安徽省應急指揮協調能力提升項目密碼應用安全性評估分包采購需求標前公示

安徽省應急指揮協調能力提升項目密碼應用安全性評估分包采購需求

一、供應商資格要求

1.滿足《中華人民共和國政府采購法》第二十二條規定； 
2.落實政府采購政策需滿足的資格要求：無； 

3.本項目的特定資格要求：無。

二、項目概況

為貫徹落實省委、省政府關于監測預警、指揮調度、搶險救援“三大系統”建設部署，推進應急管理部“智慧應急”試點及信息化任務落實，安徽省應急管理廳組織實施安徽省應急指揮協調能力提升項目建設，本項目對安徽省應急指揮協調能力提升項目開展密碼應用安全評估服務。項目預算80萬元。項目主要建設內容：

（1）省級應急指揮中心建設。安徽省應急指揮中心裝修和基礎設施建設，滿足安徽省應急管理廳協調指揮、會商、應急值守和新聞發布等業務需求。建設應急指揮視頻調度系統，具備跨級扁平化調度指揮能力。

（2）感知網絡建設。建設安全生產監測預警系統，實現對尾礦庫、危險化學品領域等安全生產風險的監測、評估、預警和趨勢分析。建設自然災害綜合監測預警系統，全面提升安徽省應對自然災害風險防控的能力。三是建設應急處置現場感知網絡。

（3）應急通信網絡建設：拓展現有指揮信息網，建設VSAT衛星地面固定站、靜中通車載站、動中通車載站，購置便攜站、天通衛星終端等。裝備LTE寬帶數字集群、PDT數字集群系統、MESH自組網、單兵背負裝備、移動布控球和無人機等，建設現場應急融合通信系統。

（4）應急管理應用支撐系統與集成建設：拓展原應急管理信息化平臺底層服務支撐系統，建設服務總線，實現現有、在建和擬建業務系統的整合與集成，實現省應急管理廳內外部數據、社會及互聯網數據和感知數據的接入、處理、管控、共享和對外服務。

（5）應急管理信息化平臺建設完善。建設統一門戶、應急指揮信息系統、安全生產風險監測預警系統、自然災害綜合監測預警系統、“互聯網+執法”系統和防災減災救災綜合管理系統升級改造等。

（6）技術和業務規范。規劃和制定安徽省應急指揮協調能力提升項目的業務規范、數據規范和管理規范等。

（7）安全運維建設：認證授權與密碼服務系統和運維保障體系建設。

三、項目總體目標

項目總體目標包括但不限于以下內容：

1.通過評估，及時發現系統脆弱性，識別變化的風險，了解系統安全狀況；

2.根據被評估對象的實際情況、所屬行業及系統使用的密碼產品情況，選擇并確定測評依據；

3.在系統真實環境下進行測評，以評估密碼保障是否安全有效，密碼使用是否合規、正確、有效；

4.是并通過測評深入查找密碼應用的薄弱環節和安全隱患，發現系統存在的安全隱患和風險，提出可行性完善建議；

5.分析面臨的風險，為提升信息系統安全防護水平奠定基礎。

四、詳細服務內容

1、密碼安全性評估范圍

安徽省應急指揮協調能力提升項目建設所涉的信息系統的建設內容。評估的范圍應全面,涉及到安徽省應急指揮協調能力提升項目信息系統的各個方面，包括信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全及密鑰管理、安全管理和密碼應用服務等方面的具體措施。

2、基本要求

（1）應嚴格根據相關國家標準、行業標準和國家電子政務工程建設項目管理要求開展評估工作。

（2）評估內容包含但不局限于：依據GM/T0054-2018《信息系統密碼應用基本要求》、《商用密碼應用安全性評估管理辦法（試行）》《信息系統密碼產品要求（試行）》《商用密碼應用安全性評估測評過程指南（試行）》《商用密碼應用安全性評估測評作業指導書（試行）》等標準規范、指導性文件及管理要求，對照通過密評的密碼應用方案，核查不適用指標的條件是否成立、替代性風險控制措施是否落實，從而確定適用和不適用的測評指標，然后從總體要求、物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、密鑰管理、安全管理等方面開展評估，根據被評估政務信息系統當前的安全狀況，從對被評估信息系統密碼使用的合規性、正確性、有效性等方面進行檢測和驗證技術能力，通過測評發現系統存在的安全隱患和風險，給出評估結果并提出有針對性的整改建議。

