沈阳市审计局大数据审计信息化项目招标公告

1、总体要求

在监理服务范围内，依据国家有关信息系统的法律、法规、技术规程、规范、标准以及工程建设文件，监理单位承担全部工作的监理服务，按照《信息化工程监理规范》（GB/T 19668-2014）总则及各分册的要求，对各系统的质量、进度、投资、风险进行全方位、全过程控制，进行项目的合同管理、变更管理、配置管理、文档管理、人员管理、信息管理以及安全文明实施的监理，负责系统建设过程中的组织协调等工作，使项目建设按既定目标顺利进行。

2、实施阶段服务内容及要求

监理单位应加强项目实施方案审核，促使项目中所使用的产品和服务符合委托合同及国家相关法律、法规和标准；明确项目实施计划，对于计划的调整应合理、受控；促使项目实施过程满足委托合同的要求，并与项目设计方案、项目计划相符。监理单位应完成（包括但不限于）如下工作：

1) 项目实施前，监理单位应审核被委托单位提交的质量管理计划、项目实施计划，审核后签署监理审核意见。

2) 项目实施前，监理单位应组织建设单位、被委托单位召开项目实施启动会，要求被委托单位落实实施计划、实施方案和必要的准备工作，会议内容做会议纪要，并经三方签认。

3) 项目实施前，监理单位应审核被委托单位提交的项目实施方案，审核后签署监理意见。

4) 监理单位应审核被委托单位提交的开工申请，检查项目准备情况。项目实施条件具备时，总监理工程师应签发开工令，并报建设单位开始项目实施。

5) 监理单位应监督合同执行情况，通过监理周报、月报、阶段性报告定期向建设单位提交监理报告，跟踪项目的质量、进度、投资完成情况。

6) 监理单位应对项目质量进行全过程监督管理，在加强现场管理工作的前提下对重要部位和关键点应采取“旁站监理”的方式，检查项目进度和质量，做好隐蔽工程的签证；对发现的可能影响质量的问题及时指令被委托单位采取措施解决，必要时发出停工、返工的指令。

7) 监理单位做好监理日志，随时记录实施中有关质量、进度等方面的问题，并对发生质量问题的现场及时拍照或录相。

8) 监理单位织对被委托单位提供的产品及服务进行验收，对验收结果做验收记录，并经三方签认；对不符合合同或相关标准规定的产品及服务应拒绝签认。没有被签认的产品及服务不得在项目实施中应用。

9) 监理单位应按计划检查被委托单位项目实施状况、人员与实施方案的一致性。

10) 监理单位应执行已确定的阶段性质量监督、控制措施及方法，并做监理日志。出现项目质量问题时，经确认后监理机构签发监理通知单，报建设单位、被委托单位，责令被委托单位整改。

11) 监理单位应及时处理被委托单位提交的项目中关键环节的实施申请，审核其合理性后签认，报建设单位批准；必要时，监理机构应检查被委托单位重要项目步骤的衔接工作，做监理日志。未经监理工程师检查认可，被委托单位不能进行与之相关的下一步骤的实施。

12) 监理单位应及时处理工程变更申请，审核变更的合理性，保证项目总体质量不受影响；监理机构应从目标系统的质量、进度和投资等方面审查工程变更，由于变更引起投资的改变应按照合同的相关条款执行。在合同中没有规定的，应在变更实施前与建设单位、被委托单位协商确定变更导致的投资变化，并作工程备忘录。

13) 当出现项目事故时，监理单位应要求被委托单位在事故发生后立即采取措施，尽可能控制其影响范围，并及时签发停工令，报建设单位，并与建设单位、被委托单位共同确认初步处理意见；监理单位应监督被委托单位采取措施，查清事故原因，审核被委托单位提出的事故解决方案及预防措施，提出监理意见，提交建设单位签认；监理单位应审查被委托单位报送的事故报告及复工申请，条件具备时签发复工令。

14) 监理单位若发现项目实施过程存在重大质量隐患，应及时向被委托单位签发停工令，并报建设单位，监督被委托单位进行整改。整改完毕后，及时处理被委托单位的复工申请。

15) 监理单位应根据项目总进度计划，编制控制性总进度计划，并协助建设单位编制总体进度计划或实施总进度计划；审批实施总进度计划以及分年的年、季、月计划；跟踪监督、检查、记录进度计划的实施；对实际进度进行对比、检查、分析，对出现的偏差采取应对措施；审查被委托单位的进度报告，并编报监理报告。

