开启全网商机
登录/注册
武汉市精神卫生中心信息系统商用密码应用安全性评估服务项目推介会公告
招标详情
下文中****为隐藏内容,仅对千里马会员开放,如需查看完整内容请
「注册/登录」或 拨打咨询热线:
400-688-2000
****信息系统商用密码应用安全性评估服务项目推介会公告
****信息系统商用密码应用安全性评估服务项目推介会公告
一、项目概况
(一)项目名称:****信息系统商用密码应用安全性评估服务项目
(二)服务范围:对医院HIS、LIS、PACS、EMR、集成平台、官方网站、****医院等7个系统进行三级密码应用安全性评估服务。
(三)服务期限:采购方与中标方签订合同生效,项目小组进场实施,30个工作日内,完成系统整改后,出具符合行业格式要求的商用密码评估报告。如项目因系统整改需要延期,需经过采购人同意。
二、采购标的需满足的技术规范和要求
《信息安全技术信息系统密码应用基本要求》 GB/T 39786-2021
《中华人民**国密码法》
《网络安全等级保护条例(征求意见稿)》
《商用密码应用安全性评估管理办法》
《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》
《国家政务信息化项目建设管理办法》(57号文)
《医疗卫生机构网络安全管理办法》
《关于进一步加强全省政务信息化项目密码应用有关工作的通知》(2号文)
《信息安全技术 信息系统密码应用基本要求》GB/T 39786-2021
《商用密码应用安全性评估测评过程指南》
《商用密码应用安全性评估量化评估规则》
《信息系统密码应用测评要求》
《信息系统密码应用高风险判定指引》
国家、地方、行业标准有新标准或规范的按新标准、规范执行。
三、采购内容
| 序号 |
服务名称 |
服务内容 |
| 1 |
密码应用方案设计咨询 |
协助用户分析密码应用中的技术难点,为用户设计商用密码应用方案提供技术咨询服务 |
| 2 |
密码应用方案评审 |
协助用户对密码应用方案进行审核,审核通过后,出具密码应用方案的评估报告,协助用户组织相关专家进行方案评审 |
| 3 |
密码建设咨询 |
密码方案通过专家评审后,为用户单位进行商用密码建设提供技术咨询,协助分析实施过程中遇到的问题并提供参考建议 |
| 4 |
信息系统密码应用安全性评估 |
密码体系建设完成后,通过技术手段抓包并验证密码算法和密码产品的正确性、有效性、合规性分析,并出具评估报告 |
| 5 |
渗透测试服务 |
针对用户所有**系统(合同有效期内)提供渗透测试服务 |
四、技术/服务要求
(一)
评估内容:
依据信息系统确定的安全保护等级,选择《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》中对应级别的安全要求作为安全测评的指标,实施测评工作。其中第三级密码应用基本要求以表格形式在下表中列出:
| 序号 |
商用密码应用安全性评估内容指标 |
|||
| 1 |
总体要求 |
密码算法 |
成交供应商应验证被测信息系统中使用的密码算法是否当符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 |
|
| 2 |
密码技术 |
成交供应商应验证被测信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。 |
||
| 3 |
密码产品 |
成交供应商应验证被测信息系统中使用的密码产品与密码模块****管理部门核准。 |
||
| 4 |
密码服务 |
成交供应商应验证被测信息系统中使用的密码服务****管理部门许可。 |
||
| 5 |
物理和环境安全 |
身份鉴别 |
成交供应商应验证被测信息系统在电子门禁系统中是否使用密码技术的真实性服务来保护身份鉴别信息,保证重要区域进入人员身份的真实性。 |
|
| 6 |
电子门禁记录数据完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证电子门禁系统进出记录的完整性。 |
||
| 7 |
视频记录数据完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证视频监控音像记录的完整性。 |
||
| 8 |
网络和通信安全 |
身份鉴别 |
成交供应商应验证被测信息系统是否在通信前基于密码技术对通信双方进行验证或认证,使用密码技术的机密性和真实性服务来实现防截获、防假冒和防重用,保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性。 |
|
| 9 |
访问控制信息完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证网络边界和系统**访问控制信息的完整性。 |
||
| 10 |
通信数据完整性 |
成交供应商应验证被测信息系统是否采用密码技术保证通信过程中数据的完整性。 |
||
| 11 |
通信数据机密性 |
成交供应商应验证被测信息系统是否采用密码技术保证通信过程中敏感信息数据字段或整个报文的机密性。 |
||
| 12 |
集中管理通道安全 |
成交供应商应验证被测信息系统是否采用密码技术建立一条安全的信息传输通道,对网络中的安全设备或安全组件进行集中管理。 |
||
| 13 |
设备和计算安全 |
身份鉴别 |
