******医院决定,拟对下列项目进行竞争性磋商采购。欢迎符合相应要求的供应商参加谈判,具体事项如下:
-
采购项目内容
三级信息系统密评服务, 测评系统数量:1个,限价:9.5万元。
二、功能及技术参数要求:
(一)、测评依据:
《中华人民共和国网络安全法》
《中华人民共和国密码法》
《商用密码管理条例》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
《国家政务信息化项目建设管理办法》
GM/T 0115-2021《信息系统密码应用测评要求》
GM/T 0116-2021 信息系统密码应用测评过程指南
GB/T 39786-2021 《信息安全技术 信息系统密码应用基本要求》
如有最新规定按最新规定执行
(二)、总体服务内容
供应商对信息化测试及评估服务按照密码应用要求开展密码测评工作,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发,围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作,通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距,进行逐项分析、整体分析、量化评估、风险分析,为信息系统的密码应用建设提供工作建议,保障信息系统密******管理局备案。
(三)、具体服务内容
包含但不限于如下任务要求:
******管理局和当地密码管理部门要求的密评报告;
2.根据测评结果,给出整改意见,指导软件承建单位对被测系统暴露出的密码应用安全问题进行整改;
3.根据测评需要承办专家评审会;
******管理局关于规范商用密码应用安全性评估结果备案工作的通知,协助准备备案资料并完成密评备案工作;
5.对采购单位名称安全技术和密码管理人员开展相关培训;
6.协助采购单位名称完成与密评相关的其他工作。
(四)、服务要求及标准
1.评估流程
商用密码应用安全性评估过程分为四个基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。
1)测评准备活动
根据供应商和采购方签订的委托测评协议书和被测信息系统规模,供应商组建测评项目组,从人员方面做好准备,并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式,了解整个系统的构成和密码保护情况,为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前,熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。
2)方案编制活动
根据已经了解到的被测信息系统情况,分析整个被测系统及其涉及的业务应用系统,以及与此相关的密码应用情况,确定出本次测评的测评对象;根据已经了解到的被测系统定级结果,确定出本次测评的测评指标;确认测评过程中需要现场检查的关键安全点,并且充分考虑到检查的可行性和风险,最大限度的避免对被测系统,尤其是在线运行业务系统的影响;确定现场测评的具体实施内容;最终完成测评方案的编制。
3)现场测评活动
现场测评准备:召开测评现场首次会,供应商介绍测评工作,交流测评信息,进一步明确测评计划和测评方案中的内容,说明测评过程中具体的实施工作内容,测评时间安排,测评过程中可能存在的安全风险等,以便于后面的测评工作开展。供应商和采购方确认现场测评需要的各种资源,包括采购方的配合人员和需要提供的测评条件等,确认被测信息系统已备份过系统及数据。采购方签署现场测评授权书。密评人员根据会议沟通结果,对测评结果记录表单和测评程序进行必要的更新。
测评项目组根据密评方案以及现场测评准备的结果,安排密评人员在现场完成测评工作,汇总现场测评的测评记录;召开测评现场结束会,供应商和采购方对测评过程中发现的问题进行现场确认;密评机构归还测评过程中借阅的所有文档资料,并由采购方文档资料提供者签字确认。
4)分析与报告编制活动
在现场测评工作结束后,供应商对现场测评获得的测评结果进行汇总分析,形成评估结论,并编制评估报告。
密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后,还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后,有的测评对象的测评结果可能会有所变化,需进一步修订测评结果,而后进行量化评估和风险分析,最后形成评估结论。
2.密评应用技术要求
密码测评的目的是通过对采购单位指定的信息系统在密码应用技术要求和密码应用管理要求等方面的测评,对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评,深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,测评结果作为采购单位进一步完善系统安全策略及安全技术防护措施依据。
依据GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》等标准和系统自身的安全需求等,对被测系统进行密评工作,密码应用安全性评估的技术服务包括但不限于以下内容:
1)通用测评要求
核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。
2)密码应用技术要求测评
具体包括但不限于:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,制定安全验证性测评工作方案,验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
2.1物理和环境安全测评
物理和环境安全主要实现对信息化测试及评估服务所在机房等重要区域的物理防护,物理机房的进出必须严格符合相关规范,并对相关人员进出信息实时记录,防止非法人员采用非法手段进出,如果出现人为物理破坏将造成不可逆的重大损失。
针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。
Ÿ宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。
Ÿ宜采用密码技术保证视频监控音像记录数据的存储完整性。
2.2网络和通信安全测评
网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护,密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性,以及网络边界访问控制和设备接入控制。
