辽阳市城市运行管理服务平台建设（一期）项目（工程建设其他）竞争性磋商公告

辽阳市城市运行管理服务平台建设（一期）项目（工程建设其他）

001包：建设工程监理

（一）采购标的需实现的功能或者目标，以及为落实政府采购政策需满足的要求：

以网格化管理为基础，综合利用数字化城市管理信息系统等建设成果，纵向联通国家平台、省级平台，实现与国家、省、市级平台互联互通、数据共享、业务协同，形成国家、省、市三级城市运行管理服务工作体系；横向整合对接市级相关部门信息系统，汇聚全市城市运行管理服务数据资源，面向各级部门领导、管理员、坐席员、网格员、处置部门、运维人员和市民，实现对全市城市运行管理服务工作进行统筹协调、指挥调度、监督考核、监测预警、分析研判和综合评价。    

根据辽阳市信息化现状，充分利用已建数字城管平台、GIS地理信息系统，通过平台或系统升级改造、功能拓展、资源整合的方式建设本项目。此次项目建设内容包括业务指导系统、指挥协调系统、行业应用系统、公众服务系统、综合评价系统、决策建议系统、运行监测系统、应用维护系统以及全移动应用系统。运行监测系统新增燃气监管专题、供热监管专题、供水监管专题、排水监管专题、基础设施数据库、风险清单。通过GIS系统接入，上报供热、供水、排水等相关数据至城市运行管理服务平台。指挥协调系统在原有数字城管平台上新增重点任务反馈受理子系统。

本次采购服务内容为：对辽阳市城市运行管理服务平台建设（一期）项目建设内容进行全过程监理，以保证项目建设质量。

（二）采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准、规范:

《信息技术服务监理 第1部分：总则》GB/T 19668.1

《信息技术服务监理 第2部分：基础设施工程监理规范》GB/T 19668.2

《信息技术服务监理 第3部分：运行维护监理规范》GB/T 19668.3

《信息技术服务监理 第4部分：信息安全监理规范》GB/T 19668.4

《信息技术服务监理 第5部分：软件工程监理规范》GB/T 19668.5

《信息技术服务监理 第6部分：应用系统：数据中心工程监理规范》GB/T 19668.6。

（三）采购标的需满足的质量、安全、技术规格、物理特性等要求:

本项目属于软件和信息技术服务业。

（一）监理工作内容

监理单位应对本项目建设过程进行全程跟踪监理，包括相关设备采购、安装、软件开发、调试、试运行直至竣工验收；负责本项目建设质量、进度、成本、安全、保密控制，参与信息管理和合同管理，并提供相应的咨询和建议。力求项目的质量、进度、投资以及信息安全目标的实现，确保建设行为的合法性、科学性、合理性和经济性。

监理工作主要内容包含：

1、质量控制

监理单位建立严格的质量保证体系，制定项目实施质量控制方案和实施措施，并督促落实各环节质量控制内容和目标；保证项目实施与验收各个阶段工作满足招标人对质量的要求；监理单位根据整个项目实施的要求，定期对工作成果进行审查；并根据采购人要求开展项目的验收测试工作。

主要工作包括但不限于以下内容：

软件开发质量控制

（1）软件开发阶段

根据软件项目开发计划和软件项目监理规划，制定软件项目质量控制监理实施细则；根据监理实施细则及各开发阶段的质量控制标准和要求，收集有关信息，审查有关文档，对软件项目进行质量控制跟踪监理；

