以习近平新时代中国特色社会主义思想为指导,认真落实《****办公厅关于开展工程建设项目审批制度改革试点的通知》(国办发[2018]33号)、《国务院关于加快推进**一体化在线政务服务平台建设的指导意见》(国发[2018]27号)、《****办公厅关于印发**深化“放管服”****政府职能电视电话会议重点任务分工方案的通知》(国办发[2018]79号)及《****办公厅关于全面开展工程建设项目审批制度改革的实施意见》(国办发[2019]11号)等文件要求,按照党中央、国务院关于深化“放管服”改革和优化营商环境的部署要求,****政府治理体系和治理能力现代化为目标,对**市工程建设项目审批制度进行全流程、全覆盖改革,努力构建科学、便捷、高效的工程建设项目审批和管理体系。
相关政策对工程建设项目提出要求如下:
(1)分类清理工程项目审批事项,组织开展工程审批事项清单化、标准化工作,逐步做到一张清单告知,加快项目审批管理服务“一网通办”。
(2)优化项目报建审批流程,推广“区域评估”,推行联合审批、多评合一、多审合一等方式,项目从立项到竣工验收全流程审批时间压减一半。
(3)覆盖工程建设项目审批全过程(包括从立项到竣工验收和公共设施接入服务),覆盖行政许可等审批事项和技术审查、中介服务、市政公用服务以及备案等其他类型事项。
(4)完善审批体系,加快系统建设,实现“一张蓝图”统筹项目实施、“一个窗口”提供综合服务、“一张表单”整合申报材料、“一套机制”规范审批运行。
其中,《****办公厅关于全面开展工程建设项目审批制度改革的实施意见》(国办发[2019]11号)提出的主要改革目标是:2019年上半年,**工程建设项目审批时间压缩至120个工作日以内,省(自治区)和地级及以**市初步建成工程建设项目审批制度框架和信息数据平台;到2019年底,工程建设项目审批管理系统与相关系统平台互联互通;试点地区继续深化改革,加大改革创新力度,进一步精简审批环节和事项,减少审批阶段,压减审批时间,加强辅导服务,提高审批效能。到2020年底,基本建成**统一的工程建设项目审批和管理体系。
★二、建设目标
以解决问题为导向,通过改革、完善区域工程建设项目审批体制、机制,围绕立项用地规划许可、工程建设许可、施工许可、竣工验收四个阶段,重整审批体系、审批流程、审批环节,促进跨部门、跨层级全过程审批服务办理流程和监督管理协调统一和深度融合,创建成区域统一的工程建设项目审批监督管理体系。
工程建设项目审批综合管理平台的建设,旨在进一步规范建设项目“联动式”并联办理机制,理清建设项目联合审批业务链,****审批办理中的行为,大幅提高审批效率,并通过部门间的数据共享,大幅精简申报材料。
1、从长远来看,平台立足于覆盖工程建设项目审批所有业务类型,摸清核准类、审批类、备案类项目的所有审批程序,规范梳理各类型项目审批链条中所覆盖的所有事项。在项目统一登记时,通过项目情形的判定与选择,确认联合审批业务链的后续走向。
2、通过梳理前后置关系、优化审批流程、减少审批环节、精简审批材料、压缩审批时限,实现建设项目审批方式新转变。
3、遵循“统一登记、一窗受理、信息共享、并联审批、限时办结”原则,建立建设项目联合审批平台,实现信息共享、业务协同和建设项目审批全程信息化。
投标人需提供本项目的建设原则、总体架构、技术路线设计。
4.1.1梳理服务
政务服务事项管理是整个互联网+政务服务的核心基础,也是并联审批流程的驱动。并联事项的梳理需要精细化,根据当地的政策要求,确定需要梳理的相关部门、事项、流程、材料、表单。首先应参考住建部给出的“国家工程建设项目审批事项清单(征求意见稿)”,结合当地政务服务事项库梳理工程建设项目审批相关事项。内容应包括精简事项、合并事项、调整事项、调整时序、材料共享、形成模板。
4.1.2“一张表单”梳理
应根据“一张表单”整合申报材料的改革要求,重新梳理工程建设项目审批四阶段审批事项所需的申请材料,对材料进行统一规范化编码,为企业开展合并申报,系统自动生成智能化“一张表单”奠定基础。
为进一步精简审批事项申报材料,切实提升企业和群众办事的体验感和获得感,对四个阶段审批事项申报表单和所需的申请材料进行重新梳理和智能化改造。内容应包括智能化事项表单、材料智能引用共享。
应针对工程建设项目各阶段所对应事项,提供事项精细化梳理服务,以事项标准化为基础,围绕工程建设项目各阶段事项办理过程中的二级材料、办理情形开展精细化梳理工作,为支撑网上办理及清单制+告知承诺制业务提供基础支撑。