16) 监理单位应对项目实际进度做好记录和统计工作，并进行经常性和阶段性的项目实际进度与计划进度的对比分析，检查进度偏差的程度和产生的原因，分析预测进度偏差对后续实施工序和项目的影响程度，并提出指导性的解决措施。当项目实际进度与计划进度相比发生较大偏差而有可能影响合同工期目标的实现时，监理单位应提出进度计划的调整意见，并指导被委托单位相应调整进度计划。进度计划的重大调整应书面报建设单位批准； 　　　

17) 监理单位应依据委托合同及其补充协议，审核被委托单位提交的项目阶段性报告和付款申请签发工程款支付意见，报建设单位签认。

18) 监理单位应对项目实施阶段三方共同参与的过程和活动做工程备忘录；并检查督促被委托单位按规程规范实施、文明安全实施，防止因出现质量、安全事故及环保问题。

19) 监理单位应根据需要及时组织专题会议，解决项目实施过程中的各种专项问题，并做会议纪要，提交建设单位和被委托单位。

3、验收阶段服务内容及要求

监理单位应评审项目测试验收方案（验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等）的符合性及可行性；促使项目的最终功能和性能符合委托合同、法律、法规和标准的要求；推动被委托单位所提供的项目各阶段形成的技术、管理文档的内容和种类符合相关标准。合同验收时监理单位应完成（包括但不限于）如下工作：

1）检查与测试是确认项目各系统所建内容是否达到合同要求和评估系统质量的必备措施，监理单位应协助建设单位明确项目测试验收方案并审查其符合性及可行性，监理机构应组织对项目建设的应用系统软件、网络、布线等进行专项测试，做为项目验收的依据。

2）监理单位应及时处理被委托单位提交的验收申请，审核竣工结算，审核验收的必备条件，并签署监理意见。

3) 监理单位应协助建设单位对验收中发现的质量问题进行评估，根据质量问题的性质和影响范围，敦促被委托单位根据验收整改要求提出整改方案，并监督整改过程。必要时，应组织重新验收。

4) 监理单位应督促被委托单位完成项目实施方案中确定的培训，并对培训效果做出评估。

5) 监理单位应敦促建设单位、被委托单位按照事先约定，编制、签署和妥善保存验收阶段的项目文档。

6) 监理单位应编写各时段项目验收的监理工作报告，整理监理单位应提交和提供的验收资料；负责整理记录归档建设单位与承建单位来往的文件、合同、协议及会议记录等各种文档，出具监理文件。

7) 监理机构应协助建设单位和被委托单位完成项目移交工作，将项目移交建设单位管理，并进入工程质量保修期。

二、其他要求

1.每名项目参与人员配备通讯设施，保证24小时随时沟通。

2.投标人配备能满足项目质量检测、网络安全需要的设备或工具，包括但不限于：软件功能管理工具、系统性能测试软件、远程安全评估系统、数据库弱点扫描器、数据库安全扫描系统、漏洞扫描系统，同时配备完善的办公用品，如笔记本电脑、打印机、传真机等器材。

3.制定完善的文明监理工作制度。

4.其它有关本项目现场保障设备由监理单位自行解决。

5.监理大纲

（1）项目概况

（2）服务工作内容

（3）项目服务目标

（4）技术保障措施

（5）服务工作流程

（6）项目组织机构

（7）设备的配备

（8）其他须说明的问题

三、技术文件、资料的要求

要求提供包括但不限于监理工作计划、项目周期性报告（周报、月报）、项目的专题报告（建议、评估意见）、监理通知、监理指令、工程支付签认单、项目备忘录、项目结束总结报告、其它（会议纪要、工作规范、说明文件）、软硬件的验收报告、集成商的安装集成验收报告等资料电子版，以及对应加盖公章的纸质版。

四、人员要求

监理单位应组建不少于5人的服务团队，投标人投标时必须承诺：中标后，投标文件中的人员全部参与全过程服务工作，如因特殊原因更换现场实施人员，需征得采购单位同意，所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

