沈阳市数据资源治理项目招标公告

本项目为沈阳市数据资源治理项目，整体要求如下：

一、 数据资源梳理

二、 治理标准实施

三、 数据归集实施

四、数据资源治理

五、数据治理平台

详细内容详见招标文件。

一、监理技术要求

1、总体要求

监理项目为沈阳市数据资源治理项目,范围包括数据资源梳理、治理标准实施、数据归集实施、数据资源治理、数据治理平台五部分。在监理服务范围内,依据国家有关信息系统的法律、法规、技术规程、规范、标准以及工程建设文件,监理单位承担全部工作的监理服务,按照《信息化工程监理规范》总则及各分册的要求,对各系统的质量、进度、投资、风险进行全方位、全过程控制，进行项目的合同管理、变更管理、配置管理、文档管理、人员管理、信息管理以及安全文明实施的监理,负责系统建设过程中的组织协调等工作,使项目建设按既定目标顺利进行。

2、实施阶段服务内容及要求

监理单位应加强项目实施方案审核,促使项目中所使用的产品和服务符合委托合同及国家相关法律、法规和标准；明确项目实施计划,对于计划的调整应合理、受控；促使项目实施过程满足委托合同的要求,并与项目设计方案、项目计划相符。监理单位应完成（包括但不限于）如下工作：

1) 项目实施前,监理单位应审核被委托单位提交的质量管理计划、项目实施计划,审核后签署监理审核意见。

2) 项目实施前,监理单位应组织建设单位、被委托单位召开项目实施启动会,要求被委托单位落实实施计划、实施方案和必要的准备工作,会议内容做会议纪要,并经三方签认。

3) 项目实施前,监理单位应审核被委托单位提交的项目实施方案,审核后签署监理意见。

4) 监理单位应审核被委托单位提交的开工申请,检查项目准备情况。项目实施条件具备时,总监理工程师应签发开工令,并报建设单位开始项目实施。

5) 监理单位应监督合同执行情况,通过监理周报、月报、阶段性报告定期向建设单位提交监理报告,跟踪项目的质量、进度、投资完成情况。

6) 监理单位应对项目质量进行全过程监督管理,在加强现场管理工作的前提下对重要部位和关键点应采取“旁站监理”的方式,检查项目进度和质量,做好隐蔽工程的签证；对发现的可能影响质量的问题及时指令被委托单位采取措施解决,必要时发出停工、返工的指令。

7) 监理单位做好监理日志,随时记录实施中有关质量、进度等方面的问题,并对发生质量问题的现场及时拍照或录相。

8) 监理单位织对被委托单位提供的产品及服务进行验收,对验收结果做验收记录,并经三方签认；对不符合合同或相关标准规定的产品及服务应拒绝签认。没有被签认的产品及服务不得在项目实施中应用。

9) 监理单位应按计划检查被委托单位项目实施状况、人员与实施方案的一致性。

10) 监理单位应执行已确定的阶段性质量监督、控制措施及方法,并做监理日志。出现项目质量问题时,经确认后监理机构签发监理通知单,报建设单位、被委托单位,责令被委托单位整改。

11) 监理单位应及时处理被委托单位提交的项目中关键环节的实施申请,审核其合理性后签认,报建设单位批准；必要时,监理机构应检查被委托单位重要项目步骤的衔接工作,做监理日志。未经监理工程师检查认可,被委托单位不能进行与之相关的下一步骤的实施。

12) 监理单位应及时处理工程变更申请,审核变更的合理性,保证项目总体质量不受影响；监理机构应从目标系统的质量、进度和投资等方面审查工程变更,由于变更引起投资的改变应按照合同的相关条款执行。在合同中没有规定的,应在变更实施前与建设单位、被委托单位协商确定变更导致的投资变化,并作工程备忘录。

13) 当出现项目事故时,监理单位应要求被委托单位在事故发生后立即采取措施,尽可能控制其影响范围,并及时签发停工令,报建设单位,并与建设单位、被委托单位共同确认初步处理意见；监理单位应监督被委托单位采取措施,查清事故原因,审核被委托单位提出的事故解决方案及预防措施,提出监理意见,提交建设单位签认；监理单位应审查被委托单位报送的事故报告及复工申请,条件具备时签发复工令。

