我院拟对2024年度商用密码应用安全性评估服务项目进行采购，现面向社会公示，诚邀符合条件的供应商参加，请于2024年12月14日17:30之前报名。

一、采购项目：2024年度商用密码应用安全性评估服务项目

二、采购项目简介：

（一）拟采购方式：以价格作为授予合同的主要考虑因素。

（二）技术参数及性能要求：

1.测评依据：

《中华人民**国密码法》

《商用密码管理条例》

《网络安全等级保护条例（征求意见稿）》

《信息系统密码应用基本要求》（GM-T 0054-2018）

《信息安全技术 信息系统密码应用基本要求》（GB-T 39786-2021）

《信息安全技术 信息系统密码应用设计指南》（GB-T 43207—2023）

《信息系统密码应用实施指南》（GM-T 0132-2023）

《信息系统密码应用测评要求》（GM-T 0115-2021）

《信息安全技术 信息系统密码应用测评要求》（GB-T 43206-2023）

《信息系统密码应用测评过程指南》（GM-T 0116-2021）

《信息系统密码应用高风险判定指引》

《商用密码应用安全性评估量化评估规则》

《商用密码应用安全性评估报告模板》

如有最新规定按最新规定执行

2.总体服务内容：供应商对信息化测试及评估服务按照密码应用要求开展密码测评工作,依据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发，围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作，通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距，进行逐项分析、整体分析、量化评估、风险分析，为信息系统的密码应用建设提供工作建议，保障信息系统密码合规、正确、有效地应用。供应商需提供符合相关要求的商用密码应用安全性评估报告，****管理局备案。

3、具体服务内容：包含但不限于如下任务要求：

（1）开展密码测评工作，并依据相关文件模板，对信息化测试及评估服务****管理局****管理部门要求的密评报告；

（2）根据测评结果，给出整改意见，指导软件承建单位对被测系统暴露出的密码应用安全问题进行整改；

（3）根据测评需要承办专家评审会；

（4****管理局关于规范商用密码应用安全性评估结果备案工作的通知，协助准备备案资料并完成密评备案工作；

（5）对采购单位名称安全技术和密码管理人员开展相关培训;

（6）协助采购单位名称完成与密评相关的其他工作。

4.服务要求及标准

（1）评估流程：商用密码应用安全性评估过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购方之间的沟通与洽谈贯穿整个密码应用安全性评估过程。

①测评准备活动：根据供应商和采购方签订的委托测评协议书和被测信息系统规模，供应商组建测评项目组，从人员方面做好准备，并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单等。

②方案编制活动：根据已经了解到的被测信息系统情况，分析整个被测系

统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。

③现场测评活动：现场测评准备：召开测评现场首次会，供应商介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，

④测评时间安排，测评过程中可能存在的安全风险等，以便于后面的测评工作开展。供应商和采购方确认现场测评需要的各种**，包括采购方的配合人员和需要提供的测评条件等，确认被测信息系统已备份过系统及数据。采购方签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，供应商和采购方对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由采购方文档资料提供者签字确认。

⑤分析与报告编制活动：在现场测评工作结束后，供应商对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。

（2）密评应用技术要求：密码测评的目的是通过对采购单位指定的信息系统在密码应用技术要求和密码应用管理要求等方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评,深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为采购单位进一步完善系统安全策略及安全技术防护措施依据。依据GB/T 39786―2021《信息安全技术 信息系统密码应用基本要求》、GM/T 0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》等标准和系统自身的安全需求等，对被测系统进行密评工作，密码应用安全性评估的技术服务包括但不限于以下内容:

①通用测评要求：核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。

②密码应用技术要求测评：具体包括但不限于:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，制**全验证性测评工作方案，验证不**全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。

A物理和环境安全测评：物理和环境安全主要实现对****服务所在机房等重要区域的物理防护，物理机房的进出必须严格符合相关规范，并对相关人员进出信息实时记录，防止非法人员采用非法手段进出，如果出现人为物理破坏将造成不可逆的重大损失。针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

B标准要求内容：宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。宜采用密码技术保证视频监控音像记录数据的存储完整性。

C网络和通信安全测评：网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护，密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性，以及网络边界访问控制和设备接入控制。针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等)，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

D标准要求内容：应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。宜采用密码技术保证通信过程中数据的完整性。应采用密码技术保证通信过程中重要数据的机密性。宜采用密码技术保证网络边界访问控制信息的完整性。可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。

E设备和计算安全测评：设备和计算安全主要实现对信息化测试及评估服务中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性，以及系统**访问控制信息、设备的重要信息**安全标记、重要可执行程序、日志记录的完整性。针对“身份鉴别”、“远程管理通道安全”、“系统**访问控制信息完整性”、“重要信息**安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等)，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

