第三章 服务需求 项目名称:铁岭市医疗保障局医疗保障信息平台等保测评及商用密码安全性评估服务采购项目。
履约期限:合同签订之日起至2023年10月。
履约地点:铁岭市凡河新区金沙江路26号
付款方式及条件:
网络安全测评服务费:完成等保测评工作完成,提交至采购人工作成果物《等保测评报告》,签收后30日内,采购人一次性以电汇方式支付系统等保测评服务费100%;
商用密码应用安全性评估服务费:完成商用密码应用安全性评估工作,提交采购人工作成果物《密评报告》,签收后30日内,一次性以电汇方式支付系统商用密码应用安全性评估服务费100%。
验收标准:按照招标文件要求及合同中相关规定执行。
验收程序:按辽财采〔2017〕603号要求执行。
验收报告:由采购人出具。
组织验收主体:本项目的履约验收工作由采购人依法组织实施。
一、项目概况 为保障铁岭市医疗保障信息平台的安全运行,依据《中华人民共和国密码法》、《中华人民共和国网络安全法》,铁岭市医疗保障信息平台应按要求开展网络安全等级保护测评、商用密码应用安全性评估工作。依据《医疗保障核心业务区网络安全接入规范》(医保网信办〔2019〕3号)、《医疗保障信息平台建设指南》,医保平台接入单位网络须符合等保三级要求,接入医疗保障核心业务区网络应采取访问控制、数据加密、身份认证等安全防护措施。
二、服务要求 ★1、服务内容
(1)按照国家网络安全等级保护2.0相关标准规范,每年对铁岭市医疗保障信息平台的7个子系统,分别为公共服务子系统、内部统一门户子系统、医保业务基础子系统、医疗保障智能监管子系统、支付方式管理之系统、基础信息管理子系统、内部控制子系统,开展网络安全等级测评和商用密码应用安全性评估,交付《网络安全等级测评报告》和《商用密码应用安全性评估报告》。在测评过程中,及时报告发现的问题,对安全整改提供专业的咨询意见,给业主提供整改方案进行参考。
(2)服务要求:
1).投标人应具有对应的网络安全等级保护测评服务能力、商用密码应用安全性评估服务能力。为保证本项目项目实施质量,参与本项目的服务团队人员应具有丰富的项目经验和技术能力、水平,并具有相关个人从业能力资质认证。
2).投标人应安排具有丰富的项目经验和技术能力、水平的服务团队,并具有相关个人从业能力资质认证的人员。
★2、具体服务要求
★(一)、网络安全等级保护测评服务要求
★1、总体要求
本项服务要求中标单位依据GB/T *****-2019 《信息安全技术 网络安全等级保护基本要求》、GB/T *****-2019 《信息安全技术 网络安全等级保护测评要求》、等国家和行业相关信息系统安全规范标准,在服务期内对铁岭市医疗保障信息平台的7个子系统(公共服务子系统、内部统一门户子系统、医保业务基础子系统、医疗保障智能监管子系统、支付方式管理之系统、基础信息管理子系统、内部控制子系统)开展信息安全等级测评。测评内容为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等10方面测评任务。
★2、测评详细指标要求
★(1)单元测评
单元测评分为技术测评和管理测评两大类。技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面上的单元测评;管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的单元测评。
1)安全物理环境测评内容:
物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2)安全通信网络测评内容:
网络架构、通信传输、可信验证。
3)安全区域边界测评内容:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。
4)安全计算环境测评内容:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
5)安全管理中心测评内容:
系统管理、审计管理、安全管理、集中管控。
6)安全管理制度测评内容:
安全策略、管理制度、制定和发布、评审和修订。
7)安全管理机构测评内容:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
8)安全管理人员测评内容:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
9)安全建设管理测评内容:
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
10)安全运维管理测评内容:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
★(2)整体测评
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。
测评人员应根据特定信息系统的具体情况,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
系统整体测评主要包括四个部分:分别为安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试。
1)安全控制间安全测评
安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。安全功能上的增强和补充可以使两个不同强度、不同等级的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。例如,可以通过物理层面上的物理访问控制来增强其安全防盗窃功能等。安全功能上的削弱会使一个安全控制的引入影响另一个安全控制的功能发挥或者给其带来新的脆弱性。例如,应用安全层面的代码安全与访问控制,如果代码安全没有做好,很可能会使应用系统的访问控制被旁路。
