自治縣衛生健康局委托第三方完成了大化瑤族自治縣***急救指揮中心應急系統項目建設方案編制,根據《網絡安全等級保護基本要求》(**/* *****-****)和《中華人民共和國密碼法》等法律法規的相關要求和規定,需對大化瑤族自治縣***急救指揮中心應急系統開展網絡安全等級保護測評工作和使用商用密碼技術、產品和服務的合規性、正確性及有效性進行檢測分析和評估驗證,并出具測評報告。現向社會公開邀請具有相應資質的測評服務機構,參與大化瑤族自治縣***急救指揮中心應急系統等級保護備案和商用密碼應用安全性評估項目測評工作。經審查如在同等條件下,我局將綜合考量測評服務機構資質、業績、報價、服務質量好、信譽好等因素確定中選測評單位。有意報名的測評單位請登錄大化瑤族自治縣人民政府門戶網站查詢或到大化瑤族自治縣衛生健康局咨詢。現將有關事項公告如下:
一、項目名稱:大化瑤族自治縣***急救指揮中心應急系統等級保護備案和商用密碼應用安全性評估項目。
二、項目預算:**萬元(最終以財政評審審定造價為準)
三、項目建設地點:大化瑤族自治縣人民醫院
四、項目技術服務要求:
| 序號 |
服務名稱 |
數量 |
技術參數(或服務)要求 |
| * |
網絡安全等級保護測評服務 |
*項 |
*、▲總體要求 依據《網絡安全等級保護基本要求》(**/* *****-****)對我單位二級信息系統開展網絡安全等級保護測評工作,并出具網絡安全等級保護測評報告。 按照等級保護定級備案流程,協助我院進行定級備案工作,遵照等級保護基本要求,通過對系統的技術與管理的角度進行差距分析,并提交整改方案和協助整改,使信息系統符合等級保護的要求。 *、標準依據 《計算機信息系統安全保護等級劃分準則》(** *****-****) 《網絡安全等級保護基本要求》(**/* *****-****) 《網絡安全等級保護測評要求》(**/* *****-****) 《網絡安全等級保護測評過程指南》(**/* *****-****) 《網絡安全等級保護設計技術要求》(**/* *****-****) 《網絡安全等級保護測試評估技術指南》(**/* *****-****) *、▲測評內容 安全通用要求:安全通用要求測評內容應包括安全技術和安全管理兩大類,其中技術類應包括對安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心五個方面的測評,安全管理類測評應包括對安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理五個方面的測評。 *、測評方法 在測評實施過程中,應采用訪談、檢查和測試、滲透測試等測評方法進行,并與國家相關規范及標準的要求相符。 訪談是指測評人員通過引導信息系統相關人員進行有目的的(有針對性的)交流以幫助測評人員理解、分析或取得證據的過程; 檢查是指測評人員通過對測評對象(如管理制度、操作記錄、安全配置等)進行觀察、查驗、分析以幫助測評人員理解、分析或取得證據的過程; 測試是測評人員使用預定的方法/工具使測評對象產生特定的行為,通過查看和分析結果以幫助測評人員獲取證據的過程; 滲透測試是模擬黑客的攻擊方法,對受保護對象的應用系統、主機、網絡進行攻擊,從而驗證測評對象的弱點、技術缺陷或漏洞的一種評估方法。 *、測評對象 本次測評項目的測評對象包括網絡互聯與安全設備操作系統、業務應用軟件、主機操作系統、存儲設備操作系統、數據庫管理系統、安全相關人員、機房、介質以及管理文檔,設備類型包括路由器、交換機、防火墻、服務器、入侵檢測系統等網絡設備和安全設備。 *、▲服務成果 測評完成后,出具符合等保*.*相關技術標準要求、國家網絡安全等級保護管理部門規范要求的網絡安全等級保護測評報告。 |
| * |
商用密碼應用安全性評估服務 |
*項 |
*、總的要求 依據《信息安全技術信息系統密碼應用基本要求**/* *****-****》和《信息系統密碼應用測評要求**/* *****-****》的相關要求及通過評估的密碼應用方案,對我單位二級信息系統進行商用密碼應用安全性評估服務。從物理和環境、網絡和通信、設備和計算、應用和數據以及安全管理等層面開展商用密碼應用安全性評估工作,最終出具被評估系統的《密碼應用安全性評估報告》。 *、標準依據 《中華人民共和國網絡安全法》(自****年*月*日起施行) 《中華人民共和國密碼法》(自****年*月*日起施行) 《商用密碼管理條例》(自****年*月*日起施行。) 《信息安全技術信息系統密碼應用基本要求》(**/******-****) 《信息安全技術信息系統密碼應用測評要求》(**/* *****-****) 《信息系統密碼應用測評過程指南》(**/* ****-****) 《信息安全技術信息安全風險評估規范》(**/* *****-****) 《信息安全技術信息安全風險評估實施指南》(**/* *****-****) 《信息安全技術信息安全風險管理指南》(**/* *****-****) *、測評內容 具體測評內容如下: *、密碼應用調研 對信息系統中涉及的商用密碼應用情況進行全面調研,包括密碼算法、密碼產品、密鑰管理、密碼應用場景等方面的信息收集,明確密碼在信息系統中的具體應用方式。 *、評估實施 從物理和環境、網絡和通信、設備和計算、應用和數據以及安全管理等層面開展商用密碼應用安全性評估工作。測評工作主要包括如下內容: (*)通用測評 核查信息系統中使用的密碼算法、密碼技術、密碼產品和密碼服務是否滿足國家密碼管理的相關標準規范要求。 (*)密碼應用技術測評 包括物理和環境安全測評、網絡和通信安全測評、設備和計算安全測評、應用和數據安全測評,驗證信息系統的密碼應用是否達到相應安全等級的安全保護能力、是否滿足相應安全等級的保護要求。 (*)密鑰管理測評 測評密鑰管理各個環節,包括對密鑰產生、分發、存儲、使用、更新、歸檔、撤銷、備份、恢復、銷毀等環節進行管理和策略制定的全過程是否符合要求,完成單項及單元測評結果判定。 (*)密碼應用管理測評 從管理制度、人員管理、建設運行和應急處置四個層面進行安全管理測評,驗證信息系統安全管理機制是否完善,是否能夠確保密碼技術被合規、正確、有效地實施。 *、整改協助 根據安全性評估結果,制定商用密碼應用整改建議,協助對存在問題的密碼應用進行優化調整。 *、評估報告出具 編制詳細的《商用密碼安全性評估報告》,報告應涵蓋評估過程、評估結果、存在問題及整改建議等內容,為信息系統的密碼應用安全提供決策依據。 |
五、測評服務單位資質要求:*.投標人應具有獨立法人資格,*.未被“信用中國”網站等列入失信被執行人名單或重大稅收違法案件當事人名單或政府采購嚴重違法失信行為記錄名單的供應商。
六、項目資金來源:桂財社【****】***號和大政函【****】***號文件
七、邀請報名單位:大化瑤族自治縣衛生健康局
八、報名方式及需提交材料:*.現場報名;*.提供營業執照、法人身份證明、投標報價函、聯系人及聯系電話、相關資質佐證等材料。
要求:資質文件與報價文件分袋密封。
九、報名時間、地點:
報名時間:****年**月**日至****年**月*日,工作日上班時間(*:**—**:**;**:**—**:**)。
現場報名地點:大化瑤族自治縣衛生健康局辦公室(大化瑤族自治縣文昌西路***號)
聯系電話:****-*******,聯系人:唐先生
?
?
大化瑤族自治縣衛生健康局
****年**月**日 ??
