長(zhǎng)沙市審計(jì)局大數(shù)據(jù)審計(jì)應(yīng)用系統(tǒng)商用密碼應(yīng)用安全性評(píng)估服務(wù)采購(gòu)需求公開(kāi)

一、功能及要求：

一、項(xiàng)目點(diǎn)擊登錄查看稱(chēng)：大數(shù)據(jù)審計(jì)應(yīng)用系統(tǒng)商用密碼應(yīng)用安全性評(píng)估服務(wù)項(xiàng)目

二、預(yù)算金額：66528.00元

二、相關(guān)標(biāo)準(zhǔn)：

按國(guó)家行業(yè)地方相關(guān)標(biāo)準(zhǔn)執(zhí)行

三、技術(shù)規(guī)格：

（一）服務(wù)內(nèi)容

1、依據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》、GB/T 43206-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》、《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》、《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》、《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》、《長(zhǎng)沙市密碼管理局關(guān)于對(duì)運(yùn)行階段政務(wù)網(wǎng)絡(luò)和信息系統(tǒng)開(kāi)展商用密碼應(yīng)用安全性評(píng)估的通知》和系統(tǒng)自身的安全需求，對(duì)點(diǎn)擊登錄查看大數(shù)據(jù)審計(jì)系統(tǒng)進(jìn)行商用密碼應(yīng)用安全性評(píng)估，并出具差距分析報(bào)告，指導(dǎo)系統(tǒng)運(yùn)維公司進(jìn)行相關(guān)整改工作，確保其按照提出的改進(jìn)措施整改后，通過(guò)復(fù)評(píng)測(cè)試，滿足商用密碼應(yīng)用和安全性相關(guān)要求，最終出具《大數(shù)據(jù)審計(jì)應(yīng)用系統(tǒng)商用密碼應(yīng)用安全性評(píng)估報(bào)告》并協(xié)助完成長(zhǎng)沙市國(guó)家密碼管理局備案。

（二）服務(wù)要求

1.實(shí)施內(nèi)容

（1）對(duì)照國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)、省市密碼應(yīng)用相關(guān)要求和密碼應(yīng)用方案對(duì)系統(tǒng)開(kāi)展密碼測(cè)評(píng)和整改。在系統(tǒng)真實(shí)環(huán)境下進(jìn)行測(cè)評(píng)，評(píng)估系統(tǒng)密碼保障是否安全有效，系統(tǒng)密碼使用是否合規(guī)、正確、有效。并通過(guò)測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)存在的安全隱患和風(fēng)險(xiǎn)，提出可行性完善建議，并協(xié)助完成整改工作。最終輸出測(cè)評(píng)報(bào)告。

（2）協(xié)助采購(gòu)人完成測(cè)評(píng)、整改和備案工作。在完成上述信息系統(tǒng)密碼應(yīng)用安全性評(píng)估工作的基礎(chǔ)上，協(xié)助采購(gòu)人向長(zhǎng)沙市密碼應(yīng)用監(jiān)管單位完成密碼測(cè)評(píng)報(bào)告的備案工作。

2.人員和任務(wù)分工要求

結(jié)合本項(xiàng)目的評(píng)估服務(wù)需求，對(duì)供應(yīng)商的團(tuán)隊(duì)和分工要求如下：

3.保密要求

成交供應(yīng)商在服務(wù)過(guò)程中，應(yīng)嚴(yán)格遵守《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《中華人民共和國(guó)密碼法》等法律法規(guī)規(guī)定。

