沈阳市重点桥隧安全运行监测预警项目竞争性磋商公告

001包（网络安全等级保护测评）服务需求

一、总体概述★

依据《中华人民共和国计算机信息系统安全保护条例》《信息安全等级保护管理办法》规定，招标单位将选择具有国家相关技术资质和安全资质的测评单位，按照测评相关标准进行安全测评。

二、测评范围★

测评单位按照网络安全等级保护测评2.0标准进行信息安全等级测评，并符合公安监管部门要求。测评对象为沈阳市重点桥隧安全运行监测预警系统，完成以上系统的信息安全等级保护定级备案、测评工作，出具《等保测评报告》并到市公安局备案。对测评范围内的系统从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个方面进行测评，对系统进行漏洞分析和渗透测试验证，评估安全差距。

测评通过后，测评机构出具测评结论为合格（60分以上）的《网络安全等级保护测评报告》；如被测评系统未能一次通过测评，测评机构应编制具有针对性的整改建议指导被测评单位进行整改，在10日内完成系统复测工作，出具测评结论为合格（60分以上）的《网络安全等级保护测评报告》。

如因被测评单位原因在10日内未能完成复测工作，测评机构出具测评结论为不合格（60分以下）的《网络安全等级保护测评报告》，并向采购人提交整改完成后的书面复测承诺。

三、服务内容★

（1）依据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018)等相关标准，对系统进行等级保护测评工作（含等保测评相关一切费用），并出具符合《信息安全技术-网络安全等级保护基本要求》（GB/T 22239-2019）相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。

（2）依据《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评要求》（28448-2019）相关要求，协助编制符合采购人日常网络安全管理要求且覆盖网络安全等级保护要求的安全管理制度文档，包括但不限于如下内容：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

四、其他要求

为保证服务项目的交付质量，供应商在项目人员和服务工具配置上需满足以下要求：

要求提供的测评人员必须具有公安部信息安全等级保护评估中心（或中关村信息安全测评联盟）颁发的《信息/网络安全等级测评师证书》，项目组成至少包括3名测评师，分别为1名负责人、2名测评技术人员。

五、服务成果★

提供符合《信息安全技术-网络安全等级保护基本要求》（GB/T 22239-2019）相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。

002包（第三方测试）服务需求

一、总体要求★

为确保沈阳市重点桥隧安全运行监测预警系统的各项功能是否完善，各项性能指标是否达到预期要求，保证其上线稳定安全运行。对本项目周期内要求的系统进行全量第三方测试，最终出具符合CNAS（中国合格评定国家认可委员会）标准的软件测试报告。测评依据为以上系统的采购人确认的软件需求规格说明书，测试类型具体包括系统功能测试、性能测试、验收测试、可靠性测试、安全性测试、易用性测试、可扩展性测试、源代码审查等。测试执行的结果应对采购人负责。

二、第三方测试服务内容★

（一）测试原则

1、投标方应依据相关国家标准、行业标准开展评测工作。

2、投标方应确保测试报告符合本项目委托要求。

3、投标方对服务过程中接触到的各种信息，不得泄漏给任何单位和个人，未经允许不得利用这些信息从事与本项目服务无关的活动。

（二）测试范围

应用软件测试主要是对沈阳市重点桥隧安全运行监测预警系统的应用软件进行测试。软件测试范围应覆盖本项目应用软件的所有功能和非功能性要求，具体测试范围由委托方与投标方沟通确认。测试内容包含功能性测试、性能效率测试、信息安全性测试。

