华蓥市档案馆

数字档案馆网络安全等级保护二级测评、密码测评和数字档案馆系统检测服务采购公告

一、采购项目概况

（一）项目名称

华蓥市档案馆数字档案馆网络安全等级保护二级测评、密码测评和数字档案馆系统检测服务。主要完成数字档案馆网络安全等级保护二级测评及备案、取得备案证明，和商业密码评估方案、进行方案评估、取得测评结果及软件测试工作。

（二）项目概述

本项目最高限价：******.**元（供应商报价超出最高限价视为无效报价）。

二、供应商资格要求

（一）具备《中华人民共和国政府采购法》第二十二条规定的条件：

*.具有独立承担民事责任的能力；

*.具有良好的商业信誉和健全的财务会计制度；

*.具有履行合同所必需的设备和专业技术能力；

*.有依法缴纳税收和社保金的良好记录；

*.参加政府采购活动前三年内，在经营活动中没有重大违法记录；

*.法律、行政法规规定的其他条件。

（二）特殊要求：

供应商具有公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”。供应商具有在国家密码管理局发布的《商用密码检测机构资质证书》。供应商具有中国网络安全审查技术与认证中心颁发的（信息安全风险评估一级）信息安全服务资质认证证书（以上资质证书提供证书复印件并加盖供应商公章）。

（三）人员要求

*.项目负责人具有商用密码应用安全性评估人员测评能力考核成绩证书、具有网络安全等级测评师高级证书、高级工程师证书、注册信息安全专业人员证书****。（提供证书或证明复印件及在职证明并加盖供应商公章）

*.项目经理具有商用密码应用安全性评估人员测评能力合格证书、网络安全等级测评师中级证书。（提供证书或证明复印件及在职证明并加盖供应商公章）

*.技术人员具有网络安全等级测评师证书。（提供证书或证明复印件及在职证明并加盖供应商公章）

（四）本项目不接受联合体报名参与。

（五）注：凡被列入“信用中国”网站失信被执行人、税收违法黑名单的，视为存在不良信用记录，拒绝参与本项目。

三、技术要求

（一）网络安全等级保护二级测评

（*）项目概况

华蓥市数字档案馆建设项目系统定制软件开发，基于局域网的数字档案综合管理平台。本项目是对华蓥市数字档案馆建设项目进行网络安全等级保护测评。

（*）服务内容

*、测评依据。此次依据的标准包括但不限于以下内容：

《信息安全等级保护管理办法》（公通字〔****〕** 号），《信息安全技术 网络安全等级保护基本要求》**/* **********，《信息安全技术 网络安全等级保护定级指南》**∕* **********，《信息安全技术 信息系统安全等级保护实施指南》**/* **********，《信息安全技术 信息安全风险评估规范》**/* **********，《信息安全技术 信息系统安全等级保护测评要求》**/* **********，《信息安全技术 网络安全等级保护测评过程指南》**/* **********，《中华人民共和国网络安全法》，《中华人民共和国计算机信息系统安全保护条例》（国务院令***号）

备注：以上标准如有最新标准按最新标准执行。

*、测评范围

本次初步测评范围和系统名称如下：

*、测评要求

按照等级保护二级测评要求测评，初测评后，编写差距分析报告并提出整改方案，在整改实施完成后进行回归测评，并编写最终测评报告提交公安部门完成等级保护工作。具体内容包括：

*.*按照国家等级保护相关标准要求，协助被测评单位完成被测信息系统在当地公安机关的网络安全等级保护定级备案工作。

*.*对被测评单位被测信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共**个层面通过访谈、检查、测评等方法进行初测评，找出差距、安全漏洞和隐患并分析其风险，制订出整改建议报告。

*.*按照国家网络安全等级保护系列标准，及初测评的整改意见协助被测评单位完成被测信息系统技术方面的安全修复等工作。

*.*对经过整改后的信息系统进行回归测评，正式出具《网络安全等级保护测评报告》。

*、产出物要求

在本项目完成后，成交供应商须提供以下文档资料：《信息系统安全问题汇总及整改建议》、《网络安全等级保护测评报告》及过程资料，完成在公安部门等级保护备案工作。

（二）密码测评

（*）项目概况

华蓥市数字档案馆建设项目系统定制软件开发，基于局域网的数字档案综合管理平台。按照《中华人民共和国密码法》《商用密码管理条例》《国家政务信息化项目建设管理办法》（国办发〔****〕**号），《国家密码管理局关于请进一步加强国家政务信息系统密码应用与安全性评估工作的函》（国密局函〔****〕***号），四川省人民政府办公厅《关于印发四川省省级政务信息化项目管理办法的通知》（川办发〔****〕**号）等要求，协助采购方完善制作商用密码应用方案，对本项目建设的系统进行商用密码应用安全性评估服务，出具商用密码应用安全性评估报告，《商用密码应用安全性评估报告》须按照省、市密码管理局的要求通过备案。

