***包（網(wǎng)絡(luò)安全等級保護測評）服務(wù)需求

*、總體概述★

依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》《信息安全等級保護管理辦法》規(guī)定，招標單位將選擇具有國家相關(guān)技術(shù)資質(zhì)和安全資質(zhì)的測評單位，按照測評相關(guān)標準進行安全測評。

*、測評范圍★

測評單位按照網(wǎng)絡(luò)安全等級保護測評*.*標準進行信息安全等級測評，并符合公安監(jiān)管部門要求。測評對象為沈陽市重點橋隧安全運行監(jiān)測預(yù)警系統(tǒng)，完成以上系統(tǒng)的信息安全等級保護定級備案、測評工作，出具《等保測評報告》并到市公安局備案。對測評范圍內(nèi)的系統(tǒng)從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理**個方面進行測評，對系統(tǒng)進行漏洞分析和滲透測試驗證，評估安全差距。

測評通過后，測評機構(gòu)出具測評結(jié)論為合格（**分以上）的《網(wǎng)絡(luò)安全等級保護測評報告》；如被測評系統(tǒng)未能*次通過測評，測評機構(gòu)應(yīng)編制具有針對性的整改建議指導(dǎo)被測評單位進行整改，在**日內(nèi)完成系統(tǒng)復(fù)測工作，出具測評結(jié)論為合格（**分以上）的《網(wǎng)絡(luò)安全等級保護測評報告》。

如因被測評單位原因在**日內(nèi)未能完成復(fù)測工作，測評機構(gòu)出具測評結(jié)論為不合格（**分以下）的《網(wǎng)絡(luò)安全等級保護測評報告》，并向采購人提交整改完成后的書面復(fù)測承諾。

*、服務(wù)內(nèi)容★

（*）依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（**/* *****-****）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（**/* *****-****）《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》（**/* *****-****)等相關(guān)標準，對系統(tǒng)進行等級保護測評工作（含等保測評相關(guān)*切費用），并出具符合《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護基本要求》（**/* *****-****）相關(guān)技術(shù)標準要求、國家網(wǎng)絡(luò)安全等級保護管理部門規(guī)范要求且公安機關(guān)認可的的網(wǎng)絡(luò)安全等級保護測評報告。

（*）依據(jù)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》（**/******-****）、《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》（*****-****）相關(guān)要求，協(xié)助編制符合采購人日常網(wǎng)絡(luò)安全管理要求且覆蓋網(wǎng)絡(luò)安全等級保護要求的安全管理制度文檔，包括但不限于如下內(nèi)容：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。

*、其他要求

為保證服務(wù)項目的交付質(zhì)量，供應(yīng)商在項目人員和服務(wù)工具配置上需滿足以下要求：

要求提供的測評人員必須具有公安部信息安全等級保護評估中心（或中關(guān)村信息安全測評聯(lián)盟）頒發(fā)的《信息/網(wǎng)絡(luò)安全等級測評師證書》，項目組成至少包括*名測評師，分別為*名負責(zé)人、*名測評技術(shù)人員。

*、服務(wù)成果★

提供符合《信息安全技術(shù)-網(wǎng)絡(luò)安全等級保護基本要求》（**/* *****-****）相關(guān)技術(shù)標準要求、國家網(wǎng)絡(luò)安全等級保護管理部門規(guī)范要求且公安機關(guān)認可的的網(wǎng)絡(luò)安全等級保護測評報告。

***包（第*方測試）服務(wù)需求

*、總體要求★

為確保沈陽市重點橋隧安全運行監(jiān)測預(yù)警系統(tǒng)的各項功能是否完善，各項性能指標是否達到預(yù)期要求，保證其上線穩(wěn)定安全運行。對本項目周期內(nèi)要求的系統(tǒng)進行全量第*方測試，最終出具符合****（中國合格評定國家認可委員會）標準的軟件測試報告。測評依據(jù)為以上系統(tǒng)的采購人確認的軟件需求規(guī)格說明書，測試類型具體包括系統(tǒng)功能測試、性能測試、驗收測試、可靠性測試、安全性測試、易用性測試、可擴展性測試、源代碼審查等。測試執(zhí)行的結(jié)果應(yīng)對采購人負責(zé)。

