下列服务条款适用于招标采购网会员,若您使用指南针招标网提供的服务,您必须同意接受此服务条款。
一、服务条款的确认和接纳
本服务条款适用于指南针招标网用户,您在申请注册流程中点击同意本服务条款之前,应当认真阅读本服务条款。请您务必审慎阅读、充分理解各条款内容,当您按照注册页面提示填写信息、阅读并同意本服务条款且完成全部注册程序后,即表示您已充分阅读、理解并接受本服务条款的全部内容,并与指南针招标网达成一致,成为指南针招标网平台用户。阅读本服务条款的过程中,如果您不同意本服务条款或其中任何条款约定,您应立即停止注册程序。指南针招标网服务的所有权和运作权归北京中采高科招标集团有限公司所有。所提供的服务必须按照其发布的公司章程,服务条款和操作规则严格执行。用户通过完成注册程序并点击“我已经阅读并接受《指南针招标网服务条款》中的各项内容”,这表示用户与北京中采高科招标集团有限公司达成协议并接受所有的服务条款。
二、服务简介
北京中采高科招标集团有限公司运用自己的操作系统通过国际互联网络为用户提供各项服务,用户(包括普通个人用户,免费企业会员,收费企业会员)注册时,必须同意:
1. 提供真实、准确、即时、完整的个人/企业资料。同时,应根据情况变化维护并及时更新注册信息,以确保其真实、准确、即时、完整性。
2、一旦北京中采高科招标集团有限公司发现用户资料含有不准确甚至是虚假内容,北京中采高科招标集团有限公司有权利中止对该用户的服务。
三、用户的帐号、密码和安全性
1、指南针招标网的注册帐号可以是英文、数字、字母、中文,或者是它们的组合。用户可以根据自己的需要进行选择,但是用户注册的帐号或者填写的昵称需要符合下列规定:
(1)不得使用党和国家机构的名称或者是它们的缩写。
(2)不得使用党和国家领导人或者其他知名人士的真实姓名、笔名、艺名或者是他们的缩写。
(3)不得使用不健康、不文明或者带有侮辱性、攻击性的用户名和昵称。
(4)您一旦注册成功,就成为北京中采高科招标集团有限公司的合法用户,您将得到一个密码和用户名。并同意接受北京中采高科招标集团有限公司提供的各项服务。如果您未保管好自己的用户名和密码,而对您、北京中采高科招标集团有限公司或第三方造成的损害,您将负全部责任。另外,每个用户都要对其用户名中的所有活动和事件负全责。您可随时改变您的密码和图标,也可以结束旧的用户名重开一个新用户名。
(5)为避免用户的合法权利受到侵害,用户若发现任何非法使用用户名或存在安全漏洞的情况,请立即通告北京中采高科招标集团有限公司。
四、服务条款的修改及修订
北京中采高科招标集团有限公司有权在必要时修改服务条款,北京中采高科招标集团有限公司服务条款一旦发生变动,公司将会在用户进入下一步使用前的页面提示修改内容。如果您同意改动,则再一次激活“同意服务条款提交注册信息”按钮,视为接受本服务条款的变动。如果用户不接受。北京中采高科招标集团有限公司则保留随时修改或中断服务而不需通知用户的权利。用户接受北京中采高科招标集团有限公司行使修改或中断服务的权利,北京中采高科招标集团有限公司不需对用户或第三方负责。本服务条款任一条款被视为废止、无效或不可执行,该条应视为可分的且并不影响本服务条款其余条款的有效性及可执行性。
五、用户隐私制度
北京中采高科招标集团有限公司(指南针招标网)非常重视用户信息的保护,在使用指南针招标网的所有产品和服务前,请您务必仔细阅读并透彻理解本声明。一旦您选择使用,即表示您已经同意我们按照本隐私声明来使用和披露您的个人信息,并接受本条款现有内容及其可能随时更新的内容。
