衢州市人民醫(yī)院關(guān)于商用密碼應(yīng)用安全性評(píng)估服務(wù)項(xiàng)目的詢價(jià)公告
文章來源:信息與醫(yī)學(xué)工程部 作者: 點(diǎn)擊數(shù):7038 更新時(shí)間:2024-06-20
衢州市人民醫(yī)院決定就商用密碼應(yīng)用安全性評(píng)估服務(wù)項(xiàng)目擬采用詢價(jià)方式進(jìn)行采購,歡迎符合資格條件的供應(yīng)商前來參加。
一、采購組織類型:自行采購
二、采購方式:詢價(jià)
三、采購預(yù)算:4.9萬元
四、采購內(nèi)容:
序號(hào) |
服務(wù)內(nèi)容 |
評(píng)估系統(tǒng)名稱 |
評(píng)估系統(tǒng)等級(jí) |
1 |
商用密碼應(yīng)用安全性評(píng)估 |
基礎(chǔ)支撐系統(tǒng) |
三級(jí) |
五、依據(jù)標(biāo)準(zhǔn):
《商用密碼應(yīng)用安全性評(píng)估管理辦法》;
《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T 39786-2021);
《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》;
《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過程指南》;
《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》;
《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》。
六、技術(shù)要求:
依據(jù)《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》(GB/T39786-2021)、《信息系統(tǒng)密碼測(cè)評(píng)要求》、《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過程指南》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》、《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》等技術(shù)要求,逐一對(duì)信息系統(tǒng)進(jìn)行密碼應(yīng)用的合規(guī)性、正確性、有效性進(jìn)行安全性評(píng)估,通過商用密碼應(yīng)用安全性評(píng)估深入查找密碼應(yīng)用的薄弱環(huán)節(jié)和安全隱患,分析面臨的風(fēng)險(xiǎn),為提升信息系統(tǒng)安全奠定基礎(chǔ)。
七、測(cè)評(píng)內(nèi)容:
測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容:
1、安全技術(shù)測(cè)評(píng):包括物理和環(huán)境安全、 網(wǎng)絡(luò)和通信安全、 設(shè)備和計(jì)算安全、 應(yīng)用和數(shù)據(jù)安全等四個(gè)方面的安全測(cè)評(píng)。
(1)物理和環(huán)境安全
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全技術(shù)測(cè)評(píng)-物理和環(huán)境安全 |
身份鑒別 |
電子門禁記錄數(shù)據(jù)完整性 |
|
視頻記錄數(shù)據(jù)完整性 |
|
密碼產(chǎn)品 |
|
密碼服務(wù) |
(2)網(wǎng)絡(luò)和通信安全
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全技術(shù)測(cè)評(píng)-網(wǎng)絡(luò)和通信安全 |
實(shí)體鑒別 |
通信數(shù)據(jù)完整性 |
|
敏感信息或通信報(bào)文機(jī)密性 |
|
網(wǎng)絡(luò)邊界訪問控制信息完整性 |
|
安全接入認(rèn)證 |
|
密碼產(chǎn)品 |
|
密碼服務(wù) |
(3)設(shè)備和計(jì)算安全
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全技術(shù)測(cè)評(píng)-設(shè)備和計(jì)算安全 |
實(shí)體鑒別 |
安全的信息傳輸通道 |
|
系統(tǒng)資源訪問控制信息完整性 |
|
重要信息資源安全標(biāo)記完整性 |
|
日志記錄完整性 |
|
重要程序或文件完整性 |
|
密碼產(chǎn)品 |
|
密碼服務(wù) |
(4)應(yīng)用和數(shù)據(jù)安全
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全技術(shù)測(cè)評(píng)-應(yīng)用和數(shù)據(jù)安全 |
實(shí)體鑒別 |
訪問控制 |
|
重要信息資源安全標(biāo)記完整性 |
|
數(shù)據(jù)傳輸機(jī)密性 |
|
數(shù)據(jù)存儲(chǔ)機(jī)密性 |
|
數(shù)據(jù)傳輸完整性 |
|
數(shù)據(jù)存儲(chǔ)完整性 |
|
不可否認(rèn)性 |
|
密碼產(chǎn)品 |
|
密碼服務(wù) |
2、安全管理測(cè)評(píng):包括安全管理(分為制度、人員、建設(shè)和應(yīng)急四個(gè)子模塊)的安全測(cè)評(píng)。
(1)管理制度
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全管理測(cè)評(píng)-管理制度 |
具備密碼應(yīng)用安全管理制度 |
密鑰管理規(guī)則 |
|
建立操作規(guī)程 |
|
定期修訂安全管理制度 |
|
明確管理 制度發(fā)布流程 |
|
制度執(zhí)行過程記錄留存 |
(2)人員管理
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全管理測(cè)評(píng)-人員管理 |
了解并遵守密碼相關(guān)法律法規(guī)和密碼管理制度 |
建立密碼應(yīng)用崗位責(zé)任制度 |
|
建立上崗人員培訓(xùn)制度 |
|
定期進(jìn)行安全崗位人員考核 |
|
建立關(guān)鍵崗位人員保密制度和調(diào)離制度 |
(3)建設(shè)運(yùn)行
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全管理測(cè)評(píng)-建設(shè)運(yùn)行 |
