电力能源招标网

沈阳局集团公司信息技术所 2024 年集团公司商用密码应用安全性评估业务外包竞争性谈判采购公告
（ 项目编号： ZTSYJCGS2024-0378 ）
1 ．采购条件
本采购项目沈阳局集团公司信息技术所 2024 年集团公司商用密码应用安全性评估业务外包采购人为中国铁路沈阳局集团有限公司信息技术所，采购项目资金来自运营维修，已落实，具备采购条件，现对本项目采购进行公开竞争性谈判。
2 ．采购 范围及相关要求
采购业务外包的名称、类别、工作量、交工验收地点、包件划分等详见本公告附件 1 。

1. 执行的技术标准：
   GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》
   GM ∕ T 0115-2021 《信息系统密码应用测评要求》
   GM ∕ T 0116-2021 《信息系统密码应用测评过程指南》
2. 铁路专用配件执行的相关文件、规定：无
3. 产品认证或检验检测报告：无
4. 其他需具体明确的技术要求：详见技术规格书
5. 维保条款：履约期内提供商用密码应用安全性评估服务和技术咨询服务。
6. 售后服务及要求：服务商在合同履约期内收到招标方相关服务请求后，需在 48 小时内响应并提供相关的技术服务。
   技术规格书
7. 中标单位开展相关工作须遵守国铁集团、集团公司相关安全和管理制度。中标单位在现场测评工作中必须在不影响采购人信息系统正常运行的前提下进行。
8. 中标单位须严格依据国家、行业、地方密码法规、密码应用相关技术标准，采用科学的测评方法、流程和工作规范对沈阳局集团公司客票发售和预订系统开展商用密码应用安全性评估工作，评估沈阳局集团公司客票发售和预订系统的密码应用是否合规、正确、有效，并通过测评发现其密码保障系统存在的安全隐患和风险。
9. 中标单位须依据实际情况出具被测评系统的密码应用安全性评估报告，并提出有针对性的加强完善密码安全管理和防护建议，如对相关管理制度存在的问题提出编制或修订意见等，协助招标单位进行整改。
10. 中标单位须将评估情况按照国家有关规定报送国家密码管理部门或者关键信息基础设施所在地省、自治区、直辖市密码管理部门备案。
11. 中标单位须为本项目成立独立的项目组且项目组成员不少于6人，测评人员应具备商用密码应用安全性评估人员测评能力考核合格证书或商用密码应用安全性评估从业人员考核成绩合格证书，至少2人应具备网络安全能力认证证书。相关人员应具备依据测评结果做出专业判断以及出具测评报告的能力，遵守国家有关法律法规，按照相关标准，为招标单位提供安全、客观、公正的评估服务，保证评估的质量和效果。项目组应具备应急事件的处理能力，具有完善的应急流程和快速应急响应服务团队，发生应急事件需2小时内现场响应，以保证在整个项目过程中不影响招标单位信息系统的正常运行。提供服务时须提供人员相关人员要求具备的证书复印件及中标单位为其缴纳社会保险的证明复印件。
12. 中标单位应配备满足密评工作需要的设备和工具。测评设备、工具应为正版并能够保证产生的数据的可靠性，且测评设备、工具应科学、先进、可行。
13. 项目组成员在密评服务期间需全程在项目本地提供服务（需提供人员差旅证明），保证测评工作质量。合同期限内中标单位须指派2名项目组成员提供咨询服务，包括配合招标单位进行密码管理制度的补充和修订，以及提供政策制度和密评问题整改方面的技术支持，针对咨询问题要进行记录、处置和归档。
14. 中标单位应提供完善的评估方案，有计划、按步骤地开展评估工作，且评估方案应专业性强，对系统现状及需求理解应准确，方案应科学合理，内容应完整、可靠性强，实施方法和技术措施应可操作性和有效性强，在签订合同后供应商应立即成立密评工作小组，并严格按照合同履行密评责任。
15. 为保障密评过程中可能涉及的重要数据和敏感信息的安全，中标单位应配有相关能力支撑的保密办公区，并具备安全保密管理制度与数据安全能力，采取的安全管理措施应得当，且能够很好保障本项目测评数据的安全，明确对采购人的系统、信息、数据有安全保密的义务，进场测评前必须签订保密协议。
16. 中标单位应具备商用密码应用安全性技术测评实施、管理测评实施、系统整体评估能力；应建立严格的质量保证体系，制定项目建设的质量控制方案和实施措施，并督促完成各环节质量控制内容和目标；保证项目各个阶段满足立项采购单位对质量的要求。
17. 中标单位应在启动会起3个月内完成系统商用密码应用安全性评估工作，并配合招标单位工程验收相关要求完成项目验收。
18. 主要评估地点为沈阳市。
19. 中标单位应提供服务团队名单，团队成员不得随意更换，如确需更换，须提前书面通知立项采购单位，经允许后方可更换。
    3 ．供应商资格要求
    3.1 本次采购供应商须具备的资格要求：
    A01:
    1．投标人性质要求：在中华人民共和国境内依法注册，具有独立法人资格的服务商。
    2．注册资金要求：无要求。
    3．体系认证或资质认证要求：投标单位为被纳入《商用密码应用安全性评估试点机构目录》（国家密码管理局第42号公告）中的机构，提供投标单位在目录中的截图。须提供中国合格评定国家认可委员会发放的ISO17020检验机构认可证书（认可范围中包含商用密码应用安全性评估）复印件。须提供中国网络安全审查技术与认证中心(原中国信息安全认证中心)颁发的《信息安全服务资质认证证书》(信息安全风险评估服务一级)证书复印件。须提供有效期内的ISO27001信息安全管理体系认证证书复印件。
    4．供货业绩要求：无要求。
    5．经营记录要求：
    （1）未被工商行政管理机关列为严重违法失信企业。（网址：“www.gsxt.gov.cn”）
    （2）未被人民法院列为失信被执行人。（网址：“www.creditchina.gov.cn”）
    （3）在近三年内，企业或法定代表人不存在被司法机关认定的行贿犯罪行为。（网址：“wenshu.court.gov.cn”）
    （4）在近三年内，企业或法定代表人不存在被纪检监察组织认定的违规向铁路企业人员送礼金、礼品和各种有价证券、支付凭证等行为；未被行政主管部门责令停业，或被暂停、取消报价资格；拟供外包业务未被行政主管部门责令暂时停产或停止使用。
    （5）未被国铁集团或集团公司暂停接受参与采购活动，或暂停采购、使用相应物资（设备）。
    （6）未与中国铁路沈阳局集团有限公司及其附属企业、分支机构等存在诉讼案件。
    以上内容（1）—（3）投标人提供截图，（4）—（6）投标人须提供承诺函响应。
    3.2 本次采购 不接受 联合体投标。
    4 ．