包 组 号：002

包组名称：监理服务

一、监理服务应包含但不限于以下范围：对沈阳市公安局智慧民意感知平台建设项目的建设内容进行全过程监理；对采购软件系统的功能进行复核；对软硬件系统集成、平台对接质量、进度、投资等进行全过程监理。

1、根据国家网络安全法，由于本项目是重要信息基础设施，项目网络安全需要满足公安机关的信息安全等级保护要求，为了加强项目建设过程的网络安全等级保护工作，确保系统建成后通过信息安全等级保护测评，监理单位应该提供下列服务：

2、在项目前期阶段，根据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019），辅助业主对项目的网络安全建设方案进行评审、论证；

3、在项目建设阶段，协助业主对系统的网络安全等级进行定级辅导，定级备案材料的编制。

二、监理服务内容

根据本项目实际情况，监理工作分为工程实施和工程验收二个阶段。各阶段要从“四控三管一协调”即质量控制、进度控制、投资控制、变更控制、合同管理、信息管理、知识产权管理、协调等八个方面进行实施监理；

（一）工程实施阶段：

工程实施阶段的质量控制要求如下：项目实施前，审核确认承建单位的技术方案、进度计划等。任何指示和命令必须为书面形式。审核并确认承建单位的质量控制、质量保证方法。

（二）施工过程主要对如下监理要点进行检查：

1、对项目整体、分项建设的技术问题提供咨询服务；

（1）设备的安装调试等；

（2）系统集成、联调，包括软硬件系统集成、平台对接、系统连通性验证；

（3）系统拓扑图、设备布局图、配线图；

（4）基础设施、网络服务、网络安全和网络管理系统各部分实施方案的合理性和可行性，与承建合同、工程设计方案的符合性；

（5）工程实施组织，包括实施人员、实施顺序、实施测量、安全措施、特殊处理措施等；

（6）工程实施计划包括实施步骤、实施方法、实施进度等；

（7）工程实施方案，包括实施组织、实施方法、实施进度，以及有关质量、安全等主要技术和组织措施；

2、对项目采购硬件进行质量控制；中标供应商应组织对项目采购硬件的数量、型号、技术指标进行复核；必要时，监理单位应要求承建单位提交第三方测试机构出具的测试报告，并核验产品认证证书、检测报告的真实性、有效性。主要设备的到货验收应包括：

（1）根据承包商提供的设备装箱单和提货单，对货物进行外包装检查；

（2）开箱检查，对照设备订货合同，保证设备型号、类别准确无误，数量正确，附件配套，文档齐全；

（3）必要时，可确认设备的合法性；

（4）进行加电自检测试；

（5）三方共同填写设备到货验收单；

3、对项目中各个系统的安装、调试进行质量控制；

（1）工程现场实施人员与实施方案中规定的实施人员的一致性检查；

（2）主要系统设备和服务的到货验收；

（3）系统安装调试过程进行旁站；

（4）系统工程的阶段性测试、系统集成测试的监理；

（5）定期检查、记录工程的进度情况；

（6）按照既定程序处理工程中出现的质量事故；

（7）在工程掩盖之前，及时检查、监督、检验、测量已完工工程，并通知承建单位。要求对未经监理机构验收的工程不得掩盖；

（8）按照合同条款要求，确认装修工程、材料、设备等的检查、检验结果（以及再检验结果）。必要时检查/检验时到场；

4、对项目中各个系统的安装调试进行质量控制；

5、对系统试运行阶段进行质量控制；

（三）工程实施阶段的进度控制要求如下：

1、中标供应商应审核承建单位工程实施计划的合理性，审核后签署监理审核意见；

2、承建单位提交开工申请后，中标供应商应审核开工申请，检查工程准备情况。工程实施条件具备时，中标供应商应签发开工令，并报采购人签认，通知承建单位开始工程实施；

3、中标供应商应定期检查、记录工程的实际进度情况，确保实际进度与计划相一致；

4、中标供应商应及时处理工程延期申请；

5、中标供应商应组织审查进度纠偏措施的合理性、可行性，签发监理通知单，报采购人，并要求承建单位按计划进行修改；

（四）工程实施阶段的变更控制要求如下：

1、采购人或承建单位提出的工程变更，提交给投标人组织审核，并由三方在工程变更单上予以签认；

2、中标供应商了解工程变更的实际情况，收集相关数据或信息；

3、中标供应商根据实际情况，参考变更文件及其它有关资料，按照承建合同的有关条款，对工程变更范围、内容、实施难度以及变更的投资和工期做出评估，签发监理通知单，并报采购人、承建单位；