以工程建设项目标准化梳理为基础,以工程建设项目审批业务支撑为重点,梳理事项二级材料及办理情形,结合事项精细化梳理平台应用,形成覆盖地区各部门工程建设项目事项的精细化梳理成果,为下一步工改系统升级扩展打下基础。内容应包括二级材料梳理、事项多情形梳理、审查要点梳理、申报表单梳理、信息系统梳理、数据共享梳理。
4.1.4事项主题拓展
对于规划推进工程建设项目改革区域通办的项目,应基于事项精细化梳理,集成区域通办主题服务。
4.2“标准地”管理
“标准地”管理包括两部分内容,一“标准地”项目管理、二“标准地”项目申报,标准地项目管理是推行“标准地”改革,促进土地**节约集约利用,减少企业投资项目开工前审批环节、缩短审批时间,实现“拿地即开工”的目标,提升**市营商环境。“标准地”项目申报功能应包括“标准地”公示、“标准地”申报专栏、“标准地”申报核验、“标准地”办件申报。
建立统一的建设工程消防设计审查验收信息管理平台,实现建设工程消防备案与抽查工作的网上办理与监督管理,通过与相关业务系统的数据共享,简化办理材料,提高工作效率,不断提高消防验收与备案抽查管理工作的科学水平。功能应包括消防备案和抽查申请、消防备案和抽查管理。
在现有工程建设项目审批平台的功能基础上,进一步调整完善工程建设项目联合验收流程,实现办件受理、汇总参与验收意见、现场踏勘及汇总意见、验收结果,优化工程建设项目竣工验收阶段的功能模块,明确验收事项、优化验收流程、提升验收效能。
功能应包括告知承诺制申报及验收、材料容缺受理、工程单体状态分析、联合验收创新服务。
应对接市多规合一业务协同平台,获取各部门在策划生成阶段反馈的项目批复、材料、意见函成果文件信息。
将涉及项目环境影响评价文件、建设项目水**论证报告书编制、防洪影响评价报告编制、生产建设项目水土保持方案编制、出具安全评价报告、安全设施设计专篇分布式评估模式,通过系统改为并联模式,实现“统一受理、同步编制、同步评审、统一送达”。统一受理、统一评估、统一评审、统一审批、考核与督察内容。
功能应包括多评合一企业端、多评合一管理端。
由建设单位委托具有资质的中介机构进行统一测量,实行“一次委托、统一测绘、成果共享”,一次性完成规划土地测绘、规划测绘、房产测绘测绘工作,信息填报、联测机构选定、测绘数据填报、测绘报告生成、联合确认内容。功能应包括建设单位填报选定、测绘机构报告生成、联合确认、督查展示、测绘事后监管、多测合一结果公示、多测合一材料共享。
区域评估分为区域评估管理端和区域评估共享共用。
其中管理端应为企业提供区域评估的政策文件、覆盖事项、应用指南、中介服务机构查询、成果展示功能。
共享共用主要是指根据要求,制定评估评价正负面清单,****开发区、新区和其他有条件的区域,按照国家及省有关规定,对一定区域内容可行性评估评价事项进行统一评估。
水电气热信联合报装功能应包括市政公用联合报装专栏、报装流程优化、企业专项申报、两级联动、查询统计、申报计时。其中企业专项申报应包括报装事项申请、办件进度查询、收件受理分配、审核受理、部门联合踏勘、接入施工、验收、项目信息推送。
实现按立项用地规划许可、工程建设许可、施工许可、竣工验收四个阶段展示工程建设项目的全生命周期及项目相关的详细信息。以明显标记显示未申报、待接件、审批中、已办结事项状态。
在现有市工程建设项目审批系统的建设项目信息**库的基础上,拓展归集建筑市场从业企业、从业人员的资质信息,施工现场业务信息,通过统一赋码平台及业务逻辑关联,进行数据**融合,形成项目多维度监管数据源,支撑工程建设全过程监管。功能应包括建设项目基本信息、项目阶段审批信息、建筑市场从业企业信息。
从项目类型、审批时限、告知承诺预警多个角度,归集项目建设全过程信息,协助监管部门了解审批超期情况。功能应包括按项目类型、(按照审批时限、告知承诺预警)。
应支持按照工程建设项目审批四个阶段的维度查看项目的详细信息,可以让主管部门很清晰的了解行政审批监管过程中所出现的问题和处理情况。功能应包括办件期限预警“亮灯”功能、生命周期办件“亮灯”提醒。
应支持查看每个项目以及关联单体各个阶段的详细信息,功能应包括项目全过程监管、单体全过程监管。
此次工改系统升级主要是围绕着项目、材料、联合踏勘内容进行升级,功****中心、项目回滚、材料共享、情形引导、特殊环节用时规则调整、联合踏勘、建筑单体编码管理、电子印章应用。
