湖南/长沙-2026-01-08 00:00:00
长沙市医疗保障事务中心:****长沙市医保局密码测评项目采购需求公开
被测系统
| 序号 | 系统名称 | 系统级别 |
| * | 长沙市精神病人医疗救助信息管理系统 | 二级 |
| * | 长沙市医疗保障局康复病组按价值付费系统 | 三级 |
三、总体要求
针对被测系统进行商用密码应用安全性评估,,对信息系统依据商用密码应用安全性评估相关标准进行符合性测评,通过测评以发现信息系统存在的密码应用安全性隐患和风险,对其安全状态做出判断,验证其是否符合商用密码应用要求,,并针对存在的安全问题提出安全防护相关合理化建议。
四、密码测评服务要求
(一)商用密码应用安全性评估服务要求
*.密码测评的目的
为全面贯彻总体国家安全观和网络强国战略,进一步提高信息的保障能力,根据《中华人民共和国密码法》的精神,依据**/* **********《信息安全技术 信息系统密码应用基本要求》、**/* **********《信息安全技术 信息系统密码应用测评要求》等统商用密码应用安全性评估标准规范开展商用密码应用安全性评估。
通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全奠定基础。
*.商用密码应用安全性评估工作依据
(*)《信息安全技术 信息系统密码应用基本要求》**/* **********;
(*)《信息安全技术 信息系统密码应用测评要求》**/* **********;
(*)《信息系统密码应用测评过程指南》**/* *********;
(*)《信息系统密码应用高风险判定指引》;
(*)《商用密码应用安全性评估量化评估规则》;
(*)项目涉及的其它相关国际、国内标准或规范。
*.测评活动
(*)工作过程分为四项基本测评活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。测评双方之间的沟通与洽谈贯穿整个测评过程。
①测评准备活动:本活动是开展测评工作的前提和基础,本活动的主要任务是掌握被测系统的详细情况,准备测评工具,为编制测评方案做好准备。
②方案编制活动:本活动是开展测评工作的关键活动,本活动的主要任务是确定与被测系统相适应的测评对象、测评指标及测评内容等,形成测评方案,为实施现场测评提供依据。
③现场测评活动:本活动是开展测评工作的核心活动。主要任务是按照测评方案的总体要求,分步实施所有测评项目,包括单项测评、测评单元和整体测评等方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的密码应用安全性问题。
④分析与报告编制活动:本活动是给出测评工作结果的活动,是总结被测系统商用密码整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《信息安全技术 信息系统密码应用基本要求》**/* **********等文件的有关要求,通过单项测评结果判定、测评单元结果判定、整体测评和风险分析等方法,找出整个系统商用密码的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出测评结论,形成测评报告文本。
*.整改咨询阶段
建设整改咨询工作以测评发现的问题为重点,编写信息系统密评整改建议;开展建设整改工作时,投标人提供建设整改相关的咨询服务。
*.商用密码应用安全性评估测评指标
| 安全要求类 | 安全层面 | 测评指标(三级) |
| 技术要求 | 物理和环境安全 | * |
| 网络和通信安全 | * | |
| 设备和计算安全 | * | |
| 应用和数据安全 | * | |
| 管理要求 | 管理制度 | * |
| 人员管理 | * | |
| 建设运行 | * | |
| 应急处置 | * | |
| 合计 | * | ** |
商用密码应用安全性评估包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置,共计*个安全层面。
(*)物理和环境安全
针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)网络和通信安全
针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)设备和计算安全
针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)应用和数据安全
针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)管理制度
针对“具备密码应用安全管理制度”、“密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”、“制度执行过程记录留存”等制度方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)人员管理
针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)建设运行
针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”等实施方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
(*)应急处置
针对“应急预案”、“事件处置”、“向有关主管部门上报处置情况” 等应急方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果应由被测单位配合人员确认。
*.其他服务
商用密码应用安全性评估要求、测评流程及测评内容等相关培训。从国家法规、国家密码标准、密码行业标准、密码要求规范等方面对被测单位进行培训,制作培训课件。重点包括密码应用要求、密码测评要求等,明确为被测单位提供现场答疑和整个项目工期内电话咨询服务。
二、相关标准:
商用密码应用安全性评估工作依据
(*)《信息安全技术 信息系统密码应用基本要求》**/* **********;
(*)《信息安全技术 信息系统密码应用测评要求》**/* **********;
(*)《信息系统密码应用测评过程指南》**/* *********;
(*)《信息系统密码应用高风险判定指引》;
(*)《商用密码应用安全性评估量化评估规则》;
(*)项目涉及的其它相关国际、国内标准或规范。
三、技术规格:
详见功能及要求
四、交付时间和地点:
*、服务期限:签订合同后一年内完成新一轮商用密码应用安全性评估报告。
*、服务地点:长沙市医疗保障事务中心。
五、服务标准:
详见功能及要求
六、验收标准:
二、验收标准:验收方式及标准 *.*.*本项目按照《关于加强长沙市政府采购项目履约验收工作的通知》(长财采购【****】*号)进行验收。 *.*.*项目验收国家有强制性规定的,按国家规定执行。 *.*.*验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担。 *.*.*项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
七、其他要求:
*、结算方式 *.*付款人:长沙市医疗保障事务中心(国库集中支付)。 *.*付款方式:付款方式,甲方拿到两个应用系统的商用密码应用安全性评估报告并通过验收后一次性全额支付。
对于上述项目要求,投标人应在响应文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
- 长沙市医疗保障事务中心:****长沙市医保局密码测评项目采购需求公开********** **:**:**发布