14) 监理单位若发现项目实施过程存在重大质量隐患,应及时向被委托单位签发停工令,并报建设单位,监督被委托单位进行整改。整改完毕后,及时处理被委托单位的复工申请。

15) 监理单位应根据项目总进度计划,编制控制性总进度计划,并协助建设单位编制总体进度计划或实施总进度计划；审批实施总进度计划以及分年的年、季、月计划；跟踪监督、检查、记录进度计划的实施；对实际进度进行对比、检查、分析,对出现的偏差采取应对措施；审查被委托单位的进度报告,并编报监理报告。

16) 监理单位应对项目实际进度做好记录和统计工作,并进行经常性和阶段性的项目实际进度与计划进度的对比分析,检查进度偏差的程度和产生的原因,分析预测进度偏差对后续实施工序和项目的影响程度,并提出指导性的解决措施。当项目实际进度与计划进度相比发生较大偏差而有可能影响合同工期目标的实现时,监理单位应提出进度计划的调整意见,并指导被委托单位相应调整进度计划。进度计划的重大调整应书面报建设单位批准；

17) 监理单位应依据委托合同及其补充协议,审核被委托单位提交的项目阶段性报告和付款申请签发工程款支付意见,报建设单位签认。

18) 监理单位应对项目实施阶段三方共同参与的过程和活动做工程备忘录；并检查督促被委托单位按规程规范实施、文明安全实施,防止因出现质量、安全事故及环保问题。

19) 监理单位应根据需要及时组织专题会议,解决项目实施过程中的各种专项问题,并做会议纪要,提交建设单位和被委托单位。

3、验收阶段服务内容及要求

监理单位应评审项目测试验收方案（验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等）的符合性及可行性；促使项目的最终功能和性能符合委托合同、法律、法规和标准的要求；推动被委托单位所提供的项目各阶段形成的技术、管理文档的内容和种类符合相关标准。合同验收时监理单位应完成（包括但不限于）如下工作：

1）监理单位应及时处理被委托单位提交的验收申请,审核竣工结算,审核验收的必备条件,并签署监理意见。

2) 监理单位应协助建设单位对验收中发现的质量问题进行评估,根据质量问题的性质和影响范围,敦促被委托单位根据验收整改要求提出整改方案,并监督整改过程。必要时,应组织重新验收。

3) 监理单位应督促被委托单位完成项目培训,并对培训效果做出评估。

4) 监理单位应敦促建设单位、被委托单位按照事先约定,编制、签署和妥善保存验收阶段的项目文档。

5) 监理单位应编写各时段项目验收的监理工作报告,整理监理单位应提交和提供的验收资料；负责整理记录归档建设单位与承建单位来往的文件、合同、协议及会议记录等各种文档,出具监理文件。

6) 监理机构应协助建设单位和被委托单位完成项目移交工作,将项目移交建设单位管理,并进入免费运维服务期。

二、其他监理要求

1.每名项目参与人员配备通讯设施,保证24小时随时沟通。

2. 投标人配备完善的办公设施及交通工具,如计算机、打印机、车辆等。

3.制定完善的文明监理工作制度。

4.其它有关本项目现场保障设备由监理单位自行解决。

5.监理大纲

（1） 整体方案

（2） 专项监理方案

（3） 监理工作实施方案

（4） 设施、设备配备

（5） 现场协调组织措施

（6） 项目管理机构

三、技术文件、资料的要求

要求提供包括但不限于监理工作计划、项目周期性报告（周报、月报）、项目的专题报告（建议、评估意见）、监理通知、监理指令、工程支付签认单、项目备忘录、项目结束总结报告、其它（会议纪要、工作规范、说明文件）、软件的验收报告等资料电子版,以及对应加盖公章的纸质版。

四、人员要求

监理单位应组建不少于3人的项目团队（投标文件中须提供拟派人员名单及岗位分工），其中总监理工程师1人、监理工程师不少于2人。

      特定资格要求：投标人具备公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》（须提供证书复印件）。

一、服务内容

对沈阳市数据资源治理项目中的数据治理平台进行网络安全等级保护测评。

二、服务要求

（一）等保测评

依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对系统进行测评,并出具《测评报告》。若首次测评后被测信息系统需要进行整改,在约定的整改期限内提供复测服务。同时在项目交付过程中应提供完善的网络安全紧急事件应急服务方案，并有能力对上述系统负责人员进行网络安全意识以及网络安全技术的培训。

