武汉市精神卫生中心信息系统商用密码应用安全性评估服务项目推介会公告-谛听招标网

信息编号
所属行业
其他类型服务
招标预算
项目地址
湖北-武汉
业主单位
-
招标代理
-
采购对象
暂无提取到关键词，可在公告正文中查找~

******信息系统商用密码应用安全性评估服务项目推介会公告

*、项目概况

（*）项目名称******信息系统商用密码应用安全性评估服务项目

（*******HIS、LIS、PACS、EMR、集成平台、官*************级密码应用安全性评估服务。

（*）服务期限：采购方与中标方签订合同生效，项目小组进场实施，**个工作日内，完成系统******业格式要求的商用密码评估报告。如项目因系统整改需要延期，需经过采购人同意。

*、采购标的需满足的技术规范和要求

《信息安全技术信息系统密码应用基本要求》 GB/T *****-****

《中华人民共和国密码法》

《网络安全等级保护条例（征求意见稿）》

《商用密码应用安全性评估管理办法》

《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》

《国家政务信息化项目建设管理办法》（**号文）

《医疗卫生机构网络安全管理办法》

《关于进*步加强全省政务信息化项目密码应用有关工作的通知》（*号文）

《信息安全技术信息系统密码应用基本要求》GB/T *****-****

《商用密码应用安全性评估测评过程指南》

《商用密码应用安全性评估量化评估规则》

《信息系统密码应用测评要求》

《信息系统密码应用高风险判定指引》

******业标准有新标准或规范的******。

*、采购内容

序号	服务名称	服务内容
*	密码应用方案设计咨询	协助用户分析密码应用中的技术难点，为用户设计商用密码应用方案提供技术咨询服务
*	密码应用方案评审	协助用户****审核，审核通过后，出具密码应用方案的评估报告，协助用****方案评审
*	密码建设咨询	密码方案通过专家评审******商用密码建设提供技术咨询，协助分析实施过程中遇到的问题并提供参考建议
*	信息系统密码应用安全性评估	密码体系建设完成后，通过技术手段抓包并验证密码算法和密码产品的正确性、有效性、合规性分析，并出具评估报告
*	渗透测试服务	针对用户所有新建系统（合同有效期内）提供渗透测试服务

*、技术/服务要求

（*）

评估内容：

依据信息系统确定的安全保护等级，选择《GB/T *****-****信息安全技术信息系统密码应用基本要求》中对应级别的安全要求作为安全测评的指标，实施测评工作。其中第*级密码应用基本要求以表格形式在下表中列出：

