首页 /2025NCZ003889宁夏回族自治区价格认定中心（自治区价格监测中心）宁夏价格监测预警系统项目测试评估认证服务—密码应用安全性评估的采购需求

2025NCZ003889宁夏回族自治区价格认定中心（自治区价格监测中心）宁夏价格监测预警系统项目测试评估认证服务—密码应用安全性评估的采购需求

预告-意见征集

宁夏

发布时间： 2025年11月20日

摘要信息

招标单位

招标编号

招标估价

招标联系人

招标代理机构

代理联系人

报名截止时间

投标截止时间

关键信息

监测预警测试认证服务

招标详情

下文中****为隐藏内容，仅对千里马会员开放，如需查看完整内容请或拨打咨询热线： 400-688-2000

一、采购标段

采购计划编号：项目名称：分包名称：分包类型：采购方式：预算金额报价方式：是否属于技术复杂，专业性强的采购项目：是否为执行国家统一定价标和固定价格采购项目：是否适宜由中小企业提供：不适宜由中小企业提供的情形：不适宜面向中小企业证明材料(专家论证或集体决策或政策依据)：

****	******中心）价格监测预警系统项目
测试评估认证服务—密码应用安全性评估	服务类
公开招标	110000.00
总价采购项目	否
否	是

发起异议

任何供应商、单位或者个人对以上公示的项目采购需求有异议的，可以在招标公告发布之前在线发起异议，并填写异议内容及事实依据，该异议仅作为社会主体对采购需求内容的监督，采购人查询异议内容后，可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的，应按照《政府采购质疑和投诉办法》规定执行。标书代写

二、供应商资格条件

1.满足《****政府采购法》第二十二条规定，应提供以下材料：

1.1 提供在中华人民**国境内注册的法人或其他组织的营业执照（或事业单位法人证书，或社会团体法人登记证书），如投标供应商为自然人的需提供自然人身份证明；

1.2 法人授权委托书、法人及被授权人身份证复印件（法定代表人直接投标可不提供，但须提供法定代表人身份证复印件）；

1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函；

1.4 提供履行合同所必需的设备和专业技术能力的证明材料；

1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函；

1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明；（提供《资格承诺函》）。

2.****政府采购网（www.****.cn****政府采购严重违法失信行为记录名单，在“信用中国”网站（www.****.cn）未被列入失信被执行人、重大税收违法案件当事人名单。

3.（是/否）专门面向中小微企业： 1是 0否

4.合格投标人的其他资格要求：

序号合格投标人的其他资格要求

1	投标单****管理局发布的（商用密码应用安全性评估业务）的资质（提供资质复印件并加盖公章）。

三、商务要求

采购标的交付（实施）的时间（期限）采购人具备测评条件并通知中标供应商进行测评服务，40天内完成测评并提交项目测评报告。

采购标的交付地点（范围）采购人指定地点。

付款条件（进度和方式）以合同约定为准。

交付标准和方法现场交付。

四、技术要求

货物类服务类工程类

标的清单(服务类) 序号品目名称及编码标的名称服务内容数量单价服务标准及详细要求服务期限备注

C****0000-测试评估认证服务

测试评估认证服务—密码应用安全性评估

1）对委托评估系统的密码应用方案进行评估，出具加盖检测机构印章的《密码应用方案安全性评估报告》纸质一式三份。 2）对委托评估系统的关键基础设施、重要应用、网络进行商用密码应用安全性评估。具体包括：商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。评估后，出具加盖检测机构印章的《密码应用安全评估报告》纸质一式三份。

