昆明市市場監督管理局關于信息化管理平臺密評項目政府購買服務計劃的函
昆明市財政局:
根據《昆明市人民政府辦公廳關于推進政府購買服務的實施意見(暫行)》(昆政辦〔****〕**號)《昆明市市本級政府購買服務指導性目錄(****年版)》(昆財綜〔****〕**號)的文件要求,為貫徹落實國家密碼管理局相關要求,依據**/******-****《信息安全技術信息系統密碼應用基本要求》和**/******-****《信息安全技術一信息系統密碼應用評估要求》等文件要求,全面推進昆明市市場監督管理局商用密碼應用建設工作有序開展,我單位擬采用政府購買服務的方式,開展昆明市市場主體信用信息服務監管平臺和網絡平臺經營戶申報系統二合一以及智慧市場監管信息化管理平臺密評項目服務工作。項目具體如下:
信息化管理平臺密評項目從****年度年初部門預算“網絡交易監管與信息化建設經費”和“‘互聯網+明廚亮灶’智慧賦能校園食品安全監管數據處理服務經費”中安排費用(購買目錄代碼及三級目錄代碼名稱:數據處理服務B****)。
現已擬制完成購買服務計劃書,特申請進行公示開展政府購買服務工作。
當否,請示!
昆明市市場監督管理局
****年**月**日
附件
昆明市市場監督管理局關于購買信息化管理平臺密評項目服務的計劃
按照《中華人民共和國密碼法》,第二十七條規定法律、行政法規和國家有關規定要求使用商用密碼進行保護的關鍵信息基礎設施,其運營者應當使用商用密碼進行保護,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。商用密碼應用安全性評估應當與關鍵信息基礎設施安全檢測評估、網絡安全等級測評制度相銜接,避免重復評估、測評。關鍵信息基礎設施的運營者采購涉及商用密碼的網絡產品和服務,可能影響國家安全的,應當按照《中華人民共和國網絡安全法》的規定,通過國家網信部門會同國家密碼管理部門等有關部門組織的國家安全審查。《商用密碼管理條例》第三十八條規定非涉密的關鍵信息基礎設施、商用密碼應用第三級以上網絡、國家政務信息系統等網絡與信息系統,其運營者應當使用商用密碼進行保護,制定商用密碼應用方案,配備必要的資金和專業人員,同步規劃、同步建設、同步運行商用密碼保障系統,自行或者委托商用密碼檢測機構開展商用密碼應用安全性評估。《國家政務信息化項目建設管理辦法》第十五條規定項目建設單位應當落實國家密碼管理有關法律法規和標準規范的要求,同步規劃、同步建設、同步運行密碼保障系統并定期進行評估。第十六條規定項目應當采用安全可靠的軟硬件產品。在項目報批階段,要對產品的安全可靠情況進行說明。項目軟硬件產品的安全可靠情況,項目密碼應用和安全審查情況,以及硬件設備和新建數據中心能源利用效率情況是項目驗收的重要內容。為貫徹落實國家密碼管理局相關要求,依據**/******-****《信息安全技術信息系統密碼應用基本要求》和**/******-****《信息安全技術一信息系統密碼應用評估要求》等文件要求,全面推進昆明市市場監督管理局商用密碼應用建設工作有序開展,根據《關于進一步加強和規范政府購買服務工作的通知》(云財綜〔****〕**號)、《昆明市市本級政府購買服務指導性目錄(****年版)》(昆財綜〔****〕**號)文件精神,我單位擬采用政府購買服務的方式,開展昆明市市場主體信用信息服務監管平臺和網絡平臺經營戶申報系統二合一以及智慧市場監管信息化管理平臺密評項目工作,編制購買服務計劃如下:
一、 項目名稱
信息化管理平臺密評(購買目錄代碼及三級目錄代碼名稱:數據處理服務B****)。
二、購買主體
單位名稱:昆明市市場監督管理局
三、項目概況
(一)本項目主要工作內容:
該項目包括昆明市市場主體信用信息服務監管平臺和網絡平臺經營戶申報系統二合一密評以及昆明市智慧市場監管信息化管理平臺密評。根據監管平臺商用密碼應用安全要求等級,結合相關國家標準和要求,確定系統整體檢查的具體內容,在密碼應用符合安全評估的基礎上,重點關注信息系統的身份鑒別、數據加密、數據簽名等密碼功能由密碼算法、密碼技術、密碼產品、密碼服務等提供,從信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全的各個層面提供全面整體的密碼應用安全技術支撐,保障信息系統的用戶身份真實性、重要數據的機密性和完整性、操作行為的不可否認性等。密碼應用安全性評估工作包括但不限于以下層面:
| 指標體系 |
| 技術要求 |
物理和環境安全 |
身份鑒別 |
| 電子門禁記錄數據完整性 |
| 視頻監控記錄數據存儲完整性 |
| 密碼服務 |
| 密碼產品 |
| 網絡和通信安全 |
