Av天堂一区二区三区|AV综合网站一区|a在线观看欧美在线观看|yellow精品在线观看免费观看视频

根據(jù)醫(yī)院發(fā)展需要，按照醫(yī)院決定，擬對(duì)下列項(xiàng)目進(jìn)行競(jìng)爭(zhēng)性磋商采購(gòu)。歡迎符合相應(yīng)要求的供應(yīng)商參加談判，具體事項(xiàng)如下： 

1. 采購(gòu)項(xiàng)目?jī)?nèi)容

   三級(jí)信息系統(tǒng)密評(píng)服務(wù), 測(cè)評(píng)系統(tǒng)數(shù)量：1個(gè)，限價(jià):9.5萬(wàn)元。

   二、功能及技術(shù)參數(shù)要求：

   （一）、測(cè)評(píng)依據(jù)：

   《中華人民共和國(guó)網(wǎng)絡(luò)安全法》

   《中華人民共和國(guó)密碼法》

   《商用密碼管理?xiàng)l例》

   《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》

   《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則》

   《國(guó)家政務(wù)信息化項(xiàng)目建設(shè)管理辦法》

   GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》

   GM/T 0116-2021  信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南

   GB/T 39786-2021 《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

   如有最新規(guī)定按最新規(guī)定執(zhí)行

   （二）、總體服務(wù)內(nèi)容

   供應(yīng)商對(duì)信息化測(cè)試及評(píng)估服務(wù)按照密碼應(yīng)用要求開展密碼測(cè)評(píng)工作,依據(jù)GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》從密碼應(yīng)用技術(shù)要求、密碼應(yīng)用管理要求兩個(gè)角度出發(fā)，圍繞信息系統(tǒng)的物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全、管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置八個(gè)方面開展密碼測(cè)評(píng)工作，通過(guò)現(xiàn)場(chǎng)測(cè)評(píng)逐項(xiàng)比較信息系統(tǒng)與其相應(yīng)安全等級(jí)要求之間的差距，進(jìn)行逐項(xiàng)分析、整體分析、量化評(píng)估、風(fēng)險(xiǎn)分析，為信息系統(tǒng)的密碼應(yīng)用建設(shè)提供工作建議，保障信息系統(tǒng)密碼合規(guī)、正確、有效地應(yīng)用。供應(yīng)商需提供符合相關(guān)要求的商用密碼應(yīng)用安全性評(píng)估報(bào)告，并協(xié)助在當(dāng)?shù)孛艽a管理局備案。

   （三）、具體服務(wù)內(nèi)容

   包含但不限于如下任務(wù)要求：

   1.開展密碼測(cè)評(píng)工作，并依據(jù)相關(guān)文件模板，對(duì)信息化測(cè)試及評(píng)估服務(wù)出具符合國(guó)家密碼管理局和當(dāng)?shù)孛艽a管理部門要求的密評(píng)報(bào)告；

   2.根據(jù)測(cè)評(píng)結(jié)果，給出整改意見，指導(dǎo)軟件承建單位對(duì)被測(cè)系統(tǒng)暴露出的密碼應(yīng)用安全問題進(jìn)行整改；

   3.根據(jù)測(cè)評(píng)需要承辦專家評(píng)審會(huì)；

   4.根據(jù)國(guó)家密碼管理局關(guān)于規(guī)范商用密碼應(yīng)用安全性評(píng)估結(jié)果備案工作的通知，協(xié)助準(zhǔn)備備案資料并完成密評(píng)備案工作；

   5.對(duì)采購(gòu)單位名稱安全技術(shù)和密碼管理人員開展相關(guān)培訓(xùn);

   6.協(xié)助采購(gòu)單位名稱完成與密評(píng)相關(guān)的其他工作。

   （四）、服務(wù)要求及標(biāo)準(zhǔn)