成交供应商应验证被测信息系统是否使用密码技术对登录的用户进行身份标识和鉴别,身份标识具有唯一性,身份鉴别信息具有复杂度要求并定期更换。 |
|
| 14 |
远程管理身份鉴别信息机密性 |
成交供应商应验证被测信息系统是否远程管理时,应使用密码技术的机密性服务来实现鉴别信息的防窃听。 |
||
| 15 |
访问控制信息完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证系统**访问控制信息的完整性。 |
||
| 16 |
敏感标记完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证重要信息**敏感标记的完整性。 |
||
| 17 |
重要程序或文件完整性 |
成交供应商应验证被测信息系统是否采用可信计算技术建立从系统到应用的信任链,实现系统运行过程中重要程序或文件完整性保护。 |
||
| 18 |
日志记录完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性功能来对日志记录进行完整性保护。 |
||
| 19 |
应用和数据安全 |
身份鉴别 |
成交供应商应验证被测信息系统是否使用密码技术对登录的用户进行身份标识和鉴别,实现身份鉴别信息的防截获、防假冒和防重用,保证应用系统用户身份的真实性。 |
|
| 20 |
访问控制信息和敏感标记完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性服务来保证业务应用系统访问控制策略、数据库表访问控制信息和重要信息**敏感标记等信息的完整性。 |
||
| 21 |
数据传输机密性 |
成交供应商应验证被测信息系统是否采用密码技术保证重要数据在传输过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。 |
||
| 22 |
数据存储机密性 |
成交供应商应验证被测信息系统是否采用密码技术保证重要数据在存储过程中的机密性,包括但不限于鉴别数据、重要业务数据和重要用户信息等。 |
||
| 23 |
数据传输完整性 |
成交供应商应验证被测信息系统是否采用密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息等。 |
||
| 24 |
数据存储完整性 |
成交供应商应验证被测信息系统是否采用密码技术保证重要数据在存储过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要用户信息、重要可执行程序等。 |
||
| 25 |
日志记录完整性 |
成交供应商应验证被测信息系统是否使用密码技术的完整性功能来实现对日志记录完整性的保护。 |
||
| 26 |
重要程序的加载和卸载 |
成交供应商应验证被测信息系统是否采用密码技术对重要应用程序的加载和卸载进行安全控制。 |
||
| 27 |
密钥管理 |
生成 |
成交供应商应验证被测信息系统密钥生成使用的随机数是否符合GM/T 0005-2012《随机性检测规范》要求,密钥是否在符合GM/T 0028-2014《密码模块安全技术要求》的密码模块中产生;密钥是否在密码模块内部产生,是否以明文方式出现在密码模块之外;被测信息系统是否具备检查和剔除弱密钥的能力。 |
|
| 28 |
存储 |
成交供应商应验证被测信息系统密钥是否加密存储,并采取严格的安全防护措施,防止密钥被非法获取;密钥加密密钥是否存储在符合GM/T 0028《密码模块安全技术要求》的二级及以上密码模块中。 |
||
| 29 |
使用 |
成交供应商应验证被测信息系统密钥是否明确用途,并按用途正确使用;对于公钥密码体制,在使用公钥之前是否对其进行验证;是否有安全措施防止密钥的泄露和替换;密钥泄露时,是否停止使用,并启动相应的应急处理和响应措施。是否按照密钥更换周期要求更换密钥;是否采取有效的安全措施,保证密钥更换时的安全性。 |
||
| 30 |
分发 |
成交供应商应验证被测信息系统密钥分发是否采取身份鉴别、数据完整性、数据机密性等安全措施,是否能够抗截取、假冒、篡改、重放等攻击,保证密钥的安全性。 |
||
| 31 |
导入与导出 |
成交供应商应验证被测信息系统是否采取安全措施,防止密钥导入导出时被非法获取或篡改,并保证密钥的正确性。 |
||
| 32 |
备份与恢复 |
成交供应商应验证责任单位是否制定明确的密钥备份策略,被测信息系统是否采用安全可靠的密钥备份恢复机制,对密钥进行备份或恢复;密钥备份或恢复是否进行记录,并生成审计信息;审计信息是否包括备份或恢复的主体、备份或恢复的时间等。 |
||
| 33 |
归档 |
成交供应商应验证被测信息系统是否采取有效的安全措施,保证归档密钥的安全性和正确性;归档密钥是否只能用于解密该密钥加密的历史信息或验证该密钥签名的历史信息;密钥归档是否进行记录,并生成审计信息;审计信息是否包括归档的密钥、归档的时间等;归档密钥是否进行数据备份,并采用有效的安全保护措施。 |
||
| 34 |
销毁 |
成交供应商应验证被测信息系统是否具有在紧急情况下销毁密钥的措施。 |
||
| 35 |
安全管理 |
制度-制定 |
成交供应商应验证责任单位是否制定密码安全管理制度及操作规范、安全操作规范。密码安全管理制度是否包括密码建设运维人员设备密钥等密码管理相关内容。 |
|
| 36 |
制度-定期修订 |
