衢州市人民医院关于商用密码应用安全性评估服务项目的询价公告

文章来源:信息与医学工程部 作者: 点击数:7713 更新时间:2024-06-20

衢州市人民医院决定就商用密码应用安全性评估服务项目拟采用询价方式进行采购,欢迎符合资格条件的供应商前来参加。

一、采购组织类型:自行采购

二、采购方式:询价

三、采购预算:4.9万元

四、采购内容:

序号

服务内容

评估系统名称

评估系统等级

1

商用密码应用安全性评估

基础支撑系统

三级

五、依据标准:

《商用密码应用安全性评估管理办法》;

《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021);

《信息系统密码应用测评要求》;

《信息系统密码应用测评过程指南》;

《信息系统密码应用高风险判定指引》;

《商用密码应用安全性评估量化评估规则》。

六、技术要求:

依据《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)、《信息系统密码测评要求》、《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等技术要求,逐一对信息系统进行密码应用的合规性、正确性、有效性进行安全性评估,通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全奠定基础。

七、测评内容:

测评的内容包括但不限于以下内容:

1、安全技术测评:包括物理和环境安全、 网络和通信安全、 设备和计算安全、 应用和数据安全等四个方面的安全测评。

1)物理和环境安全

测评类别

测评单元

安全技术测评-物理和环境安全

身份鉴别

电子门禁记录数据完整性

视频记录数据完整性

密码产品

密码服务

 

2)网络和通信安全

测评类别

测评单元

安全技术测评-网络和通信安全

实体鉴别

通信数据完整性

敏感信息或通信报文机密性

网络边界访问控制信息完整性

安全接入认证

密码产品

密码服务

 

3)设备和计算安全

测评类别

测评单元

安全技术测评-设备和计算安全

实体鉴别

安全的信息传输通道

系统资源访问控制信息完整性

重要信息资源安全标记完整性

日志记录完整性

重要程序或文件完整性

密码产品

密码服务

 

4)应用和数据安全

测评类别

测评单元

安全技术测评-应用和数据安全

实体鉴别

访问控制

重要信息资源安全标记完整性

数据传输机密性

数据存储机密性

数据传输完整性

数据存储完整性

不可否认性

密码产品

密码服务

 

2、安全管理测评:包括安全管理(分为制度、人员、建设和应急四个子模块)的安全测评。

1)管理制度

测评类别

测评单元

安全管理测评-管理制度

具备密码应用安全管理制度

密钥管理规则

建立操作规程

定期修订安全管理制度

明确管理 制度发布流程

制度执行过程记录留存

 

2)人员管理

测评类别

测评单元

安全管理测评-人员管理

了解并遵守密码相关法律法规和密码管理制度

建立密码应用岗位责任制度

建立上岗人员培训制度

定期进行安全岗位人员考核

建立关键岗位人员保密制度和调离制度

 

3)建设运行

测评类别

测评单元

安全管理测评-建设运行

制定密码应用方案

制定密钥安全管理策略

制定实施方案

投入运行前进行密码应用安全性评估

定期开展密码应用安全性评估及攻防对抗演习

 

4)应急处置

测评类别

测评单元

安全管理测评-应急处置

应急策略

事件处置

向有关主管部门上报处置情况

八、测评要求:

1、商用密码应用安全性评估测评要求

1)供应商应详细描述本次项目的整体实施方案,包括项目概述、密评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2)供应商应详细描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施,为保证项目顺利实施供应商为国家密码管理部门颁发的商用密码产品检测机构的优先考虑。

3)本次项目实施过程中所使用到的各种工具软件由供应商推荐,经采购人确认后由供应商提供并在项目中使用。在实施方案中应详细描述所使用的安全技术工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等,同时具备密码测评的模拟验证环境提供相应的计算机软件著作权登记证书或专利证书

4)本次项目实施过程中所使用到的测评工具,应包括自主密码专用检测工具、 漏洞扫描工具等提供相应的计算机软件著作权登记证书或专利证书,对系统数据进行分析,并以分析结果辅证评估报告。

2、项目实施要求

1)实施方应保证投标项目在采购方条件成熟时应立即开展实施;

2)实施方在项目实施过程中应服从采购方的统一领导和协调,采购方有权裁决实施方的责任范围,实施方必须执行,在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容,采购方有权中止项目、索赔或拒付款项;

3)承担本次项目的项目负责人应具备商用密码产品检测能力;

4)承担本次项目的项目经理应通过国家密码管理局组织的商用密码应用安全性评估人员测评能力考核;

5)承担本次项目测评驻场人员应具有密评检测或安全服务相关的工作经验,有较强的沟通协调能力;组长应具有密码应用技术员等相关证书,并通过国家密码管理局组织的商用密码应用安全性评估人员测评能力考核且结果为优秀;

6)项目验收完成后,要求提供为期一年的测评咨询服务。

九、供应商资格要求:

1.属于国家密码管理局下发的《关于同意开展商用密码应用安全性评估试点工作的告知书》公文的接收单位,或在国家密码管理局发布的《商用密码应用安全性评估试点机构目录》内;

2.符合《中华人民共和国政府采购法》第二十二条规定的各项条件;

3.符合《关于规范政府采购供应商资格设定及资格审查的通知》浙财采监〔201324号第六条规定且未被“信用中国”(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单

4.不接受联合体投标。

十、递交投标文件截止及询价时间:

2024年626日下午14时(北京时间)

十一、递交投标文件及询价地点:

衢州市柯城区闽江大道100号1号楼三楼信息处。

十二、递交投标文件时应提供以下资料:

1.营业执照副本复印件(复印件加盖单位公章);

2.法人授权委托书原件、受委托人身份证复印件(复印件加盖单位公章;授权书上须明确授权代表姓名、采购项目名称、联系电话);

3.供应商资格证明文件。

十三、发布公告的媒体:

衢州市人民医院官网

十四、联系方式:

1.联系人:刘先生,电话:0570-3121306;

2.联系地址:衢州市柯城区闽江大道100号1号楼三楼信息处,邮政编码:324000。