   1.評(píng)估流程

   商用密碼應(yīng)用安全性評(píng)估過(guò)程分為四個(gè)基本測(cè)評(píng)活動(dòng)：測(cè)評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。供應(yīng)商和采購(gòu)方之間的溝通與洽談貫穿整個(gè)密碼應(yīng)用安全性評(píng)估過(guò)程。

   1）測(cè)評(píng)準(zhǔn)備活動(dòng)

   根據(jù)供應(yīng)商和采購(gòu)方簽訂的委托測(cè)評(píng)協(xié)議書和被測(cè)信息系統(tǒng)規(guī)模，供應(yīng)商組建測(cè)評(píng)項(xiàng)目組，從人員方面做好準(zhǔn)備，并編制項(xiàng)目計(jì)劃書。供應(yīng)商通過(guò)查閱被測(cè)系統(tǒng)已有資料并使用調(diào)查表格的方式，了解整個(gè)系統(tǒng)的構(gòu)成和密碼保護(hù)情況，為編寫密評(píng)方案和開展現(xiàn)場(chǎng)測(cè)評(píng)工作奠定基礎(chǔ)。測(cè)評(píng)項(xiàng)目組成員在進(jìn)行現(xiàn)場(chǎng)測(cè)評(píng)之前，熟悉與被測(cè)信息系統(tǒng)相關(guān)的各種組件、調(diào)試測(cè)評(píng)工具、準(zhǔn)備各種表單等。

   2）方案編制活動(dòng)

   根據(jù)已經(jīng)了解到的被測(cè)信息系統(tǒng)情況，分析整個(gè)被測(cè)系統(tǒng)及其涉及的業(yè)務(wù)應(yīng)用系統(tǒng)，以及與此相關(guān)的密碼應(yīng)用情況，確定出本次測(cè)評(píng)的測(cè)評(píng)對(duì)象；根據(jù)已經(jīng)了解到的被測(cè)系統(tǒng)定級(jí)結(jié)果，確定出本次測(cè)評(píng)的測(cè)評(píng)指標(biāo)；確認(rèn)測(cè)評(píng)過(guò)程中需要現(xiàn)場(chǎng)檢查的關(guān)鍵安全點(diǎn)，并且充分考慮到檢查的可行性和風(fēng)險(xiǎn)，最大限度的避免對(duì)被測(cè)系統(tǒng)，尤其是在線運(yùn)行業(yè)務(wù)系統(tǒng)的影響；確定現(xiàn)場(chǎng)測(cè)評(píng)的具體實(shí)施內(nèi)容；最終完成測(cè)評(píng)方案的編制。

   3）現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng)

   現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備：召開測(cè)評(píng)現(xiàn)場(chǎng)首次會(huì)，供應(yīng)商介紹測(cè)評(píng)工作，交流測(cè)評(píng)信息，進(jìn)一步明確測(cè)評(píng)計(jì)劃和測(cè)評(píng)方案中的內(nèi)容，說(shuō)明測(cè)評(píng)過(guò)程中具體的實(shí)施工作內(nèi)容，測(cè)評(píng)時(shí)間安排，測(cè)評(píng)過(guò)程中可能存在的安全風(fēng)險(xiǎn)等，以便于后面的測(cè)評(píng)工作開展。供應(yīng)商和采購(gòu)方確認(rèn)現(xiàn)場(chǎng)測(cè)評(píng)需要的各種資源，包括采購(gòu)方的配合人員和需要提供的測(cè)評(píng)條件等，確認(rèn)被測(cè)信息系統(tǒng)已備份過(guò)系統(tǒng)及數(shù)據(jù)。采購(gòu)方簽署現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書。密評(píng)人員根據(jù)會(huì)議溝通結(jié)果，對(duì)測(cè)評(píng)結(jié)果記錄表單和測(cè)評(píng)程序進(jìn)行必要的更新。

