項目概況

*、項目基本情況

項目編號：****-******-*****

項目名稱：葫蘆島市醫療保障信息平臺密碼測評服務項目

采購方式：競爭性磋商

包組編號：***

預算金額（元）：******

最高限價（元）：******

采購需求：

★（*）履約期限及履約地點

*.履約期限：自合同簽訂后**個工作日完成（具體起止日期已簽訂合同為準）

*.履約地點：葫蘆島市龍港區（采購人指定地點）

★（*）付款方式

? ?項目完成并驗收合格后*次性支付。

（*）服務內容、需滿足的質量、安全、技術規格等要求

*.總體要求

供應商對信息化測試及評估服務按照密碼應用要求開展密碼測評工作,依據**/* *****-****《信息安全技術信息系統密碼應用基本要求》從密碼應用技術要求、密碼應用管理要求兩個角度出發，圍繞信息系統的物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行、應急處置*個方面開展密碼測評工作，通過現場測評逐項比較信息系統與其相應安全等級要求之間的差距，進行逐項分析、整體分析、量化評估、風險分析，為信息系統的密碼應用建設提供工作建議，保障信息系統密碼合規、正確、有效地應用。供應商需提供符合相關要求的商用密碼應用安全性評估報告，并協助在當地密碼管理局備案。

★*.具體服務內容

*.*商用密碼應用安全性評估過程

商用密碼應用安全性評估過程應分為*個基本測評活動：測評準備活動、方案編制活動、現場測評活動、分析與報告編制活動。供應商和采購人之間的溝通與洽談應貫穿整個密碼應用安全性評估過程。

*）測評準備活動

根據供應商和采購人簽訂的委托測評協議書和被測信息系統規模，供應商組建測評項目組，從人員方面做好準備，并編制項目計劃書。供應商通過查閱被測系統已有資料并使用調查表格的方式，了解整個系統的構成和密碼保護情況，為編寫密評方案和開展現場測評工作奠定基礎。測評項目組成員在進行現場測評之前，熟悉與被測信息系統相關的各種組件、調試測評工具、準備各種表單。

*）方案編制活動

供應商應根據已經了解到的被測信息系統情況，分析整個被測系統及其涉及的業務應用系統，以及與此相關的密碼應用情況，確定出本次測評的測評對象；根據已經了解到的被測系統定級結果，確定出本次測評的測評指標；確認測評過程中需要現場檢查的關鍵安全點，并且充分考慮到檢查的可行性和風險，最大限度的避免對被測系統，尤其是在線運行業務系統的影響；確定現場測評的具體實施內容；最終完成測評方案的編制。

*）現場測評活動

現場測評準備：召開測評現場首次會，供應商應負責介紹測評工作，交流測評信息，進*步明確測評計劃和測評方案中的內容，說明測評過程中具體的實施工作內容，測評時間安排，測評過程中可能存在的安全風險，以便于后面的測評工作開展。供應商和采購人確認現場測評需要的各種資源，包括采購人的配合人員和需要提供的測評條件，確認被測信息系統已備份過系統及數據。采購人簽署現場測評授權書。密評人員根據會議溝通結果，對測評結果記錄表單和測評程序進行必要的更新。測評項目組根據密評方案以及現場測評準備的結果，安排密評人員在現場完成測評工作，匯總現場測評的測評記錄；召開測評現場結束會，供應商和采購人對測評過程中發現的問題進行現場確認；密評機構歸還測評過程中借閱的所有文檔資料，并由采購人文檔資料提供者簽字確認。

*）分析與報告編制活動

在現場測評工作結束后，供應商應對現場測評獲得的測評結果進行匯總分析，形成評估結論，并編制評估報告。密評人員在初步判定各測評單元涉及的各個測評對象的測評結果后，還需進行單元測評、整體測評、量化評估和風險分析。經過整體測評后，有的測評對象的測評結果可能會有所變化，需進*步修訂測評結果，而后進行量化評估和風險分析，最后形成評估結論。

