关于泉州市第一医院商用密码应用安全性评估服务项目的采购意向公告

****近期拟采购信息设备等（详见第三点项目名称及项目基本要求）。现向社会公开询价，欢迎符合资质条件的制造商或经销商前来报名。

一、投标人资格要求：

1.投标人须为投标产品的生产厂家或已取得相关授权资质的供应商；

2.投标供应商****政府采购严重违法失信行为记录名单；

3.本项目不接受联合体投标；

4.投标机构须对所选分包的所有内容同时进行投标，不允许对分包的部分内容进行拆分投标；

5.投标委托代理人须是投标机构的正式员工，在规定时间内提交报名材料。

二、报名须提供资料（严格按照以下顺序做成一份Word方案书，不符合格式要求的方案书不予采纳）：

1.报名项目列表；

1）产品基本功能（是否满足基本要求）

2）优越性和领先性

3）可扩展性

4）兼容性

2.提供具备与项目相关的企业实力证明材料

3.提供项目保修期和维护方案等；

4.提供业绩相关材料：

1）近三年与项目相关的客户名单；2）同类项目业绩的中标（成交）公告或中标（成交）通知书；3）同类项目业绩的采购合同复印件；

5.投标公司资质证件（营业执照、税务登记证、组织机构代码证等）；

6.投标人身份证复印件及个人授权书、联系方式(手机号码及电子邮箱)；

7.投标公司法人身份证复印件。

三、项目名称及项目基本要求：

项目名称：商用密码应用安全性评估服务

1.基本要求：

1.1对医院7个等保系统提供商用密码应用安全性评估服务，由具有商用密码应用安全性评估资质的商用密码检测机构完成指定应用系统的商用密码应用安全性评估工作，并出具商用密码应用安全性评估报告。

1.2对密评的7个等保系统进行模拟评估，及时发现并处理潜在的风险，指导7个等保系统顺**过商用密码应用安全性评估；完成密码应用技术测评，完成密钥管理测评，完**全管理测评。完成编制《商用密码应用安全性评估报告》，****管理部门完成商用密码应用安全性评估备案。

1.3充分结合“《中华人民**国密码法》、《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021)、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》”等指导文件，结合行业特点和安全需求，提供国密改造咨询服务，形成密评检查知识库，为密评工作开展提供必要的知识支撑；与医院信息部门**，深入了解等保系统的网络拓扑结构、数据流向、关键节点和潜在风险点；为信息系统提供物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密码应用管理（制度、人员、应急、实施）、整体评估与风险评估等方面的密码应用安全需求分析；为等保系统制定个性化的国密改造方案；****医院等保系统相关的密评检查知识点和经验教训，形成密评检查知识库；指导密码应用方案设计、完成密码应用方案评审、现场测评和复测；完成密评备案等密码测评服务工作。

2.技术服务要求：

结合医院采购业务系统（涉及采购数据、供应商信息等敏感内容，需符合医疗行业合规要求）特点，及商用密码应用安全性评估相关标准规范、医院采购密评服务实操要求，中标单位需提供全流程、专业化密评服务，核心内容如下：

2.1前期咨询与方案制定服务

（1）测评阶段准备：编制项目计划书、收集被测系统基本资料并完成调查表、分析调查结果、工具和表单准备。

（2）测评方案编制：测评对象、测评指标、测评检查、测评内容确定，测评方案编制。

2.2现场测评核心服务

按照既定方案及密评标准，开展全维度现场测评，全程做好记录留存，确保测评过程合规、结果精准，重点覆盖以下模块，贴合医院采购业务系统场景：标书代写

（1）密码算法和密码技术合规性测评，对信息系统中的密码产品、密码服务以及密码算法实现和密码技术实现进行测评。

（2）密钥管理安全性测评，对信息系统中的密钥体系，以及相应的密码产品、密码服务以及密码算法实现和密码技术实现进行测评。

（3）物理和环境安全测评，对“身份鉴别”、“电子门禁记录数据完整性”、“视频记录数据完整性”、“密码模块实现”等物理和环境安全方面采取的密码保障措施进行各项评估。

（4）网络和通信安全测评，针对“身份鉴别”、“访问控制信息完整性”、“通信数据完整性”、“通信数据机密性”、“集中管理通道安全”、“密码模块实现”等网络和通信安全方面采取的密码保障措施进行各项评估。

（5）设备与计算安全测评服务，针对“身份鉴别”、“远程管理身份鉴别信息机密性”、“访问控制信息完整性”、“敏感标记的完整性”、“重要程序或文件完整性”、“日志记录完整性”、“密码模块实现”等设备和计算安全方面采取的密码保障措施进行各项评估。

（6）应用和数据安全测评服务，针对“身份鉴别”、“访问控制信息和敏感标记完整性”、“数据传输机密性”、“数据存储机密性”、“数据传输完整性”、“数据存储完整性”、“日志记录完整性”、“重要应用程序的加载和卸载”、“抗抵赖”、“密码模块实现”等应用和数据安全方面采取的密码保障措施进行各项评估。

（7）密码应用管理测评服务，针对管理制度测评、人员管理测评服务、建设运行测评、应急处置测评各项评估。

（8）测评记录留存：全程留存测评原始资料（访谈记录、配置截图、抓包分析截图、产品照片等），建立完整测评档案，确保测评过程可追溯、可核查。

2.3测评报告编制与整改指导服务

（1）商用密码应用安全性评估报告编制服务，现场测评工作结束后，测评方应对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制密码应用安全性评估报告。

（2）提出密码应用整改意见，根据测评结果，给出整改意见，指导对被测系统暴露出的密码应用安全问题进行整改。

（3）针对密码应用安全评估发现的问题，形成问题清单，出具整改建议，协助指导相关密码应用安全整改工作有效落实。

（4）在系统完成整改后，再次实施商用密码应用安全评估工作，记录访谈检查结果，进行综合分析，梳理安全风险，测评结束后，****管理部门要求及密码安全相关标准要求完成商用密码应用安全性评估报告编写。

2.4备案协助与后续保障服务

（1）密评备案辅助服务。根据《商用密码管理办法》、《信息安全技术网络安全等级保护定级指南》，信息系统运营使用单位或主管****管理部门备案，提供备案咨询服务，供应商须协助采购人单位填写《密评备案表》等备案材料，直到完成备案工作。

（2）项目完成后，中标单位须提供《系统商用密码应用安全性评估报告》、《密码应用方案商用密码应用安全性评估报告》、《整改建议书》。

2.5其他配套服务

团队配备专属项目经理（具备三级及以上等保系统密码测评经验）及不少于1 名专业密码测评人员，且人员一岗一人、不重复，确保服务连续性。服务期间提供应急保障工作。