序号	商用密码应用安全性评估内容指标
*	总体要求	密码算法	成交供应商应验证被测信息系统中使用的密码算法是否当符合法律、法规的规定和密******业标准的有关要求。
*		密码技术	成交供应商应验证被测信息系统中使用的密码技术是否遵循密******业标准。
*		密码产品		成交供应商应验证被测信息系统中使用的密码产品与密码模块是否******门核准。
*		密码服务		成交供应商应验证被测信息系统中使用的密码服务是否******门许可。
*	物理和环境安全	身份鉴别		成交供应商应验证被测信息系统在电子门禁系统中是否使用密码技术的真实性服务来保护身份鉴别信息，保证重要区域进入人员身份的真实性。
*		电子门禁记录数据完整性		成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。
*		视频记录数据完整性		成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证视频监控音像记录的完整性。
*	网络和通信安全	身份鉴别	成交供应商应验证被测信息系统是否在通信前基于密码******验证或认证，使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用，保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性。
*		访问控制信息完整性	成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证网络边界和系统资源访问控制信息的完整性。
**		通信数据完整性	成交供应商应验证被测信息系统是否采用密码技术保证通信过程中数据的完整性。
**		通信数据机密性	成交供应商应验证被测信息系统是否采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性。
**		集中管理通道安全	成交供应商应验证被测信息系统是否采用密码技术建立条安全的信息传输通道，对网络中的安全*****集中管理。
**	设备和计算安全	身份鉴别	成交供应商应验证被测信息系统是否使用密码技*****身份标识和鉴别，身份标识具有唯性，身份鉴别信息具有复杂度要求并定期更换。
**		远程管理身份鉴别信息机密性	成交供应商应验证被测信息系统是否远程管理时，应使用密码技术的机密性服务来实现鉴别信息的防窃听。
**		访问控制信息完整性	成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证系统资源访问控制信息的完整性。
**		敏感标记完整性	成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证重要信息资源敏感标记的完整性。
**		重要程序或文件完整性	成交供应商应验证被测信息系统是否采用可信计算技术建立从系统到应用的信******过程中重要程序或文件完整性保护。
**		日志记录完整性	成交供应商应验证被测信息系统是否使用密码技术的完整性功******完整性保护。
**	应用和数据安全	身份鉴别	成交供应商应验证被测信息系统是否使用密码技******身份标识和鉴别，实现身份鉴别信息的防截获、防假冒和防重用，保证应用系统用户身份的真实性。
**		访问控制信息和敏感标记完整性	成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息资源敏感标记等信息的完整性。
**		数据传输机密性	成交供应商应验证被测信息系统是否采用密码技术保证重要数据在传输过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等。
**		数据存储机密性	成交供应商应验证被测信息系统是否采用密码技术保证重要数据在存储过程中的机密性，包括但不限于鉴别数据、重要业务数据和重要用户信息等。
**		数据传输完整性	成交供应商应验证被测信息系统是否采用密码技术保证重要数据在传输过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。
**		数据存储完整性	成交供应商应验证被测信息系统是否采用密码技术保证重要数据在存储过程中的完整性，包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用******程序等。
**		日志记录完整性	成交供应商应验证被测信息系统是否使用密码技术的完整性功能来实现对日志记录完整性的保护。
**		重要程序的加载和卸载	成交供应商应验证被测信息系统是否采用密码技术对重要应用程******安全控制。
**	密钥管理	生成	成交供应商应验证被测信息系统密钥生成使用的随机数是否符合GM/T **-《随机性检测规范》要求，密钥是否在符合GM/T -《密码模块安全技术要求》的密码模块中产生；密钥****产生，是否以明文方式出现在密码模块之外；被测信息系统是否具备检查和剔除弱密钥的能力。
**		存储	成交供应商应验证被测信息系统密钥是否加密存储，并采取严格的安全防护措施，防止密钥被非法获取；密钥加密密钥是否存储在符合GM/T ***《密码模块安全技术要求》的级及以上密码模块中。
**		使用	成交供应商应验证被测信息系统密钥是否明确用途，并按用途正确使用；对于公钥密码体制，在使用公****验证；是否有安全措施防止密钥的泄露和替换；密钥泄露时，是否停止使用，****理和响应措施。是否按照密钥更换周期要求更换密钥；是否采取有效的安全措施，保证密钥更换时的安全性。
**		分发	成交供应商应验证被测信息系统密钥分发是否采取身份鉴别、数据完整性、数据机密性等安全措施,是否能够抗截取、假冒、篡改、重放等攻击，保证密钥的安全性。
**		导入与导出	成交供应商应验证被测信息系统是否采取安全措施，防止密钥导入导出时被非法获取或篡改，并保证密钥的正确性。
**		备份与恢复	成交供应商应验证责任单位是否制定明确的密钥备份策略，被测信息系统是否采用安全可靠的密钥备份恢****备份或恢复；密钥****记录，并生成审计信息；审计信息是否包括备份或恢复的主体、备份或恢复的时间等。
**		归档	成交供应商应验证被测信息系统是否采取有效的安全措施，保证归档密钥的安全性和正确性；归档密钥是否只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息****记录，并生成审计信息；审计信息是否包括归档的密钥、归档的时间等****数据备份，并采用有效的安全保护措施。
**		销毁	成交供应商应验证被测信息系统是否具有在紧急情况下销毁密钥的措施。
**	安全管理	制度-制定	成交供应商应验证责任单位是否制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度是否包括密码建设?运维?人员?设备?密钥等密码管理相关内容。
**		制度-定期修订	成交供应商应验证责任单位是否定期对密码管理制度的****论证和审定，对存在不足或需要改进****修订。
**		制度-发布流程	成交供应商应验证责任单位是否明确相关管理制度发布流程。
**		人员-法律法规	成交供应商应验证责任单位系统负责人是否了解并遵守商用密码相关法律法规。
**		人员-密码产品	成交供应商应验证责任单位系统负责人是否能够正确使用商用密码产品。
**		人员-责任制度	成交供应商应验证责任单位是否根据相关密码管理政策、数据安全保密政策，结合组织实际情况，设置密钥管理人员、安全审计人员、密码操作人员等关键岗位；是否建立相应岗位责任制度，明确相关人员在安全系统中的职责和权限，对关键岗位建立多人共管机制；密钥管理、安全审计、密码操作人员职责是否建立多人共管制度，互相制约互相监督，相关设备与系统的管理和使用账号是否禁止多人共用。
**		人员-考核制度	成交供应商应验证责任单位是否建立人员******岗位人员考核，建立健全奖惩制度。
**		人员-培训制度	成交供应商应验证责任单位是否建立人员培训制度，对于涉及密码的操作和管理以******专门培训。
**		人员-保密和调离制度	成交供应商应验证责任单位是否建立关键岗位人员保密制度和调离制度，签订保密合同，承担保密义务。
**		实施-规划	成交供应商应验证规划阶段，责任单位是否依据密码有关标准，制信息系统定密码应用建设******评审，是否具有评审报告。
**		实施-建设-制定实施方案	成交供应商应验证责任单位是否按照国家相关标准制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单（包括产品资质?功能及性能列表和产品生产单位等）、商用密码系统安全管理与维护策略、商用密码系统实施计划等。
**		实施-建设-选用合规密码产品和服务	成交供应商应验证责任单位是否选******门核准的密码产品?许可的密码服务。
**		******前	成交供应商应验证被****前，****安全性评估，是否具有评估报告。
**		******后	成交供应商应验证被****后，责任单位是否每年委托测评机构开展密码应用安全性评估，是否具有评估报告；有重大安全隐患的**，制定整改方案，整改完成并通****。
**		应急-应急预案	成交供应商应验证责任单位是否根据安全事件等级制定了相应的应急预案及管理制度****理流程及其他管**；如有安全事件发生，应****置记录。
**		******置	成交供应商应验证责任单位在安全事件发生后，是否及时向信************报告。
**		应急-上报	成交供应商应验证责任单位在安全事件完成后，是否及时****门报****置情况。