服务时间：5*8

服务方式：现场和远程

交付成果：测评报告。

（二）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。

服务时间：5*8

服务方式：现场

交付成果：备案证明。

（三）测评服务范围

依据《信息安全技术 网络安全等级保护基本要求》,测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

（1）安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络测评内容：

网络架构、通信传输、可信验证。

（3）安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（四）项目使用工具

等级保护测评阶段,应使用安全扫描系统对服务器、网络设备进行安全扫描,投标人须提供测评工具,包括但不限于：WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。

（五）人员能力要求

1）投标人须承诺：中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

2）投标人拟派专业的项目团队。其中，项目经理1人，对项目的整体进行把控；其他人员负责项目的具体实施工作及文件编制。

（六）保密要求

投标单位承担被投标单位敏感信息的保密责任，在项目实施过程中，双方需要复制对方提供的相关资料时，应提交书面申请，在得到对方书面同意后方可复制，并将数据内容记录成表，签字确认。

未经双方书面同意，不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。

项目结束后，双方必须互相确认测评过程中提供的相关资料，相互承担保密责任。

      特定资格要求：投标人须具有《商用密码检测机构资质证书》且业务范围包含商用密码应用安全性评估（须提供证书复印件）

按照GB∕T 39786-2021《信息安全技术信息系统密码应用基本要求》对本项目中涉及到的4个系统开展密评工作。

1.商用密码应用安全性评估服务内容

对本项目包含的系统进行商用密码应用安全性评估。具体包括：商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。

具体测评系统清单如下：

2.具体服务要求

（1） 商用密码总体要求测评

1）密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

2）密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

3）密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

4）密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（2）密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不可否认性,信息系统应用和数据操作环境的日志记录完整性。

（3）密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

（4）安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度,人员管控,信息系统实施,应急预案。

1）安全管理制度维度,包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

2）人员管控维度,包括但不限于下列内容与措施：了解并遵守密码相关法律法规和密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

3）信息系统实施维度,包括但不限于下列内容与措施：信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

4）应急预案维度,包括但不限于下列内容与措施：应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。

（5）其他服务要求

1）测评服务过程中需要协助采购人进行备案工作支持；培训指导系统所属部门进行包括但不限于：备案流程指导、备案材料编制指导等。

2）需按照密评规范标准做好信息保密工作。

3.团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人应组建不少于5人的项目团队（投标文件中须提供拟派人员名单及岗位分工）。其中，项目经理1人、技术负责人1人，均具备相应管理和沟通能力。

1.服务目标

本项目目标是通过第三方测试服务来提升沈阳市数据资源治理项目软件产品的质量和安全性。沈阳市数据资源治理项目软件包含多个功能模块，需要经过全面的测试以确保其性能和安全。

2.服务内容

本次采购的测试服务包括：

（1）兼容性测试：共享相同的硬件或软件环境的条件下，产品、系统或组件能够与其他产品、系统或组件交换信息，和/或执行其所需的功能的程序。

（2）功能测试服务：包括但不限于用户界面测试、业务逻辑测试、数据库测试、API测试、回归测试和验收测试。

（3）非功能测试服务：包括性能测试、负载测试、压力测试、稳定性测试和可用性测试。

（4）渗透测试服务：对软件的网络和系统安全进行全面的渗透测试，以识别潜在的安全漏洞。

（5）源代码审计服务：对软件的源代码进行详细的审计，以确保代码的质量和安全性。

3.服务依据

供应商应遵循以下标准和规范来执行测试服务：

（1）《软件安全开发标准》（ISO/IEC27034）

（2）《独立审计准则第20号-计算机信息系统环境下的审计》

（3）GB/T16260.1-2006《软件工程产品质量第1部分:质量模型》

（4）GB/T25000.51-2010《软件工程软件产品质量要求与评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则》