110000.00

标的1-测试评估认证服务：1）商用密码总体要求测评 ①密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 ②密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。 ③密码产品合规性测评：信息系统中使用的密码产品与密码模块****管理部门核准。 ④密码服务合规性测评：信息系统中使用的密码服务****管理部门许可。 2）密码技术应用测评从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。物理和环境层面测评：分析评估信息系统是否合理、合规地利用商用密码完整性、真实性功能，对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制，监控设备的物理访问控制，以及物理访问记录、监控信息等敏感信息数据完整性。网络和通信层面测评：分析评估信息系统是否合理、合规地利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备，通信双方的身份认证过程，通信数据完整性，敏感信息数据字段机密性，网络边界访问控制信息完整性，系统**访问控制信息完整性，安全设备、安全组件的集中管理方式和信息传输通道。设备和计算层面测评：分析评估信息系统是否合理、合规地利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程，系统设备和计算环境**访问控制信息完整性，重要信息**敏感标记完整性，重要程序或文件完整性，信息系统设备和计算环境的日志记录完整性。应用和数据层面测评：分析评估信息系统是否合理、合规地利用商用密码机密性、完整性、真实性以及不可否认性功能，对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程，系统应用和数据操作环境**访问控制信息完整性，重要信息**敏感标记完整性，重要数据传输过程的机密性、完整性，重要信息存储过程的机密性、完整性，重要程序的加载和卸载过程，信息系统应用相关实体行为不可否认性，信息系统应用和数据操作环境的日志记录完整性。 3）密钥管理测评对影响商用密码防护效能的密钥生命周期相关环节，以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成，密钥存储，密钥分发，密钥导入，密钥导出，密钥使用，密钥备份，密钥恢复，密钥归档，密钥销毁。 4）安全管理测评对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度，人员管控，信息系统实施，应急预案。 ①安全管理制度维度，包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容，密码相关操作规范、安全操作规范，安全管理制度的合理性和适用性论证与审定，安全管理制度的改进和修订，安全管理制度的发布，安全管理制度的执行。 ②人员管控维度，包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用，关键岗位划分，相关人员职责与权限划分，岗位责任制与人员制约、监督机制，管理和使用账号，人员培训、人员选拔，人员考核、奖惩与调离，人员保密措施。 ③信息系统实施维度，包括但不限于下列内容与措施：信息系统规划，信息系统建设方案，信息系统密码产品、服务选用，信息系统运行前与定期评估，信息系统整改。 ④应急预案维度，包括但不限于下列内容与措施：应急预案，应急**准备，应急情况与处置，上级主管部门应急报告，同级密码主管部门应急报告。

自双方签订合同之日起至评估报告得到采购人确认结束

采购需求附件：

采购需求附件

采购需求.doc

五、合同管理安排

合同类型：货物类服务类工程类

服务类

服务内容本次服务内容包括：依据《中华人民**国密码法》《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）《信息系统密码应用测评要求》（GM/T 0115-2021）《信息系统密码应用测评过程指南》（GM/T 0116-2021）《商用密码应用安全性评估测评作业指导书》和系统自身的安全需求分析，发现各信息系统密码应用的薄弱环节和风险，为密码应用安全提供科学评价，提出完善、可行的整改建议。客观、全面、准确地评价各系统密码应用的合规性、正确性和有效性，度量其与密码应用需求的符合性；找出系统密码应用现状与相应等级密码保护要求之间的差距，并分析其密码应用的薄弱环节及面临的安全风险，提供科学的评估报告。

国家标准、行业标准、地方标准等标准、规范《中华人民**国密码法》《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）《信息系统密码应用测评要求》（GM/T 0115-2021）《信息系统密码应用测评过程指南》（GM/T 0116-2021）《商用密码应用安全性评估测评作业指导书》

履约保证金本合同不要求履约保证金。

甲方责任（1）甲方应当负责与此次服务工作相关的协调，为顺利实施服务工作提供条件。（2）甲方应当在双方约定的时间内免费向乙方提供与服务工作所需要的文档资料。（3）若甲方发现乙方人员不按照本合同履行职责，甲方有权要求乙方及时更换服务人员，否则甲方有权单方解除合同并不予支付任何费用。（4）甲方有权检查乙方及其参与服务的人员履行合同约定的保密等条款的情况，并有根据其对甲方造成的影响、损失、危害情况索赔的权利，以及向相关部门举报、追究经济、刑事责任的权利。

乙方责任（1）乙方应当组成项目团队，项目团队人员应通过商用密码应用安全性评估能力考试（分数60分以上）。实际参加项目的团队人员必须与投标文件中所列出的团队人员一致，如因特殊原因需要更换，乙方须向甲方申请并经甲方书面同意，乙方承担由此带来的审计风险、安全风险。（2）乙方派出服务人员，完成本合同中规定的服务内容。（3）乙方提交的测评报告应符合《商用密码应用安全性评估报告模板（2023 版）系统密评报告》相关要求，架构清晰，内容完整；整改建议应符合甲方信息安全工作的实际，对甲方的信息安全工作起到促进作用。（4）乙方完成本次测评服务项目的标志为其提交的最终版本测评报告得到甲方的认可并签字确认。（5）乙方工作接受甲方的监督，并取得甲方配合。（6）乙方不得向第三方泄露任何甲方所属的资料、信息、服务信息等。（7）乙方应保证其提供的服务不会侵犯第三方的知识产权等合法权益。如因乙方原因导致甲方遭受第三方索赔，乙方应负责解决并承担全部赔偿责任。（8）乙方在项目实施过程中，如发现甲方有关人员有影响服务质量的情况时，有向甲方告知的权利。（9）项目完成后，乙方应向甲方移交全部工作过程记录、数据、证据等原始材料。标书代写

