盘锦市智慧燃气网格化管理平台项目-监理等保测评等相关服务招标公告

*、建设项目概述

（*）项目背景

以习近平新时代中国特色社会主义思想为指导全面贯彻党的**大和**届*中、*中、*中、*中全会精神，认真落实党中央、国务院决策部署，统筹发展保障安全，坚持人民至上、生命至上，牢固树立安全发展理念，认真贯彻落实全省燃气安全排查整治电视电话会议精神和市委、市政府主要领导同志批示要求，根据《中华人民共和国安全生产法》、国务院《城镇燃气管理条例》、《辽宁省城镇燃气管理条例》、《辽宁省安全生产条例》和《辽宁省住建厅关于进*步开展城镇燃气各类隐患排查工作的紧急通知》，完善和落实安全生产责任制，建立健全城镇燃气运行与安全管理各项制度，完善智能化监管，提升行业运行与安全管理能力。

盘锦市智慧燃气监管平台建设项目以“急用先行，突出重点”为主体思路，打造智能化、可视化、联防联动的燃气安全网格化综合管理平台，从信息化建设方面辅助完善燃气行业安全长效机制，强化燃气安全监管。从管理模式、监测手段、协同运作等多个方面提高盘锦市燃气安全的管理能力，建设动态化安全管理、常态化隐患排查、科学化专项应对的燃气安全管理体系。

通过项目的建设，将实现城市燃气安全运行状态的快速感知、精准预测、高效应对和科学监管。促进盘锦市燃气安全管理模式从被动应对向主动保障、从事后处理向事前预防、从静态孤立监管向动态连续防控的转变，为盘锦市城市大脑及安全发展示范城市的建设奠定基础，最大限度提升城市燃气行业安全韧性，将盘锦市建设成为全市、全省乃至全国燃气行业安全发展示范的标杆。

（*）建设内容

盘锦市智慧燃气监管平台建设项目从盘锦市公共安全的角度出发，实现城市燃气基础设施精细化管理，减少安全事故，在公共安全科技指导下，依托互联网、移动通信、物联网、地理信息系统（***）、*****微页面、云计算、大数据、微服务框架、消息队列等技术，我市智慧燃气监管建设以监管为核心，以城镇燃气的运行管理、安全监管、惠民服务为宗旨，构建综合性、全方位、全覆盖、精细化的城市燃气监管体系，以形成全市统*的“多网格融合、多渠道聚合、多部门共享、多业务协同、多方面参与”的监管模式为目标，最终实现城市燃气管理精细精准、安全监管大众参与、惠民服务全程全时。

智慧燃气监管建设规模，主要包含盘锦市及县区、经济区监管体系建设、应用环境建设及应用平台建设等。建设内容主要包括应用环境（硬件设备、网络、场地等）建设、应用系统建设、视频监控系统建设、视频会议系统建设及系统接口等。

*、服务要求

本次采购全过程咨询服务，主要是对智慧燃气监管项目提供以下服务：监理服务、网络安全等级保护测评、商用密码测评。

（*）监理服务需求

对“盘锦市智慧燃气监管建设项目进行全过程监理。

*.*服务范围

（*）监理服务范围按照《**/* *****.*-**** 信息技术服务 监理》及行业标准、规范和规程，对系统软件的数量、版本、型号等进行复核确认，对知识产权所属进行鉴别；对项目中各个系统的工程建设中设备的安装、调试、试运行、系统培训进行监理。监理内容包括对工程质量、数量、投资、进度、变更进行控制及审核确认，对合同、信息、知识产权进行管理，对多方关系进行协调。

（*）根据国家网络安全法，由于本项目是重要信息基础设施，项目网络安全需要满足公安机关的信息安全等级保护要求，为了加强项目建设过程的网络安全等级保护工作，确保系统建成后通过信息安全等级保护测评，监理单位应该提供下列服务：