对沈阳市审计局大数据审计信息化项目所包含四个信息系统的密码应用方案进行编制论证并开展密码应用安全性评估安全服务。

一、服务内容

按照《关于开展非涉密政务信息化系统密码应用与安全性评估工作的通知》（沈密局发【2020】6号）文件要求：
1.对沈阳市审计局大数据审计信息化项目所包含四个信息系统（自然资源资产管理系统、审计局电子档案管理系统、全光网络、数字化审计分析平台）的密码应用方案进行编制论证；
2.对沈阳市审计局大数据审计信息化项目所包含四个信息系统（自然资源资产管理系统、审计局电子档案管理系统、全光网络、数字化审计分析平台）开展密码应用安全性评估工作。

二、服务要求

（一）编制论证服务

按照《关于开展非涉密政务信息化系统密码应用与安全性评估工作的通知》（沈密局发【2020】6号）文件要求，对沈阳市审计局大数据审计信息化项目所包含四个信息系统的密码应用方案进行编制论证。

指标要求：密码应用方案编制及论证

服务时间：7*24小时

服务方式：现场和远程

交付成果：密码应用方案。

（二）安全性评估服务

按照《关于开展非涉密政务信息化系统密码应用与安全性评估工作的通知》（沈密局发【2020】6号）文件要求，对沈阳市审计局大数据审计信息化项目所包含四个信息系统开展密码应用安全性评估工作。

指标要求：密码应用安全性评估。

服务时间：7*24小时。

服务方式：现场和远程。

交付成果：密码应用安全性评估报告。

1.依据《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等文件的条款要求，逐一对信息系统进行密码应用的合规性、正确性、有效性进行安全性评估，通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，为提升信息系统安全奠定基础。

2.评估服务过程及内容要求

评估服务过程包括四项基本评估活动：评估准备活动、方案编制活动、现场评估活动、分析与报告编制活动。评估方与被评估单位之间的沟通与洽谈应贯穿整个评估过程。

（1）评估准备活动

本活动是开展评估工作的前提和基础，主要任务是掌握被评估信息系统的详细情况，准备评估工具，为编制密码应用安全性评估方案做好准备。

（2）方案编制活动

本活动是开展评估工作的关键活动，主要任务是确定与被评估信息系统相适应的评估对象、评估指标、评估检查点及评估内容等，形成方案，为实施现场评估提供依据。

（3）现场评估活动

本活动是开展评估工作的核心活动，主要任务是根据密码应用安全性评估方案分步实施所有评估项目，以了解被评估信息系统真实的密码应用现状，获取足够的证据，发现其存在的密码应用安全性问题。

（4）分析与报告编制活动

本活动是给出评估工作结果的活动，主要任务是根据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》的有关要求，通过单元评估、整体评估、量化评估和风险分析等方法，找出被评估信息系统密码应用的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距可能导致的被评估信息系统所面临的风险，从而给出各个评估对象的评估结果和被评估信息系统的评估结论，形成评估报告。

3.人员要求

投标人拟派专业的服务团队，服务团队成员不少于3人，其中项目负责人***

一、服务内容

依据《中华人民共和国网络安全法》等国家相关法律、标准要求，对沈阳市审计局大数据审计信息化项目所包含四个信息系统（自然资源资产管理系统、审计局电子档案管理系统、全光网络、数字化审计分析平台）进行测评，并出具《测评报告》。
二、服务要求

（一）等保测评

对沈阳市审计局大数据审计信息化项目所包含四个信息系统进行测评，并出具《测评报告》。若首次测评后被测信息系统需要进行整改，在约定的整改期限内免费赠送一次复测服务。

服务时间：7*24

服务方式：现场和远程

交付成果：测评报告。

（二）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料，组织开展专家评审会，完成定级备案等相关服务工作。

服务时间：7*24

服务方式：现场

交付成果：备案证明。

（三）测评服务范围

依据《信息安全技术 网络安全等级保护基本要求》，测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

（1）安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络测评内容：

网络架构、通信传输、可信验证。

（3）安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（四）项目使用工具

等级保护测评阶段，应使用安全扫描系统对服务器、网络设备进行安全扫描，投标人须提供测评工具，包括但不限于：WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。

（五）人员能力要求

1）派遣有经验的人员完成本项目服务工作，进入现场实施人员从事本行业工作不少于2年，具有等级保护测评经验。

2）投标人须承诺：中标后，投标文件中的人员全部参与服务工作，如因特殊原因更换现场实施人员，需征得采购单位同意，所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

3）投标人拟派专业的服务团队，服务团队成员不少于3人，其中项目负责人***