违约责任 1、甲乙双方任何一方不履行本合同义务或者履行合同义务不符合本合同约定的，均视为违约。违约方应当承担继续履行、采取补救措施或者赔偿损失等违约责任。 2、乙方所交付服务内容不符合本合同约定的，乙方应当在_日内负责。甲方要求修复或者重做，并承担因修复、重做而产生的全部费用。乙方不能在前述时间内完成修复或者重做的，或者修复、重做后的产品仍不符合合同规定的，甲方保留退货及终止合同的权利，并要求乙方按合同金额的20%支付违约金。 3、如有第三方指控乙方提供给甲方的软件侵犯了该方的知识产权或其他权利，乙方应自费处理该等侵权争议，****法院最终裁定的或同意和解中包括的一切费用，包括但不限于损害赔偿金、罚金、律师费、案件受理费、执行费、差旅费等，同时甲方有权单方面终止合同，乙方应向甲方退还已收取的全部款项，并支付合同总金额的20%的违约金，并赔偿甲方因此所遭受的损失。 4、因乙方原因导致乙方未在合同约定的期限内向甲方交付工作成果的，应按延迟天数每日合同金额的0.1%的标准向甲方支付逾期交付违约金。乙方延迟交付工作成果超过60个工作日（日历日）或交付的成果或提供的服务不符合本合同（包括合同附件、采购文件、投标文件、承诺书及澄清函等）约定的标准的，甲方有权单方面解除合同，乙方应退还已收取的全部合同价款，向甲方支付合同总金额20%的违约金，并赔偿甲方所受损失。若因乙方提交系统存在漏洞、缺陷或乙方人员维保过程中的过失指导、操作导致甲方遭受业务不连续等损失的，乙方应向甲方支付合同总金额20%的违约金，并赔偿甲方因此所受损失。 5、如乙方未经甲方书面许可将本项目的全部或部分转委托给第三方，甲方有权单方面解除本合同。乙方应自甲方发出书面通知起7日内返还甲方已支付的全部款项，并支付合同总金额20%的违约金。 6、如乙方泄漏甲方有关技术及商业秘密，应当向甲方支付合同总金额的20%的违约金，并赔偿甲方因此所受的损失，同时乙方应积极配合甲方处理泄密事件，并承担由此产生的全部费用。

不可抗力1、本合同中不可抗力指地震、台风、火灾、水灾、战争以及其他双方不能预见、不能避免并不能克服的客观情况。 2、由于不可抗力致使合同无法履行的，受不可抗力影响一方应立即将不能履行本合同的事实书面通知对方，并在不可抗力发生之日起十五****政府****机关出具的证明文件。 3、本合同在不可抗力影响范围及其持续期间内将中止履行，本合同执行时间可根据中止的时间相应顺延，双方无须承担违约责任。不可抗力事件消除后，双方应就合同的履行及后续问题进行协商。如果不可抗力原因造成本合同中止履行超过 10 个工作日，任何一方均有权解除合同。 4、一方迟延履行后发生不可抗力的，不能免除违约方延迟履行的责任。

保密本合同属双方商业机密，甲乙双方对**及本合同的具体内容负有保密责任。未经对方事先书面同意，任何一方不得将本合同的具体内容披露给任何第三方。各方将视另一方业务相关的所有信息为机密，并有义务予以保密，不将在本合同谈判时或合同期间所获知的任何信息泄露给任何第三方。本款的条文将在本合同期满或终止后继续有效，但不适用于任何已在公众知悉范围的资料。乙方工作人员亦须遵守本条约定，否则，视为乙方违约，给甲方造成损失的，乙方应承担相应的赔偿责任。乙方在提供服务时获取的甲方个人信息为机密，并有义务予以保密，不得将个人信息披露给****机关除外）。甲方获取乙方的个人信息为机密，并有义务予以保密，不得将个人信息披露给****机关除外）。

服务期限自合同签订之日起至提交测评报告止。

争议解决1.合同的实施或与合同有关的一切争端应通过双方**协商解决。如果**协商不能解决，任何一方都可依法向甲方****法院提起诉讼。

验收标准（附验收方案）提交《密码应用方案安全性评估报告》。（验收方案附件）：履约验收方案包3.docx

服务地点（范围）采购人指定地点。

付款条件（进度和方式）（1）合同签订生效后，项目开始时，乙方向甲方提出付款申请，经甲方确认后，在收到乙方开具的发票后15个工作日内支付合同额50%款项；（2）乙方完成合同约定内容后，甲方收到乙方提供的成果经甲乙双方共同验收合格后，乙方向甲方提出付款申请，甲方在收到乙方出具的正式成果资料、相关交付物和开具的发票后15 个工作日，甲方向乙方支付合同总额的50%款项。