在项目中标后，根据《信息系统安全等级保护基本要求》（**/* *****-****），辅助业主对项目的网络安全建设方案进行评审、论证。

在项目实施阶段，协助业主对系统的网络安全等级进行定级辅导，定级备案材料的编制。

在项目验收阶段，按照《信息系统安全等级保护基本要求》（**/* *****-****），为业主提供包括安全策略、管理制度、操作规程等管理要求的咨询服务。

*.*服务目标

监理服务的总体目标：在保证安全可靠的前提下，提高质量、控制进度、优化方案、降低造价，确保本项目按设计和技术规范的要求以合理的费用在规定的时间内优质完成，并按照有关规范、标准检测达到国家相关规范、标准。

（*）质量控制目标：使工程的最终产品满足合同的各项要求，质量达到合格；

（*）进度控制目标：项目总体实施进度符合部建设单位进度计划要求；

（*）保密安全控制目标：无重大因工重伤事故，无安全、泄密事件发生；

（*）投资控制目标：项目总投资符合预算要求。

*.*服务要求

（*）总体要求

在监理服务范围内，依据国家有关信息系统的法律、法规、技术规程、规范、标准以及工程建设文件，监理单位承担全部工作的监理服务，按照《信息化工程监理规范》（**/* *****-****）总则及各分册的要求，对各系统的质量、进度、投资、风险进行全方位、全过程控制，进行项目的合同管理、变更管理、配置管理、文档管理、人员管理、信息管理以及安全文明实施的监理，负责系统建设过程中的组织协调等工作，使项目建设按既定目标顺利进行。

（*）实施阶段

监理单位应加强项目实施方案审核，促使项目中所使用的产品和服务符合委托合同及国家相关法律、法规和标准；

明确项目实施计划，对于计划的调整应合理、受控；促使项目实施过程满足委托合同的要求，并与项目设计方案、项目计划相符。

监理单位应完成（包括但不限于）如下工作：

①　 项目实施前，监理单位应审核被委托单位提交的质量管理计划、项目实施计划，审核后签署监理审核意见；

②　 项目实施前，监理单位应组织建设单位、被委托单位召开项目实施启动会，要求被委托单位落实实施计划、实施方案和必要的准备工作，会议内容做会议纪要，并经*方签认；

③　 项目实施前，根据《密码法》、《国家政务信息化项目建设管理办法》国办发【****】**号要求，监理单位应要求承建单位提交项目实施方案和集成调试方案，并参照国家网络安全等级保护以及商用密码安全的相关要求，对网络安全设备的集成调试方案的合理性和规范性进行评估、审核后签署监理意见。

④　 监理单位应审核被委托单位提交的开工申请，检查项目准备情况。项目实施条件具备时，总监理工程师应签发开工令，并报建设单位开始项目实施；

⑤　 监理单位应监督合同执行情况，通过监理周报、月报、阶段性报告定期向建设单位提交监理报告，跟踪项目的质量、进度、投资完成情况；

⑥　 监理单位应对项目质量进行全过程监督管理，在加强现场管理工作的前提下对重要部位和关键点应采取“旁站监理”的方式，检查项目进度和质量，做好隐蔽工程的签证；对发现的可能影响质量的问题及时指令被委托单位采取措施解决，必要时发出停工、返工的指令；

⑦　 监理单位做好监理日志，随时记录实施中有关质量、进度等方面的问题，并对发生质量问题的现场及时拍照或录相；

⑧　 监理单位织对被委托单位提供的产品及服务进行验收，对验收结果做验收记录，并经*方签认；对不符合合同或相关标准规定的产品及服务应拒绝签认。没有被签认的产品及服务不得在项目实施中应用；

⑨　 监理单位应检查设备到货安装环境；监督旁站设备到货、安装、调试过程。监督软硬件平台集成过程。必要时，监理单位据委托合同、技术标准或事先约定的方法检测产品及服务的质量，对于数量较大的同类型产品及服务，监理单位可采取抽样方法；

