威远县人民医院信息系统等级保护测评服务采购项目竞争性磋商公告
威远县人民医院信息系统等级保护测评服务采购项目竞争性磋商公告
项目概况:
威远县人民医院信息系统等级保护测评服务采购项目的潜在供应商应在内江融汇招标代理有限公司获取采购文件,并于2022年 8月26日14点30分(北京时间)前提交响应文件。
一、项目基本情况项目编号:NJRH-******-309
项目名称:威远县人民医院信息系统等级保护测评服务采购项目
采购方式:竞争性磋商
预算金额:200,000.00元
最高限价:200,000.00元
采购保证金:金额:人民币5,000.00元(大写:伍仟元整)
交款方式:本项目只接受转账、电汇等非现金形式的保证金
(注:转账或电汇时请在附加信息处注明项目编号及用途)
收款单位:内江融汇招标代理有限公司
开户银行:乐山市商业银行股份有限公司内江分行
账号:020*****0956
银行联行号:313 663 011 015
交款截止时间:2022年8月25日17时0分(转帐,电汇的交纳以银行到账时间为准)
各供应商在退还保证金时应按格式要求填写保证金退还申请书。
采购需求:
前提:本章标注“*”的条款为本次磋商采购的实质性要求,供应商须全部满足,不响应或不满足作无效响应处理。
一、项目建设背景
为了落实公安部和卫健局应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故依据《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)、《信息安全等级保护管理办法》(公通字[2007]43号)和《中华人民共和国网络安全法》等标准规范, 威远县人民医院现拟招一家供应商提供等保测评服务。
二、项目建设目标
依据国家和行业信息安全的相关标准,全面了解和掌握企业为系统现有安全状况,找出其与《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)对应级别的差距,及时发现系统存在的安全问题,针对等级保护测评中发现的各种安全风险,测评项目组提出适宜的安全整改建议,最终提交该系统等级保护测评报告。
*三、项目建设方案
依据《GBT *****-2019信息安全技术 网络安全等级保护测评要求》,按照《信息安全技术 网络安全等级保护测评过程指南》GB-T *****-2018要求,采取相应的测评方法(包括:访谈、检查、测试),按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
*四、项目建设依据(包括但不限于以下内容)
1、《中华人民共和国网络安全法》
2、《信息安全技术 网络安全等级保护基本要求》GB/T *****-2019
3、《信息安全技术 网络安全等级保护定级指南》GB/T *****-2020
4、《信息安全等级保护管理办法》(公通字[2007]43号)
5、《四川省卫生健康行业网络安全等级保护工作实施方案》(川卫函〔2019〕11号)
6、关于印发《省委巡视组反馈网络安全问题整改工作方案》的通知(川卫办信统便函〔2022〕6号)
*五、工作内容及要求
1、测评对象
系统名称 | 安全等级 |
医院综合管理业务系统 | 三级 |
PACS系统 | 三级 |
2、测评要求
根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
序号 | 关键实施阶段 | 工作要求 |
1 | 确定测评范围 | 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等。 |
2 | 获得信息系统的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
3 | 确定具体的测评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。 |
4 | 确定测评工作的方法 | 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。 |
5 | 制定测评工作计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
6 | 实施等级保护测评 | 实施测评,包括人工检查、工具扫描等方式。 |
7 | 项目总结 | 对测评结果进行总结、汇报 |
3、测评内容(包括不限于以下项目)
(1)安全物理环境
安全物理环境检查主要是了解信息系统的物理安全保障情况,涉及对象为机房。在内容上,安全物理环境层面测评实施过程涉及的工作单元,具体如下表:
表1 安全物理环境测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 物理位置的选择 | 检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 | 电磁防护 | 检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
(2)安全通信网络
安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体如下表:
表2 安全通信网络测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 网络架构 | 检查核心设备的CPU和内存使用率,整个网络带宽是否满足现状,VLAN划分是否合理,网络架构是否做到设备冗余、链路。 |
2 | 通信传输 | 检查数据在传输过程中的的完整性和保密性措施。 |
3 | 可信计算 | 检查设备是否进行可信验证。 |
(3)安全区域边界
安全区域边界检查主要是了解系统在网络边界的防护措施,涉及对象为防火墙、入侵检测、安全审计等安全设备。在内容上,安全区域边界层面测评实施过程涉及的工作单元,具体如下表:
表3 安全区域边界测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 边界防护 | 检查网络边界是否有访问控制设备,访问控制策略是否合理,是否关闭了闲置端口等。 |
2 | 访问控制 | 检查网络中的访问控制策略是否合理、有效。 |
3 | 入侵防范 | 检查网络中是否采用了入侵防范措施,验证该措施是否有效。 |
4 | 恶意代码和垃圾邮件防范 | 检查网络中是否有恶意代码和垃圾邮件防范措施。 |
5 | 安全审计 | 检查网络中是否有综合安全审计措施。 |
6 | 可信验证 | 检查设备是否进行可信验证。 |
(4)安全计算环境
安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工作单元,具体如下表:
表4应用系统安全测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯一性等检查。 |
2 | 访问控制 | 检查用户的权限分配情况,默认用户和默认口令使用情况等。 |
3 | 安全审计 | 检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 |
4 | 入侵防范 | 检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 | 恶意代码防范 | 检查设备的恶意代码防范情况。 |
6 | 可信验证 | 检查设备是否进行可信验证。 |
7 | 数据完整性 | 检查系统数据的传输完整性和存储完整性措施。 |
8 | 数据保密性 | 检查系统数据的传输保密性和存储保密性措施。 |
