項目目標和范圍:

本項目的宗旨在于通過對門戶網站（三級）開展商用密碼應用安全性評估工作，通過密碼評估，明確該系統(tǒng)的安全建設現(xiàn)狀，檢驗門戶網站系統(tǒng)在密碼應用方面是否符合國家相關規(guī)范和要求，密碼技術、密碼產品、密碼管理等方面是否符合相關標準，找出存在的安全風險，分析安全建設差距，提出安全整改建議，并以此為基礎，進一步制定安全建設整改方案，完善保護措施，使該系統(tǒng)滿足我國關于密碼應用的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高本單位的安全意識，增強網絡的抗攻擊的能力，保證被測系統(tǒng)正常運轉。

(一)評估范圍

本次評估項目的范圍包括如下信息系統(tǒng)：

門戶網站系統(tǒng)（三級）

(二)評估對象

評估對象涉及信息系統(tǒng)部署相關的機房、網絡環(huán)境、服務器、數(shù)據(jù)庫、應用、密碼技術產品和密碼服務、密鑰管理、安全管理等方面。

本系統(tǒng)評估的評估范圍及對象包括以下幾類：

1．機房的電子門禁系統(tǒng)和視頻監(jiān)控系統(tǒng)。

2．整個系統(tǒng)的網絡拓撲結構。

3．需要采用密碼技術進行安全防護、承載被測系統(tǒng)主要業(yè)務或數(shù)據(jù)的服務器（包括其操作系統(tǒng)和數(shù)據(jù)庫）。

4．需要采用密碼技術進行安全防護的管理終端。

5．需要采用密碼技術進行安全防護的業(yè)務應用系統(tǒng)。

6．信息安全和密碼主管人員、各方面的負責人員、具體負責密碼管理的當事人、業(yè)務負責人***

7．涉及到信息系統(tǒng)密碼安全的所有管理制度和記錄。

(三)評估依據(jù)

評估單位應依據(jù)國家等級保護相關標準開展工作，依據(jù)標準包括但不限于如下國家標準：

1. GB/T   39786-2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》

2. 《信息系統(tǒng)密碼應用測評要求》

3. 《信息系統(tǒng)密碼應用測評過程指南》

4. 《信息系統(tǒng)密碼應用高風險判定指引》

5. 《商用密碼應用安全性評估量化評估規(guī)則》

6. 其它國家法律、法規(guī)要求

二、服務要求

(一)測評指標

根據(jù)被測信息系統(tǒng)密碼應用安全要求等級，選擇GB/T 39786-2021《信息安全技術   信息系統(tǒng)密碼應用基本要求》中第三級別的安全要求作為本次測評工作的基本指標。

 

(二)測評方法

密碼測評的主要方式有：訪談、檢查和測試。

訪談

訪談是指測評人員通過與信息系統(tǒng)有關人員（個人/群體）進行交流、討論等活動，獲取相關證據(jù)表明信息系統(tǒng)安全保護措施是否落實的一種方法。在訪談的范圍上，應基本覆蓋所有的安全相關人員類型，在數(shù)量上可以抽樣。

檢查

檢查是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否得以有效實施的一種方法。在檢查范圍上，應基本覆蓋所有的對象種類（設備、文檔、機制等），數(shù)量上可以抽樣。

測試

測試是指測評人員通過對測評對象按照預定的方法/工具使其產生特定的響應等活動，查看、分析響應輸出結果，獲取證據(jù)以證明信息系統(tǒng)安全等級保護措施是否得以有效實施的一種方法。在測試范圍上，應基本覆蓋不同類型的機制，在數(shù)量上可以抽樣。

測試過程需采用密碼專用分析工具對密碼算法實現(xiàn)等內容進行深度測試。

(三)測評原則

本次商用密碼應用安全性評估應滿足以下原則：

1、保密原則：對評估的過程數(shù)據(jù)和結果數(shù)據(jù)嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害招標人的行為，否則甲方有權追究責任。

2、規(guī)范性原則：評估工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制。

3、可控性原則：評估服務的進度要跟上進度表的安排，保證甲方對于評估工作的可控性。

4、整體性原則：評估的范圍和內容應當整體全面，包括國家商用密碼應用安全性評估相關要求涉及的各個層面。

5、最小影響原則：評估工作應盡可能小的影響系統(tǒng)和網絡，并在可控范圍內；評估工作不能對現(xiàn)有信息系統(tǒng)的正常運行、業(yè)務的正常開展產生任何影響，保證現(xiàn)有系統(tǒng)24小時的不間斷、穩(wěn)定、安全運行。

6、非高峰期原則：漏洞掃描及工具測試時間，應盡量安排在夜間或法定節(jié)假日期間，制定切實可行的測試實施細則；對意外導致的宕機等，應提供應急保障方案，切實保證關鍵系統(tǒng)能正常工作。

評估單位應嚴格按照上述原則和商用密碼應用安全性評估相關標準開展項目實施工作。

(四)測評實施內容

1.信息系統(tǒng)備案

完成商用密碼應用安全性評估工作后，將評估結果報國家密碼管理部門備案。

2.商用密碼應用安全性評估

參照GB/T   39786-2021《信息安全技術 信息系統(tǒng)密碼應用基本要求》檢查被測系統(tǒng)，從物理和環(huán)境安全、網絡和通信安全、設備和計算安全、應用和數(shù)據(jù)安全、管理制度、人員管理、建設運行、應急處置進行差距分析，對系統(tǒng)進行初次安全評估。

通過對系統(tǒng)現(xiàn)狀的分析和梳理，發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全措施與等級保護基本要求的差距，提出安全整改建議，以指導后續(xù)安全整改工作。

