根据《关于印发〈广西商用密码应用安全性评估流程指南(试行)〉的函》文件要求,重要网络与信息系统建成运行后,其运营者自行或者委托商用密码检测机构每年至少开展一次商用密码应用安全性评估。根据我局实际,拟于近期采购商用密码应用安全性评估服务,具体要求如下:
一、项目名称
广西壮族自治区医疗保障信息平台商用密码应用安全性评估服务项目
二、项目预算
420000.00元整。供应商的报价不得超出项目预算,否则按无效报价文件处理。
三、项目需求内容
(一)信息系统备案
完成商用密码应用安全性评估工作后,将评估结果报国家密码管理部门备案。
(二)商用密码应用安全性评估
参照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》检查被测系统,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置进行差距分析,对系统进行安全评估。
通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。
1.物理和环境安全:包括身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性等内容。
2.网络和通信安全:包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性 、安全接入认证等内容。
3.设备和计算安全:包括身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性等内容。
4.应用和数据安全:包括身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性等内容。
5.管理制度:具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存等内容。
6.人员管理:涵盖了解并遵守密码相关法律法规和密码管理制度 、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度等内容。
7.建设运行:涵盖制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习等内容。
8.应急处置:涵盖应急策略、事件处置、向有关主管部门上报处置情况等内容。
9.针对系统评估后输出《商用密码应用安全性评估报告》和针对建设方案评估后输出《系统方案商用密码安全性评估报告》。
(三)咨询服务
提供信息系统的密码安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展单位内部网络与密码安全检查工作。
(四)安全意识和技能培训
针对技术人员、管理层提供《中华人民共和国密码法》和商用密码应用安全性评估的相关培训工作。
(五)应急支撑
服务范围涵盖影响系统运行的软硬件故障、网络攻击等事件应急支撑服务。
(六)测评系统一览表
序号 |
分类 |
数量\单位 |
信息系统名称 |
测评等级 |
1 |
公共服务类 |
1项 |
药品和医用耗材招采管理子系统、公共服务前台子系统、公共服务后台管理系统。 |
三级 |
2 |
业务经办类 |
1项 |
基础信息管理子系统、医保业务经办子系统、基金财务管理子系统、异地就医管理子系统、医疗服务价格管理子系统、支付方式管理子系统、核心业务区业务中台。 |
三级 |
3 |
宏观决策类 |
1项 |
基金运行及审计监管子系统、宏观决策应用子系统。 |
三级 |
4 |
应用支撑类 |
1项 |
内部控制子系统、内部统一门户子系统。 |
三级 |
5 |
智能监管类1 |
1项 |
医疗保障智能监管子系统、信用评价管理子系统、运行监测子系统。 |
三级 |
6 |
智能监管类2 |
1项 |
医保场景视频监控子系统。 |
三级 |
7 |
云平台 |
1项 |
阿里云ASCM控制台、阿里云Apsara Stack运维系统、阿里云运维管理系统、腾讯云TStack系统、腾讯云分布式对象存储系统、腾讯云分布式消息队列系统、腾讯云分布式数据库缓存系统、腾讯云分布式数据库系统、腾讯云分布式微服务平台、腾讯云里约网关、蓝鲸运维监控平台、腾讯云容灾平台、ZDNS系统。 |
三级 |
四、服务期限
2024年12月31日前完成备案与测评工作。(提交相关备案证明与测评工作计划书)
五、供应商资格要求
(一)供应商须具有独立法人或独立承担民事责任的能力资格,为国内注册且有效经营范围具备生产或经营本次采购项目要求的供应商;
(二)对在“信用中国”网站(www.creditchina.gov.cn)列入失信被执行人、企业经营异常名录和重大税收违法案件当事人名单的供应商,不得参与本次采购活动;
(三)供应商须取得商用密码检测机构(商用密码应用安全性评估业务)资质,为《商用密码检测机构(商用密码应用安全性评估业务)目录》(国家密码管理局公告【49号】公告)机构;
(四)不接受联合体报价。
六、供应商提交材料要求
(一)有效的营业执照复印件(须盖公章);
(二)有效的企业法定代表人(负责人)身份证正反面复印件(须盖公章);
(三)有效的法定代表人授权委托书原件和被授权人身份证正反面复印件(委托代理时必须提供,须盖公章);
(四)近3年内在经营活动中没有重大违法记录的书面声明(须盖公章),有行贿犯罪记录的不得参与本次采购活动;
(五)关于本项目的报价文件及服务承诺(须盖公章,服务承诺格式自拟);
(六)联系人姓名及联系方式;
(七)企业简介、企业资质;
(八)供应商认为需要提供的其他说明和资料(如有请提供)。
七、无效报价情形
(一)不按规定时间递交或未送达指定地点的报价文件作无效报价文件处理;
(二)报价文件必须字迹清晰,凡因字迹不清晰导致容易引起歧义的,作无效报价处理;
(三)报价项目名称有误的、未按照报价单标明的具体参数和要求作出实质性响应的作无效报价处理;
(四)报价文件用大号不透明信封密封(文件袋注明采购项目名称),封口加盖单位公章(未按要求的将予以拒收)。
不满足上述条件之一,以及报价超过上限控制价的均作无效报价处理。
八、成交规则
采用最低价评标法。
九、材料提交时间、地点及要求
(一)材料提交时间:2024年11月26日至2024年11月28日(3个工作日,节假日除外),上午08:00--12:00,下午15:00--18:00;
(二)材料提交地点:南宁市青秀区星湖路26号2号楼408室
(三)材料提交要求:
1.比选文件不接受邮寄方式,只接受现场提交,逾期送达或未送达至指定地点,不予受理,视为报名无效。(送达时间以比选服务商送达响应文件签到时间为准)
2.响应文件一式五份,每份响应文件需加盖公章及骑缝章,并以不透明信封袋密封方式现场递交。
十、项目联系人及联系方式
(一)联系人:李杰。
(二)联系电话:0771-5893831。
(三)联系地址:广西南宁市青秀区星湖路26号2号楼408室。
(四)纪律监督及投诉:0771-5727539。
广西壮族自治区医疗保障局
2024年11月25日
文件下载:
关联文件:
扫一扫在手机打开当前页