成交供应商应验证责任单位是否定期对密码管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 |
||
| 37 |
制度-发布流程 |
成交供应商应验证责任单位是否明确相关管理制度发布流程。 |
||
| 38 |
人员-法律法规 |
成交供应商应验证责任单位系统负责人是否了解并遵守商用密码相关法律法规。 |
||
| 39 |
人员-密码产品 |
成交供应商应验证责任单位系统负责人是否能够正确使用商用密码产品。 |
||
| 40 |
人员-责任制度 |
成交供应商应验证责任单位是否根据相关密码管理政策、数据安全保密政策,结合组织实际情况,设置密钥管理人员、安全审计人员、密码操作人员等关键岗位;是否建立相应岗位责任制度,明确相关人员在安全系统中的职责和权限,对关键岗位建立多人共管机制;密钥管理、安全审计、密码操作人员职责是否建立多人共管制度,互相制约互相监督,相关设备与系统的管理和使用账号是否禁止多人共用。 |
||
| 41 |
人员-考核制度 |
成交供应商应验证责任单位是否建立人员考核制度,定期进行岗位人员考核,建立健全奖惩制度。 |
||
| 42 |
人员-培训制度 |
成交供应商应验证责任单位是否建立人员培训制度,对于涉及密码的操作和管理以及密钥管理人员进行专门培训。 |
||
| 43 |
人员-保密和调离制度 |
成交供应商应验证责任单位是否建立关键岗位人员保密制度和调离制度,签订保密合同,承担保密义务。 |
||
| 44 |
实施-规划 |
成交供应商应验证规划阶段,责任单位是否依据密码有关标准,制信息系统定密码应用建设方案,组织专家进行评审,是否具有评审报告。 |
||
| 45 |
实施-建设-制定实施方案 |
成交供应商应验证责任单位是否按照国家相关标准制定实施方案,方案内容应包括但不少于信息系统概述、安全需求分析、商用密码系统设计方案、商用密码产品清单(包括产品资质功能及性能列表和产品生产单位等)、商用密码系统安全管理与维护策略、商用密码系统实施计划等。 |
||
| 46 |
实施-建设-选用合规密码产品和服务 |
成交供应商应验证责任单位是****管理部门核准的密码产品许可的密码服务。 |
||
| 47 |
实施-运行前 |
成交供应商应验证被测信息系统投入运行前,是否经密评机构进行安全性评估,是否具有评估报告。 |
||
| 48 |
实施-运行后 |
成交供应商应验证被测信息系统投入运行后,责任单位是否每年委托测评机构开展密码应用安全性评估,是否具有评估报告;有重**全隐患的,是否停止系统运行,制定整改方案,整改完成并通过评估后方投入运行。 |
||
| 49 |
应急-应急预案 |
成交供应商应验证责任单位是否根据安全事件等级制定了相应的应急预案及管理制度,明确了应急事件处理流程及其他管理措施,并遵照执行;如有安全事件发生,应检查是否有相应的处置记录。 |
||
| 50 |
应急-事件处置 |
成交供应商应验证责任单位在安全事件发生后,是否及时向信息系统的上级主管部门进行报告。 |
||
| 51 |
应急-上报 |
成交供应商应验证责任单位在安全事件完成后,是否及时向同级的密码主管部门报告事件发生情况及处置情况。 |
||
(二)服务要求
1、 投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次商用密码应用安全性评估工作。
2、项目团队须具有丰富的工作经验且不得少于4人。项目实施人员必须具有商用密码应用安全性评估人员测评能力考核证书(商用密码应用安全性评估从业人员考核证书)或注册信息安全员(CISM)证书。
3、★在项目实施期间,需定期(每周不少于1次)指派项目经理汇报当**度,过程资料需全部留档保存。
4、★承诺根据用户要求在1小时内提供现场服务,其服务期限为合同签订日起满1年。
5、投标人应详细描述本次项目的整体实施方案,包括项目概述、技术方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
6、安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标人应详细描述需要的运行环境的具体要求。
7、投标人应提供针对本项目的工期要求和人员要求进行详细解读,提供详实、可行进度计划及保障措施。
8、投标人应具有专业服****实验室平台,确保提供高效、精准的安全风险检测结果。
9、投标人应提供近三年(截止开标之日起前3年)商用密码应用安全性评估项目的业绩(项目名称、客户名称、项目内容、合同金额等)介绍。标书代写
(三)工具要求 :****测试所需的工具,由投标人负责提供。用于商用密码应用安全性评估的工具主要包括但不限于密码算法验证、密码设备合规性检测、密钥管理测评、身份鉴别与加密机制有效性验证等工具。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。投标人应对测评工具的安全性做出承诺和保证。
(四)保密要求
1、投标人必须和采购人签订保密协议。
2、投标人具体实施项目中的重要资料和结果,在项目实施期间和实施结束后,投标人不得带离该地点。
3、投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标人中标与否,其对上述内容的保密责任将长期存在。
4、投标人应保守在测评活动中知悉的国家秘密、商业秘密和个人隐私,防范测评风险。