应建立绩效考核评价体系,加强审批过程监督,确保基层高质量完成各项改革任务,通过绩效考核模块,对监管事项、监管领域、监管部门、监管对象数据,构建相应分析机制。功能应包括监督效能评价分析、监管效能分析、综合评价分析、绩效考核。
对接方式:需通过前置库或者接口形式进行。
对接内容:应支持与一张蓝图系统对接(主要内容与市一张蓝图系统对接获取地图数据)、与国家电网业务系统对接(主要获取审批过程信息和结果信息)、与不动产登记系统对接(主要推送项目审批信息)、与省施工图审查系统对接(推送事项申报信息、材料信息)、与电子证照系统对接(主要获取电子证照信息)。
应提供最新数据上报标准解读服务,完善数据上报各项内容,应提供数据质检服务,保障工改审批业务数据顺利推送至上级平台。内容应包括数据标准解读梳理服务、数据获取、数据质检(空值检查、值域检查、规范检查、逻辑检查内容)、标准化数据上报。
五、硬件需求
序号 | 产品名称 | 技术参数 | 单位 | 数量 |
1 | 服务器主机 | ★CPU:≥2颗 主频≥2.4G, 16核, 三级缓存≥24M ; ★内存:≥4*32GB; ★硬盘:≥2*600GB 系统盘; ≥4*1.92TB SAS 12Gbps SSD数据盘; ▲raid控制卡:支持raid1,0,10 ▲网卡:不少于二口千兆网卡; ▲电源:双, 热插拔, 电源 容错冗余 (1+1), 800W; 导轨; | 台 | 1 |
2 | 虚拟化软件 | ★2CPU授权+首次安装部署服务 | 套 | 1 |
3 | 异机备份服务器 | ★CPU:≥1颗 主频≥3.8G, 4核 三级缓存≥8M ; ★内存:≥2*16GB; ★硬盘:≥2*600GB 系统盘; ≥4*8TB SATA 6Gbps 7.2K 备份盘; ▲raid控制卡:支持raid1,0,10 ▲网卡:不少于二口千兆网卡; ▲电源:双,热插拔, 冗余 电源 (1+1), 600W; 导轨; | 台 | 1 |
注:需求清单中加▲的参数为重要指标项。(标“★”项以投标文件“需求响应表”内的内容为准,不需提供其他证明材料。)
★六、人员配置要求
中标供应商提供人员服务团队服务。承诺为本项目建立一个完善和稳定的项目建设团队。本项目实施团队成员由投标人组成。投标人须在投标文件中提供详细的项目实施人员安排。
七、商务条件
序号 | 招标文件的商务条款 (实质性要求及重要指标用★标注,★标注项不得负偏离,如果负偏离,则投标文件无效。) |
1 | ★履约期限:自签订合同之日起6个月内完成系统建设。竣工验收后,免费运维两年。 |
2 | ★履约地点:**市内采购人指定地点 |
3 | ★付款方式及条件:竣工验收后一次性支付。 |
4 | ★验收标准:按照《****政府采购履约验收管理办法的通知》【辽政采(2017)603号】规定执行。 验收程序:采购人组织 验收报告:采购人出具 组织验收主体:本项目的履约验收工作由采购人依法组织实施。 |
★一、建设项目概述
根据相关政策文件,按照党中央、国务院关于深化“放管服”改革和优化营商环境的部署要求,****政府治理体系和治理能力现代化为目标,对**市工程建设项目审批系统升级改造,努力构建科学、便捷、高效的工程建设项目审批管理体系。本项目工程建设主要包括软件开发和硬件设备购置。
★二、服务要求
本次采购全过程项目管理服务,主要是对**市工程建设项目审批系统升级改造项目提供以下服务:监理服务、第三方软件测试、网络安全等级保护测评、商用密码测评。
(一)监理服务需求
1.1服务范围
(1)监理服务范围按照《GB/T 19968.1-2014 信息技术服务 监理》及行业标准、规范和规程,对系统软件的数量、版本、型号等进行复核确认,对知识产权所属进行鉴别;对项目中各个系统的工程建设中设备的安装、调试、试运行、系统培训进行监理。监理内容包括对工程质量、数量、投资、进度、变更进行控制及审核确认,对合同、信息、知识产权进行管理,对多方关系进行协调。
(2)根据国家网络安全法,由于本项目是重要信息基础设施,项目网络****机关的信息安全等级保护要求,为了加强项目建设过程的网络安全等级保护工作,确保系统建成后通过信息安全等级保护测评,监理单位应该提供下列服务:
在项目中标后,根据《信息系统安全等级保护基本要求》(GB/T 22239-2008),辅助业主对项目的网络安全建设方案进行评审、论证。
