沈阳市“只提交一次材料”信息化项目（一期）项目（第二次）招标公告

服务清单

一、服务内容

对沈阳市“只提交一次材料”信息化（一期）项目进行网络安全等级保护测评。

二、服务要求

（一）等保测评

依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对系统进行测评,并出具《测评报告》。若首次测评后被测信息系统需要进行整改,在约定的整改期限内提供复测服务。同时在项目交付过程中应提供完善的网络安全紧急事件应急服务方案，并有能力对上述系统负责人员进行网络安全意识以及网络安全技术的培训。

服务时间：5*8

服务方式：现场和远程

交付成果：测评报告。

（二）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。

服务时间：5*8

服务方式：现场

交付成果：备案证明。

（三）测评服务范围

依据《信息安全技术 网络安全等级保护基本要求》,测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

（1）安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络测评内容：

网络架构、通信传输、可信验证。

（3）安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（四）项目使用工具

等级保护测评阶段,应使用安全扫描系统对服务器、网络设备进行安全扫描,投标人须提供测评工具,包括但不限于：WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。

（五）人员能力要求

1）投标人须承诺：中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

2）投标人拟派专业的项目团队。其中，项目经理1人具有信息安全或网络安全等级测评师证书（须提供证书复印件），对项目的整体进行把控；其他人员负责项目的具体实施工作及文件编制。

（六）保密要求

投标单位承担被投标单位敏感信息的保密责任，在项目实施过程中，双方需要复制对方提供的相关资料时，应提交书面申请，在得到对方书面同意后方可复制，并将数据内容记录成表，签字确认。

未经双方书面同意，不得向第三方透露项目和涉及双方企业信息安全、技术成果的任何内容。

项目结束后，双方必须互相确认测评过程中提供的相关资料，相互承担保密责任。

服务清单

1、总体要求

依据GM/T 0054-2018 《信息系统密码应用基本要求》等国家和行业商用密码相关规范标准,在服务期内,对本项目关键基础设施、重要应用、网络进行商用密码应用安全性评估。

开展商用密码安全性评估的同时,按我省有关密码应用要求进行商用密码应用安全性评估,测评内容为：商用密码应用方案评审、商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。测评后，出具加盖检测机构（中标人）印章的《密码应用安全评估报告》纸质一式三份。

2、详细要求

（1）商用密码应用方案评审

自行或委托第三方完成商用密码方案评审，提供评审报告，配合建设单位完成商用密码备案，提供备案回执。

(2） 商用密码总体要求测评

1）密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

2）密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

3）密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

4）密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（3) 密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。

(4)密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

(5)安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度,人员管控,信息系统实施,应急预案。

1）安全管理制度维度,包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

2）人员管控维度,包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

3）信息系统实施维度,包括但不限于下列内容与措施：信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

4）应急预案维度,包括但不限于下列内容与措施：应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。

3、团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人应组建不少于6人的项目团队（投标文件中须提供拟派人员名单及岗位分工）。其中，项目经理1人、技术负责人1人，均具备相应管理和沟通能力均具有商用密码应用安全性评估从业人员考核证书并提供证书复印件。