数字**评估管理平台项目（安全测评、密码评估）（重新招标）

补充通知

招标编号：****

各潜在投标人：

现就数字**评估管理平台项目（安全测评、密码评估）（重新招标）作补充通知如下：

1、招标文件 第4章 招标内容及要求 ，补充及完善，详见附件一。

2、因跨年度，资格要求财务状况报告中要求 提供经审计的上一年度的年度财务报告 投标人提供2023年度或2024年度的经审计的年度财务报告均认可。

3、招标文件中 其他资格条件：合同包1：无；合同包2：投标人应取得取得商用密码检测机构（商用密码应用安全性评估业务）资质，需提供资****管理局****管理局公告（第49号）《商用密码检测机构（商用密码应用安全性评估业务）目录》对应机构截图并加盖投标人单位公章。 修改为 其他资格条件：合同包1：无；合同包2：投标****管理局颁发的《商用密码检测机构资质证书》，且业务范围为 商用密码应用安全性评估 ，投标人须提供资质证书扫描件并加盖单位电子公章。

本补充通知为本项目招标文件的组成部分，与招标文件、招标公告不一致之处，以本补充通知为准。

招标人：****

招标代理机构：****

日期： 2025 年01月07日

附件一：第4章 招标内容及要求

一、项目概况

1、项目背景

2022年6月，国务院发布《国****政府建设的指导意见》（国发〔2022〕14号），意见指出：将数****政府管理服务，推进政府治理流程优化、模式创**履职能力提升，构建数字化、****政府运行新形态，****政府建设对数字经济、数字社会、数字生态的引领作用。围绕加快数字化发展、建设数字中国重大战略部署，****政府效能，更好激发数字经济活力，优化数字社会环境，营造良好数字生态。意见要求：****政府建设评估指标体系，树立正确评估导向，重点分析和考核统筹管理、项目建设、数据共享开放、安全保障、应用成效等方面情况，确保评价结果的科学性和客观性。加强跟踪分析和督促指导，重大事项及时向党中央、国务院请示报告，****政府建设持续健康发展。

2022年12月，****政府印发《****政府改革和建设总体方案》（闽政〔2022〕32号），****政府改革和建设整体实施架构是以全面数字化为基础，以全省一****政府整体运行，以政府数字化改革管理****政府改革和建设的入口，对改革过程中的组织数字化、权责数字化、事项标准化、工作任务拆解、工作举措和考核指标数字化等各项工作进行全生命周期管理，****政府数字化改革成果，既为改革自身赋能，****政府治理提质增效赋能，****政府 五通五在线 ，提升政府决策、服务、执行、监督和评价履职能力。

2023年5月，《2023年数字**工作要点》（闽政办〔2023〕16号）提出：开展省级和市级数字**能力评估考核，统筹开发评价指标数据采集和管理系统；优化完善《数字中国发展报告》应评机制，推动全省数字化建设科学化、精准化。

为贯彻落实《国****政府建设的指导意见》（国发〔2022〕14号）（以下简称《意见》）和《****政府关****政府改革和建设总体方案的通知》（闽政〔2022〕32号）（以下简称《总体方案》）关于 完善考核评价 要求，加强指标体系的考核评估，充分发挥考核 指挥棒 作用，****政府建设监测、评估、改进的全流程闭环管理。

2、建设目标

建设数字**评估管理平台，构****政府能力评估体****政府能力评估指标，运用大数据监测分析技术，****政府建设现状，强弱项补短板，全面、客观、动****政府建设工作进展和实际效果，通过 以评促建、以评促改、以评促用 ，推动国家、省级、****工作部署，打造全省一体化、整体协同、****政府，****政府建设监测、评估、改进的全流程闭环管理，****政府建设水平。

（1****政府能力全方位考核和全景式展示

****政府能力考核指标体系和运行成效指标体系，采用数字化手段，通过全面量化考核指标，对省级、****政府建设的现状、能力、成效等进行全方位考核，****政府运行总体概况和建设成效，客观真****政府建设水平，为政府领导提供全面、准确、****政府运行监测预警与辅助决策服务。

