山东省胸科医院信息系统等级保护测评参数

报名信息请发送至邮箱：xkyyzbb@163.com

一、项目概况及预算情况

信息系统安全等级测评是验证信息系统是否满足相应安全保护等级的评估过程。信息安全等级保护要求不同安全等级的信息系统应具有不同的安全保护能力，一方面通过在安全技术和安全管理上选用与安全等级相适应的安全控制来实现；另一方面分布在信息系统中的安全技术和安全管理上不同的安全控制，通过连接、交互、依赖、协调、协同等相互关联关系，共同作用于信息系统的安全功能，使信息系统的整体安全功能与信息系统的结构以及安全控制间、层面间和区域间的相互关联关系密切相关。因此，信息系统安全等级测评在安全控制测评的基础上，还要包括系统整体测评。

信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段。

为了保障信息系统安全稳定运行，山东省胸科医院在全面了解相关国家政策和自身信息系统的基础上，响应公安部、国家卫建委、山东省卫健委的工作要求，参照《网络安全法》及《信息系统安全等级保护测评2.0》标准，对全院现运行信息系统开展信息系统安全等级保护定级备案和测评整改工作。

测评服务的主要内容：《以电子病历为核心的医院信息管理系统》以及《面向患者服务的信息系统》的三级等保测评服务工作。

项目总预算：10 万元整人民币

二、采购标的具体情况

采购内容	数量	级别
《以电子病历为核心的医院信息系统》等保测评服务	1 项	三级
《面向患者服务的信息系统》等保测评服务	1 项	三级
《自动化办公系统》	1项	二级
《门户网站系统》	1项	二级

三、服务目标

（一）按照国家等级保护和行业主管部门对等保的相关标准和要求,对采购人所属的以《电子病历为核心的医院信息管理系统》（三级）、《面向患者服务的信息系统》（三级）进行信息系统定级备案、差距分析、建设整改和安全等级保护测评工作, 协助完成所有业务系统等保定级与备案工作,最终形成等级保护测评报告及信息系统整改报告。

（二）按照信息系统安全等级保护的相关要求，梳理和完善山东省胸科医院应用网络信息系统信息安全管理制度和标准，健全和完善信息安全管理体系和技术保障体

系。

（三）针对测评中发现的信息安全管理漏洞和薄弱环节,深入分析下一步信息系统建设和管理的实际安全需求,协助开展相关的安全整改工作,确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。

（四）对采购人信息系统进行风险评估，并出具报告，协助采购人进行整改。

（五）需提供渗透测试服务，信息安全的运维、安全管理及安全优化服务以及信息安全应急救援服务、信息安全相关培训服务。

四、需满足的测评标准或依据

? 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）；

? 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字[2007]43 号）；

? 《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）；

? 《信息安全技术网络安全等级保护定级指南》（GA/T 1389-2017）；

? 《信息安全技术-网络安全等级保护安全管理中心技术要求》（GB/T 36958-2018）

? 《信息安全技术-网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

? 《信息安全技术-网络安全等级测评机构能力要求和评估规范》（GB/T 36959-2018）

? 《信息安全技术信息系统安全等级保护实施指南》（GB/T 25058-2010）；

? 《关于全面开展卫生行业信息安全等级保护工作的通知》（卫办综函[2011]1126 号）；

? 《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）；

? 《信息安全技术信息系统安全等级保护测评过程指南》 （GB/T28449-2018）；

? 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号）；

? 《计算机信息系统安全保护等级划分准则》（GB 17859-1999）；

? 《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）；

? 《信息安全技术网络基础安全技术要求》（GB/T20270-2006）；

? 《信息安全技术操作系统安全技术要求》（GB/T20272-2006）；

? 《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）；

? 《信息安全技术服务器技术要求》（GB/T21028-2007）；

? 《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）；

? 《信息安全技术信息系统安全管理要求》（GB/T20269-2006）；

? 《信息安全技术信息系统安全工程管理要求》（GB/T20282-2006）；

? 《信息技术 安全技术 信息技术安全评估准则 第 1部分：简介和一般模型》（GB/T 18336.1-2015）；

? 《信息技术 安全技术 信息技术安全评估准则 第 2部分：安全功能组件》（GB/T 18336.2-2015）

? 《信息技术 安全技术 信息技术安全评估准则 第 3部分：安全保障组件》（GB/T 18336.3-2015）

12、成果交付 依据《公安部信息系统安全等级保护测评报告模板（试行）》制作。出具按国家相关标准编制的测评测试报告,最终向采购人提交《信息安全等级保护测评报告》，并且协助采购人完成信息系统安全整改。

