******医院信息系统等保测评服务市场调研
依据我院临床需要,拟对下列货/服务进行院内采购,欢迎合格的供应商参加。
一.采购项目内容
二.项目详细内容
等保测评信息系统清单
1、项目概述
近年来,《中华人民共和国网络安全法》、《网络安全等级保护条例》相继颁布和实施,我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求,履行等级保护、风险评估、安全监测、应急响应、安全加固等工作,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改文件要求。
******医院高度重视网络安全工作,落实网络安全风险控制和服务管理,贯彻《关于加强省级重要信息系统安全保障工作的通知》(赣公字[2015]55号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,结合自身信息化建设需求,按照技术要求开展等级保护咨询安全及信息安全风险评估服务工作,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力。
2、技术依据
?《中华人民共和国网络安全法》(主席令第53 号)
?关于印发《信息安全等级保护工作的实施意见》的通知(公通字[2004]66 号文件)
?关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号文件)
?《计算机信息系统安全保护等级划分准则》(gb 17859-1999)
?《网络安全等级保护测评过程指南》(gb/t28449-2018)
?《网络安全等级保护实施指南》(gb/t25058-2019)
?《网络安全等级保护基本要求》(gb/t22239-2019)
?《网络安全等级保护测评要求》(gb∕t28448-2019)
?《网络安全等级保护定级指南》(gb/t 22240-2020)
3.1.服务周期
本次安全服务项目服务周期为:经公开招标后合同签订之日起90天完成。
3.2.项目工作内容
******医院自身信息化建设需求,开展等级保护咨询项目服务,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力为目标。本项目主要工作内容:
(1)网络安全等级保护定级和备案服务
(2)网络安全等级保护测评服务
3.2.1网络安全等级保护定级和备案服务
(1)服务对象:《信息系统清单》中所含信息系统。
(2)具体要求:
对《信息系统清单》所含信息系统开展等保级别变更,从原等保备案级别二级,变更为等保三级。定级工作将严格遵循《网络安全等级保护定级指南》(gb/t 22240-2019 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,向主管部门、监管机关就信息系统定级进行审批备案,顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。工作过程文件及项目交付成果(包括但不限于):公安监管机关颁发的《信息系统安全等级保护备案证明》;
3.2.2网络安全等级保护测评服务
(1)服务对象:《信息系统清单》中所含信息系统。
(2)具体要求:
供应商必须具备《网络安全等级测评与检测评估机构服务认证证书》,工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》(gb/t 28448-2019)、《网络安全等级保护测评过程指南》(gb/t 28449-2018)和《信息安全技术 网络安全等级保护基本要求》(等保2.0)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理,并根据系统等级开展相应级别的开展单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版,符合公安部门定级和备案要求。
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(gb/t ******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
******消防、防雷击、防水防潮、防静电、空调、ups、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、web 应用漏洞分析工具等对网络、主机等进行渗透测试分析。应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析,出具整改意见,采购单位根据整改意见对系统进行安全整改。工作过程文件及项目交付成果(包括但不限于):《网络安全等级保护等级测评报告》。
三.服务要求:
1.实施要求
(1)供应商必须具备独立完成本项目的能力;
(2)供应商必须公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》;
(3)供应商应对了解到的信息保密,并提供保密承诺;
(4)供应商在项目现场实施周期内,必须为本项目成立等级保护测评项目部,安排包括项目经理和各测评实施小组进场调研、测评工作;
(5)在采购人进行整改过程中提供必要的技术支持。
2.项目管理要求
(1)组织实施要求
1)供应商应安排专职项目经理负责本次项目的实施。
2)供应商应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2)人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.保密要求
******医院签订保密责任书。
注:以上服务标准和要求为必须满足项,否则作无效响应处理。
四.报名要求及报名需提供的相关材料:
1.具有独立承担民事责任能力的法人;
2.有依法缴纳税收的良好记录;
3.近三年内,在经营活动中没有重大违法记录;
4.信用中国查询结果截图打印,加盖单位公章;
5.法定代表人身份证明书或法人授权委托书,加盖单位公章。
6.供应商需提供中国政府采购网政府采购严重违法失信行为记录名单查询结果截图打印,加盖单位公章。
7.项目详细内容及服务要求响应文件
报名结束后将对报名单位资质进行综合审查,通过资格审核合格后,方可进行调研。
五.市场调研时需提供的相关材料:
1.以上第四项报名需要的所有资料(为方便审核,请把报价表附在标书第一页,其他报名材料按顺序依次附在报价表之后。)需要加盖单位公章
2.根据服务需求提供基本实施方案、工作思路等
3.该服务售后联系方式及售后服务承诺;
市场调研时谈判文件要求一正三副,密封。谈判现场须有技术工程师代表在场。
六.报名时间:2024年9月2日至2024年9月6日17:00止,过期不予受理。
******医院信息科(门诊南十楼)
八.谈判时间:另行通知
九.联系电话:0791-******(胡老师)
依据我院临床需要,拟对下列货/服务进行院内采购,欢迎合格的供应商参加。
一.采购项目内容
| 序号 | 项目名称 | 预算价 |
