葫芦岛市医疗保障信息平台密码测评服务项目竞争性磋商公告-辽宁省招标采购-建设招标网

葫芦岛市医疗保障信息平台密码测评服务项目竞争性磋商公告

2025-10-11 辽宁-葫芦岛-龙港区

打印

所在地区：	辽宁-葫芦岛-龙港区	发布日期：	2025年10月11日
招标代理：	注册/登录即可查看	招标业主：	注册/登录即可查看

招标采购正文

（* 或略）部分为隐藏内容，查看详细信息请注册/登录

<div><form name=thisform method=post action=><table><tbody><tr><td><table><tbody><tr><td></td><td></td><td></td></tr><tr><td></td><td><table><tbody><tr><td><table><tbody><tr><td>葫芦岛市医疗保障信息平台密码测评服务项目竞争性磋商公告</td></tr><tr><td></td></tr><tr><td><table><tbody><tr><td>撰写单位:</td><td>辽宁鸿飞项目管理咨询有限公司 </td><td>发布时间:</td><td>(略)-(略)-(略)</td></tr></tbody></table><div><div><div><div>项目概况</div><div><p>葫芦岛市医疗保障信息平台密码测评服务项目采购项目的潜在供应商应在线上获取采购文件，并于(略)年(略)月(略)日 (略)时(略)分（北京时间）前提交响应文件。</p></div></div><div>一、项目基本情况</div><div>项目编号：(略)</div><div>项目名称：(略)</div><div>采购方式：(略)</div><div>包组编号：(略)</div><div>预算金额（元）：(略)</div><div>最高限价（元）：(略)</div><div>采购需求：(略)</div><div><p>★（一）履约期限及履约地点</p><p>1.履约期限：(略)</p><p>2.履约地点：(略)</p><p>★（二）付款方式</p><p>项目完成并验收合格后一次性支付。</p><p>（三）服务内容、需满足的质量、安全、技术规格等要求</p><p>1.总体要求 </p><p>供应商对信息化测试及评估服务按照密码应用要求开展密码测评工作,依据GB/T (略)-(略)《信息安全技术信息系统密码应用基本要求》从密码应用技术要求、密码应用管理要求两个角度出发，围绕信息系统的物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置八个方面开展密码测评工作，通过现场测评逐项比较信息系统与其相应安全等级要求之间的差距，进行逐项分析、整体分析、量化评估、风险分析，为信息系统的密码应用建设提供工作建议，保障信息系统密码合规、正确、有效地应用。供应商需提供符合相关要求的商用密码应用安全性评估报告，并协助在当地密码管理局备案。</p><p>★2.具体服务内容</p><p>2.1商用密码应用安全性评估过程</p><p>商用密码应用安全性评估过程应分为四个基本测评活动：(略)</p><p>1）测评准备活动</p><p>根据供应商和采购人签订的委托测评协议书和被测信息系统规模，供应商组建测评项目组，从人员方面做好准备，并编制项目计划书。供应商通过查阅被测系统已有资料并使用调查表格的方式，了解整个系统的构成和密码保护情况，为编写密评方案和开展现场测评工作奠定基础。测评项目组成员在进行现场测评之前，熟悉与被测信息系统相关的各种组件、调试测评工具、准备各种表单。</p><p>2）方案编制活动</p><p>供应商应根据已经了解到的被测信息系统情况，分析整个被测系统及其涉及的业务应用系统，以及与此相关的密码应用情况，确定出本次测评的测评对象；根据已经了解到的被测系统定级结果，确定出本次测评的测评指标；确认测评过程中需要现场检查的关键安全点，并且充分考虑到检查的可行性和风险，最大限度的避免对被测系统，尤其是在线运行业务系统的影响；确定现场测评的具体实施内容；最终完成测评方案的编制。</p><p>3）现场测评活动</p><p>现场测评准备：(略)</p><p>4）分析与报告编制活动</p><p>在现场测评工作结束后，供应商应对现场测评获得的测评结果进行汇总分析，形成评估结论，并编制评估报告。密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后，还需进行单元测评、整体测评、量化评估和风险分析。经过整体测评后，有的测评对象的测评结果可能会有所变化，需进一步修订测评结果，而后进行量化评估和风险分析，最后形成评估结论。</p><p>2.2密评应用技术要求</p><p>（1）密码测评的目的</p><p>密码测评的目的是通过对采购单位指定的信息系统在密码应用技术要求和密码应用管理要求方面的测评，对这些信息系统的密码应用情况与其相应级别的密码应用要求进行差距分析和测评,深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，测评结果作为采购单位进一步完善系统安全策略及安全技术防护措施依据。</p><p>（2）技术标准要求</p><p>供应商应依据GB/T (略)—(略)《信息安全技术 信息系统密码应用基本要求》、GM/T(略)-(略)《信息系统密码应用测评要求》、GM/T (略)-(略)《信息系统密码应用测评过程指南》、《信息系统密码应用高风险判定指引》标准和系统自身的安全需求，对被测系统进行密评工作，密码应用安全性评估的技术服务包括以下内容:</p><p>1）通用测评要求</p><p>核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。</p><p>2）密码应用技术要求测评</p><p>具体应包括：(略)</p><p>（3）物理和环境安全测评</p><p>物理和环境安全主要实现对信息化测试及评估服务所在机房重要区域的物理防护，物理机房的进出必须严格符合相关规范，并对相关人员进出信息实时记录，防止非法人员采用非法手段进出，如果出现人为物理破坏将造成不可逆的重大损失。