安全测评及第三方验收测评服务

安全测评及第三方验收测评服务一、项目概况根据对投资信息化项目建设和验收的相关要求，项目终验前组织第三方测评机构对项目进行验收测评和安全测评工作，及时发现工程项目中存在的漏洞并进行整改，提高项目建设质量，规范项目验收流程，出具符合管理机构要求的验收测评报告和安全测评报告，强化信息化项目管理。二、服务标准规范要求主要参考标准如下：（以下以国家相关部门颁发的最新标准为准）1.《GB/T8567-2006计算机软件文档编制规范》；2.《GB/T9385-2008计算机软件需求规格说明规范》；3.《GB/T9386-2008计算机软件测试文档编制规范》；4.《GB/T14394-2008计算机软件可靠性和可维护性管理》；5.《GB/T25000.51-2016系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》；6.项目文档：《可行性研究报告》、《项目建设方案》、《项目招投标文件》、《项目合同书》、《需求说明书》、《概要设计说明书》、《数据库设计说明书》、《详细设计说明书》、《用户使用手册》、《操作手册》、《系统维护手册》、《系统安装手册》、《工程变更单》等。三、服务内容（1）安全测评内容根据《业务信息化项目管理办法》要求，合同验收前，应完成安全测评工作。安全测评内容包含以下内容：序号安全层面测评内容1网络安全结构安全、访问控制、安全审计、边界完整性、入侵防范、网络设备防护2主机安全身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制3应用安全身份鉴别、访问控制、安全审计、通信完整性、通信保密性、资源控制4数据安全数据完整性、数据保密性、备份和恢复5系统安全漏洞扫描6安全管理制度管理制度、制定和发布、评审和修订7安全管理机构岗位设置、人员配置、授权和审批、沟通和合作、审核和检查8人员安全管理人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理9系统建设管理安全方案设计、产品采购和使用、自行软件开发、外部软件开发、工程实施、系统交付、安全服务商选择10系统运维管理环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急管理（2）第三方验收测评依据被测项目招标文件、合同文件、用户需求说明书等的要求，对被测项目功能性、性能效率、可靠性、易用性、用户文档集等方面进行测试，验证被测项目是否符合招标文件、需求文件中的要求。具体要求如下：1）功能性依据被测系统需求规格说明书，开展功能测试，验证被测系统的业务逻辑、功能逻辑和功能点是否符合《需求规格说明书》中的要求。从系统的功能性方面验证被测系统满足或者覆盖《需求规格说明书》的程度。2）性能效率从时间特性、资源利用性、容量三个方面验证被测系统是否满足《需求规格说明书》中规定的性能要求。3）可靠性从成熟性、可用性、容错性、易恢复性四个方面验证被测系统是否满足《需求规格说明书》中规定的可靠性的要求。4）易用性从可辨识性、易学性、易操作性、用户差错防御性、用户界面舒适性、易访问性六个方面验证被测系统是否满足《需求规格说明书》中规定的易用的要求。5）用户文档集通过配置审核，对被测系统进行文档审核。四、项目服务时间要求1.合同签订后，在接到业主单位通知具备项目测评实施条件后5个工作日内，提供项目测评方案。2.在需要测评项目具备条件时，原则上要求在2个月内完成所有测评工作，如有延期需双方协商确定。3.测评工作完成后10个工作日内，出具并向采购人提交正式的符合主管机构要求的第三方验收测评和安全测评报告。五、测评流程和工具要求5.1.测评流程要求按照GB/T25000.51－2016《系统与软件工程系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和验收测评细则》及项目文档（含立项方案、磋商文件、响应文件、合同文件、项目需求、概要设计、详细设计、数据库设计、操作手册等）编制《第三方验收测评方案》，内容须包括但不限于测评目标、测评依据、测评环境、测评工具、测评方法、测评内容、测评进度安排、测评结论判定标准等。