（2****政府整改提升全流程闭环

****政府能力监测、核验、分析、督导的全流程闭环管理模式，采用量化评估、预警分析、对标对比等数****政府能力，****政府建设任务，统一实现任务下达、执行监测、现场核验、工作督导、成效评估等业务全流程闭环管理。

（3****政府建设水平

基于数字**评估管理平台，对省直部门、****政府情况行动态监测、分析研判、对标对比，及时发现省直部门、****政府建设中存在的不足和短板。平台及时展示各指标的问题清单，督导省直部门、九市一区进行整改提升，并在整改****政府知识**的积累学习，标杆省市的对标对比不断提升指标表现，****政府重点领域的 痛点 难点 堵点 ，提****政府能力评估名次。

二、技术和服务要求（以 ★ 标示的内容为不允许负偏离的实质性要求）

合同包1：数字**评估管理平**全测评项目 （第三次招标）

1、安全测评内容

1.1 安全等级测评

依照 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《行业网络安全等级保护基本要求》对被测系统进行等级保护测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施， 为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于信息系统安全事件引发安全事故，全面提高信息系统安全防护水平提供科学依据。

等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度等方面的内容，内容包括但不限于以下内容：

（1）安全物理环境测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况，主要涉及对象为机房。

（2）安全通信网络测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全通信网络保障情况。

（3）安全区域边界测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全区域边界保障情况。

（4）安全计算环境须通过访谈、配置检查和工具测试的方式测评信息系统的安全计算环境保障情况。

（5****中心测评须通过访谈、配置检查的方式测****管理中心保障情况。

（6）安全管理制度须针对管理制度、制定和发布、评审和修订等 情况进行核查。

2、提供的技术服务成果及要求

2.1技术服务的方式：现场测评、数据分析。

2.2技术服务对象:采购人申请测评的信息系统，如所申请系统的相关信息与实际环境不相符合，以信息系统实际运行环境为准。

2.3技术服务成果：取得并提交省级及以上等级保护测评机构出具的安全等级测评报告。

2.4技术服务质量要求

（1）投标人应具有有效期《网络安全等级测评与检测评估机构服务认证证书》。

（2）投标人在采购人现场测评时，应遵守采购人的工作纪律，不破坏采购人的工作设备和软、硬件设施。

（3）投标人在现场测评时，应与采购项目负责人充分沟通，如在运用相关工具或开展相关测评工作前，应事先做好风险评估和回退机制，做好安全防范措施，确保在测评工作开展过程中不影响系统的正常运行。

（4）投标人需积极配合采购人、采购人的第三方安全服务商以及对应系统开发商完成测评整改工作。

3、技术服务标准和原则

依据国家等级保护相关标准和制度规范开展测评等工作，遵循的标准和规范包括但不限于如下所列：

GBT22239-2019《信息安全技术 网络安全等级保护基本要求》

GBT28448-2019《信息安全技术 网络安全等级保护测评要求》

GB/T20984-2007《信息安全技术信息安全风险评估规范》

GB/T31509-2015《信息安全技术信息安全风险评估指南》

本次信息系统等级保护测评服务的实施应遵循以下原则：

（1）保密性原则：投标人对测评服务中的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人网络的行为，否则招标人有权追究投标人的责任。

（2）标准性原则：投标人实施的第三方测评应依据国家等级保护制度公布的相关标准及行业规范进行，不得采用未经正式公布的私有规定。

（3）规范性原则：工作过程和相关文档应具有良好的规范性和一致性，可以便于项目的跟踪和控制管理。

（4）整体性原则：每个系统测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面，不能因疏漏而导致结果的不可用。