F 标准要求内容：应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。远程管理设备时,应采用密码技术建立安全的信息传输通道。宜采用密码技术保证系统**访问控制信息的完整性。宜采用密码技术保证设备中的重要信息**安全标记的完整性。宜采用密码技术保证日志记录的完整性。宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。

G应用和数据安全：实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制，以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中，重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。针对“身份鉴别”、“访问控制信息完整性”、“重要信息**安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等)，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

H标准要求内容：应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。宜采用密码技术保证信息系统应用的访问控制信息的完整性。宜采用密码技术保证信息系统应用的重要信息**安全标记的完整性。应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。

（3）密码应用管理要求：从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能确保密码技术被合规、正确、有效的实施。

①管理制度：针对“具备密码应用安全管理制度”、“密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”、“制度执行过程记录留存”等制度方面采取的管理措施进行各项测评,详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

②标准要求内容：应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。应根据密码应用方案建立相应密钥管理规则。应对管理人员或操作人员执行的日常管理操作建立操作规程。应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。应具有密码应用操作规程的相关执行记录并妥善保存。

③人员管理：针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

④标准要求内容：相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。

1) 根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员等关键安全岗位;

2) 对关键岗位建立多人共管机制;

3)密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;

4) 相关设备与系统的管理和使用账号不得多人共用。应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。应定期对密码应用安全岗位人员进行考核。应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。

⑤建设运行：针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行**行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”等建设方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

⑥标准要求内容：应依据密码相关标准和密码应用需求,制定密码应用方案。应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节,各环节密钥管理要求照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》附录B。应按照应用方案实施建设。投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。在运行过程中,应严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。

⑦应急处置：针对“应急策略”、“事件处置”、“向有关主管部门上报处置情况”等应急方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。

⑧标准要求内容：应制定密码应用应急策略,做好应急**准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。事件发生后,应及时向信息系统主管部门进行报告。事件处置完成后,应及时向信息系统主管****管理部门报告事件发生情况及处置情况。

（三）商务要求：按照《中华人民**国网络安全法》及《中华人民**国密码法》等法律法规相关要求，对我院HIS系统（已通过等级保护三级测评）开展商用密码的应用安全性评估(简称“密码测评，即密评”)工作，以加强密码技术在信息系统中合规、正确和有效的应用，以确保HIS系统的安全稳定运行。

1.服务能力：

（1）除《****政府采购法》第二十二条规定的供应商应具备的条件外，采购人可以根据采购项目的特殊要求，规定供应商的特定资格条件，如国家或行业强制性标准等。

（2）响应供应****管理局发布的《商用密码应用安全评估试点机构目录》****管理局公告（第42号）内。（复印件加盖响应供应商公章（鲜章），原件备查）

（3）必须拥有kubernetes(K8S)容器集群架构的商用密码应用安全性评估能力。

（4）经年检的税务登记证书（复印件加盖响应供应商公章（鲜章），原件备查）

（5）经年检的税务登记证书（复印件加盖响应供应商公章（鲜章），原件备查）。

（6）法定代表人身份证明或附有法定代表人身份证明的授权委托书（原件）

（7）三年内无违规记录，出具承诺函并加盖公章。

2、服务案例：供应商应对商用密码应用安全性评估有成熟的解决方案,具有成功的实施案例。

3、人员要求：具备为开展商用密码的应用安全性评估提供专业技术团队的能力（复印件加盖响应供应商公章（鲜章），原件备查）。

4、培训要求：响应供应商应提供商用密码的应用安全性评估相关知识培训服务。

5、后续服务：

（1）本项目的目标是输出商用密码的应用安全性评估报告，并配合办理商用密码的应用安全性评估备案手续，该项目将产生一定数量的文档。

（2）响应供应商应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

（3）响应供应商应提交验收方案，供采购人参考。

（4）采购人将依据本项目的要求，组织相关部门或单位的技术专家对响应供应商提交的项目成果进行验收。

6、项目承诺：

（1）响应供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。

（2）保密性要求：响应供应商必须和采购人签订保密协议和非侵害性协议，响应供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给采购人。

（3）响应供应商具体测评工作和商用密码的应用安全性评估报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，响应供应商不得带离该地点。

（4）响应供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论响应供应商中标与否，其对上述内容的保密责任将长期存在。

（5）商用密码的应用安全性评估测评的品质保证：响应供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面密码测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。

7、其他

（1）响应供应商投标书中需要对响应供应商密码测评的过往实施情况做相应说明，并附详细资料。

（2）响应供应商应提供机构背景材料、密码测评专业资质及其他认为可以体现技术能力的资质。

（3）响应供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力**的组织方式、项目实施的管理方式、项目成员的角色和责任。