*、第*方測試服務(wù)內(nèi)容★

（*）測試原則

*、投標方應(yīng)依據(jù)相關(guān)國家標準、行業(yè)標準開展評測工作。

*、投標方應(yīng)確保測試報告符合本項目委托要求。

*、投標方對服務(wù)過程中接觸到的各種信息，不得泄漏給任何單位和個人，未經(jīng)允許不得利用這些信息從事與本項目服務(wù)無關(guān)的活動。

（*）測試范圍

應(yīng)用軟件測試主要是對沈陽市重點橋隧安全運行監(jiān)測預(yù)警系統(tǒng)的應(yīng)用軟件進行測試。軟件測試范圍應(yīng)覆蓋本項目應(yīng)用軟件的所有功能和非功能性要求，具體測試范圍由委托方與投標方溝通確認。測試內(nèi)容包含功能性測試、性能效率測試、信息安全性測試。

（*）測試過程

軟件測試工作應(yīng)在軟件部署完成后，按照合同約定開展測試。軟件測試的測試項以委托方確認的測試需求為準，發(fā)現(xiàn)問題之后的回歸測試所需的時間視情況另行約定。

測試執(zhí)行過程中，至少包括如下關(guān)鍵過程：

*）測試計劃制訂；

*）測試設(shè)計；

*）測試環(huán)境準備；

*）測試執(zhí)行；

*）測試結(jié)果分析總結(jié)。

（*）測試實施要求

*、在實施項目之前，應(yīng)提交實施方案及可能出現(xiàn)的破壞性結(jié)果。

*、應(yīng)確保軟件測評人員嚴格按照測試流程的要求實施操作，以避免在測試過程中對系統(tǒng)造成損害。

*、應(yīng)提交詳細的工作計劃，并隨時匯報項目情況，并根據(jù)要求及本項目建設(shè)進度情況，調(diào)整下*步工作計劃和要求。

*、應(yīng)保證提供服務(wù)的團隊人員的數(shù)量和素質(zhì)滿足履行該項目合同的要求。保證團隊的穩(wěn)定性，未經(jīng)同意不得隨意更換團隊成員。

*、需在測試過程中對測試相關(guān)的文檔進行有效管理，包括各種文檔提交、評審、版本控制等，并將測試文檔及時向委托方提供。

*、需對整個測試過程進行標準化、流程化管理，逐步完成軟件驗收測試的各個步驟，最終形成并上交測試報告。

*、測試項目過程中提供咨詢服務(wù)，對被測軟件產(chǎn)品在測試過程中提供各個階段的咨詢服務(wù)和建議。

（*）其他要求

為保證測試的公正和準確，測試所采用的測試工具均為第*方測試工具，并且在投標文件中需寫出具體的工具介紹和使用計劃，投標方應(yīng)對測試過程中使用的各種軟件的版權(quán)負責(zé)。如果因此引起版權(quán)糾紛，由投標方承擔(dān)相應(yīng)責(zé)任。

本項目測試分為兩輪，初測和回歸測試。

*、初測：測試合同簽訂，被測試項目軟件部署完成后**日內(nèi)完成軟件測試的第*輪測試；

*、回歸測試：被測試項目軟件開發(fā)單位問題修改完成后，進行回歸測試，回歸測試*輪，經(jīng)測試通過，出具測試報告。

提供符合相關(guān)標準要求的測試報告。

***包（密碼應(yīng)用安全性評估）服務(wù)需求

*、總體要求★

依據(jù)**/* *****-****《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》、《商用密碼應(yīng)用安全性評估管理辦法》（國家密碼管理局第*號）、**/* ****-****《信息系統(tǒng)密碼應(yīng)用測評要求》、**/* ****-****《信息系統(tǒng)密碼應(yīng)用測評過程指南》、《商用密碼應(yīng)用安全性評估測評作業(yè)指導(dǎo)書（試行）》、*** *****-**** 《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用設(shè)計指南》等標準規(guī)范、指導(dǎo)性文件及管理要求，對沈陽市重點橋隧安全運行監(jiān)測預(yù)警系統(tǒng)進行評估，并出具商用密碼應(yīng)用安全性評估報告。如未能*次通過測評，供應(yīng)商應(yīng)提供整改建議，并指導(dǎo)甲方進行整改，直至通過評估。