成交供應(yīng)商必須與采購(gòu)人簽署《點(diǎn)擊登錄查看大數(shù)據(jù)審計(jì)應(yīng)用系統(tǒng)商用密碼應(yīng)用安全性評(píng)估項(xiàng)目保密協(xié)議書(shū)》，參與項(xiàng)目人員需簽署《個(gè)人保密承諾書(shū)》，對(duì)知悉的事項(xiàng)及信息予以保密，所有資料、技術(shù)文檔妥善保管，不得遺失、轉(zhuǎn)借、復(fù)印，不得以任何形式向第三方透露；所有密碼應(yīng)用解決方案和采集匯總后的數(shù)據(jù)嚴(yán)禁通過(guò)互聯(lián)網(wǎng)等公共信息網(wǎng)絡(luò)、快遞等進(jìn)行傳遞，嚴(yán)禁在連接互聯(lián)網(wǎng)計(jì)算機(jī)上存儲(chǔ)、處理。嚴(yán)格遵循操作規(guī)程，承擔(dān)服務(wù)工作質(zhì)量責(zé)任。

4.項(xiàng)目實(shí)施管理要求

成交供應(yīng)商應(yīng)嚴(yán)格依據(jù)下列原則和國(guó)家密碼應(yīng)用安全性評(píng)估相關(guān)標(biāo)準(zhǔn)開(kāi)展項(xiàng)目實(shí)施工作：

4.1 標(biāo)準(zhǔn)化原則

測(cè)評(píng)和測(cè)試工作不僅要遵循國(guó)家相關(guān)標(biāo)準(zhǔn)規(guī)范，還要符合有關(guān)行業(yè)規(guī)范要求。

4.2 規(guī)范化原則

本項(xiàng)目的實(shí)施將嚴(yán)格按照有關(guān)質(zhì)量體系要求，通過(guò)分析項(xiàng)目實(shí)施風(fēng)險(xiǎn)，在項(xiàng)目管理的基礎(chǔ)上，建立規(guī)范的實(shí)施操作流程、文檔管理制度和項(xiàng)目管理制度，最大限度降低項(xiàng)目實(shí)施風(fēng)險(xiǎn)。

4.3 業(yè)務(wù)主導(dǎo)原則

本次項(xiàng)目將遵循業(yè)務(wù)主導(dǎo)原則，即以業(yè)務(wù)安全為評(píng)估工作導(dǎo)向，根據(jù)本項(xiàng)目信息系統(tǒng)項(xiàng)目業(yè)務(wù)特點(diǎn)確定評(píng)估重點(diǎn)，分析信息安全風(fēng)險(xiǎn)和漏洞對(duì)業(yè)務(wù)的影響，充分發(fā)揮密碼應(yīng)用安全性評(píng)估對(duì)促進(jìn)信息系統(tǒng)安全保障以完成業(yè)務(wù)使命的積極作用。

4.4 最小影響原則

本項(xiàng)目工作要做到充分的計(jì)劃性，所采用手段的工具均須經(jīng)過(guò)嚴(yán)格的評(píng)審和測(cè)試，對(duì)預(yù)期的結(jié)果和影響進(jìn)行充分的估計(jì)，并做好應(yīng)急措施，不對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響，盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，同時(shí)在安全服務(wù)實(shí)施前做好風(fēng)險(xiǎn)防范和應(yīng)急措施。

4.5 保密性原則

項(xiàng)目團(tuán)隊(duì)對(duì)工作過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害采購(gòu)人利益的行為。

5、項(xiàng)目實(shí)施流程

5.1 測(cè)評(píng)準(zhǔn)備活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)中，成交供應(yīng)商主要完成啟動(dòng)測(cè)評(píng)項(xiàng)目，組建測(cè)評(píng)項(xiàng)目組；通過(guò)收集和分析被測(cè)系統(tǒng)的相關(guān)資料信息，掌握被測(cè)系統(tǒng)的大體情況；并準(zhǔn)備測(cè)評(píng)工具和表單等測(cè)評(píng)所需的相關(guān)資料。

5.2 現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)：現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)中，成交供應(yīng)商與測(cè)評(píng)委托單位就測(cè)評(píng)方案達(dá)成一致意見(jiàn)，并進(jìn)一步確定測(cè)評(píng)配合人員，完成測(cè)評(píng)指導(dǎo)書(shū)各項(xiàng)測(cè)評(píng)內(nèi)容，獲取足夠的測(cè)評(píng)證據(jù)。