*.*密評應用技術要求

（*）密碼測評的目的

密碼測評的目的是通過對采購單位指定的信息系統在密碼應用技術要求和密碼應用管理要求方面的測評，對這些信息系統的密碼應用情況與其相應級別的密碼應用要求進行差距分析和測評,深入查找密碼應用的薄弱環節和安全隱患，分析面臨的風險，測評結果作為采購單位進*步完善系統安全策略及安全技術防護措施依據。

（*）技術標準要求

供應商應依據**/* *****—****《信息安全技術 信息系統密碼應用基本要求》、**/*****-****《信息系統密碼應用測評要求》、**/* ****-****《信息系統密碼應用測評過程指南》、《信息系統密碼應用高風險判定指引》標準和系統自身的安全需求，對被測系統進行密評工作，密碼應用安全性評估的技術服務包括以下內容:

*）通用測評要求

核查信息系統中使用的密碼算法、密碼技術、密碼產品和密碼服務是否滿足國家密碼管理的相關標準或規范要求。

*）密碼應用技術要求測評

具體應包括:物理和環境安全測評、網絡和通信安全測評、設備和計算安全測評、應用和數據安全測評，制定安全驗證性測評工作方案，驗證不同安全等級信息系統的密碼應用是否達到相應安全等級的安全保護能力、是否滿足相應安全等級的保護要求。

（*）物理和環境安全測評

物理和環境安全主要實現對信息化測試及評估服務所在機房重要區域的物理防護，物理機房的進出必須嚴格符合相關規范，并對相關人員進出信息實時記錄，防止非法人員采用非法手段進出，如果出現人為物理破壞將造成不可逆的重大損失。

針對“身份鑒別”、“電子門禁記錄數據存儲完整性”、“視頻監控記錄數據存儲完整性”物理和環境安全方面采取的密碼保障措施進行各項測評，詳細記錄現場測評情況（如訪談記錄、配置截圖、抓包分析截圖、產品照片），完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

標準要求內容：

*宜采用密碼技術進行物理訪問身份鑒別,保證重要區域進入人員身份的真實性。

*宜采用密碼技術保證電子門禁系統進出記錄數據的存儲完整性。

*宜采用密碼技術保證視頻監控音像記錄數據的存儲完整性。

（*）網絡和通信安全測評

*）網絡和通信安全主要實現對信息系統與經由外部網絡連接的實體進行網絡通信時的安全防護，密碼應用要求主要涉及通信過程中實體身份真實性、數據機密性和數據完整性，以及網絡邊界訪問控制和設備接入控制。針對“身份鑒別”、“通信數據完整性”、“通信過程中重要數據的機密性”、“網絡邊界訪問控制信息的完整性”、“安全接入認證”網絡和通信安全方面采取的密碼保障措施進行各項測評，詳細記錄現場測評情況(如訪談記錄、配置截圖、抓包分析截圖、產品照片)，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容

① 應采用密碼技術對通信實體進行身份鑒別,保證通信實體身份的真實性。

② 宜采用密碼技術保證通信過程中數據的完整性。

③ 應采用密碼技術保證通信過程中重要數據的機密性。

④ 宜采用密碼技術保證網絡邊界訪問控制信息的完整性。

⑤ 可采用密碼技術對從外部連接到內部網絡的設備進行接入認證,確保接入設備身份的真實性。

（*）設備和計算安全測評

*）設備和計算安全主要實現對信息化測試及評估服務中各類設備和計算環境的安全防護,密碼應用要求主要涉及對登錄設備用戶的身份鑒別、遠程管理通道的建立、重要可執行程序來源真實性，以及系統資源訪問控制信息、設備的重要信息資源安全標記、重要可執行程序、日志記錄的完整性。

