绵阳四〇四医院“三级信息系统密评服务”采购公告

采购项目内容

三级信息系统密评服务, 测评系统数量：1个，限价:9.5万元。

二、功能及技术参数要求：

（一）、测评依据：

《中华人民**国网络安全法》

《中华人民**国密码法》

《商用密码管理条例》

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

《国家政务信息化项目建设管理办法》

GM/T 0115-2021《信息系统密码应用测评要求》

GM/T 0116-2021 信息系统密码应用测评过程指南

GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》

如有最新规定按最新规定执行

（二）、总体服务内容

供应商对信息化测试及评估服务按照密码应用要求开展密码测评工作,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发，围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作，通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距，进行逐项分析、整体分析、量化评估、风险分析，为信息系统的密码应用建设提供工作建议，保障信息系统密码合规、正确、有效地应用。供应商需提供符合相关要求的商用密码应用安全性评估报告，****管理局备案。

（三）、具体服务内容

包含但不限于如下任务要求：

1.开展密码测评工作，并依据相关文件模板，对信息化测试及评估服务****管理局****管理部门要求的密评报告；

2.根据测评结果，给出整改意见，指导软件承建单位对被测系统暴露出的密码应用安全问题进行整改；

3.根据测评需要承办专家评审会；

4.****管理局关于规范商用密码应用安全性评估结果备案工作的通知，协助准备备案资料并完成密评备案工作；

5.对采购单位名称安全技术和密码管理人员开展相关培训;

6.协助采购单位名称完成与密评相关的其他工作。

（四）、服务要求及标准

1.评估流程

商用密码应用安全性评估过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。

1）测评准备活动

根据供应商和采购方签订的委托测评协议书和被测信息系统规模，供应商组建测评项目组，从人员方面做好准备，并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。

2）方案编制活动

根据已经了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。

3）现场测评活动

现场测评准备：召开测评现场首次会，供应商介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排，测评过程中可能存在的安全风险等，以便于后面的测评工作开展。供应商和采购方确认现场测评需要的各种**，包括采购方的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。采购方签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。

测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，供应商和采购方对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由采购方文档资料提供者签字确认。

4）分析与报告编制活动

在现场测评工作结束后，供应商对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。

密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。

2.密评应用技术要求

密码测评的目的是通过对采购单位指定的信息系统在密码应用技术要求和密码应用管理要求等方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评,深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为采购单位进一步完善系统安全策略及安全技术防护措施依据。

依据GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》等标准和系统自身的安全需求等，对被测系统进行密评工作，密码应用安全性评估的技术服务包括但不限于以下内容:

1）通用测评要求

核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。

2）密码应用技术要求测评

具体包括但不限于:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，制**全验证性测评工作方案，验证不**全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。

2.1物理和环境安全测评

物理和环境安全主要实现对****服务所在机房等重要区域的物理防护，物理机房的进出必须严格符合相关规范，并对相关人员进出信息实时记录，防止非法人员采用非法手段进出，如果出现人为物理破坏将造成不可逆的重大损失。

针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。

宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。

宜采用密码技术保证视频监控音像记录数据的存储完整性。

2.2网络和通信安全测评

网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护，密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性，以及网络边界访问控制和设备接入控制。

针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等)，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。

宜采用密码技术保证通信过程中数据的完整性。

应采用密码技术保证通信过程中重要数据的机密性。

宜采用密码技术保证网络边界访问控制信息的完整性。

可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。

2.3设备和计算安全测评

设备和计算安全主要实现对信息化测试及评估服务中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性，以及系统**访问控制信息、设备的重要信息**安全标记、重要可执行程序、日志记录的完整性。

针对“身份鉴别”、“远程管理通道安全”、“系统**访问控制信息完整性”、“重要信息**安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等)，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。

远程管理设备时,应采用密码技术建立安全的信息传输通道。

宜采用密码技术保证系统**访问控制信息的完整性。

宜采用密码技术保证设备中的重要信息**安全标记的完整性。

宜采用密码技术保证日志记录的完整性。

宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。

2.4应用和数据安全

实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制，以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中，重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。

针对“身份鉴别”、“访问控制信息完整性”、“重要信息**安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等)，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。

宜采用密码技术保证信息系统应用的访问控制信息的完整性。

宜采用密码技术保证信息系统应用的重要信息**安全标记的完整性。

应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。

应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。

宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。

宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。

在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。

3.密码应用管理要求

从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能确保密码技术被合规、正确、有效的实施。

3.1管理制度

针对“具备密码应用安全管理制度”、“密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”、“制度执行过程记录留存”等制度方面采取的管理措施进行各项测评,详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。

应根据密码应用方案建立相应密钥管理规则。

应对管理人员或操作人员执行的日常管理操作建立操作规程。

应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。

应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。

应具有密码应用操作规程的相关执行记录并妥善保存。

3.2人员管理

针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。

应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。

1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;

2) 对关键岗位建立多人共管机制;

3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;

4) 相关设备与系统的管理和使用账号不得多人共用。

应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。

应定期对密码应用安全岗位人员进行考核。

应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。

3.3建设运行

针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行**行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”等建设方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

应依据密码相关标准和密码应用需求,制定密码应用方案。

应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》附录B。

应按照应用方案实施建设。

投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。

在运行过程中,应严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。

3.4应急处置

针对“应急策略”、“事件处置”、“向有关主管部门上报处置情况”等应急方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

标准要求内容：

应制定密码应用应急策略,做好应急**准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。

事件发生后,应及时向信息系统主管部门进行报告。

事件处置完成后,应及时向信息系统主管****管理部门报告事件发生情况及处置情况。

三、商务及其他要求：

1.交货日期：合同签订后 30 工作日内 。

2.交付验收地点：****及分院，供应商现场服务 。

3.交付验收时间：合同签订后 30 个工作日，供应商提交初评报告 。

4.付款方式：合同签订且收到发票后 10 个工作日内支付合同金额的 50%，项目验收通过且收到发票后 10 个工作日内支付合同金额的 50%。每次付款前由成交供应商向采购人提出申请提供有效等额发票。

5.售后服务：

（1）供应商免费对采购人工作人员进行现场培训，保证受训人员能熟练操作，并对系统能进行日常维护。

（2）供应商应按合同要求提供采购人所需产品和服务，若供应商提供产品和服务不合格采购人将拒绝支付后期款项。

6.违约责任：

（1）因供应商产品和服务因素给采购人造成损失，供应商应承担给采购人造成的全部经济损失和法律责任。

（2）未经采购人同意，供方延期交货，供应商每天应按货款总额的 0.5%向采购人支付违约金。

（3）因供应商未履行或履行不当售后服务承诺，给采购人造成损失，供应商应赔偿采购人由此造成的经济损失。

四、采购方式：采取竞争性磋商方式，在密封报价的基础上，进行一轮或多轮磋商。

五、评定方式：经磋商后的综合评分法。