沈陽市重點(diǎn)橋隧安全運(yùn)行監(jiān)測預(yù)警項(xiàng)目(二次公告)采購項(xiàng)目的潛在供應(yīng)商應(yīng)在線上獲取采購文件�,并于2025年09月02日 09時30分(北京時間)前提交響應(yīng)文件。
002包(第三方測試)服務(wù)需求
一�����、總體要求★
為確保沈陽市重點(diǎn)橋隧安全運(yùn)行監(jiān)測預(yù)警系統(tǒng)的各項(xiàng)功能是否完善�,各項(xiàng)性能指標(biāo)是否達(dá)到預(yù)期要求,保證其上線穩(wěn)定******委員會)標(biāo)準(zhǔn)的軟件測試報告�。測評依據(jù)為以上系統(tǒng)的采購人確認(rèn)的軟件需求規(guī)格說明書,測試類型具體包括系統(tǒng)功能測試�����、性能測試、驗(yàn)收測試�����、可靠性測試�、安全性測試、易用性測試�、可擴(kuò)展性測試、源代碼審查等�����。測試執(zhí)行的結(jié)果應(yīng)對采購人負(fù)責(zé)�。
二、第三方測試服務(wù)內(nèi)容★
(一)測試原則
1�����、投標(biāo)方應(yīng)依據(jù)相關(guān)國家標(biāo)準(zhǔn)�、行業(yè)標(biāo)準(zhǔn)開展評測工作。
2�、投標(biāo)方應(yīng)確保測試報告符合本項(xiàng)目委托要求。
3、投標(biāo)方對服務(wù)過程中接觸到的各種信息�,不得泄漏給任何單位和個人,未經(jīng)允許不得利用這些信息從事與本項(xiàng)目服務(wù)無關(guān)的活動�。
(二)測試范圍
應(yīng)用軟件測試主要是對沈陽市重點(diǎn)橋隧安全運(yùn)行監(jiān)測預(yù)警系統(tǒng)的應(yīng)用軟件進(jìn)行測試。軟件測試范圍應(yīng)覆蓋本項(xiàng)目應(yīng)用軟件的所有功能和非功能性要求�����,具體測試范圍由委托方與投標(biāo)方溝通確認(rèn)�����。測試內(nèi)容包含功能性測試�、性能效率測試�����、信息安全性測試�����。
(三)測試過程
軟件測試工作應(yīng)在軟件部署完成后�,按照合同約定開展測試。軟件測試的測試項(xiàng)以委托方確認(rèn)的測試需求為準(zhǔn)�,發(fā)現(xiàn)問題之后的回歸測試所需的時間視情況另行約定。
測試執(zhí)行過程中�,至少包括如下關(guān)鍵過程:
1)測試計(jì)劃制訂�����;
2)測試設(shè)計(jì)�;
3)測試環(huán)境準(zhǔn)備�����;
4)測試執(zhí)行�����;
5)測試結(jié)果分析總結(jié)�。
(四)測試實(shí)施要求
1、在實(shí)施項(xiàng)目之前�����,應(yīng)提交實(shí)施方案及可能出現(xiàn)的破壞性結(jié)果�����。
2�、應(yīng)確保軟件測評人員嚴(yán)格按照測試流程的要求實(shí)施操作,以避免在測試過程中對系統(tǒng)造成損害。
3�����、應(yīng)提交詳細(xì)的工作計(jì)劃�����,并隨時匯報項(xiàng)目情況�,并根據(jù)要求及本項(xiàng)目建設(shè)進(jìn)度情況,調(diào)整下一步工作計(jì)劃和要求�。
4、應(yīng)保證提供服務(wù)的團(tuán)隊(duì)人員的數(shù)量和素質(zhì)滿足履行該項(xiàng)目合同的要求�。保證團(tuán)隊(duì)的穩(wěn)定性,未經(jīng)同意不得隨意更換團(tuán)隊(duì)成員�。
5�����、需在測試過程中對測試相關(guān)的文檔進(jìn)行有效管理�,包括各種文檔提交、評審�、版本控制等,并將測試文檔及時向委托方提供�����。
6、需對整個測試過程進(jìn)行標(biāo)準(zhǔn)化�、流程化管理,逐步完成軟件驗(yàn)收測試的各個步驟�����,最終形成并上交測試報告�。
7、測試項(xiàng)目過程中提供咨詢服務(wù)�,對被測軟件產(chǎn)品在測試過程中提供各個階段的咨詢服務(wù)和建議。
(五)其他要求