负责对软件开发承建单位的开发工作进行监控，符合国家法律法规、有关政策和相关技术标准，制止开发行为随意性和盲目性，促使开发进度、质量按合同约定实现；

促进采购人与软件开发承建单位的有效沟通，使软件开发承建单位能够全面准确了解用户的实际需求，同时用户能及时了解项目的进展情况；

负责对软件开发阶段性计划进行审核和确认；并利用与之相应的审核、评审、监理机制和手段对其执行过程进行有效控制；

负责对软件开发项目的需求分析、概要设计、详细设计了解和掌握，并对软件开发、软件测试与软件验收各个阶段进行把关；

审核和确认软件开发承建单位软件编码与单元测试工作，并对关键系统模块进行代码走查，抽查系统单元测试的记录，审查系统单元测试报告。检查源代码是否符合软件编码规范；

促使系统的关键技术指标在项目实施过程中处于受控状态，及早预测和发现可能影响施工计划的各种因素，及时纠正可能影响系统功能与性能的缺陷；

为保障软件开发质量，监理单位应重点对软件开发文档进行严格质量控制，促进软件文档达到相关标准规范及验收的要求，保障软件开发过程可追溯，保障项目验收工作的顺利开展；

审核软件文档、源代码、应用程序的一致性，验收通过后移交采购人。

（2）软件测试阶段

监督和控制承建单位的软件测试过程，确保软件测试按照承建单位的测试文档规范和业主的软件要求实施；

监督和控制软件测试反映、记录软件产品的真实情况；

监督和控制软件测试的各个阶段按计划步骤实施；

监督和控制软件测试反映出的问题能有效地按回归测试规范进行处理；

监督和控制软件测试的进度与计划保持一致性；

监督和确认软件产品集符合合同约定的软件任务书要求。

2.系统集成质量控制

（1）施工准备阶段的质量控制

审批施工设计方案，严格要求承建单位按照方案施工；

综合评价设计方案，对方案中的问题提出监理意见及建议；

依照承建合同对承建方要采购的设备进行评估，包括品牌、数量、详细配置等，并审核签认；

审核承建方提供的项目组织计划及实施计划；

审核承建方提供的项目进度计划，当实际进度落后于进度计划时，督促承建方采取纠偏手段，并监督其实施。

（2）设备及工程材料到货的质量控制

审查合同及附件有关设备到货安排，如果设备涉及进口环节，还要审查设备进口所需政府相关部门的批准文件；

依照检验规程对相关设备进行检验；

审核确认对工程材料质量的审查；

审核确认设备及材料到货验收。

（3）系统实施阶段的质量控制

负责检查实施过程中出现的质量缺陷，要求承建单位整改，并检查整改结果；

监督管理各子系统设备的安装、调试及配置，达到相应设计方案中的技术指标和性能；

检查确认各分项目实施情况；

负责对阶段性施工结果的检测过程进行监理，对结果进行记录；

负责组织实施对安装调试和安装结果进行全面检查。

（4）竣工验收阶段质量控制

负责对项目培训进行监理确认，保证项目培训的质量；

负责对试运行阶段进行监理确认，保证项目试运行的质量；

负责对项目文档的完备性进一步进行审查，并结合试运行的结果审查文档是否有变更，是否准确；

审查项目完成情况，是否达到立项时提出的项目建设目标，是否按项目建设合同完成项目；

审核涉及到产权的文档是否完备、准确；

审核各种测试报告是否齐全、有效；

负责对项目是否满足终验要求给出审查意见，对符合要求的，协助建设单位组织验收；

负责根据验收结果，核实已完成工程的数量、质量，报送建设方作为支付工程价款的依据。

（5）系统安全质量控制

负责系统安全方案的审核和确认；

负责对安全系统的采购、安装、调试、配置过程的监督。

（6）培训的质量控制

审核确认承建单位的培训计划；

监督承建单位实施其培训计划，并征求用户的反馈意见；

审核确认承建单位的培训总结报告。

3、项目进度控制

监理单位应针对项目的不同阶段和过程进行分析，并提出各阶段的进入条件、主要开发或实施内容，阶段成果与阶段结束标志，对阶段的交付物有严格的评审流程和制度；

监理单位对于进度的偏差现象，能通过科学的手段分析进度偏差的原因，并适当提出建议；

监理单位对于项目进度计划中的各级进度计划及具体活动和任务的进度与执行情况进行监管。主要工作包括但不限于以下内容：

（1）监督检查系统集成商制定的工程实施计划，反馈并确定合理的工期进度；