⑩　 必要时，监理单位应要求被委托单位提交第*方测试机构出具的测试报告，并核验产品认证证书、检测报告的真实性、有效性；第*方测试机构应经建设单位和监理单位同意；

**　 监理单位应按计划检查被委托单位项目实施状况、人员与实施方案的*致性；

**　 监理单位应执行已确定的阶段性质量监督、控制措施及方法，并做监理日志。出现项目质量问题时，经确认后监理机构签发监理通知单，报建设单位、被委托单位，责令被委托单位整改；

**　 监理单位应及时处理被委托单位提交的项目中关键环节的实施申请，审核其合理性后签认，报建设单位批准；必要时，监理机构应检查被委托单位重要项目步骤的衔接工作，做监理日志。未经监理工程师检查认可，被委托单位不能进行与之相关的下*步骤的实施；

**　 监理单位应及时处理工程变更申请，审核变更的合理性，保证项目总体质量不受影响；监理机构应从目标系统的质量、进度和投资等方面审查工程变更，由于变更引起投资的改变应按照合同的相关条款执行。在合同中没有规定的，应在变更实施前与建设单位、被委托单位协商确定变更导致的投资变化，并作工程备忘录；

**　 当出现项目事故时，监理单位应要求被委托单位在事故发生后立即采取措施，尽可能控制其影响范围，并及时签发停工令，报建设单位，并与建设单位、被委托单位共同确认初步处理意见；监理单位应监督被委托单位采取措施，查清事故原因，审核被委托单位提出的事故解决方案及预防措施，提出监理意见，提交建设单位签认；监理单位应审查被委托单位报送的事故报告及复工申请，条件具备时签发复工令；

**　 监理单位若发现项目实施过程存在重大质量隐患，应及时向被委托单位签发停工令，并报建设单位，监督被委托单位进行整改。整改完毕后，及时处理被委托单位的复工申请；

**　 监理单位应根据项目总进度计划，编制控制性总进度计划，并协助建设单位编制总体进度计划或实施总进度计划；审批实施总进度计划以及分年的年、季、月计划；跟踪监督、检查、记录进度计划的实施；对实际进度进行对比、检查、分析，对出现的偏差采取应对措施；审查被委托单位的进度报告，并编报监理报告；

**　 监理单位应对项目实际进度做好记录和统计工作，并进行经常性和阶段性的项目实际进度与计划进度的对比分析，检查进度偏差的程度和产生的原因，分析预测进度偏差对后续实施工序和项目的影响程度，并提出指导性的解决措施。当项目实际进度与计划进度相比发生较大偏差而有可能影响合同工期目标的实现时，监理单位应提出进度计划的调整意见，并指导被委托单位相应调整进度计划。进度计划的重大调整应书面报建设单位批准；

**　 监理单位应依据委托合同及其补充协议，审核被委托单位提交的项目阶段性报告和付款申请签发工程款支付意见，报建设单位签认；

**　 监理单位应对项目实施阶段*方共同参与的过程和活动做工程备忘录；并检查督促被委托单位按规程规范实施、文明安全实施，防止因出现质量、安全事故及环保问题

**　 监理单位应根据需要及时组织专题会议，解决项目实施过程中的各种专项问题，并做会议纪要，提交建设单位和被委托单位。

（*）验收阶段

监理单位应评审项目测试验收方案（验收目标、责任双方、验收提交清单、验收标准、验收方式、验收环境等）的符合性及可行性；促使项目的最终功能和性能符合委托合同、法律、法规和标准的要求；推动被委托单位所提供的项目各阶段形成的技术、管理文档的内容和种类符合相关标准。合同验收时监理单位应完成（包括但不限于）如下工作：

①　 检查与测试是确认项目各系统所建内容是否达到合同要求和评估系统质量的必备措施，监理单位应协助建设单位明确项目测试验收方案并审查其符合性及可行性，监理机构应组织对项目建设的应用系统软件、网络、布线等进行专项测试，做为项目验收的依据。