為保證測試的公正和準(zhǔn)確�,測試所采用的測試工具均為第三方測試工具,并且在投標(biāo)文件中需寫出具體的工具介紹和使用計(jì)劃�����,投標(biāo)方應(yīng)對測試過程中使用的各種軟件的版權(quán)負(fù)責(zé)�。如果因此引起版權(quán)糾紛,由投標(biāo)方承擔(dān)相應(yīng)責(zé)任�。
本項(xiàng)目測試分為兩輪,初測和回歸測試�。
1、初測:測試合同簽訂�,被測試項(xiàng)目軟件部署完成后30日內(nèi)完成軟件測試的第一輪測試�;
2�����、回歸測試:被測試項(xiàng)目軟件開發(fā)單位問題修改完成后�,進(jìn)行回歸測試,回歸測試一輪�����,經(jīng)測試通過�����,出具測試報告�����。
提供符合相關(guān)標(biāo)準(zhǔn)要求的測試報告�。
003包(密碼應(yīng)用安全性評估)服務(wù)需求
一、總體要求★
依據(jù)GB/T 39786******管理局第3號)�、GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》、GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》�����、《商用密碼應(yīng)用安全性評估測評作業(yè)指導(dǎo)書(試行)》�、GBT 43207-2023 《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)指南》等標(biāo)準(zhǔn)規(guī)范、指導(dǎo)性文件及管理要求�����,對沈陽市重點(diǎn)橋隧安全運(yùn)行監(jiān)測預(yù)警系統(tǒng)進(jìn)行評估�,并出具商用密碼應(yīng)用安全性評估報告。如未能一次通過測評�,供應(yīng)商應(yīng)提供整改建議,并指導(dǎo)甲方進(jìn)行整改�����,直至通過評估。
二�、詳細(xì)要求★
(一)商用密碼總體要求測評
1、密碼算法合規(guī)性測評:信息系統(tǒng)中使用的密碼算法是否符合法律�����、法規(guī)的規(guī)定和密碼相關(guān)國家標(biāo)準(zhǔn)�����、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求�����。
2�����、密碼技術(shù)合規(guī)性測評:信息系統(tǒng)中使用的密碼技術(shù)是否遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)�。
3、密碼產(chǎn)品合規(guī)性測評:信息系統(tǒng)中使用的密碼產(chǎn)品與密碼模塊是否通過國家密碼管理部門核準(zhǔn)�。
4、密碼服務(wù)合規(guī)性測評:信息系統(tǒng)中使用的密碼服務(wù)是否通過國家密碼管理部門許可�。
(二) 密碼技術(shù)應(yīng)用測評
從物理和環(huán)境�����、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算�����、應(yīng)用和數(shù)據(jù)4個層面對信息系統(tǒng)中應(yīng)用的密碼技術(shù)進(jìn)行分析與評估�����。
物理和環(huán)境層面測評:分析評估信息系統(tǒng)是否合理�、合規(guī)的利用商用密碼完整性、真實(shí)性功能,對影響信息系統(tǒng)安全防護(hù)效能的物理和環(huán)境層面因素進(jìn)行保護(hù)�。包括但不限于下列典型因素:重要場所的物理訪問控制,監(jiān)控設(shè)備的物理訪問控制,以及物理訪問記錄、監(jiān)控信息等敏感信息數(shù)據(jù)完整性�����。
網(wǎng)絡(luò)和通信層面測評:分析評估信息系統(tǒng)是否合理�����、合規(guī)的利用商用密碼機(jī)密性�、完整性、真實(shí)性功能,對影響信息系統(tǒng)安全防護(hù)效能的網(wǎng)絡(luò)和通信層面因素進(jìn)行保護(hù)�。包括但不限于下列典型因素:安全認(rèn)證連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備,通信雙方的身份認(rèn)證過程,通信數(shù)據(jù)完整性,敏感信息數(shù)據(jù)字段機(jī)密性,網(wǎng)絡(luò)邊界訪問控制信息完整性,系統(tǒng)資源訪問控制信息完整性,安全設(shè)備�����、安全組件的集中管理方式和信息傳輸通道�����。
