电子政务软件测评

金盾信安电子政务软件评测是国家信息中心软件评测中心河南分中心,评测中心作为信息技术领域的国家级第三方检验检测机构,以服务于政府机构、科研院校及企业事业单位为己任,通过政、产、学、研、用相结合,为多行业多领域的软件产品与信息系统实施第三方评测服务。

评测目的

01

为信息系统建设提供质量把关,提升系统的经济效益和社会效益。

02

为企业享受税收优惠政策,申报基金项目和科研项目、系统验收提供有力证明。

03

为软件企业降低测试成本和提高软件质量。

04

为企业技术成果提供证明,为软件产品市场拓展加分。

服务范围

电子政务工程项目建设质量检测

引导客户对系统各个阶段设计文档和软硬件进行全面质量检测

政策依据

发改委55号令《国家电子政务工程建设项目管理暂行办法》

检测内容

面向全国政府机构,从政策法规合规性、建设过程规范、信息系统质量、运行维护质量、项目建设成效五大方面,通过科学客观的专业检测、问卷调查、文档资料审核、信息系统检验、现场检验、专家评估等多种方式相结合,对电子政务工程项目进行全面质量检测。企事业单位的信息化工程项目可参照执行或依据其行业要求执行。

电子政务工程项目运行质量检测

为电子政务信息系统准入准出以及对电子政务项目绩效评价提供客观参考

政策依据

发改委55号令《国家电子政务工程建设项目管理暂行办法》,国办发[2017]39号《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》,发改高技[2015]200号《关于开展国家电子政务工程项目绩效评价工作的意见》

检测内容

针对中央及地方单个的电子政务工程项目上线运行一段时间后,从应用、数据、技术、安全、管理五个维度进行运行质量检测。

政务信息系统整合第三方评估

帮助部位及地方政务部门全面了解其政务信息系统整合工作情况

政策依据

国办发[2017]39号《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》,发改高技[2015]1529号关于印发《加快推进落实 < 政务信息系统整合共享实施方案 > 工作方案》的通知

评估内容

依据《政务信息系统定义和范围》国家标准草案,评估整合后的各种信息系统满足统一用户管理、接入管理、资源管理、授权管理、流程管理、流程管理和安全审计(“六个统一”)等相关要求的情况。对支撑“六个统一”的管理保障措施进行调研取证;对基于技术保障措施的技术实现效果进行验证。

检测内容

《政务信息系统定义和范围》国家标准草案。

电子政务系统选型评测

为需求方制定客观的评测方案

政策依据

《政府采购法》第四十一条“大型或者复杂的政府采购项目,应当邀请国家认可的质量检测机构参加验收工作”。

评估内容

依据采购方的需求,制定客观的测评方案,通过软件检测、机房检测、云服务评估等专业评测方法,对建设单位拟采购的软件、系统、数据中心、云平台进行评测,得到出客观公正的评测结果,供采购方参考。

评测标准

GB/T 25000.51-2016、GB/T 25000. 10- -2016等软件及信息系统检测相关技术标准GB50174- -2017、 GB50462- 2015、GB/T 34982- -2017 等数据中心检测相关技术标准网络设备、云服务等相关检测技术标准。

电子政务系统源代码审计

促进团队合作、减少bug处理、助力代码审查和复用、降低维护成本

保护措施

源码审计是指通过自动化工具+人工审查的方式,对程序源代码逐条进行检查和分析,发现源代码缺陷可能引发的安全漏洞,并提供代码修订措施和建议。鉴于不同的自动化工具原理和工作机制不同,源码审计项会有所区别(具体可根据客户需求来选择相应工具) ,源代码审计主要包括源代码规范符合性检查、安全漏洞检查、开源代码识别等。

重要性

软件的安全问题主要来自于软件的本身,安全漏洞主要是由不合理的软件架构和错误的编码所造成的,黑客通常会利用软件的漏洞对整个系统进行攻击。因此,对软件的代码进行安全分析和测试,识别并及时处理可能存在的恶意代码的源码审计可以从源头上保障软件安全。

