宝安区智慧住建系统第三方测评服务项目采购招标公告

一、项目名称

**区智慧住建系统第三方测评服务项目。

二、项目背景

根据**市政务信息化项目检测与验收相关管理办法等的要求，需对**区智慧住建综合监管系统升级改造（2024年）项目（以下简称2024年项目）和**区智慧住建升级改造（2025年）项目（以下简称2025年项目）开展第三方测评服务，推进整体项目验收。

三、服务内容

需中标供应商提供7次测评服务，具体如下：

（一）提供1次密码应用方案评估和商用密码应用安全性评估服务。

（二）提供2次网络安全等级保护测评服务。

（三）提供2次安全专项测评服务。

（四）提供2次第三方验收测评服务。

四、技术要求

（一）密码应用方案评估和商用密码应用安全性评估服务

对2025年项目的密码应用方案和商用密码应用安全性进行评估，包括但不限于以下内容：

1、密码应用方案评估

对密码应用方案的设计是否能满足相应等级的密码应用要求等进行评估，最终出具评估结论，并出具正式的商用密码应用安全性评估报告，包括但不限于以下内容：

（1）对密码应用方案中的技术方案进行评估，包括密码应用技术框架、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、密码应用部署、安全与合规性分析等。

（2）对密码应用方案中的安全管理方案进行评估。

（3）对密码应用方案中实施保障方案进行评估。

2、商用密码应用安全性评估

对所测评项目开展商用密码应用的安全性是否能满足相应等级的密码应用要求等进行评估，最终出具评估结论，并出具正式的商用密码应用安全性评估报告，包括但不限于以下技术要求：

（1）通用要求评估

下载

（2）密码技术应用安全评估

密码技术应用安全主要从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

下载

（3）安全管理评估

安全管理评估是对影响商用密码防护效能的管理制度与措施进行分析与评估。主要内容包括：管理制度，人员管理，建设运行，应急处置。具体要求如下：

下载

（4）密钥管理评估

测评密钥管理评估是对影响商用密码防护效能的密钥生命周期相关环节，以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节主要包括：密钥生成、密钥分发、密钥存储、密钥使用、密钥更新、密钥归档、密钥撤档、密钥备份、密钥恢复、密钥销毁。

（二）网络安全等级保护测评服务

分别对2024年项目和2025项目的网络安全等级保护进行测评，包括但不限于以下内容：

1、等保咨询服务

对服务范围内的目标系统按照国家标准进行等保咨询和等保测评服务，并提交等保相关文档。

2、等保风险分析服务

根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，开展信息系统安全风险评估分析，编制风险分析报告。

3、等保差距评估服务

在安全评估和信息系统定级的基础上，根据《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。

4、安全策略复查服务

需派遣专业工程师到现场针对加固前后的系统脆弱性进行复查，复查手段包括但不限于协议分析、漏洞扫描、漏洞验证以及配置核查等方法。复查结束后，形成加固前后对比复查报告。

5、等**级咨询服务

在信息系统自行定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息，协助完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级，并组织专家评审。

6、等保备案辅助服务

根据《信息安全等级保护管理办法》，信息系统运营使用单位或主管****机关备案，投标人需提供备案咨询服务，协助采购方填写《信息系统安全等级保护备案表》等准备材料，直到完成备案工作。

7、等保测评服务

根据网络安全法及国家等级保护相关标准，进行等级保护安全测评，获取该测评机构出具的正式等级保护测评报告。根据等级测评报告模板出具测评报告，根据测评结果形成整改建议方案，并充分配合用户单位开展整改工作。

（三）专项安全测评服务

分别对2024年项目和2025项目开展专项安全测评服务，包括但不限于以下内容：

1、主机安全测评：从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复和剩余信息保护9个方面，运用访谈、核查和扫描的方法，评估主机安全保障状况。

2、网络设备安全测评：从身份鉴别、访问控制、安全审计、入侵防范、可信验证、数据完整性和数据备份恢复7个方面，通过访谈、核查和扫描，测评网络设备安全保障情况。

3、数据库安全测评：针对身份鉴别、访问控制、安全审计、入侵防范、可信验证、数据完整性、数据备份恢复和剩余信息保护8个方面，利用访谈、核查和扫描手段，评价数据库安全保障水平。

4、应用系统安全测评：从身份鉴别、访问控制、安全审计、入侵防范、可信验证、数据完整性、数据备份恢复、剩余信息保护和个人信息保护9个方面，借助访谈、核查和扫描方式，测评应用系统安全保障程度。

