青岛政策通项目软件测试及网络安全等保测评服务报价单

单位名称:(公章)项目名称与主要内容服务要求响应情况预算金额(万元)项目名称:青岛政策通项目软件测试及网络安全等保测评服务主要建设内容:完成青岛政策通项目软件测试,出具测试报告;完成青岛政策通项目网络安全等保测评,出具符合要求的网络安全等级保护测评报告.
(一)软件测试1.
功能性,主要检测在指定条件下使用时,产品或系统提供满足明确和隐含要求的功能的程度.
应包含功能完备性、功能正确性、功能适合性、功能性的依从性.
2.
可靠性,主要检测系统、产品或组件在指定条件下、指定时间内执行功能的程度.
应包含成熟性、可用性、容错性、易恢复性、可靠性的依从性.
3.
易用性,检测在指定的环境中,产品或系统在有效性、效率和满意度特性方面为了指定的目标可为指定用户使用的程度.
应包含可辨识性、易学性、易操作性、用户差错防御性、用户界面舒适性、易访问性、易用性的依从性.

4.
性能效率,应包含时间特性、资源利用率、容量、性能效率的依从性.
时间特性主要指产品或系统执行功能时,其响应时间、处理时间及吞吐率满足需求的程度;资源利用率是指产品或系统执行其功能时,所使用资源数量和类型满足需求的程度;容量是指产品或系统参数的最大限量满足需求的程度;性能效率的依从性是指产品或系统遵循与性能效率相关的标准、约定或法规以及类似规定的程度.

5.
用户文档集,对软件文档的测试包括文档的正确性、完整性、一致性、易浏览性的检查和验证.
尤其是软件文档与程序之间的一致性验证.
6.
信息安全性,检测产品或系统保护信息和数据的程度.
主要考虑保密性、完整性、抗抵赖性、可核查性、真实性以及信息安全性的依从性.
验证软件能否防止对程序和数据的未授权访问;验证软件是否能识别对结构数据库或文件完整性产生损害的事件,且能阻止该事件,并通报给授权;软件能否按照信息安全要求,对访问权限进行管理;软件能否对保密数据进行保护,只允许授权用户访问.

7.
代码测试,为保障能够提供预期的功能,满足实际的业务运行需要,需进行代码测试,主要对程序源代码进行安全检测服务服务,具体包括代码功能性测试、代码安全性测试、代码规范性测试、代码性能测试、代码健壮性测试.
在业务系统正式上线之前,应完成生产环境的全量测试,包括功能测试和性能测试.
功能测试包括应用程序(中间件)与云平台的兼容性测试、终端用户访问连通性测试、业务功能全面性测试等.
性能测试包括业务压力测试、应用负载测试、网络带宽测试等.

如因发布前测试不到位,导致上线后业务系统异常等,相关责任由中标方承担.
(二)网络安全等保测评1.
安全技术测评,包括安全通信网络、安全区域边界、安全计算环境和安全管理中心等四个方面的安全测评;2.
安全管理测评,安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评.
3.
安全通信网络,根据信息系统网络安全测评记录,针对网络方面在"网络结构"、"通信传输"、"可信验证"等安全通信网络方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果.

4.
安全区域边界,安全区域边界现场测评包括对信息系统等安全区域边界的测评,测评内容包括"边界防护"、"访问控制"、"入侵防范"、"恶意代码和垃圾邮件防范"、"安全审计"、"可信验证"方面.

5.
安全计算环境,安全计算环境现场测评包括对信息系统等安全计算环境的测评,测评内容包括"身份鉴别"、"访问控制"、"安全审计"、"入侵防范"、"恶意代码防范"、"可信验证"、"数据完整性"、"数据保密性"、"数据备份恢复"、"剩余信息保护"、"个人信息保护"方面.

6.
安全管理中心,安全管理中心现场测评包括"系统管理"、"审计管理"、"安全管理"、"集中管控"几个方面的测评.
7.
安全管理制度,根据现场安全测评记录,针对信息系统在安全管理制度方面的"安全策略"、"管理制度"、"制定和发布"以及"评审和修订"等测评指标,判断出与其相对应的各测评项的测评结果.

8.
安全管理机构,根据现场安全测评记录,针对信息系统在安全管理机构方面的"岗位设置"、"人员配备"、"授权和审批"、"沟通和合作"以及"审核和检查"等测评指标,判断出与其相对应的各测评项的测评结果.

9.
安全管理人员,根据现场安全测评记录,针对信息系统在人员安全管理方面的"人员录用"、"人员离岗"、"安全意识教育和培训"以及"外部人员访问管理"等测评指标,判断出与其相对应的各测评项的测评结果.

10.
安全建设管理,根据现场安全测评记录,针对信息系统在系统建设管理方面的"定级和备案"、"人员配备"、"安全方案设计"、"产品采购和使用"、"自行软件开发"、"外包软件开发"、"工程实施"、"测试验收"、"系统交付"、"等级测评"以及"安全服务商选择"等测评指标,判断出与其相对应的各测评项的测评结果.

