*、項目背景

****年*月，國家醫保局印發《關于印發醫保數據“兩結合*賦能”工作方案的通知》（醫保辦發〔****〕**號），正式提出了“兩結合*賦能”這*新概念，推進國家平臺建設的統*性與地方業務需求的靈活性有機結合，以及醫保數據“走出去”與相關數據“引進來”有機結合。“兩結合*賦能”旨在加快構建數據基礎制度，加強醫保數據對醫保改革、管理和服務賦能，充分發揮我國海量數據規模和豐富應用場景優勢，激活數據要素潛能，推進實現數據社會化、規模化、市場化應用落地，做強做優做大數字經濟，增強經濟發展新動能，構筑國家競爭新優勢。

****年*月，黃華波副局長在工作調研時提到，切實提高群眾醫保獲得感、幸福感、安全感。發揮好“*人*檔”參保信息管理平臺優勢，加強參保宣傳引導，精準開展參保工作，不斷鞏固全民參保成果。****年**月，國家醫保局組織召開“*人*檔”參保信息管理研討會，黃華波副局長強調，要深入實施基本醫保全民參保計劃，加強上下聯動和橫向協同，深入推進“兩結合*賦能”工作，強化數據賦能，以全民參保“*人*檔”庫建設為抓手，切實提高參保工作的針對性、有效性和智能化水平，不斷提高工作的質量和效率，提高群眾對醫保工作的滿意度和獲得感。

*、規劃政策符合性

本項目的建設符合中共中央、國務院《關于構建數據基礎制度更好發揮數據要素作用的意見》、中共中央國務院《關于深化醫療保障制度改革的意見》、國務院辦公廳《“***”全民醫療保障規劃》、國家醫保局印發《醫保數據“兩結合*賦能”工作方案的通知》（醫保辦發〔****〕**號）（以下簡稱《通知》）等政策文件要求，同時也符合遼寧省人民政府辦公廳《數字遼寧發展規劃*.*版》（遼政辦發〔****〕**號）、《遼寧省“***”醫療保障規劃》《關于印發〈遼寧省醫療保障信息平臺建設方案〉的通知》（遼醫保〔****〕***號）、《沈陽市“***”醫療保障事業發展規劃》等要求，滿足我市醫保“*人*檔”數據建設工作的實際需要。

*、總體架構設計

沈陽市貼心醫保檔案項目建設遵循國家醫療保障信息化統*標準、統*技術架構的要求，依托沈陽市醫療保障信息平臺已有基礎設施和信息安全保障體系，在現有業務應用系統基礎上擴展建設，與已有業務系統互補建設，對已有的業務中臺和數據中臺的服務和數據進行復用。

（*）總體架構圖如下：

圖*總體架構

用戶層：醫保局人員、定點醫療機構人員、定點*售藥店人員等；展現層：大屏、手持終端、桌面終端等；應用系統層：在醫保信息平臺建設內容基礎上擴展建設貼心沈陽市貼心醫保檔案平臺；應用支撐層：醫保信息平臺業務應用系統和醫保信息平臺業務中臺；數據資源層：醫保數據資源池，及外部數據接入、數據治理、數據轉換模塊；基礎設施層：依托醫保云平臺、醫保專網和互聯網。

（*）應用架構

遵循國家局及省局的平臺建設規范，在沈陽市醫療保障信息平臺上擴展新建沈陽市貼心醫保檔案平臺，主要建設內容包括開發*人*檔信息庫、貼心醫保檔案可視化平臺、貼心醫保檔案管理模塊及數據賦能應用模塊等。

應用架構圖如下：

圖*應用架構

（*）數據架構

遵循國家醫療保障信息平臺數據標準規范，在沈陽市醫療保障信息平臺數據庫基礎上擴展建設沈陽市貼心醫保檔案項目數據庫，*是采集、匯聚在醫保系統中存儲、使用的醫保數據，*是通過從民政、公安等外部機構采集、匯聚特困人員、戶籍、企業信息、判決等數據。對于外部數據的采集，采用增量采集方式。同時，內外部的數據資源，未來可以在沈陽醫保智能審核、數據要素分析等**、數據智能分析場景提供支撐。

數據架構圖如下：

圖*數據架構

（*）網絡架構

沈陽市貼心醫保檔案項目依托于醫療保障現有網絡環境，以“云計算”技術為基礎，整合業務數據和相關資源網絡系統基于網絡安全等級保護（*級）的要求，采用分區分域安全架構設計。

核心業務區內部劃分為核心業務服務器區、核心業務網絡區、安全管理區、核心業務數據交換區、核心業務出口區等區域；

公共服務區內部劃分為公共服務業務服務器區、公共服務網絡區、安全管理區、公共服務出口區等區域；

核心業務區與公共服務區之間由安全隔離區內的網閘設備進行隔離，為滿足網絡安全管理工作要求，在核心業務區和公共服務區同時設計規劃安全管理區。

網絡系統建設能夠保障業務系統穩定、可靠、高效地運行，具有良好的可擴充性、可管理性，滿足未來業務系統擴充與資源部署變更的發展需要。

網絡拓撲結構圖如下：

圖*網絡拓撲結構圖

（*）安全架構

本項目復用醫保信息平臺安全體系，該平臺網絡安全體系框架由領導決策層、安全策略、安全技術、安全管理體系、基礎防御（包括安全基礎設施）等*部分構成。這*部分以保護對象為核心相互協作，構成*個集成的安全體系框架，各部分之間的邏輯關系如下表所示：

表*-*：安全體系總體框架關系表

在領導決策層的統*部署下，其余*部分之間協同工作，共同保障保護對象的安全。為了實現滿足國家法律法規要求，實現沈陽市醫療保障事務服務中心網絡安全的整體目標，需要構建由網絡安全技術、網絡安全管理和網絡安全運營于*體的網絡安全保障體系。

（*）安全技術

網絡安全技術體系是覆蓋縱深防御、監測分析、響應處置和態勢管理，從物理環境、網絡通信、設備計算、應用數據、云計算和移動互聯幾個層面形成整體的技術防護框架，防護措施全面覆蓋國家醫療保障體系的網絡和信息系統。

（*）安全管理

網絡安全管理體系是確保網絡安全責任明確和建章立制的核心，結合網絡安全管理體系的風險管理模式，需要建立可持續改進的安全管理體系架構，覆蓋組織架構崗責、安全管理制度、人員安全管理和安全培訓等安全管理控制。