（5）采购人提供的软件需求说明书

4.服务要求

4.1供应商在提供测试服务时，应满足以下要求：

（1）供应商应具备使用自动化测试工具进行一致性和效率测试的能力，全面覆盖所有用户故事和用例，包括边界条件和异常流程。应对用户界面元素进行全面测试，验证所有业务逻辑，对数据库操作进行数据一致性和完整性验证，以及对API接口进行准确性和安全性测试。此外，供应商还需执行回归测试以确保新代码的提交不会影响现有功能，并进行验收测试以验证软件是否满足用户需求。

（2）在非功能测试方面，供应商需要评估软件性能，包括响应时间和处理速度，并模拟不同用户负载进行压力测试以确定软件的最大承载能力。同时，还需测试软件的稳定性和可用性，确保软件长时间运行不会出现故障，并且易于使用且符合可访问性标准。

（3）对于渗透测试服务，供应商需要按照最新的OWASP标准进行渗透测试，识别和评估软件的潜在安全漏洞，并模拟各种攻击场景。供应商还需提供详细的漏洞报告，包括风险评估和修复建议。

（4）在源代码审计服务方面，供应商应使用静态代码分析工具检查代码质量和安全性，对源代码进行全面审计，并识别潜在的代码缺陷。同时，供应商还需提供代码优化建议，以提高软件的性能和可维护性。

4.2供应商需要遵守所有相关法律法规和行业标准，与内部团队保持沟通和协作，提供全面测试覆盖，无遗漏测试场景。在测试过程中，所有数据和信息须得到妥善保护，防止泄露给未经授权的第三方。供应商还需确保测试活动的透明度，定期向采购人报告进度，并在发现问题时提供及时的反馈。此外，供应商应具备灵活应对变更请求的能力，并在项目范围内提供必要的技术支持和维护服务。

4.3其他服务要求

（1）启动测试前,测试的覆盖范围和方案需经采购人确认。

（2）所有测试活动均在采购人指定的环境下执行。

（3）供应商承诺测试过程和结论的客观性。

5.验收标准

（1）在功能测试服务中，所有功能模块应通过测试，无严重或高优先级缺陷。测试报告应详细记录测试结果，包括通过和失败的用例。用户界面应符合设计规范，提供良好的用户体验。业务逻辑错误和数据库错误应被修复，并通过再次测试。

（2）对于非功能测试服务，软件在最高负载下应保持预定的性能指标。压力测试中不应发现软件崩溃或数据丢失。稳定性测试应证明软件能够在长时间运行中保持正常工作。可用性测试结果应表明软件易于使用，并符合可访问性标准。

（3）在渗透测试服务中，所有已知的安全漏洞应被识别并在报告中详细记录。提供的漏洞报告应包含修复建议和风险缓解措施。所有高风险和严重漏洞应得到修复，并通过再次测试。

（4）源代码审计服务要求源代码中无严重的安全问题或质量问题。审计报告应详细记录所有发现的问题和改进建议。对于发现的问题，供应商应提供修复方案，并验证修复效果。

6.成果物要求

（1）测试前提供测试实施计划。

（2）针对系统的每轮次每类测试,都提供测试结论和明细报告。

7.团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人组建不少于3人的项目团队，根据工作需要合理设置岗位，投标文件中须提供拟派人员名单及岗位分工。其中，项目经理1人，具备规划测试方案、信息化综合能力，管理沟通能力。

8.保密要求

（1）中标人承担被测单位敏感信息的保密责任，在项目测试过程中，双方需要复制对方提供的相关资料时，应提交书面申请，在得到对方书面同意后方可复制，并将数据内容记录成表，签字确认。

（2）未经双方书面同意，不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。

（3）采购人与中标人签订《保密协议》，并同中标人测评人员签订《信息安全保密保证书》，确保相应工作涉及的技术信息和技术资源不被泄露，并防止保密信息被滥用，保障信息安全。

（4）项目结束后，双方必须互相确认测试过程中提供的相关资料，相互承担保密责任。

（5）在合同结束后三年内，中标人仍有保守采购人各项企业秘密的责任。

9.后续服务要求

中标人在项目完成后对采购人提供后续服务，服务期为一年。在此期间，提供5*8小时热线支持服务，并提供专业联系人和联系电话。