沈阳市重点桥隧安全运行监测预警项目（二次公告）竞争性磋商公告

002包（第三方测试）服务需求

一、总体要求★

为确保沈阳市重点桥隧安全运行监测预警系统的各项功能是否完善，各项性能指标是否达到预期要求，保证其上线稳定安全运行。对本项目周期内要求的系统进行全量第三方测试，最终出具符合CNAS（中国合格评定国家认可委员会）标准的软件测试报告。测评依据为以上系统的采购人确认的软件需求规格说明书，测试类型具体包括系统功能测试、性能测试、验收测试、可靠性测试、安全性测试、易用性测试、可扩展性测试、源代码审查等。测试执行的结果应对采购人负责。

二、第三方测试服务内容★

（一）测试原则

1、投标方应依据相关国家标准、行业标准开展评测工作。

2、投标方应确保测试报告符合本项目委托要求。

3、投标方对服务过程中接触到的各种信息，不得泄漏给任何单位和个人，未经允许不得利用这些信息从事与本项目服务无关的活动。

（二）测试范围

应用软件测试主要是对沈阳市重点桥隧安全运行监测预警系统的应用软件进行测试。软件测试范围应覆盖本项目应用软件的所有功能和非功能性要求，具体测试范围由委托方与投标方沟通确认。测试内容包含功能性测试、性能效率测试、信息安全性测试。

（三）测试过程

软件测试工作应在软件部署完成后，按照合同约定开展测试。软件测试的测试项以委托方确认的测试需求为准，发现问题之后的回归测试所需的时间视情况另行约定。

测试执行过程中，至少包括如下关键过程：

1）测试计划制订；

2）测试设计；

3）测试环境准备；

4）测试执行；

5）测试结果分析总结。

（四）测试实施要求

1、在实施项目之前，应提交实施方案及可能出现的破坏性结果。

2、应确保软件测评人员严格按照测试流程的要求实施操作，以避免在测试过程中对系统造成损害。

3、应提交详细的工作计划，并随时汇报项目情况，并根据要求及本项目建设进度情况，调整下一步工作计划和要求。

4、应保证提供服务的团队人员的数量和素质满足履行该项目合同的要求。保证团队的稳定性，未经同意不得随意更换团队成员。

5、需在测试过程中对测试相关的文档进行有效管理，包括各种文档提交、评审、版本控制等，并将测试文档及时向委托方提供。

6、需对整个测试过程进行标准化、流程化管理，逐步完成软件验收测试的各个步骤，最终形成并上交测试报告。

7、测试项目过程中提供咨询服务，对被测软件产品在测试过程中提供各个阶段的咨询服务和建议。

（五）其他要求

为保证测试的公正和准确，测试所采用的测试工具均为第三方测试工具，并且在投标文件中需写出具体的工具介绍和使用计划，投标方应对测试过程中使用的各种软件的版权负责。如果因此引起版权纠纷，由投标方承担相应责任。

本项目测试分为两轮，初测和回归测试。

1、初测：测试合同签订，被测试项目软件部署完成后30日内完成软件测试的第一轮测试；

2、回归测试：被测试项目软件开发单位问题修改完成后，进行回归测试，回归测试一轮，经测试通过，出具测试报告。

提供符合相关标准要求的测试报告。

003包（密码应用安全性评估）服务需求

一、总体要求★

依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法》（国家密码管理局第3号）、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《商用密码应用安全性评估测评作业指导书（试行）》、GBT 43207-2023 《信息安全技术 信息系统密码应用设计指南》等标准规范、指导性文件及管理要求，对沈阳市重点桥隧安全运行监测预警系统进行评估，并出具商用密码应用安全性评估报告。如未能一次通过测评，供应商应提供整改建议，并指导甲方进行整改，直至通过评估。

二、详细要求★

（一）商用密码总体要求测评

1、密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

2、密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

3、密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

4、密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（二) 密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。

（三）密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

（四）安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度,人员管控,信息系统实施,应急预案。

1、安全管理制度维度,包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

2、人员管控维度,包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

3、信息系统实施维度,包括但不限于下列内容与措施：信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

4、应急预案维度,包括但不限于下列内容与措施：应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。