典型业务,调研系统最大并发数据,进行并发测试。
时间特性:在达到并发或吞吐量的指标后,系统还必须让最终用户能够及时完成他们的任务。响应时间为主要考核指标,响应时间=网络响应时间+应用处理时间。
资源利用性:在规定条件下,软件产品执行其功能时,使用合适数量和类别的资源的能力。
吞吐量:对于交互式应用来说,吞吐量指标反映的是服务器承受的压力。
3)安全性测试
根据《中华人民共和国网络安全法》第二十一条规定,防止网络数据泄露或者被窃取、篡改;应用系统是提供对外服务,很容易被黑客利用;为了使系统在上线前能最大限度地堵住安全漏洞,需对系统进行漏洞扫描测试。包含但不限于以下内容:
身份认证:用户认证的密码,具有口令长度要求,复杂度要求以及定期更新的特点;应具有登录失败的处理功能,结束会话以及限制登录次数;应用系统能设置用户鉴别的口令复杂度和鉴别的方式等和对匿名用户应该限制访问应用资源和登录频率;
安全审计:必须覆盖到系统每个用户,包括临时用户;必须记录应用系统的
安全相关事件,必须记录重要用户行为和重要系统功能执行状态;必须记录操作时间,类型,事件结果等和安全审计记录必须受到保护,防止遭到篡改和覆盖;
资源控制:应用系统应支持单个用户的会话限制和应支持对特定用户,ip的会话限制;
数据安全:应用系统支持防止对未认证用户的访问;应用系统支持防止认证用户对未授权数据的访问;数据必须支持集中存储,端不留密的原则;系统能检索数据破坏和恶意修改,并且能自动恢复和应用系统提供自动备份和恢复重要数据的机制;
漏洞扫描检查方面:主要包括 HTTP 响应分割、LDAP 注入、SQAP
数组滥用、
SQL 注入、SSI 注入、URL 复位向器滥用、XML 实体扩展、XML
外部实体、XML 属性放大、Xpath 注入、不安全索引、操作系统命令等检查。所有的安全性测试行为将在客户的书面明确授权和监督下进行。通过系统漏洞扫描利用、端口扫描、服务扫描利用、密码攻击、权限攻击、SQL 注入攻击、XSS 跨站脚本攻击、应用层框架漏洞、远程缓冲区溢出攻击和病毒木马攻击等,对目标网络和系统进行测试。
测试完成后,形成渗透测试报告并提供加固建议,待加固后复查测试。使得网络系统能够提升安全质量,在一定程度上抵御黑客的攻击。
4)文档测试
文档是系统的非软件部分,经常会被忽略。同时文档也是系统的重要组成部分,它不但可以提供系统开发指导,也在系统后期的使用指导、后期维护、二次开发中扮演着不可替代的角色。中标人应通过文档测试,对系统所属的文档集进行查缺,对单一文档是否可以正确、简明的指引用户对系统的认识、理解、维护的能力进行评价。包含但不限于以下内容:
完备性:验证系统文档集中的文档类目是否完全可以覆盖系统从立项、设计到后期维护等各生命周期中需要被定义的工作过程。
正确性:文档中内容描述正确,无错误、无歧义、无模糊化描述。
一致性:文档中内容与实际系统的实际要求相符合,无差异化描述。
易理解性:文档中内容以图文并茂的方式进行描述,并应采用该系统读者可理解的术语和文体,用直观、易懂的描述语言。
易学性:文档中内容便于浏览,逻辑关系清晰,应为用户学会如何使用该系统提供必要的信息。
可操作性:文档应注明必要的操作模式,并提供目次和索引,对于不常用的数据和首字母缩略语应加以定义。
4、保密要求
涉及本项目的所有资料都视为内部涉密数据,成交供应商有责任和义务保证项目所涉及全部内容的保密和安全,不得在其他任何场合以任何手段使用。对于本项目中所涉及的全部内容的安全保密,服务实施前成交供应商需向采购人提供书面的保密保证。对于成交供应商未经采购人书面同意,以任何方式和渠道泄露秘密的情况,成交供应商将承担由此造成的一切损失并承担法律责任。成交供应商需建立完善的安全和保密体制,在本项目结束后,需将本次安全服务中所使用和拥有的采购人的资料进行归档和清点并归还,对于不能归还的资料进行书面说明由双方进行协商处理,成交供应商应在项目实施前与采购人签订保密协议。
(三)等保测评
1、测评目的
进一步提高合肥市交通规划数据模型及应用平台的整体安全防护水平,依托有资质的第三方等保测评技术服务单位对合肥市交通规划数据模型及应用平台及网络实施等级保护测评工作,找出系统和网络存在的安全漏洞及隐患,为合肥市交通规划数据模型及应用平台的后续整改、加固工作提供建议和决策依据。从而进一步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,保障合肥市交通规划数据模型及应用平台安全、稳定的运行。
