广西壮族自治区商务厅RCEP、CPTPP数据库商用密码应用安全测评项目和升级改造项目采购公告

项号

服务名称

数量

服务内容和要求

1

******RCEP、CPTPP数据库商用密码应用安全测评服务

1

一、项目需求

依据《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）为******RCEP、CPTPP数据库商用密码应用安全测评项目约定的信息系统提供商用密码应用安全性评估服务，具体包括：商用密码应用方案开展安全性评估，以及从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8个层面的商用密码应用系统密评，出具商用密码应用安全性评估报告，并协助完成商用密码应用安全性评估结果备案工作。

二、技术要求

（一）商用密码应用方案评估要求

按照GB/T43207-2023《信息安全技术 信息系统密码应用指南》对商用密码应用方案进行评估，并出具评估报告。

（二）商用密码应用系统密评要求

1、系统安全性评估

从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个层面对信息系统中商用密码应用的合规性，正确性，有效性进行安全性评估。

物理和环境安全层面测评要求：通过访谈、文档审查、实地查看、配置检查、工具测试等方案对物理和环境层面的身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性进行评估。

网络和通信安全层面测评要求：通过访谈、文档审查、实地查看、配置检查、工具测试等方案对网络和通信层面的身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证进行评估。

设备和计算安全层面测评要求：通过访谈、文档审查、实地查看、配置检查、工具测试等方案对设备和计算层面的身份鉴别、远程管理通道安全、系统**访问控制信息完整性、重要信息**安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性进行评估。

应用和数据安全层面测评要求:通过访谈、文档审查、实地查看、配置检查、工具测试等方案对应用和数据层面的身份鉴别、访问控制信息完整性、重要信息**安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性进行评估。

2、安全管理测评要求

管理制度层面：通过访谈、文档审查对管理制度的具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存进行评估。

人员管理层面：通过访谈、文档审查了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度进行评估。

建设运行层面：通过访谈、文档审查制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行**行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习进行评估。

应急处置层面：通过访谈、文档审查应急策略、事件处置、向有关主管部门上报处置情况进行评估。

3、保密要求

（1）供应商对有关采购单位信息化建设项目的一切资料和信息保密。

（2）供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系，不得利用所处地位通过上述单位直接或间接获益。

（3）供应商对采购单位保密信息的保密期限为永久。

其他要求

服务期及服务地点：

1、服务期：自合同签订之日起的60日内。

2、服务地点：****市**区**大道10号中国-****中心。

评 定 内 容 及 标 准

满分值

一、****小组共同认定）

20分

1、供应商业绩

5分

供应商提供近三年三级以上信息系统商用密码应用安全性评估项目业绩（提供合同关键页），提供一个得0.5分，最高得5分。

2、资质证书及荣誉

15分

①具备ISO14001环境管理体系认证证书、ISO45001职业健康安全管理体系认证证书、ISO/IEC27001信息安全管理体系认证证书、ISO20000信息技术管理体系证书、ISO9001质量管理体系认证证书，得5分，缺少一项扣1分；

②具备中国****委员会检验机构认可证书（CNAS认证），认可能力需包含商用密码应用安全性评估，得3分；

③具备CCRC信息安全风险评估资质认证证书，得3分；

④具备健康、安全与环境管理体系HSSE认证证书，得2分；⑤具备中国密码学会会员单位证书，得2分。

【提供相关证书复印件并加盖公章，未提供不得分】

二、技术部分

60分

1、技术方案

40分

供应商需针对本项目提供详细的项目实施方案，内容包括但不限于：

①项目需求理解与分析；

②商用密码应用与安全性评估方案；

③项目团队人员安排；

④项目管理措施；

⑤质量管理方案；

⑥项目进度计划。

以上方案内容完整清晰明确且科学合理、可行性高具有针对性并满足采购需求的得40分，每缺少一项内容扣5分；每有一项内容不完整或未能满足采购需求的或每有一处不具有针对性或逻辑性错误且不完整的扣1分；扣完为止。

2、项目负责人（限1人）

10分

具有国家商用密码应用安全性评估****小组颁发的商用密码应用安全性评估人员资格证书（提供原件备查）在此基础上：

1、具备网络安全等级保护测评师证书（高级），得2分；

2、具备高级网络信息安全工程师，得2分；

3、具备高级信息系统项目管理师证书或PMP证书，得2分；

4、****测评中心颁发的注册电子数据取证专业人员（CISP-F），得2分；

5、****测评中心颁发的注册渗透测试工程师（CISP-PTE），得2分。

【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续6个月的社保证明。】

3、团队成员（至少3人）

10分

具有国家商用密码应用安全性评估****小组颁发的商用密码应用安全性评估人员资格证书（提供原件备查）在此基础上：

1、团队成员具备网络安全等级测评师证书（中级），得2分；

2、团队成员具备密码工程师（高级）证书，得2分；

3、团队成员具备信息安全管理工程师（高级）证书，得2分；

4、团队成员具备注册电子取证专业人员证书（CISP-F），得2分；

5、团队成员具备注册渗透测试工程师（CISP-PTE）证书，得2分。

【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续6个月的社保证明】

三、售后服务

10分

根据投标人提供的售后支持服务方案，至少包括服务承诺、服务标准、服务流程、服务内容、响应时间、保障措施、应急解决方案等内容进行综合打分。

有详细具体的售后服务方案，售后服务承诺保障方案合理，针对本项目能给出具备实际意义的措施及建议，能有效满足需求项目需求得10分；

售后服务方案科学合理、有针对性，但方案不够全面，可行的措施及建议较少，能基本满足需求项目需求得5分；

售后服务方案略有欠缺，可行性较低，可行的措施及建议较少得3分；

无售后服务保证措施及方案或方案不可用者不得分。

四、价格部分

10分

满足招标文件要求且价格最低的投标报价为评标基准价，其价格分为满分，其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价/有效投标报价）×10。对于投标报价明显低于正常市场价格的提供相关证明文件。