*、詳細要求★

（*）商用密碼總體要求測評

*、密碼算法合規(guī)性測評：信息系統(tǒng)中使用的密碼算法是否符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求。

*、密碼技術(shù)合規(guī)性測評：信息系統(tǒng)中使用的密碼技術(shù)是否遵循密碼相關(guān)國家標準和行業(yè)標準。

*、密碼產(chǎn)品合規(guī)性測評：信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊是否通過國家密碼管理部門核準。

*、密碼服務(wù)合規(guī)性測評：信息系統(tǒng)中使用的密碼服務(wù)是否通過國家密碼管理部門許可。

（*) 密碼技術(shù)應(yīng)用測評

從物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)*個層面對信息系統(tǒng)中應(yīng)用的密碼技術(shù)進行分析與評估。

物理和環(huán)境層面測評:分析評估信息系統(tǒng)是否合理、合規(guī)的利用商用密碼完整性、真實性功能,對影響信息系統(tǒng)安全防護效能的物理和環(huán)境層面因素進行保護。包括但不限于下列典型因素：重要場所的物理訪問控制,監(jiān)控設(shè)備的物理訪問控制,以及物理訪問記錄、監(jiān)控信息等敏感信息數(shù)據(jù)完整性。

網(wǎng)絡(luò)和通信層面測評:分析評估信息系統(tǒng)是否合理、合規(guī)的利用商用密碼機密性、完整性、真實性功能,對影響信息系統(tǒng)安全防護效能的網(wǎng)絡(luò)和通信層面因素進行保護。包括但不限于下列典型因素：安全認證連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備,通信雙方的身份認證過程,通信數(shù)據(jù)完整性,敏感信息數(shù)據(jù)字段機密性,網(wǎng)絡(luò)邊界訪問控制信息完整性,系統(tǒng)資源訪問控制信息完整性,安全設(shè)備、安全組件的集中管理方式和信息傳輸通道。

設(shè)備和計算層面測評:分析評估信息系統(tǒng)是否合理、合規(guī)的利用商用密碼機密性、完整性、真實性功能,對影響信息系統(tǒng)安全防護效能的設(shè)備和計算層面因素進行保護。包括但不限于下列典型因素：登錄信息系統(tǒng)設(shè)備和計算環(huán)境的用戶身份鑒別過程,系統(tǒng)設(shè)備和計算環(huán)境資源訪問控制信息完整性,重要信息資源敏感標記完整性,重要程序或文件完整性,信息系統(tǒng)設(shè)備和計算環(huán)境的日志記錄完整性。

應(yīng)用和數(shù)據(jù)層面測評:分析評估信息系統(tǒng)是否合理、合規(guī)的利用商用密碼機密性、完整性、真實性以及不可否認性功能,對影響信息系統(tǒng)安全防護效能的應(yīng)用和數(shù)據(jù)層面因素進行保護。包括但不限于下列典型因素：登錄信息系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境的用戶身份鑒別過程,系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境資源訪問控制信息完整性,重要信息資源敏感標記完整性,重要數(shù)據(jù)傳輸過程的機密性、完整性,重要信息存儲過程的機密性、完整性,重要程序的加載和卸載過程,信息系統(tǒng)應(yīng)用相關(guān)實體行為不不可否認性,信息系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境的日志記錄完整性。

（*）密鑰管理測評

對影響商用密碼防護效能的密鑰生命周期相關(guān)環(huán)節(jié),以及相關(guān)環(huán)節(jié)管理和策略制定的全過程進行分析與評估。密鑰生命周期相關(guān)環(huán)節(jié)包括但不限于下列典型環(huán)節(jié)：密鑰生成,密鑰存儲,密鑰分發(fā),密鑰導(dǎo)入,密鑰導(dǎo)出,密鑰使用,密鑰備份,密鑰恢復(fù),密鑰歸檔,密鑰銷毀。

