一、項目基本情況
項目編號：Jp3-211500-00002
項目名稱：遼寧省公安廳沈撫改革創新示范區公安局密碼安全性評估服務
包組編號：001
預算金額（元）：3,600,000.00
最高限價（元）：3,600,000
沈撫改革創新示范區在2023年度需要對示范區17個部門48個信息系統開展商用密碼應用安全性評估工作，受管委會委托，由沈撫示范區公安局負責組織招標，委托商用密碼應用安全性評估服務第三方機構，開展商用密碼應用安全性評估工作，確保測評、評定標準統一，保障工作實效。
一、項目建設依據
自2020年1月起，國家陸續出臺《中華人民共和國密碼法》、《數據安全法》、《信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）等一系列法律法規，旨在加強針對國家關鍵信息基礎設施保障力度，督促政府機關、企事業單位等機構部門提升信息安全保護意識。
《中華人民共和國密碼法》2020年1月1日正式實施，其中第二十七條規定，法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施，其運營者應當使用商用密碼進行保護，自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接，避免重復評估、測評。
商用密碼管理條例征求意見稿，第三十八條規定，非涉密的關鍵信息基礎設施、網絡安全等級保護第三級以上網絡、國家政務信息系統等網絡與信息系統，其運營者應當使用商用密碼保護進行保護，指定商用密碼應用方案，配備必要的資金和專業人員，同步規劃、同步建設、同步運行商用密碼保障系統，自行或者委托商用密碼檢查機構開展商用密碼應用安全性評估。前款所列網絡云信息系統通過商用密碼應用安全性評估方可投入運行，運行后每年至少進行一次評估，評估情況報送所在地設區的的市級密碼管理部門備案。
為積極響應國家大力推進信息化網絡安全工作的號召，結合當前嚴峻的網絡安全態勢，沈撫改革創新示范區的重要信息系統需要開展商用密碼應用安全性評估工作，旨在使相應系統滿足國家商用密碼相關要求，進而滿足《中華人民共和國密碼法》中對商用密碼應用安全性評估工作的要求。
重要信息系統需把控網絡安全等級保護工作，根據信息安全技術信息系統密碼應用基本要求》（GB/T 39786-2021）、《信息安全技術網絡安全等級保護基本要求》（GB/T 22239-2019）等國家標準確保系統建成或升級改造后通過商用密碼應用安全性評估，滿足國家商用密碼應用安全性評估工作要求。
二、項目實施依據
1)《中華人民共和國密碼法》；
2)《中華人民共和國網絡安全法》；
3)GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》；
4)GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》；
5)《商用密碼應用安全性評估管理辦法》（試行）；
6)GB/T 25070-2019《網絡安全等級保護設計技術要求》
7)遼密局【2022】15號文件
三、進度計劃
本項目計劃2023年12月31日結束。
自項目開始至2023年9月30日，根據了解到的被測信息系統情況，分析整個被測系統及其涉及的業務應用系統，以及與此相關的密碼應用情況，確定出本次測評的測評對象；根據已經了解到的被測系統定級結果，確定出本次測評的測評指標；確認測評過程中需要現場檢查的關鍵安全點，并且充分考慮到檢查的可行性和風險，最大限度的避免對被測系統，尤其是在線運行業務系統的影響；確定現場測評的具體實施內容；最終完成測評方案的編制。
