长沙市审计局:大数据审计应用系统商用密码应用安全性评估服务采购需求公开
- 2026-03-30
项目名称: 长沙市审计局:大数据审计应用系统商用密码应用安全性评估服务采购需求公开
招标公司: 长沙市审计局
采购标的物: 安全管理测评、密码产品测评、大数据审计应用系统商用密码应用安全性评估服务项目
项目地区:湖南 长沙
一、功能及要求:
一、项目名称: 大数据审计应用系统商用密码应用安全性评估服务项目
二、预算金额: 66528.00元
二、相关标准:
按国家行业地方相关标准执行
三、技术规格:
(一)服务内容
1、依据国家等级保护相关标准GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《政务信息系统密码应用与安全性评估工作指南》、《长沙市密码管理局关于对运行阶段政务网络和信息系统开展商用密码应用安全性评估的通知》和系统自身的安全需求,对长沙市审计局大数据审计系统进行商用密码应用安全性评估,并出具差距分析报告,指导系统 运维公司 进行相关整改工作,确保其按照提出的改进措施整改后,通过复评测试,满足商用密码应用和安全性相关要求,最终出具《 大数据审计应用 系统商用密码应用安全性评估报告》并协助完成长沙市国家密码管理局备案。
(二)服务要求
1.实施内容
( 1)对照国家等级保护相关标准、省市密码应用相关要求和密码应用方案对系统开展密码测评和整改。在系统真实环境下进行测评,评估系统密码保障是否安全有效,系统密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议,并协助完成整改工作。最终输出测评报告。
( 2)协助采购人完成测评、整改和备案工作。在完成上述信息系统密码应用安全性评估工作的基础上,协助采购人向长沙市密码应用监管单位完成密码测评报告的备案工作。
2.人员和任务分工要求
结合本项目的评估服务需求,对供应商的团队和分工要求如下:
人员类别
数量
具体要求
项目负责人
1名
负责组建项目团队,履行项目总负责人职责,监督项目计划、文件和重要节点管理,评估项目潜在风险,确保与各方的良好沟通与协作,保证评估服务工作顺利进行。为项目提供方法指导和资源支持,指导和组织进行项目关键节点和重要里程碑的管理与保障,指导和检查项目管理任务日志及项目文件的管理,组织进行项目的知识提炼与总结。
项目经办人
1名
负责履行项目日常工作管理、对接、沟通管理、绩效评价、协调评估单位内部和外部资源、做好评估任务接收、单项评估合同签订、评估费支付、项目进展情况数据统计,以及其他整体管理事务工作等。
测评工程师
不少于 3名
负责评估项目的实施工作,可根据采购人实际需求进行人力调节。
3.保密要求
成交供应商在服务过程中,应严格遵守《中华人民共和国网络安全法》、《中华人民共和国密码法》等法律法规规定。
成交供应商必须与采购人签署《长沙市审计局大数据审计应用系统商用密码应用安全性评估项目保密协议书》,参与项目人员需签署《个人保密承诺书》,对知悉的事项及信息予以保密,所有资料、技术文档妥善保管,不得遗失、转借、复印,不得以任何形式向第三方透露;所有密码应用解决方案和采集汇总后的数据严禁通过互联网等公共信息网络、快递等进行传递,严禁在连接互联网计算机上存储、处理。严格遵循操作规程,承担服务工作质量责任。
4.项目实施管理要求
成交供应商应严格依据下列原则和国家密码应用安全性评估相关标准开展项目实施工作:
4.1 标准化原则
测评和测试工作不仅要遵循国家相关标准规范,还要符合有关行业规范要求。
4.2 规范化原则
本项目的实施将严格按照有关质量体系要求,通过分析项目实施风险,在项目管理的基础上,建立规范的实施操作流程、文档管理制度和项目管理制度,最大限度降低项目实施风险。
4.3 业务主导原则
本次项目将遵循业务主导原则,即以业务安全为评估工作导向,根据本项目信息系统项目业务特点确定评估重点,分析信息安全风险和漏洞对业务的影响,充分发挥密码应用安全性评估对促进信息系统安全保障以完成业务使命的积极作用。
4.4 最小影响原则
本项目工作要做到充分的计划性,所采用手段的工具均须经过严格的评审和测试,对预期的结果和影响进行充分的估计,并做好应急措施,不对现有网络系统的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行,同时在安全服务实施前做好风险防范和应急措施。
4.5 保密性原则
项目团队对工作过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人利益的行为。
5、项目实施流程
5.1 测评准备活动:测评准备活动中,成交供应商主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
5.2 现场测评活动:现场测评活动中,成交供应商与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
6、项目测评方案
成交供应商需根据对项目的理解,依据 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》、《信息系统密码应用测评要求》、《商用密码应用安全性评估测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《政务信息系统密码应用与安全性评估工作指南》等标准规范制定测评实施方案。方案需涵盖测评原则、测评内容、测评工作流程、测评方法描述、测评风险规避等。实施过程中方案如有变更,应报采购人同意后实施。
7、项目实施内容
7.1信息系统密码应用安全性评估实施内容