（*）安全運營

網絡安全運營體系是要全面落實并形成“同步規劃、同步建設、同步運行”的整體運營模式，整體完善配套的組織崗責和任務分工；建立相應的規范流程，形成“事前預防、事中監控、事后審計”的運營管理機制，在運營管理機制落實的過程中，逐步建立自動化平臺支撐安全運營工作。

安全體系總體架構通過技術手段來貫徹行政管理策略實現，包括：信息系統的安全策略、安全管理、安全技術和基礎設施與領導決策。

圖*安全保障體系架構

醫保信息平臺存儲、傳輸、處理大量醫療保障業務信息。信息的可用性、完整性和機密性是網絡安全的基本要素，必須保護信息及支撐系統、程序等資產不受威脅侵害。確保該平臺的持續可靠運行，需要在信息系統的全生命周期內從管理、技術、工程實施、運行等方面進行安全保障。

根據網絡安全管理體系框架，沈陽市貼心醫保檔案項目網絡安全總體策略是頂層的管理文檔，是醫療保障網絡安全保障工作的出發點和核心，是信息系統安全保障管理實踐和技術措施的指導性文件，是醫療保障系統所有工作人員必須遵循的網絡安全行為準則。

總體安全策略應向所有工作人員說明網絡安全對沈陽市貼心醫保檔案項目運行的重要性、每個工作人員在網絡安全中的責任和義務、違反網絡安全策略并造成嚴重后果時采取的行動。具體包括以下內容。

*.網絡安全的定義、整體目標和范圍以及安全對信息系統的重要性。

*.聲明領導層對信息系統安全的意圖以及對網絡安全目標和原則的支持。

*.對安全策略、規章制度、技術標準、組織實施的簡介，包括符合法律法規等方面的要求。

*.工作人員和部門領導在網絡安全管理方面的特定責任，如報告安全事件。

*.支持總體安全策略的相關文檔的參考說明，包括，更詳盡的網絡安全策略和規章制度、必須遵循的技術標準、特定信息系統運行的流程和指南、用戶應該遵守的安全規則等。

*.網絡安全總體策略的制訂將使網絡安全威脅發生的可能性減少到最低程度，最大程度地減少安全違規和信息暴露所導致的損失或破壞程度，通過保障信息系統的機密性、完整性、可用性和抗抵賴，保證各應用系統的業務連續性。

信息系統安全是*個動態的過程，是安全目標、安全策略和實現機制相互作用的過程。建設獨立、完整、集中、分層的安全策略體系是沈陽市貼心醫保檔案項目網絡安全體系的重要內容。

安全策略體系以數據保護為核心，通過數據分級，針對基礎設備設施、應用系統與網絡環境進行分級，并根據其承載數據級別的不同對其安全控制措施要求進行分級。同時，通過安全設備設施策略和應用系統軟件開發安全策略要求，規范并描述其控制措施要求。具體的安全策略架構如下圖所示：

圖*安全策略示意圖

（*）系統整合集約化建設方案

*.基礎設施集約化？

依托現有醫保云平臺，整合貼心醫保檔案管理平臺所需的服務器、存儲、網絡等硬件資源，避免重復建設和資源浪費。根據系統業務負載自動調整資源配置，提升資源利用率。？

*.數據集約化管理？

整合來自民政、公安等外部系統的相關數據，實現數據的集中存儲和管理。采用數據標準化技術，對數據進行清洗、轉換和整合，確保數據的*致性和準確性。通過政務數據資源共享交換平臺實現數據的按需共享和交換，避免數據孤島，充分發揮數據的價值。？

*.應用系統集約化？

遵循國家醫療保障信息化整體規劃和統*標準要求，提高系統的可維護性、兼容性和擴展性。能方便接入新的系統和業務數據，可方便地增加新的數據共享接口，可方便地增加硬件設備、擴容鏈路帶寬等。？

*.安全集約化保障？

建立統*的安全防護體系，涵蓋網絡安全、數據安全、應用安全等多個層面。部署防火墻、入侵檢測系統、數據加密設備等安全設施，保障系統的物理和網絡安全。采用統*的身份認證和權限管理機制，加強對用戶訪問的控制和審計，防止未授權訪問。建立數據備份和恢復機制，定期進行數據備份和恢復演練，確保數據的安全性和完整性。制定統*的安全管理制度和應急預案，加強安全培訓和應急演練，提高系統的安全防護能力。？

*.運維管理集約化？

構建統*的運維管理體系，實現對基礎設施、數據、應用系統的集中監控和管理。通過監控系統實時采集系統運行狀態數據，及時發現和預警系統故障，提高故障處理效率。建立標準化的運維流程，規范運維操作，降低人為失誤風險。統*運維團隊，加強人員培訓和管理，提高運維團隊的專業素養和協同能力。

*、建設內容

（*）*人*檔信息庫

為每個參保人員建立*份檔案，記錄其參保信息、繳費情況、就醫記錄、醫療費用、家庭醫生服務、健康體檢等信息，并采用信息化管理，方便查詢和使用。它有助于保障參保人員的合法權益，提供精準的醫保服務和支持，為政府決策提供數據支持。

*人*檔信息庫可以保障參保人員的合法權益，避免因信息不對稱或遺漏而導致的醫保糾紛。其次，它可以幫助醫保經辦機構更好地了解參保人員的醫療需求和健康狀況，為他們提供更精準的醫保服務和支持。此外，它還可以為政府決策提供數據支持，為醫保制度的改革和發展提供參考。

（*）貼心醫保檔案可視化平臺

對沈陽全市各類人群或單位參保整體情況進行統計匯總，分析人員出生、老化、退休趨勢，以及城鄉居民參保構成情況等。

（*）貼心醫保檔案管理模塊

*.建立*人*檔管理模塊

以個人為單位，為每個參保人建立獨立的醫保檔案，詳細記錄其個人基本信息、醫保參保、醫保繳費、醫保就醫購藥、家庭簽約等情況，引導更多群眾參加職工基本醫療保險，多渠道多手段鼓勵引導法定勞動年齡段已參加本統籌區居民醫保的參保人員轉換參加職工醫保，享受更高水平的醫療保障待遇。便于保障參保人員的合法權益，提供精準的醫保服務和支持，切實提高參保工作的針對性、有效性和智能化水平，不斷提高工作的質量和效率，提高群眾對醫保工作的滿意度和獲得感。

個人拓展應用按照數據檢索分析-個人檔案查詢逐層展現。

*.建立*單位*檔管理模塊

“*單位*檔”是為參保單位建立的醫保檔案，以圖表形式詳細記錄單位的基本信息、各類人群的分布情況、參保趨勢及繳費情況和生育津貼申領情況等。通過這份檔案，醫保部門可以了解企業的醫保需求和風險點，為單位提供更加精準的醫保服務。同時，醫保部門還可以通過分析單位的醫保數據，支持單位對職工進行健康預警，協助企業做好職工健康管理。同時對企業的繳費數據進行監測分析，為地方經濟社會發展賦能。