1、本注册条款所涉及的隐私是指:在会员注册指南针招标网网站帐户时,使用其它指南针招标网网站产品或服务,访问指南针招标网网页,或参加任何形式的会员活动、培训活动时,指南针招标网会收集的会员的个人身份识别资料,包括会员的姓名、昵称、电邮地址、出生日期、性别、职业、所在行业、工龄,真实头像,籍贯,公司名称,QQ号码,公司地址,公司的产品以及服务简介,公司固话传真,公司主页,公司主要做的项目等。指南针招标网网站自动接收并记录会员的浏览器和服务器日志上的信息,包括但不限于会员的IP地址、在线、无线信息、信件等资料。
2、指南针招标网收集上述信息将用于:提供网站服务、改进网页内容,满足会员对某种产品、活动的需求、通知会员最新产品、活动信息、或根据法律法规要求的用途、给会员带来更多商业机会等。
3、我们网站有相应的安全措施来确保我们掌握的信息不丢失,不被滥用和变造。这些安全措施包括向其它服务器备份数据和对用户密码加密。尽管我们有这些安全措施,但请注意在因特网上不存在“完善的安全措施”。
4、指南针招标网可能利用工具,为合作伙伴的网站进行数据搜集工作,有关数据也会作统计用途。网站会将所记录的指南针招标网会员数据整合起来,以综合数据形式供合作伙伴参考。综合数据会包括人数统计和使用情况等资料,但不会包含任何可以识别个人身份的数据。
5、信息的披露和使用:们不会向任何无关第三方提供,出售,出租,分享和交易用户的个人信息,但为方便您使用指南针招标网服务及指南针招标网关联公司或其他组织的服务(以下称其他服务),您同意并授权指南针招标网将您的个人信息传递给您同时接受其他服务的指南针招标网关联公司或其他组织,或从为您提供其他服务的指南针招标网关联公司或其他组织获取您的个人信息。包括但不限于:您同意我们可批露或使用您的个人信息以用于识别和(或)确认您的身份,或解决争议,或有助于确保网站安全、限制欺诈、非法或其他刑事犯罪活动,以执行我们的服务协议。您同意我们可批露或使用您的个人信息以保护您的生命、财产之安全或为防止严重侵害他人之合法权益或为公共利益之需要。您同意我们可批露或使用您的个人信息以改进我们的服务,并使我们的服务更能符合您的要求,从而使您在使用我们服务时得到更好的使用体验。您同意我们利用您的个人信息与您联络,并向您提供您感兴趣的信息,如:产品信息。您接受“服务协议”和本隐私声明即为明示同意收取这些资料。您同意,您的个人信息可以被搜索引擎搜索,并在搜索结果中显示,由此给您带来更多的合作机会。您同意并授权指南针招标网将您的个人信息传递给指南针招标网,指南针招标网关联公司、指南针招标网合作伙伴、指南针招标网会员,以助于指南针招标网给您带来更多的商业机会、其他服务、合作伙伴等。法律规定的其他需披露您个人信息的情况。
6、关于会员在指南针招标网的上传或张贴的内容
(1)会员在指南针招标网上传或张贴的内容(包括照片、文字、附件、帖子、招投标信息、个人合作名片、公司名录和黄页、工程信息等),视为会员授予指南针招标网免费、非独家的使用权,指南针招标网有权为展示、传播及推广、促使合作等前述张贴内容的目的,对上述内容进行复制、修改、出版等。该使用权持续至会员书面通知指南针招标网不得继续使用,且指南针招标网实际收到该等书面通知时止。指南针招标网网站、指南针招标网合作伙伴、指南针招标网关联公司均可使用。
(2)因会员进行上述上传或张贴,而导致任何第三方提出侵权或索赔要求的,会员承担全部责任。
(3)任何第三方对于会员在指南针招标网的公开使用区域张贴的内容进行复制、修改、编辑、传播等行为的,该行为产生的法律后果和责任均由行为人承担,与指南针招标网无关。
7、不可抗力
(1)“不可抗力”是指指南针招标网不能合理控制、不可预见或即使预见亦无法避免的事件,该事件妨碍、影响或延误指南针招标网根据本注册条款履行其全部或部分义务。该事件包括但不限于政府行为、自然灾害、战争、黑客袭击、电脑病毒、网络故障等。不可抗力可能导致指南针招标网网站无法访问、访问速度缓慢、存储数据丢失、会员个人信息泄漏等不利后果。