针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。
Ÿ宜采用密码技术保证通信过程中数据的完整性。
Ÿ应采用密码技术保证通信过程中重要数据的机密性。
Ÿ宜采用密码技术保证网络边界访问控制信息的完整性。
Ÿ可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。
2.3设备和计算安全测评
设备和计算安全主要实现对信息化测试及评估服务中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性,以及系统资源访问控制信息、设备的重要信息资源安全标记、重要可执行程序、日志记录的完整性。
针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。
Ÿ远程管理设备时,应采用密码技术建立安全的信息传输通道。
Ÿ宜采用密码技术保证系统资源访问控制信息的完整性。
Ÿ宜采用密码技术保证设备中的重要信息资源安全标记的完整性。
Ÿ宜采用密码技术保证日志记录的完整性。
Ÿ宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。
2.4应用和数据安全
实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制,以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中,重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。
Ÿ宜采用密码技术保证信息系统应用的访问控制信息的完整性。
Ÿ宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。
Ÿ应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。
Ÿ应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。
Ÿ宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。
Ÿ宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。
Ÿ在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。
3.密码应用管理要求
从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能确保密码技术被合规、正确、有效的实施。
3.1管理制度
针对“具备密码应用安全管理制度”、“密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”、“制度执行过程记录留存”等制度方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。
Ÿ应根据密码应用方案建立相应密钥管理规则。
Ÿ应对管理人员或操作人员执行的日常管理操作建立操作规程。
Ÿ应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。
Ÿ应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。
Ÿ应具有密码应用操作规程的相关执行记录并妥善保存。
3.2人员管理
针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。
Ÿ应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。
1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;
2) 对关键岗位建立多人共管机制;
3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;
4) 相关设备与系统的管理和使用账号不得多人共用。
Ÿ应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。
Ÿ应定期对密码应用安全岗位人员进行考核。
Ÿ应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。
3.3建设运行
针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”等建设方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ应依据密码相关标准和密码应用需求,制定密码应用方案。
Ÿ应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》附录B。
Ÿ应按照应用方案实施建设。
Ÿ投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。
Ÿ在运行过程中,应严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。
3.4应急处置
针对“应急策略”、“事件处置”、“向有关主管部门上报处置情况”等应急方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。
标准要求内容:
Ÿ应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。
Ÿ事件发生后,应及时向信息系统主管部门进行报告。
Ÿ事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况。
三、商务及其他要求:
1.交货日期:合同签订后 30 工作日内 。
******医院及分院,供应商现场服务 。
3.交付验收时间:合同签订后 30 个工作日,供应商提交初评报告 。
4.付款方式:合同签订且收到发票后 10 个工作日内支付合同金额的 50%,项目验收通过且收到发票后 10 个工作日内支付合同金额的 50%。每次付款前由成交供应商向采购人提出申请提供有效等额发票。
5.售后服务:
(1)供应商免费对采购人工作人员进行现场培训,保证受训人员能熟练操作,并对系统能进行日常维护。
