XX省全民健康信息综合管理平台商用密码应用安全性评估服务采购需求.docx

《XX省全民健康信息综合管理平台商用密码应用安全性评估服务采购需求.docx》由会员分享，可在线阅读，更多相关《XX省全民健康信息综合管理平台商用密码应用安全性评估服务采购需求.docx（10页珍藏版）》请在第一文库网上搜索。

1、XX省全民健康信息综合管理平台商用密码应用安全性评估服务采购需求一、项目背景密码是保障网络安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段。近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥了越来越重要的作用，国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求。2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过中华人民共和国密码法法第二十七条明确要求：“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构

2、开展商用密码应用安全性评估2023年8月20日国家密码管理局发布商用密码管理条例（修订草案征求意见稿）第三十八条明确要求：“非涉密的关键信息基础设施、网络安全等级保护第三级以上网络、国家政务信息系统等网络与信息系统，运营者应当使用商用密码进行保护，制定商用密码应用方案，配备必要的资金和专业人员，同步规划、同步建设、同步运行商用密码保障系统，自行或者委托商用密码检测机构开展商用密码应用安全性评估2019年10月，XX省卫生健康委启动建设XX省全民健康信息综合管理平台项目，逐步规范接入所有医疗卫生机构，纵向联通国家及XX省各地市的全民健康信息平台，横向联通同级政府相关部门信息平台，畅通部门、区域、

3、行业之间的数据交换，实现数据通过平台共享、业务在平台办理、监管依托平台支撑。为深化医药卫生体制改革、有效落实计划生育基本国策、促进中医药事业发展、实现人人享有基本医疗卫生服务目标提供有力的信息技术支撑和保障。根据项目建设要求，要求项目新的系统都应采用国产密码算法，己建系统要求完成国密算法改造工作。因此，采购人认真贯彻国家密码管理局的商用密码管理要求，执行项目建设计划，对XX省全民健康信息综合管理平台项目开展商用密码应用安全性评估工作。二、项目目标落实中华人民共和国密码法、中华人民共和国网络安全法、国家政务信息化项目建设管理办法、信息系统密码应用基本要求、商用密码应用安全性评估管理办法等法律法规

4、、制度和规范，通过购买评估服务的方式，按照XX省全民健康信息综合管理平台项目设计方案，对指定的信息系统开展密码应用安全性评估，通过省密码管理局的审核备案。通过密码应用安全性评估掌握信息系统密码应用情况，深入查找密码应用的薄弱环节和安全隐患，分析面临的风险，提出下步整改举措，推动整改措施落实，为提升信息系统安全奠定基础，推动密码应用水平不断提升。三、法律依据中华人民共和国密码法中华人民共和国网络安全法四、法规要求商用密码管理条例商用密码应用安全性评估管理办法国家政务信息化项目建设管理办法XX省省级政务信息化项目商用密码应用工作指引XX省省级政务信息化项目立项审批细则XX省省级政务信息化项目验收前

5、符合性审查细则五、遵循的主要标准GB/T39786-2023信息安全技术信息系统密码应用基本要求GM/T0115-2023信息系统密码应用测评要求GM/T0116-2023信息系统密码应用测评过程指南政务信息系统密码应用与安全性评估工作指南商用密码应用安全性评估测评作业指导书（试行）商用密码应用安全性评估量化评估规则信息系统密码应用高风险判定指引六、服务内容（一）评估对象本次评估对象为XX省全民健康信息综合管理平台中的22个三级的信息系统。具体评估对象见下表：序号系统名称等级1省全民健康信息平台（标准规范管理系统、问卷管理系统、运维管理系统）三级2家医签约服务（医生和公众端、管理端）三级3居民

6、电子健康码管理三级4健康公共服务系统（老龄健康信息管理）三级5医政管理系统（用血直免管理系统、血液管理系统、医疗废弃物管理系统）三级6基层医疗卫生机构管理信息系统三级7XX全员人口相关信息系统三级8药事监测管理系统三级9中医药管理系统三级10科教管理系统三级11应急指挥系统三级12党建管理系统（人力资源管理系统、爱国卫生与健康促进管理系统）三级13卫生健康统计管理系统（DRGS管理分析系统）三级14机构运营管理系统三级15疾病预防控制系统三级16疫苗流通与接种管理三级17精神卫生管理系统三级18结核病信息管理系统三级19妇幼保健管理系统三级20卫生健康综合监管系统（含医疗多元化监管）三级21职

7、业健康管理系统三级22远程医疗管理系统三级（二）密码安全事故处置报告协助稳妥处置XX省卫生健康委信息系统出现的密码安全事故，处理完毕后内向采购人提供事故分析处置报告。根据国家密码应用最新政策要求和采购人需求，协助采购人编制XX省卫生健康委机关密码应用实施意见（具体要求另行约定）。（三）评估服务内容依据GB/T39786-2023信息系统密码应用基本要求、GM/T0115-2023信息系统密码应用测评要求、GM/T0116-2023信息系统密码应用测评过程指南、商用密码应用安全性评估测评作业指导书（试行）、政务信息系统密码应用与安全性评估工作指南和信息系统自身的安全需求分析，对被评估系统进行商用