5、投标人应对测评人员进行安全保密教育,与其签订安全保密责任书,规定应当履行的安全保密义务和承担的法律责任,并负责检查落实。
(五)测评质量要求
项目管理是贯穿整个项目的一项任务。通过实施有效的项目管理,保证本项目能够按工作范围要求、按时间、按质量完成。投标人应提供质量控制及保证措施方案,包含项目质量控制及保证措施等。
(六)测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评活动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行控制。
安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,根据被测评对象的不同采取相应的风险控制手段。不限于以下方法:
1、操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。
2、操作时间控制
对测评直接影响系统工作时,尽可能避开敏感时期。
3、人员与数据管理
必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有相应的约束和控制措施,按国家有关要求做好保密工作。
4、制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
5、关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用测评工具,采用访谈、测评和简单测试的方式进行。
6、优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要根据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
7、数据备份与恢复
对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备与主机的损伤影响业务系统的正常运行。
五、商务要求
(一)付款方式:项目完成甲方验收后 30 个工作日内支付至合同总价款的 100%。
(二)质量要求:符合国家相关行业最新的技术标准和规范要求。合同履行期间,有关标准变更或存在更**求的,以要求高者为准。
(三)违约责任:
1、中标方在合同履行过程中如故意歪曲事实、未经甲方书面确认擅自进行高风险的操作,经甲方三次指出仍无改进的,甲方有权解除协议,并追究乙方责任。
2、因中标方延期提交成果的,每逾期一个工作日,乙方应按延期提交成果所折合金额每个工作日0.2‰的比例向甲方支付违约金,但违约金累计不超过合同金额的5%。甲方不提供工作条件或提供的工作条件不符合约定、未提供相关资料,影响工作进度和质量的,应自行承担由此造成的项目延期责任,乙方不承担相应延期责任。
3、如招标方延期付款,每逾期一个工作日,甲方应按延期付款金额每个工作日0.2‰的比例向乙方支付违约金,但违约金累计不超过合同金额的5%。逾期超过90个工作日,经双方协商,乙方有权解除合同,甲方除应支付合同解除前的违约金和未支付款项外,已支付的报酬不予返还。
(四)验收要求:
乙方按照合同约定提交正式的商用密码应用安全性评估报告并协助采购人完成密码监管部门的备案手续,最终经过甲方确认。
六、响应文件要求标书代写
(一)各参会单位需提供以下资质材料一份(单独封装):
1.满足《****政府采购法》第二十二条规定(提供承诺函);
2.供应商营业执照及项目相关资质证明复印件等;
3.法定代表人授权委托书及委托代理人身份证复印件;
4.提供未被列入失信被执行人、重大税收违法失信主体,****政府采购严重违法失信行为记录名单截图(以报名邮件发送日在 信用中国 网站(
www.****.cn****政府采购网(www.****.cn)****政府采购活动前三年内的结果为准);
5.其他特定资格要求:参会单位****管理局颁发的《商用密码检测机构资质证书》(提供证明文件并加盖公章) 。
6.以上证件须真实且在有效期内,且每页需加盖公章。
(二)以下报价相关材料一式五份装订成册(正本1本,副本4本),正本需加盖公章,副本可为复印件:
1.报价单(依据项目内容自拟,需包含项目总价及7个系统分项报价并填写企业类型【大型、中型、小型、微型】);
2.单位资质证明材料(响应文件要求第一条提到的资质材料);标书代写
3.业绩资料(提供合同关键页或中标通知书)、其他相关资料。
六、报名及参会要求
1、报名时间:2026年5月25日-2026年5月29日17:00
2、报名方式:请将报名资料(响应文件要求第一条提到资质材料电子版)以文件名 【推介项目名称】报名资料+报名公司名称 作为附件上传,邮件文本处编辑项目名称、单位名称、单位联系人姓名(授权委托人)、联系人电话,发送至****@qq.com,收到邮件回执后即为报名成功。标书代写
备注:如在报名期结束后还未收到邮件回执,请及时电话联系查询。
3、推介会时间及地点:通过电话或邮箱另行通知,法人或授权委托人参会需携带本人身份证,响应文件在推介会现场提交。标书代写
四、****中心全面掌握相关服务及市场供应情况,不作为最终采购依据,中心不对参与此次推介会的任何供应商作出任何承诺。
联系人:龙老师
联系电话:027-****1727
****
2026年5月22日
招标进度跟踪
招标项目商机
暂无推荐数据
400-688-2000
欢迎来电咨询~