*）針對“身份鑒別”、“遠程管理通道安全”、“系統資源訪問控制信息完整性”、“重要信息資源安全標記完整性”、“日志記錄完整性”、“重要可執行程序完整性、重要可執行程序來源真實性”設備和計算安全方面采取的密碼保障措施進行各項測評，詳細記錄現場測評情況(如訪談記錄、配置截圖、抓包分析截圖、產品照片)，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容

① 應采用密碼技術對登錄設備的用戶進行身份鑒別,保證用戶身份的真實性。

② 遠程管理設備時,應采用密碼技術建立安全的信息傳輸通道。

③ 宜采用密碼技術保證系統資源訪問控制信息的完整性。

④ 宜采用密碼技術保證設備中的重要信息資源安全標記的完整性。

⑤ 宜采用密碼技術保證日志記錄的完整性。

⑥ 宜采用密碼技術對重要可執行程序進行完整性保護,并對其來源進行真實性驗證。

（*）應用和數據安全

*）應實現對信息系統中應用及其數據的安全防護,密碼應用主要涉及應用的用戶身份鑒別、訪問控制，以及應用相關重要數據的存儲安全、傳輸安全和相關行為的不可否認性。其中，重要數據包括鑒別數據、重要業務數據、重要審計數據、重要配置數據、重要視頻數據和重要個人信息。針對“身份鑒別”、“訪問控制信息完整性”、“重要信息資源安全標記完整性”、“重要數據傳輸機密性”、“重要數據存儲機密性”、“重要數據傳輸完整性”、“重要數據存儲完整性”、“不可否認性”應用和數據安全方面采取的密碼保障措施進行各項測評，詳細記錄現場測評情況(如訪談記錄、配置截圖、抓包分析截圖、產品照片)，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容

① 應采用密碼技術對登錄用戶進行身份鑒別,保證應用系統用戶身份的真實性。

② 宜采用密碼技術保證信息系統應用的訪問控制信息的完整性。

③ 宜采用密碼技術保證信息系統應用的重要信息資源安全標記的完整性。

④ 應采用密碼技術保證信息系統應用的重要數據在傳輸過程中的機密性。

⑤ 應采用密碼技術保證信息系統應用的重要數據在存儲過程中的機密性。

⑥ 宜采用密碼技術保證信息系統應用的重要數據在傳輸過程中的完整性。

⑦ 宜采用密碼技術保證信息系統應用的重要數據在存儲過程中的完整性。

*在可能涉及法律責任認定的應用中, 應采用密碼技術提供數據原發證據和數據接收證據,實現數據原發行為的不可否認性和數據接收行為的不可否認性。

*.*密碼應用管理要求

供應商應從管理制度、人員管理、建設運行和應急處置*個方面進行安全管理測評，驗證信息系統安全管理機制是否完善，是否能確保密碼技術被合規、正確、有效的實施。

（*）管理制度

*）供應商應針對“具備密碼應用安全管理制度”、“密鑰管理規則”、“建立操作規程”、“定期修訂安全管理制度”、“明確管理制度發布流程”、“制度執行過程記錄留存”制度方面采取的管理措施進行各項測評,詳細記錄現場測評情況，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容*

① 應具備密碼應用安全管理制度,包括密碼人員管理、密鑰管理、建設運行、應急處置、密碼軟硬件及介質管理制度。

② 應根據密碼應用方案建立相應密鑰管理規則。

③ 應對管理人員或操作人員執行的日常管理操作建立操作規程。

④ 應定期對密碼應用安全管理制度和操作規程的合理性和適用性進行論證和審定,是否對存在不足或需要改進之處進行修訂。

⑤ 應明確相關密碼應用安全管理制度和操作規程的發布流程并進行版本控制。

⑥ 應具有密碼應用操作規程的相關執行記錄并妥善保存。

（*）人員管理

*）針對“了解并遵守密碼相關法律法規和密碼管理制度”、“建立密碼應用崗位責任制度”、“建立上崗人員培訓制度”、“定期進行安全崗位人員考核”、“建立關鍵崗位人員保密制度和調離制度”人員方面采取的管理措施進行各項測評，詳細記錄現場測評情況，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容

