一、采购内容

（一）项目名称：

2023年省应急厅政务信息化国密测评服务项目

（二）项目内容

1、测评对象：统一身份认证系统、贵州省应急指挥平台、贵州省自然灾害风险预警系统、贵州省安全生产风险监测预警系统（定级：三级）。

2、主要内容：依据《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）相关管理规范和技术标准，从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理等方面对4个业务系统开展商用密码应用安全性评估，查找密码应用的薄弱环节和安全隐患，提出整改方案，协助被测系统备案并提供密码应用培训、咨询等服务。具体要求如下：

（1）物理和环境安全评估：包括但不限于针对“身份鉴别”“电子门禁记录数据完整性”“视频记录数据完整性”“密码服务”“密码产品”等物理和环境安全方面釆取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。

（2）网络和通信安全评估：包括但不限于“身份鉴别”“网络边界访问控制信息完整性”“通信数据的完整性”“通信过程中重要数据的机密性”“安全接入认证”等网络和通信安全方面釆取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。

（3）设备和计算安全评估：包括但不限于“身份鉴别”“远程管理通道安全”“系统资源访问控制信息完整性”“重要信息资源安全标记完整性”“系统资源访问控制信息完整性”“重要可执行程序完整性”“重要可执行程序来源真实性”“日志记录完整性”等设备和计算安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。

（4）应用和数据安全评估：包括但不限于“身份鉴别”“访问控制信息完整性”“重要数据传输的机密性和完整性”“重要数据存储的机密性和完整性”“重要信息资源安全标记完整性”“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。

（5）安全管理评估：从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能够确保密码技术被合规、正确、有效地实施。

二、投标条件

（一）具有独立承担民事责任的能力；

（二）具有良好的商业信誉和健全的财务会计制度；

（三）具有履行合同所必需的设备和专业技术能力；

（四）有依法缴纳税收和社会保障资金的良好记录；

（五）参加政府采购活动前3年内，在经营活动中没有重大违法记录；

（六）根据《财政部关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的规定，对列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单的供应商，拒绝参与本项目政府采购活动。查询渠道:“信用中国”网站、中国政府采购网；

******人民政府财政部门行政处罚且在处罚期内的供应商不得参与本次投标；

******管理局组织的商用密码应用安全性评估试点机构能力考核，有开展密评试点工作的相应资质；

（九）本项目不接受联合体投标，且项目不得转包；

（十）满足法律、行政法规规定的其他条件。

三、报价原则

本项目最高限价为26.28万元。投标商根据企业管理能力和经营能力自行报价，但报价不得高于最高限价。

四、报名要求

（一）提交资料

1、投标文件。应包含但不限于：分项系统测评报价及税率等相关内容。

2、资质证明。应包括但不限于：经工商部门登记注册的独立法人证明；与本次投标条件吻合的相关资质；相关密码测评业绩情况说明。

（二）提交时间

自本公告公示期起至5个工作日（每日8:30-17:30）

（三）联系方式

联系地址：贵阳市云岩区盐务街35号（贵州省应急管理厅）

联系人：周天翔，电话：0851-******。

5. 具体要求

见附件。

附件1：

项目需求采购内容

1. 采购内容

（一）项目服务需求

完成4个业务系统的密码应用测评，确保平台密码应用符合国家相关标准；定级：三级。

1、评估对象

统一身份认证系统、贵州省应急指挥平台、贵州省自然灾害风险预警系统、贵州省安全生产风险监测预警系统。

2、开展密码应用安全性评估

依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、GM/T0115《信息系统密码应用测评要求》、GM/T0116《信息系统密码应用测评过程指南》、《政务信息系统密码应用与安全性评估工作指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、和系统自身的安全需求分析，对被评估系统进行商用密码应用安全性评估，为内蒙古自治区政法大数据智能化应用平台的密码安全提供科学评价，逐步规范网络运营者的密码使用和管理行为。被评估对象的商用密码应用安全性评估服务内容如下:

实施方式：系统评估，及时发现系统脆弱性，识别变化的风险，了解系统安全状况。对照密码应用方案对系统开展评估。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况，选择并确定测评依据。在系统真实环境下进行测评，以评估密码保障是否安全有效，密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险，提出可行性完善建议。

密码技术应用测评：物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力，是否满足相应安全等级的保护要求。

安全管理测评：对管理制度、人员管理、建设运行和应急等四个方面安全管理的测评，并协助完善商用密码应用安全性管理制度，协助完善密码相关系统运维管理制度。

3、形成密码应用安全性评估相关报告

******管理局要求包含的内容编制或参考模板编制。协助被评估单位认清风险，查找漏洞，找出差距，提出有针对性的加强完善密码安全管理和防护建议。

（二）其他服务需求

1、服务期限间提供7×24服务响应，由评估专业人员在2小时内作好服务应答和反馈，需要现场支持时，中标单位需在4小时内安排至少1名具有服务能力的专业人员到达现场处理。

2、服务期限间提供应急保障工作，针对应急、攻坚克难等事宜提供保障方案，包括高层支撑和响应时间等。

3、严守工作秘密。中标服务商必须与采购人签署保密协议，参与项目人员签署《保密承诺书》，对知悉的事项及信息予以保密，所有资料、技术文档妥善保管，不得遗失、转借、复印，不得以任何形式向第三方透露；所有密码应用解决方案和采集汇总后的数据严禁通过互联网等公共信息网络、快递等进行传递，严禁在连接互联网计算机上存储、处理。

4、严格遵循操作规程，承担服务工作质量责任。

5、应急响应服务：项目验收合格后，承诺提供1年的应急响应服务。

二、服务地点

服务地点：采购人指定地点

三、服务期限

本项目服务期为1年，服务时间起止按双方约定执行。

附件2：

项目需求采购评分标准