一、采购项目名称

　　（一）项目名称：市地方金融监督管理局2021年商用密码应用安全性评估服务采购项目

　　（二）项目预算金额：本次采购项目为部门自行采购项目，总报价超过25万(人民币)以上为无效投标。

　　二、项目管理和服务要求

　　为认真贯彻落实《中华人民共和国密码法》、《国家政务信息化项目建设管理办法》，按照国家密码管理局《商用密码应用安全性评估管理办法（试行）》有关要求，对深圳市地方金融监督管理局的2个等保三级系统—深圳市地方金融监管信息系统和深圳市金融风险预警监测平台（以下简称“服务目标”）进行商用密码应用安全性评估。

　　（一）采用的技术与规范

　　1.GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》

　　2.《商用密码应用安全性评估量化评估规则》

　　3.《信息系统密码应用测评过程指南》

　　4.《信息系统密码应用测评要求》

　　5.《信息系统密码应用高风险判定指引》

　　6.《商用密码应用安全性评估测评作业指导书（试行）》

　　（二）服务要求

　　1.技术要求

　　对服务目标进行商用密码应用安全性评估，主要工作内容包括：通用要求测评、密码技术应用测评、密钥管理测评、安全管理测评等内容。

　　（1）通用要求

　　具体要求如下：

项目内容

具体要求

密码算法合规性测评

信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

密码技术合规性测评

信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

密码产品合规性测评

信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

密码服务合规性测评

信息系统中使用的密码服务是否通过国家密码管理部门许可。

　　2.密码技术应用测评

　　密码技术应用测评主要从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。具体要求如下：

项目内容

具体要求

物理和环境测评

分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能，对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制，监控设备的物理访问控制，以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信测评

分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备，通信双方的身份认证过程，通信数据完整性，敏感信息数据字段机密性，网络边界访问控制信息完整性，系统资源访问控制信息完整性，安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算测评

分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程，系统设备和计算环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要程序或文件完整性，信息系统设备和计算环境的日志记录完整性。

应用和数据测评

分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能，对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程，系统应用和数据操作环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要数据传输过程的机密性、完整性，重要信息存储过程的机密性、完整性，重要程序的加载和卸载过程，信息系统应用相关实体行为不不可否认性，信息系统应用和数据操作环境的日志记录完整性。

　　3.密钥管理测评

　　密钥管理测评是对影响商用密码防护效能的密钥生命周期相关环节，以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节主要包括：密钥生成，密钥存储，密钥分发，密钥导入，密钥导出，密钥使用，密钥备份，密钥恢复，密钥归档，密钥销毁。

　　4.安全管理测评

　　安全管理测评是对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施主要包括：管理制度，人员管控，信息系统实施，应急预案。具体要求如下：

项目内容

具体要求

管理制度测评

包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容，密码相关操作规范、安全操作规范，安全管理制度的合理性和适用性论证与审定，安全管理制度的改进和修订，安全管理制度的发布，安全管理制度的执行。

人员管控测评

包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用，关键岗位划分，相关人员职责与权限划分，岗位责任制与人员制约、监督机制，管理和使用账号，人员培训、人员选拔，人员考核、奖惩与调离，人员保密措施。

建设运行测评

包括但不限于下列内容与措施：制定信息系统密码应用方案，确定密钥种类、体系以及生存周期，按照密码应用方案实施建设，信息系统运行前与定期评估，信息系统整改。

应急处置测评

包括但不限于下列内容与措施：应急预案，应急资源准备，应急情况与处置，上级主管部门应急报告，同级密码主管部门应急报告。

　　（三）进度要求

　　1.实施进度

阶段

工作任务

时限

备注

项目启动会

编制初步实施方案，召开项目启动会。

合同生效日期+3个工作日

商用密码应用安全性评估

对服务项目开展商用密码应用安全性评估，并出具商用密码应用安全性评估报告。

合同生效日期+60个工作日

　　2.成果交付期限

　　项目合同生效日期+60个工作日。

　　（四）管理要求

　　1.服务人员

　　供应商应指派固定的团队为本项目提供专业服务，服务团队成员不得少于2人。项目经理应具备研究生学历及以上，1年以上从事商用密码应用安全性评估服务项目管理工作经验。其它人员不低于本科学历，1年以上从事商用密码应用安全性评估工作经验。

