信息系统网络安全三级等保测评与商用密码应用安全性评估服务 项目 市场调查公告 我院拟对医院“网络安全三级等保测评与商用密码应用安全性评估服务”采购项目进行市场调查，欢迎符合条件的服务商前来参加，现将有关事项公告如下： 一、项目内容 采购“信息系统网络安全三级等保测评与商用密码应用安全性评估服务”1项。 二、报名资格要求 1、国内注册（指按国家有关规定要求注册的）生产或经营本项目的资质，具备法人资格的供应商。 2、对在“信用中国”网站(www.creditchina.gov.cn )、中国政府采购网(www.ccgp.gov.cn )等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合《中华人民共和国政府采购法》第二十二条规定条件的供应商，不得参与本次市场调查活动。 3、以上项目不接受联合体报名。 4、单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的市场调查活动。 5、提供同类项目销售业绩（如有）。 三、报名时间及方式 1、报名时间：本公告发布之日起至***年3月***日***:***截止。 2、报名资料及要求： ① 报名表：报名公司需按报名表格式（附件1）填写相关信息。 ② 报名材料：报价单(注明项目总价，并列出明细)；资质证明文件(单位技术资质、厂家授权书等) ③ 复函材料声明函（附件2）。 ④ 上述文件均要求盖公章并密封，在规定时间内将相关材料后提交至梧州市工人医院信息管理中心办公室。报名材料电子版请制作成一个压缩文件发送至邮箱***。邮件标题和压缩文件命名格式要求：XX项目市场调研-公司-联系人联系方式（如：XX市场调研-XX公司-小李XXXXXXXXXXX）。 四、注意事项 1、公告中（附件3）所列的采购需求为目前我院的初步需求，建议报名单位提供满足需求的同档次或更高档次配置。我院将针对项目的市场询价组织论证会，并根据论证结果确定采购预算控制价及完善最终采购需求。 2、本次公开的采购意向咨询是本单位采购工作的初步安排，具体采购项目情况以相关采购公告和采购文件为准。 五、联系事项 联系地址：梧州市万秀区高地路南三巷1号 联系部门：梧州市工人医院门诊住院综合楼6楼信息管理中心 联系人及联系电话：黄先生 *** 信息管理中心 ***年3月6日 附件1： XX公司报名表

公司名称	XX公司
联系人姓名	小李
身份证号码	XXXXXXXXXXXXXXXXXX
联系电话（手机）	1XXXXXXXXXX
联系电话（办公）	***X-XXXXXXX
邮箱	XXXXXXXXXXXXXX
报价（万元）	XX
项目交付时长（天）	XXX

