梧州市工人医院信息一体化与集成平台系统商用密码应用评估服务采购公告2024-12-23
****信息一体化与集成平台系统商用密码应用评估服务采购公告
****信息一体化与集成平台系统商用密码应用评估服务采购公告
一、采购项目:
1.项目名称:****信息一体化与集成平台系统商用密码应用评估服务
2.服务需求:依据《中华人民**国密码法》、《商用密码应用安全性评估管理办法》、GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》等相关文件规定及绩效考核要求,对医院信息系统统进行密码应用情况进行全面测评。根据测评结果编制商用密码应用安全性评估报告,并配合****在广****管理局对商用密码应用安全性评估报告进行备案,重点对密码保障系统设计的正确性、合规性、有效性、以及实施计划、应急处置的科学性、可行性等进行审查论证。对在测评中发现的系统安全隐患和风险,提出切实可行的整改建议方案。
3.技术要求:
| 1.通用测评要求:核查医院信息一体化与集成平台系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。 |
| 2.密码应用技术评估要求:具体包括但不限于:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,政务信息系统密码应用与安全性评估、制定测评工作方案等,验证不**全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。 |
| 3.物理和环境安全测评: |
| 3.1物理和环****医院信息一体化与集成平台系统所在机房等重要区域的物理防护,物理机房的进出必须严格符合相关规范,并对相关人员进出信息实时记录,防止非法人员采用非法手段进出,防止出现人为物理破坏,防止造成不可逆的重大损失。 |
| 3.2针对 身份鉴别 、 电子门禁记录数据存储完整性 、 视频监控记录数据存储完整性 等物理和环境安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购人配合确认。 |
| 3.3物理和环境安全测评要求: (1)需要采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。 (2)需要采用密码技术保证电子门禁系统进出记录数据的存储完整性。 (3)需要采用密码技术保证视频监控音像记录数据的存储完整性。 |
| 4 .网络和通信安全测评: |
| 4.1网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护,密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性,以及网络边界访问控制和设备接入控制。 |
| 4.2针对 身份鉴别 、 通信数据完整性 、 通信过程中重要数据的机密性 、 网络边界访问控制信息的完整性 、 安全接入认证 等网络和通信安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购人配合确认。 |
| 4.3网络和通信安全测评要求内容: (1)采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。 (2)采用密码技术保证通信过程中数据的完整性。 (3)采用密码技术保证通信过程中重要数据的机密性。 (4)采用密码技术保证网络边界访问控制信息的完整性。 (5)采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。 |
| 5.设备和计算安全测评: |
| 5.1设备和计****医院信息一体化与集成平台系统中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性,以及系统**访问控制信息、设备的重要信息**安全标记、重要可执行程序、日志记录的完整性。 |
| 5.2针对 身份鉴别 、 远程管理通道安全 、 系统**访问控制信息完整性 、 重要信息**安全标记完整性 、 日志记录完整性 、 重要可执行程序完整性、重要可执行程序来源真实性 等设备和计算安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购人配合确认。 |
| 5.3设备和计算安全测评标准要求内容: (1)采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。 (2)远程管理设备时,应采用密码技术建立安全的信息传输通道。 (3)采用密码技术保证系统**访问控制信息的完整性。 (4)采用密码技术保证设备中的重要信息**安全标记的完整性。 (5)采用密码技术保证日志记录的完整性。 (6)采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。 |
| 6.应用和数据安全测评: |
| 6.1实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制,以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中,重要数据包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
| 6.2针对 身份鉴别 、 访问控制信息完整性 、 重要信息**安全标记完整性 、 重要数据传输机密性 、 重要数据存储机密性 、 重要数据传输完整性 、 重要数据存储完整性 、 不可否认性 等应用和数据安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。 |