在项目实施阶段,协助业主对系统的网络安全等级进行定级辅导,定级备案材料的编制。
在项目验收阶段,按照《信息系统安全等级保护基本要求》(GB/T 22239-2008),为业主提供包括安全策略、管理制度、操作规程等管理要求的咨询服务。
1.2服务目标
监理服务的总体目标:在保证安全可靠的前提下,提高质量、控制进度、优化方案、降低造价,确保本项目按设计和技术规范的要求以合理的费用在规定的时间内优质完成,并按照有关规范、标准检测达到国家相关规范、标准。
(1)质量控制目标:使工程的最终产品满足合同的各项要求,质量达到合格;
(2)进度控制目标:项目总体实施进度符合部建设单位进度计划要求;
(3)保密安全控制目标:无重大因工重伤事故,无安全、泄密事件发生;
(4)投资控制目标:项目总投资符合预算要求。
1.3服务要求
(1)总体要求
在监理服务范围内,依据国家有关信息系统的法律、法规、技术规程、规范、标准以及工程建设文件,监理单位承担全部工作的监理服务,按照《信息化工程监理规范》(GB/T 19668-2014)总则及各分册的要求,对各系统的质量、进度、投资、风险进行全方位、全过程控制,进行项目的合同管理、变更管理、配置管理、文档管理、人员管理、信息管理以及安全文明实施的监理,负责系统建设过程中的组织协调等工作,使项目建设按既定目标顺利进行。
(2)实施阶段
监理单位应加强项目实施方案审核,促使项目中所使用的产品和服务符合委托合同及国家相关法律、法规和标准;
明确项目实施计划,对于计划的调整应合理、受控;促使项目实施过程满足委托合同的要求,并与项目设计方案、项目计划相符。
监理单位应完成(包括但不限于)如下工作:
① 项目实施前,监理单位应审核被委托单位提交的质量管理计划、项目实施计划,审核后签署监理审核意见;
② 项目实施前,监理单位应组织建设单位、被委托单位召开项目实施启动会,要求被委托单位落实实施计划、实施方案和必要的准备工作,会议内容做会议纪要,并经三方签认;
③ 项目实施前,根据《密码法》、《国家政务信息化项目建设管理办法》国办发【2019】57号要求,监理单位应要求承建单位提交项目实施方案和集成调试方案,并参照国家网络安全等级保护以及商用密码安全的相关要求,对网络安全设备的集成调试方案的合理性和规范性进行评估、审核后签署监理意见。
④ 监理单位应审核被委托单位提交的开工申请,检查项目准备情况。项目实施条件具备时,总监理工程师应签发开工令,并报建设单位开始项目实施;
⑤ 监理单位应监督合同执行情况,通过监理周报、月报、阶段性报告定期向建设单位提交监理报告,跟踪项目的质量、进度、投资完成情况;
⑥ 监理单位应对项目质量进行全过程监督管理,在加强现场管理工作的前提下对重要部位和关键点应采取“旁站监理”的方式,检查项目进度和质量,做好隐蔽工程的签证;对发现的可能影响质量的问题及时指令被委托单位采取措施解决,必要时发出停工、返工的指令;
⑦ 监理单位做好监理日志,随时记录实施中有关质量、进度等方面的问题,并对发生质量问题的现场及时拍照或录相;
⑧ 监理单位织对被委托单位提供的产品及服务进行验收,对验收结果做验收记录,并经三方签认;对不符合合同或相关标准规定的产品及服务应拒绝签认。没有被签认的产品及服务不得在项目实施中应用;
⑨ 监理单位应检查设备到货安装环境;监督旁站设备到货、安装、调试过程。监督软硬件平台集成过程。必要时,监理单位据委托合同、技术标准或事先约定的方法检测产品及服务的质量,对于数量较大的同类型产品及服务,监理单位可采取抽样方法;
⑩ 必要时,监理单位应要求被委托单位提交第三方测试机构出具的测试报告,并核验产品认证证书、检测报告的真实性、有效性;第三方测试机构应经建设单位和监理单位同意;
11 监理单位应按计划检查被委托单位项目实施状况、人员与实施方案的一致性;
12 监理单位应执行已确定的阶段性质量监督、控制措施及方法,并做监理日志。出现项目质量问题时,经确认后监理机构签发监理通知单,报建设单位、被委托单位,责令被委托单位整改;
13 监理单位应及时处理被委托单位提交的项目中关键环节的实施申请,审核其合理性后签认,报建设单位批准;必要时,监理机构应检查被委托单位重要项目步骤的衔接工作,做监理日志。未经监理工程师检查认可,被委托单位不能进行与之相关的下一步骤的实施;
