數字福建評估管理平臺項目（安全測評、密碼評估）（重新招標）-變更公告

發(fā)布時間：****-**-** **:**信息來源：福州市公共資源交易服務中心

數字福建評估管理平臺項目（安全測評、密碼評估）（重新招標）

補充通知

招標編號：********************

各潛在投標人：

現就數字福建評估管理平臺項目（安全測評、密碼評估）（重新招標）作補充通知如下：

?

*、招標文件“第*章 招標內容及要求”，補充及完善，詳見*。

?

*、因跨年度，資格要求財務狀況報告中要求“提供經審計的上*年度的年度財務報告”投標人提供****年度或****年度的經審計的年度財務報告均認可。

?

*、招標文件中“其他資格條件：合同包*：無；合同包*：投標人應取得取得商用密碼檢測機構（商用密碼應用安全性評估業(yè)務）資質，需提供資質證書或國家密碼管理局公布的國家密碼管理局公告（第**號）《商用密碼檢測機構（商用密碼應用安全性評估業(yè)務）目錄》對應機構截圖并加蓋投標人單位公章?！毙薷臑椤捌渌Y格條件：合同包*：無；合同包*：投標人應具備國家密碼管理局頒發(fā)的《商用密碼檢測機構資質證書》，且業(yè)務范圍為“商用密碼應用安全性評估”，投標人須提供資質證書掃描件并加蓋單位電子公章。”

?

本補充通知為本項目招標文件的組成部分，與招標文件、招標公告不*致之處，以本補充通知為準。

?

招標人：福建省經濟信息中心

招標代理機構：福建華晨項目管理有限公司

日期： ****?年**月**日

*：第*章 招標內容及要求

*、項目概況

*、項目背景

****年*月，國務院發(fā)布《國務院關于加強數字政府建設的指導意見》（國發(fā)〔****〕**號），意見指出：將數字技術廣泛應用于政府管理服務，推進政府治理流程優(yōu)化、模式創(chuàng)新和履職能力提升，構建數字化、智能化的政府運行新形態(tài)，充分發(fā)揮數字政府建設對數字經濟、數字社會、數字生態(tài)的引領作用。圍繞加快數字化發(fā)展、建設數字中國重大戰(zhàn)略部署，持續(xù)增強數字政府效能，更好激發(fā)數字經濟活力，優(yōu)化數字社會環(huán)境，營造良好數字生態(tài)。意見要求：建立完善數字政府建設評估指標體系，樹立正確評估導向，重點分析和考核統籌管理、項目建設、數據共享開放、安全保障、應用成效等方面情況，確保評價結果的科學性和客觀性。加強跟蹤分析和督促指導，重大事項及時向黨中央、國務院請示報告，促進數字政府建設持續(xù)健康發(fā)展。

****年**月，福建省人民政府印發(fā)《福建省數字政府改革和建設總體方案》（閩政〔****〕**號），提出數字政府改革和建設整體實施架構是以全面數字化為基礎，以全省*體化建設支撐數字政府整體運行，以政府數字化改革管理系統作為實現數字政府改革和建設的入口，對改革過程中的組織數字化、權責數字化、事項標準化、工作任務拆解、工作舉措和考核指標數字化等各項工作進行全生命周期管理，沉淀輸出政府數字化改革成果，既為改革自身賦能，也為政務服務與政府治理提質增效賦能，實現數字政府“*通*在線”，提升政府決策、服務、執(zhí)行、監(jiān)督和評價履職能力。

****年*月，《****年數字福建工作要點》（閩政辦〔****〕**號）提出：開展省級和市級數字福建能力評估考核，統籌開發(fā)評價指標數據采集和管理系統；優(yōu)化完善《數字中國發(fā)展報告》應評機制，推動全省數字化建設科學化、精準化。

為貫徹落實《國務院關于加強數字政府建設的指導意見》（國發(fā)〔****〕**號）（以下簡稱《意見》）和《福建省人民政府關于印發(fā)福建省數字政府改革和建設總體方案的通知》（閩政〔****〕**號）（以下簡稱《總體方案》）關于“完善考核評價”要求，加強指標體系的考核評估，充分發(fā)揮考核“指揮棒”作用，實現福建省數字政府建設監(jiān)測、評估、改進的全流程閉環(huán)管理。