（5）最小影响原则：采取的测评方法应尽可能小的影响被测系统和网络的正常运行，控制且减少风险，避免对现有网络和业务的正常运行产生显著影响或导致不可恢复的损失。

4、系统定级咨询服务

分析受到破坏后造成的危害程度定级要素，在信息系统业务安全性分析的基础上，进行定级，协助完成定级资料的收集和整理，编制定级报告，协助举行定级专家评审会。

5、系统备案服务

严格依照《信息安全等级保护管理办法》(公通字[2007]43号文件),协助准备等保备案材料，协助****机关办理备案手续，取得备案证明。

6、等保资产分析服务

派遣专业工程师到现场整理系统的网络结构拓扑以及相关联的资产，编制信息系统资产清单及资产报告；对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理，编制信息系统详细描述文档。

7、等保整改及加固服务

对服务范围内信息系统协助按照整改报告对应策略设计整改加固措施，并根据等保安全加固指导书协助客户实施边界防护安全策略优化、服务器病毒检查与清理、主机安全加固、数据库安全加固以及应用安全加固。

8、等保制度建设服务

协助安全管理制度建设，主要包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。

9、出具测评报告

在服务期内，测评单位为本项目提供等保测评服务，完成现场测评，测评通过后最终出具对应系统的《信息安全等级保护测评报告》。

合同包2：数字**评估管理平台密码评估项目 （第二次招标）

1、商用密码应用安全性评估背景

根据《中华人民**国密码法》、《中华人民**国网络安全法》、《国家政务信息化项目建设管理办法》、《信息安全技术 信息系统密码应用基本要求》（GB/T39786-2021）、《商用密码应用安全性评估管理办法（试行）》、《贯彻落实网络安全等保制度和关保制度的指导意见》（**部1960号）、《****管理局关于加强商用密码应用安全性评估工作的通知》等法律法规、制度和规范，对数字**评估管理平台项目开展商用密码应用安全性评估（简称 密评 ）。推动整改措施落实，确保被测系统的密码应用采用商用密码进行保护，做到同步规划、同步建设、同步运行密码保障信息系统。

2、商用密码应用安全性评估目标

数字**评估管理平台项目商用密码应用安全性评估是依据《中华人民**国密码法》要求，从系统的实际需要出发，以规则和体系化的密码技术保护策略为标准，对系统进行整体测评，以确认系统所采用的国产商用密码技术是否合规、正确、有效，切实推动密码技术国产化替代工作的进一步落实。总体目标是依据国家和**省相关政策法规和标准规范，对被测系统开展密评工作，通过密评工作深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升信息系统安全水平奠定基础，推动国产密码应用工作的进一步落实，保障和促进被测单位建设健康发展。同时，也指导被测单位的信息安全保障体系建设，增强密码安全管理意识，促进安全管理水平的提高。

3、商用密码应用安全性评估依据

《中华人民**国密码法》；

《中华人民**国网络安全法》；

《信息安全等级保护商用密码管理办法》；

《信息安全等级保护商用密码技术实施要求》；

《信息安全等级保护商用密码技术要求》；

《信息系统密码测评要求》；

《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》；

《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）；

《信息系统密码应用测评要求》（GM/T 0115-2021）；

《信息系统密码应用测评过程指南》（GM/T 0116-2021）；

《信息系统密码应用高风险判定指引》；

《商用密码应用安全性评估量化评估规则》；

《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）；

4、商用密码应用安全性评估实施原则

为保障项目的顺利实施，在项目实施过程须遵循以下原则：

4.1、规范性原则

加强项目管理，在人员、质量和时间进度等方面进行严格管控。

4.2、标准化原则

测评过程须严格遵守国家的相关法律、法规、规范、标准等相关要求。

4.3、完整性原则

在测评过程中，必须确保测评数据、过程记录的完整性。评测内容要综合考虑所有评测对象的技术措施，并建立完整有效的评测流程，保证不存在影响评测结果的疏忽或遗漏。

4.4、保密性原则

在测评过程中，切实加强对人员、技术等方面的组织管理；与所有相关人员签署具有法律意义的保密协议，确保在项目实施过程中涉及的所有信息，不会泄露给第三方单位或个人，不得擅自利用这些信息。