(2)遭受不可抗力事件时,指南针招标网可中止履行本注册条款项下的义务直至不可抗力的影响消除为止,并且不因此承担违约责任;但应尽最大努力克服该事件,减轻其负面影响。
六、拒绝提供担保和免责声明
用户明确同意使用指南针招标网服务的风险由用户个人承担。服务提供是建立在免费的基础上。北京中采高科招标集团有限公司明确表示不提供任何类型的担保,不论是明确的或隐含的,但是对商业性的隐含担保,特定目的和不违反规定的适当担保除外。北京中采高科招标集团有限公司不担保服务一定能满足用户的要求,也不担保服务不会受中断,对服务的及时性、安全性、真实性、出错发生都不作担保。北京中采高科招标集团有限公司拒绝提供任何担保,包括信息能否准确、及时、顺利地传送。用户理解并接受下载或通过指南针招标网产品服务取得的任何信息资料取决于用户自己,并由其承担系统受损、资料丢失以及其它任何风险。北京中采高科招标集团有限公司对在服务网上得到的任何商品购物服务、交易进程、招聘信息,都不作担保。用户不会从北京中采高科招标集团有限公司收到口头或书面的意见或信息,指南针招标网也不会在这里作明确担保。
七、有限责任
北京中采高科招标集团有限公司对任何直接、间接、偶然、特殊及继起的损害或其他一切损害不负责任,这些损害来自:不正当使用产品服务,在网上进行交易,非法使用服务或用户传送的信息有所变动。这些损害会导致北京中采高科招标集团有限公司形象受损,所以北京中采高科招标集团有限公司早已提出这种损害的可能性。
八、不提供零售和商业性服务
用户使用北京中采高科招标集团有限公司各项服务的权利是企业的。个人用户只能是一个公司或实体的商业性组织下的所属员工。用户承诺:未经北京中采高科招标集团有限公司同意,不得利用北京中采高科招标集团有限公司各项服务进行销售或作其他商业用途。
九、用户管理
用户单独承担发布内容的责任。用户对服务的使用是根据所有适用于服务的地方法律、国家法律和国际法律标准的。
用户承诺:
1、在指南针招标网的网页上发布信息或者利用指南针招标网的服务时必须符合中国有关法规(部分法规请见附录),不得在指南针招标网的网页上或者利用指南针招标网的服务制作、复制、发布、传播以下信息:
(1)反对宪法所确定的基本原则的;
(2)危害国家安全,泄露国家秘密,颠覆国家政权,破坏国家统一的;
(3)损害国家荣誉和利益的;
(4)煽动民族仇恨、民族歧视,破坏民族团结的;
(5)破坏国家宗教政策,宣扬邪教和封建迷信的;
(6)散布谣言,扰乱社会秩序,破坏社会稳定的;
(7)散布淫秽、色情、赌博、暴力、凶杀、恐怖或者教唆犯罪的;
(8)侮辱或者诽谤他人,侵害他人合法权益的;
(9)含有法律、行政法规禁止的其他内容的。
2、在指南针招标网的网页上发布信息或者利用指南针招标网的服务时还必须符合其他有关国家和地区的法律规定以及国际法的有关规定。
3、不利用指南针招标网的服务从事以下活动:
(1)未经允许,进入计算机信息网络或者使用计算机信息网络资源的;
(2)未经允许,对计算机信息网络功能进行删除、修改或者增加的;
(3)未经允许,对进入计算机信息网络中存储、处理或者传输的数据和应用程序进行删除、修改或者增加的;
(4)故意制作、传播计算机病毒等破坏性程序的;
(5)其他危害计算机信息网络安全的行为。
4、不以任何方式干扰指南针招标网的服务。
5、遵守指南针招标网的所有其他规定和程序。用户需对自己在使用指南针招标网服务过程中的行为承担法律责任。用户理解,如果指南针招标网发现其网站传输的信息明显属于上段第1条所列内容之一,依据中国法律,指南针招标网有义务立即停止传输,保存有关记录,向国家有关机关报告,并且删除含有该内容的地址、目录或关闭服务器。
