数字福建评估管理平台项目(安全测评、密码评估)(重新招标)
补充通知
招标编号:(略)
各潜在投标人:
现就数字福建评估管理平台项目(安全测评、密码评估)(重新招标)作补充通知如下:
1、招标文件“第4章 招标内容及要求”,补充及完善,详见附件一。
2、因跨年度,资格要求财务状况报告中要求“提供经审计的上一年度的年度财务报告”投标人提供(略)年度或(略)年度的经审计的年度财务报告均认可。
3、招标文件中“其他资格条件:(略)合同包1:(略)”
本补充通知为本项目招标文件的组成部分,与招标文件、招标公告不一致之处,以本补充通知为准。
招标人:(略)
招标代理机构:(略)
日期:(略)
附件一:(略)
一、项目概况
1、项目背景
(略)年6月,国务院发布《国务院关于加强数字政府建设的指导意见》(国发〔(略)〕(略)号),意见指出:(略)
(略)年(略)月,福建省人民政府印发《福建省数字政府改革和建设总体方案》(闽政〔(略)〕(略)号),提出数字政府改革和建设整体实施架构是以全面数字化为基础,以全省一体化建设支撑数字政府整体运行,以政府数字化改革管理系统作为实现数字政府改革和建设的入口,对改革过程中的组织数字化、权责数字化、事项标准化、工作任务拆解、工作举措和考核指标数字化等各项工作进行全生命周期管理,沉淀输出政府数字化改革成果,既为改革自身赋能,也为政务服务与政府治理提质增效赋能,实现数字政府“五通五在线”,提升政府决策、服务、执行、监督和评价履职能力。
(略)年5月,《(略)年数字福建工作要点》(闽政办〔(略)〕(略)号)提出:(略)
为贯彻落实《国务院关于加强数字政府建设的指导意见》(国发〔(略)〕(略)号)(以下简称《意见》)和《福建省人民政府关于印发福建省数字政府改革和建设总体方案的通知》(闽政〔(略)〕(略)号)(以下简称《总体方案》)关于“完善考核评价”要求,加强指标体系的考核评估,充分发挥考核“指挥棒”作用,实现福建省数字政府建设监测、评估、改进的全流程闭环管理。
2、建设目标
建设数字福建评估管理平台,构建福建特色的数字政府能力评估体系和全面量化数字政府能力评估指标,运用大数据监测分析技术,分析福建省数字政府建设现状,强弱项补短板,全面、客观、动态地评估各地数字政府建设工作进展和实际效果,通过“以评促建、以评促改、以评促用”,推动国家、省级、数字福建相关工作部署,打造全省一体化、整体协同、高效运作的数字政府,实现福建省数字政府建设监测、评估、改进的全流程闭环管理,全面提升我省数字政府建设水平。
(1)实现数字政府能力全方位考核和全景式展示
构建数字政府能力考核指标体系和运行成效指标体系,采用数字化手段,通过全面量化考核指标,对省级、市级数字政府建设的现状、能力、成效等进行全方位考核,全景式展示数字政府运行总体概况和建设成效,客观真实反映福建省数字政府建设水平,为政府领导提供全面、准确、及时的数字政府运行监测预警与辅助决策服务。
(2)实现数字政府整改提升全流程闭环
打造数字政府能力监测、核验、分析、督导的全流程闭环管理模式,采用量化评估、预警分析、对标对比等数字化手段提升数字政府能力,针对各领域数字政府建设任务,统一实现任务下达、执行监测、现场核验、工作督导、成效评估等业务全流程闭环管理。
(3)提升我省数字政府建设水平
基于数字福建评估管理平台,对省直部门、九市一区的数字政府情况行动态监测、分析研判、对标对比,及时发现省直部门、九市一区在数字政府建设中存在的不足和短板。平台及时展示各指标的问题清单,督导省直部门、九市一区进行整改提升,并在整改的过程中通过数字政府知识资源的积累学习,标杆省市的对标对比不断提升指标表现,厘清福建省数字政府重点领域的“痛点”“难点”“堵点”,提升我省在全国数字政府能力评估名次。
二、技术和服务要求(以“★”标示的内容为不允许负偏离的实质性要求)
合同包1:(略)
1、安全测评内容
1.1 安全等级测评
依照GB/T (略)-(略)《信息安全技术 网络安全等级保护基本要求》和《行业网络安全等级保护基本要求》对被测系统进行等级保护测评,确定不同等级业务系统当前安全防护现状,以及与国家和行业等级保护要求间的差距;分析其所面临的威胁及其存在的脆弱性,提出有针对性的抵御威胁的防护策略和整改措施, 为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地防止由于信息系统安全事件引发安全事故,全面提高信息系统安全防护水平提供科学依据。
等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容,内容包括但不限于以下内容:
(1)安全物理环境测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况,主要涉及对象为机房。