</p><p>针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”物理和环境安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况（如访谈记录、配置截图、抓包分析截图、产品照片），完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>标准要求内容：</p><p>l宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。</p><p>l宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。</p><p>l宜采用密码技术保证视频监控音像记录数据的存储完整性。</p><p>（4）网络和通信安全测评</p><p>1）网络和通信安全主要实现对信息系统与经由外部网络连接的实体进行网络通信时的安全防护，密码应用要求主要涉及通信过程中实体身份真实性、数据机密性和数据完整性，以及网络边界访问控制和设备接入控制。针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”网络和通信安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片)，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>2）标准要求内容</p><p>① 应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性。</p><p>② 宜采用密码技术保证通信过程中数据的完整性。</p><p>③ 应采用密码技术保证通信过程中重要数据的机密性。</p><p>④ 宜采用密码技术保证网络边界访问控制信息的完整性。</p><p>⑤ 可采用密码技术对从外部连接到内部网络的设备进行接入认证,确保接入设备身份的真实性。</p><p>（5）设备和计算安全测评</p><p>1）设备和计算安全主要实现对信息化测试及评估服务中各类设备和计算环境的安全防护,密码应用要求主要涉及对登录设备用户的身份鉴别、远程管理通道的建立、重要可执行程序来源真实性，以及系统资源访问控制信息、设备的重要信息资源安全标记、重要可执行程序、日志记录的完整性。</p><p>2）针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”设备和计算安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片)，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>3）标准要求内容</p><p>① 应采用密码技术对登录设备的用户进行身份鉴别,保证用户身份的真实性。</p><p>② 远程管理设备时,应采用密码技术建立安全的信息传输通道。</p><p>③ 宜采用密码技术保证系统资源访问控制信息的完整性。</p><p>④ 宜采用密码技术保证设备中的重要信息资源安全标记的完整性。</p><p>⑤ 宜采用密码技术保证日志记录的完整性。</p><p>⑥ 宜采用密码技术对重要可执行程序进行完整性保护,并对其来源进行真实性验证。</p><p>（6）应用和数据安全</p><p>1）应实现对信息系统中应用及其数据的安全防护,密码应用主要涉及应用的用户身份鉴别、访问控制，以及应用相关重要数据的存储安全、传输安全和相关行为的不可否认性。其中，重要数据包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息。针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”应用和数据安全方面采取的密码保障措施进行各项测评，详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片)，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>2）标准要求内容</p><p>① 应采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。</p><p>② 宜采用密码技术保证信息系统应用的访问控制信息的完整性。</p><p>③ 宜采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。</p><p>④ 应采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。</p><p>⑤ 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。</p><p>⑥ 宜采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。</p><p>⑦ 宜采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。</p><p>l在可能涉及法律责任认定的应用中, 应采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。</p><p>2.3密码应用管理要求</p><p>供应商应从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评，验证信息系统安全管理机制是否完善，是否能确保密码技术被合规、正确、有效的实施。</p><p>（1）管理制度</p><p>1）供应商应针对“具备密码应用安全管理制度”、“密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”、“制度执行过程记录留存”制度方面采取的管理措施进行各项测评,详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>2）标准要求内容l</p><p>① 应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理制度。