　　如须调整服务团队成员，须书面向采购人提出申请，说明申请理由，经采购人书面同意方可调整团队人员，调入人员的资历和从业经验不低于调出人员，否则视为违约行为，采购人有权终止服务合同。

　　2.成果要求

　　（1）服务成果文档

　　《XX系统商用密码应用安全性评估报告》2份

　　《XX系统商用密码应用安全性评估报告》2份

　　（2）项目管理过程文档

　　除上述服务成果文档外的项目实施过程重要文档，包括但不限于项目实施方案、计划、相关工作总结等。

　　三、供应商资格要求

　　（一）供应商须是在中华人民共和国境内注册（指按国家有关规定要求注册的），具有法人资格的供应商。

　　（二）在深圳参与的采购活动中无违规记录，即在深圳市政府采购中心网站的曝光台中无相关记录。

　　（三）供应商须是国家密码管理局认可的可在本地区、本行业（领域）开展商用密码应用安全性评估试点工作的单位。

　　（四）本项目不接受联合体竞标。

　　四、评标方法

　　本项目采用综合评分法的，满分100分，得分最高的投标人为中标供应商。最低报价不作为成交保证。

　　（一）价格分

　　价格分满分为40分，以满足采购需求且报价最低的报价为评标基准价，其价格分为价格分满分，其他报价人的价格分统一按下列公式计算：

　　报价得分=（评标基准价/报价）×价格权值×100。

　　（二）商务分

　　商务分满分为50分，由评审小组根据供应商的公司资质、支持及服务方案打分。

　　（三）业绩分

　　业绩分满分为10分，由评审小组根据公司以往类似服务数量打分，每提供一个类似服务的合同为2分，最高10分。

　　五、商务需求

　　（一）服务期：一年

　　（二）服务地点：采购单位指定地点

　　（三）项目属性：服务类项目

　　（四）报价要求：

　　1.本项目服务费采用包干制，应包括服务成本、法定税费和企业的利润。由投标供应商根据采购文件所提供的资料自行测算投标报价；一经中标，报价总价作为中标供应商与采购人签定的合同金额，合同期限内不做调整。

　　2.投标供应商应当根据本企业的成本自行决定报价，但不得以低于其企业成本的报价投标。

　　3.投标供应商的报价不得超过项目预算金额。

　　4.投标供应商的报价，应当是本项目采购范围和采购文件及合同条款上所列的各项内容中所述的全部，不得以任何理由予以重复。

　　5.除非采购人通过修改采购文件予以更正，否则，投标供应商应毫无例外地按响应文件所列的清单中项目和数量填报综合单价和合价。投标供应商未填综合单价或合价的项目，在实施后，将不得以支付，并视作该项费用已包括在其它有价款的综合单价或合价内。

　　6.投标供应商应按要求提供包含报价函、法人授权委托书、资质审查材料和其他证明文件（纸质材料一式5份（一正四副），电子光盘1份）应装订良好并分别密封于信封（或包装袋）中（格式见附件），并自行承担所有与编写和提交响应文件有关的费用。

　　7.投标供应商不得期望通过索赔等方式获取补偿，否则，除可能遭到拒绝外，还可能将被作为不良行为记录在案，并可能影响其以后参加政府采购的项目投标。各投标供应商在报价时，应充分考虑报价的风险。

　　六、提交投标文件联系方式、地点和截止时间

　　（一）联系人：张先生、袁先生 88127356、88125245

　　（二）投标地点：深圳市福田区市民中心C区4117室

　　（三）投标截止时间：2021年11月9日17点前

　　七、附件

　　1.报价函

　　2.报价表

　　3.法人授权委托书

　　4.技术响应、偏离情况说明表

　　5.商务响应表

　　6.资质审查材料及其他证明材料

深圳市地方金融监督管理局

2021年11月2日 

附件：

1．附件1-6.docx