用户使用指南针招标网电子公告服务,包括电子布告牌、电子白板、电子论坛、网络聊天室和留言板等以交互形式为上网用户提供信息发布条件的行为,也须遵守本条的规定以及北京中采高科招标集团有限公司将专门发布的电子公告服务规则,上段中描述的法律后果和法律责任同样适用于电子公告服务的用户。若用户的行为不符合以上提到的服务条款,北京中采高科招标集团有限公司将作出独立判断立即取消用户服务帐号。
十、保障
用户同意保障和维护北京中采高科招标集团有限公司全体成员的利益,负责支付由用户使用超出服务范围引起的律师费用,违反服务条款的损害补偿费用,其它人使用用户的电脑、帐号和其它知识产权的追索费。
十一、结束服务
用户或北京中采高科招标集团有限公司可随时根据实际情况中断服务。北京中采高科招标集团有限公司不需对任何个人或第三方负责而随时中断服务。用户若反对任何服务条款的建议或对后来的条款修改有异议,或对指南针招标网服务不满,用户只有以下的追索权:
1、不再使用指南针招标网服务。
2、结束用户使用指南针招标网服务的资格。
3、通告北京中采高科招标集团有限公司停止该用户的服务。
十二、通告
所有发给用户的通告都可通过电子邮件或常规的信件传送。北京中采高科招标集团有限公司会通过邮件服务发报消息给用户,告诉他们服务条款的修改、服务变更、或其它重要事情。同时,北京中采高科招标集团有限公司保留对本站免费用户投放商业性广告的权利。
十三、 参与广告策划
在北京中采高科招标集团有限公司许可下用户可在他们发表的信息中加入宣传资料或参与广告策划,在指南针招标网各项免费服务上展示他们的产品。任何这类促销方法,包括运输货物、付款、服务、商业条件、担保及与广告有关的描述都只是在相应的用户和广告销售商之间发生。北京中采高科招标集团有限公司不承担任何责任,北京中采高科招标集团有限公司没有义务为这类广告销售负任何一部分的责任。
十四、 内容的所有权
指南针招标网对其独立采编的或从第三方获得合法许可的信息内容,内容的定义包括:文字、软件、声音、相片、录象、图表;在广告中的全部内容;全部指南针招标网虚拟社区服务为用户提供的商业信息。所有这些内容均受版权、商标、标签和其它财产所有权法律的保护。所以,用户只能在北京中采高科招标集团有限公司和广告商授权下才能使用这些内容,而不能擅自复制、再造这些内容、或创造与内容有关的派生产品。在本站发表、转载的文章仅代表作者本人观点,本站没有义务查实文章或图片、音频、视频文件的出处及其真实性。如果您是文章、图片等资料的版权所有人,请与我们联系并说明具体文章标题,指南针招标网会及时加上版权信息,如果您反对指南针招标网使用,在收到身份证明、版权证明和删除要求后我们会立即删除有版权问题的内容。
十五、 法律
用户和北京中采高科招标集团有限公司一致同意有关本协议以及使用指南针招标网的服务产生的争议交由仲裁解决,但是北京中采高科招标集团有限公司有权选择采取诉讼方式,并有权选择受理该诉讼的有管辖权的法院。若有任何服务条款与法律相抵触,那这些条款将按尽可能接近的方法重新解析,而其它条款则保持对用户产生法律效力和影响。
十六、 指南针招标网会员帐号所含服务的信息储存及安全
北京中采高科招标集团有限公司对用户帐号上所有服务将尽力维护其安全性及方便性,但对服务中出现信息删除或储存失败不承担任何负责。另外我们保留判定用户的行为是否符合指南针招标网服务条款的要求的权利,如果用户违背了用户服务条款的规定,将会中断其用户服务的帐号。
十七、 青少年用户特别提示
青少年用户必须遵守全国青少年网络文明公约:要善于网上学习,不浏览不良信息;要诚实友好交流,不侮辱欺诈他人;要增强自护意识,不随意约会网友;要维护网络安全,不破坏网络秩序;要有益身心健康,不沉溺虚拟时空。
上海市第六人民医院 2 2 家市级医院肿瘤综合诊治 (COC)子系统建设项目-上海市第六人民医院项目密码测评服务
