我单位关于鄂尔多斯市“数字水投”智慧管理决策平台建设项目需要进行等级保护测试、密码测评及软件测试服务，现邀请有实力的竞标人参与本项目，现向你单位咨询关于鄂尔多斯市“数字水投”智慧管理决策平台建设项目等级保护测试、密码测评及软件测试服务报价。       

一、项目基本情况

二、报价要求

请贵公司按照附件中的格式进行报价。并于2025年11月25日15:30（北京时间）之前将报价文件送至鄂尔多斯市水投康源水务股份有限公司（地址：鄂尔多斯市伊金霍洛旗桑盖村四社）或以扫描件的形式报送至邮箱（如邮箱报送，后续需将原件邮寄至我公司）。

联系人：白宦周

联系电话：18547726959邮箱：1014078859@QQ.com

三、项目技术要求

（一）通用资质要求

1.投标人需提供具备公安部相关单位颁发的《网络安全服务认证证书等级保护测评服务认证》，异地测评机构须按照《内蒙古自治区计算机信息系统安全保护办法》要求完成项目所在地盟市级以上公安机关本项目备案并提供相关证明。

2.具备国家行政机关颁发检验检测机构资质认定证书（CMA 证书范围包含软件测试）。

3.具备信息化系统软件测试相关资质。

4.拟派项目负责人须同时具有高级测评师证书，且具备电子数据分析类的相关人员证书。

（二）等级保护测评专项要求（三级）

1.测评依据：严格遵循《信息安全技术 网络安全等级保护基本要求》（GB/T 22239）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448）、《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449）等国家相关标准规范执行。

2.测评范围：涵盖 “数字水投” 智慧管理决策平台的网络架构、主机系统、数据库系统、应用系统、安全管理体系等全维度，包括但不限于网络分区与边界防护、访问控制策略、安全审计、数据备份与恢复、应急响应机制等核心环节。

3.测评内容：

（1）技术层面：网络安全（网络拓扑合理性、边界防护有效性、网络设备安全配置等）、主机安全（操作系统漏洞扫描、账户权限管理、安全补丁更新等）、数据库安全（数据加密、访问权限控制、审计日志完整性等）、应用安全（代码安全审计、输入验证、会话管理等）、数据安全（数据采集、传输、存储、使用全生命周期安全）。

（2）管理层面：安全管理制度建设与落实情况、组织架构与人员管理、安全培训与考核、应急预案与演练、资产安全管理等。

4.测评成果：需出具具备法律效力的等级保护测评报告（三级），明确测评结论（符合 / 基本符合 / 不符合），详细列出安全风险隐患及整改建议，整改建议需具备可操作性，且报告需通过相关监管部门认可。

（三）密码测评专项要求

1.测评依据：依据《信息安全技术 信息系统密码应用基本要求》（GB/T 35273）、《密码测评机构管理办法》等国家密码管理相关标准及规定执行。

2.测评范围：覆盖平台中密码算法应用、密钥管理、密码设备部署、密码服务使用等密码应用相关环节，包括但不限于身份认证、数据加密传输、数据加密存储、会话加密等场景。

3.测评内容：

（1）密码算法合规性：核查平台使用的密码算法是否为国家密码管理局认可的算法（如 SM2、SM3、SM4 等），算法应用是否符合相关标准。

（2）密钥管理安全性：评估密钥生成、存储、分发、使用、备份、销毁等全流程管理是否规范，是否具备防泄露、防篡改、防丢失能力。

（3）密码设备合规性：核查所使用的密码设备（如加密机、密码卡等）是否取得国家密码管理局颁发的《商用密码产品认证证书》。

（4）密码应用有效性：验证密码技术在身份鉴别、数据安全、通信安全等场景的应用效果，是否能有效抵御相关安全风险。

4.测评成果：出具符合要求的密码测评报告，明确密码应用合规性结论，指出存在的问题及整改方向，报告需满足国家密码管理部门的备案及审查要求。

（四）软件测试专项要求

1.测试依据：遵循《软件测试规范》（GB/T 25000.51）、《计算机软件质量保证计划规范》（GB/T 12504）等国家标准，结合平台业务需求说明书、设计文档等相关资料执行。

2.测试范围：涵盖 “数字水投” 智慧管理决策平台的所有功能模块，包括水资源监控模块、供水调度模块、决策分析模块、业务管理模块等，同时覆盖软件的性能、安全性、兼容性、易用性等非功能特性。

3.测试内容：

（1）功能测试：验证各模块功能是否符合需求规格说明书，包括功能实现的完整性、准确性、逻辑性，以及异常场景处理能力（如输入非法数据、网络中断等）。

（2）性能测试：包括并发性能测试（模拟多用户同时操作的系统响应能力）、负载测试（系统在不同负载压力下的稳定性）、压力测试（系统极限负载下的表现）、响应时间测试等，需明确性能指标达标要求（如并发用户数≥500 时，系统响应时间≤3 秒）。

（3）安全测试：除等级保护测评及密码测评覆盖的安全维度外，补充软件层面的安全测试，包括 SQL 注入、XSS 跨站脚本、CSRF 跨站请求伪造、权限越权等常见安全漏洞检测。

（4）兼容性测试：验证软件在指定操作系统（如 Windows Server、Linux 等）、数据库（如 MySQL、Oracle 等）、浏览器（如 Chrome、Edge 等）及硬件环境下的正常运行能力。

（5）易用性测试：评估软件界面的友好性、操作流程的便捷性、提示信息的准确性等。

4.测试成果：提供详细的软件测试报告，包括测试计划、测试用例、测试数据、缺陷统计分析、测试结论等，明确软件是否满足上线使用要求，对发现的缺陷需标注严重程度及整改建议。

四、报价须知：

（1）询价通知书内容不得有二次修改，否则视为报价无效，自动退出本次询价；

（2）询价通知书未按时限要求送达我单位视为自愿放弃此次询价，自动退出本次询价；

（3）加盖公章和法人手章处未加盖或少加盖，视为无效报价，自动退出本次询价；

（4）“数字水投”平台相关资料不以网络形式传输发送，需各参与报价公司准备移动存储介质到我公司自行拷取（地址：鄂尔多斯市伊金霍洛旗桑盖村四社）；

五、选取原则

   根据报价最低者参与此次采购项目。

附件：报价文件格式.docx