葫芦岛市医疗保障信息平台密码测评服务项目竞争性磋商公告

★（一）履约期限及履约地点

1.履约期限：自合同签订后60个工作日完成（具体起止日期已签订合同为准）

2.履约地点：葫芦岛市龙港区（采购人指定地点）

★（二）付款方式

   项目完成并验收合格后一次性支付。

（三）服务内容、需满足的质量、安全、技术规格等要求

1.总体要求

供应商对信息化测试及评估服务按照密码应用要求开展密码测评工作,依据GB/T 39786-2021《信息安全技术信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发，围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作，通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距，进行逐项分析、整体分析、量化评估、风险分析，为信息系统的密码应用建设提供工作建议，保障信息系统密码合规、正确、有效地应用。供应商需提供符合相关要求的商用密码应用安全性评估报告，并协助在当地密码管理局备案。

★2.具体服务内容

2.1商用密码应用安全性评估过程

商用密码应用安全性评估过程应分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商和采购人之间的沟通与洽谈应贯穿整个密码应用安全性评估过程。

1）测评准备活动

根据供应商和采购人签订的委托测评协议书和被测信息系统规模，供应商组建测评项目组，从人员方面做好准备，并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单。

2）方案编制活动

供应商应根据已经了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。

3）现场测评活动

现场测评准备：召开测评现场首次会，供应商应负责介绍测评工作，交流测评信息，进一步明确测评计划和测评方案中的内容，说明测评过程中具体的实施工作内容，测评时间安排，测评过程中可能存在的安全风险，以便于后面的测评工作开展。供应商和采购人确认现场测评需要的各种资源，包括采购人的配合人员和需要提供的测评条件，确认被测信息系统已备份过系统及数据。采购人签署现场测评授权书。密评人员根据会议沟通结果，对测评结果记录表单和测评程序进行必要的更新。测评项目组根据密评方案以及现场测评准备的结果，安排密评人员在现场完成测评工作，汇总现场测评的测评记录；召开测评现场结束会，供应商和采购人对测评过程中发现的问题进行现场确认；密评机构归还测评过程中借阅的所有文档资料，并由采购人文档资料提供者签字确认。

4）分析与报告编制活动

在现场测评工作结束后，供应商应对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。

2.2密评应用技术要求

（1）密码测评的目的

密码测评的目的是通过对采购单位指定的信息系统在密码应用技术要求和密码应用管理要求方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评,深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为采购单位进一步完善系统安全策略及安全技术防护措施依据。

（2）技术标准要求

供应商应依据GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》、GM/T0115-2021《信息系统密码应用测评要求》、GM/T 0116-2021《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》标准和系统自身的安全需求，对被测系统进行密评工作，密码应用安全性评估的技术服务包括以下内容:

1）通用测评要求

核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。

2）密码应用技术要求测评

具体应包括:物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，制定安全验证性测评工作方案，验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。

（3）物理和环境安全测评

物理和环境安全主要实现对信息化测试及评估服务所在机房重要区域的物理防护，物理机房的进出必须严格符合相关规范，并对相关人员进出信息实时记录，防止非法人员采用非法手段进出，如果出现人为物理破坏将造成不可逆的重大损失。

针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”物理和环境安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片），完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

标准要求内容：

l宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。

l宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。

l宜采用密码技术保证视频监控音像记录数据的存储完整性。

（4）网络和通信安全测评

1）网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护，密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性，以及网络边界访问控制和设备接入控制。针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”网络和通信安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片)，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

2）标准要求内容

① 应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。

② 宜采用密码技术保证通信过程中数据的完整性。

③ 应采用密码技术保证通信过程中重要数据的机密性。

④ 宜采用密码技术保证网络边界访问控制信息的完整性。

⑤ 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。

（5）设备和计算安全测评

1）设备和计算安全主要实现对信息化测试及评估服务中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性，以及系统资源访问控制信息、设备的重要信息资源安全标记、重要可执行程序、日志记录的完整性。

2）针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”设备和计算安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片)，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

3）标准要求内容

① 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。

② 远程管理设备时,应采用密码技术建立安全的信息传输通道。

③ 宜采用密码技术保证系统资源访问控制信息的完整性。

④ 宜采用密码技术保证设备中的重要信息资源安全标记的完整性。

⑤ 宜采用密码技术保证日志记录的完整性。

⑥ 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。

（6）应用和数据安全

1）应实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制，以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中，重要数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”应用和数据安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片)，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

2）标准要求内容

① 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。

② 宜采用密码技术保证信息系统应用的访问控制信息的完整性。

③ 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。

④ 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。

⑤ 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。

⑥ 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。

⑦ 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。

l在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。

2.3密码应用管理要求

供应商应从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能确保密码技术被合规、正确、有效的实施。

（1）管理制度

1）供应商应针对“具备密码应用安全管理制度”、“密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”、“制度执行过程记录留存”制度方面采取的管理措施进行各项测评,详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

2）标准要求内容l

① 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理制度。

② 应根据密码应用方案建立相应密钥管理规则。

③ 应对管理人员或操作人员执行的日常管理操作建立操作规程。

④ 应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。

⑤ 应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。

⑥ 应具有密码应用操作规程的相关执行记录并妥善保存。

（2）人员管理

1）针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”人员方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

2）标准要求内容

① 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。

② 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。

A.根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员关键安全岗位;

B.对关键岗位建立多人共管机制;