②　 监理单位应及时处理被委托单位提交的验收申请，审核竣工结算，审核验收的必备条件，并签署监理意见；

③　 监理单位应协助建设单位对验收中发现的质量问题进行评估，根据质量问题的性质和影响范围，敦促被委托单位根据验收整改要求提出整改方案，并监督整改过程。必要时，应组织重新验收；

④　 监理单位应督促被委托单位完成项目实施方案中确定的培训，并对培训效果做出评估；

⑤　 监理单位应协助建设单位进行工程决算；

⑥　 监理单位应敦促建设单位、被委托单位按照事先约定，编制、签署和妥善保存验收阶段的项目文档；

⑦　 监理单位应编写各时段项目验收的监理工作报告，整理监理单位应提交和提供的验收资料；负责整理记录归档建设单位与承建单位来往的文件、合同、协议及会议记录等各种文档，出具监理文件。

⑧　 监理机构应协助建设单位和被委托单位完成项目移交工作，将项目移交建设单位管理，并进入工程质量保修期。

（*）网络安全等保测评服务

*.*总体要求

本项服务要求服务单位依据《信息安全等级保护管理办法》、《信息安全技术 网络安全等级保护基本要求》、《信息安全技术 网络安全等级保护测评要求》、《安全可靠应用信息系统等级保护基本要求》（试行）、《安全可靠应用信息系统等级保护测评要求》（试行）等国家和行业相关信息系统安全规范标准，在服务期内，对*级系统进行信息安全等级测评，测评内容为：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等**方面测评任务。

*.*测评详细指标要求

（*）单元测评

单元测评分为技术测评和管理测评两大类。技术测评包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等*个层面上的单元测评；管理测评包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等*个方面的单元测评。

①　 安全物理环境测评内容：

物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

②　 安全通信网络测评内容：

网络架构、通信传输、可信验证。

③　 安全区域边界测评内容：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

④　 安全计算环境测评内容：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

⑤　 安全管理中心测评内容：

系统管理、审计管理、安全管理、集中管控。

⑥　 安全管理制度测评内容：

安全策略、管理制度、制定和发布、评审和修订。

⑦　 安全管理机构测评内容：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

⑧　 安全管理人员测评内容：

人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

⑨　 安全建设管理测评内容：

定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务服务单位选择。

⑩　 安全运维管理测评内容：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（*）整体测评

系统整体测评涉及到信息系统的整体拓扑、局部结构，也关系到信息系统的具体安全功能实现和安全控制配置，与特定信息系统的实际情况紧密相关，内容复杂且充满系统个性。

服务单位测评人员应根据特定信息系统的具体情况，确定系统整体测评的具体内容，在安全控制测评的基础上，重点考虑安全控制间、层面间以及区域间的相互关联关系，测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。

系统整体测评主要包括*个部分：分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。

①　 安全控制间安全测评

安全控制间的安全测评主要考虑同*区域内、同*层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如，可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使*个安全控制的引入影响另*个安全控制的功能发挥或者给其带来新的脆弱性。例如，应用安全层面的代码安全与访问控制，如果代码安全没有做好，很可能会使应用系统的访问控制被旁路。

②　 层面间安全测评

层面间的安全测评主要考虑同*区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使*个层面上的安全控制影响另*个层面安全控制的功能发挥或者给其带来新的脆弱性。

③　 区域间安全测评

区域间的安全测评主要考虑互连互通（包括物理上和逻辑上的互连互通等）的不同区域之间存在的安全功能增强、补充和削弱等关联作用，特别是有数据交换的两个不同区域。例如，流入某个区域的所有网络数据都已经在另*个区域上做过网络安全审计，则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能，可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使*个区域上的安全功能影响另*个区域安全功能的发挥或者给其带来新的脆弱性。

④　 验证测试

验证测试包括对主机、网络、数据、应用（含移动应用）的漏洞扫描和渗透测试等，验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。

（*）商用密码应用安全性评估服务

*.*总体要求

依据**/* ****-**** 《信息系统密码应用基本要求》等国家和行业商用密码相关规范标准，在服务期内，对等保*级系统在开展等级保护测评的同时，按我省有关密码应用要求进行商用密码应用安全性评估，测评内容为：商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。出具商用密码应用安全性评估报告。