身份鑒別 |
| 通信數據完整性 |
| 通信過程中重要數據的機密性 |
| 網絡邊界訪問控制信息的完整性 |
| 安全接入認證 |
| 密碼服務 |
| 密碼產品 |
| 設備和計算安全 |
身份鑒別 |
| 遠程管理通道安全 |
| 系統資源訪問控制信息完整性 |
| 重要信息資源安全標記完整性 |
| 日志記錄完整性 |
| 重要可執行程序完整性、重要可執行程序來源真實性 |
| 密碼服務 |
| 密碼產品 |
| 應用和數據安全 |
身份鑒別 |
| 訪問控制信息完整性 |
| 重要信息資源安全標記完整性 |
| 重要數據傳輸機密性 |
| 重要數據存儲機密性 |
| 重要數據傳輸完整性 |
| 重要數據存儲完整性 |
| 不可否認性 |
| 密碼服務 |
| 密碼產品 |
| 管理要求 |
管理制度 |
具備密碼應用安全管理制度 |
| 密鑰管理規則 |
| 建立操作規程 |
| 定期修訂安全管理制度 |
| 明確管理制度發布流程 |
| 制度執行過程記錄留存 |
| 人員管理 |
了解并遵守密碼相關法律法規和密碼管理制度 |
| 建立密碼應用崗位責任制度 |
| 建立上崗人員培訓制度 |
| 定期進行安全崗位人員考核 |
| 建立關鍵崗位人員保密制度和調離制度 |
| 建設運行 |
制定密碼應用方案 |
| 制定密鑰安全管理策略 |
| 制定實施方案 |
| 投入運行前進行密碼應用安全性評估 |
| 定期開展密碼應用安全性評估及攻防對抗演習 |
| 應急處置 |
應急預案 |
| 事件處置 |
| 向有關主管部門上報處置情況 |
(二)本項目實施目的和意義:
滿足法律法規要求:根據《中華人民共和國密碼法》和《商用密碼管理條例》等法律法規,商用密碼應用安全性評估是法定要求,對密碼應用的合規性、正確性和有效性進行評估。
通過評估,可以規范密碼技術的應用,確保密碼協議、密鑰管理系統、密碼應用子系統和密碼安全防護機制在系統運行過程中能夠發揮效用,保障信息的機密性、完整性和真實性。
能夠發現并解決商用密碼應用中存在的問題,通過“以評促建、以評促改、以評促用”,逐步規范商用密碼的應用,切實保障國家網絡和信息安全。
四、預算資金
(一)項目金額:**萬元;
(二)資金來源:昆明市市場主體信用信息服務監管平臺和網絡平臺經營戶申報系統二合一密評項目從“網絡交易監管與信息化建設經費”中列支6萬;昆明市智慧市場監管信息化管理平臺密評項目從“互聯網+明廚亮灶”智慧賦能校園食品安全監管數據處理服務經費中列支6萬。
五、承接標準
(一)有合法主體經營資格的企業;
(二)為國家密碼管理局公告(第**號)的《商用密碼檢測機構(商用密碼應用安全性評估業務)目錄》單位,或經國家密碼管理局認定,依法取得商用密碼檢測機構資質的單位。
(三)有良好的商業信譽,各項記錄良好,沒有重大違法記錄;
(四)承接主體應當按照簽訂的服務協議要求,認真做好相關服務工作,確保各項服務工作按要求完成。
六、目標要求
通過對被評估系統開展商用密碼應用安全性評估工作,解決商用密碼應用中存在的突出問題,為網絡和信息系統的安全提供科學評價方法,逐步規范商用密碼的使用和管理。了解該系統的密碼應用情況,核查其密碼應用的合規性、正確性和有效性,密碼技術、密碼產品、密碼管理等方面是否符合相關標準,找出存在的安全風險,分析安全建設差距,提出安全整改建議,并以此為基礎,進一步制定安全建設整改方案,完善保護措施,使該系統滿足我國關于密碼應用的具體要求,增加信息系統安全的規范性和有效性,提高本單位的安全意識,增強網絡的抗攻擊的能力,保證被測系統正常運轉。
七、購買方式
根據《云南省人民政府辦公廳關于印發云南省政府集中采購目錄及標準(****年版)的通知》(云政辦函〔****〕*號)文件規定,集中采購機構采購項目及部門集中采購項目之外屬于分散采購,單項或批量金額在**萬元(不含)以下的項目,不屬于政府采購范圍,由昆明市市場監督管理局按照內控、財務制度執行。
八、資金支付和聯系方式
按照簽訂的購買服務協議內容支付服務費用。
聯系人:嚴明 電話:****-********
昆明市市場監督管理局
****年**月**日
昆明市財政局關于昆明市市場監督管理局購買信息化管理平臺密評項目服務計劃的函
昆明市市場監督管理局:
你們報來的“購買信息化管理平臺密評項目服務的計劃”收悉。我局同意你單位“購買信息化管理平臺密評項目服務的計劃”請嚴格按照《政府購買服務管理辦法》(財政部第***號令)、《昆明市市本級政府購買服務指導性目錄(****年版)(昆財綜(****]**號)文件要求組織實施。
此函。
昆明市財政局
****年**月**日