单位名称（盖章）： 日  期：        年    月    日 附件2： 复函材料声明函 梧州市工人医院： 我公司已认真阅读了贵院此次编制的“信息系统网络安全三级等保测评与商用密码应用安全性评估服务”采购项目需求公告，充分知悉并了解了贵院采购需求调查内容信息。我方同意贵方无偿采用我方提交的全部或部分采购需求调查材料作为贵方采购需求的内容，并且无需贵方承担任何责任。 本公司将严格遵守上述事项，对所提供的所有材料真实性负责。 单位名称（盖章）： 联系人： 联系电话： 日期：         年     月     日 附件3： 《 信息系统网络安全三级等保测评与商用密码应用安全性 评估服务 》 项目需求参数 一、 等级保护测评服务 1.1 总的要求 依照《信息安全技术--信息系统安全等级保护基本要求》（GB/T ***）、《信息系统安全等级保护测评准则》要求，对采购人的两个网络安全等保三级信息系统（医院信息一体化与集成平台系统、互联网医院系统）分别开展三级等保测评，指导采购人制定整改方案和开展整改，并逐一出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。 1.2 依据标准 《计算机信息系统安全保护等级划分准则》（GB ***) 《信息安全等级保护管理办法》（公通字[***]***号） 《信息安全技术 网络安全等级保护定级指南》（GB/T ***） 《信息安全技术 网络安全等级保护基本要求》（GB/T ***） 《信息安全技术 网络安全等级保护测评要求》（GB/T ***） 《信息安全技术 网络安全等级保护测评过程指南》（GB/T ***) 《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T ***） 《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T ***） 1.3 测评内容 1.安全通用要求 安全通用要求测评内容应包括安全技术和安全管理两大类，其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。 2.安全扩展要求 应用了不同新技术的安全保护对象处于不同的应用场景中，面临不同的安全威胁，因此会有不同的安全需求，该保护对象涉及的安全扩展要求包括： （1）云计算 云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。 （2）移动互联 移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。 （3）物联网 物联网安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全运维管理等的测评。 （4）工业控制系统 工业控制系统安全测评包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理方面的测评。 （5）大数据 大数据安全测评包括对安全物理环境、安全通信网络、安全计算环境、安全运维管理等的测评。 1.4 测评方法 在测评实施过程中，应采用访谈、检查和测试、渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。 访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程； 检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程； 测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程； 渗透测试是模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法； 渗透测试是模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 1.5 交付成果 测评完成后，出具一式三份符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。 二、商用密码应用安全性评估 2.1总的要求 依据《中华人民共和国密码法》要求和系统自身的安全需求分析，对采购人的两个网络安全等保三级信息系统（医院信息一体化与集成平台系统、互联网医院系统）分别开展商用密码应用安全性评估，为重要网络和信息系统的密码安全提供科学评价，逐步规范网络运营者的密码使用和管理行为。 2.2技术标准 1.GB/T ***—***《信息安全技术 信息系统密码应用基本要求》 2.GM/T ***—***《信息系统密码应用测评要求》 3.GM/T ***—***《信息系统密码应用测评过程指南》 4.《商用密码应用安全性评估测评作业指导书（试行）》 5.《信息系统密码应用高风险判定指引》 6.《商用密码应用安全性评估量化评估规则》 2.3 实施方式 1.通用要求测评 核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。 2.密码技术应用要求测评 具体包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评，验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。 （1）物理和环境安全测评 针对物理和环境安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果由采购人确认。 （2）网络和通信安全测评 针对“身份鉴别”、“通信数据完整性”、“敏感信息或通信报文机密性”、“网络边界访问控制信息完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果由采购人确认。 （3）设备和计算安全测评 针对“身份鉴别”、“安全信息传输通道”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果由采购人确认。 （4）应用和数据安全测评 针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“数据原发行为不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片等），完成单项及单元测评结果判定。测评结果由采购人确认。 3.安全管理测评 从制度、人员、实施和应急四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能够确保密码技术被合规、正确、有效地实施。 （1）制度测评 针对“制定密码应用安全管理制度”、“制定密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”等制度方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果由采购人确认。 （2）人员测评 针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果由采购人确认。 （3）实施测评 针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”等实施方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果由采购人确认。 （4）应急测评 针对“应急措施”、“事件处置”、“向有关主管部门上报处置情况” 等应急方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果由采购人确认。 4.整体测评与风险评估 对系统进行整体安全测评，并依据《商用密码应用安全性评估量化评估规则》，对信息系统的密码应用情况给出定量评估结果。依据《信息系统密码应用高风险判定指引》判断系统是否存在高风险并分析相关风险可能对信息系统安全造成的影响，提交整体测评与风险评估结果。 2.4交付成果 测评完成后，基于测评结果，对系统出具符合国家密码管理局要求的商用密码应用安全性评估报告（一式三份），并协助采购人完成密评报告在广西壮族自治区密码管理局的备案工作。

相关热词搜索：

上一篇： 梧州市工人医院旧门诊楼、旧住院楼固定资产拆除搬运及可回收物资回收服务（重）评审结果公告 下一篇： 最后一页