成交供应商通过对系统密码应用安全性评估,及时发现系统脆弱性,识别风险变化,了解系统安全状况。对照密码应用方案对系统开展评估。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
7.1.1 密码技术应用测评
物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
7.1.2 安全管理测评
对管理制度、人员管理、建设运行和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
7.1.3 具体评估范围
具体评估范围主要包括:物理机房、服务器操作系统、数据库系统、交换机、路由器、防火墙、密码算法、密码技术、密码产品、密码服务、应用、安全管理相关文档等,主要测评内容包含但不限于下表所示:
序号
评估单元
评估内容
评估对象
1
总体要求测评
密码算法测评
密码算法
密码技术测评
密码技术
密码产品测评
密码产品
密码服务测评
密码服务
2
物理和环境安全测评
身份鉴别
物理机房
电子门禁记录数据完整性
物理机房
视频记录数据完整性
物理机房
硬件密码模块实现
物理机房
3
网络和通信安全测评
身份鉴别
交换机、路由器、防火墙等
网络边界访问控制信息完整性
交换机、路由器、防火墙等
通信数据完整性
交换机、路由器、防火墙等
通信数据机密性
交换机、路由器、防火墙等
安全接入认证
交换机、路由器、防火墙等
密码模块安全
交换机、路由器、防火墙等
4
设备和计算安全测评
身份鉴别
密码设备、网络设备、通用服务器操作系统、数据库等
远程管理通道安全
密码设备、网络设备、通用服务器操作系统、数据库等
系统资源访问控制信息完整性
密码设备、网络设备、通用服务器操作系统、数据库等
重要信息资源安全标记完整性
密码设备、网络设备、通用服务器操作系统、数据库等
重要可执行程序完整性、重要可执行程序来源真实性
密码设备、网络设备、通用服务器操作系统、数据库等
日志记录完整性
密码设备、网络设备、通用服务器操作系统、数据库等
硬件密码模块实现
密码设备、网络设备、通用服务器操作系统、数据库等
5
应用和数据安全测评
身份鉴别
应用
访问控制信息完整性
应用
数据传输机密性
应用
数据存储机密性
应用
数据传输完整性
应用
数据存储完整性
应用
重要信息资源安全标记完整性
应用
不可否认性
应用
硬件密码模块实现
应用
6
安全管理测评
管理制度
安全管理相关文档
人员管理
安全管理相关文档
建设运行
安全管理相关文档
应急处置
安全管理相关文档
7
密钥管理测评
密钥生成
全局
密钥存储
全局
密钥分发
全局
密钥导入与导出
全局
密钥使用
全局
密钥备份与恢复
全局
密钥归档
全局
密钥销毁
全局
7.1.4 编制密码应用安全性评估报告
针对每个被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制。协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。
四、交付时间和地点:
服务期:一年。
五、服务标准:
《 GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》
《信息系统密码应用测评要求》
《信息系统密码应用测评过程指南》
《商用密码应用安全性评估管理办法》
《商用密码应用安全性评估 FAQ(第三版)》
《 GM/T 0001 祖冲之序列密码算法》
《 GM/T 0002 SM4分组密码算法》
《 GM/T 0003 SM2 椭圆曲线公钥密码算法》
《 GM/T 0004 SM3 密码杂凑算法》
《 GM/T 0054 信息系统密码应用基本要求 》
《 GM/T 0018 密码设备应用接口规范》
《 GM/Z 0001 密码术语》
《 GM/T 0022 IPSEC VPN 技术规范》
《 GM/T 0024 SSL VPN 技术规范》
《 GM/T 0030 服务器密码机技术规范》
《 GM/T 0044 SM9 标识密码算法》
《 GB/T 20984 信息安全技术 信息安全风险评估规范》
《 GB/T 22239 信息安全技术 信息系统安全等级保护基本要求》
《 GB/T 22240 信息安全技术 信息系统安全等级保护定级指南》
《 GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范》
《测评项目管理程序》
《身份鉴别 /访问控制/数据安全/密钥管理/安全审计/人员安全/制度安全/备份安全/应急安全/实施安全测评方法和判断标准》
六、验收标准:
本项目按照国家密码应用相关技术规格和密码应用测评相关要求并结合长沙市《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购〔 2024﹞5 号)文件的相关规定进行验收。
七、其他要求:
1.本项目采用费用包干方式,供应商应根据项目要求和现场情况,详细列明项目所需的所有费用,包括完成合同范围的全部工作内容所发生的人员工资、社保、福利、管理、财务、培训、税费等所有费用,如一旦成交,在项目实施中出现任何遗漏,均由成交供应商免费提供,采购人不再支付其他任何费用。
2.供应商在参与本项目的全部过程中,应负责其所有工作人员的人身意外保险以及承担人身意外事故引发的责任、损失和所有费用。采购人不承担成交供应商工作人员因意外(包括但不限于:在驻场工作中发生的意外以及抵达驻场途中及返程中发生的意外)所致的任何责任。
3.采购人不组织现场踏勘,供应商在响应前,须踏勘现场,有关费用自理,踏勘期间发生的意外自负。
对于上述项目要求,供应商应在响应文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