(2)供应商应按合同要求提供采购人所需产品和服务,若供应商提供产品和服务不合格采购人将拒绝支付后期款项。
6.违约责任:
(1)因供应商产品和服务因素给采购人造成损失,供应商应承担给采购人造成的全部经济损失和法律责任。
(2)未经采购人同意,供方延期交货,供应商每天应按货款总额的 0.5%向采购人支付违约金。
(3)因供应商未履行或履行不当售后服务承诺,给采购人造成损失,供应商应赔偿采购人由此造成的经济损失。
四、采购方式:采取竞争性磋商方式,在密封报价的基础上,进行一轮或多轮磋商。
五、评定方式:经磋商后的综合评分法。
评分因素 及权重 |
分 值 |
评分标准 |
说 明 |
||
1 |
报价30% |
30分 |
以本次有效的最低投标报价为基准价,投标报价得分=(基准价/投标报价)* 30分*100%(保留小数点后两位,第三位四舍五入) |
|
|
2 |
公司实力13% |
质量体系 |
8分 |
1.投标人通过质量体系认证范围类似商用密码应用性评估得2分; 2.投标人通过信息安全管理体系认证范围类似商用密码应用性评估,得2分; 3.投标人通过环境管理体系认证范围类似商用密码应用性评估,得2分; 4.投标人通过信息技术服务管理体系认证范围类似商用密码应用性评估,得2分; |
资质或资格证书加盖投标人公章 |
3 |
测评案例 |
5分 |
投标人自2021年1月1日至今每有一个密码测评相关案例得1分,最多得5分。 |
提供相关合同复印件加盖投标人公章,原件备查。 |
|
4 |
测评团队要求32% |
项目总测评师 |
10分 |
供应商为本项目配备的总测评师(1名)具有商用密码应用安全性评估人员能力合格证书前提下提供下列证书: 1.具有工业互联网安全评估师证书(CIISA) 2.计算机技术与软件专业资格信息安全工程师证书 3.注册渗透测评工程师证书CISP-PTE 4.密码安全工程师证书 5.市级人力资源和社会保障局职称证:网络安全服务工程师证书 每提供一个证书得2分,此项最多10分。 |
提供相关人员证书证明材料和本单位投标截止前连续三个月社保证明材料,加盖投标人公章。
|
|
|
项目经理 |
10分 |
供应商为本项目配备的项目经理(1名)具有商用密码应用安全性评估人员能力合格证书前提下提供下列证书: 1.网络安全技术CCSC(I级)证书 2.计算机技术与软件专业资格信息系统项目管理师(高级) 3.密码安全工程师证书 4.电子技术工程师职称证书 5.信息安全保障人员CISAW证书(认证范围:风险管理专业级) 每提供一个证书得2分,此项最多得10分。 |
|
其他测评人员 |
12分 |
供应商为本项目配备的测评人员具备以下证书每有一个证书得2分,同一种证书不重复计分,此项最多得12分。 1.注册渗透测试专家CISP-PTS 2.工业互联网安全评估师证书(CIISA) 3.数据安全官证书(DSO) 4.网络信息安全职称证书 5.市级人力资源和社会保障局职称证书:网络安全服务工程师 6.注册数据安全治理专业人员(CISP-DSG) |
|||
5 |
技术能力25% |
技术方案 |
20分 |
投标人提供的密码安全性测评实施方案,方案应包括但不限于:①项目实施计划;②项目质量保证方案;③项目应急保障方案;④项目验收方案;⑤售后服务方案。每具有一项得4分,最多得20分。在此基础上,方案中存在缺陷或不足的,每1项中每有1处扣2分,每项最多扣4分,扣完为止。 注:缺陷或不足是指:凭空编造、方案中内容前后不一致、前后逻辑错误、涉及的规范及标准错误、地点区域错误、内容缺失等; |
|
实施能力 |
5分 |
1.投标人拥有网络安全密码测评数据分析系统,得1分。 2.投标人拥有网络密码信息安全测评系统,得1分。 3.投标人拥有密码应用安全性评估管理系统,得1分。 4.投标人拥有密码算法验证工具系统软件,得1分。 5.投标人拥有网络信息安全检查监管系统,得1分。 注:提供中华人民共和国国家版权局颁发的著作权登记证书复印件并加盖公章。 |
六、磋商者资格:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度(提供承诺函);
3.具有履行合同所必需的设备和专业技术能力(提供承诺函);
4.有依法缴纳税收和社会保障资金的良好记录(提供承诺函);
5.参加本次采购活动前三年内,在经营活动中没有重大违法记录;(公司成立不足三年的从成立之日起算)(提供承诺函);
6.供应商单位及其现任法定代表人、主要负责人在参加本次采购活动前三年内不得具有行贿犯罪记录;(公司成立不足三年的从成立之日起算)(提供承诺函);
7.授权参加本次采购活动的供应商代表证明材料。
8.具备法律、行政法规规定的其他条件;
9.截止到投标截止时间,在“信用中国”网站(****** )、中国政府采购网(****** )中被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人不允许参加本次政府采购活动
10.根据采购项目提出的特殊条件:
******管理局公告第******管理局认可的可在本地区、本行业(领域)开展密评试点的工作机构。(提供相关资料并加盖公司公章)
七、磋商文件须密封(1. 纸质标书正本一份,副本四份;2. 单独密封并提交一份加盖公章及完成签名的响应文件正本扫描件PDF电子版,电子文档保存介质使用 USB 闪存盘【U 盘】)
1.报价(包括本项目所需一切费用)。
2.营业执照正副本等复印件。
3.法定代表人参加磋商需提供法定代表人身份证明复印件;非法定代表人参加的,提供法定代表人授权委托书原件、法定代表人和授权代表身份证明复印件。
4.投标人按照招标项目的技术指标、技术要求及评分细则做出技术应答表(应答表需注明页码)。投标人的技术应答包括但不限于下列内容:①技术要求、公司实力、测评团队要求、技术能力等;②商务要求应答
5.公司情况介绍,优惠条件,服务承诺。
6.其他投标人认为需要提供的文件和资料。
八、报名时间:2024年10月30日至2024年11月06日17:00.
九、报名方式:邮箱报名:******(报名时上传公司资质压缩文件,邮件名为:三级信息系统密评服务报名文件+公司全称+联系人及电话)
十、磋商时间:2024年11月08日下午14:30(若有变动另行通知)迟到将被视为自动弃权。
十一、磋商地点:******医院******医院大门左侧住宅楼二楼)
十二、项目咨询电话:0816-****** 技术咨询电话:马老师******
十三、项目公示地点:绵阳四〇******医院信息平台、******医院门户网站 。
******医院
2024年10月30日