   測(cè)評(píng)項(xiàng)目組根據(jù)密評(píng)方案以及現(xiàn)場(chǎng)測(cè)評(píng)準(zhǔn)備的結(jié)果，安排密評(píng)人員在現(xiàn)場(chǎng)完成測(cè)評(píng)工作，匯總現(xiàn)場(chǎng)測(cè)評(píng)的測(cè)評(píng)記錄；召開測(cè)評(píng)現(xiàn)場(chǎng)結(jié)束會(huì)，供應(yīng)商和采購(gòu)方對(duì)測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的問題進(jìn)行現(xiàn)場(chǎng)確認(rèn)；密評(píng)機(jī)構(gòu)歸還測(cè)評(píng)過(guò)程中借閱的所有文檔資料，并由采購(gòu)方文檔資料提供者簽字確認(rèn)。

   4）分析與報(bào)告編制活動(dòng)

   在現(xiàn)場(chǎng)測(cè)評(píng)工作結(jié)束后，供應(yīng)商對(duì)現(xiàn)場(chǎng)測(cè)評(píng)獲得的測(cè)評(píng)結(jié)果進(jìn)行匯總分析，形成評(píng)估結(jié)論，并編制評(píng)估報(bào)告。

   密評(píng)人員在初步判定各測(cè)評(píng)單元涉及的各個(gè)測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果后，還需進(jìn)行單元測(cè)評(píng)、整體測(cè)評(píng)、量化評(píng)估和風(fēng)險(xiǎn)分析。經(jīng)過(guò)整體測(cè)評(píng)后，有的測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果可能會(huì)有所變化，需進(jìn)一步修訂測(cè)評(píng)結(jié)果，而后進(jìn)行量化評(píng)估和風(fēng)險(xiǎn)分析，最后形成評(píng)估結(jié)論。

   2.密評(píng)應(yīng)用技術(shù)要求

   密碼測(cè)評(píng)的目的是通過(guò)對(duì)采購(gòu)單位指定的信息系統(tǒng)在密碼應(yīng)用技術(shù)要求和密碼應(yīng)用管理要求等方面的測(cè)評(píng)，對(duì)這些信息系統(tǒng)的密碼應(yīng)用情況與其相應(yīng)級(jí)別的密碼應(yīng)用要求進(jìn)行差距分析和測(cè)評(píng),深入查找密碼應(yīng)用的薄弱環(huán)節(jié)和安全隱患，分析面臨的風(fēng)險(xiǎn)，測(cè)評(píng)結(jié)果作為采購(gòu)單位進(jìn)一步完善系統(tǒng)安全策略及安全技術(shù)防護(hù)措施依據(jù)。

   依據(jù)GB/T 39786—2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》、GM/T 0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》、GM/T 0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》等標(biāo)準(zhǔn)和系統(tǒng)自身的安全需求等，對(duì)被測(cè)系統(tǒng)進(jìn)行密評(píng)工作，密碼應(yīng)用安全性評(píng)估的技術(shù)服務(wù)包括但不限于以下內(nèi)容:

   1）通用測(cè)評(píng)要求

   核查信息系統(tǒng)中使用的密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)是否滿足國(guó)家密碼管理的相關(guān)標(biāo)準(zhǔn)或規(guī)范要求。

   2）密碼應(yīng)用技術(shù)要求測(cè)評(píng)

   具體包括但不限于:物理和環(huán)境安全測(cè)評(píng)、網(wǎng)絡(luò)和通信安全測(cè)評(píng)、設(shè)備和計(jì)算安全測(cè)評(píng)、應(yīng)用和數(shù)據(jù)安全測(cè)評(píng)，制定安全驗(yàn)證性測(cè)評(píng)工作方案，驗(yàn)證不同安全等級(jí)信息系統(tǒng)的密碼應(yīng)用是否達(dá)到相應(yīng)安全等級(jí)的安全保護(hù)能力、是否滿足相應(yīng)安全等級(jí)的保護(hù)要求。

   2.1物理和環(huán)境安全測(cè)評(píng)