（2）审查各子项目的系统建设设计方案、招标文件的进度计划，监督计划的执行；

（3）采用先进的项目管理工具，如：WBS，甘特图等，确定各子项目建设安装的工序顺序，控制项目施工进度；

（4）发现系统建设进程未能按计划进行时，要求承建单位调整或修改计划，采取必要措施加快采购进度，以使实际施工进度符合合同的要求；

（5）当系统建设进度拖后可能导致合同工期严重延误时，有责任作详细报告分析原因和提出对策，供建设单位采取措施或做出决定。

4、项目投资控制

（1）协助采购人将付款进度与项目质量进度结合起来；动态管理跟踪项目建设成本，进行成本、费用控制和分析；严格控制和审查项目变更，核算成本和变化量；

（2）根据项目变更流程，合理组织项目变更，明确界定项目变更的目标，防止变更范围的扩大化，加强变更风险以及变更效果的评估；任何变更都要得到三方（建设单位、监理单位和承建单位）的书面确认；

（3）协助违约及索赔核查；

（4）负责项目决算初审工作，并及时将审核结果上报采购人。审核项目量清单及造价和项目竣工结算等。

5、项目合同管理

监理单位应采取主动控制和被动控制两种方式对合同进行管理和控制，主动控制是预先分析目标偏离的可能性，拟定和采取预防性措施；被动控制是从合同的执行中发现偏差，对偏差采取措施及时纠正的控制方式；

监理单位应建立合同及信息管理制度，对项目的所有指令、批复、报告均以书面形式进行，并全部归档；

监理单位应跟踪检查合同的执行情况，督促各方严格履行合同，严格按规定的程序和时限对合同工期的延误和延期进行审核确认，严格按规定的程序和时限对合同的变更、索赔等事宜进行审核确认；

监理单位应积极协调、处理合同争端，及时记录和纠正承建单位的违约行为；

监理单位应建立监理工作的合同档案管理体系，制定合同档案管理制度，并按照相关要求开展合同档案的具体工作。主要工作包括但不限于以下内容：

（1）协助采购人与承建单位进行合同谈判、签订合同；

（2）监督检查承建单位履行合同；

（3）协助采购人处理建设项目实施的每个过程出现的违约、索赔、延期、分包、纠纷调解及仲裁等问题；

（4）跟踪检查合同的执行情况，确保承建单位按时履约；

（5）对合同工期的延误和延期进行审核确认；对项目暂停，复工等事宜进行审核确认；对合同变更、索赔、违约等事宜进行审核确认；

（6）根据合同约定，审核承建单位提交的支付申请。

6、信息管理

监理单位应对所有资料进行分期、分类（素材、合同、协议）管理，保证资料与实际情况的统一；

监理单位应遵守保密原则，确保各方技术信息不流失；

监理单位应做好相关文档的记录与存档，包括监理日记及工程大事记，合同批复等往来文件，项目协调会、技术专题会的会议纪要；

监理单位应做好对项目成果的管理、审核与发布工作；

监理单位在监理实施过程中应统一定义文档格式、文档版本管理体系，并根据档案管理的要求，制定文档的存档标准。主要工作包括但不限于以下内容：

（1）及时向采购人提交反映项目动态和监理工作情况的项目文档；

（2）建立全面、准确反映项目各阶段状况的图表、文档，收集、管理项目各类文档和资料；

（3）督促、检查施工方及时完成各阶段设备资料、项目技术资料的整理和归档工作，监理要确认各类资料必须符合国家规范格式；

（4）转发采购人发出的一切指示、通知和业务联系单；

（5）当系统建设出现质量问题或严重偏离计划时，应及时向采购人报告，并提出对策建议，同时督促承建单位尽快采取措施；

（6）根据采购人要求提出相应的项目文档管理规范；做好合同批复等各类往来文件的批复与存档；项目协调会、技术专题会的会议纪要；管理好实施期间的各类技术文档。

7、项目安全的管理

监理单位应在项目建设过程中，保证信息系统的安全，在可用性、保密性、完整性与信息系统工程的可维护性技术环节上没有冲突；

监理单位应在成本控制的前提下，确保信息系统安全设计上没有漏洞；

监理单位应保证相关人员在安全管理制度和安全规范下严格执行安全操作和管理，建立安全意识；

监理单位应监督承建单位按照技术标准和建设方案施工，检查承建单位是否存在设计过程中的非安全隐患行为或现象等，确保整个项目建设过程中的安全建设和安全应用。主要工作包括但不限于以下内容：

