泉州市农业农村局关于智慧农业三期(数字

农田系统)密码评估、等保测评

服务采购项目询价公告

我单位拟对我局智慧农业三期（数字农田系统）进行密码评估、等保测评项目进行采购，现向社会公开询价，公告如下：

一、采购服务项目名称

泉州市农业农村局智慧农业三期商用密码应用安全性评估、三级等保测评服务项目。

（一） 采购内容    

1.对泉州市农业农村局智慧农业三期（数字农田系统）进行商用密码应用安全性评估（具体内容见附件2），出具《商用密码应用安全性评估报告》。服务期限：在双方签订合同生效后，供应商应在三个工作日开展商用密码应用安全性评估工作，直至出具《商用密码应用安全性评估报告》，并于2024年12月31日前完成所在地的密码管理部门备案材料提交工作。

2.对泉州市农业农村局智慧农业三期（数字农田系统）进行三级等保测评（具体内容见附件2），出具《信息系统安全等级保护测评报告》。服务期限：在双方签订合同生效后，供应商应在三个工作日内进场开展等保测评工作，直至出具《信息系统安全等级保护测评报告》，并于2024年12月31日前将测评结果录入网络安全等级保护测评项目登记管理系统。

（二）采购资格要求

在中华人民共和国境内依法经工商部门登记注册的合格的法人，具有独立承担民事责任的能力；营业执照经营范围须具有本项目相关采购内容。并符合以下要求：

1．符合《中华人民共和国政府采购法》第二十二条的规定；未被“信用中国”（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

2．商用密码应用安全性评估服务供应商必须为国家密码管理局公布的《商用密码检测机构（商用密码应用安全性评估业务）目录》（第49号）中的机构，提供公告及目录截图。

3．等保测评服务供应商必须具备由“公安部第三研究所”颁发的有效的《网络安全等级测评与检测评估机构服务认证证书》，须提供证书复印件。

二、需提交的报价文件内容及格式

（一）资质文件：营业执照（副本）有效复印件，相关资质复印件，并在上述复印件上加盖供应商公章。

（二）报价回函（见附件1）。

三、递交响应文件时间及地点

响应截至时间：请于2024年11月21日前，将报价单密封后投交市乡村振兴服务中心。

地点：泉州市丰泽区东海街道市行政服务中心交通科研楼D305

四、采购单位联系方式

采购单位：泉州市农业农村局

联系人：黄圳平

联系电话：13123192484

附件：1.报价函

2.评估及测评服务内容

                                  泉州市农业农村局        

                      2024年11月18日        

附件1

报价函

泉州市农业农村局：

我公司已完全知悉贵单位关于“数字农田”系统三级等保及密码测评服务的询价公告所列内容，并做出响应，参加该项目的采购活动。为此声明如下：

1.采购总报价为（大写）人民币： XX元。

2.保证忠实地执行双方所签订的合同，并承担合同规定的责任和义务。

3.承诺完全满足和响应贵方邀请函中的各项商务和服务要求。

4.一旦我方成交，我方承诺将与贵方签订书面合同，并严格履行合同义务。

[供应商名称]（公章）

                                                     2024年X月X日

附件2

评估及测评服务内容

一、商用密码应用安全性评估服务内容

依据《信息安全技术 信息系统密码应用基本要求》（GB/T39786-2021）、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等技术要求，对泉州市农业农村局智慧农业三期密码应用的合规性、正确性、有效性进行安全性评估，通过评估深入查找方案中的薄弱环节和安全隐患，分析面临的风险，为提升信息系统安全奠定基础。主要包括以下内容：

（一）采用系统评估方式：及时发现被测系统脆弱性，识别风险，了解被测系统安全状况。对照密码应用方案对被测系统开展评估。根据被评估对象的实际情况、被测系统使用的密码产品情况，选择并确定测评依据。在被测系统真实环境下进行测评，以评估密码应用及保障是否安全有效，密码使用和管理是否合规、正确、有效。

（二）密码技术应用测评：物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证被测系统的商用密码应用是否达到具有对应安全等级的安全保护能力，是否满足对应安全等级的保护要求。

（三）密钥管理测评：检测被测系统密钥管理各环节，包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。

（四）安全管理测评：从制度、人员、实施和应急四个方面，对被测系统的密码安全管理进行商用密码应用安全性管理测评。

（五）密码应用安全评估报告：按照国家密码管理局要求包含的内容编制或参考模板编制密码应用安全评估报告。

（六）密评备案：本项目运营者提交被测系统的密评备案材料，密码测评机构协助运营者完成在所在地密码管理部门密评备案工作。

（七）密码应用要求和密码评估相关培训：对密码应用总体要求进行宣贯,对密码应用的合规性、正确性、有效性要求进行培训。

（八）密码应用方案咨询服务：供应商指导从总体要求、物理和环境、网络和通信、设备和计算、应用和数据、密钥管理、安全管理等方面根据最新《政务信息系统密码应用与安全性评估工作指南》中政务信息系统密码应用方案模板编制的密码应用方案达到满足对应安全等级的保护要求。

（九）商用密码应用安全性方案咨询服务：供应商提供密码应用方案的评审服务，由商用密码评估机构或我省商用密码专家评审。

（十）商用密码应用安全性评估测评辅助服务：供应商在测评阶段协助单位做好测评材料，指导并配合密评机构开展密码测评工作，组织测评整改，提供本项目开发商的应用系统改造的指导服务。

（十一）密评制度建设辅助服务：供应商协助采购人整理密评所需要的管理、人员、实施、应急等制度相关文档的编写。

（十二）进场测评时间要求：供应商必须在合同签订后三个工作日内进场测评，并于2024年12月31日前完成所在地的密码管理部门备案材料提交工作。

二、三级等保测评服务内容

（一）测评依据：

1.网络安全等级保护条例GB/T 22239-2019信息安全技术网络安全等级保护基本要求；

2.GB/T 28448-2019信息安全技术网络安全等级保护测评要求；

3.GB/T 28449-2018信息安全技术网络安全等级保护测评过程指南；

4.GB/T25058-2019信息安全技术网络安全等级保护实施指南；

5.GA/T 1389-2017信息安全技术网络安全等级保护定级指南。

（二）安全等保测评咨询服务内容：

1.报价人应针对本项目的系统，开展资产分析调研，在差距分析阶段进行风险评估及差距分析工作；

2.在整改阶段指导加固及整改工作。

（三）安全等保测评主要内容：

1.总体要求测评：包括总体技术要求、总体管理要求；

2.安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

3.安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评；

4.完成等保测评服务，出具具备由《公安部第三研究所》颁发的网络安全等级测评与检测评估机构服务认证证书的测评机构出具的安全等保测评报告。

5.进场测评时间要求：在合同签订后三个工作日内进场测评，并于2024年12月31日前将测评结果录入网络安全等级保护测评项目登记管理系统。