C.密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;

D.相关设备与系统的管理和使用账号不得多人共用。

③ 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。

④ 应定期对密码应用安全岗位人员进行考核。

⑤ 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。

（3）建设运行

1）针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”建设方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

2）标准要求内容

① 应依据密码相关标准和密码应用需求,制定密码应用方案。

② 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节, 各环节密钥管理要求照 GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》附录 B。

③ 应按照应用方案实施建设。

④ 投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。

⑤ 在运行过程中,应严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。

（4）应急处置

1）针对“应急策略”、“事件处置”、“向有关主管部门上报处置情况”应急方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。

2）标准要求内容

① 应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。

② 事件发生后,应及时向信息系统主管部门进行报告。

③ 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况

★（四）需执行的国家相关标准、行业标准、地方标准或者其他标准、规范

1.GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》

2.GM/T 0115-2021《信息系统密码应用测评要求》

3.GM/T 0116-2021《信息系统密码应用测评过程指南》

4.其他标准规范及技术要求详见“（三）服务内容、需满足的质量、安全、技术规格等要求”

★（五）验收标准及方法

1.验收标准

(1)流程完整性：测评工作需完成测评准备、方案编制、现场测评、分析与报告编制四个基本活动，每个活动的成果文件（项目计划书、测评方案、测评记录、评估报告）需齐全且符合要求。

(2)报告合规性：商用密码应用安全性评估报告需符合国家密码管理相关标准，内容涵盖测评对象、测评指标、测评过程、测评结果、风险分析及改进建议，且经采购人确认无异议。

(3)备案协助：供应商需成功协助采购人在当地密码管理局完成备案，获取备案相关证明材料。

(4)问题整改：针对测评过程中发现的问题，供应商需提供合理的整改建议，采购人依据建议整改后，相关密码应用隐患需得到消除或缓解。

2.验收方法

(1)验收程序：由采购人组织验收

(2)成果文件审查：采购人组织人员审查供应商提交的项目计划书、测评方案、测评记录、评估报告等成果文件，核查文件内容的完整性、准确性与合规性。

(3)现场核验：采购人对测评过程中的关键环节（如现场测评记录、配置截图、抓包分析截图等）进行现场核验，确认测评工作的真实性与有效性。

★（六）质量保证和售后服务要求

1.质量保证要求

服务期限内，若因供应商测评工作失误导致测评结果不准确、评估报告不符合要求或备案失败，供应商应重新开展测评工作，直至满足采购人需求。

供应商需建立质量保障机制，对测评过程中的每个环节进行质量管控，安排专人负责质量检查，确保测评工作质量符合相关标准与采购要求。

2.售后服务要求

（1）咨询响应效率

对于采购人的电话、邮件等咨询，供应商需在24小时内完成首次响应，复杂问题需在3个工作日内给出完整解决方案。

（2）现场服务效率

需现场协助的问题，供应商需在收到采购人需求后 48 小时内抵达现场，一般问题需在 1 个工作日内解决，复杂问题需在 3 个工作日内解决（特殊情况需签订延期协议）。

（3）售后服务期限

自商用密码应用安全性评估报告出具并完成备案之日起，售后服务期限不少于1年；服务期限届满后，采购人若有继续服务需求，双方可另行协商服务内容与费用，供应商应优先提供服务。

（4）技术培训

售后服务期限内，供应商需免费为采购人提供至少 1 次密码应用相关技术培训，内容包括密码应用标准解读、系统密码安全维护等，帮助采购人提升密码应用管理能力。

（5）信息更新

若国家密码管理相关标准、政策发生变化，供应商需及时告知采购人，并提供相关政策解读与应对建议，协助采购人做好系统密码应用调整工作。

★（七）保密要求

1.信息保密要求

测评相关信息保密供应商应对测评过程中获取的所有信息严格保密，包括但不限于：被测信息系统的架构设计、网络拓扑、设备配置信息、业务数据（含鉴别数据、重要业务数据、重要个人信息等）、密码应用方案、密钥管理规则，以及采购方提供的各类文档资料（如系统备份数据、管理制度文件）。严禁以任何形式（纸质复印、电子拷贝、口头传播）向第三方泄露，且不得将上述信息用于本项目测评以外的其他用途。

测评成果保密商用密码应用安全性评估报告（含初稿、终稿）、现场测评记录（访谈记录、配置截图、抓包分析截图）、风险分析数据等测评成果，属于采购方敏感信息，供应商需按采购方要求进行保密管理。报告仅可提供给采购方及当地密码管理局备案使用，未经采购方书面许可，不得向其他单位或个人提供；测评过程中产生的电子记录需加密存储，纸质记录需锁存于安全柜，避免信息外泄。

2.人员保密要求

保密意识与责任供应商需确保项目组所有成员（含项目经理、测评工程师、技术支持人员）了解并遵守国家密码相关法律法规及采购方保密规定，明确 “谁接触、谁负责” 的保密原则。项目启动前，所有成员需签署《项目保密承诺书》，承诺对接触的敏感信息承担保密义务，若发生泄密需承担相应法律责任，该要求与文档 “3.2 人员管理” 中 “建立关键人员保密制度” 条款直接对应。

参与项目的核心人员应通过供应商内部保密审查，确保无不良记录；供应商不得随意更换项目组成员，若确需更换，需经采购人确认，避免因人员流动导致泄密风险。