4、中标供应商对工程变更过程及结果做工程备忘录。监理单位要求承建单位在变更文件签署前，不得实施工程变更；

5、中标供应商应根据工程变更文件监理承建单位实施；

（五） 工程实施阶段的对合同的管理要求如下：

1、中标供应商监理合同执行情况，要定期向采购人、承建单位提交监理报告；

2、中标供应商要及时协调合同纠纷，公正地调查分析，提出监理意见；

（六）工程实施阶段的信息管理要求如下：

1、中标供应商要妥善管理工程实施阶段所产生的开工令、停工令、监理通知、监理报告、监理日志和工程备忘录等数据；

2、中标供应商对工程实施阶段三方共同参与的过程和活动做工程备忘录，并由三方确认；

3、督促采购人、承建单位及时整理工程文件；

（七）工程实施阶段的知识产权管理要求如下：

1、对参与项目人员进行知识产权培训；

2、中标供应商需有专人负责项目的知识产权管理工作；

3、项目执行过程中形成的数据、数据的保管和使用、软件登记等保护手续的履行等，做出明确规定；

（八）工程实施阶段的协调要求如下：

1、中标供应商要组织三方共同建立实施阶段协调的机制；

2、中标供应商要根据需要及时组织专题会议，解决工程实施过程中的各种专项问题，并做会议纪要，提交采购人和承建单位；

3、中标供应商负责协调采购人和承建单位对工程变更的范围和内容等方面，达成一致意见；

4、中标供应商负责协调采购人和承建单位对索赔的意见达成一致；

5、中标供应商负责协调采购人配合承建单位的工程实施；

（九）工程验收阶段：

 工程验收阶段的质量控制要求如下：

1、中标供应商应有计划地监理系统的试运行，督促承建单位解决试运行中出现的质量问题；

2、中标供应商负责协助采购人组织工程验收。中标供应商应及时处理承建单位提交的验收申请，验收报审表由监理单位签认后报采购人签认。具备验收件时，监理单位在验收报审表中予以签认，并报采购人签认；否则，中标供应商应签发监理通知单，责令承建单位整改；

3、中标供应商负责督促承建单位完成项目实施方案中确定的培训，并对培训效果做出评估；

（十）工程验收阶段的进度控制要求如下：

1、中标供应商应对验收阶段进度安排提出监理意见；

2、中标供应商应审核承建单位验收和工程整改计划的可行性，以监理通知单的形式告知采购人和承建单位；

（十一）工程验收阶段的变更控制要求如下：中标供应商要及时向采购人、承建单位通报承建合同、协议及相关变更所规定工程内容的执行情况，提出监理意见；

（十二）工程验收阶段的合同管理。中标供应商协助采购人与承建单位签署其它补充协议；

（十三）工程验收阶段的信息管理要求如下：

1、中标供应商负责管理工程验收阶段的文件，如验收报审和验收报告等相关文档；

2、中标供应商负责督促采购人、承建单位按照事先约定，编制、签署和妥善保存验收阶段的工程文件；

3、中标供应商负责督促采购人、承建单位及时整理工程文件；

4、中标供应商负责整理与工程有关的全部监理文件，并提交采购人；

（十四）工程验收阶段的知识产权管理；

1、中标供应商负责收集、整理涉及知识产权的所有材料并归档；

2、中标供应商负责确保项目成果的知识产权归属；

（十五）工程验收阶段的协调要求如下：

1、中标供应商负责协调采购人和承建单位在验收计划、验收目标、验收范围、验收内容、验收方法和验收标准等方面达成一致，填报工程备忘录，并经三方签认；

2、中标供应商负责协调采购人配合验收阶段的工作，出具国家认可实验室检测报告；

3、中标供应商负责及时对验收阶段协调的结果填报工程备忘录，并经三方签认；

4、中标供应商负责协助采购人和承建单位完成工程移交工作；

三、服务人员要求

1、现场全过程服务人员不少于两人，且均具有信息系统监理师资格证书。

2、上述人员必须全部全程投入现场监理服务。

四、保密要求

对合作期间获知的所有采购方信息严格保密，并签订保密协议，合同终止后保密义务仍持续有效。

注：本章所有内容均为实质性要求，不得负偏离，否则按无效投标处理。

包 组 号：003

包组名称：等保测评服务

一、服务内容

本项目建设研发的智慧民意感知平台是一个二级系统，对其进行网络安全等级保护测评服务

二、服务要求

（一）等保测评

依据《中华人民共和国网络安全法》等国家相关法律、标准要求,对应用系统进行测评,并出具《测评报告》。若首次测评后被测信息系统需要进行整改,在约定的整改期限内提供复测服务。同时在项目交付过程中应提供完善的网络安全紧急事件应急服务方案，并有能力对上述系统负责人员进行网络安全意识以及网络安全技术的培训。

服务时间：7*24

服务方式：现场和远程

交付成果：测评报告。

（二）定级备案

协助采购人对测评范围内未定级、未备案的系统形成定级、备案相关材料,组织开展专家评审会,完成定级备案等相关服务工作。

服务时间：7*24

服务方式：现场

交付成果：备案证明。

（三）测评服务范围

依据《信息安全技术 网络安全等级保护基本要求》,测评内容包括但不限于：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理、安全运维管理等十个层面开展测评工作。