（1）审核监测项目建设的有关安全保密项目技术方案；

（2）负责项目建设施工过程中安全控制，防止出现安全事故；

（3）检查督促承建单位建立、完善安全生产制度；

（4）组织项目安全事故的调查与处理；

（5）确立项目安全监督的工作目标。

8、项目的协调和组织

（1）确定承建单位的工作范围和职责；建立畅通的沟通平台和沟通渠道，采取有效措施使项目信息在有关各方之间保持顺畅流通，积极协调项目各方之间的关系，推动项目实施过程中问题的解决；

（2）接受委托，负责协调项目所涉及的各单位之间的工作关系，并协调解决项目建设过程中的各类纠纷；监督各方履行职责，协调各方的工作关系；

（3）通过必要的会议制度实施协调工作。

（二）监理工作要求

遵照国家有关信息化监理项目规范，以“守法、诚信、公正、科学”的准则执业，维护建设方与承建方的合法权益。具体应做到：

监理工作质量要求：监理单位应该在质量控制、进度控制、知识产权控制、安全控制、信息管理、合同管理等几个方面对所监理项目采取必要和完善的监督、控制和管理，保证监理项目能够按时、按质、按量竣工。

同时，监理单位应建立合理的自我质量控制体系，确保监理单位自身的有效组织和管理。

（三）项目组织管理

监理单位根据项目需要，配备项目监理工作所需要的人员；监理过程中，监理组人员应按科学、认真的工作态度开展监理工作，并承担采购人与承建单位的信息保密义务。在采购人未提出更换的情况下，中标人如更换总监理师和其它驻场的监理工程师，需征得采购人的同意更换相应资格的总监理师和驻场的监理工程师。

（四）项目验收

监理单位按照采购合同的约定和现行国家标准、行业标准、天津市相关单位对本项目提出的验收标准、监理服务合同，在合同期内有效完成系统建设实施的监督管理，对每一项技术、服务、安全标准的履约情况进行确认，应对所有正式交付件的综合质量审查负责，制定各交付件的相关责任人，明确相关职责。提交验收方案，供采购人和最终用户参考，并组织承建单位做好验收、移交工作。

（五）、其他要求

1. 现场保障

（2）每名技术人员配备通讯设施，保证 24 小时随时沟通。

（3）配备技术现场安全用具，确保人员安全。

（4）配备完善的办公用品，如笔记本电脑、打印机、传真机等器材。

（5）制定完善的文明监理工作制度。

（7）其它有关本项目现场保障设备由监理人自行解决。

2 按实际实施项目提供项目的服务方案

（1）项目概况

（2）服务工作内容

（3）项目服务目标

（4）技术保障措施

（5）服务工作流程

（6）项目组织机构

（7）服务设备的配备

（8）其他须说明的问题

3. 其它

（1）供应商对有关采购单位信息化建设项目的资料和信息保密。

（2）供应商不得与设计单位、建设承包人及软件开发商、设备供应商发生经济利益关系，不得利用所处地位通过上述单位直接或间接获益处。

（3）按照此项目协议的内容,为采购单位提供合格的监理服务；

（4）根据采购单位要求,诚信合法、专业高效地提供监理服务；

（5）根据采购单位的要求，服务单位要按照行业规范及相关行业管理要求开展各项工作。

供应商必须承诺：中标后，投标文件中的人员全部参与全过程服务工作，如因特殊原因更换现场实施人员，需征得采购单位同意，所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

