宿州市医保信息系统商用密码应用安全性评估服务采购项目询价公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
宿州市医保信息系统商用密码应用安全性评估服务采购项目进行询价采购,欢迎符合条件的供应商参加报价。
一、采购项目名称
1、项目名称:宿州市医保信息系统商用密码应用安全性评估服务采购项目。
2、采购方式:询价方式。
二、招标内容
(一)项目概况
根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号)及安徽省《关于加强政务信息系统密码应用与安全性评估工作的通知》(皖密局字〔202〕02号)、《安徽省政务信息化项目建设管理办法》皖数安〔2022〕2号等相关文件要求,对宿州市医疗保障信息平台(等保三级)开展商用密码应用安全性评估工作,保障信息系统密码合规、正确、有效地应用,进一步完善系统安全管理体系和技术防护体系,提高整体安全防护能力。
(二)服务需求
1、信息系统主要功能
宿州市医疗保障信息平台主要提供职工征缴、医保业务查询办理、参保人就医的备案报销,以及基金监管、审计、公共服务等。
2、主要服务范围
密码安全性评估范围:本次评估项目所涉及的全部建设内容。评估的范围应全面,涉及到拟评估系统的各个方面,包括信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全及密钥管理、安全管理和密码应用
服务等方面的具体措施。
3、基本要求
(1)应严格根据相关国家标准、行业标准和国家电子政务工程建设项目管理要求开展评估工作。
(2)评估内容包含但不局限于:依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法(试行)》、《信息系统密码产品要求(试行)》、《商用密码应用安全性评估测评过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》等标准规范、指导性文件及管理要求,从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面开展评估,根据被评估政务信息系统当前的安全状况,从对被评估信息系统密码使用的合规性、正确性、有效性等方面进行检测和验证技术能力,通过测评发现系统存在的安全隐患和风险,给出评估结果并提出有针对性的整改建议。
(3)按评估计划时间安排,组织评估业务需求分析、编写评估方案计划,并组织按计划实施评估,根据评估结果,编写并提交评估报告,保证评估内容与评估方案一致。
(4)保证评估人员实际投入工作量不低于计划数,并确保高质量与高效率。
(5)建立例会制度,严格管理项目人员及项目进度,确保评估工作按时保质完成。
6、在评估完成后,需出具符合国家电子政务工程建设项目管理要求的《商用密码应用安全性评估报告》,并在报告中明确做出总结性的评估结论。
4、技术要求与服务内容
(1)方案规划设计技术咨询。根据国家有关密码应用正确、合规、有效的要求以及拟评估项目的建设内容,提供密码应用技术方案以及规划设计咨询服务。
(2)开展密码应用安全性评估。依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、《信息系统密码测评要求(试行)》、《商用密码应用安全性评估测评过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》和系统自身的安全需求分析,对被评估平台进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。对被评估对象的商用密码应用安全性进行系统评估,及时发现系统脆弱性,识别变化的风险,了解系统安全状况。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
(3)密码技术应用测评。主要包括物理安全密码测评、网络安全密码测评、主机安全密码测评、应用安全密码测评、数据安全及备份恢复密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
(4)密钥管理测评。检测信息系统密钥管理各环节,包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。
(5)安全管理测评。对制度、人员、实施和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
(6)形成密码应用安全性评估相关报告
①密码应用安全评估报告。针对被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制,针对测评过程发现的问题出具安全测评整改报告。协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。
②审核汇总形成密码应用安全性评估总结报告。完成信息系统的密码应用性评估工作后,编制评估总结报告,对密评工作开展的情况,遇到的问题,密评结果数据、被评估单位上报的密码应用情况、梳理共性问题和个性问题,形成密码应用情况分析总结报告,提交纸质和电子版(光盘)。
(7)提供密码应用针对性培训。从国家政策法规、国家密码标准、密码行业标准、密码要求规范等方面对被评估单位进行培训,同时开展一次密码测评认证培训,重点包括密码应用要求、密码测评要求等,明确密码应用安全性评估的目的和意义。
(8)提供后续服务保障。在采购人系统改造后免费提供一次评估服务,针对医保使用的系统提供弱口令检测。
(9)服务交付物:中标人出具的《商用密码应用安全性评估报告》。
5、实施要求(服务要求)
(1)客观性和公正性要求:在最小主观判断情形下,按照双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
(2)保密要求:在测评过程中,需严格遵循保密原则,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄露,以及不得利用这些信息损害采购人利益。