验收测评实施流程的基本要求：（1）验收测评准备阶段：验收测评准备阶段服务要求包括第三方验收测评方案制定、验收测评环境准备、验收测评数据准备等3方面。a.第三方验收测评方案制定：接收到项目验收测评任务，收集项目资料（包含但不仅限于立项方案、采购文件、投标文件、合同文件、需求规格说明书、概要设计说明书、详细设计说明书、数据库设计说明书、操作手册、安装部署手册、三方测试报告等），由验收测评项目经理组织编制《第三方验收测评方案》，并提交甲方进行评审。b.验收测评环境准备：确认验收测评环境的网络环境、硬件环境、软件环境满足项目验收测评需求。c.验收测评数据准备：确认待测软件的数据量满足项目验收测评需要。（2）验收测评设计阶段：编制用例，明确验收测评内容的具体执行方法，包括输入及操作、对应功能的输出或期望结果等。（3）验收测评实施阶段：项目经理组织验收测评团队执行项目验收测评计划和《第三方验收测评方案》中规定的验收测评项目和验收测评内容。在执行过程中，验收测评工程师应认真观察并如实记录验收测评过程、验收测评结果和发现的缺陷，认真填写验收测评记录。（4）验收测评分析阶段：当所有用例都执行完毕后，应分析验收测评工作是否充分，是否需要增加新的验收测评。当验收测评过程正常终止时，如果发现验收测评工作不足，应对软件系统进行补充验收测评，直到验收测评达到预期要求，如果验收测评过程异常终止时，应记录导致终止的原因、未完成的验收测评内容。完成首轮验收测评后应出具完整的《验收测评问题报告集》，一般包括下面几项内容：a.总结验收测评计划和验收测评内容的变化情况及其原因。b.对验收测评异常终止情况进行分析，确定未能被验收测评活动充分覆盖的范围。c.确定未能解决的软件验收测评事件以及不能解决的理由。d.确定开发的软件系统与需方的立项方案、磋商文件和合同文件要求之间的差异。（5）回归测评阶段：应针对《验收测评问题报告集》中的问题进行免费的回归测评直至验收测评通过为止。（6）验收测评总结阶段：针对验收测评结果进行客观评价，并出具公平公正的《第三方验收测评报告》，验收测评报告内容及数据应准确、完整、客观、公正。验收测评服务质量应符合信息化主管部门颁发的项目验收规范中的相关要求，且技术评测结果及报告必须提交最终用户确认。甲方应组织对输出的《第三方验收测评报告》进行评审，评审是否达到了测评目的、测评文档是否符合要求，评审验收测评执行的有效性、验收测评结果的正确性和合理性。5.2.测评工具要求供应商应至少需具备软件性能测试工具（例如：LOADRUNER等）、万兆网络测试仪，OTDR光纤测试仪、电缆认证分析仪、温湿度测试仪、安全评估系统和漏洞扫描系统等工具。。六、人员要求1.实行项目经理负责制，全面负责项目测评合同的履行、负责项目的测评全过程管理工作。项目经理应有丰富财政投资信息化项目测试经验，熟悉工作方式、办事流程，优秀的沟通能力和口头、文字表达能力，协调处理能力强。2.项目团队应具备15人以上的组织架构，除项目经理外还需配备技术负责人，为测评工作提供专业的技术指导。项目测评工作必须由具有相应资质和职称的测评技术服务工程师来担任。项目团队成员具有信息系统工程项目的测试工作经验，具有软件评测师、CISP或CISSP等其他相关测试资质证书。3.供应商应在投标文件方案中给出项目经理、项目技术负责人和项目测评技术服务工程师的具体名单、资质等证明材料。供应商必须向采购人保证人员组织的稳定性，在本项目结束前，参加本项目的人员变动必须取得采购人书面同意。供应商应保证参与该项目的测评的工程师必须全职，原则上不允许中途更换测评工程师，因不可抗力因素导致人员发生变更的，必须在5个工作日内书面通知采购人，替代人员必须具有与原人员相当或更高的资质和能力。七、进度及服务要求中标服务商应建立完善的实验室管理体系，测评过程中，应通过各类评审和质量监督措施，保证测评过程、测评工作成果的质量。在完善的测试过程管理基础上，中标服务商应配套提供完善的支撑过程，包括但不限于：1、进度管理：1小时内响应项目过程出现的问题，并提出有效解决问题的思路。2、保密管理：中标服务商依据相关要求，建立完善的保密管理制度，确保采购人知识产权、专利权、技术秘密和商业秘密不受损害。3、配置管理：中标服务商应配备配置管理员，使用配