项号

服务名称

数量

服务内容和要求

1

******RCEP、CPTPP数据库商用密码应用安全升级改造

1

一、项目需求

依据《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）为******RCEP、CPTPP数据库商用密码应用安全升级改造项目约定的信息系统提供商用密码应用安全升级改造服务，具体包括：物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置8个层面对现有系统开展商用密码应用安全升级改造，达到国家和自治区有关技术标准和要求。

二、技术要求

能够与系统原建设单位融洽沟通，顺利在原有系统基础上进行升级改造。

1、密码技术应用安全升级改造要求

从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全4个层面对信息系统中商用密码应用的合规性、正确性、有效性进行升级改造。

根据测评标准,通过升级改造达到物理、环境安全、网络和通信、设备和计算安全等层面测评要求。

2、安全管理升级改造要求

对现有系统管理制度、人员管理提出规范化和标准化建议，提升系统商用密码应用安全水平。

3、应急处置升级改造要求

提出系统商用密码应用安全应急处置方案，提出合理化建议。

3、保密要求

（1）供应商对有关采购单位信息化建设项目的一切资料和信息保密。

（2）供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系，不得利用所处地位通过上述单位直接或间接获取益处。

（3）供应商对采购单位保密信息的保密期限为永久。

其他要求

服务期及服务地点：

1、服务期：自合同签订之日起180日内。

2、服务地点：****市**区**大道10号中国-****中心。

评 定 内 容 及 标 准

满分值

一、****小组共同认定）

20分

1、供应商业绩

5分

供应商提供近三年软件开发项目业绩（提供合同关键页），提供一个得0.5分，最高得5分。

2、资质证书及荣誉（软件开发资质要求）

15分

①具备ISO14001环境管理体系认证证书、ISO45001职业健康安全管理体系认证证书、ISO/IEC27001信息安全管理体系认证证书、ISO20000信息技术管理体系证书、ISO9001质量管理体系认证证书，得5分，缺少一项扣1分；

②具备中国****委员会检验机构认可证书（CNAS认证），认可能力需包含商用密码应用安全性评估，得3分；

③具备CCRC信息安全风险评估资质认证证书，得3分；

④具备健康、安全与环境管理体系HSSE认证证书，得2分；⑤具备中国密码学会会员单位证书，得2分。

【提供相关证书复印件并加盖公章，未提供不得分】

二、技术部分

60分

1、技术方案

40分

供应商需针对本项目提供详细的项目实施方案，内容包括但不限于：

①项目需求理解与分析；

②商用密码应用与安全性升级改造方案；

③项目团队人员安排；

④项目管理措施；

⑤质量管理方案；

⑥项目进度计划。

以上方案内容完整清晰明确且科学合理、可行性高具有针对性并满足采购需求的得40分，每缺少一项内容扣5分；每有一项内容不完整或未能满足采购需求的或每有一处不具有针对性或逻辑性错误且不完整的扣1分；扣完为止。

2、项目负责人（限1人）

10分

具有软件开发工程师证书（提供原件备查）在此基础上；

1、具备网络安全等级保护测评师证书（高级），得2分；

2、具备高级网络信息安全工程师，得2分；

3、具备高级信息系统项目管理师证书或PMP证书，得2分；

4、****测评中心颁发的注册电子数据取证专业人员（CISP-F），得2分；

5、****测评中心颁发的注册渗透测试工程师（CISP-PTE），得2分。

【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续6个月的社保证明。】

3、团队成员（至少3人）

10分

具有国家商用密码应用安全性评估****小组颁发的商用密码应用安全性评估人员资格证书（提供原件备查）在此基础上：

1、团队成员具备网络安全等级测评师证书（中级），得2分；

2、团队成员具备密码工程师（高级）证书，得2分；

3、团队成员具备信息安全管理工程师（高级）证书，得2分；

4、团队成员具备注册电子取证专业人员证书（CISP-F），得2分；

5、团队成员具备注册渗透测试工程师（CISP-PTE）证书，得2分。

【提供相关资格证书复印件、社保机构出具的开标前至今供应商为其缴纳的连续6个月的社保证明】

三、售后服务

10分

根据投标人提供的售后支持服务方案，至少包括服务承诺、服务标准、服务流程、服务内容、响应时间、保障措施、应急解决方案等内容进行综合打分。

有详细具体的售后服务方案，售后服务承诺保障方案合理，针对本项目能给出具备实际意义的措施及建议，能有效满足需求项目需求得10分；

售后服务方案科学合理、有针对性，但方案不够全面，可行的措施及建议较少，能基本满足需求项目需求得5分；

售后服务方案略有欠缺，可行性较低，可行的措施及建议较少得3分；

无售后服务保证措施及方案或方案不可用者不得分。

四、价格部分

10分

满足招标文件要求且价格最低的投标报价为评标基准价，其价格分为满分，其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价/有效投标报价）×10。对于投标报价明显低于正常市场价格的提供相关证明文件。