   物理和環(huán)境安全主要實(shí)現(xiàn)對(duì)信息化測(cè)試及評(píng)估服務(wù)所在機(jī)房等重要區(qū)域的物理防護(hù)，物理機(jī)房的進(jìn)出必須嚴(yán)格符合相關(guān)規(guī)范，并對(duì)相關(guān)人員進(jìn)出信息實(shí)時(shí)記錄，防止非法人員采用非法手段進(jìn)出，如果出現(xiàn)人為物理破壞將造成不可逆的重大損失。

   針對(duì)“身份鑒別”、“電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性”、“視頻監(jiān)控記錄數(shù)據(jù)存儲(chǔ)完整性”等物理和環(huán)境安全方面采取的密碼保障措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況（如訪談?dòng)涗�、配置截圖、抓包分析截圖、產(chǎn)品照片等），完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ宜采用密碼技術(shù)進(jìn)行物理訪問身份鑒別,保證重要區(qū)域進(jìn)入人員身份的真實(shí)性。

   Ÿ宜采用密碼技術(shù)保證電子門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)的存儲(chǔ)完整性。

   Ÿ宜采用密碼技術(shù)保證視頻監(jiān)控音像記錄數(shù)據(jù)的存儲(chǔ)完整性。

   2.2網(wǎng)絡(luò)和通信安全測(cè)評(píng)

   網(wǎng)絡(luò)和通信安全主要實(shí)現(xiàn)對(duì)信息系統(tǒng)與經(jīng)由外部網(wǎng)絡(luò)連接的實(shí)體進(jìn)行網(wǎng)絡(luò)通信時(shí)的安全防護(hù)，密碼應(yīng)用要求主要涉及通信過(guò)程中實(shí)體身份真實(shí)性、數(shù)據(jù)機(jī)密性和數(shù)據(jù)完整性，以及網(wǎng)絡(luò)邊界訪問控制和設(shè)備接入控制。

   針對(duì)“身份鑒別”、“通信數(shù)據(jù)完整性”、“通信過(guò)程中重要數(shù)據(jù)的機(jī)密性”、“網(wǎng)絡(luò)邊界訪問控制信息的完整性”、“安全接入認(rèn)證”等網(wǎng)絡(luò)和通信安全方面采取的密碼保障措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況(如訪談?dòng)涗�、配置截圖、抓包分析截圖、產(chǎn)品照片等)，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ應(yīng)采用密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別,保證通信實(shí)體身份的真實(shí)性。

   Ÿ宜采用密碼技術(shù)保證通信過(guò)程中數(shù)據(jù)的完整性。

   Ÿ應(yīng)采用密碼技術(shù)保證通信過(guò)程中重要數(shù)據(jù)的機(jī)密性。

   Ÿ宜采用密碼技術(shù)保證網(wǎng)絡(luò)邊界訪問控制信息的完整性。

   Ÿ可采用密碼技術(shù)對(duì)從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證,確保接入設(shè)備身份的真實(shí)性。

   2.3設(shè)備和計(jì)算安全測(cè)評(píng)

   設(shè)備和計(jì)算安全主要實(shí)現(xiàn)對(duì)信息化測(cè)試及評(píng)估服務(wù)中各類設(shè)備和計(jì)算環(huán)境的安全防護(hù),密碼應(yīng)用要求主要涉及對(duì)登錄設(shè)備用戶的身份鑒別、遠(yuǎn)程管理通道的建立、重要可執(zhí)行程序來(lái)源真實(shí)性，以及系統(tǒng)資源訪問控制信息、設(shè)備的重要信息資源安全標(biāo)記、重要可執(zhí)行程序、日志記錄的完整性。