14 监理单位应及时处理工程变更申请,审核变更的合理性,保证项目总体质量不受影响;监理机构应从目标系统的质量、进度和投资等方面审查工程变更,由于变更引起投资的改变应按照合同的相关条款执行。在合同中没有规定的,应在变更实施前与建设单位、被委托单位协商确定变更导致的投资变化,并作工程备忘录;
15 当出现项目事故时,监理单位应要求被委托单位在事故发生后立即采取措施,尽可能控制其影响范围,并及时签发停工令,报建设单位,并与建设单位、被委托单位共同确认初步处理意见;监理单位应监督被委托单位采取措施,查清事故原因,审核被委托单位提出的事故解决方案及预防措施,提出监理意见,提交建设单位签认;监理单位应审查被委托单位报送的事故报告及复工申请,条件具备时签发复工令;
16 监理单位若发现项目实施过程存在重大质量隐患,应及时向被委托单位签发停工令,并报建设单位,监督被委托单位进行整改。整改完毕后,及时处理被委托单位的复工申请;
17 监理单位应根据项目总进度计划,编制控制性总进度计划,并协助建设单位编制总体进度计划或实施总进度计划;审批实施总进度计划以及分年的年、季、月计划;跟踪监督、检查、记录进度计划的实施;对实际进度进行对比、检查、分析,对出现的偏差采取应对措施;审查被委托单位的进度报告,并编报监理报告;
18 监理单位应对项目实际进度做好记录和统计工作,并进行经常性和阶段性的项目实际进度与计划进度的对比分析,检查进度偏差的程度和产生的原因,分析预测进度偏差对后续实施工序和项目的影响程度,并提出指导性的解决措施。当项目实际进度与计划进度相比发生较大偏差而有可能影响合同工期目标的实现时,监理单位应提出进度计划的调整意见,并指导被委托单位相应调整进度计划。进度计划的重大调整应书面报建设单位批准;
19 监理单位应依据委托合同及其补充协议,审核被委托单位提交的项目阶段性报告和付款申请签发工程款支付意见,报建设单位签认;
20 监理单位应对项目实施阶段三方共同参与的过程和活动做工程备忘录;并检查督促被委托单位按规程规范实施、文明安全实施,防止因出现质量、安全事故及环保问题
21 监理单位应根据需要及时组织专题会议,解决项目实施过程中的各种专项问题,并做会议纪要,提交建设单位和被委托单位。
(3)验收阶段
监理单位应评审项目测试验收方案(验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等)的符合性及可行性;促使项目的最终功能和性能符合委托合同、法律、法规和标准的要求;推动被委托单位所提供的项目各阶段形成的技术、管理文档的内容和种类符合相关标准。合同验收时监理单位应完成(包括但不限于)如下工作:
① 检查与测试是确认项目各系统所建内容是否达到合同要求和评估系统质量的必备措施,监理单位应协助建设单位明确项目测试验收方案并审查其符合性及可行性,监理机构应组织对项目建设的应用系统软件、网络、布线等进行专项测试,做为项目验收的依据。
② 监理单位应及时处理被委托单位提交的验收申请,审核竣工结算,审核验收的必备条件,并签署监理意见;
③ 监理单位应协助建设单位对验收中发现的质量问题进行评估,根据质量问题的性质和影响范围,敦促被委托单位根据验收整改要求提出整改方案,并监督整改过程。必要时,应组织重新验收;
④ 监理单位应督促被委托单位完成项目实施方案中确定的培训,并对培训效果做出评估;
⑤ 监理单位应协助建设单位进行工程决算;
⑥ 监理单位应敦促建设单位、被委托单位按照事先约定,编制、签署和妥善保存验收阶段的项目文档;
⑦ 监理单位应编写各时段项目验收的监理工作报告,整理监理单位应提交和提供的验收资料;负责整理记录归档建设单位与承建单位来往的文件、合同、协议及会议记录等各种文档,出具监理文件。
⑧ 监理机构应协助建设单位和被委托单位完成项目移交工作,将项目移交建设单位管理,并进入工程质量保修期。
(二) 第三方软件测试服务
2.1总体要求
第三方测试机构应按照国家有关测试标准规范,根据国家对信息化项目建设、验收的相关标准和行业相关标准,结合信息系统建设等文件资料,为信息系统提供完整、客观、专业、准确的测试服务,并提供公正的评价结论,客观评估建设项目是否达到系统建设的要求,同时技术测试结果及报告必须提交最终用户确认。
2.2测试目标
为规范开发过程、提高开发效率、保证开发质量、实现既定目标,对指定信息系统进行验收测试,最终使系统达到预期功能、性能以及项目验收要求,实现总体项目目标。