2023年4月1日至2023年4月30日，召開測評現場首次會，密評機構介紹測評工作，交流測評信息，進一步明確測評計劃和測評方案中的內容，說明測評過程中具體的實施工作內容，測評時間安排，測評過程中可能存在的安全風險等，以便于后面的測評工作開展。測評雙方確認現場測評需要的各種資源，包括被測單位的配合人員和需要提供的測評條件等，確認被測信息系統已備份過系統及數據。被測單位簽署現場測評授權書。密評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新；測評項目組根據密評方案以及現場測評準備的結果，安排密評人員在現場完成測評工作，匯總現場測評的測評記錄；召開測評現場結束會，測評雙方對測評過程中發現的問題進行現場確認；密評機構歸還測評過程中借閱的所有文檔資料，并由被測單位文檔資料提供者簽字確認。
2023年12月31日前完成48個系統的最終測評，在現場測評工作結束后，密評機構對現場測評獲得的測評結果進行匯總分析，形成評估結論，并編制評估報告。
密評人員在初步判定各測評單元涉及的各個測評對象的測評結果后，還需進行單元測評、整體測評、量化評估和風險分析。經過整體測評后，有的測評對象的測評結果可能會有所變化，需進一步修訂測評結果，而后進行量化評估和風險分析，最后形成評估結論，并出具商用密碼應用安全性評估報告。
四、服務內容
要求服務單位按《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》、GB/T 22239-2019《信息安全技術網絡安全等級保護基本要求》、《商用密碼應用安全性評估管理辦法》（試行）、GB/T 25070-2019《網絡安全等級保護設計技術要求》等（如在服務期內，國家相關部門出臺最新政策，以最新政策為測評標準）相關法律法規和國家標準要求，對示范區的關鍵基礎設施、重要應用、網絡系統、安全可靠應用系統進行等級保護測評，并出具商用密碼應用安全性評估報告。共分以下四個階段：
1）測評準備階段
根據測評雙方簽訂的委托測評協議書和被測信息系統規模，密評機構組建測評項目組，從人員方面做好準備，并編制項目計劃書。密評機構通過查閱被測系統已有資料并使用調查表格的方式，了解整個系統的構成和密碼保護情況，為編寫密評方案和開展現場測評工作奠定基礎。測評項目組成員在進行現場測評之前，熟悉與被測信息系統相關的各種組件、調試測評工具、準備各種表單等。
2）方案編制階段
根據已經了解到的被測信息系統情況，分析整個被測系統及其涉及的業務應用系統，以及與此相關的密碼應用情況，確定出本次測評的測評對象；根據已經了解到的被測系統定級結果，確定出本次測評的測評指標；確認測評過程中需要現場檢查的關鍵安全點，并且充分考慮到檢查的可行性和風險，最大限度的避免對被測系統，尤其是在線運行業務系統的影響；確定現場測評的具體實施內容；最終完成測評方案的編制。
3）現場測評階段
現場測評準備：召開測評現場首次會，密評機構介紹測評工作，交流測評信息，進一步明確測評計劃和測評方案中的內容，說明測評過程中具體的實施工作內容，測評時間安排，測評過程中可能存在的安全風險等，以便于后面的測評工作開展。測評雙方確認現場測評需要的各種資源，包括被測單位的配合人員和需要提供的測評條件等，確認被測信息系統已備份過系統及數據。被測單位簽署現場測評授權書。密評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新；測評項目組根據密評方案以及現場測評準備的結果，安排密評人員在現場完成測評工作，匯總現場測評的測評記錄；召開測評現場結束會，測評雙方對測評過程中發現的問題進行現場確認；密評機構歸還測評過程中借閱的所有文檔資料，并由被測單位文檔資料提供者簽字確認。
4）分析與報告編制階段
在現場測評工作結束后，密評機構對現場測評獲得的測評結果進行匯總分析，形成評估結論，并編制評估報告。
密評人員在初步判定各測評單元涉及的各個測評對象的測評結果后，還需進行單元測評、整體測評、量化評估和風險分析。經過整體測評后，有的測評對象的測評結果可能會有所變化，需進一步修訂測評結果，而后進行量化評估和風險分析，最后形成評估結論。
五、技術要求