2)层面间安全测评
层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。安全功能上的增强和补充可以使两个不同层面上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个层面上的安全控制影响另一个层面安全控制的功能发挥或者给其带来新的脆弱性。
3)区域间安全测评
区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。例如,流入某个区域的所有网络数据都已经在另一个区域上做过网络安全审计,则可以认为该区域通过区域互连后具备网络安全审计功能。安全功能上的增强和补充可以使两个不同区域上的安全控制发挥更强的综合效能,可以使单个低等级安全控制在特定环境中达到高等级信息系统的安全要求。安全功能上的削弱会使一个区域上的安全功能影响另一个区域安全功能的发挥或者给其带来新的脆弱性。
4)验证测试
验证测试包括对主机、网络、数据、应用(含移动应用)的漏洞扫描和渗透测试等,验证测试发现的安全问题将结合单元测评取得的证据共同分析信息系统整体结构的安全性。
★(二)、商用密码应用安全性评估服务要求
★1、总体要求
根据《信息安全技术 信息系统密码应用基本要求》(GB/T *****-2021)、《信息系统密码测评要求》等标准要求和行业商用密码相关规范标准,在服务期内,对7个系统(公共服务子系统、内部统一门户子系统、医保业务基础子系统、医疗保障智能监管子系统、支付方式管理之系统、基础信息管理子系统、内部控制子系统)。测评内容为:商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。出具商用密码应用安全性评估报告。
★2、详细要求
(1) 商用密码总体要求测评
1)密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。
2)密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。
3)密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。
4)密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。
(2) 密码技术应用测评
从物理和环境、网络和通信、设备和计算、应用和数据4个层面对信息系统中应用的密码技术进行分析与评估。
物理和环境层面测评:分析评估信息系统是否合理、合规的利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。
网络和通信层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。
设备和计算层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。
应用和数据层面测评:分析评估信息系统是否合理、合规的利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不不可否认性,信息系统应用和数据操作环境的日志记录完整性。
(3)密钥管理测评
对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。
(4)安全管理测评
对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。
1)安全管理制度维度,包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。
2)人员管控维度,包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。
3)信息系统实施维度,包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。
4)应急预案维度,包括但不限于下列内容与措施:应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。
★3、服务人员及其它要求
(1)投标人要指派项目总负责人1名,要求具有计算机相关专业高级技术职称或信息安全等级测评师证书(高级)。
(2)专业技术人员要求:
项目期间,投标人负责根据采购人对项目的实际需求,提供与本项目相关行业、领域内的专业技术人员,总投入人员不少于6人,其中不少于3名人员具有等级保护测评师证书、3名人员具有商用密码应用安全性评估人员测评能力考核证书。
投标文件中须提供上述拟派人员基本信息、职责,并提供拟派人员的身份证、证书复印件和投标人为相关拟派人员截止开标前连续6 个月缴纳社保的证明材料。
(3)投标人自行解决服务期间办公用房、交通与通讯设施、服务单位人员住宿。投标报价应包括为完成本服务内容可能发生的各项费用,如工作、生活、交通、通讯、设备(仪器)、劳力、利润、税收等,以及所有有关的管理成本。
参加辽宁省政府采购活动的供应商未进入辽宁省政府采购供应商库的,请详阅辽宁政府采购网 “首页—政策法规”中公布的“政府采购供应商入库”的相关规定,及时办理入库登记手续。填写单位名称、统一社会信用代码和联系人等简要信息,由系统自动开通账号后,即可参与政府采购活动。具体规定详见《关于进一步优化辽宁省政府采购供应商入库程序的通知》(辽财采函〔2020〕198号)。