（1）安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

（2）安全通信网络测评内容：

网络架构、通信传输、可信验证。

（3）安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

（4）安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

（6）安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

（7）安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

（10）安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（四）项目使用工具

等级保护测评阶段,应使用安全扫描系统对服务器、网络设备进行安全扫描,投标人须提供测评工具,包括但不限于：WEB漏洞扫描系统、数据库漏洞扫描工具、操作系统漏洞扫描工具等。

（五）人员能力要求

1）投标人须承诺：中标后,投标文件中的人员全部参与服务工作,如因特殊原因更换现场实施人员,需征得采购单位同意,所更换人员工作资历及技术能力不能低于投标文件中承诺的人员要求。

2）投标人拟派专业的服务团队,服务团队不少于4人。其中，项目经理1人，对项目的整体进行把控；技术负责人1名，负责提供项目所需的技术指导和支持。

（六）保密要求

对合作期间获知的所有采购方信息严格保密，并签订保密协议，合同终止后保密义务仍持续有效。

注：本章所有内容均为实质性要求，不得负偏离，否则按无效投标处理。

包 组 号：004

包组名称：密码评估服务  

对本项目建设研发的智慧民意感知平台开展密码应用安全性评估安全服务

一、总体要求

依据GM/T 0054-2018 《信息系统密码应用基本要求》等国家和行业商用密码相关规范标准,在服务期内,对本项目关键基础设施、重要应用、网络进行商用密码应用安全性评估。

开展商用密码安全性评估的同时,按我省有关密码应用要求进行商用密码应用安全性评估,测评内容为：商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。测评后，出具加盖检测机构（中标人）印章的《密码应用安全评估报告》纸质一式三份。

二、详细要求

1、商用密码总体要求测评

1）密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

2）密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

3）密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

4）密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

2、密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。

3、密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。

4、安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度,人员管控,信息系统实施,应急预案。

1）安全管理制度维度,包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。

2）人员管控维度,包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。

3）信息系统实施维度,包括但不限于下列内容与措施：信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。

4）应急预案维度,包括但不限于下列内容与措施：应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。

三、团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人应组建不少于5人的项目团队（投标文件中须提供拟派人员名单及岗位分工）。其中，项目经理1人、技术负责人1人，均具备相应管理和沟通能力。

四、保密要求

对合作期间获知的所有采购方信息严格保密，并签订保密协议，合同终止后保密义务仍持续有效。

注：本章所有内容均为实质性要求，不得负偏离，否则按无效投标处理。

包 组 号：005

包组名称：第三方测试服务

一、服务内容

对本项目从第三方角度执行系统压力测试、性能测试，提供客观明确的测试结果报告和结论。

二、服务要求

1.压力测试

目标是检查功能点的入口,提供信息,并确认获得预期输出和功能效果。

功能测试的参考基准是目标系统的需求规格说明书和开发合同,可参考开发方自测试使用的所有测试用例。投标方可按需主动增加开发方未覆盖的其它测试用例。

本项目要求功能测试覆盖目标系统所有功能点。

测试完成后输出测试结果汇总报告和明细记录,对发现的错误根据严重程度划分等级。

厂商修复测试发现的问题后,投标方承诺愿意免费做一轮针对修复的复测确认。

2.性能测试

性能测试关注的不是软件是否能够完成特定的功能,而是在完成该功能时展示出来的及时性。完成功能测试后再执行性能测试。

性能测试主要针对目标系统中,预期有大量访问和大任务负载的目标点执行测试。测试覆盖范围需与客户确认。

要求中标人通过自动化的测试工具（中标人自备）模拟多种正常、峰值以及异常负载条件来对系统的各项性能指标进行测试。中标人规划测试指标,经客户方确认后执行。

三、成果要求

1.测试前提供测试实施计划。

2.针对每个目标系统的每轮次每类测试,都提供测试结论和明细报告。

四、团队要求

为保障项目执行管理调度得当，过程管控高效，确保工作质量和成果，投标人组建不少于4人的项目团队，根据工作需要合理设置岗位，投标文件中须提供拟派人员名单及岗位分工。其中，项目经理1人，具备规划测试方案、信息化综合能力，管理沟通能力。

五、保密要求

对合作期间获知的所有采购方信息严格保密，并签订保密协议，合同终止后保密义务仍持续有效。

六、其他要求

1.启动测试前,测试的覆盖范围和方案需经采购人和用户确认。

2.所有测试活动均在招标方指定的环境下执行。

3.投标人承诺测试过程和结论的客观性。

注：本章所有内容均为实质性要求，不得负偏离，否则按无效投标处理。