制定密碼應(yīng)用方案 |
制定密鑰安全管理策略 |
|
制定實(shí)施方案 |
|
投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估 |
|
定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí) |
(4)應(yīng)急處置
測(cè)評(píng)類別 |
測(cè)評(píng)單元 |
安全管理測(cè)評(píng)-應(yīng)急處置 |
應(yīng)急策略 |
事件處置 |
|
向有關(guān)主管部門上報(bào)處置情況 |
八、測(cè)評(píng)要求:
1、商用密碼應(yīng)用安全性評(píng)估測(cè)評(píng)要求
(1)供應(yīng)商應(yīng)詳細(xì)描述本次項(xiàng)目的整體實(shí)施方案,包括項(xiàng)目概述、密評(píng)方案、測(cè)試過程中需使用測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。
(2)供應(yīng)商應(yīng)詳細(xì)描述實(shí)施人員的組成、資質(zhì)及各自職責(zé)的劃分。供應(yīng)商應(yīng)配置有經(jīng)驗(yàn)的技術(shù)人員進(jìn)行本次項(xiàng)目實(shí)施,為保證項(xiàng)目順利實(shí)施供應(yīng)商為國家密碼管理部門頒發(fā)的商用密碼產(chǎn)品檢測(cè)機(jī)構(gòu)的優(yōu)先考慮。
(3)本次項(xiàng)目實(shí)施過程中所使用到的各種工具軟件由供應(yīng)商推薦,經(jīng)采購人確認(rèn)后由供應(yīng)商提供并在項(xiàng)目中使用。在實(shí)施方案中應(yīng)詳細(xì)描述所使用的安全技術(shù)工具(軟硬件型號(hào)、功能和性能描述)、使用的方式和時(shí)間、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等,同時(shí)具備密碼測(cè)評(píng)的模擬驗(yàn)證環(huán)境提供相應(yīng)的計(jì)算機(jī)軟件著作權(quán)登記證書或?qū)@C書。
(4)本次項(xiàng)目實(shí)施過程中所使用到的測(cè)評(píng)工具,應(yīng)包括自主密碼專用檢測(cè)工具、 漏洞掃描工具等提供相應(yīng)的計(jì)算機(jī)軟件著作權(quán)登記證書或?qū)@C書,對(duì)系統(tǒng)數(shù)據(jù)進(jìn)行分析,并以分析結(jié)果輔證評(píng)估報(bào)告。
2、項(xiàng)目實(shí)施要求
(1)實(shí)施方應(yīng)保證投標(biāo)項(xiàng)目在采購方條件成熟時(shí)應(yīng)立即開展實(shí)施;
(2)實(shí)施方在項(xiàng)目實(shí)施過程中應(yīng)服從采購方的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào),采購方有權(quán)裁決實(shí)施方的責(zé)任范圍,實(shí)施方必須執(zhí)行,在采購方限定的時(shí)間內(nèi)解決問題。如果實(shí)施方不能按時(shí)完成測(cè)評(píng)內(nèi)容,采購方有權(quán)中止項(xiàng)目、索賠或拒付款項(xiàng);
(3)承擔(dān)本次項(xiàng)目的項(xiàng)目負(fù)責(zé)人應(yīng)具備商用密碼產(chǎn)品檢測(cè)能力;
(4)承擔(dān)本次項(xiàng)目的項(xiàng)目經(jīng)理應(yīng)通過國家密碼管理局組織的商用密碼應(yīng)用安全性評(píng)估人員測(cè)評(píng)能力考核;
(5)承擔(dān)本次項(xiàng)目測(cè)評(píng)駐場(chǎng)人員應(yīng)具有密評(píng)檢測(cè)或安全服務(wù)相關(guān)的工作經(jīng)驗(yàn),有較強(qiáng)的溝通協(xié)調(diào)能力;組長應(yīng)具有密碼應(yīng)用技術(shù)員等相關(guān)證書,并通過國家密碼管理局組織的商用密碼應(yīng)用安全性評(píng)估人員測(cè)評(píng)能力考核且結(jié)果為優(yōu)秀;
(6)項(xiàng)目驗(yàn)收完成后,要求提供為期一年的測(cè)評(píng)咨詢服務(wù)。
九、供應(yīng)商資格要求:
1.屬于國家密碼管理局下發(fā)的《關(guān)于同意開展商用密碼應(yīng)用安全性評(píng)估試點(diǎn)工作的告知書》公文的接收單位,或在國家密碼管理局發(fā)布的《商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄》內(nèi);
2.符合《中華人民共和國政府采購法》第二十二條規(guī)定的各項(xiàng)條件;
3.符合《關(guān)于規(guī)范政府采購供應(yīng)商資格設(shè)定及資格審查的通知》(浙財(cái)采監(jiān)〔2013〕24號(hào))第六條規(guī)定,且未被“信用中國”(www.creditchina.gov.cn)、中國政府采購網(wǎng)(www.ccgp.gov.cn)列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重違法失信行為記錄名單;
4.不接受聯(lián)合體投標(biāo)。
十、遞交投標(biāo)文件截止及詢價(jià)時(shí)間:
2024年6月26日下午14時(shí)(北京時(shí)間)
十一、遞交投標(biāo)文件及詢價(jià)地點(diǎn):
衢州市柯城區(qū)閩江大道100號(hào)1號(hào)樓三樓信息處。
十二、遞交投標(biāo)文件時(shí)應(yīng)提供以下資料:
1.營業(yè)執(zhí)照副本復(fù)印件(復(fù)印件加蓋單位公章);
2.法人授權(quán)委托書原件、受委托人身份證復(fù)印件(復(fù)印件加蓋單位公章;授權(quán)書上須明確授權(quán)代表姓名、采購項(xiàng)目名稱、聯(lián)系電話);
3.供應(yīng)商資格證明文件。
十三、發(fā)布公告的媒體:
衢州市人民醫(yī)院官網(wǎng)
十四、聯(lián)系方式:
1.聯(lián)系人:劉先生,電話:0570-3121306;
2.聯(lián)系地址:衢州市柯城區(qū)閩江大道100號(hào)1號(hào)樓三樓信息處,郵政編碼:324000。