（*）服务要求

*、投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有******本次商用密码应用安全性评估工作。

*、项目团队须具有丰富的工作经验且不得少于*人。项目实施人员必须具有商用密码应用安全性评估人员测评能力考核证书（商用密码应用安全性评估从业人员考核证书）或注册信息安全员(CISM)证书。

*、★在项目实施期间，需定期（每周不少于*次）指派项目经理汇报当前进******留档保存。

*、★承诺根据用户要求在*小时内提供现场服务，其服务期限为合同签订日起满*年。

*、投标人应详细描述本次项目的整体实施方案，包括项目概述、技术方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

*、******环境（如场地、网络环境等）由采购人提供，投标人应******环境的具体要求。

*、投标人应提供针对本项目的工期******详细解******进度计划及保障措施。

*、投标人应具有专业服务团队或攻防演练实验室平台，确保提供高效、精准的安全风险检测结果。

*、投标人应提供近*年（截止开标之日起前*年）商用密码应用安全性评估项目的业绩（项目名称、客户名称、项目内容、合同金额等）介绍。

（*）工具要求：本项目实施和验收测试所需的工具，由投标人负责提供。用于商用密码应用安全性评估的工具主要包括但不限于密码算法验证、密码设备合规性检测、密钥管理测评、身份鉴别与加密机制有效性验证等工具。在使******测评，如******软件或代码升级。投标人应对测评工具的安全性做出承诺和保证。

（*）保密要求

*、投标人必须和采购人签订保密协议。

*、投标人具体实施项目中的重要资料和结果，在项目实施期间和实施结束后，投标人不得带离该地点。

*、投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第*方。无论投标人中标与否，其对上述内容的保密责任将长期存在。

*、投标人应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险。

*、投标******安全保密教育，与其签订安全保密责******的安全保密义务和承担的法律责任，并负责检查落实。

（*）测评质量要求

项目管理是贯穿整个项目的*项任务。通过实施有效的项目管理，保证本项目能够按工作范围要求、按时间、按质量完成。投标人应提供质量控制及保证措施方案，包含项目质量控制及保证措施等。