采 购 文 件
采 购 单 位: 上海市第六人民医院
二 〇 二 五年七 月
一、 项目基本情况
1. 项目名称: 2 2 家市级医院肿瘤综合诊治 (COC)子系统建设项目-上海市第六人民医院项目密码测评服务
2. 预算金额: 670 00 元人民币
3. 采购方式: 院内谈判
4. 项目内容:包括本项目批复范围内全部项目内容。
二、申请人资格要求
1. 具有 “三证合一”的营业执照,具有独立承担民事责任的能力。
2. 参加采购活动前三年内,在经营活动中没有重大违法记录。
3. 未被列入 “信用中国”网站失信被执行人名单、重大税收违法案件当事人名单和中国政府采购网政府采购严重违法失信行为记录名单的供应商。
4. 本项目不接受联合体投标。
三、申请时间及联系人
报名时间:自公告日期起一周内( 5个工作日)
报名邮箱: lyxxclg@163.com
谈判时间:报名截止后另行通知
谈判地点:临港院区 11号楼1楼会议室
联 系 人: 李桃
联系电话: 021- 38297266
1 适用范围及说明
1.1、本采购文件适用于22家市级医院肿瘤综合诊治(COC)子系统建设项目-上海市第六人民医院项目密码测评服务的公开采购。中标单位负责与相关部门的沟通、协调、落实经相关部门出具的实施方案。直至服务完成,采用院内采购方式选择实施单位。
1.2、采购单位向投标单位提供的有关采购文件及资料和数据或组织勘察现场,是采购单位现有的能使投标单位利用的资料,采购单位对投标单位由此做出的推论、理解和结论概不负责。
2 投标费用
投标人应承担所有与编写、提交投标文件和制作样品等有关的费用,不论投标的结果如何,采购方在任何情况下均无义务和责任承担这些费用。
3 采购文件
投标人应认真阅读采购文件中所有的章节、条款、格式、附表。如果投标人没有按照采购文件的要求提交全部资料,或者投标文件没有对采购文件在各方面都做出实质性响应,则属于投标人的风险,没有实质上响应采购文件要求的投标将被拒绝。
4 投标文件
4.1投标文件组成:投标报价、资质证明文件、营业执照、项目方案、“信用中国”相关企业证明文件等投标单位认为需要提交的其他材料。
4.2请投标公司在报名时间截止前将以下内容发至报名邮箱:投标公司名称、投标项目名称、投标公司联系人、投标公司联系人电话、投标公司信用中国截图及投标意向书(需加盖投标单位公章)电子档。如投标单位多次无理由缺席,将被纳入医院采购黑名单。 重要提示:发送至邮箱的材料中请勿包含投标文件。 投标文件需由应标人在采购当日,采用密封方式携带至谈判地点,并在监督下现场拆封。请勿在邮件中包含投标文件,如因此对投标人造成不利影响,责任由投标人自负。
5 签订合同
合同由院方提供标准合同模板。
项目名称 : 22家市级医院肿瘤综合诊治(COC)子系统建设项目-上海市第六人民医院项目密码测评服务
项目地点 :本项目将在上海市第六人民医院实施和应用。
项目背景:
对 22家市级医院肿瘤综合诊治(COC)子系统建设项目-上海市第六人民医院项目进行 密码测评, 确保肿瘤综合诊治 (COC)子系统建设 的密 码应用符合相关规定或者批复要求, 将测评结果 作为验收重要内容 。 通过测评发现信息系统密码应用的安全现状与需要达到的安全等级或目标的差异,进行全面有效的密码应用安全整改建设,使系统密码应用在技术和管理方面有针对性的加强和完善,以确保网络和信息系统的安全。
依据《信息安全技术 信息系统密码应用基本要求》(GB/T 39786-2021)标准,参照《商用密码应用安全性评估管理办法》、《信息安全技术 信息系统密码应用测评要求》(GB/T 43206-2023)、《信息系统密码应用测评过程指南》(GM/T 0116-2021)、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》等技术要求,逐一对信息系统进行密码应用的合规性、正确性、有效性进行安全性评估,通过商用密码应用安全性评估深入查找密码应用的薄弱环节和安全隐患,分析面临的风险,为提升信息系统安全奠定基础。
