衢州市人民醫院決定就商用密碼應用安全性評估服務項目擬采用詢價方式進行采購，歡迎符合資格條件的供應商前來參加。

一、采購組織類型：自行采購

二、采購方式：詢價

三、采購預算：4.9萬元

四、采購內容：

五、依據標準：

《商用密碼應用安全性評估管理辦法》；

《信息安全技術 信息系統密碼應用基本要求》（GB/T 39786-2021）；

《信息系統密碼應用測評要求》；

《信息系統密碼應用測評過程指南》；

《信息系統密碼應用高風險判定指引》；

《商用密碼應用安全性評估量化評估規則》。

六、技術要求：

依據《信息安全技術 信息系統密碼應用基本要求》（GB/T39786-2021）、《信息系統密碼測評要求》、《信息系統密碼應用測評過程指南》、《信息系統密碼應用高風險判定指引》、《商用密碼應用安全性評估量化評估規則》等技術要求，逐一對信息系統進行密碼應用的合規性、正確性、有效性進行安全性評估，通過商用密碼應用安全性評估深入查找密碼應用的薄弱環節和安全隱患，分析面臨的風險，為提升信息系統安全奠定基礎。

七、測評內容：

測評的內容包括但不限于以下內容：

1、安全技術測評：包括物理和環境安全、 網絡和通信安全、 設備和計算安全、 應用和數據安全等四個方面的安全測評。

（1）物理和環境安全

測評類別	測評單元
安全技術測評-物理和環境安全	身份鑒別
	電子門禁記錄數據完整性
	視頻記錄數據完整性
	密碼產品
	密碼服務

 

（2）網絡和通信安全

測評類別	測評單元
安全技術測評-網絡和通信安全	實體鑒別
	通信數據完整性
	敏感信息或通信報文機密性
	網絡邊界訪問控制信息完整性
	安全接入認證
	密碼產品
	密碼服務

 

（3）設備和計算安全

測評類別	測評單元
安全技術測評-設備和計算安全	實體鑒別
	安全的信息傳輸通道
	系統資源訪問控制信息完整性
	重要信息資源安全標記完整性
	日志記錄完整性
	重要程序或文件完整性
	密碼產品
	密碼服務

 

（4）應用和數據安全

測評類別	測評單元
安全技術測評-應用和數據安全	實體鑒別
	訪問控制
	重要信息資源安全標記完整性
	數據傳輸機密性
	數據存儲機密性
	數據傳輸完整性
	數據存儲完整性
	不可否認性
	密碼產品
	密碼服務

 

2、安全管理測評：包括安全管理（分為制度、人員、建設和應急四個子模塊）的安全測評。

（1）管理制度

測評類別	測評單元
安全管理測評-管理制度	具備密碼應用安全管理制度
	密鑰管理規則
	建立操作規程
	定期修訂安全管理制度
	明確管理 制度發布流程
	制度執行過程記錄留存

 

（2）人員管理

測評類別	測評單元
安全管理測評-人員管理	了解并遵守密碼相關法律法規和密碼管理制度
	建立密碼應用崗位責任制度
	建立上崗人員培訓制度
	定期進行安全崗位人員考核
	建立關鍵崗位人員保密制度和調離制度

 

（3）建設運行

測評類別	測評單元
安全管理測評-建設運行	制定密碼應用方案
	制定密鑰安全管理策略
	制定實施方案
	投入運行前進行密碼應用安全性評估
	定期開展密碼應用安全性評估及攻防對抗演習

 

（4）應急處置

測評類別	測評單元
安全管理測評-應急處置	應急策略
	事件處置
	向有關主管部門上報處置情況

八、測評要求：

1、商用密碼應用安全性評估測評要求

（1）供應商應詳細描述本次項目的整體實施方案，包括項目概述、密評方案、測試過程中需使用測試設備清單、時間安排、階段性文檔提交和驗收標準等。

（2）供應商應詳細描述實施人員的組成、資質及各自職責的劃分。供應商應配置有經驗的技術人員進行本次項目實施，為保證項目順利實施供應商為國家密碼管理部門頒發的商用密碼產品檢測機構的優先考慮。

（3）本次項目實施過程中所使用到的各種工具軟件由供應商推薦，經采購人確認后由供應商提供并在項目中使用。在實施方案中應詳細描述所使用的安全技術工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環境和平臺的要求以及使用可能對系統造成的風險等，同時具備密碼測評的模擬驗證環境提供相應的計算機軟件著作權登記證書或專利證書。

（4）本次項目實施過程中所使用到的測評工具，應包括自主密碼專用檢測工具、 漏洞掃描工具等提供相應的計算機軟件著作權登記證書或專利證書，對系統數據進行分析，并以分析結果輔證評估報告。

2、項目實施要求

（1）實施方應保證投標項目在采購方條件成熟時應立即開展實施；

（2）實施方在項目實施過程中應服從采購方的統一領導和協調，采購方有權裁決實施方的責任范圍，實施方必須執行，在采購方限定的時間內解決問題。如果實施方不能按時完成測評內容，采購方有權中止項目、索賠或拒付款項；

（3）承擔本次項目的項目負責人應具備商用密碼產品檢測能力；

（4）承擔本次項目的項目經理應通過國家密碼管理局組織的商用密碼應用安全性評估人員測評能力考核；

（5）承擔本次項目測評駐場人員應具有密評檢測或安全服務相關的工作經驗，有較強的溝通協調能力；組長應具有密碼應用技術員等相關證書，并通過國家密碼管理局組織的商用密碼應用安全性評估人員測評能力考核且結果為優秀；

（6）項目驗收完成后，要求提供為期一年的測評咨詢服務。

九、供應商資格要求：

1.屬于國家密碼管理局下發的《關于同意開展商用密碼應用安全性評估試點工作的告知書》公文的接收單位，或在國家密碼管理局發布的《商用密碼應用安全性評估試點機構目錄》內；

2.符合《中華人民共和國政府采購法》第二十二條規定的各項條件；

3.符合《關于規范政府采購供應商資格設定及資格審查的通知》（浙財采監〔2013〕24號）第六條規定，且未被“信用中國”（www.creditchina.gov.cn）、中國政府采購網（www.ccgp.gov.cn）列入失信被執行人、重大稅收違法案件當事人名單、政府采購嚴重違法失信行為記錄名單；

4.不接受聯合體投標。

十、遞交投標文件截止及詢價時間：

2024年6月26日下午14時（北京時間）

十一、遞交投標文件及詢價地點：

衢州市柯城區閩江大道100號1號樓三樓信息處。

十二、遞交投標文件時應提供以下資料：

1.營業執照副本復印件（復印件加蓋單位公章）；

2.法人授權委托書原件、受委托人身份證復印件（復印件加蓋單位公章；授權書上須明確授權代表姓名、采購項目名稱、聯系電話）；

3.供應商資格證明文件。

十三、發布公告的媒體：

衢州市人民醫院官網

十四、聯系方式：

1.聯系人：劉先生，電話：0570-3121306；

2.聯系地址：衢州市柯城區閩江大道100號1號樓三樓信息處，郵政編碼：324000。