6、項(xiàng)目測(cè)評(píng)方案

成交供應(yīng)商需根據(jù)對(duì)項(xiàng)目的理解，依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》、《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》、《商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)過(guò)程指南》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》、《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》、《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評(píng)估工作指南》等標(biāo)準(zhǔn)規(guī)范制定測(cè)評(píng)實(shí)施方案。方案需涵蓋測(cè)評(píng)原則、測(cè)評(píng)內(nèi)容、測(cè)評(píng)工作流程、測(cè)評(píng)方法描述、測(cè)評(píng)風(fēng)險(xiǎn)規(guī)避等。實(shí)施過(guò)程中方案如有變更，應(yīng)報(bào)采購(gòu)人同意后實(shí)施。

7、項(xiàng)目實(shí)施內(nèi)容

7.1信息系統(tǒng)密碼應(yīng)用安全性評(píng)估實(shí)施內(nèi)容

成交供應(yīng)商通過(guò)對(duì)系統(tǒng)密碼應(yīng)用安全性評(píng)估，及時(shí)發(fā)現(xiàn)系統(tǒng)脆弱性，識(shí)別風(fēng)險(xiǎn)變化，了解系統(tǒng)安全狀況。對(duì)照密碼應(yīng)用方案對(duì)系統(tǒng)開(kāi)展評(píng)估。根據(jù)被評(píng)估對(duì)象的實(shí)際情況、所屬行業(yè)及系統(tǒng)使用的密碼產(chǎn)品情況，選擇并確定測(cè)評(píng)依據(jù)。在系統(tǒng)真實(shí)環(huán)境下進(jìn)行測(cè)評(píng)，以評(píng)估密碼保障是否安全有效，密碼使用是否合規(guī)、正確、有效。并通過(guò)測(cè)評(píng)發(fā)現(xiàn)系統(tǒng)存在的安全隱患和風(fēng)險(xiǎn)，提出可行性完善建議。

7.1.1 密碼技術(shù)應(yīng)用測(cè)評(píng)

物理和環(huán)境安全密碼測(cè)評(píng)、網(wǎng)絡(luò)和通信安全密碼測(cè)評(píng)、設(shè)備和計(jì)算安全密碼測(cè)評(píng)、應(yīng)用和數(shù)據(jù)安全密碼測(cè)評(píng)。測(cè)評(píng)驗(yàn)證不同安全等級(jí)信息系統(tǒng)的商用密碼應(yīng)用是否達(dá)到具有相應(yīng)安全等級(jí)的安全保護(hù)能力，是否滿足相應(yīng)安全等級(jí)的保護(hù)要求。

7.1.2 安全管理測(cè)評(píng)

對(duì)管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急等四個(gè)方面安全管理的測(cè)評(píng)，并協(xié)助完善商用密碼應(yīng)用安全性管理制度，協(xié)助完善密碼相關(guān)系統(tǒng)運(yùn)維管理制度。

7.1.3 具體評(píng)估范圍

具體評(píng)估范圍主要包括：物理機(jī)房、服務(wù)器操作系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)、交換機(jī)、路由器、防火墻、密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務(wù)、應(yīng)用、安全管理相關(guān)文檔等，主要測(cè)評(píng)內(nèi)容包含但不限于下表所示：

7.1.4 編制密碼應(yīng)用安全性評(píng)估報(bào)告

針對(duì)每個(gè)被評(píng)估系統(tǒng)編制密碼應(yīng)用安全性評(píng)估報(bào)告，報(bào)告按照國(guó)家密碼管理局要求包含的內(nèi)容編制或參考模板編制。協(xié)助被評(píng)估單位認(rèn)清風(fēng)險(xiǎn)，查找漏洞，找出差距，提出有針對(duì)性的加強(qiáng)完善密碼安全管理和防護(hù)建議。

