服务

商用密码应用安全性评估服务

1

序号

名称

详细技术及配置要求，实质性要求，必须满足的条款标注▲

数量

单位

1

商用密码应用安全性评估服务

▲一、总体要求

依据《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基本要求》（GB/T39786-2021）要求和系统自身的安全需求分析，对桂林市妇女儿童医院HIS系统进行商用密码应用安全性评估，为重要网络和信息系统的密码安全提供科学评价，逐步规范网络运营者的密码使用和管理行为。

二、技术标准

l  《信息安全技术 信息系统密码应用基本要求》（GB/T39786-2021）

l  《信息系统密码应用测评要求（试行）》

l  《商用密码应用安全性评估测评过程指南（试行）》

l  《商用密码应用安全性评估测评作业指导书（试行）》

三、服务内容

（一）商用密码应用方案评估

依据中国密码学会密评联委会发布的《商用密码应用安全性评估报告模板》（2023版）对桂林市妇女儿童医院HIS系统商用密码应用方案开展评估工作，并出具《密码应用方案评估报告》。

方案评估要点：

Ø  文档结构是否完整

Ø  系统基本情况是否梳理充分

Ø  密码应用需求是否清晰明确

Ø  密码应用技术框架中密码协议、防护机制、密钥管理、密码应用子系统设计是否合理，能否满足安全需求和保障要求

Ø  密码产品应用和部署设计是否合理、正确

Ø  安全管理方案是否覆盖密码安全相关人员、制度、实施、应急等内容

Ø  实施保障方案中实施计划是否科学、合理，组织管理方法和保障是否合理有效

（二）商用密码应用安全性评估

依据《信息安全技术 信息系统密码应用基本要求》（GB/T39786-2021）等技术标准对桂林市妇女儿童医院HIS系统进行商用密码应用安全性评估工作，并出具符合要求的《商用密码应用安全性评估报告》。

1.实施方式

系统测评：及时发现系统脆弱性，识别变化的风险，了解系统安全状况，对照密码应用方案对系统开展测评。根据被测评对象的实际情况、所属行业及系统使用的密码产品情况，选择并确定测评依据。在系统真实环境下进行测评，以测评密码保障是否安全有效，密码使用是否合规、正确、有效。并通过测评发现系统存在的安全隐患和风险，提出可行性完善建议。

密码技术应用测评：物理安全密码测评、网络安全密码测评、主机安全密码测评、应用安全密码测评、数据安全及备份恢复密码测评。测评验证不同安全等级信息系统的商用密码应用是否达到具有相应安全等级的安全保护能力，是否满足相应安全等级的保护要求。

密钥管理测评：检测信息系统密钥管理各环节，包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。

安全管理测评：对制度、人员、实施和应急等四个方面安全管理的测评，并协助完善商用密码应用安全性管理制度，协助完善密码相关系统运维管理制度。

2.评估成果

针对被评估系统编制密码应用安全性评估报告，报告按照国家密码管理局要求包含的内容编制或参考模板编制。报告中应协助被评估单位认清风险，查找漏洞，找出差距，提出有针对性的加强完善密码安全管理和防护建议，并出具商用密码应用安全性评估报告。

四、服务资质

▲1、测评机构必须在国家密码管理局公告（第42号）的商用密码应用安全性评估试点机构目录中或提供国家密码管理局《国密局字[2021]183号通知》中审批通过的“可在本地区、本行业（领域）开展密码应用安全性评估业资质的密评机构名单”的相关证明材料。提供证书或证明复印件并加盖公章。

▲2、投入本项目的密评人员必须具有合格的商用密码应用安全性评估人员测评能力考核证书，项目组成人员至少3人。

3、测评机构在广西壮族自治区内设有常驻的机构提供本地化服务，请提供相关证明文件。

4、测评机构在广西壮族自治区内有医疗行业项目服务案例，以提供6份及以上为优，请提供相关证明文件。

▲5、投标人必须针对本项目提供技术、实施和售后服务方案。

▲6、投入本次密评项目负责人必须具有合格的商用密码应用安全性评估人员测评能力考核证书,在此基础上,还需具备公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的信息安全/网络安全等级高级测评师证书或网络安全等级中级测评师证书，请提供证书复印件。