投标人的任何工作人员均须与被测单位签署《保密承诺书》，对知悉的事项及信息予以保密，所有资料、技术文档应妥善保管，不得遗失、转借、复印，不得以任何形势向第三方透露；所有密码应用解决方案和采集汇总后的数据严谨通过互联网等公共信息网络、普通邮政进行传递，严禁在连接互联网计算机存储、处理。

4.5、影响最小原则

在项目实施的过程中，须充分考虑到相关活动对系统正常运行的不利影响，采取必要的措施将相关风险降到最低。

5、服务内容

依据《信息安全技术信息系统密码应用基本要求》（GB/T 39786-2021）、《信息系统密码测评要求》《商用密码应用安全性评估测评过程指南》《商用密码应用安全性评估测评作业指导书（试行）》和被测系统的安全需求分析，对被测系统进行商用密码应用安全性评估，为重要网络和信息系统的密码安全提供科学评价，规范采购单位的密码使用和管理行为，推动提升密码应用水平。

6、商用密码应用安全性评估服务内容

6.1采用系统评估方式，及时发现被测系统脆弱性，识别风险，了解被测系统安全状况。对照密码应用方案对被测系统开展评估。根据被评估对象的实际情况、被测系统使用的密码产品情况，选择并确定测评依据。在被测系统真实环境下进行测评，以评估密码应用及保障是否安全有效，密码使用和管理是否合规、正确、有效。

6.2密码技术应用测评：物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证被测系统的商用密码应用是否达到具有对应安全等级的安全保护能力，是否满足对应安全等级的保护要求。

6.3密钥管理测评：检测被测系统密钥管理各环节，包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。

6.4安全管理测评：从制度、人员、实施和应急四个方面，对被测系统的密码安全管理进行商用密码应用安全性管理测评。

6.5密码应用安全评估报告：****管理局要求包含的内容编制或参考模板编制密码应用安全评估报告。

6.6密码应用要求和密码评估相关培训：对密码应用总体要求进行宣贯,对密码应用的合规性、正确性、有效性要求进行培训。

7、项目技术和其他要求

7.1人员要求

投标人须具有一定服务能力的管理团队，形成2****小组，每组不少于3人，每组进场人员至少2人。

7.2服务响应要求

服务期间提供7 24服务响应（7 24小时工程师2小时内作好服务应答和反馈），需要现场支撑时，投标人需在4小时内安排至少1名具有服务能力的工程师到达现场处理。

7.3协助密评备案要求

投标人出具商用密码应用安全性评估报告后，协助业主通过密码应用台账系统完成采购人被测系统密评备案工作。

7.4严守工作秘密

投标人须书面承诺：若中标，必须与采购人签署保密协议，工作人员须与单位签署《保密承诺书》，对知悉的事项及信息予以保密，所有资料、技术文档妥善保管，不得遗失、转借、复印，不得以任何形式向第三方透露；所有密码应用解决方案和采集汇总后的数据严禁通过互联网等公共信息网络、普通邮政进行传递，严禁在连接互联网计算机上存储、处理。提供承诺函，承诺函格式自拟。

三、商务条件（以 ★ 标示的内容为不允许负偏离的实质性要求）

包：1

1、交付地点：招标人指定地点。

2、交付时间：收到招标人提供的技术资料和具备工作环境后的2个月内。

3、交付条件：满足招标人技术和服务要求及项目要求。

4、是否收取履约保证金：否。

5、是否邀请投标人参与验收：否。

6、验收方式数据表格

7、支付方式数据表格

包：2

1、交付地点：招标人指定地点。

2、交付时间：收到招标人提供的技术资料和具备工作环境后的2个月内。

3、交付条件：满足招标人技术和服务要求及项目要求。

4、是否收取履约保证金：否。

5、是否邀请投标人参与验收：否。

6、验收方式数据表格

7、支付方式数据表格

四、其他事项

1、除招标文件另有规定外，若出现有关法律、法规和规章有强制性规定但招标文件未列明的情形，则投标人应按照有关法律、法规和规章强制性规定执行。