| 6.3应用和数据安全测评标准要求内容: (1)采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。 (2)采用密码技术保证信息系统应用的访问控制信息的完整性。 (3)采用密码技术保证信息系统应用的重要信息**安全标记的完整性。 (4)采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。 (5)采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。 (6)采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。 (7)采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。 (8)在可能涉及法律责任认定的应用中, 采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。 |
| 7.密码应用管理要求测评: |
| 7.1从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能确保密码技术被合规、正确、有效的实施。 |
| 7.2管理制度:针对 具备密码应用安全管理制度 、 密钥管理规则 、 建立操作规程 、 定期修订安全管理制度 、 明确管理制度发布流程 、 制度执行过程记录留存 等制度方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。 |
| 8.管理制度标准要求内容: (1)具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度。 (2)根据密码应用方案建立相应密钥管理规则。 (3)对管理人员或操作人员执行的日常管理操作建立操作规程。 (4)定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。 (5)明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。 (6)具有密码应用操作规程的相关执行记录并妥善保存。 |
| 9.人员管理:针对 了解并遵守密码相关法律法规和密码管理制度 、 建立密码应用岗位责任制度 、 建立上岗人员培训制度 、 定期进行安全岗位人员考核 、 建立关键岗位人员保密制度和调离制度 等人员方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由采购方配合人员确认。 |
| 9.1人员管理标准要求内容: (1)相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。 (2)建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。 (3)根据密码应用的实际情况,设置密钥管理员、密码安全审。 |
| 9.2人员要求: (1)投标人应为本项目设置 1 个项目经理岗,项目经理岗配备的项目经理应具有三级及以上等保系统的密码测评经验;项目经理在信息系统密评期间应驻场采购人单位。 (2)投标人应为本项目设置不少于 1 个密码测评岗;密码测评人员应驻场采购人单位。以上岗位一岗一人,且人员不能重复;为保证项目的顺利进行,应根据项目的要求和采购方的要求临时加派密码测评人员。 (3)投标人为本项目设置的团队人员均需提供商用密码应用安全性评估人员能力合格证书。各项证明需提供原件扫描件(原件备查)并加盖聘用单位公章, |
3.服务要求包括但不限于:(1)开展密码测评工作,并依据相关文件模板,对测评范围内的信息系统****管理局****管理部门要求的密评报告;(2)根据测评结果,给出整改意见,****医院信息一体化与集成平台系统暴露出的密码应用安全问题进行整改;(3****管理局****管理部门关于规范商用密码应用安全性评估结果备案工作的通知,协助准备备案资料并完成密评备案工作;(4)协助采购人完成与密评相关的其他工作。(5)针对本项目提供技术、实施方案。等服务。
4.验收要求:合同签订之日起30个工作日内完成****信息系统统的商用密码应用安全性评估,出具对应系统的商用密码应用安全性评估报告。****管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。协助采购人完成评估结果的备案工作。
5.项目采购控制价(人民币含税):捌万元整(¥80000元)。
6.竞标形式:院内询价。
7.付款方式:本项目采用一次性付款方式结算。完成评估服务且验收合格后,成交商向采购人开具合同金额100%的发票和付款申请后,采购人在收到发票后向成交商支付100%合同款项****银行帐户。
二、资质要求:
1.满足《****政府采购法》第二十二条规定的条件。
2.国内注册(指按国家有关规定要求注册的),生产或经营技术性能达到本次采购服务要求,且具备法人资格的参选单位。
3.法定代表人为同一人的两个及两个以上法人,母公司、****公司****公司,不得在本项目招标中同时参加。
4.没有在 信用中国 网站(http://www.****.cn)、中国政府采购网(http://www.****.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
5.投标人必须是《商用密码应用安全性评估试点机构目录》【****管理局公告(第49号)】提供证书或证明复印件或原厂商授权书并加盖公章。
6.投标人近三年未受到省、区级及以上网络安全****小组处以警告、违规、整改等通报或处罚;若参与投标的投标人,经查实在相关处罚之列的,将列入企业失信名单,不得参与采购人任何项目采购。
三、响应文件递交及内容要求:
1.递交响应文件时间:截止至2024年12月30日11时,逾期递交的响应文件不受理。
3.法定代表人为同一人的两个及两个以上法人,母公司、****公司****公司,不得在本项目招标中同时参加。
4.没有在 信用中国 网站(http://www.****.cn)、中国政府采购网(http://www.****.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
5.投标人必须是《商用密码应用安全性评估试点机构目录》【****管理局公告(第49号)】提供证书或证明复印件或原厂商授权书并加盖公章。
6.投标人近三年未受到省、区级及以上网络安全****小组处以警告、违规、整改等通报或处罚;若参与投标的投标人,经查实在相关处罚之列的,将列入企业失信名单,不得参与采购人任何项目采购。
三、响应文件递交及内容要求:
1.递交响应文件时间:截止至2024年12月30日11时,逾期递交的响应文件不受理。