7、因密评会涉及到采购人的整个数据中心ICT基础设施的各项评估，包含有存储、网络、数据库、虚拟化、网络安全设备等子系统，投标人提供的咨询服务团队应不少于五名工程师，至少1名工程师应具备华为存储认证专家HCIE证书，至少1名工程师应具备VMware数据中心虚拟化专家证书（VCP），至少1名工程师应具备Oracle   12c数据库专家证书（12c OCP），至少1名工程师应具备华为认证资深数通工程师（HCIP），至少2名工程师应具备中国信息安全测评中心颁发的《注册信息安全专业人员》证书（本条目描述的持证工程师，投标人应提供近期3个月社保证明）。

8、测评机构如具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》，请提供证书复印件。

9、测评机构如具备ISO20000信息技术服务管理体系认证证书，请提供证书复印件

10、投标人在中标后必须签署相关保密协议，严格遵守协议要求。

1项

二、商务要求

（一）售后服务要求

1.测评服务期要求：自服务合同签订之日起一年内。

2.服务期内要求：在测评过程中若产品发生技术问题或者故障，在接到采购人通知后30分钟内响应，2小时内到达故障现场处理，一般故障处理时限不超过4小时修复。

（二）测评服务交付期及地点

服务期限：

1.密码应用方案评估：投标人提交密码应用方案且通过采购人评审合格后15个工作日内，投标人出具《密码应用方案评估报告》。

2.商用密码应用安全性评估：

（1）自接到采购人通知进场之日起15个工作日内完成待测系统的商用密码应用安全性评估工作，若被测系统的评估结论为“基本符合”，投标人现场评估结束后25个工作日内提供该系统的商用密码应用安全性评估报告，投标人不提供复测服务，项目完结；

（2）若被测系统的初次评估结论为“不符合”，投标人在现场评估结束后15个工作日内提供该系统的整改建议或25个工作日内提供该系统的商用密码应用安全性评估报告（初测报告），经过采购人整改完成后与投标人确认复测日期(整改应在出具整改建议或初测报告之日起3个月内完成，若逾期未能完成整改的，投标人不再提供复测服务，项目完结)；

（3）若如期完成整改，自采购人出具项目复测通知书之日起 7个工作日完成该项目现场复测，复测完成后25个工作日内提供该项目的最终商用密码应用安全性评估报告，项目完结。

服务地点：广西壮族自治区内采购人指定地点。

（三）付款方式

采购人提交密码应用方案且通过投标人评审合格，于合同签订后首付合同价款的50%；测评完结且出具最终《商用密码应用安全性评估报告》后支付合同余款的50%，于三个月内付清（自出具最终《商用密码应用安全性评估报告》之日起）。

（四）验收要求

1.中标人提供的产品必须符合国家、行业的相关质量标准要求。

2.施工完成后，招标人现场根据招标文件要求、投标文件承诺以及国家相关标准、厂方标准进行验收，必要时，招标人有权邀请国家质量监督检验部门或国家认可的检测机构参与共同验收。如产品不满足招标文件要求、中标人投标承诺或国家、行业强制执行的相关质量标准要求以及产品制造厂家合格产品的出厂质量标准，招标人有权终止合同执行并全部退货，由此造成招标人的经济损失由中标人承担全部赔偿责任。

三、其他要求

1.报价供应商根据本项目采购需求及自身情况，可于报价文件中提供相应的售后服务方案，包含但不限于：①故障出现解决方案；②免费技术培训方案；③免费保修期外维修方案；④其它优惠方案等。

注：

1.本项目“采购需求”中标注“▲”条款以及采购需求中要求“必须提供”的条款均为实质性要求，若有一项负偏离，按响应无效处理。

2.本项目“技术需求”中未标注“▲”条款发生负偏离条款≥6项的，按响应无效处理。

报价（即合计金额）大写：                       元人民币（￥               ）

说明：供应商报价应包括本次采购范围内货物价款、货物随配标准附件、包装、运输、装卸、保险、税金、货到位以及安装、安装所需辅材、调试、检验、售后服务、培训、保修、验收及其他所有成本费用的总和，供应商应综合考虑在报价中。

（一）售后服务要求

（二）交货期及地点

（三）付款方式

（四）验收要求