2、测评内容
2019年5月13日,国家颁布了等级保护2.0技术标准,确定实施时间为2019年12月;等级保护测评内容具体要求依据国家等级保护相关标准《GB/T22239-2019 网络安全等级保护基本要求》、《GB/T
28448-2019 网络安全等级保护测评要求》,并派遣项目管理经验丰富、沟通能力强且具备项目管理、应用工程师等相关认证的人员为本项目的项目经理,对各信息系统进行等级保护测评,并根据三级等保 2.0 相关要求,为采购人提供测评和咨询服务,主要包括以下几个方面:
1)确定测评范围
协助采购人确定本次项目建设三级等保测评范围。
2)安全技术测评
进行安全物理环境、安全通信网络、安全计算环境、安全区域边界、安全管理中心等技术层面进行现场测评和差距分析,记录相关的测评结果。
3)安全管理差距测评
对采购人安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等管理层面进行现场测评和差距分析,记录相关的测评结果。
4)工具测试
针对重要信息系统进行漏洞扫描、渗透测试等安全服务工作。
5)差距测评记录撰写、定稿
根据技术、管理测评和工具测试结果,按照标准测评报告模板撰写测评记录,定稿后交采购人,为下阶段开展整改工作提供依据。
6)提供整改建议书
根据测评结果和整改建议,提出可行性整改方案,并提供相应的整改建议书。
7)协助完成等级保护整改
根据整改建议书中的建议,由中标人协助采购人开展基于三级等保要求的差距项整改。对涉及到安全管理差距部分的整改,由中标人协助采购人完成安全管理制度初稿编制。协助采购人在一年内进行不少于两次的检查,以验证技术整改和安全管理制度的适用性和有效性。最终,协助采购人完成差距项的整改。
8)形成等级测评结论及测评报告提交
由中标人提交信息系统三级等保测评结论,编制《等级保护测评报告》报市公安局网安支队。
9)咨询服务
在服务期间,为采购人提供定级备案协助、对标差距分析、职位职责梳理、管理体系建设等咨询服务。
10)培训服务
中标人需要为采购人提供线上或线下的信息安全技术培训,由具备专业培训资格的讲师针对网络信息安全相关内容进行授课,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度、信息安全管理制度和相关流程等内容。
11)其他需求
为本项目服务的等级保护测评服务机构应按安徽省或合肥市行业主管部门的规定办理相关手续(如备案等)。如达不到备案要求,中标人应无条件复测并出具相应信息系统网络安全等级保护测评报告,直至完成备案工作。
3、测评实施原则
1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究成交供应商的责任。
2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
3)规范性原则:成交供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
成交供应商应严格依照上述原则和国家等级保护相关标准开展项目,为保证项目顺利实施成交供应商具备完善的信息安全、职业、安全服务管理体系实施工作。
四、评判标准
采购方针对此次询价成立询价小组,询价小组按相关要求由合肥市自然资源和规划局相关成员组成。
本项目每包综合评分满分为100分,其中:技术资信分值占总分值的权重为90%,价格分值占总分值的权重为10%。具体评分细则见附件中的评分表。
五、投标响应文件递交截止时间
2022年10月8日17:30之前将纸质资料递交或邮寄至:合肥市自然资源和规划局,地址:合肥市政务区怀宁路1800号国土规划大厦415办公室,期间如有疑问,请与周工联系,联系电话:0551-62779739。未递交(或未寄至),视为自动放弃。
六、投标响应文件开启时间及地点
2022年10月9日9:00,合肥市国土规划大厦,如有变化,另行通知,响应文件开启时供应商无需现场汇报。
七、结果通知及其他
本项目开标后3个工作日内在合肥市自然资源和规划局网站进行结果公示,公示期3个工作日,如有异议,请于公示期内向合肥市自然资源和规划局反映,联系电话:0551-62779739。
附件:评分表.pdf
如果内容不能正常显示,请安装pdf浏览器插件, 或下载本PDF文档 [鼠标右键点击此处“链接另存为”]。
(请点击下载)
合肥市自然资源和规划局
2022年9月23日
解决方案
联系我们
返回顶部