五、服务内容

（一）系统调研与定级梳理

依据《信息安全技术 网络安全等级保护定级指南》（GA/T 1389-2017）的要求，遵循规范的流程，形成定级建议书。

（二）系统安全现状测评

根据定级梳理结果，对山东省胸科医院进行信息安全等级保护现状测评。

安全技术测评主要包括以《信息安全技术- 网络安全等级保护基本要求》

（GB/T22239-2019）第三级要求为标准，包含物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份 恢复等五个方面的安全测评。安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和为系统运维管理保障等五个方面的安全测评。

1、物理安全 根据系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控 制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、 “电力供应”和“电磁防护”等物理安全方面所采取的措施进行各项测评，提交测评结果，同时成交供应商须出具符合等保标准的机房检测报告。

2、网络安全 根据系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、 “边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护” 等网络安全方面所采 取的措施进行检查，进行各项测评，提交测评结果。

3、主机安全 主机安全现场测评包括对系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、 “安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”等。

4、应用安全 应用安全现场测评包括对系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全 审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控 制”等方面，进行各项测评，提交测评结果。

5、数据安全及备份恢复 系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复” 等几个方面的测评，进行各项测评，提交测评结果。

6、安全管理制度 根据现场安全测评记录，针对系统在安全管理制度方面的“管理制度”、“制定和发布” 以及“评审和修订”等测评指标，进行各项测评，提交评测结果。

7、安全管理机构 根据现场安全测评记录，针对系统在安全管理机构方面的“岗位设置”、“人员配备”、 “授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，进行各项测评，提交测评结果。

8、人员安全管理 根据现场安全测评记录，针对系统在人员安全管理方面的“人员录用”、“人员离岗”、 “人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，进行各项测 评，提交测评结果。

9、系统建设管理 根据现场安全测评记录，针对系统在系统建设管理方面的“系统定级”、“安全方案设 计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、 “系统交付”、“系统备案”、“等级测评”以及“安全服务商选择” 等测评指标，进行各项测 评，提交测评结果。

10、系统运维管理 根据现场安全测评记录，针对系统在系统运维管理方面的“环境管理”、“资产管理”、 “介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密 码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等 测评指标，进行各项测评，提交测评结果。 通过现场测评，逐项找出系统现状与国家相关标准要求之间的差距，进行逐项分析、整体分析，给出差距分析报告，并给出整改建议方案。待整改完毕后，进行结果确认，完成信息安全等级保

护测评，出具测评报告，并将测评报告报当地公安机关备案。重点测评对象种类主要考虑以下几个方面：

（1）主机房（包括其环境、设备和设施等）和部分辅机房；

（2）存储被测系统重要数据的介质的存放环境；

（3）办公场地；

（4）整个系统的网络拓扑结构；

（5）安全设备，包括防火墙、入侵检测设备和防病毒网关等；

（6）边界网络设备（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

（7）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；

（8）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

（9）管理终端和主要业务应用系统终端；

（10）能够完成被测系统不同业务使命的业务应用系统；

（11）业务备份系统；

（12）信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

（13）涉及到信息系统安全的所有管理制度和记录。

依据《信息系统安全等级保护基本要求》，结合山东省胸科医院各信息系统的信息安全等级进行等级保护测评，并逐项明确不符合项与安全要求之间的差距及可能造成的风险。

（三）信息安全建设规划

依据标准《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术 信息系统通用安全技术要求》（GB/T20171-2006） 、《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）等，进行安全技术体系的设计。依据安全现状测评的结果对网络结构及设备部署情况进行整体规划和调整，考虑物理设计、网络设计、主机设计、应用设计和其他设计等内容。依据标准《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术信息系统安全管理要求》（GBT20269-2006）等，完成安全管理体系的设计。制定等级保护整改方案，指导信息系统安全技术体系和安全管理体系的构建。