（3）按評估計劃時間安排，組織評估業務需求分析、編寫評估方案計劃，并組織按計劃實施評估，根據評估結果，編寫并提交評估報告，保證評估內容與評估方案一致。

（4）投標方應根據招標方要求對范圍內的全部建設內容組織初評，待軟件開發商根據評估結果整改完成后，投標方應再次組織復評。

（5）保證評估人員實際投入工作量不低于計劃數，并確保高質量與高效率。

（6）建立例會制度，嚴格管理項目人員及項目進度，確保評估工作按時保質完成。

（7）在評估完成后，需出具符合國家電子政務工程建設項目管理要求的《安徽省應急指揮協調能力提升密碼應用安全性評估報告》，并在報告中明確做出總結性的評估結論，并配合招標方通過項目竣工驗收專家評審。

3.技術要求與服務內容

（1）方案規劃設計技術咨詢

根據國家有關密碼合規應用的要求以及安徽省應急指揮協調能力提升主體工程的建設內容，提供密碼應用技術方案以及規劃設計咨詢服務。

（2）開展密碼應用安全性評估

依據GM/T0054-2018《信息系統密碼應用基本要求》、《信息系統密碼測評要求（試行）》、《商用密碼應用安全性評估測評過程指南（試行）》、《商用密碼應用安全性評估測評作業指導書（試行）》和系統自身的安全需求分析，對被評估系統進行商用密碼應用安全性評估，為重要網絡和信息系統的密碼安全提供科學評價，逐步規范網絡運營者的密碼使用和管理行為。

被評估對象的商用密碼應用安全性評估服務內容如下:系統評估，及時發現系統脆弱性，識別變化的風險，了解系統安全狀況。根據被評估對象的實際情況、所屬行業及系統使用的密碼產品情況，選擇并確定測評依據。在系統真實環境下進行測評，以評估密碼保障是否安全有效，密碼使用是否合規、正確、有效。并通過測評發現系統存在的安全隱患和風險，提出可行性完善建議。

（3）密碼技術應用測評

主要包括物理安全密碼測評、網絡安全密碼測評、主機安全密碼測評、應用安全密碼測評、數據安全及備份恢復密碼測評。測評驗證不同安全等級信息系統的商用密碼應用是否達到具有相應安全等級的安全保護能力，是否滿足相應安全等級的保護要求。

（4）密鑰管理測評

檢測信息系統密鑰管理各環節，包括對密鑰的生成、存儲、分發、導入、導出、使用、備份、恢復、歸檔與銷毀等環節進行管理和策略制定的全過程是否符合要求。

（5）安全管理測評

對制度、人員、實施和應急等四個方面安全管理的測評，并協助完善商用密碼應用安全性管理制度，協助完善密碼相關系統運維管理制度。

（6）形成密碼應用安全性評估相關報告

1）密碼應用安全評估報告

針對每個被評估系統編制密碼應用安全性評估報告，報告按照國家密碼管理局要求包含的內容編制或參考模板編制。協助被評估單位認清風險，查找漏洞，找出差距，提出有針對性的加強完善密碼安全管理和防護建議。

2）審核匯總形成密碼應用安全性評估總結報告

完成信息系統的密碼應用性評估工作后，編制評估總結報告，對密評工作開展的情況，遇到的問題，密評結果數據、被評估單位上報的密碼應用情況、梳理共性問題和個性問題，形成密碼應用情況分析總結報告，提交紙質和電子版（光盤）。

（7）提供密碼應用針對性培訓

從國家政策法規、國家密碼標準、密碼行業標準、密碼要求規范等方面對被評估單位進行培訓，重點包括密碼應用要求、密碼測評要求等，明確密碼應用安全性評估的目的和意義。

（8）提供后續服務保障

在評估報告生成后1年內，免費對招標方已測系統改造后進行評估服務，免費對招標方其他信息系統商用密碼應用方案進行評估服務。

五、項目實施要求

1. 客觀性和公正性要求：在最小主觀判斷情形下，按照雙方相互認可的方案，基于明確定義的測評方式和解釋，實施評估活動。

2. 保密要求：在測評過程中，需嚴格遵循保密原則，對服務過程中涉及到的任何用戶信息未經允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購人利益。