（*）服务内容

*、测评依据。此次依据的标准包括但不限于以下内容：

《中华人民共和国网络安全法》，《中华人民共和国密码法》，《**/* ********** 信息安全技术 信息系统密码应用基本要求》，《信息系统密码应用测评要求》，《信息系统密码应用测评过程指南》，《信息系统密码应用高风险判定指引》，《商用密码应用安全性评估量化评估规则》，《**/* ********* 随机性检测规范》，《**/* ********* *** 密码算法使用规范》，《**/* ********* 数字证书认证系统密码协议规范》，《**/* ********* ***** *** 技术规范》，《**/* ********* 智能密码钥匙技术规范》，《*** ********* 密码模块安全技术要求》，《**/* ********* 服务器密码机技术规范》，《**/* ********* 证书认证系统检测规范》，《**/* ********* 证书认证密钥管理系统检测规范》，《**／*********** 信息安全技术密码模块安全要求》

备注：以上标准如有最新标准按最新标准执行。

*、测评范围

本次初步测评范围和系统名称如下：

*、测评要求

按照商用密码应用安全性分类分级评估的要求，依据《**/*********** 信息安全技术信息系统密码应用基本要求》及信息系统等级保护定级情况，本项目按密评二级进行测评，包含但不限于：总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行和应急处置等方面的各项评估指标。

*、实施流程

*.*建设测评。是否按照国家相关标准，制定实施方案，方案内容是否包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单（包括产品资质、功能及性能列表和产品生产单位等）、商用密码系统安全管理与维护策略、商用密码系统实施计划等；是否选用的经国家密码管理部门核准的密码产品、许可的密码服务。

*.*运行测评。系统投入运行前，是否经密码测评机构进行安全性评估，评估通过方可投入正式运行；信息系统投入运行后，责任单位每年是否委托密码测评机构开展密码应用安全性评估，并根据评估意见进行整改；有重大安全隐患的，是否停止系统运行，制定整改方案，整改完成并通过评估后方可投入运行。

*、产出物要求

在本项目完成后，成交供应商须提供以下文档资料：出具初步测评结论及整改建议、提供《商用密码应用安全性评估报告》及过程资料，并按照省、市密码管理局的要求完成备案。

（三）数字档案馆系统检测要求

测评方参照**/* *****.*******《系统与软件工程 系统与软件质量要求和评价（******） 第**部分：就绪可用软件产品（****）的质量要求和测试细则》等其他相关国家标准规范对数字档案馆系统开展软件测试工作，测试内容主要包括：系统软件的功能测试、性能（效率）测试。在完成项目系统测试后出具项目《测评报告》。主要测试服务内容为：

（*）功能测试。软件系统的功能性是指当软件在指定条件下使用时，软件产品提供满足明确和隐含要求的功能和能力。软件系统功能测试是软件系统质量模型中的最重要的特性，功能测试一般用黑箱方法，如等价分类法、边界法、因果图/判定表法，测试报告必须注明是那一种。功能性测试包括以下*方面：适合性、准确性、互操作性、安全保密性。

（*）性能测试。性能测试内容主要包括：组件调用并发访问，检测用户的数量极限以及响应时间的压力测试：利用测试软件， 模拟巨大的工作负荷以查看应用程序在峰值使用情况下如何执行操作，例如模拟一个更新个人基本资料的操作，在相同的测试背景下，分别模拟***个、***个用户同时并发（具体并发数量以合同约定为准），记录响应时间，并分析。包含基本能力测试、负载测试、容量测试、压力测试、疲劳强度测试、大数据量测试、并发性测试等。

（*）产出物要求。在本项目完成后，成交供应商须提供《软件测试报告》。

四、商务要求

（一）实施期限：合同签订之日起至****年**月**日之前完成本项目所有内容。

（二）服务地点：华蓥市档案馆。

（三）付款方式：一次性付清。验收合格，供应商提出付款申请，达到付款条件起**日内，支付合同总金额的***.**%。

（四）质量要求

*、验收标准：本项目采购人将按照政府采购相关法律法规、《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》（财库〔****〕***号）以及《政府采购需求管理办法》（财库〔****〕**号）的要求进行验收。

*、验收方案：（*）验收主体：采购人。（*）验收组织方式：自行验收。（*）履约验收程序：一次性验收。（*）履约验收时间：项目成果提交，供应商提出验收申请之日起**日内组织验收。（*）验收组织的其他事项：无。（*）技术履约验收内容：按照文件的质量要求和技术指标、供应商的投标文件及承诺与合同约定标准进行验收。（*）履约验收其他事项：双方如对质量要求和技术指标的约定标准有相互抵触或异议的事项，由采购人在文件和供应商响应文件中按质量要求和技术指标比较优胜的原则确定该项的约定标准进行验收。