（三）测试过程

软件测试工作应在软件部署完成后，按照合同约定开展测试。软件测试的测试项以委托方确认的测试需求为准，发现问题之后的回归测试所需的时间视情况另行约定。

测试执行过程中，至少包括如下关键过程：

1）测试计划制订；

2）测试设计；

3）测试环境准备；

4）测试执行；

5）测试结果分析总结。

（四）测试实施要求

1、在实施项目之前，应提交实施方案及可能出现的破坏性结果。

2、应确保软件测评人员严格按照测试流程的要求实施操作，以避免在测试过程中对系统造成损害。

3、应提交详细的工作计划，并随时汇报项目情况，并根据要求及本项目建设进度情况，调整下一步工作计划和要求。

4、应保证提供服务的团队人员的数量和素质满足履行该项目合同的要求。保证团队的稳定性，未经同意不得随意更换团队成员。

5、需在测试过程中对测试相关的文档进行有效管理，包括各种文档提交、评审、版本控制等，并将测试文档及时向委托方提供。

6、需对整个测试过程进行标准化、流程化管理，逐步完成软件验收测试的各个步骤，最终形成并上交测试报告。

7、测试项目过程中提供咨询服务，对被测软件产品在测试过程中提供各个阶段的咨询服务和建议。

（五）其他要求

为保证测试的公正和准确，测试所采用的测试工具均为第三方测试工具，并且在投标文件中需写出具体的工具介绍和使用计划，投标方应对测试过程中使用的各种软件的版权负责。如果因此引起版权纠纷，由投标方承担相应责任。

本项目测试分为两轮，初测和回归测试。

1、初测：测试合同签订，被测试项目软件部署完成后30日内完成软件测试的第一轮测试；

2、回归测试：被测试项目软件开发单位问题修改完成后，进行回归测试，回归测试一轮，经测试通过，出具测试报告。

提供符合相关标准要求的测试报告。

003包（密码应用安全性评估）服务需求

一、总体要求★

依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法》（国家密码管理局第3号）、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《商用密码应用安全性评估测评作业指导书（试行）》、GBT 43207-2023 《信息安全技术 信息系统密码应用设计指南》等标准规范、指导性文件及管理要求，对沈阳市重点桥隧安全运行监测预警系统进行评估，并出具商用密码应用安全性评估报告。如未能一次通过测评，供应商应提供整改建议，并指导甲方进行整改，直至通过评估。

二、详细要求★

（一）商用密码总体要求测评

1、密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

2、密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

3、密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

4、密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（二) 密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。

（三）密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

（四）安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度,人员管控,信息系统实施,应急预案。

1、安全管理制度维度,包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

2、人员管控维度,包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

3、信息系统实施维度,包括但不限于下列内容与措施：信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

4、应急预案维度,包括但不限于下列内容与措施：应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。

004包（项目管理）服务需求

一、项目概况

1.项目规模：该项目计划对大成桥、东塔桥、公和桥、三好桥、北一路公铁桥、文化路立交桥及五爱隧道等沈阳市重点桥隧实施安全运行监测预警，主要建设内容包括硬件设备部署、应用软件开发、应用软件购置及五爱隧道生命线系统升级等。其中，硬件设备部署包括终端外设、监测前端显示设备、五爱隧道安全监测设备、存储设备及网络设备等硬件设备购置;应用软件开发包括沈阳市重点桥隧安全运行监测预警平台，含用户交互子系统、风险监测子系统、分析预警子系统、智慧化管养子系统、联动处置子系统及数据管理子系统等;应用软件购置包括五爱隧道中控子系统、五爱隧道视频检测子系统等;五爱隧道生命线系统升级包括五爱隧道安全监测配套工程、五爱隧道动力照明升级、五爱隧道电力升级等。

2.项目地址：共涉及六座桥梁及一个隧道，包括大成桥、东塔桥、公和桥、三好桥、北一路公铁桥、文化路立交桥及五爱隧道。

二、招标人对项目管理工作的具体要求

以下为招标人对项目管理工作的具体要求。

1.工作范围:建设管理工作，包括但不限于：对沈阳市重点桥隧安全运行监测预警项目进行全过程项目管理服务。

2.工作程序规定：包括但不限于：工程现场管理、进度控制管理、质量控制管理、投资控制管理、安全控制管理、信息与档案管理、合同管理、风险管理、工程竣工验收管理、运营维护阶段管理、项目内外关系协调管理、后期档案管理等。

3.工作质量、进度要求： 达到验收合格标准、按招标人要求控制施工进度。

4.其他要求：无。