3. 最小影響要求：測評工作應該盡可能小地影響系統和網絡的正常運行，不能對業務的正常運行產生明顯的影響（包括系統性能明顯下降、網絡阻塞、服務中斷等），如無法避免，則應預先做出說明并經采購人同意后實施，在項目實施過程中，需有可行性的風險規避處置措施。

4. 規范性要求：網絡安全等級保護測評服務的實施必須由專業的測評服務人員依照規范的操作流程進行，對操作過程和結果要有相應的記錄，并提供完整的服務報告。

5. 質量保障與項目管理要求：在整個測評過程中，須特別重視項目質量管理。項目的實施將嚴格按照項目實施方案和流程進行，并由項目協調小組從中監督，控制項目的進度和質量。

6. 工作流程：投標方的技術文件中須清晰描述其如何安排項目的工作流程，包含但不限于以下環節：按國家密碼管理局發布的《商用密碼應用安全性評估測評過程指南（試行）》進行。包括密碼應用方案評估、測評準備活動、方案編制活動、現成測評活動、分析和報告編制活動。

六、報價要求

投標人針對本項目所有內容報總價，報價包含了履行合同所有內容的全部費用，包括密碼應用安全性評估服務費、方案論證費、人工費、管理費、保險費、驗收費、代理服務費、其他費用等（完成本項目所需要的其他費用）及所有價內價外稅金及合理利潤等，采購人后期不再增加任何費用，投標人需自行考慮各種風險，謹慎報價。

七、其他要求

1、評估原則

規范性原則：投標人應嚴格依據相關國家GM/T 0054標準和合同約定開展規范的密評工作。

專業性原則：投標人評估人員應具備專業的技術水平，能夠進行高水平評估工作，從而充分保證評估的質量。

獨立性原則：投標人應是獨立的第三方，可以比較客觀地開展工作，在利益和管理上不受外部的控制，使密評工作更為徹底。

最小影響原則：密評過程應提前對密碼系統應用方案進行評估，對可能出現的問題進行分析和研判，要盡可能小地影響系統的正常運行，如可能造成較大影響，則應提前做出說明。

保密原則：投標方對在工作中獲取的招標方業務信息、數據、文件、數字以及項目成果承擔保密義務。未經對方同意，投標方不得對招標方的資料及文件擅自修改、復制、傳播、向第三方轉讓，如發生泄密情況，投標方需承擔一切由此引起的后果并承擔賠償責任。

2、評測人員要求

（1）投標人應組織一個不少于5人的專業化團隊（包括2名中級等保測評師）來執行本項目，并向招標人提供參與本項目人員的有效聯系方式（包括手機、辦公電話、電子郵箱***

（2）實施團隊必須具備有豐富經驗的密評工程師，熟悉密評工作、具有扎實基礎理論專業知識、具有知識產權意識、確保用戶機密不被泄露，同時招標人為了響應密碼法要求，要求團隊人員具有1名中級等級保護測評師。

（3）投標人須指定一名項目經理，全程負責本次密評工作。項目經理需具有類似項目工作經驗。

（4）項目團隊一經組建，未經招標方許可，不得輕易變更，并且團隊任一成員在項目實施過程中到現場的響應時間不大于2小時。

3、保密要求

投標供應商未經招標人同意，不得向第三方泄露此項目相關情況。投標供應商中標后須對其所聘的進入招標方工作場所的人員進行資格審查和保密監督管理。中標人須與招標人、負責此項目的技術人員簽訂保密協議，并負責對所屬人員進行保密教育，中標人要教育進入招標方工作場所的人員知悉其必須承擔的保密義務和責任，遵守國家保密法律、法規，自覺遵守招標方工作紀律和規章制度，不做任何竊取或泄漏國家秘密、政務秘密的行為。此項目實施前，中標人須將有關人員的情況（姓名、性別、身份證號碼、家庭住址、聯系方式***

4、投標技術方案要求

投標方應針對密碼安全性評估范圍和評估內容進行分析，制定完整的密碼安全性評估方案，包括但不限于評估策略、評估方法、評估流程、評估環境等內容。

八、任務完成時間

從軟硬件系統試運行開始進行測評工作，中標供應商在收到采購人通知啟動測評之日起90個自然日內完成測評任務。此后的第2年、第3年分別開展一次測評，中標供應商按照采購人的通知，在90個自然日內完成測評任務。

九、付款條件

合同簽訂后支付合同款30%；中標人并出具密碼應用安全性評估報告后支付合同款60%；安徽省應急指揮協調能力提示項目驗收合格后支付20%。