全市电子政务等保测评及密码评估运维项目招标

全市电子政务等保测评及密码评估运维项目招标项目的潜在供应商应在线上获取招标文件,并于2021年08月13日 09时00分（北京时间）前递交投标文件。

对100个非涉密信息系统进行等保测评。

一、服务内容

依据《中华人民共和国网络安全法》等国家相关法律、标准要求，对非密电子政务信息系统进行测评，并出具《测评报告》。
二、服务要求

（一）等保测评

对100个非密电子政务信息系统进行测评，并出具《测评报告》。若首次测评后被测信息系统需要进行整改，在约定的整改期限内免费赠送一次复测服务。

服务时间：7*24

服务方式：现场和远程

交付成果：测评报告。

（二）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料，组织开展专家评审会，完成定级备案等相关服务工作。

服务时间：7*24

服务方式：现场

交付成果：备案证明。

（三）测评服务范围

依据《信息安全技术 网络安全等级保护基本要求》，测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

（1）安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络测评内容：

网络架构、通信传输、可信验证。

（3）安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（四）项目使用工具

等级保护测评阶段，应使用安全扫描系统进行服务器、网络设备进行扫描，投标人须提供测评工具（包括WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等）。

（五）人员能力要求

1）派遣有经验的人员完成本项目服务工作，进入现场实施人员从事本行业工作不少于2年，具有等级保护测评经验。

2）投标人须承诺：中标后，投标文件中的人员全部参与服务工作，如因特殊原因更换现场实施人员，需征得采购单位同意，所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

3）投标人拟派专业的服务团队，服务团队成员不少于5人，其中项目负责人1人。

对155个政务信息化系统的密码应用方案进行编制论证并开展密码应用安全性评估安全服务。

一、服务内容

按照《关于开展非涉密政务信息化系统密码应用与安全性评估工作的通知》（沈密局发【2020】6号）文件要求：
1.对全市155个政务信息化系统的密码应用方案进行编制论证；
2.对全市155个政务信息化系统开展密码应用安全性评估工作。
提升全市政务信息系统的安全保障服务水平。

二、服务要求

（一）编制论证服务

按照《关于开展非涉密政务信息化系统密码应用与安全性评估工作的通知》（沈密局发【2020】6号）文件要求，对全市155个政务信息化系统的密码应用方案进行编制论证。

指标要求：密码应用方案编制及论证

服务时间：7*24小时

服务方式：现场和远程

交付成果：密码应用方案。

（二）安全性评估服务

按照《关于开展非涉密政务信息化系统密码应用与安全性评估工作的通知》（沈密局发【2020】6号）文件要求，对全市155个政务信息化系统开展密码应用安全性评估工作

指标要求：密码应用安全性评估

服务时间：7*24小时

服务方式：现场和远程

交付成果：密码应用安全性评估报告。

1.依据《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等文件的条款要求，逐一对信息系统进行密码应用的合规性、正确性、有效性进行安全性评估，通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升信息系统安全奠定基础。

2.评估服务过程及内容要求

评估服务过程包括四项基本评估活动：评估准备活动、方案编制活动、现场评估活动、分析与报告编制活动。评估方与被评估单位之间的沟通与洽谈应贯穿整个评估过程。

（1）评估准备活动

本活动是开展评估工作的前提和基础，主要任务是掌握被评估信息系统的详细情况，准备评估工具，为编制密码应用安全性评估方案做好准备。

（2）方案编制活动

本活动是开展评估工作的关键活动，主要任务是确定与被评估信息系统相适应的评估对象、评估指标、评估检查点及评估内容等，形成方案，为实施现场评估提供依据。

（3）现场评估活动

本活动是开展评估工作的核心活动，主要任务是根据密码应用安全性评估方案分步实施所有评估项目，以了解被评估信息系统真实的密码应用现状，获取足够的证据，发现其存在的密码应用安全性问题。

（4）分析与报告编制活动

本活动是给出评估工作结果的活动，主要任务是根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的有关要求，通过单元评估、整体评估、量化评估和风险分析等方法，找出被评估信息系统密码应用的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距可能导致的被评估信息系统所面临的风险，从而给出各个评估对象的评估结果和被评估信息系统的评估结论，形成评估报告。

3.人员要求

投标人拟派专业的服务团队，服务团队成员不少于5人，其中项目负责人1人；