密码应用评估服务采购需求.pdf

密码应用评估服务采购需求

一、项目背景

采购人按照XX“数字政府”改革建设方案的要求，相继建设了市电子政务办公业务系统集约

化平台、“互联网+不动产”登记系统、工程建设项目审批管理平台、“一门式一网式”政务服务

信息系统、电子政务短信平台、政府网站集约化平台、市政府门户网站、市电子政务外网平台、省

政府网站集约化平台XX分平台、市公共资源交易一体化平台、市12345政府服务热线平台、市

残疾人信息共享分析应用平台等政务应用系统或平台，现需引入第三方机构为上述政务应用系统或

平台开展密码应用评估工作。

二、项目内容

评估对象计划为X市电子政务办公业务系统集约化平台、“互联网+不动产”登记系统、工程

建设项目审批管理平台、“一门式一网式”政务服务信息系统、电子政务短信平台、政府网站集约

XX

化平台、市政府门户网站、市电子政务外网平台、省政府网站集约化平台分平台、市公共资源

交易一体化平台、市12345政府服务热线平台、市残疾人信息共享分析应用平台等政务应用系统

或平台，具体评估系统数量以项目实施过程中的实际数量为准。

GB/T39786-2023GM/T0115-2023

依据《信息系统密码应用基本要求》、《信息系统密码

应用测评要求》、GM/T0116-2023《信息系统密码应用测评过程指南》、《商用密码应用安全性

评估测评作业指导书（试行）》、《政务信息系统密码应用与安全性评估工作指南》和信息系统自

身的安全需求分析，对被评估系统进行商用密码应用安全性评估，为重要网络和信息系统的密码安

全提供科学评价，逐步规范网络运营者的密码使用和管理行为，推动提升我单位密码应用水平。具

体服务内容如下：

（1）密码应用方案评估：针对指定信息系统密码应用方案的完整性、准确

性、可行性等方面进行分析并出具报告。

（2）密码应用安全性评估：针对信息系统按照评估后的密码应用方案建设情况，引入密码

管理部门认定具有商用密码应用安全性评估资质的评估机构，对指定的信息系统进行商用密码应用

安全性评估，依据《商用密码应用安全性评估量化评估规则》综合判定，指导密码应用消减重要安

全风险后出具《密码应用系统安全性评估报告》。

三、项目目标

为全面贯彻总体国家安全观和网络强国战略，深入贯彻落实关于核心技术自主可控重要批示精

神和工作安排，持续推进商用密码工作，依据《中华人民共和国密码法》、《中华人民共和国网络

安全法》、《国家政务信息化项目建设管理办法》、《信息系统密码应用基本要求》、《商用密码

应用安全性评估管理办法（试行）》等法律法规、制度和规范；经研究，拟通过购买评估服务的方

式，对指定的信息系统开展密码应用安全性评估。通过密码应用安全性评估掌握信息系统密码应用

情况，深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，提出下步整改举措，推动整改

措施落实，为提升信息系统安全奠定基础，推动密码应用水平不断提升。

四、采购项目技术要求

（-）基本要求

1总体技术要求

（1）符合性原则：中标人的服务过程应符合国家商用密码应用制度及相关法律法规。

（2）标准性原则：中标人的服务方案设计、实施与密码应用安全体系的构建应依据国内、

国际的相关标准进行。

（3）规范性原则：中标人的服务实施应由专业的测评师依照相关规范或标准要求的操作流

程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目

的跟踪和控制。

（4）可控性原则：中标人的服务实施方法和过程要在采购人认可的范围之

内，实施进度要按照采购人的安排，保证项目实施的可控性。

（5）整体性原则：中标人提供测评的范围和内容应当整体全面，包括密码应用安全涉及的

各个层面，避免由于遗漏造成未来的安全隐患。

（6）

最小影响原则：中标人的服务实施工作应尽可能小的影响网络和信息系统的正常运行，

不能对信息系统的运行和业务的正常提供产生显著影响。

（7）保密原则：中标人对项目实施过程获得的数据和结果严格保密，未经采购人授权不得

泄露给