（4）响应供应商应提出需要采购人配合的工作事项。

（5）响应供应商应提供密码测评相关知识培训服务。

（6）测评结束后响应供应商应提供整改后的网络拓扑图、安全设备配置信息等相关技术文档。

（7）测评结束后期服务承诺：应标人在采购人现有信息系统等级不变的情况下，对采购人现有信息系统扩建的网络，提供安全性分析服务，并对发现的相关问题提出合理化建议。

8、质保及售后服务：应急响应服务：测****医院的信息系统提供一年内密码应用安全应急响应服务。

9、本项目实施工期及服务方案：

（1）项目要求在合同签订后90个日历日内完成密码测评要求的所有工作和资料交付。

（2）响应供应商应依据国家密码测评相关标准开展工作，依据标准包括但不限于如下国家标准：

l《信息系统密码应用基本要求》（GM-T 0054-2018）

l《信息安全技术 信息系统密码应用基本要求》（GB-T 39786-2021）

l《信息安全技术 信息系统密码应用设计指南》（GB-T 43207—2023）

l《信息系统密码应用实施指南》（GM-T 0132-2023）

l《信息系统密码应用测评要求》（GM-T 0115-2021）

l《信息安全技术 信息系统密码应用测评要求》（GB-T 43206-2023）

l《信息系统密码应用测评过程指南》（GM-T 0116-2021）

l《信息系统密码应用高风险判定指引》

l《商用密码应用安全性评估量化评估规则》

l《商用密码应用安全性评估报告模板》

10、知识产权：医院在中华人民**国境内使用供应商提供的系统及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控，供应商应承担由此而引起的一切法律责任和费用。未经医院同意，供应商不得以任何单位或个人名义，对外泄露或公开报告内容及相关文件资料、数据信息、重要结论等。

三、供应商应具备的条件及需要递交的资料：

（一）供应商应具备的条件

1.具有独立承担民事责任的能力（提供承诺函）；

2.具有良好的商业信誉和健全的财务会计制度（提供承诺函）；

3.具有履行合同所必需的设备和专业技术能力（提供承诺函）；

4.有依法缴纳税收和社会保障资金的良好记录（提供承诺函）；

5.参加采购活动前三年内，在经营活动中没有重大违法记录（提供承诺函）；

6.法律、行政法规规定的其他条件（提供承诺函）；

7.遵守国家法律法规，具有良好的信誉和诚实的商业道德，供应商在参加本次采购活动前的信用记录未列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信等行为（提供证明材料）；

8.所供的产品及服务符合国家相关法律法规及行业标准（提供承诺函）。

（二）供应商需递交的资料

1.承诺函、报名函、授权书、报价单、相关产业发展情况及市场供给情况、同类采购项目历史成交信息情况（见附件）；

2.中小企业承诺函（见附件）(非中小企业则不填）；

3.廉洁承诺书+防止利益冲突报备表（见附件）；

4.资质证明文件：营业执照等。按生产厂家及各级代****公司层级授权委托书、产品资质证件的顺序，明确体现证件齐全及各层级授权关系，包括营业执照、生产/经营许可证、医疗器械注册证/备案信息、彩页、产品使用说明书等，以上资质不涉及不提供；

5.采购项目技术参数、功能需求及商务要求响应情况（见附件）；

6.提交的所有资料须合法、真实、有效、清晰，并加盖鲜章，按以上顺序编订成册（一正两副共三份），并在首页编制目录，提交资料未按要求提供，医院有权拒绝签收。资料提交不完整的，视为报名不成功。

四、报名方式

方式一：报名截止时间前现场递交报名资料（备注：若报名截止时间处于非工作日，可先发送电子档至邮箱，纸质档资料顺延至工作日第一天现场递交）。

方式二：报名截止时间之前邮寄出报名资料并发送电子版至邮箱：****@qq.com后再电话联系通知，在邮寄的情况下未在截止时间内发送电子版视为未报名成功。

采购方式：线下采购，具体时间另行电话通知。未按通知时间到达现场签到视为放弃本项目。（参加采购****医院外自行停车，院区内停车主要为病人及家属提供）

五、联系方式

如有其他疑问，请及时联系，联系人：陶老师，电话：0813-****029（上班时间：08:00-12:00,14:30-17:30），邮寄地址：**市**灏一支路42号****采购科。1.采购封面.doc2.中小企业声明函.doc3.采购-服务类承诺函+报价单.doc4.****廉洁承诺书+防止利益冲突报备表（供应商）.doc5、采购项目技术参数、功能需求及商务要求响应情况.doc

****采购科

2024年12月11日