   針對(duì)“身份鑒別”、“遠(yuǎn)程管理通道安全”、“系統(tǒng)資源訪問控制信息完整性”、“重要信息資源安全標(biāo)記完整性”、“日志記錄完整性”、“重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性”等設(shè)備和計(jì)算安全方面采取的密碼保障措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況(如訪談?dòng)涗洝⑴渲媒貓D、抓包分析截圖、產(chǎn)品照片等)，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ應(yīng)采用密碼技術(shù)對(duì)登錄設(shè)備的用戶進(jìn)行身份鑒別,保證用戶身份的真實(shí)性。

   Ÿ遠(yuǎn)程管理設(shè)備時(shí),應(yīng)采用密碼技術(shù)建立安全的信息傳輸通道。

   Ÿ宜采用密碼技術(shù)保證系統(tǒng)資源訪問控制信息的完整性。

   Ÿ宜采用密碼技術(shù)保證設(shè)備中的重要信息資源安全標(biāo)記的完整性。

   Ÿ宜采用密碼技術(shù)保證日志記錄的完整性。

   Ÿ宜采用密碼技術(shù)對(duì)重要可執(zhí)行程序進(jìn)行完整性保護(hù),并對(duì)其來(lái)源進(jìn)行真實(shí)性驗(yàn)證。

   2.4應(yīng)用和數(shù)據(jù)安全

   實(shí)現(xiàn)對(duì)信息系統(tǒng)中應(yīng)用及其數(shù)據(jù)的安全防護(hù),密碼應(yīng)用主要涉及應(yīng)用的用戶身份鑒別、訪問控制，以及應(yīng)用相關(guān)重要數(shù)據(jù)的存儲(chǔ)安全、傳輸安全和相關(guān)行為的不可否認(rèn)性。其中，重要數(shù)據(jù)包括但不限于鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。

   針對(duì)“身份鑒別”、“訪問控制信息完整性”、“重要信息資源安全標(biāo)記完整性”、“重要數(shù)據(jù)傳輸機(jī)密性”、“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”、“重要數(shù)據(jù)傳輸完整性”、“重要數(shù)據(jù)存儲(chǔ)完整性”、“不可否認(rèn)性”等應(yīng)用和數(shù)據(jù)安全方面采取的密碼保障措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況(如訪談?dòng)涗�、配置截圖、抓包分析截圖、產(chǎn)品照片等)，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ應(yīng)采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別,保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性。

   Ÿ宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的訪問控制信息的完整性。

   Ÿ宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要信息資源安全標(biāo)記的完整性。

   Ÿ應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性。

   Ÿ應(yīng)采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的機(jī)密性。

   Ÿ宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在傳輸過(guò)程中的完整性。

   Ÿ宜采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性。

   Ÿ在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中, 應(yīng)采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù),實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。

   3.密碼應(yīng)用管理要求

   從管理制度、人員管理、建設(shè)運(yùn)行和應(yīng)急處置四個(gè)方面進(jìn)行安全管理測(cè)評(píng)，驗(yàn)證信息系統(tǒng)安全管理機(jī)制是否完善，是否能確保密碼技術(shù)被合規(guī)、正確、有效的實(shí)施。

   3.1管理制度

   針對(duì)“具備密碼應(yīng)用安全管理制度”、“密鑰管理規(guī)則”、“建立操作規(guī)程”、“定期修訂安全管理制度”、“明確管理制度發(fā)布流程”、“制度執(zhí)行過(guò)程記錄留存”等制度方面采取的管理措施進(jìn)行各項(xiàng)測(cè)評(píng),詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ應(yīng)具備密碼應(yīng)用安全管理制度,包括密碼人員管理、密鑰管理、建設(shè)運(yùn)行、應(yīng)急處置、密碼軟硬件及介質(zhì)管理等制度。

   Ÿ應(yīng)根據(jù)密碼應(yīng)用方案建立相應(yīng)密鑰管理規(guī)則。

   Ÿ應(yīng)對(duì)管理人員或操作人員執(zhí)行的日常管理操作建立操作規(guī)程。

   Ÿ應(yīng)定期對(duì)密碼應(yīng)用安全管理制度和操作規(guī)程的合理性和適用性進(jìn)行論證和審定,是否對(duì)存在不足或需要改進(jìn)之處進(jìn)行修訂。