</p><p>② 应根据密码应用方案建立相应密钥管理规则。</p><p>③ 应对管理人员或操作人员执行的日常管理操作建立操作规程。</p><p>④ 应定期对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定,是否对存在不足或需要改进之处进行修订。</p><p>⑤ 应明确相关密码应用安全管理制度和操作规程的发布流程并进行版本控制。</p><p>⑥ 应具有密码应用操作规程的相关执行记录并妥善保存。</p><p>（2）人员管理</p><p>1）针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”人员方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>2）标准要求内容</p><p>① 相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度。</p><p>② 应建立密码应用岗位责任制度,明确各岗位在安全系统中的职责和权限。</p><p>A.根据密码应用的实际情况,设置密钥管理员、密码安全审计员、密码操作员关键安全岗位;</p><p>B.对关键岗位建立多人共管机制;</p><p>C.密钥管理、密码安全审计、密码操作人员职责互相制约互相监督,其中密码安全审计员岗位不可与密钥管理员、密码操作员兼任;</p><p>D.相关设备与系统的管理和使用账号不得多人共用。</p><p>③ 应建立上岗人员培训制度,对于涉及密码的操作和管理的人员进行专门培训,确保其具备岗位所需专业技能。</p><p>④ 应定期对密码应用安全岗位人员进行考核。</p><p>⑤ 应建立关键人员保密制度和调离制度,签订保密合同,承担保密义务。</p><p>（3）建设运行</p><p>1）针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”建设方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>2）标准要求内容</p><p>① 应依据密码相关标准和密码应用需求,制定密码应用方案。</p><p>② 应根据密码应用方案,确定系统涉及的密钥种类、体系及其生存周期环节, 各环节密钥管理要求照 GB/T (略)-(略)《信息安全技术 信息系统密码应用基本要求》附录 B。</p><p>③ 应按照应用方案实施建设。</p><p>④ 投入运行前应进行密码应用安全性评估,评估通过后系统方可正式运行。</p><p>⑤ 在运行过程中,应严格执行既定的密码应用安全管理制度,是否定期开展密码应用安全性评估及攻防对抗演习,并根据评估结果进行整改。</p><p>（4）应急处置</p><p>1）针对“应急策略”、“事件处置”、“向有关主管部门上报处置情况”应急方面采取的管理措施进行各项测评，详细记录现场测评情况，完成单项及单元测评结果判定。测评结果应由采购人配合人员确认。</p><p>2）标准要求内容</p><p>① 应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置。</p><p>② 事件发生后,应及时向信息系统主管部门进行报告。</p><p>③ 事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况</p><p>★（四）需执行的国家相关标准、行业标准、地方标准或者其他标准、规范</p><p>1.GB/T (略)-(略)《信息安全技术 信息系统密码应用基本要求》</p><p>2.GM/T (略)-(略)《信息系统密码应用测评要求》</p><p>3.GM/T (略)-(略)《信息系统密码应用测评过程指南》</p><p>4.其他标准规范及技术要求详见“（三）服务内容、需满足的质量、安全、技术规格等要求”</p><p>★（五）验收标准及方法</p><p>1.验收标准</p><p>(1)流程完整性：(略)</p><p>(2)报告合规性：(略)</p><p>(3)备案协助：(略)</p><p>(4)问题整改：(略)</p><p>2.验收方法</p><p>(1)验收程序：(略)</p><p>(2)成果文件审查：(略)</p><p>(3)现场核验：(略)</p><p>★（六）质量保证和售后服务要求</p><p>1.质量保证要求</p><p>服务期限内，若因供应商测评工作失误导致测评结果不准确、评估报告不符合要求或备案失败，供应商应重新开展测评工作，直至满足采购人需求。</p><p>供应商需建立质量保障机制，对测评过程中的每个环节进行质量管控，安排专人负责质量检查，确保测评工作质量符合相关标准与采购要求。</p><p>2.售后服务要求</p><p>（1）咨询响应效率</p><p>对于采购人的电话、邮件等咨询，供应商需在(略)小时内完成首次响应，复杂问题需在3个工作日内给出完整解决方案。</p><p>（2）现场服务效率</p><p>需现场协助的问题，供应商需在收到采购人需求后 (略) 小时内抵达现场，一般问题需在 1 个工作日内解决，复杂问题需在 3 个工作日内解决（特殊情况需签订延期协议）。</p><p>（3）售后服务期限</p><p>自商用密码应用安全性评估报告出具并完成备案之日起，售后服务期限不少于1年；服务期限届满后，采购人若有继续服务需求，双方可另行协商服务内容与费用，供应商应优先提供服务。</p><p>（4）技术培训</p><p>售后服务期限内，供应商需免费为采购人提供至少 1 次密码应用相关技术培训，内容包括密码应用标准解读、系统密码安全维护等，帮助采购人提升密码应用管理能力。</p><p>（5）信息更新</p><p>若国家密码管理相关标准、政策发生变化，供应商需及时告知采购人，并提供相关政策解读与应对建议，协助采购人做好系统密码应用调整工作。</p><p>★（七）保密要求</p><p>1.