*.建立*居民*檔管理模塊

“*居民*檔”是以社區（村）為居民單位建立的醫保檔案，以圖表形式展示該社區（村）參保險種、*老*幼參保占比、未參保人數等相關數據。通過這份畫像，有助于科學合理確定年度參保擴面目標、精準擴面、動態管理，為政府決策、社會管理、農村發展等提供有力的支持和參考。

*.建立*院*檔管理模塊

“*院*檔”建設通過建立完整的檔案體系，實現精細化管理和精準服務，通過建立標準化檔案，實現動態追蹤和系統化管理。主要用于統計定點醫療機構從業人員分類信息、撥付信息、藥品及耗材處方信息、***指標信息、預警信息、從業人員多點執業信息。

*.建立*藥*檔管理模塊

“*藥*檔”建設是對醫保目錄內藥品的全方位管理，通過整合藥品基本信息、生產信息、采購信息、配備信息、政策信息以及追溯數據等，實現“*個藥品、*個檔案袋”的管理模式。對提升醫保信息平臺支撐能力、打造優質醫保服務、改革和管理新格局具有*分重要的意義。

（*）數據賦能應用模塊

基于醫保經辦數據與沈陽市政務數據共享平臺對接的多源外部數據（衛健、營商、公安、民政、人社等），可通過系統性數據治理與場景化建模實現精準賦能。

*.提示信息精準推送

沈陽醫保面向參保人員的提示信息精準推送，通過個性化、場景化的內容定向發送，顯著提升了服務效率和用戶體驗。該系統基于參保人的年齡、參保類型、就醫記錄等數據，主動推送繳費提醒、待遇享受進度、政策變化等關鍵信息，幫助用戶及時掌握醫保動態，避免權益損失。同時，依托支付寶小程序、***、微信公眾號等多渠道覆蓋和智能分層推送，確保不同群體高效觸達，尤其為老年人等弱勢群體提供便利。減少窗口咨詢壓力，實現從“人找政策”到“政策找人”的轉變，有效增強了參保人的獲得感和滿意度，體現了醫保服務的智能化與人性化。

*.拓展服務展現渠道

沈陽醫保創新打造貼心醫保檔案“*單位*檔”“*居民*檔”“*醫院*檔”的精準數據服務體系，通過多維度數據分析賦能各參保主體。在居民端，“*居民*檔”提供人群分類畫像、繳費情況分布、參保趨勢演變等深度分析，讓每位社區管理人員清晰掌握自身醫保狀況；在單位端，“*單位*檔”涵蓋參保人群趨勢、在職年限分析、繳費基數對比、人員結構及年齡性別分布等關鍵指標，助力企業優化人力資源管理；在醫療機構端，“*醫院*檔”整合從業人員信息、醫保撥付數據、***分組情況及費用構成分析，為醫院運營提供數據支撐。通過單位網廳、社區網廳和兩定機構門戶實現全渠道覆蓋，將傳統的信息查詢升級為智能數據分析平臺，使各主體不僅能獲取基礎數據，更能通過多維度的趨勢分析和結構比對，實現精準決策和精細管理，全面提升了醫保服務的智能化水平和決策支持能力。

（*）*單位*檔內容可拓展到單位網廳等服務渠道展現。

（*）*居民*檔內容可拓展到社區網廳等服務渠道展現。

（*）*院*檔內容可拓展相關指標通過兩定門戶對兩定機構予以展示，便于兩定機構及時了解情況，進行相應調整與改進。

*.全民參保擴面數據分析

沈陽醫保全民參保擴面數據分析功能通過精準統計全市各區域靈活就業人員及城鄉居民的參保情況、繳費記錄和裝戶圖信息，構建了覆蓋全域的參保監測體系。該功能將分析結果智能下派至各醫保分中心，通過數據驅動的管理模式，指導分中心針對性地督導社區開展參保動員工作——既能精準定位未參保人群分布區域，又可實時追蹤斷繳人員動態，還能通過裝戶圖比對驗證參保真實性。這種“市級分析－分中心調度－社區落實”的*級聯動機制，實現了從數據研判到精準擴面的閉環管理，大幅提升了參保擴面工作的針對性和執行效率，為達成應保盡保目標提供了智能化的工作抓手。

*.基層醫療機構家庭醫生簽約小程序

家庭醫生簽約小程序用于協助退休老年人快速簽約家庭醫生，基層醫療機構可向參保人出示*維碼，參保人通過掃描*維碼進行家庭醫生服務簽約，只能辦理退休老年人首次簽約，不收取簽約服務費。參保人在進行信息錄入時需通過身份證號進行人員參保信息及待遇情況驗證，可通過頁面醫院列表進行簽約醫院選擇并對選擇的醫院進行開通服務情況及簽約人數上限進行驗證。成功辦理家庭醫生簽約的參保人可通過小程序進行簽約信息的撤銷。

*.法庫縣醫共體家庭醫生簽約小程序

法庫縣醫共體家庭醫生簽約小程序用于法庫縣醫共體進行家庭醫生服務簽約申請。可實現多賬號權限分配功能，允許居民進行簽約申請，簽約申請過程中支持掃臉功能，對參保人進行實名身份認證，參保人在進行信息錄入時需通過身份證號進行人員參保信息及待遇情況驗證，可通過頁面醫院列表進行簽約醫院選擇并對選擇的醫院進行開通服務情況及簽約人數上限進行驗證，成功辦理后可支持撤銷操作。簽約申請后需法庫縣定點醫療機構通過兩定門戶對簽約申請信息進行審核，審核通過后家庭醫生簽約服務信息生效。簽約服務費**元由定點醫療機構進行收取。

（*）建設內容匯總表

*、其他要求

（*）性能要求

*.交互類業務

交互類業務是指平時工作中在系統中進行的業務處理，如錄入、修改或刪除*條記錄、發布*條信息等操作。

平均響應時間：*秒；

峰值響應時間：*秒；

對于前臺經辦業務批量數據導入（按*次****條評估）；

平均響應時間：*秒；

峰值響應時間：**秒。

*.查詢類業務

查詢業務由于受到查詢的復雜程度、查詢的數據量大小等因素的影響，需要根據具體情況而定，在此給出*個參考范圍。

簡單查詢平均響應時間：*秒；

復雜查詢平均響應時間：*秒；

視頻播放平均響應時間：*秒。

*.交易接口服務（數據交換）；

單條記錄交易接口平均響應時間：*秒；

多條記錄（***條）交易接口平均響應時間：*秒。

*.大數據量、批處理業務

批量交易指*次完成多筆業務處理的交易，如批量扣繳等。由于批量交易的數據量不確定，需要根據具體的情況確定響應時間，如會計核算等業務處理。該類業務具有處理復雜、操作數據量大、處理時間長的特點，具體的響應時間視提交數據量、業務處理量而定，對于處理時長較長的業務，系統設計過程中應考慮分批次返回結果，首批返回結果時間（小于等于****條）不小于**秒。