测评范围需符合申康或数据局验收标准, 测评内容包括但不限于以下内容:
( 一 )安全技术测评:包括物理和环境安全、 网络和通信安全、 设备和计算安全、 应用和数据安全等四个方面的安全测评。
1、 物理和环境安全
|
测评类别 |
测评单元 |
|
安全技术测评 -物理和环境安全 |
身份鉴别 |
|
电子门禁记录数据完整性 |
|
|
视频记录数据完整性 |
2、 网络和通信安全
|
测评类别 |
测评单元 |
|
安全技术测评 -网络和通信安全 |
身份鉴别 |
|
通信数据完整性 |
|
|
通信过程中重要数据的机密性 |
|
|
网络边界访问控制信息完整性 |
|
|
安全接入认证 |
3、 设备和计算安全
|
测评类别 |
测评单元 |
|
安全技术测评 -设备和计算安全 |
身份鉴别 |
|
远程管理通道安全 |
|
|
系统资源访问控制信息完整性 |
|
|
重要信息资源安全标记完整性 |
|
|
日志记录完整性 |
|
|
重要可执行程序完整性、重要可执行程序来源真实性 |
4、 应用和数据安全
|
测评类别 |
测评单元 |
|
安全技术测评 -应用和数据安全 |
身份鉴别 |
|
访问控制信息完整性 |
|
|
重要信息资源安全标记完整性 |
|
|
重要数据存储机密性 |
|
|
重要数据传输机密性 |
|
|
重要数据传输完整性 |
|
|
重要数据存储完整性 |
|
|
不可否认性 |
( 二 )安全管理测评:包括安全管理(分为制度、人员、建设和应急四个子模块)的安全测评。
1、 管理制度
|
测评类别 |
测评单元 |
|
安全管理测评 -管理制度 |
具备密码应用安全管理制度 |
|
密钥管理规则 |
|
|
建立操作规程 |
|
|
定期修订安全管理制度 |
|
|
明确管理 制度发布流程 |
|
|
制度执行过程记录留存 |
2、 人员管理
|
测评类别 |
测评单元 |
|
安全管理测评 -人员管理度 |
了解并遵守密码相关法律法规和密码管理制度 |
|
建立密码应用岗位责任制度 |
|
|
建立上岗人员培训制度 |
|
|
定期进行安全岗位人员考核 |
|
|
建立关键岗位人员保密制度和调离制度 |
3、 建设运行
|
测评类别 |
测评单元 |
|
安全管理测评 -建设运行 |
制定密码应用方案 |
|
制定密钥安全管理策略 |
|
|
制定实施方案 |
|
|
投入运行前进行密码应用安全性评估 |
|
|
定期开展密码应用安全性评估及攻防对抗演习 |
4、 应急处置
|
测评类别 |
测评单元 |
|
安全管理测评 -应急处置 |
应急策略 |
|
事件处置 |
|
|
向有关主管部门上报处置情况 |
( 一 )供应商资格及要求
1、 供应商满足《中华人民共和国政府采购法》第二十一条及二十二条规定的条件;
2、 供应商应须具备有效期内的国家密码管理部门颁发商用密码检测机构资质证书(业务范围:商用密码应用安全性评估) 。
( 二 )测评依据
1、 《中华人民共和国密码法》;
2、 《商用密码应用安全性评估管理办法》;
3、 《关于规范和加强我市重要网络和信息系统密码应用与安全性评估工作的通知》;
4、 《信息安全技术 信息系统密码应用基本要求》( GB/T 39786-2021);
5、 《信息安全技术 信息系统密码应用测评要求》( GB/T 43206-2023);
6、 《信息系统密码应用测评过程指南》( GM/T 0116-2021);