依据标准

CWE. OWASP TOP10、 SANS 25、CERT C/C++/Java、PCI DSS、HIPAA、 MISRA、 Mitre CWE、FISMA和BSIMM安全编程标准,MISRA C/C++、ISO/IEC TR 24772 等国际主流标准和规范。

电子政务信息安全专项测评

针对电子政务系统安全需求,分别从系统安全防护方案审查、源码审计、系统安全检测、定期安全检车等方面提供评测服务

方案审计

不使用境外机构提供的物理服务器和虚拟主机;部署必要的安全防护设备;前台发布页面和后台管理系统应分别部署在不同的主机环境中;根据用户类别设置不同安全强度的鉴别机制;使用符合国家密码管理政策和标准规范的密码算法和产品;采用可信计算、云计算、大数据等技术;建立安全监测预警机制。

源码审计

工具扫描;人工走查;代码逻辑、结构、安全性

电子政务系统验收评测

电子政务系统验收评测适用于系统开发完成后,正式上线前的阶段

政策依据

发改委令第55号《国家电子政务工程建设项目管理暂行办法》,GB/T 30850《电子政务标准化指南》

评估内容

对照项目的验收要求进行逐项验证.验证项目是否按照合同约定的验收要求、招标文件中技术部分的要求,以及软件需求规格说明书的要求等完成相应的建设任务。通常包括对系统的功能性、性能效率,信息安全性.可靠性、易用性、兼容性、维护性、可移植性等进行评测。

评测标准

GB/T 25000.51- 2016 《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51 部分:就绪可用软件产品(RUSP)的质量要求和测试细则》,GW0014 -2017 《国家电子政务工程项目应用软件第三方测试规范》

电子政务信息安全风险评估

防范和化解信息安全风险,将风险控制在可接受水平

评估内容

依据20984标准及被评估单位的主管部门关于信息安全风险评估相关的规范及要求进行信息安全风险评估,系统分析信息系统及其处理、传输和存储的信息的保密性、完整性和可用性等安全属性所面临的威胁及其存在的脆弱性;评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性;结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响;提出有针对性的抵御威胁的防护对策和整改措施,防范和化解信息安全风险,将风险控制在可接受的水平。

评估标准

GB/T 20984- -2007 《信息安全技术信息安全风险评估规范》,GB/T 31509- 2015《信息安全技术信息安全风险评估实施指南》

电子政务项目绩效评估

按照一定的程序,运用定性和定量分析方法,对一定期间电子政务建设过程表现及成效进行客观、公正、准确的综合评判

政策依据

发改高技[2015] 200号《关于开展国家电子政务工程项目绩效评价工作的意见》,国办函[2016] 108 号《国务院办公厅关于印发“互联网+政务服务”技术体系建设指南的通知》

评估内容

参考评价指标“四+五”:政务效能贡献指标、业务信息化推动指标、业务应用可持续发展指标,信息系统能力适配性指标共四个指标(200号文)。服务方式完备度服务事项覆盖度、办事指南准确度、在线服务深度、在线服务成效度共五个指标(108号文)。常规评价指标:技术架构、业务流程、平台功能、互联互通信息共享关键保障技术、管理规范性、服务成效。

互联网+政务服务平台评测

审查政务服务平台的技术架构、系统功能、业务流程、关键保障技术、互联网通信信息共享设计是否符合国函

政策依据

国发[2018] 27号《国务院关于加快推进全国一体化在线政务服务平台建设的指导意见》。国办发[2018] 45号《进一步深化“互联网+政务服务”推进政务服务“一网、一门、一次”改革实施方案》。国办发[2017]47号《国务院办公厅关于印发政府网站发展指引的通知》。国办函[2016] 108 号《国务院办公厅关于印发互联网+政务服务”技术体系建设指南的通知》。国家发改委令第55号《国家电子政务工程建设项目管理暂行办法》要求国家电子政务工程建设项目验收条件之一一是‘建设项目确定的网络、应用、安全等主体工程和配套设施,经测试和试运行合格”

评测标准

GB/T25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》。GB/T 25000.10 2016 《系统与软件工程系统与软件质量要求和评价(SQuaRE) 第10部分:系统与软件质量模型》。GB/T 21063--2007《政务信息资源目录》系列标准。GB/T 8567-2006《计算机软件文档编制规范》等相关技术标准GW0014- 2017《国家电子政务工程项目应用软件第三方测试规范》