（*）技術要求

*.總體技術要求

本項目建設需遵循《醫療保障信息平臺建設指南》（醫保網信辦[****]*號）、《醫療保障信息系統安全開發規范》（醫保網信辦[****]*號）、《醫療保障信息平臺應用系統技術架構規范》（醫保網信辦[****]*號）、《醫療保障信息平臺云計算平臺規范》（醫保網信辦[****]*號）、《醫療保障信息平臺用戶界面規范》（醫保網信辦[****]*號）等國家醫療保障局制定的標準規范技術要求。

所有應用系統都必須基于國家醫療保障局醫療保障應用框架（****）開發。

采用分布式云架構，封裝核心云支撐服務適配接口，實現云產品解耦設計。

基于****的適配技術，將應用層依賴的分布式技術與具體廠商的分布式技術進行適配，實現應用層可以適配多家廠商的分布式技術。

基于云基礎設施，為應用層提供通用的技術支撐服務，包括分布式服務、分布式緩存、分布式數據訪問、分布式日志服務、非結構化存儲和消息隊列等。

采用云架構，在物理設備基礎上，實現計算資源、存儲資源、網絡資源的動態管理和資源調配。

*.應用軟件其它技術要求

（*）應用軟件系統的各個軟件功能模塊應滿足本文相關功能要求。應用軟件必須能夠切實滿足系統監控管理的需求，并且適應今后的業務增長和變化，隨時可以按功能需要進行修改和維護。

（*）應用軟件必須基于國家醫療保障局醫療保障應用框架（****）開發，有很強的靈活性和擴展性，在今后開展新業務時可通過對參數等的簡單更改迅速方便地實現，具有良好的適應能力。

（*）應用軟件應采用友好的圖形化窗口的用戶操作界面，可操作性強，而且操作界面應力求簡潔、直觀，具有全中文界面，有向導性功能，支持工作臺化管理，有利于簡化操作，并提高操作效率。在考慮簡化用戶的操作的同時，應允許操作人員必要時做*些人工干預。

（*）應用軟件還應采用參數驅動的設計思想，在應用軟件中，凡是不能確定的因素，應做到參數化，以達到通過對參數的設置就可適應不同的情況及不同時期的應用要求，并具備多用戶和多任務操作能力，并對用戶數不加限制。

（*）每個應用的功能由*個應用模塊完成，應用模塊之間應減少耦合度；應用模塊與系統之間采用開放的應用接口（***）進行通信。

（*）應用軟件必須可制作打包安裝盤（包），具有自動安裝功能以及網絡遠程安裝功能。

（*）應用軟件要遵循易操作性、健壯性、實用性、高效性和安全性的原則。

（*）靈活設計和詳細規劃系統操作權限，支持功能級、數據級權限控制，可按原子級業務、業務組件、業務流程分配系統操作權限；支持角色管理，個性化角色工作臺展示業務組件、業務圖表。

（*）應用軟件應具有完整、嚴謹的操作權限管理機制和日志記錄，確保系統的安全性和業務的可稽核性；系統采用業務回退機制，加強業務的可逆性。

（*）安全要求

系統提供良好的安全可靠性策略，支持多種安全可靠性技術手段，制定嚴格的安全可靠性管理措施。

（*）投標人應按客戶要求配合完成商用密碼應用安全性評估工作，如發現有未滿足要求的，所產生的整改、修復等費用均由投標人承擔。

（*）系統上線前，應按照采購人要求進行本項目全部軟件應用及支撐軟硬件環境的漏洞掃描，并對發現的漏洞進行修復，最終滿足上云要求，產生的掃描和修復費用由投標人承擔。

（*）投標人應提供詳細的安全設計方案并詳細說明在應用安全和數據安全方面采取的安全的措施，應滿足網絡安全等級保護**.**級等級保護的相關要求，并應按客戶要求配合開展網絡安全等級保護測評工作，如發現有未滿足網絡安全等級保護**.**級等級保護相關要求，所產生的整改、修復等費用均由投標人承擔。

（*）投標人須嚴格按照國家醫療保障局下發的《醫保信息系統安全開發規范》要求進行項目的建設實施。系統上線前，應按照采購人要求進行源代碼安全掃描，并對發現的漏洞進行修復。投標人應提供詳細的安全設計方案并詳細說明在應用安全和數據安全方面采取的安全的措施。

（*）需要重點考慮數據安全。對數據授權訪問、數據加密存儲、數據安全風險、敏感信息保護、異常狀態監控等方面，提供相應的安全解決方案。合理設定各類信息的訪問場景，對大批量異常訪問進行告警。合理設計數據庫內個人電話、銀行賬號、照片指紋信息等隱私信息的加密保護機制。

（*）支持通過完整的權限管理機制進行權限劃分和分級管理。

（*）投標人須提供安全設計方案，包括安全要求分析、應用安全設計、數據安全設計、運行保障設計、運維安全保障設計。

（*）項目進度要求

項目建設工期為*.*個月，自合同簽訂之日起*.*個月內完成項目建設。

（*）投標人項目管理要求

投標人需提供本項目的管理預案，包括項目人員名單（投標人安排的項目人員必須固定，若有替換，必須與采購人協商，否則由投標人承擔相關責任。此外，投標人所安排的開發和運維人員必須專職于本項目的開發）及角色分工、項目實施計劃、項目變更管理方案以及項目風險管理方案等。投標人應承諾提供現場實施服務。