   Ÿ應(yīng)明確相關(guān)密碼應(yīng)用安全管理制度和操作規(guī)程的發(fā)布流程并進(jìn)行版本控制。

   Ÿ應(yīng)具有密碼應(yīng)用操作規(guī)程的相關(guān)執(zhí)行記錄并妥善保存。

   3.2人員管理

   針對(duì)“了解并遵守密碼相關(guān)法律法規(guī)和密碼管理制度”、“建立密碼應(yīng)用崗位責(zé)任制度”、“建立上崗人員培訓(xùn)制度”、“定期進(jìn)行安全崗位人員考核”、“建立關(guān)鍵崗位人員保密制度和調(diào)離制度”等人員方面采取的管理措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ相關(guān)人員應(yīng)了解并遵守密碼相關(guān)法律法規(guī)、密碼應(yīng)用安全管理制度。

   Ÿ應(yīng)建立密碼應(yīng)用崗位責(zé)任制度,明確各崗位在安全系統(tǒng)中的職責(zé)和權(quán)限。

   1) 根據(jù)密碼應(yīng)用的實(shí)際情況,設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員等關(guān)鍵安全崗位;

   2) 對(duì)關(guān)鍵崗位建立多人共管機(jī)制;

   3)密鑰管理、密碼安全審計(jì)、密碼操作人員職責(zé)互相制約互相監(jiān)督,其中密碼安全審計(jì)員崗位不可與密鑰管理員、密碼操作員兼任;

   4) 相關(guān)設(shè)備與系統(tǒng)的管理和使用賬號(hào)不得多人共用。

   Ÿ應(yīng)建立上崗人員培訓(xùn)制度,對(duì)于涉及密碼的操作和管理的人員進(jìn)行專門培訓(xùn),確保其具備崗位所需專業(yè)技能。

   Ÿ應(yīng)定期對(duì)密碼應(yīng)用安全崗位人員進(jìn)行考核。

   Ÿ應(yīng)建立關(guān)鍵人員保密制度和調(diào)離制度,簽訂保密合同,承擔(dān)保密義務(wù)。

   3.3建設(shè)運(yùn)行

   針對(duì)“制定密碼應(yīng)用方案”、“制定密鑰安全管理策略”、“制定實(shí)施方案”、“投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估”、“定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí)”等建設(shè)方面采取的管理措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ應(yīng)依據(jù)密碼相關(guān)標(biāo)準(zhǔn)和密碼應(yīng)用需求,制定密碼應(yīng)用方案。

   Ÿ應(yīng)根據(jù)密碼應(yīng)用方案,確定系統(tǒng)涉及的密鑰種類、體系及其生存周期環(huán)節(jié),各環(huán)節(jié)密鑰管理要求照GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》附錄B。

   Ÿ應(yīng)按照應(yīng)用方案實(shí)施建設(shè)。

   Ÿ投入運(yùn)行前應(yīng)進(jìn)行密碼應(yīng)用安全性評(píng)估,評(píng)估通過(guò)后系統(tǒng)方可正式運(yùn)行。

   Ÿ在運(yùn)行過(guò)程中,應(yīng)嚴(yán)格執(zhí)行既定的密碼應(yīng)用安全管理制度,是否定期開展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí),并根據(jù)評(píng)估結(jié)果進(jìn)行整改。

   3.4應(yīng)急處置

   針對(duì)“應(yīng)急策略”、“事件處置”、“向有關(guān)主管部門上報(bào)處置情況”等應(yīng)急方面采取的管理措施進(jìn)行各項(xiàng)測(cè)評(píng)，詳細(xì)記錄現(xiàn)場(chǎng)測(cè)評(píng)情況，完成單項(xiàng)及單元測(cè)評(píng)結(jié)果判定。測(cè)評(píng)結(jié)果應(yīng)由采購(gòu)方配合人員確認(rèn)。

