包组名称：密码评估服务

对****市公共就业服务能力提升示范项目进行商用密码应用安全性评估。要求如下：

*、总体要求

依据**/* *****-****《信息安全技术信息系统密码应用基本要求》等国家和行业商用密码相关规范标准,在服务期内,对本项目关键基础设施、重要应用、网络进行商用密码应用安全性评估。

开展商用密码安全性评估的同时,按我省有关密码应用要求进行商用密码应用安全性评估,测评内容为：商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。测评后，出具加盖检测机构（中标人）印章的《商用密码应用安全性评估报告》纸质*式*份。

*、详细要求

(*） 商用密码总体要求测评

*）密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

*）密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

*）密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

*）密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（*) 密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据*个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。

(*)密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成,密钥存储,密钥分发, 密钥更新、密钥撤销,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

(*)安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度,人员管控,信息系统实施,应急预案。

*）安全管理制度维度,包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

*）人员管控维度,包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

*）信息系统实施维度,包括但不限于下列内容与措施：信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

*）应急预案维度,包括但不限于下列内容与措施：应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。

*、定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。

*、团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人应组建不少于*人的项目团队（投标文件中须提供拟派人员名单及岗位分工）。其中，项目经理*人，具备相应管理和沟通能力。

*、服务内容

对****市公共就业服务能力提升示范项目进行****等级保护测评；

*、服务要求

（*）等保测评

依据《中华人民共和国****法》等国家相关法律、标准要求,对以上*个应用系统进行测评,并出具《测评报告》。若首次测评后被测信息系统需要进行整改,在约定的整改期限内提供复测服务。同时在项目交付过程中应提供完善的****紧急事件应急服务方案，并有能力对上述系统负责人员进行****意识以及****技术的培训。

服务时间：****

服务方式：现场和远程

交付成果：测评报告。

（*）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。

服务时间：****

服务方式：现场

交付成果：备案证明。

（*）测评服务范围

依据《信息安全技术 ****等级保护基本要求》,测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等*个层面开展测评工作。

（*）安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（*）安全通信网络测评内容：

网络架构、通信传输、可信验证。

（*）安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（*）安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（*）安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

（*）安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

（*）安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（*）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（*）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（**）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（*）项目使用工具

等级保护测评阶段,应使用安全扫描系统对服务器、网络设备进行安全扫描,投标人须提供测评工具,包括但不限于：***漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。

（*）人员能力要求

*）投标人须承诺：中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

*）投标人拟派专业的服务团队,服务团队不少于*人（投标文件中须提供拟派人员名单及岗位分工）。其中，项目经理*人，对项目的整体进行把控；技术负责人*名，负责提供项目所需的技术指导和支持。

*、总体要求

针对****市公共就业服务能力提升示范项目，依据国家有关信息系统的法律、法规、技术规程、规范、标准以及工程建设文件,按照**/* *****.**-****《软件产品质量要求和测试细则》从第*方角度执行系统功能测试、性能测试，提供客观明确的测试结果报告和结论。

*、服务内容

本项目任务清单如下表：

*、服务要求

*. 功能测试

目标是检查功能点的入口,提供信息,并确认获得预期输出和功能效果。

功能测试的参考基准是目标系统的需求规格说明书和开发合同,可参考开发方自测试使用的所有测试用例。投标方可按需主动增加开发方未覆盖的其它测试用例。

本项目要求功能测试覆盖目标系统所有功能点。

测试完成后输出测试结果汇总报告和明细记录,对发现的根据严重程度划分等级。

厂商修复测试发现的问题后,投标方承诺愿意免费做*轮针对修复的复测确认。

*. 性能测试

性能测试关注的不是软件是否能够完成特定的功能,而是在完成该功能时展示出来的及时性。完成功能测试后再执行性能测试。

性能测试主要针对目标系统中,预期有大量访问和大任务负载的目标点执行测试。测试覆盖范围需与客户确认。

要求中标人通过自动化的测试工具（中标人自备）模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。中标人规划测试指标,经客户方确认后执行。

*、成果物要求

*.测试前提供测试实施计划。

*.针对每个目标系统的每轮次每类测试,都提供测试结论和明细报告。

*.需出具国家认可实验室的****测试报告。

*、团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人组建不少于*人的项目团队，根据工作需要合理设置岗位，投标文件中须提供拟派人员名单及岗位分工。其中，项目经理*人，具备规划测试方案、信息化综合能力，管理沟通能力。

*、其他要求

*.启动测试前,测试的覆盖范围和方案需经采购人和用户确认。

*.所有测试活动均在采购人指定的环境下执行。

*.投标人承诺测试过程和结论的客观性。