| 1 | 医院信息系统等保测评服务市场调研 |
二.项目详细内容
等保测评信息系统清单
| 序号 | 评测系统 | 等级 | 备注 |
| 1 | pacs医学影像系统 | 三级 | |
| 2 | lis临床检验系统 | 三级 |
1、项目概述
近年来,《中华人民共和国网络安全法》、《网络安全等级保护条例》相继颁布和实施,我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求,履行等级保护、风险评估、安全监测、应急响应、安全加固等工作,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改文件要求。
******医院高度重视网络安全工作,落实网络安全风险控制和服务管理,贯彻《关于加强省级重要信息系统安全保障工作的通知》(赣公字[2015]55号)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号)等文件要求,结合自身信息化建设需求,按照技术要求开展等级保护咨询安全及信息安全风险评估服务工作,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力。
2、技术依据
?《中华人民共和国网络安全法》(主席令第53 号)
?关于印发《信息安全等级保护工作的实施意见》的通知(公通字[2004]66 号文件)
?关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号文件)
?《计算机信息系统安全保护等级划分准则》(gb 17859-1999)
?《网络安全等级保护测评过程指南》(gb/t28449-2018)
?《网络安全等级保护实施指南》(gb/t25058-2019)
?《网络安全等级保护基本要求》(gb/t22239-2019)
?《网络安全等级保护测评要求》(gb∕t28448-2019)
?《网络安全等级保护定级指南》(gb/t 22240-2020)
3.1.服务周期
本次安全服务项目服务周期为:经公开招标后合同签订之日起90天完成。
3.2.项目工作内容
******医院自身信息化建设需求,开展等级保护咨询项目服务,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力为目标。本项目主要工作内容:
(1)网络安全等级保护定级和备案服务
(2)网络安全等级保护测评服务
3.2.1网络安全等级保护定级和备案服务
(1)服务对象:《信息系统清单》中所含信息系统。
(2)具体要求:
对《信息系统清单》所含信息系统开展等保级别变更,从原等保备案级别二级,变更为等保三级。定级工作将严格遵循《网络安全等级保护定级指南》(gb/t 22240-2019 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,向主管部门、监管机关就信息系统定级进行审批备案,顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。工作过程文件及项目交付成果(包括但不限于):公安监管机关颁发的《信息系统安全等级保护备案证明》;
3.2.2网络安全等级保护测评服务
(1)服务对象:《信息系统清单》中所含信息系统。
(2)具体要求:
供应商必须具备《网络安全等级测评与检测评估机构服务认证证书》,工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》(gb/t 28448-2019)、《网络安全等级保护测评过程指南》(gb/t 28449-2018)和《信息安全技术 网络安全等级保护基本要求》(等保2.0)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理,并根据系统等级开展相应级别的开展单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版,符合公安部门定级和备案要求。
按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(gb/t ******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度,以及面临信息安全的威胁。
******消防、防雷击、防水防潮、防静电、空调、ups、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、web 应用漏洞分析工具等对网络、主机等进行渗透测试分析。应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求及其分析,出具整改意见,采购单位根据整改意见对系统进行安全整改。工作过程文件及项目交付成果(包括但不限于):《网络安全等级保护等级测评报告》。
三.服务要求:
1.实施要求
(1)供应商必须具备独立完成本项目的能力;
(2)供应商必须公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》;
(3)供应商应对了解到的信息保密,并提供保密承诺;
(4)供应商在项目现场实施周期内,必须为本项目成立等级保护测评项目部,安排包括项目经理和各测评实施小组进场调研、测评工作;
(5)在采购人进行整改过程中提供必要的技术支持。
2.项目管理要求
(1)组织实施要求
1)供应商应安排专职项目经理负责本次项目的实施。
2)供应商应保证项目团队成员的稳定,以保证服务的质量和连贯性。
(2)人员安排要求
本项目的技术服务人员需具有信息安全服务工作经验,参加过网络安全等级保护测评项目并取得信息安全方面资质证书,提供人员管理及配备方案,并确保人员的稳定。如更换技术服务人员,须由采购人同意并签字确认。
3.保密要求
******医院签订保密责任书。
注:以上服务标准和要求为必须满足项,否则作无效响应处理。
四.报名要求及报名需提供的相关材料:
1.具有独立承担民事责任能力的法人;
2.有依法缴纳税收的良好记录;
3.近三年内,在经营活动中没有重大违法记录;
4.信用中国查询结果截图打印,加盖单位公章;
5.法定代表人身份证明书或法人授权委托书,加盖单位公章。
6.供应商需提供中国政府采购网政府采购严重违法失信行为记录名单查询结果截图打印,加盖单位公章。
7.项目详细内容及服务要求响应文件
报名结束后将对报名单位资质进行综合审查,通过资格审核合格后,方可进行调研。
五.市场调研时需提供的相关材料:
1.以上第四项报名需要的所有资料(为方便审核,请把报价表附在标书第一页,其他报名材料按顺序依次附在报价表之后。)需要加盖单位公章
2.根据服务需求提供基本实施方案、工作思路等
3.该服务售后联系方式及售后服务承诺;
市场调研时谈判文件要求一正三副,密封。谈判现场须有技术工程师代表在场。
六.报名时间:2024年9月2日至2024年9月6日17:00止,过期不予受理。
******医院信息科(门诊南十楼)
八.谈判时间:另行通知
九.联系电话:0791-******(胡老师)