（五）安全保密要求

成交供应商在项目实施过程中，必须遵守以下技术原则：

*.保密原则。对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购方的行为，否则采购方有权追究成交供应商的责任。

*.标准性原则。测评方案的设计与实施应依据国家等级保护的相关标准进行。

*.规范性原则。成交供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制，测评出具的报告须符合公安部颁布的《信息系统安全等级测评报告模板》。

*.可控性原则。等保测评服务的进度要按照招标文件的要求，保证采购方对于测评工作的可控性。

*.整体性原则。等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求测评要求涉及的各个层面。

*.安全性原则。等保测评服务工作应不得影响系统和网络的正常运行；测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。

*.测评机构资质及人员要求。从事信息系统检测评估相关工作人员无违法记录。工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。测评期间需遵守被测单位相关管理规定，禁止利用测评工作从事危害被测单位利益、安全的活动。

（六）售后服务

*.成交供应商在测评期间对系统进行检查、诊断，及时发现问题隐患，通过系统调整等手段，保持系统稳定、高效地运行；

*.在项目过程中，成交供应商应安排专人对被测单位相关人员进行网络安全知识培训；

*.成交供应商提供****小时电话咨询响应服务，及时告之被测评单位，提供相应解决方案及建议等；

*.其他未尽事宜以合同约定为准。

（七）违约责任与解决争议的方法

（*）采购人和供应商双方必须遵守本合同并执行合同中的各项规定，保证本合同的正常履行。

（*）如因供应商工作人员在履行职务过程中的疏忽、失职、过错等故意或者过失原因给采购人造成损失或侵害，包括但不限于采购人本身的财产损失、由此而导致的采购人对任何第三方的法律责任等，供应商对此均应承担全部的赔偿责任。

（*）在执行本合同中发生的或与本合同有关的争端，双方应通过友好协商解决，经协商在**天内不能达成协议时，应向采购人所在地人民法院提起诉讼。法院判决结果对双方具有约束力，除另有裁判外，诉讼费应由败诉方负担。 在法院审理期间，除有争议部分外，合同其他可以履行的部分仍应按合同条款继续履行。

五、开标说明

*.本次询价采购报价方不低于三家，低于三家废标；报价方资质审查后，符合本次采购资质条件不足三家者，同样废标，均重新按程序采购。

*.本次询价采用一次性密封报价，报价方不到现场参与，由采购方组织人员现场开标，低价者中标。公示*日无异议后，可签订正式合同。如投标不足*家，按流标处理。

*.报价方提供的证照不符合资质条件的作废。

*.报价低于最高限价**%，有可能影响服务质量或不能诚信履约的，必须提供成本构成书面说明，并提交相关证明材料。

六、报价资料内容

*.报价单；

*.营业执照复印件、法定代表人身份证复印件及授权书（委托书）

*.提供参加本次政府采购活动前三年内，在经营活动中没有重大违法违规记录的承诺函。

*.具有公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”（提供证书复印件并加盖供应商公章）。

*.具有在国家密码管理局发布的《商用密码检测机构资质证书》（提供证书复印件并加盖供应商公章）；

*.具有中国网络安全审查技术与认证中心颁发的（信息安全风险评估一级）信息安全服务资质认证证书（提供证书复印件并加盖供应商公章）。

*.提供人员要求资质证书（提供证书或证明复印件及在职证明并加盖供应商公章）。

*.履约保证金。项目报价时不交履约保证金。项目中标者在签订合同时，按照合同金额的**%交纳履约保证金，项目结算时无息退还。

*.违约责任

中标后放弃该项目，不与采购单位签订合同的，将在三年内取消其参与采购单位同类项目的投标资格；签订合同后不按合同履约的，其履约保证金没收，并按合同约定赔偿因违约造成的损失。

特别说明：*、以上证明材料一项不符合要求的，作为无效投标处理。*、以上证明材料均须加盖投标人鲜章，密封并加盖骑缝鲜章。

七、提交报价文件截止时间和开标时间

提交报价文件截止时间：凡有意参加投标者，请于****年*月**日至****年*月**日**时**分，登录广安公共资源交易网网页（网址：*****://*******.**/****/******/**********.****)，点击“其他交易公告”获取本次采购文件，招标人不提供其他任何采购公告获取方式（投标资格不能转让）。投标人将报价文件密封邮寄至华蓥市档案馆。请在邮件外包装标明“数字档案馆网络安全等级保护二级测评和密码测评”，不得在外包装上标注投标单位名称、联系人、联系电话等内容。华蓥市档案馆收到投标文件截止时间为****年*月**日**时**分。联系方式：华蓥市档案馆，地址：四川省广安市华蓥市汪杜路***号，项目咨询：谭美妮，***********。

开标时间：****年*月**日上午，开标后于*月**日下午**时前在网上公布结果。

附件：报价文件格式

华蓥市档案馆

****年*月**日