&

昆明市兒童醫院商用密碼應用安全性評估項目競爭性磋商公告

信息發布日期：2022.11.22 標簽：云南省招標昆明市招標醫院招標

加入日期：	2022.11.22
地區：	昆明市
關鍵詞：	醫院

招標公告正文

昆明市兒童醫院商用密碼應用安全性評估項目，歡迎符合資格條件的供應商前來參加。本次對昆明市兒童醫院商用密碼應用安全性評估項目采用競爭性磋商方式進行采購。

一、采購單位：昆明市兒童醫院

二、項目名稱：商用密碼應用安全性評估項目

預算金額：12萬元；

投標單位最終報價不得超過預算價。

項目目標和范圍:

本項目的宗旨在于通過對門戶網站（三級）開展商用密碼應用安全性評估工作，通過密碼評估，明確該系統的安全建設現狀，檢驗門戶網站系統在密碼應用方面是否符合國家相關規范和要求，密碼技術、密碼產品、密碼管理等方面是否符合相關標準，找出存在的安全風險，分析安全建設差距，提出安全整改建議，并以此為基礎，進一步制定安全建設整改方案，完善保護措施，使該系統滿足我國關于密碼應用的具體要求，增加信息系統安全的規范性和有效性，提高本單位的安全意識，增強網絡的抗攻擊的能力，保證被測系統正常運轉。

(一)評估范圍

本次評估項目的范圍包括如下信息系統：

門戶網站系統（三級）

(二)評估對象

評估對象涉及信息系統部署相關的機房、網絡環境、服務器、數據庫、應用、密碼技術產品和密碼服務、密鑰管理、安全管理等方面。

本系統評估的評估范圍及對象包括以下幾類：

1．機房的電子門禁系統和視頻監控系統。

2．整個系統的網絡拓撲結構。

3．需要采用密碼技術進行安全防護、承載被測系統主要業務或數據的服務器（包括其操作系統和數據庫）。

4．需要采用密碼技術進行安全防護的管理終端。

5．需要采用密碼技術進行安全防護的業務應用系統。

6．信息安全和密碼主管人員、各方面的負責人員、具體負責密碼管理的當事人、業務負責人***

7．涉及到信息系統密碼安全的所有管理制度和記錄。

(三)評估依據

評估單位應依據國家等級保護相關標準開展工作，依據標準包括但不限于如下國家標準：

1. GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》

2. 《信息系統密碼應用測評要求》

3. 《信息系統密碼應用測評過程指南》

4. 《信息系統密碼應用高風險判定指引》

5. 《商用密碼應用安全性評估量化評估規則》

6. 其它國家法律、法規要求

二、服務要求

(一)測評指標

根據被測信息系統密碼應用安全要求等級，選擇GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》中第三級別的安全要求作為本次測評工作的基本指標。

測評單元測評指標數量技術要求物理和環境安全身份鑒別、電子門禁記錄數據存儲完整性、視頻監控記錄數據存儲完整性3網絡和通信安全身份鑒別、通信數據完整性、通信過程中重要數據的機密性、網絡邊界訪問控制信息的完整性、安全接入認證5設備和計算安全身份鑒別、遠程管理通道安全、系統資源訪問控制信息完整性、重要信息資源安全標記完整性、日志記錄完整性、重要可執行程序完整性、重要可執行程序來源真實性6應用和數據安全身份鑒別、訪問控制信息完整性、重要信息資源安全標記完整性、重要數據傳輸機密性、重要數據存儲機密性、重要數據傳輸完整性、重要數據存儲完整性、不可否認性8管理要求管理制度具備密碼應用安全管理制度、密鑰管理規則、建立操作規程、定期修訂安全管理制度、明確管理制度發布流程、制度執行過程記錄留存6人員管理了解并遵守密碼相關法律法規和密碼管理制度、建立密碼應用崗位責任制度、建立上崗人員培訓制度、定期進行安全崗位人員考核、建立關鍵崗位人員保密制度和調離制度5建設運行制定密碼應用方案、制定密鑰安全管理策略、制定實施方案、投入運行前進行密碼應用安全性評估、定期開展密碼應用安全性評估及攻防對抗演習5應急處置應急策略、事件處置、向有關主管部門上報處置情況3合計41