① 相關人員應了解并遵守密碼相關法律法規、密碼應用安全管理制度。

② 應建立密碼應用崗位責任制度,明確各崗位在安全系統中的職責和權限。

*.根據密碼應用的實際情況,設置密鑰管理員、密碼安全審計員、密碼操作員關鍵安全崗位

*.對關鍵崗位建立多人共管機制

*.密鑰管理、密碼安全審計、密碼操作人員職責互相制約互相監督,其中密碼安全審計員崗位不可與密鑰管理員、密碼操作員兼任

*.相關設備與系統的管理和使用賬號不得多人共用。

③ 應建立上崗人員培訓制度,對于涉及密碼的操作和管理的人員進行專門培訓,確保其具備崗位所需專業技能。

④ 應定期對密碼應用安全崗位人員進行考核。

⑤ 應建立關鍵人員保密制度和調離制度,簽訂保密合同,承擔保密義務。

（*）建設運行

*）針對“制定密碼應用方案”、“制定密鑰安全管理策略”、“制定實施方案”、“投入運行前進行密碼應用安全性評估”、“定期開展密碼應用安全性評估及攻防對抗演習”建設方面采取的管理措施進行各項測評，詳細記錄現場測評情況，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容

① 應依據密碼相關標準和密碼應用需求,制定密碼應用方案。

② 應根據密碼應用方案,確定系統涉及的密鑰種類、體系及其生存周期環節, 各環節密鑰管理要求照 **/* *****-****《信息安全技術 信息系統密碼應用基本要求》附錄 *。

③ 應按照應用方案實施建設。

④ 投入運行前應進行密碼應用安全性評估,評估通過后系統方可正式運行。

⑤ 在運行過程中,應嚴格執行既定的密碼應用安全管理制度,是否定期開展密碼應用安全性評估及攻防對抗演習,并根據評估結果進行整改。

（*）應急處置

*）針對“應急策略”、“事件處置”、“向有關主管部門上報處置情況”應急方面采取的管理措施進行各項測評，詳細記錄現場測評情況，完成單項及單元測評結果判定。測評結果應由采購人配合人員確認。

*）標準要求內容

① 應制定密碼應用應急策略,做好應急資源準備,當密碼應用安全事件發生時,應立即啟動應急處置措施,結合實際情況及時處置。

② 事件發生后,應及時向信息系統主管部門進行報告。

③ 事件處置完成后,應及時向信息系統主管部門及歸屬的密碼管理部門報告事件發生情況及處置情況

★（*）需執行的國家相關標準、行業標準、地方標準或者其他標準、規范

*.**/* *****-****《信息安全技術 信息系統密碼應用基本要求》

*.**/* ****-****《信息系統密碼應用測評要求》

*.**/* ****-****《信息系統密碼應用測評過程指南》

*.其他標準規范及技術要求詳見“（*）服務內容、需滿足的質量、安全、技術規格等要求”

★（*）驗收標準及方法

*.驗收標準

(*)流程完整性：測評工作需完成測評準備、方案編制、現場測評、分析與報告編制*個基本活動，每個活動的成果文件（項目計劃書、測評方案、測評記錄、評估報告）需齊全且符合要求。

(*)報告合規性：商用密碼應用安全性評估報告需符合國家密碼管理相關標準，內容涵蓋測評對象、測評指標、測評過程、測評結果、風險分析及改進建議，且經采購人確認無異議。