8、密码应用安全性评估，为重要网络和信息系统的密码安全提供科学评价，逐步规范网络运营者的密码使用和管理行为，推动提升我单位密码应用水平。具体服务内容如下：密码应用安全性评估：针对信息系统按照评估后的密码应用方案建设情况，引入密码管理部门认定具有商用密码应用安全性评估资质的评估机构，对指定的信息系统进行商用密码应用安全性评估，依据商用密码应用安全性评估量化评估规则综合判定，指导密码应用消减重要安全风险后出具密码应用系统安全性评估报告。（四）技术要求1 .商用密码总体要求评估（I）密码算法合规性评估：本项目商用密码应用方案中关于信息系统使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准

9、的有关要求。（2）密码技术合规性评估：本项目商用密码应用方案中关于信息系统使用的密码技术是否遵循密码相关国家标准和行业标准。（3）密码产品合规性评估：本项目商用密码应用方案中关于信息系统使用的密码产品与密码模块是否通过国家密码管理部门核准。（4）密码服务合规性评估：本项目商用密码应用方案中关于信息系统使用的密码服务是否通过国家密码管理部门许可。2 .密码技术应用评估从物理和环境、网络和通信、设备和计算、应用和数据4个层面对商用密码应用方案中关于信息系统的密码技术设计情况进行分析与评估。物理和环境密码安全设计评估:分析评估方案是否合理、合规的利用商用密码完整性、真实性功能，对影响信息系统安全防护

10、效能的物理和环境层面因素是否得到有效控制。网络和通信密码安全设计评估:分析评估方案是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的网络和通信层面因素是否得到有效控制。设备和计算层面评估:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能，对影响信息系统安全防护效能的设备和计算层面因素是否得到有效控制。应用和数据层面评估:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能，对影响信息系统安全防护效能的应用和数据层面因素是否得到有效控制。3 .安全管理评估分析评估本项目商用密码应用方案对影响商用密码防护效能的

11、管理制度与措施是否进行规划和设计。管理制度与措施包括但不限于下列典型维度：安全管理制度，密钥管理、人员管控，信息系统实施，应急预案。（五）评估方法1 .人员访谈与被测系统有关人员（个人/群体）进行交流、讨论等活动，获取相关证据，了解有关信息。在访谈范围上，一般应基本覆盖所有的密码应用相关人员类型，在数量上可以抽样。2 .配置检查利用上机验证的方式检查密码设备、数据库、安全设备、应用系统等配置是否正确，是否与文档、相关设备和部件保持一致，对文档审核的内容进行核实（包括日志审计等），评估其实施的正确性和有效性，检查配置的完整性，从而测试系统是否达到可用性和可靠性的要求。3 .文档审查检查制度、策略

12、、操作规程、制度执行情况记录等文档（包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、密码设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档）的完整性，以及这些文件之间的内部一致性。4 .实地查看通过实地的观察人员行为、技术设施和物理环境状况判断人员的安全意识、业务操作、管理程序和系统物理环境等方面的安全情况，评估其是否达到了相应等级的密码应用安全要求。5 .工具检测通过使用安全检测工具及手段，检测被测对象的安全性脆弱性，验证检测结果的有效性，从而评估系统是否达到密码安全有效的要求。投标人服务期间所选用的常规安全测

13、评、测试、检测、扫描工具需在信息安全等级保护协调小组办公室备案。除上述通过备案的常规安全测评、测试、检测、扫描工具外，投标人还需在评估过程中，提供具备自主知识产权的测试工具或软件开展评估工作：（1）具备商用密码应用安全性评估基线测评软件；（2）具备Web应用源代码扫描软件系统；（3）具备商用密码数字证书合规性测评软件；（4）具备商用密码智能密码数据测评软件；（5）具备商用密码网络协议分析测评软件；1 6）具备商用密码测评综合管理系统；（六）项目实施要求2 .实施要求（I）投标人应具备独立完成本项目的能力；（2）投标人提供的资格、资质等证明文件应真实有效；（3）投标人应对了解到的信息保密，并提供

14、保密承诺；（4）投标人应在项目现场实施周期内，中标方应为本项目成立评估小组，所需电脑等设备自行提供；（5）项目应按照商用密码应用安全性评估的标准要求开展。（6）中标方为实施项目提供的所有资料及工作成果归采购人所有。（7）中标方应该测评结果真实性承担法律责任以及其它相关责任。（8）投标方要对项目实施过程中可能出现的风险进行充分说明，并提供应对及风险控制措施，保障采购人信息系统及数据安全。3 .人员要求本项目应配备有类似项目经验的项目经理进行管理，项目经理具有国家密码管理局商用密码检测中心的商用密码应用安全性评估人员测评能力证明及网络与信息安全管理师证书（中级或以上）。在项目实施期间，项目经理应按

15、用户要求在指定地点工作。投标供应商需至少派遣3名通过商用密码应用安全性评估人员测评能力考核的测评师和3名信息安全服务工程师组成服务项目团队提供商用密码应用安全性评估工作。测评人员要求具备以下认证：（1）项目团队成员通过商用密码应用安全性评估人员测评能力考核；（2）项目团队成员取得C1IPT（国家重要信息系统保护人员证书）；（3）项目团队成员具备注册信息安全工程师（QSP-CISE）证书；（4）项目团队成员具备注册网络安全测评专业人员（NSATP）证书；（5）项目团队成员具备CCRC信息系统审计师证书；（6）项目团队成员具备大数据技术应用-数据安全师证书。4 .保密要求（1）投标供应商应签订保密协议，对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守，保证不被披露或使用，包括意外或过失。（2）投标供应商不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息；不得直接或间接地向