基本要求如下：

（*）項目經理

投標人需要為本項目安排專職項目經理。要求項目經理具有信息化總體規劃能力，對醫保領域信息化有深入理解，有良好的溝通能力、耐性和綜合素質。

（*）需求分析階段

投標人需與沈陽市醫療保障事務服務中心相關人員充分溝通，掌握本項目的需求。

投標人至少需提交的文檔：應用系統需求分析報告、數據現狀分析報告。

（*）系統設計開發階段

投標人至少需提交的文檔：系統概要設計說明書、系統詳細設計說明書、數據庫設計說明書、數據治理及遷移方案。

（*）系統測試階段

投標人至少需提交的文檔：測試方案、測試過程文檔、系統整體測試報告、數據轉換及遷移測試報告。

（*）系統實施階段

投標人至少需提交的文檔：系統實施計劃、過程文檔、試運行報告。

（*）駐場服務

本項目服務期內需提供專職駐場工程師，駐場工程師具備對本系統進行修改、調整能力，并按客戶要求調整本系統。

（*）保密內容

投標人需在投標文件中明確，本項目中數據（包含原始數據和衍生數據）全部為采購人所有，全部列入保密范圍，投標人不得未經用戶許可的情況下導出、分析以及移作他用。

（*）項目培訓要求

投標人提供滿足采購人要求的場地、食宿、師資、資料等條件。培訓時間和地點：由采購人指定。

*.對系統建設人員的培訓

系統建設人員不僅要對相關的技術有深入的研究，還要對項目運行涉及的具體業務有充分的理解。因此，應加強對系統建設人員這兩方面的培訓，以保證系統建設符合實際業務需要。

*.對應用部門各級系統應用人員的培訓

使應用部門各級系統應用人員能夠了解信息系統的建設思想、主要功能和操作規程，能夠熟練應用這*系統輔助開展工作，并能結合實際工作需要提出各種改進意見。根據人員對系統的使用特點不同，對應用人員的培訓分為兩個層次：

（*）對領導培訓的主要目的是使有關主管領導對系統有*定的了解，便于領導進行決策和指揮工作；

（*）對其他應用人員的培訓，主要使他們在各業務環境下能夠很好地利用系統完成相應的專業工作，提高工作效率，提高信息的準確性和全面性。

*.系統運行維護人員的培訓

系統運行維護人員培訓主要包括以下幾個方面：系統整體知識培訓、信息系統培訓、信息系統等級保護培訓、安全事件應急處置培訓等。通過培訓使項目運維隊*能夠充分掌握業務運營技術和維護經驗，從技術上和管理上保證信息系統能正常運行。為了保障系統的安全穩定運行，還應對系統運行維護人員進行設備特性、系統功能、故障診斷、安全技術、規范操作、系統備份、系統恢復以及管理制度等方面的培訓。投標人須針對各系統分別制定培訓方案。

（*）項目驗收要求

*.驗收組織

項目驗收分為初驗和終驗，都由采購人組織進行。

*.初驗流程

（*）在項目設計開發完成并通過用戶方測試后，采購人依據相關批復文件、招標采購文件、合同，對項目的工程、技術、財務和檔案等進行項目初驗，形成驗收報告。

（*）項目初驗后進入試運行，試運行期為*個月。若出現系統重大運行故障，試運行期重新計算。

*.終驗流程

投標人完成全部建設任務，并且試運行滿*個月后，采購人組織成立驗收組，負責開展終驗的先期基礎性工作，重點檢查項目建設、設計、監理、施工、招標采購、檔案資料、預（概）算執行和財務決算等情況，提出驗收評價意見和建議。

*.驗收內容

（*）審查項目的建設目標、規模、內容、質量及資金使用等情況。

（*）審核項目形成的資產情況。

（*）評價項目交付使用情況。

（*）檢查項目建設單位執行國家法律、法規情況。

*.驗收相關材料

投標人須整理并提供以下驗收材料，包括但不限于：項目實施方案、項目合同、項目建設總結、項目招標相關文檔、項目建設相關文檔、初步驗收報告、軟件測試報告、安全測評報告等。

（*）售后服務要求

投標人需滿足如下售后服務要求：

（*）針對本次招標的所有軟件，投標人應提供項目終驗后*年的原廠免費維維服務以及*年免費的平臺功能升級服務。

（*）在軟件維保期內，投標人應提供靈活、多樣的通信手段（包括但不限于場地、設備及人員、專用服務電話），提供****小時的響應服務，保證在任何時候用戶單位都能及時找到投標人的服務人員。如遇駐場人員無法解決的問題或采購人認為需要，投標人的技術人員應在**小時內趕到現場支持；

（*）所供軟件出現問題時，其響應時間不超過**分鐘，*般故障處理時間不大于*小時，特殊情況下故障修復時間不大于**小時；

（*）投標人應提供排除故障響應的具體流程；

（*）投標人應在技術建議書中說明技術指導和技術支持的范圍和程度，投標人應提供技術服務流程，技術服務內容。

（*）知識產權要求

本項目所有知識產權歸采購方所有。

注：本章所有內容均為實質性要求，不得負偏離，否則按無效投標處理。

*、服務范圍

對沈陽市貼心醫保檔案項目的實施及驗收階段提供全過程信息化監理服務。在監理服務范圍內，依據國家有關信息系統的法律、法規、技術規程、規范、標準以及工程建設文件，監理單位承擔全部工作的監理服務，按照《信息化工程監理規范》總則及各分冊的要求，對各系統的質量、進度、投資、風險進行全方位、全過程控制，進行項目的合同管理、變更管理、配置管理、文檔管理、人員管理信息管理以及安全文明實施的監理，負責系統建設過程中的組織協調等工作，使項目建設按既定目標順利進行。

*、服務需求

*.實施階段服務內容及要求

監理單位應加強項目實施方案審核，促使項目中所使用的產品和服務符合委托合同及國家相關法律、法規和標準；明確項目實施計劃，對于計劃的調整應合理、受控；促使項目實施過程滿足委托合同的要求，并與項目設計方案、項目計劃相符。監理單位應完成（包括但不限于）如下工作：

*)項目實施前，監理單位應審核被委托單位提交的質量管理計劃、項目實施計劃，審核后簽署監理審核意見；

*)項目實施前，監理單位應組織建設單位、被委托單位召開項目實施啟動會，要求被委托單位落實實施計劃、實施方案和必要的準備工作，會議內容做會議紀要，并經*方簽認；

*)項目實施前，監理單位應審核被委托單位提交的項目實施方案，審核后簽署監理意見。

*)監理單位應審核被委托單位提交的開工申請，檢查項目準備情況。項目實施條件具備時，總監理工程師應簽發開工令，并報建設單位開始項目實施；

*)監理單位應監督合同執行情況，通過監理周報、月報、階段性報告定期向建設單位提交監理報告，跟蹤項目的質量、進度、投資完成情況；

*)監理單位應對項目質量進行全過程監督管理，在加強現場管理工作的前提下對重要部位和關鍵點應采取“旁站監理”的方式，檢查項目進度和質量，做好隱蔽工程的簽證；對發現的可能影響質量的問題及時指令被委托單位采取措施解決，必要時發出停工、返工的指令；