2.3测试服务范围
依据国家标准及客户需求,对系统功能性、性能进行基于第三方的测试工作,功能性主要基于黑盒测试方法,对被测系统功能实现情况进行验证,性能主要对系统如吞吐量、响应时间等指标进行查验。
1)功能性测试:根据功能需求分析的结果,对被测系统进行功能性测试,验证系统功能能否正常运行并满足用户需求。
在进行软件功能测试前,需要根据用户需求、系统功能来设计测试案例。功能测试它的任务是验证软件的功能及其特性是否与用户的要求一致。对软件的功能要求在软件需求规格说明中已经明确规定,在软件需求规格说明中描述了全部用户可见的软件属性。****检验所开发的软件是否能按顾客提出的要求运行。
2)可靠性测试:对被测系统的容错性、易恢复性进行测试。模拟各种错误输入、非法操作,验证系统的容错性是否满足要求。模拟系统故障,测试系统是否能及时恢复程序或数据,以保障业务的延续性。
3)易用性测试:对被测系统开展易学性、易操作性、易理解性等测试。检查系统是否有用户接口、帮助功能或用户文档集,以帮助用户学习使用该软件;检查被测软件的窗口是否直观,是否存在复杂的菜单选项和繁琐的加密操作过程;检查被测软件对具有严重后果的功能执行是否有明显警告;检查被测软件的界面是否是可见、易读的文本或图形输出。
4)性能效率测试:通过分析被测系统的主要功能,结合实际系统的部署架构、业务模型,选取可能存在性能瓶颈的关键功能点(如大并发操作、大数据量操作、对响应时间要求比较高的操作等)作为本次性能测试的性能点进行并发压力测试,验证其并发量、响应时间、吞吐量、TPS值、**利用率等性能指标是否满足要求。
2.4测试依据
本项目测试需要严格按照国家或国际标准、行业标准以及项目合同需求。测试的依据主要包括(且不限于)如下内容:
1) GB/T 16260.1-2006《软件工程 产品质量 第1部分:质量模型》
2) GB/T 16260.2-2006《软件工程 产品质量 第2部分:外部度量》
3) GB/T 25000.51-2010《软件工程 软件产品质量要求和评价(SQuaRE)商业现货(COTS)软件产品的质量要求和测试细则》
4) GB 2312-1980《信息交换用汉字编码字符集 基本集》
5) GB 13000-2010《信息技术 通用多八位编码字符集(UCS)》
6) GB 18030-2005《信息技术 中文编码字符集》
7) GB/T 8567-2006《计算机软件文档编制规范》
8) GB/T 1988-1998《信息技术信息交换用七位编码字符集》
9) GB 2312-1980《信息交换用汉字编码字符集基本集》
10) GB/T 11457-2006《信息技术 软件工程术语》
11) 《系统需求规格说明书》
12) 《系统详细设计文档》
13) 用户能够出具的相关行业标准及其他具体意见和要求
2.5测试原则
本项目实施遵循以下原则:
1)标准化原则
测试工作不仅要遵循国家相关标准规范,还要符合有关行业规范要求。
2)规范化原则
本项目的实施将严格按照有关质量体系要求,通过分析项目实施风险,在项目管理基础上,建立规范的实施操作流程、文档管理制度和项目管理制度,最大限度降低项目实施风险。
3)业务主导原则
本次项目将遵循业务主导原则,即以业务安全为评估工作导向,根据中心信息系统升级改造项目业务特点确定评估重点,分析信息安全风险和漏洞对业务的影响,充分发****促进中心信息系统升级改造项目安全保障以完成业务使命的积极作用。
4)最小影响原则
本项目工作要做到充分的计划性,所采用手段的工具均须经过严格的评审和测试,对预期的结果和影响进行充分的估计,并做好应急措施,不对现有网络系统的运行和业务的正常提供产生显著影响,尽可能小地影响系统和网络的正常运行,同时在安全服务实施前做好风险防范和应急措施。
5)保密性原则
项目团队对工作过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此****中心利益的行为。
2.6测试流程
第三方测试机构的主要测试流程包括:
1)测试调研:对项目进行调研。
2)测试准备:测试计划、测评方案、测试用例集、测试脚本等的编制和准备。
3)测评方案评审:中标人、招标单位和监理单位对测评方案进行评审。
4)测试执行:中标方应完成测评方案中要求的所有内容,并填写详细测试记录。