   標(biāo)準(zhǔn)要求內(nèi)容：

   Ÿ應(yīng)制定密碼應(yīng)用應(yīng)急策略,做好應(yīng)急資源準(zhǔn)備,當(dāng)密碼應(yīng)用安全事件發(fā)生時(shí),應(yīng)立即啟動(dòng)應(yīng)急處置措施,結(jié)合實(shí)際情況及時(shí)處置。

   Ÿ事件發(fā)生后,應(yīng)及時(shí)向信息系統(tǒng)主管部門進(jìn)行報(bào)告。

   Ÿ事件處置完成后,應(yīng)及時(shí)向信息系統(tǒng)主管部門及歸屬的密碼管理部門報(bào)告事件發(fā)生情況及處置情況。

   三、商務(wù)及其他要求：

   1.交貨日期：合同簽訂后 30 工作日內(nèi) 。

   2.交付驗(yàn)收地點(diǎn)：綿陽(yáng)四〇四醫(yī)院及分院，供應(yīng)商現(xiàn)場(chǎng)服務(wù) 。

   3.交付驗(yàn)收時(shí)間：合同簽訂后 30 個(gè)工作日，供應(yīng)商提交初評(píng)報(bào)告 。

   4.付款方式：合同簽訂且收到發(fā)票后 10 個(gè)工作日內(nèi)支付合同金額的 50%，項(xiàng)目驗(yàn)收通過(guò)且收到發(fā)票后 10 個(gè)工作日內(nèi)支付合同金額的 50%。每次付款前由成交供應(yīng)商向采購(gòu)人提出申請(qǐng)?zhí)峁┯行У阮~發(fā)票。

   5.售后服務(wù)：

   （1）供應(yīng)商免費(fèi)對(duì)采購(gòu)人工作人員進(jìn)行現(xiàn)場(chǎng)培訓(xùn)，保證受訓(xùn)人員能熟練操作，并對(duì)系統(tǒng)能進(jìn)行日常維護(hù)。

   （2）供應(yīng)商應(yīng)按合同要求提供采購(gòu)人所需產(chǎn)品和服務(wù)，若供應(yīng)商提供產(chǎn)品和服務(wù)不合格采購(gòu)人將拒絕支付后期款項(xiàng)。

   6.違約責(zé)任：

   （1）因供應(yīng)商產(chǎn)品和服務(wù)因素給采購(gòu)人造成損失，供應(yīng)商應(yīng)承擔(dān)給采購(gòu)人造成的全部經(jīng)濟(jì)損失和法律責(zé)任。

   （2）未經(jīng)采購(gòu)人同意，供方延期交貨，供應(yīng)商每天應(yīng)按貨款總額的 0.5%向采購(gòu)人支付違約金。

   （3）因供應(yīng)商未履行或履行不當(dāng)售后服務(wù)承諾，給采購(gòu)人造成損失，供應(yīng)商應(yīng)賠償采購(gòu)人由此造成的經(jīng)濟(jì)損失。   

   四、采購(gòu)方式：采取競(jìng)爭(zhēng)性磋商方式，在密封報(bào)價(jià)的基礎(chǔ)上，進(jìn)行一輪或多輪磋商。

   五、評(píng)定方式：經(jīng)磋商后的綜合評(píng)分法。

  六、磋商者資格：

1.具有獨(dú)立承擔(dān)民事責(zé)任的能力；

2.具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度（提供承諾函）；

3.具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力（提供承諾函）；

4.有依法繳納稅收和社會(huì)保障資金的良好記錄（提供承諾函）；

5.參加本次采購(gòu)活動(dòng)前三年內(nèi)，在經(jīng)營(yíng)活動(dòng)中沒有重大違法記錄；（公司成立不足三年的從成立之日起算）（提供承諾函）； 