服務單位需依據現行有效的國家標準、行業標準，遵照等級保護相關規范，完成48個系統的測評工作。
針對三級系統的基本測評內容如下：
根據被測信息系統密碼應用安全要求等級，選擇GB/T 39786—2021《信息安全技術信息系統密碼應用基本要求》中對應級別的安全要求作為本次測評工作的基本指標，以表格形式在下表中列出。

測評指標			測評指標描述	應用要求
技術 要求	物理和環境安全	身份鑒別	8.1 a）宜采用密碼技術進行物理訪問身份鑒別，保證重要區域進入人員身份的真實性；	宜
		電子門禁記錄數據存儲完整性	8.1 b）宜采用密碼技術保證電子門禁系統進出記錄數據的存儲完整性；	宜
		視頻監控記錄數據存儲完整性	8.1 c）宜采用密碼技術保證視頻監控音像記錄數據的存儲完整性。	宜
	網絡和通信安全	身份鑒別	8.2 a）應采用密碼技術對通信實體進行身份鑒別，保證通信實體身份的真實性；	應
		通信數據完整性	8.2 b）宜采用密碼技術保證通信過程中數據的完整性；	宜
		通信過程中重要數據的機密性	8.2 c）應采用密碼技術保證通信過程中重要數據的機密性；	應
		網絡邊界訪問控制信息的完整性	8.2 d）宜采用密碼技術保證網絡邊界訪問控制信息的完整性；	宜
		安全接入認證	8.2 e）可采用密碼技術對從外部連接到內部網絡的設備進行接入認證，確保接入的設備身份真實性。	可
	設備和計算安全	身份鑒別	8.3 a）應采用密碼技術對登錄設備的用戶進行身份鑒別，保證用戶身份的真實性；	應
		遠程管理通道安全	8.3 b）遠程管理設備時，應采用密碼技術建立安全的信息傳輸通道；	應
		系統資源訪問控制信息完整性	8.3 c）宜采用密碼技術保證系統資源訪問控制信息的完整性；	宜
		重要信息資源安全標記完整性	8.3 d）宜采用密碼技術保證設備中的重要信息資源安全標記的完整性；	宜
		日志記錄完整性	8.3 e）宜采用密碼技術保證日志記錄的完整性；	宜
		重要可執行程序完整性、重要可執行程序來源真實性	8.3 f）宜采用密碼技術對重要可執行程序進行完整性保護，并對其來源進行真實性驗證。	宜
	應用和數據安全	身份鑒別	8.4 a）應采用密碼技術對登錄用戶進行身份鑒別，保證應用系統用戶身份的真實性；	應
		訪問控制信息完整性	8.4 b）宜采用密碼技術保證信息系統應用的訪問控制信息的完整性；	宜
		重要信息資源安全標記完整性	8.4 c）宜采用密碼技術保證信息系統應用的重要信息資源安全標記的完整性；	宜
		重要數據傳輸機密性	8.4 d）應采用密碼技術保證信息系統應用的重要數據在傳輸過程中的機密性；	應
		重要數據存儲機密性	8.4 e）應采用密碼技術保證信息系統應用的重要數據在存儲過程中的機密性；	應
		重要數據傳輸完整性	8.4 f）宜采用密碼技術保證信息系統應用的重要數據在傳輸過程中的完整性；	宜
		重要數據存儲完整性	8.4 g）宜采用密碼技術保證信息系統應用的重要數據在存儲過程中的完整性；	宜
		不可否認性	8.4 h）在可能涉及法律責任認定的應用中，宜采用密碼技術提供數據原發證據和數據接收證據，實現數據原發行為的不可否認性和數據接收行為的不可否認性。	宜
管理 要求	管理 制度	具備密碼應用安全管理制度	8.5 a）應具備密碼應用安全管理制度，包括密碼人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質管理等制度；	應
		密鑰管理規則	8.5 b）應根據密碼應用方案建立相應密鑰管理規則；	應
		建立操作規程	8.5 c）應對管理人員或操作人員執行的日常管理操作建立操作規程；	應
		定期修訂安全管理制度	8.5 d）應定期對密碼應用安全管理制度和操作規程的合理性和適用性進行論證和審定，對存在不足或需要改進之處進行修訂；	應
		明確管理制度發布流程	8.5 e）應明確相關密碼應用安全管理制度和操作規程的發布流程并進行版本控制；	應