7、 《信息系统密码应用高风险判定指引》;
8、 《商用密码应用安全性评估量化评估规则》。
( 三 )测评工作原则
遵循以下若干原则,是评估结论真实、准确、可信的基础,也是评估组在独立实施评估时,在相似的情况下得出相似结论的前提。本次商用密码应用安全性测评实施方案设计与具体实施应满足以下原则:
1、 客观公正原则:评估实施过程中评估人员应保证在最小主观判断情形下,按照评估双方认可的评估方案,基于明确定义的评估方式和解释,实施评估活动。
2、 经济性和可重用性原则:评估工作可重用已有评估结果,包括商用密码应用安全性评估结果。所有重用结果都应以结果适用于待评估系统为前提,并能够客观反映目前系统的安全状态。
3、 可重复性和可再现性原则:依照同样的要求,使用同样的评估方法,不同的评估机构对每个评估实施过程的重复执行应得到同样的结果。可再现性和可重复性的区别在于,前者关注不同评估者评估结果的一致性,后者则与同一评估者评估结果的一致性有关。
4、 结果完善性原则:在正确理解《 GB/T39786-2021 信息安全技术信息系统密码应用基本要求》各个要求项内容的基础之上,检测所产生的结果应客观反映系统的运行状态。评估过程和结果应服从正确的评估方法,确保其满足要求。
( 四 )测评服务总体要求
1、 供应商应详细描述本次项目的整体实施方案,包括项目概述、密码应用测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2、 供应商应详细描述实施人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本次项目实施。
3、 本次项目实施过程中所使用到的各种工具软件由供应商 提供 。在响应文件中应详细描述所使用的安全技术工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
4、 本次项目实施过程中所使用到的测评工具,应包括自主密码专用检测工具、 漏洞扫描工具等获得许可的检测工具,对系统数据进行分析,并以分析结果辅证评估报告。
5、 安全技术工具软件运行可能需要的硬件平台和操作系统软件等由供应商 提供 。
6、 项目实施需要的运行环境(如场地、网络环境等)由采购人提供,供应商应详细描述需要的运行环境的具体要求。
( 五 )测评服务过程及内容要求
测评方与被测单位之间的沟通与洽谈应贯穿整个测评过程 , 详细的服务内容如下表:
|
序号 |
测评阶段 |
测评类 |
服务说明 |
|
1 |
评估准备 |
准备阶段 |
编制项目计划书、收集被测系统基本资料并完成调查表格,分析调查结果,准备工具和评估表单 |
|
2 |
方案编制 |
评估方案编制 |
识别并描述被测系统基本情况、确定测评对象、资产和威胁评估、系统定级结果和测评指标、确定检查点和检查方法、确定单元测评内容 |
|
3 |
总体测评 |
总体要求 |
通过访谈、配置检查和工具测试的方式评估信息系统的密码算法、密码技术、密码产品和密码服务的合规性 |
|
4 |
安全技术测评 |
物理和环境安全 |
通过访谈、配置检查和工具测试的方式测评信息系统机房环境的安全情况。主要涉及对象为机房环境的电子门禁系统。本次评测包括电子门禁的身份鉴别和电子门禁记录的完整性保护。 |
|
网络和通信安全 |
通过访谈、配置检查和工具测试的方式测评信息系统的网络和通信安全保障情况。本次重点测评包括通信对象的身份鉴别、访问控制信息完整性、通信数据完整性和通信数据机密性等 |
||
|
设备和计算安全 |
通过访谈、配置检查和工具测试的方式测评信息系统的主机安全保障情况,本次重点测评包括本地主机和数据库服务器身份鉴别、远程管理身份鉴别身份信息机密性、访问控制信息完整性、敏感标记完整性、日志记录完整性等 |