2.递交响应文件地点:****工勤楼7****办公室。
3.响应文件要求(均加盖红色公章):
(1)本项目总报价单,报价包含本项目中的相关设备及配套设备、劳务、进场、安装调试、管理、材料、维护、保险、交通、利润、税金、政策性文件规定的各项费用及所有风险、责任,请参选单位自行考虑报价。(不得超过本项目采购控制价,否则作无效报价处理)。
(2)本项目的联系方式,包括但不限于联系人、电话、电子邮箱。
(3)资格证明文件(必须提供):
①法定代表人(或负责人)身份证明书(自然人提供身份证有效期内的正反面复印件)。
②法定代表人(或负责人或自然人)授权委托书,委托代理人身份证明书(自然人提供身份证有效期内的正反面复印件)。若为法定代表人(或负责人或自然人)直接参加,本项内容可不提供。
③参选单位有效的主体资格证明复印件。(如是企业、个体工商户,提供在工商部门核发的有效营业执照正本或副本复印件;如是事业单位,****事业单位法人证书;如非企业专业服务机构的,提供有效的执业许可证等证明文件复印件。)
④截标前6个月内,任意1个月参选单位依法缴纳税(税款所属时间)或者无欠税证明复印件。无纳税记录的,应提供免税说明、由参选单位所在地主管税务部门出具的《依法纳税或依法免税证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑤截标前6个月内,任意1个月参选单位依法缴纳社会保险证明材料复印件,无缴费记录的,应提供由参选单位所在地社保部门出具的《依法缴纳或依法免缴社保费证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑥截标前6个月内,参选单位财务报表复印件,或者任意1个月银行出具的资信证明。参选单位属于成立时间在规定年度之后的法人或其他组织,需提供成立之日起至响应文件提交截止****银行出具的资信证明;资信证明应在有效期内,未注明有效期的,银行出具时间至响应文件提交截止时间不超过一年。或提****事务所出具的审计报告。
4.商务技术文件:
(1)本项目响应文件(一、采购项目_3技术要求各项进行应标技术参数响应)。
(2)本项目响应文件(二、资质要求第6项、第7项响应文件)。
(3)参选单位认为需要提供的其他有关资料。
5.其他要求:外包装袋填写项目名称、应标单位、联系方式。参选文件按响应文件要求项目排序装订成册,响应文件一式三份(1正、2副本)。所有文件均应加盖公章装订成册后包装,并在封口处加盖公章后递交(报名材料递交后不退)。文件无加盖公章、未装订成册或密封不符合要求的作无效投标处理。
四、开标时间及地点(投标人无需到现场):
1.开标时间:院内自行安排。
3.响应文件要求(均加盖红色公章):
(1)本项目总报价单,报价包含本项目中的相关设备及配套设备、劳务、进场、安装调试、管理、材料、维护、保险、交通、利润、税金、政策性文件规定的各项费用及所有风险、责任,请参选单位自行考虑报价。(不得超过本项目采购控制价,否则作无效报价处理)。
(2)本项目的联系方式,包括但不限于联系人、电话、电子邮箱。
(3)资格证明文件(必须提供):
①法定代表人(或负责人)身份证明书(自然人提供身份证有效期内的正反面复印件)。
②法定代表人(或负责人或自然人)授权委托书,委托代理人身份证明书(自然人提供身份证有效期内的正反面复印件)。若为法定代表人(或负责人或自然人)直接参加,本项内容可不提供。
③参选单位有效的主体资格证明复印件。(如是企业、个体工商户,提供在工商部门核发的有效营业执照正本或副本复印件;如是事业单位,****事业单位法人证书;如非企业专业服务机构的,提供有效的执业许可证等证明文件复印件。)
④截标前6个月内,任意1个月参选单位依法缴纳税(税款所属时间)或者无欠税证明复印件。无纳税记录的,应提供免税说明、由参选单位所在地主管税务部门出具的《依法纳税或依法免税证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑤截标前6个月内,任意1个月参选单位依法缴纳社会保险证明材料复印件,无缴费记录的,应提供由参选单位所在地社保部门出具的《依法缴纳或依法免缴社保费证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑥截标前6个月内,参选单位财务报表复印件,或者任意1个月银行出具的资信证明。参选单位属于成立时间在规定年度之后的法人或其他组织,需提供成立之日起至响应文件提交截止****银行出具的资信证明;资信证明应在有效期内,未注明有效期的,银行出具时间至响应文件提交截止时间不超过一年。或提****事务所出具的审计报告。
4.商务技术文件:
(1)本项目响应文件(一、采购项目_3技术要求各项进行应标技术参数响应)。
(2)本项目响应文件(二、资质要求第6项、第7项响应文件)。
(3)参选单位认为需要提供的其他有关资料。
5.其他要求:外包装袋填写项目名称、应标单位、联系方式。参选文件按响应文件要求项目排序装订成册,响应文件一式三份(1正、2副本)。所有文件均应加盖公章装订成册后包装,并在封口处加盖公章后递交(报名材料递交后不退)。文件无加盖公章、未装订成册或密封不符合要求的作无效投标处理。
四、开标时间及地点(投标人无需到现场):
1.开标时间:院内自行安排。
2.开标地点:****会议室。
3.特别说明:投标人应对本次招标如遇不可预计因素(如会议冲突等)导致开标时间及地点的适当变更表示理解。
五、开标结果及通知:
开标结果在****官网(http://www.gr-hospital.com/)公布。
六、联系方式:****市**区高地**三巷1号,****工勤楼7****办公室0774-****686。
****
2024年12月23日
3.特别说明:投标人应对本次招标如遇不可预计因素(如会议冲突等)导致开标时间及地点的适当变更表示理解。
五、开标结果及通知:
开标结果在****官网(http://www.gr-hospital.com/)公布。
六、联系方式:****市**区高地**三巷1号,****工勤楼7****办公室0774-****686。
****
2024年12月23日
招标导航更多>>
工程建筑
交通运输
环保绿化
医疗卫生
仪器仪表
水利水电
能源化工
弱电安防
办公文教
通讯电子
机械设备
农林牧渔
市政基建
政府部门
换一批
换一批