		制度執行過程記錄留存	8.5 f）應具有密碼應用操作規程的相關執行記錄并妥善保存。	應
	人員 管理	了解并遵守密碼相關法律法規 和密碼管理制度	8.6 a）相關人員應了解并遵守密碼相關法律法規、密碼應用安全管理制度；	應
		建立密碼應用崗位責任制度	8.6 b）應建立密碼應用崗位責任制度，明確各崗位在安全系統中的職責和權限： 1）根據密碼應用的實際情況，設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位； 2）對關鍵崗位建立多人共管機制； 3）密鑰管理、密碼安全審計、密碼操作人員職責互相制約互相監督，其中密碼安全審計員崗位不可與密鑰管理員、密碼操作員兼任； 4）相關設備與系統的管理和使用賬號不得多人共用。	應
		建立上崗人員培訓制度	8.6 c）應建立上崗人員培訓制度，對于涉及密碼的操作和管理的人員進行專門培訓，確保其具備崗位所需專業技能；	應
		定期進行安全崗位人員考核	8.6 d）應定期對密碼應用安全崗位人員進行考核；	應
		建立關鍵崗位人員保密制度和調離制度	8.6 e）應建立關鍵人員保密制度和調離制度，簽訂保密合同，承擔保密義務。	應
	建設 運行	制定密碼應用方案	8.7 a）應依據密碼相關標準和密碼應用需求，制定密碼應用方案；	應
		制定密鑰安全管理策略	8.7 b）應根據密碼應用方案，確定系統涉及的密鑰種類、體系及其生命周期環節，各環節安全管理要求參照《信息安全技術信息系統密碼應用基本要求》附錄B；	應
		制定實施方案	8.7 c）應按照應用方案實施建設；	應
		投入運行前進行密碼應用安全性評估	8.7 d）投入運行前應進行密碼應用安全性評估，評估通過后系統方可正式運行；	應
		定期開展密碼應用安全性評估及攻防對抗演習	8.7 e）在運行過程中，應嚴格執行既定的密碼應用安全管理制度，應定期開展密碼應用安全性評估及攻防對抗演習，并根據評估結果進行整改。	應
	應急 處置	應急策略	8.8 a）應制定密碼應用應急策略，做好應急資源準備，當密碼應用安全事件發生時，應立即啟動應急處置措施，結合實際情況及時處置；	應
		事件處置	8.8 b）事件發生后，應及時向信息系統主管部門進行報告；	應
		向有關主管部門上報處置情況	8.8 c）事件處置完成后，應及時向信息系統主管部門及歸屬的密碼管理部門報告事件發生情況及處置情況。	應
測評指標合計		41項

針對二級系統的基本測評內容如下：
根據被測信息系統密碼應用安全要求等級，選擇GB/T 39786—2021《信息安全技術信息系統密碼應用基本要求》中對應級別的安全要求作為本次測評工作的基本指標，選擇以下27項標準中的安全要求作為等級測評的基本指標，以表格形式在下表中列出。

測評指標			測評指標描述	應用要求
技術要求	物理和環境安全	身份鑒別	7.1 a）宜采用密碼技術進行物理訪問身份鑒別，保證重要區域進入人員身份的真實性；	宜
		電子門禁記錄數據存儲完整性	7.1 b）可采用密碼技術保證電子門禁系統進出記錄數據的存儲完整性；	可
	網絡和通信安全	身份鑒別	7.2 a）宜采用密碼技術對通信實體進行身份鑒別，保證通信實體身份的真實性；	宜
		通信數據完整性	7.2 b)可采用密碼技術保證通信過程中數據的完整性；	可
		通信過程中重要數據的機密性	7.2 c)宜采用密碼技術保證通信過程中重要數據的機密性；	宜
		網絡邊界訪問控制信息的完整性	7.2 d)可采用密碼技術保證網絡邊界訪問控制信息的完整性；	可
	設備和計算安全	身份鑒別	7.3 a)宜采用密碼技術對登錄設備的用戶進行身份鑒別，保證用戶身份的真實性；	宜
		系統資源訪問控制信息完整性	7.3 b)可采用密碼技術保證系統資源訪問控制信息的完整性；	可
		日志記錄完整性	7.3 c)可采用密碼技術保證日志記錄的完整性；	可
	應用和數據安全	身份鑒別	7.4 a)宜采用密碼技術對登錄用戶進行身份鑒別，保證應用系統用戶身份的真實性；	宜