*)監理單位做好監理日志，隨時記錄實施中有關質量、進度等方面的問題，并對發生質量問題的現場及時拍照或錄像；

*)監理單位對被委托單位提供的產品及服務進行驗收，對驗收結果做驗收記錄，并經*方簽認；對不符合合同或相關標準規定的產品及服務應拒絕簽認。沒有被簽認的產品及服務不得在項目實施中應用；

*)監理單位應檢查設備到貨安裝環境；監督旁站設備到貨、安裝、調試過程。監督軟硬件平臺集成過程。必要時，監理單位依據委托合同、技術標準或事先約定的方法檢測產品及服務的質量，對于數量較大的同類型產品及服務，監理單位可采取抽樣方法；

**)必要時，監理單位應核驗產品認證證書、檢測報告的真實性、有效性；

**)監理單位應按計劃檢查被委托單位項目實施狀況、人員與實施方案的*致性；

**)監理單位應執行已確定的階段性質量監督、控制措施及方法，并做監理日志。出現項目質量問題時，經確認后監理機構簽發監理通知單，報建設單位、被委托單位，責令被委托單位整改；

**)監理單位應及時處理被委托單位提交的項目中關鍵環節的實施申請，審核其合理性后簽認，報建設單位批準；必要時，監理機構應檢查被委托單位重要項目步驟的銜接工作，做監理日志。未經監理工程師檢查認可，被委托單位不能進行與之相關的下*步驟的實施；

**)監理單位應及時處理工程變更申請，審核變更的合理性，保證項目總體質量不受影響；監理機構應從目標系統的質量、進度和投資等方面審查工程變更，由于變更引起投資的改變應按照合同的相關條款執行。在合同中沒有規定的，應在變更實施前與建設單位、被委托單位協商確定變更導致的投資變化，并作工程備忘錄；

**)當出現項目事故時，監理單位應要求被委托單位在事故發生后立即采取措施，盡可能控制其影響范圍，并及時簽發停工令，報建設單位，并與建設單位、被委托單位共同確認初步處理意見；監理單位應監督被委托單位采取措施，查清事故原因，審核被委托單位提出的事故解決方案及預防措施，提出監理意見，提交建設單位簽認；監理單位應審查被委托單位報送的事故報告及復工申請，條件具備時簽發復工令；

**)監理單位若發現項目實施過程存在重大質量隱患，應及時向被委托單位簽發停工令，并報建設單位，監督被委托單位進行整改。整改完畢后，及時處理被委托單位的復工申請；

**)監理單位應根據項目總進度計劃，編制控制性總進度計劃，并協助建設單位編制總體進度計劃或實施總進度計劃；跟蹤監督、檢查、記錄進度計劃的實施；對實際進度進行對比、檢查、分析，對出現的偏差采取應對措施；審查被委托單位的進度報告，并編報監理報告；

**)監理單位應對項目實際進度做好記錄和統計工作，并進行經常性和階段性的項目實際進度與計劃進度的對比分析，檢查進度偏差的程度和產生的原因，分析預測進度偏差對后續實施工序和項目的影響程度，并提出指導性的解決措施。當項目實際進度與計劃進度相比發生較大偏差而有可能影響合同工期目標的實現時，監理單位應提出進度計劃的調整意見，并指導被委托單位相應調整進度計劃。進度計劃的重大調整應書面報建設單位批準；

**)監理單位應依據委托合同及其補充協議，審核被委托單位提交的項目階段性報告和付款申請簽發工程款支付意見，報建設單位簽認；

**)監理單位應對項目實施階段*方共同參與的過程和活動做工程備忘錄；并檢查督促被委托單位按規程規范實施、文明安全實施，防止因出現質量、安全事故及環保問題；

**)監理單位應根據需要及時組織專題會議，解決項目實施過程中的各種專項問題，并做會議紀要，提交建設單位和被委托單位；

**）根據國家網絡安全法要求，項目網絡安全需要滿足公安機關的信息安全等級保護要求，為了加強項目建設過程的網絡安全等級保護工作，確保系統建成后通過信息安全等級保護測評，監理單位應該在項目建設階段，協助業主對系統的網絡安全等級進行定級輔導，定級備案材料的編制。

*.驗收階段服務內容及要求

監理單位應評審項目測試驗收方案（驗收目標、責任雙方、驗收提交清單、驗收標準、驗收方式、驗收環境等）的符合性及可行性；促使項目的最終功能和性能符合委托合同、法律、法規和標準的要求；推動被委托單位所提供的項目各階段形成的技術、管理文檔的內容和種類符合相關標準。合同驗收時監理單位應完成（包括但不限于）如下工作：

*）檢查與測試是確認項目各系統所建內容是否達到合同要求和評估系統質量的必備措施，監理單位應協助建設單位明確項目測試驗收方案并審查其符合性及可行性。監理單位應組織對系統集成質量進行專項檢查，參照國家信息安全等級保護的相關要求，對網絡安全設備的集成調試質量進行檢查評估；

*）監理單位應及時處理被委托單位提交的驗收申請，審核竣工結算，審核驗收的必備條件，并簽署監理意見；

*)監理單位應協助建設單位對驗收中發現的質量問題進行評估，根據質量問題的性質和影響范圍，敦促被委托單位根據驗收整改要求提出整改方案，并監督整改過程。必要時，應組織重新驗收；

*)監理單位應督促被委托單位完成項目實施方案中確定的培訓，并對培訓效果做出評估；

*)監理單位應協助建設單位進行工程決算；

*)監理單位應敦促建設單位、被委托單位按照事先約定，編制、簽署和妥善保存驗收階段的項目文檔；

*)監理單位應編寫各時段項目驗收的監理工作報告，整理監理單位應提交和提供的驗收資料；負責整理記錄歸檔建設單位與承建單位來往的文件、合同、協議及會議記錄等各種文檔，出具監理文件；

*)監理機構應協助建設單位和被委托單位完成項目移交工作，將項目移交建設單位管理，并進入工程質量保修期。

*）根據國家網絡安全法要求，項目網絡安全需要滿足公安機關的信息安全等級保護要求，為了加強項目建設過程的網絡安全等級保護工作，確保系統建成后通過信息安全等級保護測評，監理單位應該在項目驗收階段，按照《信息安全技術網絡安全等級保護基本要求》（**/*********-****），為業主提供包括安全策略、管理制度、操作規程等管理要求的咨詢服務。

