楚雄州妇幼保健院
楚雄州妇幼协作联盟信息平台
商用密码应用安全性评估服务项目采购意向
一、 项目服务需求
(一) 项目概况
《中华人民共和国密码法》第二十七条指出,网络运营者要求使用商用密码进行保护关键信息基础设施,应当履行网络安全保护义务,自行或者委托商用密码检测机构开展商用密码应用安全性评估。本项目按照《中华人民共和国密码法》、《网络安全法》为做好楚雄州妇幼协作联盟信息平台商用密码应用体系建设,通过密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,协助指导密码应用整改,构建安全可控的密码支撑体系。楚雄州妇幼协作联盟信息平台应符合《信息安全技术 信息系统密码应用基本要求》(GB/T39786-2021)第三级密码应用要求。
(二) 项目依据
1. 国家法律法规政策要求
(1) 《中华人民共和国密码法》
(2) 《中华人民共和国网络安全法》
(3) 《商用密码管理条例》
(4) 《网络安全等级保护条例(征求意见稿)》
(5) 《信息安全等级保护商用密码管理办法》
(6) 《电子认证服务密码管理办法》
2. 商用密码应用安全性评估要求
(1) 《信息安全技术 信息系统密码应用基本要求》GB/T39786-2021
(7) 《商用密码应用安全性评估管理办法(试行)》
(8) 《信息系统密码应用测评要求》
(9) 《商用密码应用安全性评估测评过程指南(试行)》
(10) 《信息系统密码应用高风险判定指引》
(11) 《信息系统密码应用测评过程指南》
(12) 《商用密码应用安全性评估量化评估规则》
二、 服务内容
(一) 协助完成商用密码应用方案评审
协调有资质的机构,组织专家评审会,对采购方编制《楚雄州妇幼协作联盟信息平台商用密码应用方案》进行专家评审。采购方按照通过专家评审的密码应用方案进行整改建设。
(三) 密码应用安全性评估
在采购方按照通过专家评审的《楚雄州妇幼协作联盟信息平台商用密码应用方案》完成整改建设后,对楚雄州妇幼协作联盟信息平台(等保三级系统)进行密码应用安全性评估,测评内容包括但不限于以下内容:
1. 通用测评
核查信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
核查信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
核查信息系统中使用的密码产品、密码服务是否符合法律法规的相关要求。
3. 密码应用技术测评
包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。
(1) 物理和环境安全测评
针对“身份鉴别”、“电子门禁记录数据存储完整性”、“视频监控记录数据存储完整性”等物理和环境安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
(13) 网络和通信安全测评
针对“身份鉴别”、“通信数据完整性”、“通信过程中重要数据的机密性”、“网络边界访问控制信息的完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
(14) 设备和计算安全测评
针对“身份鉴别”、“远程管理通道安全”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
(15) 应用和数据安全测评
针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,完成单项及单元测评结果判定。
4. 密码应用管理测评
从管理制度、人员管理、建设运行和应急处置四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能够确保密码技术被合规、正确、有效地实施。
5. 整体测评
对系统结构进行整体安全测评,并采用风险分析的方法分析密码应用安全问题可能对信息系统安全造成的影响,提交整体测评与风险评估结果。
6. 报告编制
根据评估结果,测评完成后,基于测评结果,对“楚雄州妇幼协作联盟信息平台”出具符合国家密码管理局要求的商用密码应用安全性评估报告,并协助采购方完成密评报告在密码管理局的备案。
三、 项目实施要求
(一) 保密要求
项目实施方对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务:
1. 项目实施方应按要求与楚雄彝族自治州妇幼保健院签署保密协议。
7. 主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
8. 不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的采购方关于该项目的商业秘密。
9. 得向不承担同等保密义务的任何第三人披露采购方关于该项目的商业秘密。
10. 不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用采购方关于该项目的商业秘密。
11. 该项目的商业秘密所有权始终全部归属采购方,实施方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前实施方已依法具有某些所有权者除外。
12. 如发现采购方关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向采购方报告。
(四) 服务要求
1. 提供给采购方与项目相关的技术文档。
13. 一旦收到采购方的服务请求,实施项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,实施方工程师在 24 小时内到达用户现场,提供服务。
14. 提供技术服务热线,并安排专业人员为采购方解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应。
(五) 交付成果:
项目实施完成后交付《密码应用安全性评估报告》纸质版两份,电子版 1份。
楚雄彝族自治州妇幼保健院
2022年3月16日