长沙公共资源交易中心：商用密码应用安全性评估服务（2024-2026年）项目采购需求公开

一、功能及要求：服务内容
1、（略）厂商编制商用密码应用方案，并对商用密码应用方案进行商用密码应用安全性评估。包括对密码应用解决方案、实施方案和应急处理方案等以上方案编制要点的7项内容评估，确保方案内容完整。（略）完成密码应用方案内审，并获得湖南省密码局密码应用方案备案。
2、依据国家等级保护相关标准GB/T（略）《（略）密码应用基本要求》、《（略）密码测评要求》、《商用密码应用安全性评估测评过程指南》、《（略）密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《（略）构建与安全性评估工作指南》，（略）（略）每年开展一次商用密码应用安全性评估，并出具差距分析报告，（略）承建厂商进行相关整改工作，确保其按照提出的改进措施整改后，通过复评测试，满足商用密码应用和安全性相关要求，获得湖南省密码局密评备案。
二、相关标准：依据标准
《GB/T（略）（略）密码应用基本要求》
《（略）密码应用测评要求》
《（略）密码应用测评过程指南》
《商用密码应用安全性评估管理办法》
《商用密码应用安全性评估FAQ（第三版）》
参考标准
《GM/T0001祖冲之序列密码算法》
《GM/T0002SM4分组密码算法》
《GM/T0003SM2椭圆曲线公钥密码算法》
《GM/T0004SM3密码杂凑算法》
《GM/T0054（略）密码应用基本要求》
《GM/T0018密码设备应用接口规范》
《GM/Z0001密码术语》
《GM/T0022IPSECVPN技术规范》
《GM/T0024SSLVPN技术规范》
《GM/T0030服务器密码机技术规范》
《GM/T0044SM9标识密码算法》
《GB/T20984信息安全技术信息安全风险评估规范》
《GB/T22239（略）安全等级保护基本要求》
《GB/T22240（略）安全等级保护定级指南》
《GM/T0011-（略）功能与接口规范》
《测评项目管理程序》
《身份鉴别/访问控制/数据安全/密钥管理/安全审计/人员安全/制度安全/备份安全/应急安全/实施安全测评方法和判断标准》
三、技术规格：根据相关文件要求，（略）每年至少开展一次密码应用安全性评估。经统计，2024-（略）符合相关条件，（略）共计5个，具体如下：
（略）名称：（略）
等保定级
（略）（略）
三级
（略）（（略））
三级
（略）（略）
三级
（略）（略）
三级
（略）
三级
商用密码应用安全性评估工作阶段性输出如下表所示：
工作阶段
输出
测评准备阶段
1）密评项目计划书
2）密评工具及清单
3）调查问卷
4）委托协议、保密协议等
密码应用方案编制与评估
1）（略）承建厂商编制密码应用方案
2）针对密码应用方案进行评估，并出具密码应用方案评估报告
密评方案编制阶段阶段
1)密码测评实施方案
现场测评阶段
1)现场测评授权书
2)会议记录
3)风险告知书
4)测评结果记录
5)测评问题汇总
6)整改建议
分析与报告编制阶段
1)测评报告

四、交付时间和地点：（略）
服务地点：（略）
五、服务标准：1.实施内容
（1）对密码应用方案的内容完整性、内容合规性、内容正确性、内容有效性进行评估。根据评估情况编制密码应用方案的商用密码应用安全性评估报告，包括报告主体内容、评估结论、建议等。
（2）（略）开展评估。在系统真实环境下进行测评，以评估密码保障是否安全有效，密码使用是否合规、正确、有效。（略）存在的安全隐患和风险，提出可行性完善建议。最终输出测评报告。
（3）获得湖南省密码局密评备案。
2.人员和任务分工要求
结合本项目的评估服务需求，对供应商的团队和分工要求如下：
人员类别
数量
具体要求
项目负责人
1名
负责组建项目团队，履行项目总负责人职责，监督项目计划、文件和重要节点管理，评估项目潜在风险，确保与各方的良好沟通与协作，保证评估服务工作顺利进行。为项目提供方法指导和资源支持，指导和组织进行项目关键节点和重要里程碑的管理与保障，指导和检查项目管理任务日志及项目文件的管理，组织进行项目的知识提炼与总结。
项目经办人
1名
负责履行项目日常工作管理、对接、沟通管理、绩效评价、协调评估单位：（略）
测评工程师
不少于3名
负责评估项目的实施工作，可根据采购人：（略）
3.保密要求
成交供应商在服务过程中，应严格遵守《（略）络安全法》、《中华人民共和国密码法》等法律法规规定。
项目相关人员须签订《保密承诺书》，明确人员应遵守的相关信息安全管理制度、信息安全技术规范和保守商业秘密的要求以及违约责任等。
成交供应商应当采取有效的保密措施，不得将保密信息披露、公布、散布或分发给除了因工作需要必须使用保密信息的人员之外的任何第三方，防止保密信息未经授权而被使用、传播、公开或披露。
六、验收标准：本项目按照国家密码应用相关技术规格和密码应用测评相关要求、（略））文件的相关规定进行验收。本项目采用简易程序验收。
1、按国家规定执行。验收报告作为申请付款的凭证之一。
2、验收过程中产生纠纷的，由质量技术监督部门认定的检测机构检测,如为中标人原因造成的，由中标人承担检测费用；否则，由采购人：（略）
3、项目验收不合格，由中标人返工直至合格。有关返工、再行验收，以及给采购人：（略）
七、其他要求：一、付款方式：（略）
二、其他要求
1.本项目采用费用包干方式：（略）
2.供应商在参与本项目的全部过程中，应负责其所有工作人员的人身意外保险以及承担人身意外事故引发的责任、损失和所有费用。采购人：（略）
3.采购人：（略）
三、对于上述项目要求，供应商应在响应文件中进行回应，作出承诺及说明。

采购需求仅供参考，相关内容以采购文件为准。