(*)備案協助：供應商需成功協助采購人在當地密碼管理局完成備案，獲取備案相關證明材料。

(*)問題整改：針對測評過程中發現的問題，供應商需提供合理的整改建議，采購人依據建議整改后，相關密碼應用隱患需得到消除或緩解。

*.驗收方法

(*)驗收程序：由采購人組織驗收

(*)成果文件審查：采購人組織人員審查供應商提交的項目計劃書、測評方案、測評記錄、評估報告等成果文件，核查文件內容的完整性、準確性與合規性。

(*)現場核驗：采購人對測評過程中的關鍵環節（如現場測評記錄、配置截圖、抓包分析截圖等）進行現場核驗，確認測評工作的真實性與有效性。

★（*）質量保證和售后服務要求

*.質量保證要求

服務期限內，若因供應商測評工作失誤導致測評結果不準確、評估報告不符合要求或備案失敗，供應商應重新開展測評工作，直至滿足采購人需求。

供應商需建立質量保障機制，對測評過程中的每個環節進行質量管控，安排專人負責質量檢查，確保測評工作質量符合相關標準與采購要求。

*.售后服務要求

（*）咨詢響應效率

對于采購人的電話、郵件等咨詢，供應商需在**小時內完成首次響應，復雜問題需在*個工作日內給出完整解決方案。

（*）現場服務效率

需現場協助的問題，供應商需在收到采購人需求后 ** 小時內抵達現場，*般問題需在 * 個工作日內解決，復雜問題需在 * 個工作日內解決（特殊情況需簽訂延期協議）。

（*）售后服務期限

自商用密碼應用安全性評估報告出具并完成備案之日起，售后服務期限不少于*年；服務期限屆滿后，采購人若有繼續服務需求，雙方可另行協商服務內容與費用，供應商應優先提供服務。

（*）技術培訓

售后服務期限內，供應商需免費為采購人提供至少 * 次密碼應用相關技術培訓，內容包括密碼應用標準解讀、系統密碼安全維護等，幫助采購人提升密碼應用管理能力。

（*）信息更新

若國家密碼管理相關標準、政策發生變化，供應商需及時告知采購人，并提供相關政策解讀與應對建議，協助采購人做好系統密碼應用調整工作。

★（*）保密要求

*.信息保密要求

測評相關信息保密供應商應對測評過程中獲取的所有信息嚴格保密，包括但不限于：被測信息系統的架構設計、網絡拓撲、設備配置信息、業務數據（含鑒別數據、重要業務數據、重要個人信息等）、密碼應用方案、密鑰管理規則，以及采購方提供的各類文檔資料（如系統備份數據、管理制度文件）。嚴禁以任何形式（紙質復印、電子拷貝、口頭傳播）向第*方泄露，且不得將上述信息用于本項目測評以外的其他用途。

測評成果保密商用密碼應用安全性評估報告（含初稿、終稿）、現場測評記錄（訪談記錄、配置截圖、抓包分析截圖）、風險分析數據等測評成果，屬于采購方敏感信息，供應商需按采購方要求進行保密管理。報告僅可提供給采購方及當地密碼管理局備案使用，未經采購方書面許可，不得向其他單位或個人提供；測評過程中產生的電子記錄需加密存儲，紙質記錄需鎖存于安全柜，避免信息外泄。

*.人員保密要求

保密意識與責任供應商需確保項目組所有成員（含項目經理、測評工程師、技術支持人員）了解并遵守國家密碼相關法律法規及采購方保密規定，明確 “誰接觸、誰負責” 的保密原則。項目啟動前，所有成員需簽署《項目保密承諾書》，承諾對接觸的敏感信息承擔保密義務，若發生泄密需承擔相應法律責任，該要求與文檔 “*.* 人員管理” 中 “建立關鍵人員保密制度” 條款直接對應。

參與項目的核心人員應通過供應商內部保密審查，確保無不良記錄；供應商不得隨意更換項目組成員，若確需更換，需經采購人確認，避免因人員流動導致泄密風險。

合同履行期限：自合同簽訂后**個工作日完成（具體起止日期已簽訂合同為準）

需落實的政府采購政策內容：執行政府采購對于中小微企業（含監獄企業）的相關政策、對于促進殘疾人就業政府采購政策的相關政策等。

本項目（是/否）接受聯合體投標：否

*、供應商的資格要求

*.滿足《中華人民共和國政府采購法》第***條規定。

*.落實政府采購政策需滿足的資格要求：無

*.本項目的特定資格要求：供應商應在國家密碼管理局公告（第**號）商用密碼檢測機構(商用密碼應用安全性評估業務)目錄公示的機構內，并具有商用密碼檢測機構資質證書。