（四）第三方验收测评服务

分别对2024项目和2025项目进行验收测评服务。

依据深政数〔2022〕136号文《**市政务信息化项目检测与验收管理办法》中相关检测要求提供测评服务，包含软件功能测试、软件性能测试等，出具独立或合并的验收报告（其中功能性测试、软件性能测试出具盖有中标供应商评测专用章及CNAS章的验收报告）。

测评主要包括但不限于以下内容：

1、系统检测

（1）软件功能测试：按照合同对其功能实现进行检测，确认其是否已正常实现，且能否满足建设合同中约定的建设需求。

（2）软件性能测试：按照相关检测标准对项目的性能指标进行检测，检测性能指标是否满足招投标文件、建设合同以及已确定的需求文件的要求，以验证所测试的系统的性能效率是否在正常情况下满足建设及使用要求。

2、源代码审查

通过自动化扫描与人工审计等方式，对源代码的规范性、源代码安全风险进行测评，以排除系统代码中存在的安全风险和隐患。

3、数据质量评估

依据《GB/T 36344-2018 信息技术 数据质量评价指标》《**市政务信息化项目数据质量评估指引》，开展数据质量评估工作：

（1）检查数据管理质量，主要检查项目中是否制定相关制度、标准规范、管理组织和人员、数据安全管理方面的内容。

（2）检查元数据质量，主要检查元数据质量是否按照用户需求标准对元数据进行 描述、汇总。

（3）检查业务数据质量，主要从数据的规范性、完整性、准确性、一致性、时效性、可访问性等特性方面考察业务数据。

（五）检测工具要求

在服务期内，中标供应商应配置中标项目所需的足够数量的仪器、仪表以及工具等设备。采购方不提供仪器、仪表以及工具等设备。

五、依据及参考标准

（一）GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》。

（二）GM/T 0115-2021《信息系统密码应用测评要求》。

（三）GM/T 0116-2021《信息系统密码应用测评过程指南》。

（四）GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》。

（五）GB/T 22240-2020《信息安全技术网络安全等级保护定级指南》。

（六）GB/T 15532-2008《计算机软件测试规范》。

（七）《关于印发**市政务信息化项目检测与验收管理办法的通知》（深政数〔2022〕136号）。

六、项目成果要求

项目竣工后提交成果报告，每份成果报告均需提供一式两份的纸质版及一份电子版，包括：

（一）商用密评应用安全性评估：密码应用方案评估报告和密码应用系统评估报告，各一份（按照项目实际情况定）。

（二）安全等级保护测评报告二份（按照项目实际情况定）。

（三）专项安全测评报告二份（按照项目实际情况定）；

（四）系统检测报告二份（按照项目实际情况定）。

（五）源代码安全审查报告二份（按照项目实际情况定）。

（六）数据质量评估报告二份（按照项目实际情况定）。

七、验收要求

（一）验收标准

1、项目成果严格依照国家颁布的有关法律、法规及政策要求，符合相关的技术规范和标准。

2、项目成果符合合同约定的成果内容，较好实现项目目标。

3、项目成果应做到文字流畅、思路清晰、逻辑性强、数据详实可靠、图表规范清晰。

4、项目成果有下列情况之一者无效：提交的成果不符合合同约定的成果内容和格式；未经采购方同意而逾期送达；有关经济技术指标严重不实；图纸和文字辨认不清、内容不全、粗制滥造；未盖有中标方公章等。

（二）验收内容

测评报告（合同约定的最终成果文件）。

（三）验收方法

当满足以下条件时，采购方向中标方签发验收报告：

1、中标供应商已按合同约定提供了全部技术资料。

2、服务过程符合合同约定的服务要求。

3、项目成果通过采购方组织的评审会。

八、项目服务地点及期限

（一）服务地点：**市。

（二）服务期限：自合同签订之日起，至完成所有服务内容并经采购方验收后结束。

九、项目人员要求

（一）拟安排的项目负责人1人，应至少满足不低于本科学历。

（二）拟安排的项目团队成员（项目负责人除外）不少于4人，至少满足不低于本科学历。

（三）中标方不得擅自更换项目负责人和项目团队成员。履约过程中，因客观原因确需更换项目人员的，应取得采购方同意后方可更换。

（四）项目组成员应参与测评关键过程并按采购方的要求参加本项目审查和讨论的全部工作会议。

十、报价要求

（一）招标控制价：21.64万元人民币。

（二）本项目投标报价采用总价包干制，应包括成本、法定税费和相应的利润。应涵盖本项目采购范围和采购文件所列的各项内容中所述的全部。由投标人根据采购需求自行测算投标报价，一经中标投标报价即作为中标方与采购方签订的合同金额。