政务App评测

审查政务服App的功能、业务流程、互联互通信息共享设计是否符合国函

政策依据

国办函[2016]108号《国务院办公厅关于印发” 互联网+政务服务”技术体系建设指南的通知》要求充分利用互联网技术,实现多渠道服务,包括移动APP、自助服务-体机、热线电话等,由互联网政务服务门户统-提供服务接口,供各种渠道调用,实现数据同源。移动APP应具备办件查询、表单预填、办事预约、咨询投诉、网上支付等功能,支持手机等移动终端,支持主流操作系统。

评测内容

方案审查:审查政务APP的功能、业务流程、互联互通信息共享设计是否符合国办函[2016] 108号《国务院办公厅关于印发互联网 +政务服务”技术体系建设指南的通知》相关要求。源码审计:通过工具及人工核查相结合的方式审计政务APP系统源代码的规范符合性和安全漏洞。软件评测:是否支持安卓、I0S等主流操作系统;是否存在安全漏洞;业务响应时间、资源占用情况是否符合建设要求;政务APP是否与政务服务平台其他相关系统互联互通:政务APP的功能性、易用性、可靠性、维护性可移植性等是否符合建设要求。

评测标准

GB/T 25000.51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》。GB/T 34975-2017《信息安全技术移动智能终端应用软件安全技术要求和测试评价方法》

电子政务数据中心评测

涵盖选址及设备布局、温湿度、含尘浓度、正压值、照度、噪音、震动、静电、无线电干扰场强、磁场、接地电阻

政策依据

国发[2015] 5号《关于促进云计算创新发展培育信息产业新业态的意见》等中央多个文件要求加大政府采购云服务力度。

标准依据

GB/T 34982- -2017《云计算数据中心基本要求》:5.7.1 要求新建云数据中心应依据本标准进行检测评估合格后方可投入正式使用;5.7.2要求在用云数据中心应依据本标准每三年不少于一次进行检测评估。GB50174--2017《数据中心设计规范》。GB50462--2015《数据中心基础设施施I及验收规范》。GB/T 2887-2011《计算机场地通用规范》

评测内容

电子政务数据中心评测涵盖选址及设备布局、温湿度、含尘浓度、正压值、照度、噪音、振动、静电、无线电干扰场强、磁场、接地电阻、综合布线等计算机场地相关测试;综合联动测试;绿色节能测试;运维管理测试;安全测评等内容。

电子招投标平台评测

依据《电子招投标系统技术规范》对电子招投标平台基本功能、接口、安全性、性能、可靠性、易用性、数据项等进行测试

政策依据

发改法规(207357号《“互联网+招标采购行动方案(2017-2019年)》。《电子招标投标系统检测认证管理办法(试行)》

服务对象

电子招标投标系统交易平台及其他公共资源交易平台

评测内容

依据《电子招标投标系统技术规范》对电子招投标平台基本功能、接口、安全性、性能、可靠性、易用性、数据项等进行测试。

政务云评测

对政务云进行安全测评,验证其是否符合相关国家标准及GW3-2017《政务云安全要求》

政策依据

国发[2015)5号 《关于促进云计算创新发展培育信息产业新业态的意见》等中央多个文件要求加大政府采购云服务力度。国办发(2017]39号《国务院办公厅关于印发政务信息系统整合共享实施方案的通知》中关于加快推进政务信息系统整合共享的相关要求。

服务对象

政务云安全测评:对政务云进行安全测评,验证其是否符合相关国家标准及GW0013--2017《政务云安全要求》。政务系统云迁移评测:在所有应用系统正式迁移或部署到政务云上前对其进行应用安全性测评、软件质量评测。政务云平台评测:对云计算平台的虚拟化能力、资源抽象与控制能力、服务成熟度等方面进行评测。政务云服务质量检测:对政务云服务质量、运维质量、数据、技术、安全、管理等方面进行全面检测,为政务云服务采购方提供客观的采购依据
底部