*、其他要求

*.人員及其他要求

投標人投入本項目現場全過程服務人員不得少于*人，至少包括總監理工程師*名，總監理工程師代表*名，專業監理工程師*名，文檔管理員*名，并具有相應的服務能力。

*.現場保障

*）每名監理工作人員都需配備通訊設施，保證**小時隨時溝通。

*）配備監理現場測試工具。

*）有文明監理工作及安全施工保障制度。

*）其它有關本項目現場保障設備由投標人自行解決。

*.驗收要求

*）向沈陽市醫療保障事務服務中心提供《監理文件》。

*）驗收依據：主要以國家相關技術標準規范、響應文件和合同確認建設內容為依據。

*）投標人須為驗收提供必需的*切條件及相關費用。

*.其他

*）投標人必須承諾：中標后，投標書中的人員全部同時參與現場工作，如因特殊原因更換現場實施人員，需征得采購人同意，所更換人員工作資歷及技術能力不能低于投標文件中承諾的人員要求（文件中須提供承諾函）。

*）投標人對有關采購人和最終用戶信息化建設項目的資料和信息保密。*）投標人不得與承擔項目的建設承包人及軟件開發商、設備供應商發生經濟利益關系，不得利用所處地位通過上述單位直接或間接獲益。

注：本章所有內容均為實質性要求，不得負偏離，否則按無效投標處理。

*、服務內容

對本項目擬定級為*級的沈陽市貼心醫保檔案系統進行網絡安全等級保護測評服務。

*、服務需求

*.總體要求

依據**/******-****《信息安全技術信息系統安全等級保護基本要求》、**/******-****《信息安全技術網絡安全等級保護測評要求》等國家相關信息系統安全規范標準，對上述系統進行信息安全等級測評，測評內容為：（*）安全物理環境、（*）安全通信網絡、（*）安全區域邊界、（*）安全計算環境、（*）安全管理中心、（*）安全管理制度、（*）安全管理機構、（*）安全管理人員、（*）安全建設管理、（**）安全運維管理等以及符合被測系統對象特點的安全拓展要求。出具《網絡安全等級保護測評報告》。

*.測評詳細指標要求

*) 單元測評

單元測評分為技術測評和管理測評兩大類。技術測評包括：安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心等*個層面上的單元測評；管理測評包括：安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等*個方面的單元測評。

① 安全物理環境測評內容：

物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。

② 安全通信網絡測評內容：

網絡架構、通信傳輸、可信驗證。

③ 安全區域邊界測評內容：

邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證。

④ 安全計算環境測評內容：

身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護。

⑤ 安全管理中心測評內容：

系統管理、審計管理、安全管理、集中管控。

⑥ 安全管理制度測評內容：

安全策略、管理制度、制定和發布、評審和修訂。

⑦ 安全管理機構測評內容：

崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。

⑧ 安全管理人員測評內容：

人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理。

⑨ 安全建設管理測評內容：

定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇。

⑩ 安全運維管理測評內容：

環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理。

*) 整體測評

系統整體測評涉及到信息系統的整體拓撲、局部結構，也關系到信息系統的具體安全功能實現和安全控制配置，與特定信息系統的實際情況緊密相關，內容復雜且充滿系統個性。

投標人測評人員應根據特定信息系統的具體情況，確定系統整體測評的具體內容，在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區域間的相互關聯關系，測評安全控制間、層面間和區域間是否存在安全功能上的增強、補充和削弱作用以及信息系統整體結構安全性、不同信息系統之間整體安全性等。

系統整體測評主要包括*個部分：分別為安全控制間安全測評、層面間安全測評、區域間安全測評、驗證測試。

① 安全控制間安全測評

安全控制間的安全測評主要考慮同*區域內、同*層面上的不同安全控制間存在的功能增強、補充或削弱等關聯作用。安全功能上的增強和補充可以使兩個不同強度、不同等級的安全控制發揮更強的綜合效能，可以使單個低等級安全控制在特定環境中達到高等級信息系統的安全要求。例如，可以通過物理層面上的物理訪問控制來增強其安全防盜竊功能等。安全功能上的削弱會使*個安全控制的引入影響另*個安全控制的功能發揮或者給其帶來新的脆弱性。例如，應用安全層面的代碼安全與訪問控制，如果代碼安全沒有做好，很可能會使應用系統的訪問控制被旁路。

② 層面間安全測評

層面間的安全測評主要考慮同*區域內的不同層面之間存在的功能增強、補充和削弱等關聯作用。安全功能上的增強和補充可以使兩個不同層面上的安全控制發揮更強的綜合效能，可以使單個低等級安全控制在特定環境中達到高等級信息系統的安全要求。安全功能上的削弱會使*個層面上的安全控制影響另*個層面安全控制的功能發揮或者給其帶來新的脆弱性。

③ 區域間安全測評

區域間的安全測評主要考慮互連互通（包括物理上和邏輯上的互連互通等）的不同區域之間存在的安全功能增強、補充和削弱等關聯作用，特別是有數據交換的兩個不同區域。例如，流入某個區域的所有網絡數據都已經在另*個區域上做過網絡安全審計，則可以認為該區域通過區域互連后具備網絡安全審計功能。安全功能上的增強和補充可以使兩個不同區域上的安全控制發揮更強的綜合效能，可以使單個低等級安全控制在特定環境中達到高等級信息系統的安全要求。安全功能上的削弱會使*個區域上的安全功能影響另*個區域安全功能的發揮或者給其帶來新的脆弱性。

④ 驗證測試

驗證測試包括對主機、網絡、數據、應用（含移動應用）的漏洞掃描和滲透測試等，驗證測試發現的安全問題將結合單元測評取得的證據共同分析信息系統整體結構的安全性。

*、其他要求

*.項目進度要求

在被測系統取得備案證明后的**天內完成，并出具《網絡安全等級保護測評報告》。

*.人員及其他要求

投標人投入本項目現場全過程服務人員不得少于*人，其中包括項目負責人*名，并且團隊人員需具有相應的服務能力。

*.驗收要求

*）向沈陽市醫療保障事務服務中心提供《網絡安全等級保護測評報告》。

*）驗收依據：主要以國家相關技術標準規范、響應文件和合同確認建設內容為依據。

*）投標人須為驗收提供必需的*切條件及相關費用。

*.其他

*）投標人必須承諾：中標后，投標書中的人員全部同時參與現場工作，如因特殊原因更換現場實施人員，需征得采購人同意，所更換人員工作資歷及技術能力不能低于投標文件中承諾的人員要求。