(3)互动要求:在整个测评过程中,强调采购人的互动参与,每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整。
(4)最小影响要求:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经采购人同意后方可实施。
(5)规范性要求:测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
(6)质量保障要求:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
(7)中标人对本次负责测评的业务系统安全性负责,如在本项目安全服务期间因中标人原因导致业务系统出现安全事件,采购人有权上报监管部门进行处罚。
(8)中标人在合同履约时,还应对负责测评的信息系统进行不少于1次全面的安全渗透测试和安全风险评估,并出具安全渗透测试报告和安全风险评估报告。
(9)中标人合同签订后应提交详细的项目实施方案。
6、安全测评人员要求
(1)中标人应组织现场不少于2人的专业化团队,并向采购人提供参与本项目人员的有效联系方式(包括手机、办公电话、电子邮箱等)。
(2)中标人应为本项目成立项目组,由项目经理统一负责,项目经理须具有一定的技术管理知识和经验,能够容易地与客户沟通,能够很好地执行并完成测评服务工作,并能根据一些特殊的情况适当增加服务人员,接受采购人的统一管理。
(3)中标人派驻本项目的测评项目经理和测评服务人员必须固定,如有变更,须经采购人同意并签字确认,确保其人员的稳定性,项目组任一成员在项目实施过程中到现场的响应时间不大于2小时。
三、投标单位资质要求
1、满足《中华人民共和国政府采购法》第二十二条规定;
①具有独立承担民事责任的能力;
②具有良好的商业信誉和健全的财务会计制度;
③具有履行合同所必需的设备和专业技术能力;
④有依法缴纳税收和社会保障资金的良好记录;
⑤参加政府采购活动前三年内,在经营活动中没有重大违法记录;
2、投标人须具有有效的营业执照;
3、投标人需入围国家密码管理局商用密码应用安全性评估试点机构目录(国家密码管理局官网上公布的第42号公告)或者入围本地区、本行业(领域)开展密评试点工作的机构名单。
4、本项目不允许联合投标。
四、递交材料
1、正本1份,副本1份,正副本单独密封在一个档案袋,密封袋注明项目名称、询价人名称、报价人名称、请勿在“年月日时分之前启封”,骑缝处加盖报价人公章。递交时提供供应商的法定代表人提供身份证明书或其委托的代理人应提供有效的法定代表人的授权委托书。
2、格式详见附件。
五、具体要求
1、以上所有项目均含符合甲方要求的发票(增值税普通发票、增值税专用发票);
2、项目最高限价:9万元,总价包含完成本包项目期间所产生的一切费用。
六、报价材料提交期限
1、报价材料提交截止时间:2023年11月16日17时00分;
2、地点:宿州市埇桥区银河一路530号市医疗保障局605室;
七、中标方式
本次询价以最低中标,如满足招标文件要求的投标人最低报价相同时,已采购人摇号选取为准。
八、联系方式
单位名称:宿州市医疗保障局
联系人:王茂;联系方式:3060369
2023年11月13日
询价响应文件格式.docx
一、采购项目名称
1、项目名称:宿州市医保信息系统商用密码应用安全性评估服务采购项目。
2、采购方式:询价方式。
二、招标内容
(一)项目概况
根据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57号)及安徽省《关于加强政务信息系统密码应用与安全性评估工作的通知》(皖密局字〔202〕02号)、《安徽省政务信息化项目建设管理办法》皖数安〔2022〕2号等相关文件要求,对宿州市医疗保障信息平台(等保三级)开展商用密码应用安全性评估工作,保障信息系统密码合规、正确、有效地应用,进一步完善系统安全管理体系和技术防护体系,提高整体安全防护能力。
(二)服务需求
1、信息系统主要功能
宿州市医疗保障信息平台主要提供职工征缴、医保业务查询办理、参保人就医的备案报销,以及基金监管、审计、公共服务等。
2、主要服务范围
密码安全性评估范围:本次评估项目所涉及的全部建设内容。评估的范围应全面,涉及到拟评估系统的各个方面,包括信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全及密钥管理、安全管理和密码应用
服务等方面的具体措施。
3、基本要求
(1)应严格根据相关国家标准、行业标准和国家电子政务工程建设项目管理要求开展评估工作。
(2)评估内容包含但不局限于:依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、《商用密码应用安全性评估管理办法(试行)》、《信息系统密码产品要求(试行)》、《商用密码应用安全性评估测评过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》等标准规范、指导性文件及管理要求,从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面开展评估,根据被评估政务信息系统当前的安全状况,从对被评估信息系统密码使用的合规性、正确性、有效性等方面进行检测和验证技术能力,通过测评发现系统存在的安全隐患和风险,给出评估结果并提出有针对性的整改建议。
(3)按评估计划时间安排,组织评估业务需求分析、编写评估方案计划,并组织按计划实施评估,根据评估结果,编写并提交评估报告,保证评估内容与评估方案一致。
(4)保证评估人员实际投入工作量不低于计划数,并确保高质量与高效率。
(5)建立例会制度,严格管理项目人员及项目进度,确保评估工作按时保质完成。
6、在评估完成后,需出具符合国家电子政务工程建设项目管理要求的《商用密码应用安全性评估报告》,并在报告中明确做出总结性的评估结论。
4、技术要求与服务内容
(1)方案规划设计技术咨询。根据国家有关密码应用正确、合规、有效的要求以及拟评估项目的建设内容,提供密码应用技术方案以及规划设计咨询服务。