四、交付時(shí)間和地點(diǎn)：

服務(wù)期：一年。

五、服務(wù)標(biāo)準(zhǔn)：

《GB/T 39786-2021 信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》

《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》

《商用密碼應(yīng)用安全性評(píng)估管理辦法》

《商用密碼應(yīng)用安全性評(píng)估FAQ（第三版）》

《GM/T 0001 祖沖之序列密碼算法》

《GM/T 0002 SM4分組密碼算法》

《GM/T 0003 SM2 橢圓曲線公鑰密碼算法》

《GM/T 0004 SM3 密碼雜湊算法》

《GM/T 0054 信息系統(tǒng)密碼應(yīng)用基本要求 》

《GM/T 0018 密碼設(shè)備應(yīng)用接口規(guī)范》

《GM/Z 0001 密碼術(shù)語(yǔ)》

《GM/T 0022 IPSEC VPN 技術(shù)規(guī)范》

《GM/T 0024 SSL VPN 技術(shù)規(guī)范》

《GM/T 0030 服務(wù)器密碼機(jī)技術(shù)規(guī)范》

《GM/T 0044 SM9 標(biāo)識(shí)密碼算法》

《GB/T 20984 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》

《GB/T 22239 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》

《GB/T 22240 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》

《GM/T 0011-2012 可信計(jì)算 可信密碼支撐平臺(tái)功能與接口規(guī)范》

《測(cè)評(píng)項(xiàng)目管理程序》

《身份鑒別/訪問(wèn)控制/數(shù)據(jù)安全/密鑰管理/安全審計(jì)/人員安全/制度安全/備份安全/應(yīng)急安全/實(shí)施安全測(cè)評(píng)方法和判斷標(biāo)準(zhǔn)》

六、驗(yàn)收標(biāo)準(zhǔn)：

本項(xiàng)目按照國(guó)家密碼應(yīng)用相關(guān)技術(shù)規(guī)格和密碼應(yīng)用測(cè)評(píng)相關(guān)要求并結(jié)合長(zhǎng)沙市****

七、其他要求：

1.本項(xiàng)目采用費(fèi)用包干方式，供應(yīng)商應(yīng)根據(jù)項(xiàng)目要求和現(xiàn)場(chǎng)情況，詳細(xì)列明項(xiàng)目所需的所有費(fèi)用，包括完成合同范圍的全部工作內(nèi)容所發(fā)生的人員工資、社保、福利、管理、財(cái)務(wù)、培訓(xùn)、稅費(fèi)等所有費(fèi)用，如一旦成交，在項(xiàng)目實(shí)施中出現(xiàn)任何遺漏，均由成交供應(yīng)商免費(fèi)提供，采購(gòu)人不再支付其他任何費(fèi)用。

2.供應(yīng)商在參與本項(xiàng)目的全部過(guò)程中，應(yīng)負(fù)責(zé)其所有工作人員的人身意外保險(xiǎn)以及承擔(dān)人身意外事故引發(fā)的責(zé)任、損失和所有費(fèi)用。采購(gòu)人不承擔(dān)成交供應(yīng)商工作人員因意外（包括但不限于：在駐場(chǎng)工作中發(fā)生的意外以及抵達(dá)駐場(chǎng)途中及返程中發(fā)生的意外）所致的任何責(zé)任。

3.采購(gòu)人不組織現(xiàn)場(chǎng)踏勘，供應(yīng)商在響應(yīng)前，須踏勘現(xiàn)場(chǎng)，有關(guān)費(fèi)用自理，踏勘期間發(fā)生的意外自負(fù)。

對(duì)于上述項(xiàng)目要求，供應(yīng)商應(yīng)在響應(yīng)文件中進(jìn)行回應(yīng)，作出承諾及說(shuō)明。

采購(gòu)需求僅供參考，相關(guān)內(nèi)容以采購(gòu)文件為準(zhǔn)。