(2)安全通信网络测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全通信网络保障情况。
(3)安全区域边界测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全区域边界保障情况。
(4)安全计算环境须通过访谈、配置检查和工具测试的方式测评信息系统的安全计算环境保障情况。
(5)安全管理中心测评须通过访谈、配置检查的方式测评信息系统的安全管理中心保障情况。
(6)安全管理制度须针对管理制度、制定和发布、评审和修订等 情况进行核查。
2、提供的技术服务成果及要求
2.1技术服务的方式:(略)
2.2技术服务对象:(略)
2.3技术服务成果:(略)
2.4技术服务质量要求
(1)投标人应具有有效期《网络安全等级测评与检测评估机构服务认证证书》。
(2)投标人在采购人现场测评时,应遵守采购人的工作纪律,不破坏采购人的工作设备和软、硬件设施。
(3)投标人在现场测评时,应与采购项目负责人充分沟通,如在运用相关工具或开展相关测评工作前,应事先做好风险评估和回退机制,做好安全防范措施,确保在测评工作开展过程中不影响系统的正常运行。
(4)投标人需积极配合采购人、采购人的第三方安全服务商以及对应系统开发商完成测评整改工作。
3、技术服务标准和原则
依据国家等级保护相关标准和制度规范开展测评等工作,遵循的标准和规范包括但不限于如下所列:
GBT(略)-(略)《信息安全技术 网络安全等级保护基本要求》
GBT(略)-(略)《信息安全技术 网络安全等级保护测评要求》
GB/T(略)-(略)《信息安全技术信息安全风险评估规范》
GB/T(略)-(略)《信息安全技术信息安全风险评估指南》
本次信息系统等级保护测评服务的实施应遵循以下原则:
(1)保密性原则:(略)
(2)标准性原则:(略)
(3)规范性原则:(略)
(4)整体性原则:(略)
(5)最小影响原则:(略)
4、系统定级咨询服务
分析受到破坏后造成的危害程度定级要素,在信息系统业务安全性分析的基础上,进行定级,协助完成定级资料的收集和整理,编制定级报告,协助举行定级专家评审会。
5、系统备案服务
严格依照《信息安全等级保护管理办法》(公通字[(略)](略)号文件),协助准备等保备案材料,协助向所在地区的公安机关办理备案手续,取得备案证明。
6、等保资产分析服务
派遣专业工程师到现场整理系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理,编制信息系统详细描述文档。
7、等保整改及加固服务
对服务范围内信息系统协助按照整改报告对应策略设计整改加固措施,并根据等保安全加固指导书协助客户实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固。
8、等保制度建设服务
协助安全管理制度建设,主要包括但不限于信息安全工作职责,信息安全监督、检查机制;辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
9、出具测评报告
在服务期内,测评单位为本项目提供等保测评服务,完成现场测评,测评通过后最终出具对应系统的《信息安全等级保护测评报告》。
合同包2:(略)
1、商用密码应用安全性评估背景
根据《中华人民共和国密码法》、《中华人民共和国网络安全法》、《国家政务信息化项目建设管理办法》、《信息安全技术 信息系统密码应用基本要求》(GB/T(略)-(略))、《商用密码应用安全性评估管理办法(试行)》、《贯彻落实网络安全等保制度和关保制度的指导意见》(公安部(略)号)、《福建省密码管理局关于加强商用密码应用安全性评估工作的通知》等法律法规、制度和规范,对数字福建评估管理平台项目开展商用密码应用安全性评估(简称“密评”)。推动整改措施落实,确保被测系统的密码应用采用商用密码进行保护,做到同步规划、同步建设、同步运行密码保障信息系统。
2、商用密码应用安全性评估目标
数字福建评估管理平台项目商用密码应用安全性评估是依据《中华人民共和国密码法》要求,从系统的实际需要出发,以规则和体系化的密码技术保护策略为标准,对系统进行整体测评,以确认系统所采用的国产商用密码技术是否合规、正确、有效,切实推动密码技术国产化替代工作的进一步落实。总体目标是依据国家和福建省相关政策法规和标准规范,对被测系统开展密评工作,通过密评工作深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全水平奠定基础,推动国产密码应用工作的进一步落实,保障和促进被测单位建设健康发展。同时,也指导被测单位的信息安全保障体系建设,增强密码安全管理意识,促进安全管理水平的提高。
3、商用密码应用安全性评估依据
《中华人民共和国密码法》;
《中华人民共和国网络安全法》;
《信息安全等级保护商用密码管理办法》;
《信息安全等级保护商用密码技术实施要求》;