*、政府采購供應商入庫須知

參加遼寧省政府采購活動的供應商未進入遼寧省政府采購供應商庫的，請詳閱遼寧政府采購網 “首頁—政策法規”中公布的“政府采購供應商入庫”的相關規定，及時辦理入庫登記手續。填寫單位名稱、統*社會信用代碼和聯系人等簡要信息，由系統自動開通賬號后，即可參與政府采購活動。具體規定詳見《關于進*步優化遼寧省政府采購供應商入庫程序的通知》（遼財采函〔****〕***號）。

*、獲取采購文件

時間：****年**月**日**時**分至****年**月**日**時**分（北京時間，法定節假日除外）

地點：線上獲取

方式：線上

售價：免費

*、響應文件提交

截止時間：****年**月**日 **時**分（北京時間）

地點：遼寧政府采購網

*、開啟

時間：****年**月**日 **時**分（北京時間）

地點：葫蘆島市公共資源交易中心

*、公告期限

自本公告發布之日起*個工作日。

*、質疑與投訴

供應商認為自己的權益受到損害的，可以在知道或者應知其權益受到損害之日起*個工作日內，向采購代理機構或采購人提出質疑。

*、接收質疑函方式：線上或書面紙質質疑函

*、質疑函內容、格式：應符合《政府采購質疑和投訴辦法》相關規定和財政部制定的《政府采購質疑函范本》格式，詳見遼寧政府采購網。

質疑供應商對采購人、采購代理機構的答復不滿意，或者采購人、采購代理機構未在規定時間內作出答復的，可以在答復期滿后**個工作日內向本級財政部門提起投訴。

*、其他補充事宜

*.參加遼寧省政府采購活動的供應商需自行辦理**數字證書，請詳閱遼寧政府采購網首頁“關于辦理**數字證書的通知”及“首頁-辦事指南”中公布的“遼寧政府采購網新版系統供應商操作手冊”、“遼寧省政府采購網供應商制作電子標書操作手冊”，具體規定詳見《關于啟用政府采購數字認證和電子招投標業務有關事宜的通知》（遼財采〔****〕***號）、《關于完善政府采購電子評審業務流程等有關事宜的通知》（遼財采函〔****〕*** 號）。請供應商按照相關規定，及時辦理相關手續并學習遼寧政府采購網電子文件制作指南，系統操作問題請撥打平臺運維服務電話（***-***-****）進行咨詢，因未辦理相關手續造成的所有后果，由供應商自行承擔。？*.本項目公告發布網站：“遼寧政府采購”網（網址****:***.****-********.***.**）和“葫蘆島市公共資源交易中心”網（網址****:***.***********.***.**.），請供應商在“遼寧政府采購網”報名的同時在“葫蘆島市公共資源交易中心”網進行報名。

*、對本次招標提出詢問，請按以下方式聯系

*.采購人信息

名??稱：葫蘆島市醫療保障事務服務中心

地??址：遼寧省葫蘆島市龍灣大街甲*號

聯系方式：張悅 ****-*******

*.采購代理機構信息

名??稱：遼寧鴻飛項目管理咨詢有限公司

地??址：遼寧省葫蘆島市龍港區申海花園山水路*-*-*

聯系方式：楊茜 ****-*******

郵箱地址：********@***.***

開戶行：中國建設銀行葫蘆島分行營業部

賬戶名稱：遼寧鴻飛項目管理咨詢有限公司

賬號：********************

*.項目聯系方式

項目聯系人：楊茜

電??話： ****-*******