*、建設目標

建設數字福建評估管理平臺，構建福建特色的數字政府能力評估體系和全面量化數字政府能力評估指標，運用大數據監(jiān)測分析技術，分析福建省數字政府建設現狀，強弱項補短板，全面、客觀、動態(tài)地評估各地數字政府建設工作進展和實際效果，通過“以評促建、以評促改、以評促用”，推動國家、省級、數字福建相關工作部署，打造全省*體化、整體協同、高效運作的數字政府，實現福建省數字政府建設監(jiān)測、評估、改進的全流程閉環(huán)管理，全面提升我省數字政府建設水平。

（*）實現數字政府能力全方位考核和全景式展示

構建數字政府能力考核指標體系和運行成效指標體系，采用數字化手段，通過全面量化考核指標，對省級、市級數字政府建設的現狀、能力、成效等進行全方位考核，全景式展示數字政府運行總體概況和建設成效，客觀真實反映福建省數字政府建設水平，為政府領導提供全面、準確、及時的數字政府運行監(jiān)測預警與輔助決策服務。

（*）實現數字政府整改提升全流程閉環(huán)

打造數字政府能力監(jiān)測、核驗、分析、督導的全流程閉環(huán)管理模式，采用量化評估、預警分析、對標對比等數字化手段提升數字政府能力，針對各領域數字政府建設任務，統*實現任務下達、執(zhí)行監(jiān)測、現場核驗、工作督導、成效評估等業(yè)務全流程閉環(huán)管理。

（*）提升我省數字政府建設水平

基于數字福建評估管理平臺，對省直部門、*市*區(qū)的數字政府情況行動態(tài)監(jiān)測、分析研判、對標對比，及時發(fā)現省直部門、*市*區(qū)在數字政府建設中存在的不足和短板。平臺及時展示各指標的問題清單，督導省直部門、*市*區(qū)進行整改提升，并在整改的過程中通過數字政府知識資源的積累學習，標桿省市的對標對比不斷提升指標表現，厘清福建省數字政府重點領域的“痛點”“難點”“堵點”，提升我省在全國數字政府能力評估名次。

*、技術和服務要求（以“★”標示的內容為不允許負偏離的實質性要求）

合同包*：數字福建評估管理平臺安全測評項目 （第*次招標）

*、安全測評內容

*.* 安全等級測評

依照?**/* *****-****《信息安全技術 網絡安全等級保護基本要求》和《行業(yè)網絡安全等級保護基本要求》對被測系統進行等級保護測評，確定不同等級業(yè)務系統當前安全防護現狀，以及與國家和行業(yè)等級保護要求間的差距；分析其所面臨的威脅及其存在的脆弱性，提出有針對性的抵御威脅的防護策略和整改措施， 為防范和化解信息安全風險，將風險控制在可接受的水平，最大限度地防止由于信息系統安全事件引發(fā)安全事故，全面提高信息系統安全防護水平提供科學依據。

等級測評將覆蓋安全物理環(huán)境、安全通信網絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度等方面的內容，內容包括但不限于以下內容：