（四）信息安全保障体系建设

按照信息系统安全等级保护的相关要求，协助建立信息安全保护持续改进机制，梳理山东省胸科医院信息安全等级保护管理制度体系，健全和完善信息安全的管理体系、技术体系和运维体系，促进信息安全保障水平不断提升。

（五）系统风险评估

要求中标方在对采购人进行等级测评前对医院信息系统进行风险评估，具体要求如下：

1、总体要求 依据《信息安全技术 信息安全风险评估规范》(GB/T 20984-2007)及CNAS17020风险评估体系的要求,分析识别与信息安全有关的资产,进行资产评估、威胁识别、脆弱性识别、风险分析、漏洞扫描等工作,全面评估信息系统存在的安全威胁和隐患、找出存在的风险和薄弱点,确认已有的信息安全控制措施并进行风险评估。评估过程应遵循 CNAS17020 风险评 估的体系要求,加强风险评估的过程管理和项目风险管理,确保评估质量和实效。完成对信息系统进行的风险评估并出具风险评估报告。

2、评估内容 常规风险评估内容：

（1）主机评估：针对每一台主机,包括虚拟服务器、物理服务器等进行评估。

（2）网络评估：对所有网络设备和安全设备进行风险评估。

（3）应用、数据库评估：对被测应用系统进行风险评估。

（4）安全管理评估：对安全策略、组织安全、资产分类与控制、人员安全及符合性等 方面进行管理安全性的评估，深层挖掘风险漏洞,提高安全防护能力。结合风险评估、安全 漏洞扫描和渗透测试的结果出具完整全面的《信息安全风险评估报告》。

（六）等级测评

根据定级梳理结果，对信息系统进行等级测评。等级测评主要分为单元测试和整体测试，其中单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）所要求的基本安全控制在信息系统中的实施配置情况；整体测评应主要测评分析信息系统的整体安全性，内容上应包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。等级测评的广度和深度应符合省公安厅《山东省信息安全等级保护测评工作规范（试行)》要求。

按照《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）的要求，结合山东省胸科医院信息系统的状况和各信息系统的安全保护等级的相应等级指标，进行等级保护安全现状分析，并出具详细的《信息系统等级保护测评报告》。

（七）等级测评提供渗透测试服务

通过渗透测试深入了解目前本单位网络所处的脆弱性和可能造成的影响，以便采取必要的防范措施。模拟黑客的真实攻击方法对系统、网络、应用、数据库进行非破坏性

质的攻击性测试。

渗透测试需制定相关测试步骤和方法，明确需要的人员能力条件、测试工具及型号， 设定测试深度和测试终止条件，评估可能产生的影响，同时应制定相应的预防措施。

（八）培训服务

供应商应提供培训讲师，进行信息安全相关政策背景、测评方法介绍、运行维护注意事项、安全产品的管理方式和通讯原理等相关知识的培训，将课程的内容辅以实践。

六、验收标准

项目实施过程中保证系统正常运行，确保信息系统经过安全建设后，顺利通过等级保护评测，并获得相关部门认可。

项目实施完成后，应提交包括但不限于以下交付物：

《信息系统安全等级保护测评报告》

《信息系统等级保护安全建设整改加固方案差距分析报告及整改建议》

《山东省胸科医院信息安全等级保护管理制度》

七、服务期限、责任及信息保密制度

本项目需提供的服务期限为一年，自合同签订之日起算。中标人需在服务期限内为采购方网络及信息系统的安全提供全面安全保障。

在服务期限内，由于信息安全问题引发的采购方业务、社会形象、社会声誉等方面的损失由乙方承担。

合同实施期间若因甲方原因导致系统结构或功能发生重大变更的，如增加硬件设备、更换备品备件所需费用全部由甲方承担，其它费用均由乙方承担。

中标人应遵守采购人各项规章制度和流程,做好安全检查与防范工作。需遵守采购人安全保密规定，承担安全保密责任和义务。中标人及驻场人员应按照采购人要求，同时签署保密协议，并由中标人和驻场人员同时承担服务过程中由其引起的数据泄密、故障延伸损失等责任。