*.*详细要求

（*） 商用密码总体要求测评

①　 密码算法合规性测评：信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。

②　 密码技术合规性测评：信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。

③　 密码产品合规性测评：信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。

④　 密码服务合规性测评：信息系统中使用的密码服务是否通过国家密码管理部门许可。

（*） 密码技术应用测评

从物理和环境、网络和通信、设备和计算、应用和数据*个层面对信息系统中应用的密码技术进行分析与评估。

物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能，对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素：重要场所的物理访问控制，监控设备的物理访问控制，以及物理访问记录、监控信息等敏感信息数据完整性。

网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素：安全认证连接到内部网络的设备，通信双方的身份认证过程，通信数据完整性，敏感信息数据字段机密性，网络边界访问控制信息完整性，系统资源访问控制信息完整性，安全设备、安全组件的集中管理方式和信息传输通道。

设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素：登录信息系统设备和计算环境的用户身份鉴别过程，系统设备和计算环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要程序或文件完整性，信息系统设备和计算环境的日志记录完整性。

应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能，对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素：登录信息系统应用和数据操作环境的用户身份鉴别过程，系统应用和数据操作环境资源访问控制信息完整性，重要信息资源敏感标记完整性，重要数据传输过程的机密性、完整性，重要信息存储过程的机密性、完整性，重要程序的加载和卸载过程，信息系统应用相关实体行为不不可否认性，信息系统应用和数据操作环境的日志记录完整性。

（*）密钥管理测评

对影响商用密码防护效能的密钥生命周期相关环节，以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节：密钥生成，密钥存储，密钥分发，密钥导入，密钥导出，密钥使用，密钥备份，密钥恢复，密钥归档，密钥销毁。

（*）安全管理测评

对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度：安全管理制度，人员管控，信息系统实施，应急预案。

①　 安全管理制度维度，包括但不限于下列内容与措施：密码建设、运维、人员、设备、密钥管理内容，密码相关操作规范、安全操作规范，安全管理制度的合理性和适用性论证与审定，安全管理制度的改进和修订，安全管理制度的发布，安全管理制度的执行。

②　 人员管控维度，包括但不限于下列内容与措施：了解并遵守密码相关法律法规密码产品使用，关键岗位划分，相关人员职责与权限划分，岗位责任制与人员制约、监督机制，管理和使用账号，人员培训、人员选拔，人员考核、奖惩与调离，人员保密措施。

③　 信息系统实施维度，包括但不限于下列内容与措施：信息系统规划，信息系统建设方案，信息系统密码产品、服务选用，信息系统运行前与定期评估，信息系统整改。

④　 应急预案维度，包括但不限于下列内容与措施：应急预案，应急资源准备，应急情况与处置，上级主管部门应急报告，同级密码主管部门应急报告。

*、服务人员及其它要求

（*）服务单位要指派项目总负责人*名，要求具有信息系统监理师证书。

（*）专业技术人员要求：

项目期间，服务单位负责根据采购人对项目的实际需求，提供与本项目相关行业、领域内的专业技术人员，总投入人员（不含项目总负责人）不少于*人，全部为服务单位在职人员，其中不少于*名人员具有网络/信息安全等级保护测评师证书、*名人员具有国家密码管理局商用密码应用安全性评估人员测评能力考核小组出具的测评能力考核合格证书。

投标文件中须提供上述拟派人员基本信息、职责，并提供拟派人员的身份证、证书复印件和服务单位为相关拟派人员截止开标前* 个月内任意*个月缴纳社保的证明材料。

（*）服务单位自行解决服务期间办公用房（驻场人员在现场办公的用房由采购人提供）、交通与通讯设施、服务单位人员住宿。投标报价应包括为完成本服务内容可能发生的各项费用，如工作、生活、交通、通讯、设备（仪器）、劳力、利润、税收等，以及所有有关的管理成本。