（*）安全物理環(huán)境測評須通過訪談、文檔審查和實地察看的方式測評信息系統的物理安全保障情況，主要涉及對象為機房。

（*）安全通信網絡測評須通過訪談、配置檢查和工具測試的方式測評信息系統的安全通信網絡保障情況。

（*）安全區(qū)域邊界測評須通過訪談、配置檢查和工具測試的方式測評信息系統的安全區(qū)域邊界保障情況。

（*）安全計算環(huán)境須通過訪談、配置檢查和工具測試的方式測評信息系統的安全計算環(huán)境保障情況。

（*）安全管理中心測評須通過訪談、配置檢查的方式測評信息系統的安全管理中心保障情況。

（*）安全管理制度須針對管理制度、制定和發(fā)布、評審和修訂等 情況進行核查。

*、提供的技術服務成果及要求

*.*技術服務的方式：現場測評、數據分析。

*.*技術服務對象:采購人申請測評的信息系統，如所申請系統的相關信息與實際環(huán)境不相符合，以信息系統實際運行環(huán)境為準。

*.*技術服務成果：取得并提交省級及以上等級保護測評機構出具的安全等級測評報告。

*.*技術服務質量要求

（*）投標人應具有有效期《網絡安全等級測評與檢測評估機構服務認證證書》。

（*）投標人在采購人現場測評時，應遵守采購人的工作紀律，不破壞采購人的工作設備和軟、硬件設施。

（*）投標人在現場測評時，應與采購項目負責人充分溝通，如在運用相關工具或開展相關測評工作前，應事先做好風險評估和回退機制，做好安全防范措施，確保在測評工作開展過程中不影響系統的正常運行。

（*）投標人需積極配合采購人、采購人的第*方安全服務商以及對應系統開發(fā)商完成測評整改工作。

*、技術服務標準和原則

依據國家等級保護相關標準和制度規(guī)范開展測評等工作，遵循的標準和規(guī)范包括但不限于如下所列：

********-****《信息安全技術 網絡安全等級保護基本要求》

********-****《信息安全技術 網絡安全等級保護測評要求》

**/******-****《信息安全技術信息安全風險評估規(guī)范》

**/******-****《信息安全技術信息安全風險評估指南》

本次信息系統等級保護測評服務的實施應遵循以下原則：

（*）保密性原則：投標人對測評服務中的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據進行任何侵害招標人網絡的行為，否則招標人有權追究投標人的責任。

（*）標準性原則：投標人實施的第*方測評應依據國家等級保護制度公布的相關標準及行業(yè)規(guī)范進行，不得采用未經正式公布的私有規(guī)定。

（*）規(guī)范性原則：工作過程和相關文檔應具有良好的規(guī)范性和*致性，可以便于項目的跟蹤和控制管理。

（*）整體性原則：每個系統測評的范圍和內容應當整體全面，包括國家等級保護相關要求涉及的各個層面，不能因疏漏而導致結果的不可用。

（*）最小影響原則：采取的測評方法應盡可能小的影響被測系統和網絡的正常運行，控制且減少風險，避免對現有網絡和業(yè)務的正常運行產生顯著影響或導致不可恢復的損失。

*、系統定級咨詢服務

分析受到破壞后造成的危害程度定級要素，在信息系統業(yè)務安全性分析的基礎上，進行定級，協助完成定級資料的收集和整理，編制定級報告，協助舉行定級專家評審會。

*、系統備案服務

嚴格依照《信息安全等級保護管理辦法》(公通字[****]**號文件),協助準備等保備案材料，協助向所在地區(qū)的公安機關辦理備案手續(xù)，取得備案證明。

*、等保資產分析服務

派遣專業(yè)工程師到現場整理系統的網絡結構拓撲以及相關聯的資產，編制信息系統資產清單及資產報告；對服務范圍內信息系統開展物理環(huán)境、網絡結構、設備配置、應用系統以及管理制度進行調研和梳理，編制信息系統詳細描述文檔。

*、等保整改及加固服務

對服務范圍內信息系統協助按照整改報告對應策略設計整改加固措施，并根據等保安全加固指導書協助客戶實施邊界防護安全策略優(yōu)化、服務器病毒檢查與清理、主機安全加固、數據庫安全加固以及應用安全加固。

*、等保制度建設服務

協助安全管理制度建設，主要包括但不限于信息安全工作職責，信息安全監(jiān)督、檢查機制；輔助用戶編寫方針、制度、各類記錄表格模板在內的*層結構的安全管理制度，達到等級保護測評要求。