（*）安全管理測評

對影響商用密碼防護效能的管理制度與措施進行分析與評估。管理制度與措施包括但不限于下列典型維度：安全管理制度,人員管控,信息系統(tǒng)實施,應(yīng)急預(yù)案。

*、安全管理制度維度,包括但不限于下列內(nèi)容與措施：密碼建設(shè)、運維、人員、設(shè)備、密鑰管理內(nèi)容,密碼相關(guān)操作規(guī)范、安全操作規(guī)范,安全管理制度的合理性和適用性論證與審定,安全管理制度的改進和修訂,安全管理制度的發(fā)布,安全管理制度的執(zhí)行。

*、人員管控維度,包括但不限于下列內(nèi)容與措施：了解并遵守密碼相關(guān)法律法規(guī)密碼產(chǎn)品使用,關(guān)鍵崗位劃分,相關(guān)人員職責(zé)與權(quán)限劃分,崗位責(zé)任制與人員制約、監(jiān)督機制,管理和使用賬號,人員培訓(xùn)、人員選拔,人員考核、獎懲與調(diào)離,人員保密措施。

*、信息系統(tǒng)實施維度,包括但不限于下列內(nèi)容與措施：信息系統(tǒng)規(guī)劃,信息系統(tǒng)建設(shè)方案,信息系統(tǒng)密碼產(chǎn)品、服務(wù)選用,信息系統(tǒng)運行前與定期評估,信息系統(tǒng)整改。

*、應(yīng)急預(yù)案維度,包括但不限于下列內(nèi)容與措施：應(yīng)急預(yù)案,應(yīng)急資源準備,應(yīng)急情況與處置,上級主管部門應(yīng)急報告,同級密碼主管部門應(yīng)急報告。

***包（項目管理）服務(wù)需求

*、項目概況

*.項目規(guī)模：該項目計劃對大成橋、東塔橋、公和橋、*好橋、北*路公鐵橋、文化路立交橋及*愛隧道等沈陽市重點橋隧實施安全運行監(jiān)測預(yù)警，主要建設(shè)內(nèi)容包括硬件設(shè)備部署、應(yīng)用軟件開發(fā)、應(yīng)用軟件購置及*愛隧道生命線系統(tǒng)升級等。其中，硬件設(shè)備部署包括終端外設(shè)、監(jiān)測前端顯示設(shè)備、*愛隧道安全監(jiān)測設(shè)備、存儲設(shè)備及網(wǎng)絡(luò)設(shè)備等硬件設(shè)備購置應(yīng)用軟件開發(fā)包括沈陽市重點橋隧安全運行監(jiān)測預(yù)警平臺，含用戶交互子系統(tǒng)、風(fēng)險監(jiān)測子系統(tǒng)、分析預(yù)警子系統(tǒng)、智慧化管養(yǎng)子系統(tǒng)、聯(lián)動處置子系統(tǒng)及數(shù)據(jù)管理子系統(tǒng)等應(yīng)用軟件購置包括*愛隧道中控子系統(tǒng)、*愛隧道視頻檢測子系統(tǒng)等*愛隧道生命線系統(tǒng)升級包括*愛隧道安全監(jiān)測配套工程、*愛隧道動力照明升級、*愛隧道電力升級等。

*.項目地址：共涉及*座橋梁及*個隧道，包括大成橋、東塔橋、公和橋、*好橋、北*路公鐵橋、文化路立交橋及*愛隧道。

*、招標人對項目管理工作的具體要求

以下為招標人對項目管理工作的具體要求。

*.工作范圍:建設(shè)管理工作，包括但不限于：對沈陽市重點橋隧安全運行監(jiān)測預(yù)警項目進行全過程項目管理服務(wù)。

*.工作程序規(guī)定：包括但不限于：工程現(xiàn)場管理、進度控制管理、質(zhì)量控制管理、投資控制管理、安全控制管理、信息與檔案管理、合同管理、風(fēng)險管理、工程竣工驗收管理、運營維護階段管理、項目內(nèi)外關(guān)系協(xié)調(diào)管理、后期檔案管理等。

*.工作質(zhì)量、進度要求： 達到驗收合格標準、按招標人要求控制施工進度。

*.其他要求：無。