(二)測評方法

密碼測評的主要方式有：訪談、檢查和測試。

訪談

訪談是指測評人員通過與信息系統有關人員（個人/群體）進行交流、討論等活動，獲取相關證據表明信息系統安全保護措施是否落實的一種方法。在訪談的范圍上，應基本覆蓋所有的安全相關人員類型，在數量上可以抽樣。

檢查

檢查是指測評人員通過對測評對象進行觀察、查驗、分析等活動，獲取證據以證明信息系統安全等級保護措施是否得以有效實施的一種方法。在檢查范圍上，應基本覆蓋所有的對象種類（設備、文檔、機制等），數量上可以抽樣。

測試

測試是指測評人員通過對測評對象按照預定的方法/工具使其產生特定的響應等活動，查看、分析響應輸出結果，獲取證據以證明信息系統安全等級保護措施是否得以有效實施的一種方法。在測試范圍上，應基本覆蓋不同類型的機制，在數量上可以抽樣。

測試過程需采用密碼專用分析工具對密碼算法實現等內容進行深度測試。

(三)測評原則

本次商用密碼應用安全性評估應滿足以下原則：

1、保密原則：對評估的過程數據和結果數據嚴格保密，未經授權不得泄露給任何單位和個人，不得利用此數據進行任何侵害招標人的行為，否則甲方有權追究責任。

2、規范性原則：評估工作中的過程和文檔，具有很好的規范性，可以便于項目的跟蹤和控制。

3、可控性原則：評估服務的進度要跟上進度表的安排，保證甲方對于評估工作的可控性。

4、整體性原則：評估的范圍和內容應當整體全面，包括國家商用密碼應用安全性評估相關要求涉及的各個層面。

5、最小影響原則：評估工作應盡可能小的影響系統和網絡，并在可控范圍內；評估工作不能對現有信息系統的正常運行、業務的正常開展產生任何影響，保證現有系統24小時的不間斷、穩定、安全運行。

6、非高峰期原則：漏洞掃描及工具測試時間，應盡量安排在夜間或法定節假日期間，制定切實可行的測試實施細則；對意外導致的宕機等，應提供應急保障方案，切實保證關鍵系統能正常工作。

評估單位應嚴格按照上述原則和商用密碼應用安全性評估相關標準開展項目實施工作。

(四)測評實施內容

1.信息系統備案

完成商用密碼應用安全性評估工作后，將評估結果報國家密碼管理部門備案。

2.商用密碼應用安全性評估

參照GB/T 39786-2021《信息安全技術信息系統密碼應用基本要求》檢查被測系統，從物理和環境安全、網絡和通信安全、設備和計算安全、應用和數據安全、管理制度、人員管理、建設運行、應急處置進行差距分析，對系統進行初次安全評估。

通過對系統現狀的分析和梳理，發現系統現有安全措施與等級保護基本要求的差距，提出安全整改建議，以指導后續安全整改工作。

（1）物理和環境安全：包括身份鑒別、電子門禁記錄數據存儲完整性、視頻監控記錄數據存儲完整性等內容。

（2）網絡和通信安全：包括身份鑒別、通信數據完整性、通信過程中重要數據的機密性、網絡邊界訪問控制信息的完整性、安全接入認證等內容。

（3）設備和計算安全：包括身份鑒別、遠程管理通道安全、系統資源訪問控制信息完整性、重要信息資源安全標記完整性、日志記錄完整性、重要可執行程序完整性、重要可執行程序來源真實性等內容。

（4）應用和數據安全：包括身份鑒別、訪問控制信息完整性、重要信息資源安全標記完整性、重要數據傳輸機密性、重要數據存儲機密性、重要數據傳輸完整性、重要數據存儲完整性、不可否認性等內容。