六、评审方法及评审细则

评标方法：

最低评标价法

综合评分法

评审细则类别：服务类细则类别

服务类细则类别序号评审项目权重分评分标准

1	投标报价	10.00	评标基准价是指满足招标文件要求且投标价格最低的投标报价。除低于成本价的投标报价被拒绝外，最低报价得10分，结果由高分到低分依次排序为各自最终报价得分。投标报价得分=（评标基准价/投标报价）×10。对于高于项目预算金额的投标报价不予接受，视为无效投标。
2	业绩证明	10.00	投标人提供近3年（2022年10月至今）同类项目业绩，每有一项得2分，满分10分，未提供不得分。注：提供合同和中标通知书扫描件并加盖公章。
3	综合服务能力证明	4.00	投标人具备信息技术服务管理体系证书或信息安全管理体系证书，每提供1项得2分，满分4分，未提供不得分。注：提供证书扫描件并加盖投标人公章。
4	项目经理	4.00	项目经理须具备商用密码应用安全性评估人员考核证书，在此基础上具有信息系统项目管理师证书（人社部颁发）或信息安全工程师证书（人社部颁发）的，每提供1项得2分，满分4分，未提供不得分。注：提供证书扫描件和投标人为其缴纳的2025年1月至今连续3个月社保缴费证明并加盖公章，未提供不得分。
5	测评团队	10.00	测评团队成员须具有商用密码应用安全性评估人员考核证书，在此基础上具有注册信息安全专业人员证书（CISP）或注册网络安全渗透评估专业人员高级证书（NSATP-A）或注册渗透测试工程师（CISP-PTE）或信息安全保障人员证书（CISAW）或密码安全工程师****考试中心颁发）的，每提供一项得2分，满分10分，未提供不得分。注：一人多证不重复计分，提供证书扫描件和投标人为其缴纳的2025年1月至今连续3个月社保缴费证明并加盖公章，未提供不得分。
6	实施方案	12.00	投标人按照本项目及采购人实际需求提供详细具体可行的密码应用安全性评估实施方案：（1）测评依据；（2）测评指标；（3）测评方法；（4）测评工具；（5）测评流程；（6）测评技术案例。完全满足项目密码应用安全性评估实施方案得12分，每有1项内容存在缺项扣2分，每有1项内容存在缺陷扣1分，扣完为止。
7	质量管理方案	10.00	投标人按照本项目及采购人实际需求提供详细具体可行的密码应用安全性评估质量管理方案：（1）质量管理目的；（2）质量管理计划；（3）质量管理制度；（4）质量保证措施；（5）测评过程质量控制。完全满足项目密码应用安全性评估质量管理方案得10分，每有1项内容存在缺项扣2分，每有1项内容存在缺陷扣1分，扣完为止。
8	安全保密方案	10.00	投标人按照本项目及采购人实际需求提供详细具体可行的的密码应用安全性评估安全保密方案：（1）安全保密安全管理体系；（2）服务人员保密管理；（3）现场设备保密管理；（4）测评报告保密管理；（5）安全保密承诺。完全满足项目密码应用安全性评估安全保密方案得10分，每有1项内容存在缺项扣2分，每有1项内容存在缺陷扣1分，扣完为止。
9	售后服务方案	10.00	投标人按照本项目及采购人实际需求提供详细具体可行的密码应用安全性评估售后服务方案：（1）售后服务承诺；（2）售后服务保障措施；（3）售后技术支持；（4）售后服务流程；（5）售后服务管理制度。完全满足项目密码应用安全性评估售后服务方案得10分，每有1项内容存在缺项扣2分，每有1项内容存在缺陷扣1分，扣完为止。
10	应急响应方案	10.00	投标人按照本项目及采购人实际需求提供详细具体可行的密码应用安全性评估应急响应方案：（1）应急响应服务承诺；（2）应急响应服务体系；（3）应急响应及时程度。完全满足项目密码应用安全性评估售后服务方案得5分，每有1项内容存在缺项扣2分，每有1项内容存在缺陷扣1分，扣完为止。
11	拟投入密评工具	10.00	投标人提供符合本项目服务要求的以下自有测试工具，每提供一类工具得2分，最高10分： 1.密码安全协议分析工具； 2.密码算法验证测试工具（国密算法）； 3.数字证书格式合规性验证工具； 4.随机数检测验证工具； 5.公私钥对验证测试工具。注：须提供工具购置发票及采购合同扫描件，自主研发工具需提供著作权证书或发明专利证书，否则不得分。
合计：		100.00