开启全网商机
登录/注册
中国人民政治协商会议广西壮族自治区委员会办公厅商用密码应用安全性评估服务采购意向公告
招标详情
下文中****为隐藏内容,仅对千里马会员开放,如需查看完整内容请
「注册/登录」或 拨打咨询热线:
400-688-2000
****商用密码应用安全性评估服务采购意向公告
一、报价文件一式七份密封报送。
二、递交截止时间:2025年2月28日上午10:00前,逾期未报价将不再受理。 标书代写
三、报价文件递交地点:**市**区凯旋路2****办公厅218办公室。联系人:黄栎晴 0771-****156 标书代写
附件
商用密码应用安全性评估服务
一、总体要求
依据《中华人民**国密码法》、《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)要求和系统自身的安全需求分析,****政协网(三级)、壮美**﹒政协云系统(三级)进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,并通过测评发现应用系统存在的安全隐患和风险,出具对应的系统密码应用方案安全性评估报告和信息系统密码应用与安全性评估,并提出有针对性的加强完善密码安全管理和防护意见,对系统密码应用方案及改进后的被测系统提供咨询、评估服务,同时协助采购人完成对应的整改工作。
二、服务内容
包含但不限于如下任务要求:
(一)开展密码测评工作,并依据相关文件模板,对测评范围内的信息系统****管理局****管理部门要求的密评报告;
(二)根据测评结果,给出整改意见,指导建设单位对被测系统暴露出的密码应用安全问题进行整改;
(****管理局****管理部门关于规范商用密码应用安全性评估结果备案工作的通知,协助准备备案资料并完成密评备案工作;
(四)协助采购人完成与密评相关的其他工作。
三、评估流程
密码应用安全性评估过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购人之间的沟通与洽谈贯穿整个密码应用安全性评估过程。
(一)测评准备活动。供应商通过查阅被测系统已有资料并使用调查表格的方式,了解整个系统的构成和密码保护情况,为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前,熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。
(二)方案编制活动。根据已经了解到的被测信息系统情况,分析整个被测系统及其涉及的业务应用系统,以及与此相关的密码应用情况,确定出本次测评的测评对象;根据已经了解到的被测系统定级结果,确定出本次测评的测评指标;确认测评过程中需要现场检查的关键安全点,并且充分考虑到检查的可行性和风险,最大限度的避免对被测系统,尤其是在线运行业务系统的影响;确定现场测评的具体实施内容;最终完成测评方案的编制。
(三)现场测评活动。
1.现场测评准备。召开测评现场首次会,供应商介绍测评工作,交流测评信息,进一步明确测评计划和测评方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排,测评过程中可能存在的安全风险等,以便于后面的测评工作开展。供应商和采购方确认现场测评需要的各种**,包括采购方的配合人员和需要提供的测评条件等,确认被测信息系统已备份过系统及数据。采购方签署现场测评授权书。密评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
2.开展现场测评。测评项目组根据密评方案以及现场测评准备的结果,安排密评人员在现场完成测评工作,汇总现场测评的测评记录;召开测评现场结束会,供应商和采购方对测评过程中发现的问题进行现场确认;密评机构归还测评过程中借阅的所有文档资料,并由采购方文档资料提供者签字确认。
(四)分析与报告编制活动。
1.在现场测评工作结束后,供应商对现场测评获得的测评结果进行汇总分析,形成评估结论,并编制评估报告。
2.密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后,还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后,有的测评对象的测评结果可能会有所变化,需进一步修订测评结果,而后进行量化评估和风险分析,最后形成评估结论。
四、密评应用技术要求
(一)通用测评要求。核查被测系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。
(二)密码应用技术评估要求。具体包括但不限于:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,政务信息系统密码应用与安全性评估、制定测评工作方案等,验证不**全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
(三)物理和环境安全测评。物理和环境安全主要实现对被测系统所在机房等重要区域的物理防护,物理机房的进出必须严格符合相关规范,并对相关人员进出信息实时记录,防止非法人员采用非法手段进出,防止出现人为物理破坏,防止造成不可逆的重大损失。
针对 身份鉴别 、 电子门禁记录数据存储完整性 、 视频监控记录数据存储完整性 等物理和环境安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
物理和环境安全测评要求:
1.需要采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。
2.需要采用密码技术保证电子门禁系统进出记录数据的存储完整性。
3.需要采用密码技术保证视频监控音像记录数据的存储完整性。
(四)网络和通信安全测评。网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护,密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性,以及网络边界访问控制和设备接入控制。
针对 身份鉴别 、 通信数据完整性 、 通信过程中重要数据的机密性 、 网络边界访问控制信息的完整性 、 安全接入认证 等网络和通信安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
网络和通信安全测评要求内容:
1.应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。
2.宜采用密码技术保证通信过程中数据的完整性。
3.应采用密码技术保证通信过程中重要数据的机密性。
4.宜采用密码技术保证网络边界访问控制信息的完整性。
5.可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。
(五)设备和计算安全测评。
设备和计算安全主要实现对被测系统中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性,以及系统**访问控制信息、设备的重要信息**安全标记、重要可执行程序、日志记录的完整性。
针对 身份鉴别 、 远程管理通道安全 、 系统**访问控制信息完整性 、 重要信息**安全标记完整性 、 日志记录完整性 、 重要可执行程序完整性、重要可执行程序来源真实性 等设备和计算安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
设备和计算安全测评标准要求内容:
1.应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。
2.远程管理设备时,应采用密码技术建立安全的信息传输通道。
3.宜采用密码技术保证系统**访问控制信息的完整性。
4.宜采用密码技术保证设备中的重要信息**安全标记的完整性。
5.宜采用密码技术保证日志记录的完整性。
6.宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。
(六)应用和数据安全测评。
实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制,以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中,重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
针对 身份鉴别 、 访问控制信息完整性 、 重要信息**安全标记完整性 、 重要数据传输机密性 、 重要数据存储机密性 、 重要数据传输完整性 、 重要数据存储完整性 、 不可否认性 等应用和数据安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
应用和数据安全测评标准要求内容:
1.应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。
2.宜采用密码技术保证信息系统应用的访问控制信息的完整性。
3.宜采用密码技术保证信息系统应用的重要信息**安全标记的完整性。
4.应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。
5.应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。
6.宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。
7.宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。
8.在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。
(七)密码应用管理要求测评
从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能确保密码技术被合规、正确、有效的实施。
1.管理制度。针对 具备密码应用安全管理制度 、 密钥管理规则 、 建立操作规程 、 定期修订安全管理制度 、 明确管理制度发布流程 、 制度执行过程记录留存 等制度方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
管理制度标准要求内容:
(1)应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。
(2)应根据密码应用方案建立相应密钥管理规则。
(3)应对管理人员或操作人员执行的日常管理操作建立操作规程。
(4)应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。
(5)应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。
(6)应具有密码应用操作规程的相关执行记录并妥善保存。
2.人员管理。针对 了解并遵守密码相关法律法规和密码管理制度 、 建立密码应用岗位责任制度 、 建立上岗人员培训制度 、 定期进行安全岗位人员考核 、 建立关键岗位人员保密制度和调离制度 等人员方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
人员管理标准要求内容:
(1)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。
(2)应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。
(3)根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;
(4)对关键岗位建立多人共管机制;
(5)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;
(6)相关设备与系统的管理和使用账号不得多人共用。
(7)应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。
(8)应定期对密码应用安全岗位人员进行考核。
(9)应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。
3.建设运行。针对 制定密码应用方案 、 制定密钥安全管理策略 、 制定实施方案 、 投入运行**行密码应用安全性评估 、 定期开展密码应用安全性评估及攻防对抗演习 等建设方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
建设运行标准要求内容:
(1)应依据密码相关标准和密码应用需求,制定密码应用方案。
(2)应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》附录B。
(3)应按照应用方案实施建设。
(4)投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。
(5)在运行过程中,应严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。
4.应急处置。针对 应急策略 、 事件处置 、 向有关主管部门上报处置情况 等应急方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
应急处置标准要求内容:
(1)应制定密码应用应急策略,做好应急**准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。
(2)事件发生后,应及时向信息系统主管部门进行报告。
(3)事件处置完成后,应及时向信息系统主管****管理部门报告事件发生情况及处置情况。
(八)实施原则
为保障项目的顺利实施,在项目实施过程应遵循以下原则:
1.规范性原则。加强项目管理,在人员、质量和时间进度等方面进行严格管控。
2.标准化原则。评估过程应严格遵守国家的相关法律、法规、规范、标准等相关要求。
3.完整性原则。在评估过程中,应确保评估数据、过程记录的完整性。评测内容要综合考虑所有评测对象的技术措施,并建立完整有效的评测流程,保证不存在影响评测结果的疏忽或遗漏。
4.保密性原则。在评估过程中,切实加强对人员、技术等方面的组织管理;与所有相关人员签署具有法律意义的保密协议,确保在项目实施过程中涉及的所有信息,不会泄露给第三方单位或个人,不得擅自利用这些信息。
五、评估成果
针对被评估系统编制密码应用安全性评估报告,****管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议,并出具商用密码应用安全性评估报告。
附件(1)
附件_486375774_309935044.png下载预览
招标进度跟踪
2025-02-21
招标预告
中国人民政治协商会议广西壮族自治区委员会办公厅商用密码应用安全性评估服务采购意向公告
当前信息
招标项目商机
暂无推荐数据
400-688-2000
欢迎来电咨询~