*、出具測評報告

在服務期內，測評單位為本項目提供等保測評服務，完成現場測評，測評通過后最終出具對應系統的《信息安全等級保護測評報告》。

合同包*：數字福建評估管理平臺密碼評估項目 （第*次招標）

*、商用密碼應用安全性評估背景

根據《中華人民共和國密碼法》、《中華人民共和國網絡安全法》、《國家政務信息化項目建設管理辦法》、《信息安全技術 信息系統密碼應用基本要求》（**/******-****）、《商用密碼應用安全性評估管理辦法（試行）》、《貫徹落實網絡安全等保制度和關保制度的指導意見》（公安部****號）、《福建省密碼管理局關于加強商用密碼應用安全性評估工作的通知》等法律法規(guī)、制度和規(guī)范，對數字福建評估管理平臺項目開展商用密碼應用安全性評估（簡稱“密評”）。推動整改措施落實，確保被測系統的密碼應用采用商用密碼進行保護，做到同步規(guī)劃、同步建設、同步運行密碼保障信息系統。

*、商用密碼應用安全性評估目標

數字福建評估管理平臺項目商用密碼應用安全性評估是依據《中華人民共和國密碼法》要求，從系統的實際需要出發(fā)，以規(guī)則和體系化的密碼技術保護策略為標準，對系統進行整體測評，以確認系統所采用的國產商用密碼技術是否合規(guī)、正確、有效，切實推動密碼技術國產化替代工作的進*步落實。總體目標是依據國家和福建省相關政策法規(guī)和標準規(guī)范，對被測系統開展密評工作，通過密評工作深入查找密碼應用的薄弱環(huán)節(jié)和安全隱患，分析面臨的風險，為提升信息系統安全水平奠定基礎，推動國產密碼應用工作的進*步落實，保障和促進被測單位建設健康發(fā)展。同時，也指導被測單位的信息安全保障體系建設，增強密碼安全管理意識，促進安全管理水平的提高。

*、商用密碼應用安全性評估依據

《中華人民共和國密碼法》；

《中華人民共和國網絡安全法》；

《信息安全等級保護商用密碼管理辦法》；

《信息安全等級保護商用密碼技術實施要求》；

《信息安全等級保護商用密碼技術要求》；

《信息系統密碼測評要求》；

《金融和重要領域密碼應用與創(chuàng)新發(fā)展工作規(guī)劃(****-****年)》；

《信息安全技術信息系統密碼應用基本要求》（**/******-****）；

《信息系統密碼應用測評要求》（**/* ****-****）；

《信息系統密碼應用測評過程指南》（**/* ****-****）；

《信息系統密碼應用高風險判定指引》；

《商用密碼應用安全性評估量化評估規(guī)則》；

《國家政務信息化項目建設管理辦法》（國辦發(fā)〔****〕**號）；

*、商用密碼應用安全性評估實施原則

為保障項目的順利實施，在項目實施過程須遵循以下原則：

*.*、規(guī)范性原則

加強項目管理，在人員、質量和時間進度等方面進行嚴格管控。

*.*、標準化原則

測評過程須嚴格遵守國家的相關法律、法規(guī)、規(guī)范、標準等相關要求。

*.*、完整性原則

在測評過程中，必須確保測評數據、過程記錄的完整性。評測內容要綜合考慮所有評測對象的技術措施，并建立完整有效的評測流程，保證不存在影響評測結果的疏忽或遺漏。

*.*、保密性原則

在測評過程中，切實加強對人員、技術等方面的組織管理；與所有相關人員簽署具有法律意義的保密協議，確保在項目實施過程中涉及的所有信息，不會泄露給第*方單位或個人，不得擅自利用這些信息。

投標人的任何工作人員均須與被測單位簽署《保密承諾書》，對知悉的事項及信息予以保密，所有資料、技術文檔應妥善保管，不得遺失、轉借、復印，不得以任何形勢向第*方透露；所有密碼應用解決方案和采集匯總后的數據嚴謹通過互聯網等公共信息網絡、普通郵政進行傳遞，嚴禁在連接互聯網計算機存儲、處理。