中标人需做到以下几点：

服务技术支持人员保证遵守国家有关的政策、法律、法规和制度。

服务技术支持人员保证按照工作规范进行工作，凡接收到的重大服务请求在未经用户同意的情况下不做任何处理。

服务技术支持人员保证不向外泄漏任何业务和相关数据。服务技术支持人员保证不向外泄漏任何保密的资料。

服务商及其服务人员不得外泄用户提供的软件系统源代码及技术文档。

提供应急服务，采购人有关于信息安全的应急服务需求时需要及时协助，并在 2 小时内做出响应。

采购人对中标人定期进行考核，考核内容主要包括系统安全报告、信息安全事件发生数量、信息事件响应及时情况。

从驻场服务日起，一个月内完成信息安全等级保护工作包括定级、备案、安全建设和整改、信息安全等级测评、信息安全检查五个阶段全过程项目。

提供一年四个季度的巡检工作，配合采购方完成渗透测试、漏扫等工作。

八、人员要求

1、现场服务：供应商参与本次项目的项目组专业技术人员不少于5 人。供应商具

有信息安全等级测评师资质的技术人员在 3 人（至少一人具备NCSE证书）以上。供应商须提供至少 2 名项目人员

在测评期间提供驻场测评服务，项目负责人要求 5 年以上测评工作经验；项目组成员要

求 2 年以上测评经验。以上人员均须全职在岗，相应文件须提供相关学历、认证证书及

近 6 个月的人员社保复印件，并加盖供应商公章。

2、参与技术服务的人员均为中国公民，无违法犯罪记录并签订安全保密协议。

3、所有参与服务人员详细名单需在合同附件中进行明确，并提供相关资质证明文件。

第六部分 评标标准及办法

类别 评审项目 评分标准 技术部分 （45） 项目理解11 分 结合项目需求和技术要求，评标委员会对供应商提供的对国家政策、标准和行业依据标准的理解进行评价，在 6-11 分范围内进行评分。 实施方案24 分 测评实施方案应结合采购人项目技术架构及业务需求。测评方案思路清晰、进度明确，与采购人业务系统相符合，切实可行。具备完善的项目管理制度、质量控制措施，进度安排合理得 24 分， 每有一项不完善的减 2 分，减完为止。 设备投入10 分 供应商应具有满足项目实施要求的测试仪器设备，涵盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全和软件产品安全测试等方面,以及自动化的漏洞发现与验证平台。专业设备包括但不限于等保工具箱、漏洞扫描、数据库扫描设备等，以上全部满足的得 10 分，每有一项不完善或不满足的减 2 分，减完为止。 商务部分 （25） 资质认证10 分 具有中国信息安全认证中心颁发的“信息安全运维服务资质认证”，得 5 分; 具备中国信息安全认证中心颁发的“信息安全应急服务资质认 证”，得 5 分 同类项目业绩 5 分 供应商自开标日起近 36 个月签订的同行业项目案例，每提供 1 个，得 1 分，最多得 5 分。本项目须提供加盖公章的业绩合同复印件。 人员情况10 分 项目成员具有CISAW 信息安全人员认证证书的，每有 1 名得 1 分， 最高得 5 分。 项目负责人同时等级保护测评师证书和 CSSP 证书的，得 5 分， 部分具备、不具备不得分。 （供应商须提供以上人员加盖公章的证书复印件及其近 6 个月的 社保或住房公积金缴纳证明。） 投标报价 （30 分） 满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分（30 分）。 其他供应商的价格得分计算方法：投标报价得分＝（评标基准价 ／投标报价）×30

一、评标办法：综合评分法二、评标标准如下表：

---