設(shè)備和計(jì)算層面測評:分析評估信息系統(tǒng)是否合理�����、合規(guī)的利用商用密碼機(jī)密性�、完整性�、真實(shí)性功能,對影響信息系統(tǒng)安全防護(hù)效能的設(shè)備和計(jì)算層面因素進(jìn)行保護(hù)。包括但不限于下列典型因素:登錄信息系統(tǒng)設(shè)備和計(jì)算環(huán)境的用戶身份鑒別過程,系統(tǒng)設(shè)備和計(jì)算環(huán)境資源訪問控制信息完整性,重要信息資源敏感標(biāo)記完整性,重要程序或文件完整性,信息系統(tǒng)設(shè)備和計(jì)算環(huán)境的日志記錄完整性�����。
應(yīng)用和數(shù)據(jù)層面測評:分析評估信息系統(tǒng)是否合理�����、合規(guī)的利用商用密碼機(jī)密性�����、完整性、真實(shí)性以及不可否認(rèn)性功能,對影響信息系統(tǒng)安全防護(hù)效能的應(yīng)用和數(shù)據(jù)層面因素進(jìn)行保護(hù)�����。包括但不限于下列典型因素:登錄信息系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境的用戶身份鑒別過程,系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境資源訪問控制信息完整性,重要信息資源敏感標(biāo)記完整性,重要數(shù)據(jù)傳輸過程的機(jī)密性�����、完整性,重要信息存儲過程的機(jī)密性�����、完整性,重要程序的加載和卸載過程,信息系統(tǒng)應(yīng)用相關(guān)實(shí)體行為不不可否認(rèn)性,信息系統(tǒng)應(yīng)用和數(shù)據(jù)操作環(huán)境的日志記錄完整性�����。
(三)密鑰管理測評
對影響商用密碼防護(hù)效能的密鑰生命周期相關(guān)環(huán)節(jié),以及相關(guān)環(huán)節(jié)管理和策略制定的全過程進(jìn)行分析與評估�����。密鑰生命周期相關(guān)環(huán)節(jié)包括但不限于下列典型環(huán)節(jié):密鑰生成,密鑰存儲,密鑰分發(fā),密鑰導(dǎo)入,密鑰導(dǎo)出,密鑰使用,密鑰備份,密鑰恢復(fù),密鑰歸檔,密鑰銷毀�����。
(四)安全管理測評
對影響商用密碼防護(hù)效能的管理制度與措施進(jìn)行分析與評估�。管理制度與措施包括但不限于下列典型維度:安全管理制度,人員管控,信息系統(tǒng)實(shí)施,應(yīng)急預(yù)案。
1�����、安全管理制度維度,包括但不限于下列內(nèi)容與措施:密碼建設(shè)�、運(yùn)維、人員�、設(shè)備、密鑰管理內(nèi)容,密碼相關(guān)操作規(guī)范�����、安全操作規(guī)范,安全管理制度的合理性和適用性論證與審定,安全管理制度的改進(jìn)和修訂,安全管理制度的發(fā)布,安全管理制度的執(zhí)行�。
2、人員管控維度,包括但不限于下列內(nèi)容與措施:了解并遵守密碼相關(guān)法律法規(guī)密碼產(chǎn)品使用,關(guān)鍵崗位劃分,相關(guān)人員職責(zé)與權(quán)限劃分,崗位責(zé)任制與人員制約�、監(jiān)督機(jī)制,管理和使用賬號,人員培訓(xùn)、人員選拔,人員考核�、獎懲與調(diào)離,人員保密措施。
3�����、信息系統(tǒng)實(shí)施維度,包括但不限于下列內(nèi)容與措施:信息系統(tǒng)規(guī)劃,信息系統(tǒng)建設(shè)方案,信息系統(tǒng)密碼產(chǎn)品�、服務(wù)選用,信息系統(tǒng)運(yùn)行前與定期評估,信息系統(tǒng)整改。
4、應(yīng)急預(yù)案維度,包括但不限于下列內(nèi)容與措施:應(yīng)急預(yù)案,應(yīng)急資源準(zhǔn)備,應(yīng)急情況與處置,上級主管部門應(yīng)急報告,同級密碼主管部門應(yīng)急報告�。