（5）管理制度：具備密碼應用安全管理制度、密鑰管理規則、建立操作規程、定期修訂安全管理制度、明確管理制度發布流程、制度執行過程記錄留存等內容。

（6）人員管理：涵蓋了解并遵守密碼相關法律法規和密碼管理制度、建立密碼應用崗位責任制度、建立上崗人員培訓制度、定期進行安全崗位人員考核、建立關鍵崗位人員保密制度和調離制度等內容。

（7）建設運行：涵蓋制定密碼應用方案、制定密鑰安全管理策略、制定實施方案、投入運行前進行密碼應用安全性評估、定期開展密碼應用安全性評估及攻防對抗演習等內容。

（8）應急處置：涵蓋應急策略、事件處置、向有關主管部門上報處置情況等內容。

3.咨詢服務

提供信息系統的密碼安全咨詢和整改建議等技術支持服務，涵蓋系統建設、運維、管理、技術等相關安全問題；協助開展單位內部網絡與密碼安全檢查工作。

4.安全意識和技能培訓

針對技術人員、管理層提供《密碼法》和商用密碼應用安全性評估的相關培訓工作。

5.應急支撐

服務范圍涵蓋影響系統運行的軟硬件故障、網絡攻擊等事件應急支撐服務。

(五)項目成果

本次針對門戶網站系統的密碼應用安全性評估，將出具至少以下成果報告：

《門戶網站系統密碼應用安全整改建議》

《門戶網站系統密碼應用安全性評估報告》

6、時間要求： 15天以內完成。

四：供應商資質要求：

1、營業執照

2、具有良好的資信狀況和財務狀況；

3、有依法繳納稅收和社會保障資金的良好記錄；參加政府采購活動前三年內，在經營活動中沒有重大違法記錄；

4、本項目的特定資格要求：

具備通過國家密碼管理局考核認可的安全性評估機構的證明文件，投標人須被列入國家密碼管理局2021年第42號文件發布的《商用密碼應用安全性評估試點機構目錄》。

5、本項目不接受聯合體的申請。

五、報名須知：

1、報名時間：2022年 11 月 18 日—2022年 11 月 23 日下午17：00(節假日正常休息)；

2、報名要求：

（1）、有效的、獨立法人營業執照副本、稅務登記證副本、組織機構代碼證副本原件或具有有效的三證合一的營業執照原件，復印件加蓋公章。

（2）、資質證書副本原件和加蓋鮮章的復印件。

（3）、法定代表人身份證明書（原件并附法定代表人身份證復印件）。

（4）、法定代表人授權委托書（原件并附被授權人身份證復印件）。

（5）、同類項目業績

以上資料中所需證件、證明資料的復印件均須加蓋有效公章，并將上述資料整理后裝訂成冊，經核查合格后方可領取采購文件

4、報名地址：***

聯系人：馬老師電話：***

備注：如有技術問題、看現場，請聯系信息技術部丁老師：63309041

十、競爭性磋商時間及競爭性磋商文件遞交截止時間、另行通知

十一、競爭性磋商地點：(前興路中段)昆明市兒童醫院后勤樓3樓中會議室

十二、詳細評審

綜合評分法：本項目采用綜合評分法進行評分。按照競爭性磋商文件中規定的評標方法和及以下評分標準，對資格性檢查和符合性檢查合格的競爭性磋商文件進行商務和技術評估，綜合比較與評價，評標委員會按以下公式計算出各投標人的總得分。