*）投標人對有關采購人和最終用戶信息化建設項目的資料和信息保密。

*）投標人不得與承擔項目的建設承包人及軟件開發商、設備供應商發生經濟利益關系，不得利用所處地位通過上述單位直接或間接獲益處。

注：本章所有內容均為實質性要求，不得負偏離，否則按無效投標處理。

*、服務內容

為沈陽市貼心醫保檔案項目提供密碼方案評估服務以及對本項目擬定級為*級的沈陽市貼心醫保檔案系統進行商用密碼應用安全性評估。具體包括：商用密碼總體要求測評、密碼技術應用測評、密鑰管理測評、安全管理測評。測評后，出具《密碼應用安全評估報告》。

*、服務需求

*.密碼方案評估要求

按照《中華人民共和國密碼法》及《國家政務信息化項目建設管理辦法》(國辦發(****〕**號)中關于政務信息系統在系統規劃階段的密碼應用要求，綜合考慮本項目物理和環境、網絡和通信、設備和計算、應用和數據、安全管理等層面的密碼應用需求，依據《信息安全技術信息系統密碼應用基本要求》(**/******-****)(以下簡稱“基本要求”)對建設單位提交的密碼方案進行合規合理性評估。

*.商用密碼總體要求測評

*）密碼算法合規性測評：信息系統中使用的密碼算法是否符合法律、法規的規定和密碼相關國家標準、行業標準的有關要求。

*）密碼技術合規性測評：信息系統中使用的密碼技術是否遵循密碼相關國家標準和行業標準。

*）密碼產品合規性測評：信息系統中使用的密碼產品與密碼模塊是否通過國家密碼管理部門核準。

*）密碼服務合規性測評：信息系統中使用的密碼服務是否通過國家密碼管理部門許可。

*.密碼技術應用測評

(*) 密碼技術應用測評

從物理和環境、網絡和通信、設備和計算、應用和數據*個層面對信息系統中應用的密碼技術進行分析與評估。

物理和環境層面測評:分析評估信息系統是否合理、合規的利用商用密碼完整性、真實性功能，對影響信息系統安全防護效能的物理和環境層面因素進行保護。包括但不限于下列典型因素：重要場所的物理訪問控制，監控設備的物理訪問控制，以及物理訪問記錄、監控信息等敏感信息數據完整性。

網絡和通信層面測評：分析評估信息系統是否合理、合規的利用商用密碼機密性、完整性、真實性功能，對影響信息系統安全防護效能的網絡和通信層面因素進行保護。包括但不限于下列典型因素：安全認證連接到內部網絡的設備，通信雙方的身份認證過程，通信數據完整性，敏感信息數據字段機密性，網絡邊界訪問控制信息完整性，系統資源訪問控制信息完整性，安全設備、安全組件的集中管理方式和信息傳輸通道。

設備和計算層面測評：分析評估信息系統是否合理、合規的利用商用密碼機密性、完整性、真實性功能，對影響信息系統安全防護效能的設備和計算層面因素進行保護。包括但不限于下列典型因素：登錄信息系統設備和計算環境的用戶身份鑒別過程，系統設備和計算環境資源訪問控制信息完整性，重要信息資源敏感標記完整性，重要程序或文件完整性，信息系統設備和計算環境的日志記錄完整性。

應用和數據層面測評：分析評估信息系統是否合理、合規的利用商用密碼機密性、完整性、真實性以及不可否認性功能，對影響信息系統安全防護效能的應用和數據層面因素進行保護。包括但不限于下列典型因素：登錄信息系統應用和數據操作環境的用戶身份鑒別過程，系統應用和數據操作環境資源訪問控制信息完整性，重要信息資源敏感標記完整性，重要數據傳輸過程的機密性、完整性，重要信息存儲過程的機密性、完整性，重要程序的加載和卸載過程，信息系統應用相關實體行為不不可否認性，信息系統應用和數據操作環境的日志記錄完整性。

(*) 密鑰管理測評

對影響商用密碼防護效能的密鑰生命周期相關環節，以及相關環節管理和策略制定的全過程進行分析與評估。密鑰生命周期相關環節包括但不限于下列典型環節：密鑰生成，密鑰存儲，密鑰分發，密鑰導入，密鑰導出，密鑰使用，密鑰備份，密鑰恢復，密鑰歸檔，密鑰銷毀。

(*) 安全管理測評

對影響商用密碼防護效能的管理制度與措施進行分析與評估。管理制度與措施包括但不限于下列典型維度：安全管理制度，人員管控，信息系統實施，應急預案。

*）安全管理制度維度，包括但不限于下列內容與措施：密碼建設、運維、人員、設備、密鑰管理內容，密碼相關操作規范、安全操作規范，安全管理制度的合理性和適用性論證與審定，安全管理制度的改進和修訂，安全管理制度的發布，安全管理制度的執行。

*）人員管控維度，包括但不限于下列內容與措施：了解并遵守密碼相關法律法規密碼產品使用，關鍵崗位劃分，相關人員職責與權限劃分，崗位責任制與人員制約、監督機制，管理和使用賬號，人員培訓、人員選拔，人員考核、獎懲與調離，人員保密措施。

*）信息系統實施維度，包括但不限于下列內容與措施：信息系統規劃，信息系統建設方案，信息系統密碼產品、服務選用，信息系統運行前與定期評估，信息系統整改。

*）應急預案維度，包括但不限于下列內容與措施：應急預案，應急資源準備，應急情況與處置，上級主管部門應急報告，同級密碼主管部門應急報告。

*、其他要求

*.項目進度要求

在被測系統取得備案證明后的**天內完成，并出具《密碼應用安全性評估報告》和《密碼方案評估報告》。

*.人員及其他要求

投標人投入本項目現場全過程服務人員不得少于*人，其中包括項目負責人*名，并且團隊人員需具有相應的服務能力。

*.驗收要求

*）向沈陽市醫療保障事務服務中心提供《商用密碼應用安全性評估報告》和《密碼方案評估報告》。

*）驗收依據：主要以國家相關技術標準規范、響應文件和合同確認建設內容為依據。

*）投標人須為驗收提供必需的*切條件及相關費用。

*.其他要求

投標人必須承諾：

*）中標后，投標書中的人員全部同時參與現場工作，如因特殊原因更換現場實施人員，需征得采購人同意，所更換人員工作資歷及技術能力不能低于投標文件中承諾的人員要求。

*）投標人對有關采購人和最終用戶信息化建設項目的資料和信息保密。

*）投標人不得與承擔項目的建設承包人及軟件開發商、設備供應商發生經濟利益關系，不得利用所處地位通過上述單位直接或間接獲益處。注：本章所有內容均為實質性要求，不得負偏離，否則按無效投標處理。