6.供應(yīng)商單位及其現(xiàn)任法定代表人、主要負(fù)責(zé)人在參加本次采購(gòu)活動(dòng)前三年內(nèi)不得具有行賄犯罪記錄；（公司成立不足三年的從成立之日起算）（提供承諾函）；   

7.授權(quán)參加本次采購(gòu)活動(dòng)的供應(yīng)商代表證明材料。

8.具備法律、行政法規(guī)規(guī)定的其他條件；

9.截止到投標(biāo)截止時(shí)間，在“信用中國(guó)”網(wǎng)站(www.creditchina.gov.cn )、中國(guó)政府采購(gòu)網(wǎng)(www.ccgp.gov.cn )中被列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單、政府采購(gòu)嚴(yán)重違法失信行為記錄名單的投標(biāo)人不允許參加本次政府采購(gòu)活動(dòng)

10.根據(jù)采購(gòu)項(xiàng)目提出的特殊條件：

供應(yīng)商須在國(guó)家密碼管理局《商用密碼應(yīng)用安全性評(píng)估試點(diǎn)機(jī)構(gòu)目錄》（國(guó)家密碼管理局公告第42號(hào)文）內(nèi)或在四川密碼管理局認(rèn)可的可在本地區(qū)、本行業(yè)（領(lǐng)域）開展密評(píng)試點(diǎn)的工作機(jī)構(gòu)。（提供相關(guān)資料并加蓋公司公章）

七、磋商文件須密封（1. 紙質(zhì)標(biāo)書正本一份，副本四份；2. 單獨(dú)密封并提交一份加蓋公章及完成簽名的響應(yīng)文件正本掃描件PDF電子版，電子文檔保存介質(zhì)使用 USB 閃存盤【U 盤】）

1.報(bào)價(jià)（包括本項(xiàng)目所需一切費(fèi)用）。

2.營(yíng)業(yè)執(zhí)照正副本等復(fù)印件。

3.法定代表人參加磋商需提供法定代表人身份證明復(fù)印件；非法定代表人參加的，提供法定代表人授權(quán)委托書原件、法定代表人和授權(quán)代表身份證明復(fù)印件。

  4.投標(biāo)人按照招標(biāo)項(xiàng)目的技術(shù)指標(biāo)、技術(shù)要求及評(píng)分細(xì)則做出技術(shù)應(yīng)答表（應(yīng)答表需注明頁(yè)碼）。投標(biāo)人的技術(shù)應(yīng)答包括但不限于下列內(nèi)容：①技術(shù)要求、公司實(shí)力、測(cè)評(píng)團(tuán)隊(duì)要求、技術(shù)能力等；②商務(wù)要求應(yīng)答

5.公司情況介紹，優(yōu)惠條件，服務(wù)承諾。

6.其他投標(biāo)人認(rèn)為需要提供的文件和資料。

八、報(bào)名時(shí)間：2024年10月30日至2024年11月06日17：00.

九、報(bào)名方式：郵箱報(bào)名：2383325896@qq.com(報(bào)名時(shí)上傳公司資質(zhì)壓縮文件，郵件名為：三級(jí)信息系統(tǒng)密評(píng)服務(wù)報(bào)名文件+公司全稱+聯(lián)系人及電話)

十、磋商時(shí)間：2024年11月08日下午14：30（若有變動(dòng)另行通知）遲到將被視為自動(dòng)棄權(quán)。

十一、磋商地點(diǎn)：綿陽(yáng)四〇四醫(yī)院采購(gòu)科辦公室（醫(yī)院大門左側(cè)住宅樓二樓）

十二、項(xiàng)目咨詢電話：0816-2303461    技術(shù)咨詢電話：馬老師13689670134

十三、項(xiàng)目公示地點(diǎn)：綿陽(yáng)四〇四醫(yī)院信息平臺(tái)、綿陽(yáng)四〇四醫(yī)院門戶網(wǎng)站 。

                                             綿陽(yáng)四〇四醫(yī)院

                                                                                      2024年10月30日