評審類別	評審因素	評審標準
報價評分	最終報價評審（20分）	最終報價按以下方法進行計算：總分20分。 F1=[C/（B1，B2，…，Bn）]×10 注：C為評標基準價，即滿足競爭性磋商文件要求且最終報價最低的；B1，B2，…，Bn為第n個經審查合格滿足競爭性磋商文件要求的有效報價。
商務評分	同類業績（滿分15分）	投標人提供近三年同類項目業績，每提供一份得2分，此項最高得15分。
商務評分	企業資質（滿分10分）	1、投標人具有ISO9001質量管理體系認證證書、ISO20000信息技術服務管理體系認證證書、ISO27001信息安全管理體系認證證書、ISO14001環境管理體系認證證書、ISO45001職業健康安全管理體系認證證書，每有1項得1分，最多得5分； 2、投標人具有CCRC信息安全應急處理服務資質證書（二級及以上），滿足此項得1分； 3、投標人具有網絡攻防實戰經驗，提供國家級護網行動相關榮譽證書，滿足此項得2分； 4、投標人具有網絡安全能力認證培訓機構授權證書，滿足此項得2分。
技術評分	團隊技術能力（滿分15分）	投標人擬投入本項目的項目經理須通過商用密碼應用安全性評估人員測評能力考核（提供成績合格證書），同時具備PMP（項目管理師證書）、注冊信息安全講師（CISI）證書，滿足此項得3分，不滿足不得分。
		投標人擬投入本項目的技術負責人***	***
		投標人提供擬投入本項目的項目組成員（不包含項目經理及技術負責人***	***
		投標人提供擬投入本項目的項目組成員具有國家互聯網應急中心頒發的網絡安全能力認證證書至少3人，滿足此項得3分，不滿足不得分。
	組織結構及項目團隊（滿分20分）	根據投標人項目實施團隊的組織結構和人員配備優劣進行比較打分：組織管理機構完善、合理，團隊人員構成專業性強、經驗豐富符合項目特點的，得12-20 分；組織管理機構健全、合理，團隊人員構成和專業性較好，相關經驗較豐富，符合項目需求的，得6-12分；組織管理機構和人員構成基本合理，專業性和相關經驗有欠缺或低于其他檔次投標人，得0-5 分。


	評估方案綜合評價（滿分20分）	根據投標人評估方案（技術服務完備程度、人員配備和團隊情況、響應程度）進行綜合比較打分：測評實施計劃合理，可操作性強，測評范圍闡述清晰，管理措施合理，完全滿足或優于招標要求，得13-20 分；測評實施計劃較合理，內容較詳細，管理措施較合理，可行性較好達到招標要求，得6-12分；方案內容有遺漏，措施欠合理，可行性較差或低于其他檔次投標人，得 0-5分。

八、最終得分

1、各評委應自主評分并簽字確認。各評委的評分應在評標委員會內進行公示，某個評委對某投標文件評分分值低于（高于）所有評委對該投標文件評分分值去掉最高和最低分值的平均分值10分以上（含10分）的，該評委須向評標委員會作出明確解釋，理由不充分的該評委應對其評分作修正，若拒不修正的，該評委對此投標文件的評分不得參與計算此投標文件的技術部分得分。

2.統計分數原則：計算算術平均分值為投標人的得分（保留小數點后兩位）。

3、根據投標人以上各項得分，匯總后即為該投標人的最終得分。投標人的最終得分將成為評標委員會向招標人推薦中標候選人的唯一依據。

九、推薦中標候選人

1、評標委員會在推薦中標候選人時，應遵照以下原則:

評標委員會按照最終得分由高至低的次序排列，將排序在前的投標人推薦為中標候選人。

2、推薦排名說明：按評審打分后各投標人的最終得分由高到低順序排列。若最終得分相等時，評標委員會將依次按技術部分得分高優先、價格部分得分高優先、商務部分得分高優先的順序推薦；所有得分均相等的，按有類似醫院服務業績的順序推薦中標候選人。

昆明市兒童醫院

2022.11.14

地區導航: 華東: 上海　江蘇　浙江　安徽　福建　江西　山東

華北: 北京　天津　河北　山西　內蒙古

東北: 遼寧　吉林　黑龍江

華南: 廣東　廣西　海南

西北: 陜西　甘肅　青海　寧夏　新疆

西南: 重慶　四川　貴州　云南　西藏

華中: 河南　湖北　湖南