《信息安全等级保护商用密码技术要求》;
《信息系统密码测评要求》;
《金融和重要领域密码应用与创新发展工作规划((略)-(略)年)》;
《信息安全技术信息系统密码应用基本要求》(GB/T(略)-(略));
《信息系统密码应用测评要求》(GM/T (略)-(略));
《信息系统密码应用测评过程指南》(GM/T (略)-(略));
《信息系统密码应用高风险判定指引》;
《商用密码应用安全性评估量化评估规则》;
《国家政务信息化项目建设管理办法》(国办发〔(略)〕(略)号);
4、商用密码应用安全性评估实施原则
为保障项目的顺利实施,在项目实施过程须遵循以下原则:
4.1、规范性原则
加强项目管理,在人员、质量和时间进度等方面进行严格管控。
4.2、标准化原则
测评过程须严格遵守国家的相关法律、法规、规范、标准等相关要求。
4.3、完整性原则
在测评过程中,必须确保测评数据、过程记录的完整性。评测内容要综合考虑所有评测对象的技术措施,并建立完整有效的评测流程,保证不存在影响评测结果的疏忽或遗漏。
4.4、保密性原则
在测评过程中,切实加强对人员、技术等方面的组织管理;与所有相关人员签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不会泄露给第三方单位或个人,不得擅自利用这些信息。
投标人的任何工作人员均须与被测单位签署《保密承诺书》,对知悉的事项及信息予以保密,所有资料、技术文档应妥善保管,不得遗失、转借、复印,不得以任何形势向第三方透露;所有密码应用解决方案和采集汇总后的数据严谨通过互联网等公共信息网络、普通邮政进行传递,严禁在连接互联网计算机存储、处理。
4.5、影响最小原则
在项目实施的过程中,须充分考虑到相关活动对系统正常运行的不利影响,采取必要的措施将相关风险降到最低。
5、服务内容
依据《信息安全技术信息系统密码应用基本要求》(GB/T (略)-(略))、《信息系统密码测评要求》《商用密码应用安全性评估测评过程指南》《商用密码应用安全性评估测评作业指导书(试行)》和被测系统的安全需求分析,对被测系统进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,规范采购单位的密码使用和管理行为,推动提升密码应用水平。
6、商用密码应用安全性评估服务内容
6.1采用系统评估方式,及时发现被测系统脆弱性,识别风险,了解被测系统安全状况。对照密码应用方案对被测系统开展评估。根据被评估对象的实际情况、被测系统使用的密码产品情况,选择并确定测评依据。在被测系统真实环境下进行测评,以评估密码应用及保障是否安全有效,密码使用和管理是否合规、正确、有效。
6.2密码技术应用测评:(略)
6.3密钥管理测评:(略)
6.4安全管理测评:(略)
6.5密码应用安全评估报告:(略)
6.6密码应用要求和密码评估相关培训:(略)
7、项目技术和其他要求
7.1人员要求
投标人须具有一定服务能力的管理团队,形成2个或以上实施小组,每组不少于3人,每组进场人员至少2人。
7.2服务响应要求
服务期间提供7×(略)服务响应(7×(略)小时工程师2小时内作好服务应答和反馈),需要现场支撑时,投标人需在4小时内安排至少1名具有服务能力的工程师到达现场处理。
7.3协助密评备案要求
投标人出具商用密码应用安全性评估报告后,协助业主通过密码应用台账系统完成采购人被测系统密评备案工作。
7.4严守工作秘密
投标人须书面承诺:(略)
三、商务条件(以“★”标示的内容为不允许负偏离的实质性要求)
包:(略)
1、交付地点:(略)
2、交付时间:(略)
3、交付条件:(略)
4、是否收取履约保证金:(略)
5、是否邀请投标人参与验收:(略)
6、验收方式数据表格
|
验收期次
|
验收期次说明
|
|
1
|
完成系统安全测评服务,提交项目《信息安全等级保护测评报告》后。
|
7、支付方式数据表格
|
支付期次
|
支付比例(%)
|
支付期次说明
|
|
1
|
(略)%
|
合同签订后,中标人提交《信息安全等级保护测评报告》,验收合格且收到财政拨款后,招标人支付合同总额的(略)%。
|
包:(略)
1、交付地点:(略)
2、交付时间:(略)
3、交付条件:(略)
4、是否收取履约保证金:(略)
5、是否邀请投标人参与验收:(略)
6、验收方式数据表格
|
验收期次
|
验收期次说明
|
|
1
|
出具《商用密码应用安全性评估报告》。
|
7、支付方式数据表格
|
支付期次
|
支付比例(%)
|
支付期次说明
|
|
1
|
(略)%
|
合同签订后,中标人提交《商用密码应用安全性评估报告》,验收合格且收到财政拨款后,招标人支付合同总额的(略)%。
|
四、其他事项
1、除招标文件另有规定外,若出现有关法律、法规和规章有强制性规定但招标文件未列明的情形,则投标人应按照有关法律、法规和规章强制性规定执行。