自治县卫生健康局委托第三方完成了大化瑶族自治县120急救指挥中心应急系统项目建设方案编制,根据《网络安全等级保护基本要求》(GB/T 22239-2019)和《中华人民共和国密码法》等法律法规的相关要求和规定,需对大化瑶族自治县120急救指挥中心应急系统开展网络安全等级保护测评工作和使用商用密码技术、产品和服务的合规性、正确性及有效性进行检测分析和评估验证,并出具测评报告。现向社会公开邀请具有相应资质的测评服务机构,参与大化瑶族自治县120急救指挥中心应急系统等级保护备案和商用密码应用安全性评估?项目测评工作。经审查如在同等条件下,我局将综合考量测评服务机构资******人民政府门户网站查询或到大化瑶族自治县卫生健康局咨询。现将有关事项公告如下:
一、项目名称:大化瑶族自治县120急救指挥中心应急系统等级保护备案和商用密码应用安全性评估?项目。
二、项目预算:11万元(最终以财政评审审定造价为准)
三、项目建设******医院
四、项目技术服务要求:
|
序号 |
服务名称 |
数量 |
技术参数(或服务)要求 |
|
1 |
网络安全等级保护测评服务 |
1项 |
1、▲总体要求 依据《网络安全等级保护基本要求》(GB/T 22239-2019)对我单位二级信息系统开展网络安全等级保护测评工作,并出具网络安全等级保护测评报告。 按照等级保护定级备案流程,协助我院进行定级备案工作,遵照等级保护基本要求,通过对系统的技术与管理的角度进行差距分析,并提交整改方案和协助整改,使信息系统符合等级保护的要求。 2、标准依据 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《网络安全等级保护基本要求》(GB/T 22239-2019) 《网络安全等级保护测评要求》(GB/T 28448-2019) 《网络安全等级保护测评过程指南》(GB/T 28449-2018) 《网络安全等级保护设计技术要求》(GB/T 25070-2019) 《网络安全等级保护测试评估技术指南》(GB/T 36627-2018) 3、▲测评内容 安全通用要求:安全通用要求测评内容应包括安全技术******管理中心五个方面的测评,安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。 4、测评方法 在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。 访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程; 检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程; 测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程; 渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 5、测评对象 本次测评项目的测评对象包括网络互联与安全设备操作系统、业务应用软件、主机操作系统、存储设备操作系统、数据库管理系统、安全相关人员、机房、介质以及管理文档,设备类型包括路由器、交换机、防火墙、服务器、入侵检测系统等网络设备和安全设备。 6、▲服务成果 测评完成后,出具符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求的网络安全等级保护测评报告。 |
|
2 |
商用密码应用安全性评估服务 |
1项 |
1、总的要求 依据《信息安全技术信息系统密码应用基本要求GB/T 39786-2021》和《信息系统密码应用测评要求GB/T 43206-2023》的相关要求及通过评估的密码应用方案,对我单位二级信息系统进行商用密码应用安全性评估服务。从物理和环境、网络和通信、设备和计算、应用和数据以及安全管理等层面开展商用密码应用安全性评估工作,最终出具被评估系统的《密码应用安全性评估报告》。 2、标准依据 《中华人民共和国网络安全法》(自2017年6月1日起施行) 《中华人民共和国密码法》(自2020年1月1日起施行) 《商用密码管理条例》(自2023年7月1日起施行。) 《信息安全技术信息系统密码应用基本要求》(GB/T39786-2021) 《信息安全技术信息系统密码应用测评要求》(GB/T 43206-2023) 《信息系统密码应用测评过程指南》(GM/T 0116-2021) 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007) 《信息安全技术信息安全风险评估实施指南》(GB/T 31509-2015) 《信息安全技术信息安全风险管理指南》(GB/Z 24364-2009) 3、测评内容 具体测评内容如下: 1、密码应用调研 对信息系统中涉及的商用密码应用情况进行全面调研,包括密码算法、密码产品、密钥管理、密码应用场景等方面的信息收集,明确密码在信息系统中的具体应用方式。 2、评估实施 从物理和环境、网络和通信、设备和计算、应用和数据以及安全管理等层面开展商用密码应用安全性评估工作。测评工作主要包括如下内容: (1)通用测评 核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准规范要求。 (2)密码应用技术测评 包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,验证信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。 (3)密钥管理测评 测评密钥管理各个环节,包括对密钥产生、分发、存储、使用、更新、归档、撤销、备份、恢复、销毁等环节进行管理和策略制定的全过程是否符合要求,完成单项及单元测评结果判定。 (4)密码应用管理测评 从管理制度、人员管理、建设运行和应急处置四个层面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能够确保密码技术被合规、正确、有效地实施。 3、整改协助 根据安全性评估结果,制定商用密码应用整改建议,协助对存在问题的密码应用进行优化调整。 4、评估报告出具 编制详细的《商用密码安全性评估报告》,报告应涵盖评估过程、评估结果、存在问题及整改建议等内容,为信息系统的密码应用安全提供决策依据。 |
五、测评服务单位资质要求:1.投标人应具有独立法人资格,2.未被“信用中国”网站等列入失信被执行人名单或重大税收违法案件当事人名单或政府采购严重违法失信行为记录名单的供应商。
六、项目资金来源:桂财社【2024】164号和大政函【2025】125号文件
七、邀请报名单位:大化瑶族自治县卫生健康局
八、报名方式及需提交材料:1.现场报名;2.提供营业执照、法人身份证明、投标报价函、联系人及联系电话、相关资质佐证等材料。
要求:资质文件与报价文件分袋密封。
九、报名时间、地点:
报名时间:2025年10月31日至2025年11月7日,工作日上班时间(8:00—12:00;15:00—18:00)。
现场报名地点:******办公室(大化瑶族自治县文昌西路180号)
联系电话:0778-******,联系人:唐先生
?
?
大化瑶族自治县卫生健康局
2025年10月31日 ??