（1）物理和環(huán)境安全：包括身份鑒別、電子門禁記錄數(shù)據(jù)存儲完整性、視頻監(jiān)控記錄數(shù)據(jù)存儲完整性等內容。

（2）網絡和通信安全：包括身份鑒別、通信數(shù)據(jù)完整性、通信過程中重要數(shù)據(jù)的機密性、網絡邊界訪問控制信息的完整性   、安全接入認證等內容。

（3）設備和計算安全：包括身份鑒別、遠程管理通道安全、系統(tǒng)資源訪問控制信息完整性、重要信息資源安全標記完整性、日志記錄完整性、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性等內容。

（4）應用和數(shù)據(jù)安全：包括身份鑒別、訪問控制信息完整性、重要信息資源安全標記完整性、重要數(shù)據(jù)傳輸機密性、重要數(shù)據(jù)存儲機密性、重要數(shù)據(jù)傳輸完整性、重要數(shù)據(jù)存儲完整性、不可否認性等內容。

（5）管理制度：具備密碼應用安全管理制度、密鑰管理規(guī)則、建立操作規(guī)程、定期修訂安全管理制度、明確管理制度發(fā)布流程、制度執(zhí)行過程記錄留存等內容。

（6）人員管理：涵蓋了解并遵守密碼相關法律法規(guī)和密碼管理制度   、建立密碼應用崗位責任制度、建立上崗人員培訓制度、定期進行安全崗位人員考核、建立關鍵崗位人員保密制度和調離制度等內容。

（7）建設運行：涵蓋制定密碼應用方案、制定密鑰安全管理策略、制定實施方案、投入運行前進行密碼應用安全性評估、定期開展密碼應用安全性評估及攻防對抗演習等內容。

（8）應急處置：涵蓋應急策略、事件處置、向有關主管部門上報處置情況等內容。

3.咨詢服務

提供信息系統(tǒng)的密碼安全咨詢和整改建議等技術支持服務，涵蓋系統(tǒng)建設、運維、管理、技術等相關安全問題；協(xié)助開展單位內部網絡與密碼安全檢查工作。

4.安全意識和技能培訓

針對技術人員、管理層提供《密碼法》和商用密碼應用安全性評估的相關培訓工作。

5.應急支撐

服務范圍涵蓋影響系統(tǒng)運行的軟硬件故障、網絡攻擊等事件應急支撐服務。

(五)項目成果

本次針對門戶網站系統(tǒng)的密碼應用安全性評估，將出具至少以下成果報告：

《門戶網站系統(tǒng)密碼應用安全整改建議》

《門戶網站系統(tǒng)密碼應用安全性評估報告》

 

評審類別

評審因素

評審標準

報價評分

最終報價評審（20分）

最終報價按以下方法進行計算：總分20分。

F1=[C/（B1，B2，…，Bn）]×10

注：C為評標基準價，即滿足競爭性磋商文件要求且最終報價最低的；B1，B2，…，Bn為第n個經審查合格滿足競爭性磋商文件要求的有效報價。

商務評分

同類業(yè)績

（滿分15分）

投標人提供近三年同類項目業(yè)績，每提供一份得2分，此項最高得15分。

企業(yè)資質

（滿分10分）

1、投標人具有ISO9001質量管理體系認證證書、ISO20000信息技術服務管理體系認證證書、ISO27001信息安全管理體系認證證書、ISO14001環(huán)境管理體系認證證書、ISO45001職業(yè)健康安全管理體系認證證書，每有1項得1分，最多得5分；

2、投標人具有CCRC信息安全應急處理服務資質證書（二級及以上），滿足此項得1分；

3、投標人具有網絡攻防實戰(zhàn)經驗，提供國家級護網行動相關榮譽證書，滿足此項得2分；

4、投標人具有網絡安全能力認證培訓機構授權證書，滿足此項得2分。

技術評分

團隊技術能力

（滿分15分）

投標人擬投入本項目的項目經理須通過商用密碼應用安全性評估人員測評能力考核（提供成績合格證書），同時具備PMP（項目管理師證書）、注冊信息安全講師（CISI）證書，滿足此項得3分，不滿足不得分。

投標人擬投入本項目的技術負責人***

投標人提供擬投入本項目的項目組成員（不包含項目經理及技術負責人***

投標人提供擬投入本項目的項目組成員具有國家互聯(lián)網應急中心頒發(fā)的網絡安全能力認證證書至少3人，滿足此項得3分，不滿足不得分。

組織結構及項目團隊

（滿分20分）

根據(jù)投標人項目實施團隊的組織結構和人員配備優(yōu)劣進行比較打分：

組織管理機構完善、合理，團隊人員構成專業(yè)性強、經驗豐富符合項目特點的，得12-20   分；

組織管理機構健全、合理，團隊人員構成和專業(yè)性較好，相關經驗較豐富，符合項目需求的，得6-12分；

組織管理機構和人員構成基本合理，專業(yè)性和相關經驗有欠缺或低于其他檔次投標人，得0-5   分。

評估方案綜合評價

（滿分20分）

根據(jù)投標人評估方案（技術服務完備程度、人員配備和團隊情況、響應程度）進行綜合比較打分：

測評實施計劃合理，可操作性強，測評范圍闡述清晰，管理措施合理，完全滿足或優(yōu)于招標要求，得13-20 分；測評實施計劃較合理，內容較詳細，管理措施較合理，可行性較好達到招標要求，得6-12分；方案內容有遺漏，措施欠合理，可行性較差或低于其他檔次投標人，得 0-5分。