（*）测评风险规避要求

项目开展工作涉及到单位重要信息系统和数据，在测评过程中必须加强安全保密管理与风险控制。

指定项目经理为专人负责信息安全测评过程中的安全保密管理工作，对测评活动、测评人员以及******安全保密管理，对重点******监督，对******控制。

安全测评工作中可能出现的安全风险点，按照检测对象周密制定测评方法，根据被测评对象的不同采取相应的风险控制手段。不限于以下方法：

*、操作的申请和监护

在实施过程中必须遵守的相关操作章程，以防止敏感信******理意外事件。

*、操作时间控制

对测评直接影响系统工作时，尽可能避开敏感时期。

*、人员与数据管理

必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与被测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。

*、制定应急预案

根据测评范围界定的系统情况，在实施前制定应急预案。

*、关键业务系统风险控制

对影响较大的重要关键业务系统在无法搭建模拟环境情况下，原则上不采用测评工具，采用访谈、测评和******。

*、优化扫描策略

分类扫描:对不同的******不同的扫描会话，从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略：对不同类型的主机或设备，需要根据其上不同的应用和服务情况，有针对性地定制扫描策略选项。

*、数据备份与恢复

对业务系统和数据库主机******备份，防止测评过程中对设备与主机的损伤影响******。

*、商务要求

（*）付款方式：项目完成甲方验收后 ** 个工作日内支付至合同总价款的 ***%。

（*）质量要******业最新的技术标准和******期间，有关标准变更或存在更高要求的，以要求高者为准。

（*）违约责任：

*******过程中如故意歪曲事实、未经甲******高风险的操作，经甲方*次指出仍无改进的，甲方有权解除协议，并追究乙方责任。

*、因中标方延期提交成果的，每逾期*个工作日，乙方应按延期提交成果所折合金额每个工作日*.*‰的比例向甲方支付违约金，但违约金累计不超过合同金额的*%。甲方不提供工作条件或提供的工作条件不符合约定、未提供相关资料，影响工作进******承担由此造成的项目延期责任，乙方不承担相应延期责任。

*、如招标方延期付款，每逾期*个工作日，甲方应按延期付款金额每个工作日*.*‰的比例向乙方支付违约金，但违约金累计不超过合同金额的*%。逾期超过**个工作日，经双方协商，乙方有权解除合同，甲方除应支付合同解除前的违约金和未支付款项外，已支付的报酬不予返还。

（*）验收要求：

乙方按照合同约定提交正式的商用密码应用安全性评估报告并协助采******门的备案手续，最终经过甲方确认。

*、响应文件要求

（*）各参会单位需提供以下资质材料*份（单独封装）：

*.满足《中华人民共和国政府采购法》第***条规定（提供承诺函）；

*.供应商营业执照及项目相关资质证明复印件等；

*.法定代表人授权委托书及委托代理人身份证复印件；

*.提供******人、重大税收违法失信主体，未被列入政府******为记录名单截图（以报名邮件发送日在“信用中国”网站（

******）及中国政府采购网（******）查询的供应商参加政府采购活动前*年内的结果为准）；

*.其他特定资格要求：参会单位必须具有国家密码管理局颁发的《商用密码检测机构资质证书》（提供证明文件并加盖公章）。

*.以上证件须真实且在有效期内，且每页需加盖公章。
（*）以下报价相关材料*式*份装订成册（正本*本，副本*本），正本需加盖公章，副本可为复印件：
*.报价单（依据项目内容自拟，需包含项目总价及*个系统分项报价并填写企业类型【大型、中型、小型、微型】）；
*.单位资质证明材料（响应文件要求第*条提到的资质材料）；
*.业绩资料（提供合同关键页或中标通知书）、其他相关资料。

*、报名及参会要求

*、报名时间：****年*月**日-****年*月**日**:**

*、报名方式：请将报名资料（响应文件要求第*条提到资质材料电子版）以文件名“【推介项目名称******名称”作为附******编辑项目名称、单位名称、单位联系人姓名（授权委托人）、联系人电话，发送至*******************m，收到邮件回执后即为报名成功。

备注：如在报名期结束后还未收到邮件回执，请及时电话联系查询。

*、推介会时间及地点：******通知，法人或授权委托人参会需携带本人身份证，响应文件在推介会现场提交。

******全面掌握相关服务及市场供应情况，不作******不对参与此次推介会的任何供应商作出任何承诺。

联系人：龙老师

联系电话：***-********

******

****年*月**日