5)测试问题报告集提交:提交完整的问题报告集。
6)回归测试:对测试中发现的故障及影响范围进行回归测试。
7)测试报告编制并由测评单位内部审核。
8)测试报告提交:提交正式的验收测试报告。
2.7成果交付
在测试完成后需提供下列技术文档:
1)软件测试报告
2)软件测试实施方案。
3)测试问题清单及整改建议。
(三)网络安全等保测评服务
3.1总体要求
本项服务要求服务单位依据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《安全可靠应用信息系统等级保护基本要求》(试行)、《安全可靠应用信息系统等级保护测评要求》(试行)等国家和行业相关信息系统安全规范标准,在服务期内对已建成的等保三级系统进行信息安全等级测评,测评内容为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10方面测评任务。
3.2测评详细指标要求
(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心等五个层面上的单元测评;管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的单元测评。
① 安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
② 安全通信网络测评内容:
网络架构、通信传输、可信验证。
③ 安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
④ 安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
⑤ ****中心测评内容:
系统管理、审计管理、安全管理、集中管控。
⑥ 安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
⑦ 安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和**、审核和检查。
⑧ 安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
⑨ 安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务服务单位选择。
⑩ 安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
(2)整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
服务单位测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。
① 安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不**全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
② 层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
③ 区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
④ 验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
(四)商用密码应用安全性评估服务
4.1总体要求
依据GM/T 0054-2018 《信息系统密码应用基本要求》等国家和行业商用密码相关规范标准,在服务期内,对已建成的等保三级系统在开展等级保护测评的同时,按我省有关密码应用要求进行商用密码应用安全性评估,测评内容为:商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。出具商用密码应用安全性评估报告。
4.2详细要求
(1) 商用密码总体要求测评
① 密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
② 密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
③ 密码产品合规性测评:信息系统中使用的密码产品与密码模块****管理部门核准。
④ 密码服务合规性测评:信息系统中使用的密码服务****管理部门许可。
(2) 密码技术应用测评
从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。
物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。
网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统**访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。
设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境**访问控制信息完整性,重要信息**敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。
应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境**访问控制信息完整性,重要信息**敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。
(3)密钥管理测评
对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。
(4)安全管理测评
对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。
① 安全管理制度维度,包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。
② 人员管控维度,包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。
③ 信息系统实施维度,包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。
④ 应急预案维度,包括但不限于下列内容与措施:应急预案,应急**准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。
★三、服务人员及其它要求
(1)服务单位要指派项目总负责人1名,要求具有信息系统监理师证书。
(2)项目组成员(专业技术人员)要求:
项目期间,服务单位负责根据采购人对项目的实际需求,提供与本项目相关行业、领域内的专业技术人员,总投入人员(不含项目总负责人)至少6人,全部为服务单位在职人员,其中2名人员具有网络/信息安全等级保护测评师证书、2名人员具有商用密码应用安全性评估人员测评能力考核或商用密码应用安全性评估从业人员考核证书。
投标文件中须提供上述拟派人员基本信息、职责,并提供拟派人员的身份证、证书复印件和服务单位为相关拟派人员截止开标前6个月内任意一个月缴纳社保的证明材料。
(3)服务单位自行解决服务期间办公用房(驻场人员在现场办公的用房由采购人提供)、交通与通讯设施、服务单位人员住宿。投标报价应包括为完成本服务内容可能发生的各项费用,如工作、生活、交通、通讯、设备(仪器)、劳力、利润、税收等,以及所有有关的管理成本。
1 | ★履约期限:自签订合同之日起一年 |
2 | ★履约地点:**市内采购人指定地点 |
3 | ★付款方式及条件:竣工验收后一次性支付。 |
4 | ★验收标准:按照《****政府采购履约验收管理办法的通知》【辽政采(2017)603号】规定执行。 验收程序:采购人组织 验收报告:采购人出具 组织验收主体:本项目的履约验收工作由采购人依法组织实施。 |
3.本项目的特定资格要求:001包无;002包:******部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书,是国家密码 管理局认定的商用密码安全性测评****管理局公布的《商用密码安全性评估试点机构目录》中。
****政府采购活动的****省政府采购供应商库的,****政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,****政府采购活动。具体规定详见《关****省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。