（6）服务人员工作中发生的交通、食宿等所有费用由中标单位负担。

（7）涉密项目必须按照国家相关保密标准及保密管理体系进行监理。

（四）采购标的的数量、采购项目交付或者实施的时间和地点

交付时间为根据采购人要求。

履约期限为合同签订之日起至所有项目验收通过之日止。（最终以合同签订为准）

履约地点为辽阳市。（具体履约地点，最终以合同签订为准）

（五）采购标的需满足的服务标准、期限、效率等要求

供应商提供的服务质量应需满足采购人及行业一般标准、在要求期限内提供服务。

（六）采购标的的验收标准

按照《关于印发辽宁省政府采购履约验收管理办法的通知》[辽政采(2017)603号]规定执行及招标文件要求,满足采购人要求。

（七）采购标的的其他技术、服务等要求

供应商需确保所提供的所有服务严格符合标准要求。如出现任何偏差，必须立即响应采购人要求，迅速调整并采取一切必要措施予以纠正，确保问题得到及时有效的解决。

服务需求最终以合同签订为准。

辽阳市城市运行管理服务平台建设（一期）项目（工程建设其他）

002包：等保测评（网络安全等级保护三级系统1个）

（一）采购标的需实现的功能或者目标，以及为落实政府采购政策需满足的要求：

以网格化管理为基础，综合利用数字化城市管理信息系统等建设成果，纵向联通国家平台、省级平台，实现与国家、省、市级平台互联互通、数据共享、业务协同，形成国家、省、市三级城市运行管理服务工作体系；横向整合对接市级相关部门信息系统，汇聚全市城市运行管理服务数据资源，面向各级部门领导、管理员、坐席员、网格员、处置部门、运维人员和市民，实现对全市城市运行管理服务工作进行统筹协调、指挥调度、监督考核、监测预警、分析研判和综合评价。    

根据辽阳市信息化现状，充分利用已建数字城管平台、GIS地理信息系统，通过平台或系统升级改造、功能拓展、资源整合的方式建设本项目。此次项目建设内容包括业务指导系统、指挥协调系统、行业应用系统、公众服务系统、综合评价系统、决策建议系统、运行监测系统、应用维护系统以及全移动应用系统。运行监测系统新增燃气监管专题、供热监管专题、供水监管专题、排水监管专题、基础设施数据库、风险清单。通过GIS系统接入，上报供热、供水、排水等相关数据至城市运行管理服务平台。指挥协调系统在原有数字城管平台上新增重点任务反馈受理子系统。

本次采购的总体任务为提供辽阳市城市运行管理服务平台建设（一期）项目等级保护测评服务。

（二）采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准、规范:

《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019；

《信息安全技术网络安全等级保护定级指南》GB/T 22240-2020；

《信息安全技术网络安全等级保护测评要求》GB/T 28448-2019；

《信息安全技术信息安全风险评估方法》GB/T 20984-2022。

（三）采购标的需满足的质量、安全、技术规格、物理特性等要求:

网络安全等级保护测评服务范围如下：

对以下系统实施网络安全等级保护测评服务。

1.商务要求

1.1 磋商报价以人民币填列。

1.2 供应商的报价应包括：人员费、测评费、设备使用费、咨询费、软件费用、售后费用、管理费及税金等为完成招标文件规定的一切工作所需的全部费用。

1.3 供应商所报价格为最优惠总价，包括完成磋商文件全部工作内容所需的一切费用。

1.4 验收相关费用由供应商负责。

1.5 供应商必须在报价中根据招标人实际情况列出总体价格。

★2.技术要求

2.1 供应商须承诺所提供的服务、人员及设备符合相关强制性规定，符合国家地方管理部门法律、法规、规范的要求；满足相关管理部门对成果审核的要求。交付使用时采购人有权要求供应商出具所提供服务、产品符合上述规定的证明文件。

2.2 供应商须具备履行合同所必需的专业技术能力。

★3.服务要求

3.1 对上述测评对象未进行定级备案的系统辅助运营主管单位完成定级备案工作，需要定级备案资料更新的，则协助进行相关资料收集更新及备案资料填报工作。

3.2 根据国家标准对各系统进行等级保护测评，由高级测评师根据《等保测评过程指南》编写项目计划书，编写针对各系统的等级保护测评的实施方案、测评方法，测评指导书等，编写各种测评调查表单，编写测评结果汇总表，编写测评报告，编写系统整改建议书。