||
|
应用和数据安全 |
将通过访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等 ,本次重点测评包括信息系统身份鉴别、访问控制信息完整性、数据传输机密性、数据存储机密性、数据传输完整性、数据存储完整性、日志记录完整性等 |
||
|
5 |
安全管理测评 |
安全管理 |
安全管理部分为全局性问题,涉及密码安全管理制度、密码安全管理人员、系统实施和系统应急管理等四个方面。 |
|
6 |
分析报告阶段 |
报告编制 |
根据测评编制密码应用测评报告,包括:概述、被测系统描述、测评对象说明、测评指标说明、测评内容和方法说明、单元测评的结果记录及结果汇总、整体测评、测评结果汇总、风险分析、评估结论等内容。 |
( 六 )测评工具要求
1、 测评工具要求
本次项目实施过程中所使用到的测评工具,应包括具有自主知识产权或计算机软件著作权的密码检测工具(详细描述所使用工具的型号、功能、使用的方式和对环境和平台的要求以及使用可能对系统造成的风险等),对系统数据进行分析,并以分析结果辅证评估报告。
检测工具包括但不限于以下几类:
( 1 ) 密码算法验证工具,包括国密算法 SM2、SM3、SM4,常见的国际通用算法AES、DES、RSA等的验证;
( 2 ) 随机数随机性检测工具;
( 3 ) 数字证书检测工具,包括数字证书的格式的合规性验证、数字证书的证书链的检验等;
( 4 ) 网络协议分析工具;包括但不限于 SSL协议、IPSec 协议;包括主动协议分析工具和被动分析工具。
2、 模拟测评环境要求
服务提供方具有密码测评模拟验证环境的能力及相关设备,包括但不限于以下的密码设备:
( 1 ) SSL VPN:支持国密算法;具有商用密码产品认证证书,用于搭建SSL VPN网络,模拟SSL VPN通信信道的测评。
( 2 ) IPSec VPN:支持国密算法;具有商用密码产品认证证书,用于搭建IPSec VPN网络,模拟IPSec VPN通信信道的测评。
( 3 ) 服务器密码机:支持国密算法;具有商用密码产品认证证书,用于实现重要数据的加解密和完整性保护,模拟重要数据加解密和完整性保护的测评。
|
评审内容 |
评审因素 |
评审标准 |
|
|
形式评审 |
报价表 * |
□满足 |
□不满足 |
|
营业执照 * |
□满足 |
□不满足 |
|
|
法定代表人授权委托书 * |
□满足 |
□不满足 |
|
|
资格评审 |
具备经国家密码管理局认定的商用密码检测机构资质证书 (业务范围:商用密码应用安全性评估)* |
□满足 |
□不满足 |
|
响应性评审 |
投标单位主要实施人员具备通过国家密码管理局组织的商用密码应用安全性评估人员测评能力考核,数量不少于 2人▲ |
□满足 |
□不满足 |
|
上海地区相关项目案例(不少于 1家)▲ (合同首页、签章页) |
□满足 |
□不满足 |
|
|
投标单位具有 ISO9001质量管理认证(资质范围:商用密码产品检测服务、商用密码应用安全性评估服务)▲ |
□满足 |
□不满足 |
|
|
具有 ISO27001信息安全管理认证(资质范围:商用密码产品检测服务、商用密码应用安全性评估服务)▲ |
□满足 |
□不满足 |
|
|
具备 CNAS检验机构认可证书(资质范围:信息系统商用密码应用安全性评估)▲ |
□满足 |
□不满足 |
|
评分细则:
( 1)“*”为重要指标,不满足做无效处理;
( 2)“▲”为加分指标;
( 3)优先选择满足以上所有参数的供应商;若多家供应商均可满足以上所有参数,则选择价格最低的供应商;所有供应商均无法满足相关参数的,则本次采购作废。