(2)开展密码应用安全性评估。依据GB/T39786-2021《信息安全技术信息系统密码应用基本要求》、《信息系统密码测评要求(试行)》、《商用密码应用安全性评估测评过程指南(试行)》、《商用密码应用安全性评估测评作业指导书(试行)》和系统自身的安全需求分析,对被评估平台进行商用密码应用安全性评估,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。对被评估对象的商用密码应用安全性进行系统评估,及时发现系统脆弱性,识别变化的风险,了解系统安全状况。根据被评估对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险,提出可行性完善建议。
(3)密码技术应用测评。主要包括物理安全密码测评、网络安全密码测评、主机安全密码测评、应用安全密码测评、数据安全及备份恢复密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力,是否满足相应安全等级的保护要求。
(4)密钥管理测评。检测信息系统密钥管理各环节,包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。
(5)安全管理测评。对制度、人员、实施和应急等四个方面安全管理的测评,并协助完善商用密码应用安全性管理制度,协助完善密码相关系统运维管理制度。
(6)形成密码应用安全性评估相关报告
①密码应用安全评估报告。针对被评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制,针对测评过程发现的问题出具安全测评整改报告。协助被评估单位认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议。
②审核汇总形成密码应用安全性评估总结报告。完成信息系统的密码应用性评估工作后,编制评估总结报告,对密评工作开展的情况,遇到的问题,密评结果数据、被评估单位上报的密码应用情况、梳理共性问题和个性问题,形成密码应用情况分析总结报告,提交纸质和电子版(光盘)。
(7)提供密码应用针对性培训。从国家政策法规、国家密码标准、密码行业标准、密码要求规范等方面对被评估单位进行培训,同时开展一次密码测评认证培训,重点包括密码应用要求、密码测评要求等,明确密码应用安全性评估的目的和意义。
(8)提供后续服务保障。在采购人系统改造后免费提供一次评估服务,针对医保使用的系统提供弱口令检测。
(9)服务交付物:中标人出具的《商用密码应用安全性评估报告》。
5、实施要求(服务要求)
(1)客观性和公正性要求:在最小主观判断情形下,按照双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
(2)保密要求:在测评过程中,需严格遵循保密原则,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄露,以及不得利用这些信息损害采购人利益。
(3)互动要求:在整个测评过程中,强调采购人的互动参与,每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整。
(4)最小影响要求:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经采购人同意后方可实施。
(5)规范性要求:测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
(6)质量保障要求:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
(7)中标人对本次负责测评的业务系统安全性负责,如在本项目安全服务期间因中标人原因导致业务系统出现安全事件,采购人有权上报监管部门进行处罚。
(8)中标人在合同履约时,还应对负责测评的信息系统进行不少于1次全面的安全渗透测试和安全风险评估,并出具安全渗透测试报告和安全风险评估报告。
(9)中标人合同签订后应提交详细的项目实施方案。
6、安全测评人员要求
(1)中标人应组织现场不少于2人的专业化团队,并向采购人提供参与本项目人员的有效联系方式(包括手机、办公电话、电子邮箱等)。
(2)中标人应为本项目成立项目组,由项目经理统一负责,项目经理须具有一定的技术管理知识和经验,能够容易地与客户沟通,能够很好地执行并完成测评服务工作,并能根据一些特殊的情况适当增加服务人员,接受采购人的统一管理。
(3)中标人派驻本项目的测评项目经理和测评服务人员必须固定,如有变更,须经采购人同意并签字确认,确保其人员的稳定性,项目组任一成员在项目实施过程中到现场的响应时间不大于2小时。
三、投标单位资质要求
1、满足《中华人民共和国政府采购法》第二十二条规定;
①具有独立承担民事责任的能力;
②具有良好的商业信誉和健全的财务会计制度;
③具有履行合同所必需的设备和专业技术能力;
④有依法缴纳税收和社会保障资金的良好记录;
⑤参加政府采购活动前三年内,在经营活动中没有重大违法记录;
2、投标人须具有有效的营业执照;
3、投标人需入围国家密码管理局商用密码应用安全性评估试点机构目录(国家密码管理局官网上公布的第42号公告)或者入围本地区、本行业(领域)开展密评试点工作的机构名单。
4、本项目不允许联合投标。
四、递交材料
1、正本1份,副本1份,正副本单独密封在一个档案袋,密封袋注明项目名称、询价人名称、报价人名称、请勿在“年月日时分之前启封”,骑缝处加盖报价人公章。递交时提供供应商的法定代表人提供身份证明书或其委托的代理人应提供有效的法定代表人的授权委托书。
2、格式详见附件。
五、具体要求
1、以上所有项目均含符合甲方要求的发票(增值税普通发票、增值税专用发票);
2、项目最高限价:9万元,总价包含完成本包项目期间所产生的一切费用。
六、报价材料提交期限
1、报价材料提交截止时间:2023年11月16日17时00分;
2、地点:宿州市埇桥区银河一路530号市医疗保障局605室;
七、中标方式
本次询价以最低中标,如满足招标文件要求的投标人最低报价相同时,已采购人摇号选取为准。
八、联系方式
单位名称:宿州市医疗保障局
联系人:王茂;联系方式:3060369
2023年11月13日
询价响应文件格式.docx
微信扫码关注