（三）非采购方通过修改采购文件予以更正，否则，投标人应毫无例外地按采购文件内容填报综合单价或总价。投标人未填综合单价或总价的项目，在实施后将不得以支付，并视作该项费用已包括在其它有价款的综合单价或总价内。

（四）投标人应根据本企业的成本自行决定报价，但不得以低于其企业成本的报价投标；评标时，评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价，有可能影响服务质量或者不能诚信履约的，应当要求其在评标现场合理的时间内提供书面说明，必要时提交相关证明材料；投标人不能证明其报价合理性的，评标委员会应当将其作为无效投标处理。****委员会成员对是否须由投标人作出报价合理性说明，以及书面说明是否采纳等判断不一致的，按照“少数服从多数”****委员会的意见。

（五）投标人在投标报价时，应充分考虑投标报价的风险，充分了解项目的位置及任何足以影响投标报价的情况，任何因忽视或误解项目情况而导致的索赔或服务期限**申请将不获批准。

十一、付款方式

（一）中标供应商按国家有关财税规定开具相应金额发票给采购方，采购方收到中标供应商提供的等额、有效发票后，采购方支付相应合同款。

（二）在完成2024年项目的网络安全等级保护测评、专项安全测评和第三方验收测评服务，采购方签收测评报告，收到发票后10个工作日内，采购方向中标供应商支付8.21万元；

（三）待完成合同约定所有内容，并通过验收后，经甲方验收合格，收到发票后10个工作日内采购方向中标供应商支付合同总价的剩余款项。

十二、采购方式

本服务采用自行组织公开招标方式采购。本项目采用综合评分法定标（评分表见附件）。

十三、投标人资格要求

（一）固定资格要求

1、具有独立法人资格或是具有独立承担民事责任能力的其它组织****事业单位法人证书等证明资料扫描件，原件备查）。

2、****政府采购活动的《信用承诺书》（提供声明函，格式自拟）。

3、参与本项目投标前三年内，在经营活动中没有重大违法记录（提供声明函，格式自拟）。

4、****政府采购活动时不存在被****政府采购活动且在有效期内的情况（提供声明函，格式自拟）。

5、未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单（提供声明函，格式自拟。注：“信用中国”或“中国政府采购网”为信息查询渠道）。

6、单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参****政府采购活动；为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得再参加该采购项目的其他采购活动（提供声明函，格式自拟）。

7、****政府采购活动不存在与其他采购参加人串通投标，隐瞒真实情况，提供虚假资料等违法违规情形（提供声明函，格式自拟）。

8、本项目禁止转包和违法分包。

注：以上第1-8条，由供应商在声明函中作出声明，缺一则为无效投标。

（二）新增资格要求

1、本项目接受联合体投标，但组成联合体的单位最多不得超过2家，联合体各方均需满足固定资格要求。以联合体参加投标的应当在投标文件中提交联合协议，载明联合体各方承担的工作和义务。联合体各方应当共同与采购方签订采购合同，就采购合同约定的事项对采购方承担连带责任。联合体各方不得再单独参加或者与其他供应商另外组成联合体参****政府采购活动。

2、投标人需具有如下资质（联合体成员合计具备则可）：

（1）投****管理部门认定的商用密码检测机构，****管理局公告（第49号），提供以上公告或文件复印件。

（2******部****中心****中心）认证的网络安全等级保护测评机构服务认证获证机构，提供以上公告或文件复印件。

十四、报名及开标方式标书代写

公示时间即为投标时间：****建设局网站发布招标公告之日起5个自然日。投标人将投标文件(格式自拟，一式五份)密封（加盖骑缝章）提交至**市**区**商务大厦2座****事务中心3楼306，采购方收到投标材料后即视为报名成功（联系人：刘工，联系电话：0755-****1383）。

投标截止后即可开标定标，按综合评分法定标，综合评分最高的确定为中标服务单位。标书代写

十五、其他要求

（一）投标人应确保投标文件信息真实、有效。

（二）本项目实施所需相关资料及评价标准等均需由投标人自行收集，投标人使用的标准必须是国际公认或国家、地方政府颁布的同等或更高的标准。

（三）本次提交的成果应在方案图纸和文本上标注承接单位名称、项目人员名单。

（四）采购方有权在审批后公开展示本次成果，并通过传播媒介、专业杂志、书刊或其它形式介绍、展示及评价其成果。

（五）采购方有权根据实际需要对成果进行综合优化、调整和修改。

（六）中标供应商不得以任何名义分包本项目工作中的主体工作内容，包括关键的技术、系统测评等工作，关键人员执行的任何工作，关键的服务交付、客户支持、维护和升级等工作。

（七）知识产权归属采购方。

附件：

1．评分表.docx