| *-* |
測試評估認證服務(wù) |
服務(wù) |
對 *.省級公安統(tǒng)計數(shù)據(jù)綜合應(yīng)用平臺、*.陜西省公安廳信訪人員管理子系統(tǒng)、*.陜西省社會治安防控體系智慧內(nèi)保平臺、*.陜西省居民身份證相片采集檢測系統(tǒng)和陜西省居民身份證互聯(lián)網(wǎng)應(yīng)用系統(tǒng)、*.陜西公安出入境便民服務(wù)系統(tǒng) 進行密碼應(yīng)用與安全性評估。 |
技術(shù)要求 密碼應(yīng)用安全性評估是對采用密碼技術(shù)、產(chǎn)品和服務(wù)集成建設(shè)的網(wǎng)絡(luò)和信息系統(tǒng)密碼應(yīng)用的合規(guī)性、正確性、有效性所進行的評估。由國家密碼管理局認定的密碼應(yīng)用安全性評估機構(gòu),對網(wǎng)絡(luò)和信息系統(tǒng)的物理環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)、密鑰管理及安全管理進行密碼測評。 (*)物理環(huán)境測評。主要檢測重要場所、監(jiān)控設(shè)備的物理訪問控制密碼應(yīng)用情況,物理訪問控制記錄、視頻記錄信息等敏感信息的完整性保護密碼應(yīng)用情況。 (*)網(wǎng)絡(luò)和通信測評。主要檢測連接到內(nèi)部網(wǎng)絡(luò)設(shè)備安全認證、通信雙方身份認證、通信過程中數(shù)據(jù)完整性保護、通信過程中的敏感信息字段或整個報文的機密性保護、網(wǎng)絡(luò)邊界訪問控制信息、系統(tǒng)資源訪問控制信息的完整性保護密碼應(yīng)用情況。 (*)設(shè)備和計算測評。主要檢測登錄用戶的身份鑒別密碼應(yīng)用情況,系統(tǒng)資源訪問控制信息、重要信息資源敏感標記、重要程序或文件、日志記錄的完整性保護密碼應(yīng)用情況。 (*)應(yīng)用和數(shù)據(jù)測評。主要檢測登錄用戶的身份鑒別密碼應(yīng)用情況,系統(tǒng)資源訪問控制信息、重要資源敏感標記、日志記錄的完整性保護密碼應(yīng)用情況,重要數(shù)據(jù)在傳輸和存儲過程中機密性、完整性保護密碼應(yīng)用情況。 (*)密鑰管理測評。主要檢測信息系統(tǒng)密鑰管理各個環(huán)節(jié)和策略制定全過程是否符合要求,包括密鑰生成、存儲、分發(fā)、導(dǎo)入、導(dǎo)出、使用、備份、恢復(fù)、歸檔與銷毀等全生命周期,確認各個環(huán)節(jié)是否采用了嚴格有效的安全防護措施。 (*)安全管理測評。主要檢查密碼安全管理制度及安全操作規(guī)范的建立情況,管理人員掌握和遵守密碼相關(guān)法律法規(guī)情況,密碼管理和密碼技術(shù)專業(yè)崗位設(shè)置情況,密碼應(yīng)用方案、應(yīng)急預(yù)案建立和執(zhí)行情況。 評估工作要求 (*)供應(yīng)商應(yīng)依據(jù)國家密碼法規(guī)、密碼應(yīng)用相關(guān)技術(shù)標準,采用科學(xué)的測評方法、流程和工作規(guī)范開展商用密碼應(yīng)用安全性評估工作。供應(yīng)商應(yīng)具備商用密碼應(yīng)用安全性技術(shù)測評實施、管理測評實施、系統(tǒng)整體評估能力。供應(yīng)商為本項目配備能夠依據(jù)測評結(jié)果做出專業(yè)判斷以及出具測評報告的能力的測評人員,測評人員必須為通過國家密碼管理部門(或其授權(quán)的機構(gòu))組織的考核(即商用密碼應(yīng)用安全性評估人員測評能力考核證書),遵守國家有關(guān)法律法規(guī),按照相關(guān)標準,為用戶提供安全、客觀、公正的評估服務(wù),保證評估的質(zhì)量和效果。 (*)供應(yīng)商應(yīng)具有完善的測評方案,有計劃、按步驟地開展測評工作,且測評方案應(yīng)專業(yè)性強,對系統(tǒng)現(xiàn)狀及需求理解應(yīng)準確,方案應(yīng)科學(xué)合理,內(nèi)容應(yīng)完整、可靠性強,實施方法和技術(shù)措施應(yīng)可操作性和有效性強,在簽訂密評合同后供應(yīng)商應(yīng)立即成立密評工作小組,并嚴格按照合同履行密評責(zé)任。 (*)為保障密評過程中可能涉及的重要數(shù)據(jù)和敏感信息的安全,供應(yīng)商應(yīng)配有相關(guān)能力支撐的保密辦公區(qū),并具備安全保密管理制度與數(shù)據(jù)安全能力,采取的安全管理措施應(yīng)得當(dāng),且能夠很好保障本項目測評數(shù)據(jù)的安全,明確對采購人的系統(tǒng)、信息、數(shù)據(jù)有安全保密的義務(wù),進場測評前必須簽訂保密協(xié)議。 (*)供應(yīng)商在現(xiàn)場測評工作中必須在不影響采購人信息系統(tǒng)正常運行的前提下進行。 (*)供應(yīng)商應(yīng)遵守相應(yīng)的密評工作制度,包括會議制度、密評文件制度、密評記錄制度、工作報告制度等,保證密評工作協(xié)調(diào)有序的進行。 (*)供應(yīng)商應(yīng)根據(jù)被測系統(tǒng)的具體情況,按合同約定,配備滿足密評工作需要的人員、設(shè)備和工具。為保障密評實施與合同約定服務(wù)周期內(nèi)的服務(wù)響應(yīng),供應(yīng)商應(yīng)具備一定的測評工具開發(fā)能力以及在測評服務(wù)地進行系統(tǒng)環(huán)境模擬實驗?zāi)芰Α?(*)供應(yīng)商應(yīng)具有完善的應(yīng)急流程,具有快速應(yīng)急響應(yīng)服務(wù)團隊,以保證在整個項目過程中不影響委托單位信息系統(tǒng)的正常運行。 (*)供應(yīng)商應(yīng)具有良好的質(zhì)量控制的能力和質(zhì)量管理體系,以保證測評工作的客觀、公正、安全。供應(yīng)商針對本項目測評過程中的質(zhì)量管理方案內(nèi)項目質(zhì)量管理應(yīng)完備,項目質(zhì)量保障措施應(yīng)科學(xué)、可行、完善,項目管理與風(fēng)險應(yīng)控制合理。 (*)供應(yīng)商應(yīng)配有較為完善的測評環(huán)境,投入本項目的測評工具應(yīng)包括密碼算法驗證工具、協(xié)議分析工具、隨機數(shù)檢測工具、網(wǎng)絡(luò)抓包工具、***協(xié)議安全檢測工具、***協(xié)議漏洞檢測工具以及常用密碼設(shè)備,有自主知識產(chǎn)權(quán)的測評工具應(yīng)具備相應(yīng)的軟件著作權(quán)證書。投標人應(yīng)具有模擬以及驗證被測評系統(tǒng)密碼應(yīng)用方案的能力。 (**)供應(yīng)商完成商用密碼應(yīng)用安全性評估工作后,應(yīng)協(xié)助用戶在**個工作日內(nèi)將評估結(jié)果報國家密碼管理部門備案。 (**)供應(yīng)商在驗收時應(yīng)提交密碼安全測評工作的檔案。 |
自簽訂合同之日起**天內(nèi) |
評估標準要求 *.《中華人民共和國密碼法》 登錄后查看 *****-****《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》 登錄后查看 ****-****《信息系統(tǒng)密碼應(yīng)用測評要求》 登錄后查看 ****-****《信息系統(tǒng)密碼應(yīng)用測評過程指南》 *.《政務(wù)信息系統(tǒng)密碼應(yīng)用與安全性評估工作指南》 *.《商用密碼應(yīng)用安全性評估量化評估規(guī)則》 *.《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》 *.《商用密碼應(yīng)用安全性評估管理辦法》 以及其他與本項目測評相關(guān)的政策法規(guī)。 |
***,***.** |
