成都交投智慧停车产业发展有限公司拟选聘商用密码应用安全性评估服务单位对公司一套信息化系统提供商用密码应用安全性评估服务,为了解商用密码应用安全性评估服务行业优秀企业的服务能力和服务费情况,诚邀具备相关能力和经验的单位参加本项目报价。
一、报价截至时间
2024年4月29日17:00时,以送达时间为准。
二、报价方式
密封报价,邮寄或直接送达均可。
三、资格要求
具备有效的商用密码应用安全性评估服务相关资质。
在国家密码管理局公告(第49号)商用密码检测机构(商用密码应用安全性评估业务)目录中。
四、邮寄或送达地址
成都市高新区盛和一路66号城南天府写字楼19楼。
五、报价文件要求
按照商用密码应用安全性评估服务项目方案提供商用密码应用安全性评估服务报价表、公司营业执照、商用密码应用安全性评估服务资质文件和近三年的商用密码应用安全性评估服务案例。
本次询价仅为了解潜在服务单位的服务能力和服务费用,不作为签订合同依据。
六、联系方式
邀请人:成都交投智慧停车公司产业发展有限公司
地 址:成都市高新区盛和一路66号城南天府写字楼19楼。
联系人:周先生 电话:13350063240
附件1:
成都交投智慧停车产业发展有限公司
商用密码应用安全性评估服务项目方案
2025年4月
一、服务清单
本项目主要为成都交投智慧停车产业发展有限公司一套信息化系统提供商用密码应用安全性评估服务。服务清单如下:
|
序号 |
服务项 |
服务数量 |
|
1 |
密码算法测评 |
1项 |
|
2 |
密码技术测评 |
1项 |
|
3 |
密码产品测评 |
1项 |
|
4 |
密码服务测评 |
1项 |
|
5 |
密钥管理测评 |
1项 |
|
6 |
物理和环境安全测评 |
1项 |
|
7 |
网络和通信安全测评 |
1项 |
|
8 |
设备和计算安全测评 |
1项 |
|
9 |
应用和数据安全测评 |
1项 |
|
10 |
密码应用管理要求测评 |
1项 |
|
11 |
信息系统密码应用方案评估 |
1项 |
二、服务项目
-
-
1、测评系统内容
|
序号 |
等级 |
服务内容 |
|
1 |
三级 |
密码测评 |
|
2 |
三级 |
密码应用方案评估 |
2、信息系统密码测评
一、服务总体目标
随着信息技术的快速发展,商用密码应用已成为保障企业信息安全的重要手段。为确保商用密码应用的合规性、正确性和有效性,需从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置等八个方面进行全面评估,以确保其满足招标方的实际需求。
1)《中华人民共和国网络安全法》
2)《中华人民共和国密码法》
3)《商用密码管理条例》
4)《商用密码应用安全性评估管理办法》
5)GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
6)GB/T 43206-2023《信息安全技术 信息系统密码应用测评要求》
7)《信息系统密码应用高风险判定指引》
8)《商用密码应用安全性评估量化评估规则》
9)《商用密码应用安全性评估FAQ》
三、测评指标
1、通用要求测评指标
1.1 密码算法测评
|
测评单元 |
测评指标 |
|
密码算法合规性 |
信息系统中使用的密码算法应符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 |
1.2 密码技术测评
|
测评单元 |
测评指标 |
|
密码技术合规性 |
信息系统中使用的密码技术应符合密码相关国家标准和行业标准的有关要求。 |
1.3 密码产品测评
|
测评单元 |
测评指标 |
|
密码产品合规性 |
信息系统中使用的密码产品应符合法律法规和密码相关国家标准和行业标准的有关要求。 |
1.4 密码服务测评
|
测评单元 |
测评指标 |
|
密码服务合规性 |
信息系统中使用的密码服务应符合法律法规和密码相关国家标准和行业标准的有关要求。 |
1.5 密钥管理测评
|
测评单元 |
测评指标 |
|
密钥管理安全性 |
1)信息系统的密钥管理采用的密码产品、密码服务应符合法律法规和密码相关国家标准和行业标准的要求。 |
|
2)信息系统的密钥管理应符合密码相关国家标准和行业标准的要求。 |
2、密码应用技术要求测评指标
2.1 物理和环境安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性; |
|
电子门禁记录数据存储完整性 |
宜采用密码技术保证电子门禁系统进出记录数据的存储完整性; |
|
视频监控记录数据存储完整性 |
宜采用密码技术保证视频监控音像记录数据的存储完整性; |
|
密码服务 |
以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格; |
|
密码产品 |
以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。 |
2.2 网络和通信安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性; |
|
通信数据完整性 |
宜采用密码技术保证通信过程中数据的完整性; |
|
通信过程中重要数据的机密性 |
应采用密码技术保证通信过程中重要数据的机密性; |
|
网络边界访问控制信息的完整性 |
宜采用密码技术保证网络边界访问控制信息的完整性; |
|
安全接入认证 |
可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入的设备身份真实性。 |
|
密码服务 |
以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格; |
|
密码产品 |
以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。 |
2.3 设备和计算安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性; |
|
远程管理通道安全 |
远程管理设备时,应采用密码技术建立安全的信息传输通道; |
|
系统资源访问控制信息完整性 |
宜采用密码技术保证系统资源访问控制信息的完整性; |
|
重要信息资源安全标记完整性 |
宜采用密码技术保证设备中的重要信息资源安全标记的完整性; |
|
日志记录完整性 |
宜采用密码技术保证日志记录的完整性; |
|
重要可执行程序完整性、重要可执行程序来源真实性 |
宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 |
|
密码服务 |
以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格; |
|
密码产品 |
以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。 |
2.4 应用和数据安全测评
|
测评单元 |
测评指标 |
|
身份鉴别 |
应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性; |
|
访问控制信息完整性 |
宜采用密码技术保证信息系统应用的访问控制信息的完整性; |
|
重要信息资源安全标记完整性 |
宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性; |
|
重要数据传输机密性 |
应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性; |
|
重要数据存储机密性 |
应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性; |
|
重要数据传输完整性 |
宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性; |
|
重要数据存储完整性 |
宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性; |
|
不可否认性 |
在可能涉及法律责任认定的应用中,宜采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 |
|
密码服务 |
以上如采用密码服务,该密码服务应符合法律法规的相关要求,需依法接受检测认证的,应经商用密码认证机构认证合格; |
|
密码产品 |
以上采用的密码产品,应达到GB/T 37092二级及以上安全要求。 |
3、密码应用管理要求测评指标
|
测评单元 |
测评指标 |
|
管理制度 |
应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度; |
|
应根据密码应用方案建立相应密钥管理规则; |
|
应对管理人员或操作人员执行的日常管理操作建立操作规程; |
|
应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,对存在不足或需要改进之处进行修订; |
|
应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制; |
|
应具有密码应用操作规程的相关执行记录并妥善保存。 |
|
人员管理 |
相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度; |
应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限:
1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;
2) 对关键岗位建立多人共管机制;
3) 密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;
4) 相关设备与系统的管理和使用账号不得多人共用。 |
|
应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能; |
|
应定期对密码应用安全岗位人员进行考核; |
|
应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。 |
|
建设运行 |
应依据密码相关标准和密码应用需求,制定密码应用方案; |
|
应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节,各环节安全管理要求参照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》附录B; |
|
应按照应用方案实施建设; |
|
投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行; |
|
在运行过程中,应严格执行既定的密码应用安全管理制度,应定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。 |
|
应急处置 |
应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置; |
|
事件发生后,应及时向信息系统主管部门进行报告; |
|
事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。 |
四、安全要求
供应商在项目实施过程中,必须遵守以下技术原则:
-
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购方的行为,否则采购方有权追究供应商的责任。
-
标准性原则:测评方案的设计与实施应依据商用密码应用安全性评估的相关标准进行。
-
规范性原则:供应商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评出具的报告须符合国家密码管理局颁布的《商用密码应用安全性评估报告模板》。
-
可控性原则:商用密码应用安全性评估服务的进度要按照招标文件的要求,保证采购方对于测评工作的可控性。
-
整体性原则:商用密码应用安全性评估服务的范围和内容应当整体全面,包括信息系统密码应用测评要求涉及的各个层面。
-
安全性原则:商用密码应用安全性评估服务工作应不得影响系统和网络的正常运行;测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。
五、交付成果
《商用密码应用安全性评估报告》纸质版一式三份。
3、信息系统密码应用方案评估
(1)对成都交投智慧停车产业发展有限公司一套信息系统的密码应用方案进行评估,我公司在按照信息系统密码应用方案开展信息系统商用密码建设后,能够通过信息系统密码测评;
(2)若依据信息系统密码应用方案开展信息系统商用密码建设,能够通过信息系统密码测评,则直接出具信息系统密码应用方案评估报告;
(3)若依据信息系统密码应用方案开展信息系统商用密码建设,不能够通过信息系统密码测评,则针对信息系统密码应用方案提出修改意见,采购人依据修改意见完善信息系统密码应用方案后,出具信息系统密码应用方案评估报告。
-
协助成都交投智慧停车产业发展有限公司完成信息系统密码应用方案在所在地区密码管理部门提交备案。
附件2:
商用密码应用安全性评估服务报价表
|
序号 |
服务项 |
服务内容 |
服务数量 |
报价
(万元) |
|
|
|
|
1 |
密码算法测评 |
信息系统中使用的密码产品应符合法律法规和密码相关国家标准和行业标准的有关要求。 |
1项 |
|
|
|
2 |
密码技术测评 |
信息系统中使用的密码技术应符合密码相关国家标准和行业标准的有关要求。 |
1项 |
|
|
|
3 |
密码产品测评 |
信息系统中使用的密码产品应符合法律法规和密码相关国家标准和行业标准的有关要求。 |
1项 |
|
|
|
4 |
密码服务测评 |
信息系统中使用的密码服务应符合法律法规和密码相关国家标准和行业标准的有关要求。 |
1项 |
|
|
|
5 |
密钥管理测评 |
信息系统的密钥管理采用的密码产品、密码服务应符合法律法规和密码相关国家标准和行业标准的要求。
信息系统的密钥管理应符合密码相关国家标准和行业标准的要求。 |
1项 |
|
|
|
6 |
物理和环境安全测评 |
身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性、密码服务、密码产品等。 |
1项 |
|
|
|
7 |
网络和通信安全测评 |
身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证、密码服务、密码产品等。 |
1项 |
|
|
|
8 |
设备和计算安全测评 |
身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性、密码服务、密码产品等。 |
1项 |
|
|
|
9 |
应用和数据安全测评 |
身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性、密码服务、密码产品等。 |
1项 |
|
|
|
10 |
密码应用管理要求测评 |
管理制度、人员管理制度、建设运行、应急处置策略等。 |
1项 |
|
|
|
11 |
信息系统密码应用方案评估 |
对系统的密码应用方案进行评估,在按照信息系统密码应用方案开展系统商用密码建设后,能够通过信息系统密码测评,若不能够通过信息系统密码测评,则针对信息系统密码应用方案提出修改意见。 |
1项 |
|
|
|
合计 |
|
|
报价单位:
联系人:
联系电话:
日期:
