自行采购服务类项目采购需求
一、采购项目概况
项目名称 | **省网上办事大厅**分厅安全等保三级项目商用密码应用安全性评估服务项目 |
项目预算(单位:万元) | 8.00 |
采购人单位 | **** |
负责人/联系电话 | 韦宣合/0755-****7601 |
二、项目技术和服务要求
1、测评依据
(1)《GB/T 39786-2021 信息安全技术 信息系统密码应用基本要求》
(2)《信息系统密码应用测评过程指南》
(3)《信息系统密码应用高风险判定指引》
(4)《商用密码应用测评服务量化评估规则》
(5)《商用密码应用测评服务FAQ(第三版)》
2、商用密码应用安全性评估
2.1 提供商用密码应用安全性评估服务
对**省网上办事大厅**分厅安全等保三级项目商用密码应用安全性评估服务项目开展商用密码应用安全性评估服务,包括但不限于以下技术要求:
(1)通用要求评估
具体要求如下:
测评内容 | 具体要求 |
密码算法合规性评估 | 信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 |
密码技术合规性评估 | 信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。 |
密码产品合规性评估 | 信息系统中使用的密码产品与密码模块****管理部门核准。 |
密码服务合规性评估 | 信息系统中使用的密码服务****管理部门许可。 |
(2)密码技术应用安全评估
密码技术应用安全主要从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。具体要求如下:
评估内容 | 具体要求 |
物理和环境评估 | 分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于以下内容:重要区域的物理访问控制,监控设备的物理访问控制,物理访问记录、监控信息等记录数据的存储完整性。 |
网络和通信评估 | 分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于以下内容:通信实体身份的真实性,通信过程中数据的完整性,重要数据的机密性,网络边界访问控制信息完整性,安全认证连接到内部网络的设备,通信双方的身份认证过程。 |
设备和计算评估 | 分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于一下内容:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境**访问控制信息完整性,重要信息**敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。 |
应用和数据评估 | 分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境**访问控制信息完整性,重要信息**敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用原发和数据接收行为的不可否认性。 |
(3)安全管理评估
安全管理评估是对影响商用密码防护效能的管理制度与措施进行分析与评估。主要内容包括:管理制度,人员管理,建设运行,应急处置。具体要求如下:
项目内容 | 具体要求 |
管理制度评估 | 包括但不限于下列内容与措施:密码应用安全管理制度,密钥管理规则、密码相关操作规范,安全管理制度和操作规范的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度和操作规范的发布流程,安全管理制度和操作规范的执行。 |
人员管理评估 | 包括但不限于下列内容与措施:相关人员是否了解并遵守密码相关法律法规及安全管理制度,关键岗位划分情况,相关人员职责与权限划分情况,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。 |
建设运行评估 | 包括但不限于下列内容与措施:具备系统密码应用方案,并按照密码应用方案确定密钥种类、体系以及生存周期,按照密码应用方案实施建设,信息系统正式运行前评估与整改。 |
应急处置评估 | 包括但不限于下列内容与措施:应急预案,应急**准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。 |
(4)密钥管理评估
测评密钥管理评估是对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节主要包括:密钥生成、密钥分发、密钥存储、密钥使用、密钥更新、密钥归档、密钥撤档、密钥备份,密钥恢复、密钥销毁。
★三、供应商资格要求
1.具有独立法人资格或是具有独立承担民事责任能力的其它组织****事业单位法人证书等证明资料扫描件,原件备查)。
2.本项目不接受联合体投标。不得转包、分包。
3.参与本项目投标前3年内,在经营活动中没有重大违法记录(由供应商在《政府采购投标及履约承诺函》中作出声明)。
4.****政府采购活动时不存在被****政府采购活动且在有效期内的情况(由供应商在《政府采购投标及履约承诺函》中作出声明)。
5.具备《****政府采购法》第二十二条第一款的条件(由供应商在《政府采购投标及履约承诺函》中作出声明)。
6.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(由供应商在《政府采购投标及履约承诺函》中作出声明)。
7.单位负责人为同一人或存在直接控股、管理关系的不同供应商,不得参****政府采购活动;为采购项目提供整体设计、规范编制或项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动(由供应商在《政府采购投标及履约承诺函》中作出声明)。
8.须提供国家企业信用信息公示系统(http://www.****.cn/corp-query-homepage.html)的股权结****公司等信息,并加盖公章。
9.投标供应****管理局纳入《商用密码应用测评服务试点机构名录》或可在本地区、本行业(领域)开展商用密码应用测评服务试点工作的单位,提供以上公告或文件扫描件。
四、评标定标方法
本项目采用最低价法。
五、商务需求
★(一)服务期:自双方合同签订之日起一年内完成所有服务内容并通过采购人验收。
(二)服务地点:**市。
★(三)报价要求:
1.本项目服务费采用包干制,应包括服务成本、包装运输成本、法定税费和企业的利润。由投标供应商根据采购文件所提供的资料自行测算投标报价;一经中标,报价总价作为中标供应商与采购人签定的合同金额。
2.投标供应商应当根据本企业的成本自行决定报价,但不得以低于其企业成本的报价投标。
3.投标供应商的报价不得超过项目预算金额。
4.投标供应商的报价,应当是本项目采购范围和采购文件及合同条款上所列的各项内容中所述的全部,不得以任何理由予以重复。
5.除非采购人通过修改采购文件予以更正,否则,投标供应商应毫无例外地按响应文件所列的清单中项目和数量填报综合单价和合价。投标供应商未填综合单价或合价的项目,在实施后,将不得以支付,并视作该项费用已包括在其它有价款的综合单价或合价内。
6.投标供应商应先到项目地点踏勘以充分了解项目的位置、情况、道路及任何其它足以影响投标报价的情况,任何因忽视或误解项目情况而导致的索赔或服务期限**申请将不获批准。
7.投标供应商不得期望通过索赔等方式获取补偿,否则,除可能遭到拒绝外,还可能将被作为不良行为记录在案,并可****政府采购的项目投标。各投标供应商在报价时,应充分考虑报价的风险。
(四)付款方式:
第1期:合同签订后,采购人在收到载明相应金额的合法发票后10个工作日内,支付合同金额的70%的款项。
第2期:投标供应商向采购人提供商用密码应用评估项目计划书并经采购人确认通过,采购人在收到载明相应金额的合法发票后10个工作日内,支付合同金额的20%的款项。
第3期:投标供应商出具正式版商用密码应用安全性评估报告(盖章版),****管理局备案且财政资金下达后,采购人在收到载明相应金额的合法发票后10个工作日内,支付合同金额的10%的款项。
(五)验收标准和方式
投标供应商根据相关评估依据完成商用密码应用安全性评估,并出具加盖投标供应商检验检测专用章的商用密码应用安全性评估正式评估报告(一式三份纸质版与一份电子版)作为项目成果,供采购人验收确认。项目成****管理局备案,视为项目通过终验,具体以合同约定为准。
(六)争议解决方式和地点:采购人和投标供应商因合同履行发生争议,应当**协商解决;如协商不成,任何一方均有权将争议向采购人****人民法院起诉。
(七)保密要求:投标供应商有为****保守本项目秘密的义务,投标供应商应对本项目的内容、因履行本项目或在本项目期间获得的或收到的采购人的商务、财务、技术、产品的信息、用户资料或其他标明保密的文件或信息的内容(简称“保密资料”)保守秘密,未经采购人书面事先同意,不得向本项目以外的任何第三方披露。具体以合同约定为准。
(八)履约担保金:本项目无履约担保金。
(九)售后服务:无。
(十)知识产权归属:为履行本项目所规定的内容及义务,中标供应商产出的服务成果知识产权归采购人所有。
(十一)违约责任:投标供应商在合同履行过程中,不履行或不按照合同约定适格履行均构成违约,采购人有权解除合同,投标供应商应承担违约责任并赔偿损失;具体违约责任约定详见合同。
(十二)其他:
1.投标供应商须提供纸质投标文件和纸质投标文件的电子版等投标资料。
2.投标供应商须提交《政府采购违法行为风险知悉确认书》(附件1),由负责人或投标授权代表签字并加盖单位公章。
3.投标供应商应保证本项目的投标技术、服务或其他任何一部分不会产生因第三方提出侵犯其专利权、商标权或其他知识产权而引起的法律或经济纠纷;如因第三方提出其专利权、商标权或其他知识产权的侵权之诉,则一切法律责任由投标供应商承担。
附件:1.政府采购违法行为风险知悉确认书
2.偏离表
附件1
政府采购违法行为风险知悉确认书
本公司在投标前已充分知****政府采购活动时的重大风险事项,并承诺已对下述风险提示事项重点排查,做到严谨、诚信、****政府采购活动。
一、本公司已充分知悉“隐瞒真实情况,提供虚假资料”的法定情形,相关情形包括但不限于:
(一)通过转让或者租借等方式从其他单位获取资格或者资质证书投标的。
(二)由其他单位或者其他单位负责人在投标供应商编制的投标文件上加盖印章或者签字的。
(三)项目负责人或者主要技术人员不是本单位人员的。
(四)投标保证金不是从投标供应商基本账户转出的。
(五)其他隐瞒真实情况、提供虚假资料的行为。
二、本公司已充分知悉“与其他采购参加人串通投标”的法定情形,相关情形包括但不限于:
(一)投标供应商之间相互约定给予未中标的供应商利益补偿。
(二)不同投标供应商的法定代表人、主要经营负责人、项目投标授权代表人、项目负责人、主要技术人员为同一人、属同一单位或者在同一单位缴纳社会保险。
(三)不同投标供应商的投标文件由同一单位或者同一人编制,或者由同一人分阶段参与编制的。
(四)不同投标供应商的投标文件或部分投标文件相互混装。
(五)不同投标供应商的投标文件内容存在非正常一致。
(六)由同一单位工作人员为两家以上(含两家)供应商进行同一项投标活动的。
(七)不同投标供应商的投标报价呈规律性差异。
(八)不同投标供应商的投标保证金从同一单位或者个人的账户转出。
(九)主管部门依照法律、法规认定的其他情形。
三、本公司已充分知悉下列情形所对应的法律风险,并在投标前已对相关风险事项进行排查。
(一)对于从其他主体获取的投标资料,供应商应审慎核查,确保投标资料的真实性。如主管部门查实投标文件中存在虚假资料的,无论相关资料****公司员工提供,均不影响主管部门对供应商存在“隐瞒真实情况,提供虚假资料”违法行为的认定。
(****机关出具的公文、证件、证明材料等文件,一旦涉嫌虚假,经查实,主管部门将依法从严处理,并移送有关部门追究法律责任;涉嫌犯罪的,主管部****机关追究法律责任。
(三)对于涉及安全生产、特种作业、抢险救灾、****政府采购项目,供应商实施提供虚假资料、串通投标等违法行为的,主管部门将依法从严处理。
(四)供应商应严格规范项目授权代表、员工参与招标投标的行为,加强对投标文件的审核。项目授权代表、员工编制、上传投****政府采购法律法规或招标文件要求的,投标供应商应当依法承担相应法律责任。
(五)供应商对投标电子密钥负有妥善保管、及时变更和续期等主体责任。供应商使****政府采购网站进行的活动,均具有法律效力,须承担相应的法律后果。供应商擅自将投标密钥出借他人使用所造成的法律后果,由供应商自行承担。
(六)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参****政府采购活动。相关情形如查实,依法作投标无效处理;涉嫌串通投标等违法行为的,主管部门将依法调查处理。
四、****政府采购违法、违规行为的法律后果。经查实,****政府采购违法、违规行为,主管部门将依据《****政府采购条例》第五十七条的规定,处以一至****市政府采购,并由主管部门记入供应商诚信档案,处采购金额千分之十以上千分之二十以下罚款;情节严重的,****政府采购资格,处采购金额千分之二十以上千分之三十以下罚款,并由市场监管部门依法吊销营业执照。
以下文字请投标供应商抄写并确认:“本公司已仔细阅读《政府采购违法行为风险知悉确认书》,充分知悉违法行为的法律后果,并承诺将严谨、诚信、****政府采购活动”。
负责人/投标授权代表签名:
知悉人(公章):
日期:
附件2:
偏 离 表
项目名称: 项目编号:
序号 | 需求文件条目号 | 需求文件条款 | 投标文件条款 | 偏离 |
技术部分 | ||||
商务部分 | ||||
注:1.需求文件条目号:对应需求文件的第几页第几部分第几条第几款等;
2.需求文件条款:对应需求文件具体条款的内容摘要;
3.投标文件条款:由投标单位填写,对应需求文件,投标文件所给出的
具体解决方法摘要;
4.偏离:由投标单位填写并承担法律责任,分为正偏离(投标文件优于
需求文件)、无偏离(投标文件与需求文件一致)或负偏离(投标文件差
于需求文件)。
备注:该参考模板仅适用于采购人自行组织实施的自行采购项目。