11.
安全运维管理,根据现场安全测评记录,针对信息系统在系统运维管理方面的"环境管理"、"资产管理"、"介质管理"、"设备维护管理"、"漏洞和风险管理"、"网络和系统安全管理"、"恶意代码防范管理"、"配置管理"、"密码管理"、"变更管理"、"备份与恢复管理"、"安全事件处置"、"应急预案管理"以及"外包运维管理"等测评指标,判断出与其相对应的各测评项的测评结果.

1.
整体要求按照国家相关软件质量检测标准要求及青岛政策项目设计要求,制定项目测评方案,对青岛政策通项目进行全面测试,发现系统潜在的问题,消除存在的隐患,出具测试报告;按照《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《信息系统安全等级保护测评准则》等相关标准,制定项目网络安全等保测评方案,完成青岛政策通项目等级保护测评工作,对系统中不符合信息安全等级保护有关管理规范和技术标准的,提出可行性整改方案并协助整改,在整改完成后对整改项进行再次测评,测评后经用户单位确认,出具符合要求的网络安全等级保护测评报告.

2.
软件测试要求根据《GB/T25000.
51-2016软件工程软件产品质量要求与评价(SquaRE)商业现货(COTS)软件产品的质量要求和测试细则》等国家有关软件测试质量标准,结合青岛政策通项目实际和用户需求,制定测评方案,编制测试用例,通过访谈、人工检查分析、自动化工具等测试方式测试软件的功能性、可靠性、易用性、效率、兼容性特别是浏览器兼容性及用户文档等指标,判断信息系统是否满足项目建设要求,并出具软件测试报告.
在青岛政策通项目上线前完成代码检测、接口模块检测和基本安全功能安全强度测试等,发现问题,提出整改建议.

3.
网络安全等保测评要求根据采购人信息系统的保护等级,并依据《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《信息系统安全等级保护测评准则》等相关标准的条款要求,制定网络安全等保测评方案,逐一对青岛政策通项目的安全保护等级进行测评,出具符合要求的系统测评报告.
4.
测评组织要求(1)测评机构具备软件测试与网络安全等保测评相关资质;(2)测评机构近3年内承接并成功完成2个以上类似的信息系统测评项目;(3)测评机构应为本项目测评服务建立专门的测评机构,刻制相应专用公章,并实行总测评工程师负责制,针对不同的分项工程或专业,应由相应的专业测评工程师负责测评工作的具体落实;(4)测评机构在工程建设最终验收前不得解散,工程终验后方可解散;测评机构在工程终验后如解散,需在本地指定专人负责质保期业务联络;(5)测评机构应根据工程的具体情况,按合同约定,配备满足测评工作需要的人员、设备和工具,应妥善使用采购人所提供的设施;(6)测评机构应遵守相应的测评工作制度,保证测评工作协调有序的进行;(7)在采购人与工程成交测评机构签订承包合同后,测评机构应组织召开首次交底会议,并向各方进行测评交底;(8)测评机构必须加强信息安全管理,不得向无关第三方泄露工程相关技术方案等信息,各类重要信息必须做好信息保密保护,测评机构应具备信息安全保密管理能力,并按照相关规定对项目进行测评.
5.
测评人员要求(1)要求参与本项目现场测评人员不少于3人,其中确定一人为该项目的项目经理,专业测评工程师不少于2人.
(2)项目经理不得更换,其他测评工程师如需更换须经采购人批准,且更换人员应具备相同的资质与能力.
(3)参与本项目的主要测评人员必须符合以下资质要求:项目经理必须持有国家人事部门与信息产业部门联合颁发的软件测评师证书,具有充沛的精力和较强的学习能力,并有测评大型信息系统的工作经验.
人员驻场要求:项目测评服务期间,测评机构必须安排一名测评工程师驻场服务.
(4)测评人员应熟悉青岛市电子政务、信息化建设情况,熟悉青岛市有关政府采购项目管理要求,加强项目过程监控,项目建设完成后应满足市政府有关部门的验收要求.
6.
验收与移交(1)在完成测评验收后,由采购人对本测评服务项目进行验收;(2)验收时,测评机构应进行测评总结,整理各类技术、管理等文档,并移交采购人.
7.
运维期限自项目验收合格后1年内免费运维.
运维期内每年对系统进行不少于两次的信息安全脆弱性检查或渗透测试.
8.
服务地点采购人指定地点.
9.
付款方式签订合同后,付合同款30%;各系统完成测评并验收合格后,付合同款60%;质保期结束后,付合同款10%.
10.
服务成果验收服务期满、全部服务结束后,采购人应对中标人提供的服务进行详细而全面的检验.
采购人有权限根据检验结果要求中标人立即完善或者提出索赔要求.
验收合格后,由采购人组成的验收小组签署验收报告,作为付款凭据之一.