信息保密要求</p><p>测评相关信息保密供应商应对测评过程中获取的所有信息严格保密，包括但不限于：(略)</p><p>测评成果保密商用密码应用安全性评估报告（含初稿、终稿）、现场测评记录（访谈记录、配置截图、抓包分析截图）、风险分析数据等测评成果，属于采购方敏感信息，供应商需按采购方要求进行保密管理。报告仅可提供给采购方及当地密码管理局备案使用，未经采购方书面许可，不得向其他单位或个人提供；测评过程中产生的电子记录需加密存储，纸质记录需锁存于安全柜，避免信息外泄。</p><p>2.人员保密要求</p><p>保密意识与责任供应商需确保项目组所有成员（含项目经理、测评工程师、技术支持人员）了解并遵守国家密码相关法律法规及采购方保密规定，明确 “谁接触、谁负责” 的保密原则。项目启动前，所有成员需签署《项目保密承诺书》，承诺对接触的敏感信息承担保密义务，若发生泄密需承担相应法律责任，该要求与文档 “3.2 人员管理” 中 “建立关键人员保密制度” 条款直接对应。</p><p>参与项目的核心人员应通过供应商内部保密审查，确保无不良记录；供应商不得随意更换项目组成员，若确需更换，需经采购人确认，避免因人员流动导致泄密风险。</p></div><div>合同履行期限：(略)</div><div>需落实的政府采购政策内容：(略)</div><div>本项目（是/否）接受联合体投标：(略)</div><div>二、供应商的资格要求</div><div>1.满足《中华人民共和国政府采购法》第二十二条规定。</div><div>2.落实政府采购政策需满足的资格要求：(略)</div><div>3.本项目的特定资格要求：(略)</div><div>三、政府采购供应商入库须知</div><div>参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的，请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定，及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息，由系统自动开通账号后，即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》（辽财采函〔(略)〕(略)号）。</div><div>四、获取采购文件</div><div>时间：(略)</div><div>地点：(略)</div><div>方式：(略)</div><div>售价：(略)</div><div>五、响应文件提交</div><div>截止时间：(略)</div><div>地点：(略)</div><div>六、开启</div><div>时间：(略)</div><div>地点：(略)</div><div>七、公告期限</div><div>自本公告发布之日起3个工作日。</div><div>八、质疑与投诉</div><div>供应商认为自己的权益受到损害的，可以在知道或者应知其权益受到损害之日起七个工作日内，向采购代理机构或采购人提出质疑。</div><div>1、接收质疑函方式：(略)</div><div>2、质疑函内容、格式：(略)</div><div>质疑供应商对采购人、采购代理机构的答复不满意，或者采购人、采购代理机构未在规定时间内作出答复的，可以在答复期满后(略)个工作日内向本级财政部门提起投诉。</div><div>九、其他补充事宜</div><div>1.参加辽宁省政府采购活动的供应商需自行办理CA数字证书，请详阅辽宁政府采购网首页“关于办理CA数字证书的通知”及“首页-办事指南”中公布的“辽宁政府采购网新版系统供应商操作手册”、“辽宁省政府采购网供应商制作电子标书操作手册”，具体规定详见《关于启用政府采购数字认证和电子招投标业务有关事宜的通知》（辽财采〔(略)〕(略)号）、《关于完善政府采购电子评审业务流程等有关事宜的通知》（辽财采函〔(略)〕(略) 号）。请供应商按照相关规定，及时办理相关手续并学习辽宁政府采购网电子文件制作指南，系统操作问题请拨打平台运维服务电话（(略)-(略)-(略)）进行咨询，因未办理相关手续造成的所有后果，由供应商自行承担。 ？2.本项目公告发布网站：(略)</div><div>十、对本次招标提出询问，请按以下方式联系</div><div>1.采购人信息</div><div>名称：(略)</div><div>地址：(略)</div><div>联系方式：(略)</div><div>2.采购代理机构信息</div><div>名称：(略)</div><div>地址：(略)</div><div>联系方式：(略)</div><div>邮箱地址：(略)</div><div>开户行：(略)</div><div>账户名称：(略)</div><div>账号：(略)</div><div>3.项目联系方式</div><div>项目联系人：(略)</div><div>电话：(略)</div></div></div></td></tr><tr><td></td></tr><tr><td>附件：<div></div></td></tr></tbody></table></td></tr></tbody></table></td><td></td></tr><tr><td></td><td></td><td></td></tr></tbody></table></td></tr></tbody></table></form></div></div>

登录查看完整内容>>

按照客观、公正、公开的原则，本条信息受业主方委托独家指定在中国建设招标网 www.jszhaobiao.com 发布

注册会员享受贴心服务

标讯查询服务

让您全面及时掌握全国各省市拟建、报批、立项、施工在建项目的项目信息。

帮您跟对合适的项目、找对准确的负责人、全面掌握各项目的业主单位、设计院、总包单位、施工企业的项目经理、项目负责人的详细联系方式。

帮您第一时间获得全国项目业主、招标代理公司和政府采购中心发布的招标、中标项目信息。

标讯定制服务

根据您的关注重点定制项目，从海量项目中筛选出符合您要求和标准的工程并及时找出关键负责人和联系方式。

根据您的需要，向您指定的手机、电子邮箱及时反馈项目进展情况。