*.*、影響最小原則

在項目實施的過程中，須充分考慮到相關活動對系統正常運行的不利影響，采取必要的措施將相關風險降到最低。

*、服務內容

依據《信息安全技術信息系統密碼應用基本要求》（**/* *****-****）、《信息系統密碼測評要求》《商用密碼應用安全性評估測評過程指南》《商用密碼應用安全性評估測評作業(yè)指導書（試行）》和被測系統的安全需求分析，對被測系統進行商用密碼應用安全性評估，為重要網絡和信息系統的密碼安全提供科學評價，規(guī)范采購單位的密碼使用和管理行為，推動提升密碼應用水平。

*、商用密碼應用安全性評估服務內容

*.*采用系統評估方式，及時發(fā)現被測系統脆弱性，識別風險，了解被測系統安全狀況。對照密碼應用方案對被測系統開展評估。根據被評估對象的實際情況、被測系統使用的密碼產品情況，選擇并確定測評依據。在被測系統真實環(huán)境下進行測評，以評估密碼應用及保障是否安全有效，密碼使用和管理是否合規(guī)、正確、有效。

*.*密碼技術應用測評：物理和環(huán)境安全密碼測評、網絡和通信安全密碼測評、設備和計算安全密碼測評、應用和數據安全密碼測評。測評驗證被測系統的商用密碼應用是否達到具有對應安全等級的安全保護能力，是否滿足對應安全等級的保護要求。

*.*密鑰管理測評：檢測被測系統密鑰管理各環(huán)節(jié)，包括對密鑰的生成、存儲、分發(fā)、導入、導出、使用、備份、恢復、歸檔與銷毀等環(huán)節(jié)進行管理和策略制定的全過程是否符合要求。

*.*安全管理測評：從制度、人員、實施和應急*個方面，對被測系統的密碼安全管理進行商用密碼應用安全性管理測評。

*.*密碼應用安全評估報告：按照國家密碼管理局要求包含的內容編制或參考模板編制密碼應用安全評估報告。

*.*密碼應用要求和密碼評估相關培訓：對密碼應用總體要求進行宣貫,對密碼應用的合規(guī)性、正確性、有效性要求進行培訓。

*、項目技術和其他要求

*.*人員要求

投標人須具有*定服務能力的管理團隊，形成*個或以上實施小組，每組不少于*人，每組進場人員至少*人。

*.*服務響應要求

服務期間提供*×**服務響應（*×**小時工程師*小時內作好服務應答和反饋），需要現場支撐時，投標人需在*小時內安排至少*名具有服務能力的工程師到達現場處理。

*.*協助密評備案要求

投標人出具商用密碼應用安全性評估報告后，協助業(yè)主通過密碼應用臺賬系統完成采購人被測系統密評備案工作。

*.*嚴守工作秘密

投標人須書面承諾：若中標，必須與采購人簽署保密協議，工作人員須與單位簽署《保密承諾書》，對知悉的事項及信息予以保密，所有資料、技術文檔妥善保管，不得遺失、轉借、復印，不得以任何形式向第*方透露；所有密碼應用解決方案和采集匯總后的數據嚴禁通過互聯網等公共信息網絡、普通郵政進行傳遞，嚴禁在連接互聯網計算機上存儲、處理。提供承諾函，承諾函格式自擬。

*、商務條件（以“★”標示的內容為不允許負偏離的實質性要求）

包：*

*、交付地點：招標人指定地點。

*、交付時間：收到招標人提供的技術資料和具備工作環(huán)境后的*個月內。

*、交付條件：滿足招標人技術和服務要求及項目要求。

*、是否收取履約保證金：否。

*、是否邀請投標人參與驗收：否。

*、驗收方式數據表格

*、支付方式數據表格

?

包：*

*、交付地點：招標人指定地點。

*、交付時間：收到招標人提供的技術資料和具備工作環(huán)境后的*個月內。

*、交付條件：滿足招標人技術和服務要求及項目要求。

*、是否收取履約保證金：否。

*、是否邀請投標人參與驗收：否。

*、驗收方式數據表格

*、支付方式數據表格

?

?

*、其他事項

*、除招標文件另有規(guī)定外，若出現有關法律、法規(guī)和規(guī)章有強制性規(guī)定但招標文件未列明的情形，則投標人應按照有關法律、法規(guī)和規(guī)章強制性規(guī)定執(zhí)行。