宁夏回族自治区疾病预防控制中心组织实施宁夏学校卫生信息系统商用密码应用安全性评估项目，该项目已具备采购条件，决定采用询价函的方式进行询价，具体事宜如下：

一、项目背景

密码是保障网络安全的核心技术和基础支撑，是解决网络与信息安全问题最有效、最可靠、最经济的手段。近年来密码在维护国家安全、促进经济社会发展、保护人民群众利益方面发挥了越来越重要的作用，国家对重要领域商用密码的应用、基础支撑能力的提升以及安全性评估、审查制度等不断提出明确要求。2019年10月26日第十三届全国人民代表大会常务委员会第十四次会议通过《中华人民共和国密码法》，明确要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。因此，为落实国家密码法，现需要委托第三方公司对宁夏学校卫生信息系统进行商用密码安全性应用评估工作，通过测评，查找安全隐患并整改，确保中心信息系统的安全稳定运行。

二、项目依据

《中华人民共和国密码法》

《GMT 0054-2018 信息系统密码应用基本要求》

《信息系统密码测评要求（试行）》

《商用密码应用安全性评估测评过程指南（试行）》

《商用密码应用安全性评估管理办法（试行）》

《商用密码应用安全性评估测评作业指导书（试行）》

《商用密码应用安全性评估测评工具使用需求说明（试行）》

《GB/T *****-2019 信息安全技术 网络安全等级保护基本要求》

《GB/T *****-2007 信息安全技术 信息安全风险评估规范》

《GB/T *****-2021 信息安全技术信息系统密码应用基本要求》

三、项目目的

针对宁夏学校卫生信息系统开展可控的商用密码应用安全性评估，对其密码应用的合规性、正确性和有效性进行评估，给出信息系统在商用密码技术应用、密钥管理及安全管理等方面与其相应安全等级信息系统密码应用基本要求之间的差距，并提供合理化建议，协助宁夏疾控中心设计详细和合理的整改方案，通过整改工作使宁夏学校卫生信息系统达到与其相应安全等级信息系统密码应用基本要求，有效地提高宁夏疾控中心信息安全建设的整体水平。

四、测评内容及要求

（一）评估内容

本项目按照等级保护三级信息系统的要求，对宁夏学校卫生信息系统开展商用密码应用安全性评估。项目内容主要包括以下几点：

1、完成宁夏学校卫生信息系统拟定三级的商用密码应用安全性评估工作，根据《GM/T 0054-2018信息系统密码应用基本要求》的要求，评估的内容包括但不限于以下内容：

（1）总体要求：包括密码算法、密码技术、密码产品、密码服务等四个方面的安全性评估；

（2）密码功能性要求：包括机密性、完整性、真实性、不可否认性等四个方面的安全性评估；

（3）技术要求：包括物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全等四个方面的安全性评估；

（4）密钥管理：包括密钥生成、密钥存储、密钥使用、密钥分发、密钥导入与导出、密钥备份与恢复、密钥归档、密钥销毁等方面的安全性评估；

（5）安全管理：包括制度管理、人员管理、实施管理、应急管理等四个方面的安全性评估。

2、协助宁夏疾控中心将评估结果报密码管理部门备案。

（二）项目实施要求

1、根据宁夏学校卫生信息管理平台项目进度进行实施，在2个月内完成商用密码应用安全性评估并出具评估报告。

2、项目前期，协助甲方完成密码应用方案，配合甲方完成方案论证及备案。

3、信息系统开展测评工作时，测评项目组应配备至少2名测评师（其中项目经理至少具备中级测评师资质）以满足该信息系统顺利开展、实施。实施过程中，前期应进行密码应用预评估，结合评估结果完成整改后，协助甲方完成复评工作。

4、在项目实施过程中，不能影响甲方正常业务办公的开展。投标方要给予承诺，并承担由此引起的损失。

5、在合同服务期内，中标方提供技术服务热线，并安排专业人员为中心解答本项目有关技术问题，一旦收到甲方的服务请求，中标方项目组成员应立即给予响应，提供应急事件处理及应急响应服务。在重大节日保障期间，或一旦被测系统出现紧急重大安全事件，中标方应在收到单位服务请求30分钟内提供远程协助；确定需要现场服务的，2小时内到达现场提供服务。

6、交付物

项目实施完成后，要求投标方提供包括但不限于交付物如下：

（1）商用密码应用安全测试方案；

（2）商用密码应用安全性评估报告；

（3）整体性的汇总报告；

（4）项目过程的原始记录文件、各项管理文档等；

（5）生成的阶段性评估结果报告或资料等中间文件。

五、服务商资格要求

（一）满足《中华人民共和国政府采购法》第二十二条的相关规定；

1、具有独立承担民事责任的能力；

2、具有良好的商业信誉和健全的财务会计制度；

3、具有履行合同所必需的设备和专业技术能力；

4、有三个月内依法缴纳税收和社会保障资金的良好记录；

5、在经营活动中没有重大违法记录；

6、法律、行政法规规定的其他条件;

（二）服务商须提供的材料：

1、有效的营业执照、组织机构代码证或统一社会信用代码的营业执照；（复印件加盖公章）

2、法定代表人签署的专项授权委托书及授权代理人身份证原件（法定代表人直接投标可不提供，但须提供法定代表人身份证明）；（复印件加盖公章）

3、服务商出具参加采购活动前3年内在经营活动中没有重大违法记录的书面声明；（原件加盖公章）

4、具有履行合同所必须的设备和专业技术能力的承诺函或证明材料；

5、服务商须属于国家密码管理局公布的《商用密码应用安全性评估试点机构目录》内企业（复印件加盖公章）。

六、询价函的回复时间

凡有意参加本项目询价的单位，请于2022年11月18日中午12点前，请将报价方案（含技术服务、售后服务等）及资格要求中所要求的材料（复印件加盖公章）密封送至宁夏回族自治区银川市兴庆区胜利街528号宁夏疾病预防控制中心后勤保障科。

七、询价答疑

如对本次项目及参数有任何疑问请咨询宁夏疾控中心学校卫生科，咨询人：谭卫星，咨询电话：0951-*******。

采购人：宁夏回族自治区疾病预防控制中心

地 址：银川市兴庆区胜利街528号

宁夏回族自治区疾病预防控制中心

2022年11月11日