		訪問控制信息完整性	7.4 b)可采用密碼技術保證信息系統應用的訪問控制信息的完整性；	可
		重要數據傳輸機密性	7.4 c)宜采用密碼技術保證信息系統應用的重要數據在傳輸過程中的機密性；	宜
		重要數據存儲機密性	7.4 d)宜采用密碼技術保證信息系統應用的重要數據在存儲過程中的機密性；	宜
		重要數據傳輸完整性	7.4 e)宜采用密碼技術保證信息系統應用的重要數據在傳輸過程中的完整性；	宜
		重要數據存儲完整性	7.4 f)宜采用密碼技術保證信息系統應用的重要數據在存儲過程中的完整性；	宜
管理要求	管理制度	具備密碼應用安全管理制度	7.5 a）應具備密碼應用安全管理制度，包括密碼人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質管理等制度；	應
		密鑰管理規則	7.5 b）應根據密碼應用方案建立相應密鑰管理規則；	應
		建立操作規程	7.5 c）應對管理人員或操作人員執行的日常管理操作建立操作規程；	應
	人員管理	了解并遵守密碼相關法律法規 和密碼管理制度	7.6 a）相關人員應了解并遵守密碼相關法律法規、密碼應用安全管理制度；	應
		建立密碼應用崗位責任制度	7.6 b)應建立密碼應用崗位責任制度，明確各崗位在安全系統中的職責和權限： 1)根據密碼應用的實際情況，設置密鑰管理員、密碼安全審計員、密碼操作員等關鍵安全崗位； 2)對關鍵崗位建立多人共管機制； 3)密鑰管理、密碼安全審計、密碼操作人員職責互相制約互相監督，其中密鑰管理員崗位不可與密碼審計員、密碼操作員等關鍵安全崗位兼任； 4)相關設備與系統的管理和使用賬號不得多人共用。	應
		建立上崗人員培訓制度	7.6 c)應建立上崗人員培訓制度，對于涉及密碼的操作和管理的人員進行專門培訓，確保其具備崗位所需專業技能；	應
		建立關鍵崗位人員保密制度和調離制度	7.6 d)應建立關鍵人員保密制度和調離制度，簽訂保密合同，承擔保密義務。	應
	建設運行	制定密碼應用方案	7.7 a）應依據密碼相關標準和密碼應用需求，制定密碼應用方案；	應
		制定密鑰安全管理策略	7.7 b）應根據密碼應用方案，確定系統涉及的密鑰種類、體系及其生命周期環節，各環節安全管理要求參照《信息安全技術信息系統密碼應用基本要求》附錄B；	應
		制定實施方案	7.7 c）應按照應用方案實施建設；	應
		投入運行前進行密碼應用安全性評估	7.7 d）投入運行前宜進行密碼應用安全性評估，評估通過后系統方可正式運行；	宜
	應急處置	應急策略	7.8 a）應制定密碼應用應急策略，做好應急資源準備，當密碼應用安全事件發生時，應立即啟動應急處置措施，結合實際情況及時處置；	應
測評指標合計		27項

合同履行期限：合同簽訂之日起至出具《商用密碼應用安全性評估報告》之日止
需落實的政府采購政策內容：促進中小企業、促進殘疾人就業、支持監獄企業、支持脫貧攻堅等政府采購相關政策；
本項目（是/否）接受聯合體投標：否
二、供應商的資格要求
1.滿足《中華人民共和國政府采購法》第二十二條規定。
2.落實政府采購政策需滿足的資格要求：（1）對于中小微企業（含監獄企業）的相關規定；（2）對于促進殘疾人就業政府采購政策的相關規定等。
3.本項目的特定資格要求：投標人須在《商用密碼應用安全性評估試點機構目錄》里內
三、政府采購供應商入庫須知(登錄后查看)。
四、獲取招標文件
時間：2023年03月10日16時30分至2023年03月17日17時00分（北京時間，法定節假日除外）

本招標項目僅供正式會員查看，您的權限不能瀏覽詳細信息，請點擊注冊/登錄，聯系工作人員辦理入網升級。

聯系人：陳經理
電話：010-83551561
手機：13717815020 (歡迎撥打手機/微信同號)
郵箱：kefu@gdtzb.com
QQ：1571675411