3.3 在运营使用单位整改期间根据项目进度实施等级保护测评差距分析，对网络安全措施部署情况进行测评，提出整改建议，并协助运营使用单位在整改期间进行整改。

3.4 网络安全等级保护测评的实施方案、工作计划等文档内容要与本次项目被测评系统结构相符合，要求测评单位熟悉网站系统应用开发建设过程与应用现状，编写测评实施保障措施，应急处理预案等，可有效保障测评安全，及时有效处理测评中出现的问题。

3.5 供应商应具备完善的网络安全等级保护2.0测评方案，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理等。

3.6 供应商须在投标方案中明确信息安全技术服务的工作方法、工作计划和服务内容，并明确提出项目实施所需的硬件、软件和网络等所需的资源要求，确认项目总体方案中的一切相关费用，均已包含在最终报价中。

3.7 供应商在等级保护服务中必须提交国家规定格式的等级保护测评报告，并以此作为验收标准。

3.8 相关其他服务工作内容，应提供详细的服务实施方案，明确保障服务实现的措施。

★4.其他要求

4.1 供应商需出具服务承诺。

4.2 所有参与本项目运维的人员需与供应商签署正式保密协议, 供应商需与采购人签署正式保密协议, 配合采购人进行背景审查等数据安全管理工作。

4.3 供应商须遵守采购人的数据安全管理要求, 落实数据安全责任, 制定并遵守各类安全防护措施, 履行数据安全保护义务。

（四）采购标的的数量、采购项目交付或者实施的时间和地点

单个项目测评后30个工作日内交付,履约期限为交付验收合格之日起一年。（最终以合同签订为准）

履约地点为辽阳市。（具体履约地点，最终以合同签订为准）

（五）采购标的需满足的服务标准、期限、效率等要求

供应商提供的服务质量应需满足采购人及行业一般标准、在要求期限内提供服务。

（六）采购标的的验收标准

按照《关于印发辽宁省政府采购履约验收管理办法的通知》[辽政采(2017)603号]规定执行及招标文件要求,满足采购人要求。

（七）采购标的的其他技术、服务等要求

供应商需确保所提供的所有服务严格符合标准要求。如出现任何偏差，必须立即响应采购人要求，迅速调整并采取一切必要措施予以纠正，确保问题得到及时有效的解决。

服务需求最终以合同签订为准。

辽阳市城市运行管理服务平台建设（一期）项目（工程建设其他）

003包：密码应用安全性评估（1个系统）

（一）采购标的需实现的功能或者目标，以及为落实政府采购政策需满足的要求：

以网格化管理为基础，综合利用数字化城市管理信息系统等建设成果，纵向联通国家平台、省级平台，实现与国家、省、市级平台互联互通、数据共享、业务协同，形成国家、省、市三级城市运行管理服务工作体系；横向整合对接市级相关部门信息系统，汇聚全市城市运行管理服务数据资源，面向各级部门领导、管理员、坐席员、网格员、处置部门、运维人员和市民，实现对全市城市运行管理服务工作进行统筹协调、指挥调度、监督考核、监测预警、分析研判和综合评价。    

根据辽阳市信息化现状，充分利用已建数字城管平台、GIS地理信息系统，通过平台或系统升级改造、功能拓展、资源整合的方式建设本项目。此次项目建设内容包括业务指导系统、指挥协调系统、行业应用系统、公众服务系统、综合评价系统、决策建议系统、运行监测系统、应用维护系统以及全移动应用系统。运行监测系统新增燃气监管专题、供热监管专题、供水监管专题、排水监管专题、基础设施数据库、风险清单。通过GIS系统接入，上报供热、供水、排水等相关数据至城市运行管理服务平台。指挥协调系统在原有数字城管平台上新增重点任务反馈受理子系统。

本次采购的总体任务为提供辽阳市城市运行管理服务平台建设（一期）项目商用密码应用安全评估服务。

（二）采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准、规范:

《信息安全技术信息系统密码应用基本要求》GB/T 39786-2021；

《信息安全技术信息系统密码应用测评要求》GB/T 43206-2023；

《信息安全技术信息系统密码应用设计指南》GB/T 43207-2023。

（三）采购标的需满足的质量、安全、技术规格、物理特性等要求:

★1.服务内容：

依据《密码法》《商用密码应用安全性评估管理办法》《国家政务信息化项目建设管理办法》(国办发(2019)57号)等法律法规中“同步规划、同步建设、同步运行、定期评估”相关要求开展密码应用安全性评估工作。对本项目涉及的重要信息系统进行商用密码应用安全性评估，交付《商用密码应用安全性评估报告》。

★2.服务要求：

★2.1 供应商需提供针对本项目的服务方案，包括项目人员名单、角色分工、项目实施计划、服务需要使用的工具等。

3.具体技术标准和要求：

3.1 商用密码应用安全性评估服务要求

★3.1.1 总体要求

依据GB/T 39786-2021 《信息系统密码应用基本要求》等国家和行业商用密码相关规范标准，在服务期内，辽阳市城市运行管理服务平台建设（一期）项目按我省有关密码应用要求进行商用密码应用安全性评估，测评内容为：商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。出具商用密码应用安全性评估报告。

★3.1.2 详细要求

（1） 商用密码总体要求测评

1）密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

2）密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

3）密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

4）密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（2） 密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能，对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制，监控设备的物理访问控制，以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备，通信双方的身份认证过程，通信数据完整性，敏感信息数据字段机密性，网络边界访问控制信息完整性，系统资源访问控制信息完整性，安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程，系统设备和计算环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要程序或文件完整性，信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能，对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程，系统应用和数据操作环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要数据传输过程的机密性、完整性，重要信息存储过程的机密性、完整性，重要程序的加载和卸载过程，信息系统应用相关实体行为不可否认性，信息系统应用和数据操作环境的日志记录完整性。

（3）密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节，以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成，密钥存储，密钥分发，密钥导入，密钥导出，密钥使用，密钥备份，密钥恢复，密钥归档，密钥销毁。

（4）安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度，人员管控，信息系统实施，应急预案。

1）安全管理制度维度，包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容，密码相关操作规范、安全操作规范，安全管理制度的合理性和适用性论证与审定，安全管理制度的改进和修订，安全管理制度的发布，安全管理制度的执行。

2）人员管控维度，包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用，关键岗位划分，相关人员职责与权限划分，岗位责任制与人员制约、监督机制，管理和使用账号，人员培训、人员选拔，人员考核、奖惩与调离，人员保密措施。

3）信息系统实施维度，包括但不限于下列内容与措施：信息系统规划，信息系统建设方案，信息系统密码产品、服务选用，信息系统运行前与定期评估，信息系统整改。

4）应急预案维度，包括但不限于下列内容与措施：应急预案，应急资源准备，应急情况与处置，上级主管部门应急报告，同级密码主管部门应急报告。

★3.2其它要求

供应商自行解决服务期间办公用房（驻场人员在现场办公的用房由招标人提供）、交通与通讯设施、服务单位人员住宿。投标报价应包括为完成本服务内容可能发生的各项费用，如工作、生活、交通、通讯、设备（仪器）、劳力、利润、税收等，以及所有有关的管理成本。

（四）采购标的的数量、采购项目交付或者实施的时间和地点

单个项目评估后30个工作日内交付，履约期限为交付验收合格之日起一年。（最终以合同签订为准）

履约地点为辽阳市。（具体履约地点，最终以合同签订为准）

（五）采购标的需满足的服务标准、期限、效率等要求

供应商提供的服务质量应需满足采购人及行业一般标准、在要求期限内提供服务。

（六）采购标的的验收标准

按照《关于印发辽宁省政府采购履约验收管理办法的通知》[辽政采(2017)603号]规定执行及招标文件要求,满足采购人要求。

（七）采购标的的其他技术、服务等要求

供应商需确保所提供的所有服务严格符合标准要求。如出现任何偏差，必须立即响应采购人要求，迅速调整并采取一切必要措施予以纠正，确保问题得到及时有效的解决。

服务需求最终以合同签订为准。