9 | 数据备份恢复 | 检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
10 | 剩余信息保护 | 检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
11 | 个人信息保护 | 检查系统对个人信息的采集和使用情况。 |
(5)安全管理中心
安全管理中心检查主要是了解系统在管理、审计等集中管理的情况,涉及对象为综合管理类设备、综合审计类设备等。在内容上,安全管理中心实施过程涉及的工作单元,具体如下表:
表5安全管理中心测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统管理 | 检查是否对系统管理员进行统一的身份鉴别,操作审计等。 |
2 | 审计管理 | 检查是否对审计管理员进行统一的身份鉴别,操作审计等。 |
3 | 安全管理 | 检查是否对安全管理员进行统一的身份鉴别,操作审计等。 |
4 | 集中管控 | 检查是否划分独立的安全管理区域,是否对网络中运行的设备进行状态监测、日志审计、安全审计等,是否对补丁、恶意代代码进行统一管理。 |
(6)安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体如下表:
表6安全管理制度测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 安全策略 | 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目 标、范围、原则和各类安全策略 |
2 | 管理制度 | 检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
3 | 制定和发布 | 检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
4 | 评审和修订 | 检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
(7)安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况,主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及的工作单元,具体如下表:
表7安全管理机构测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 岗位设置 | 检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
(8)人员安全管理
安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体如下表:
表8安全管理人员测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 安全意识教育和培训 | 检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
4 | 外部人员访问管理 | 检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
(9)安全建设管理
安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况,主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全建设管理测评实施过程涉及的工作单元,具体如下表:
表9安全建设管理测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 定级和备案 | 检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 等级测评 | 检查系统之前等级测评的情况,以及之前测评机构的资质等。 |
10 | 服务供应商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
(10)安全运维管理
安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体如下表:
表10安全运维管理测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 环境管理 | 检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备维护管理 | 检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 漏洞和风险管理 | 检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
6 | 网络和系统安全管理 | 检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修 改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 |
7 | 恶意代码防范管理 | 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 配置管理 | 检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 |
9 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份与恢复管理 | 检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 资产管理 | 检查是否有资产清单,清单是否包括资产类别、资产责任部门、 重要程度和所处位置等内容;是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施 的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 |
13 | 应急预案管理 | 检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
14 | 外包运维管理 | 检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
4、交付产物(包括但不仅限于以下资料)
(1)《网络安全等级保护测评报告》(包含整改建议);
(2)其他未列入的应交资料。
六、商务要求
1、完成时间:自合同签订之日起3个月。
2、服务地点:威远县人民医院。
3、付款方式:采购人应在供应商完成测评工作且提交了《网络安全等级保护测评报告》后10个工作日内支付合同总额100%。。
4、按照国家相关行业标准进行验收。
合同履行期限:自合同签订之日起3个月。
本项目不接受联合体。
二、申请人的资格要求:1.参加磋商采购的供应商应具备下列条件:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必须的设备和专业技术能力;
(4)具有依法缴纳税收和社会保障资金的良好记录;
(5)参加本次采购活动前三年内,在经营活动中没有重大违法记录;
(6)符合法律、行政法规规定的其他条件;
2. 本项目参加采购活动的供应商单位及其现任法定代表人、主要负责人前三年内不得具有行贿犯罪记录。
3. 根据采购项目提出的特殊条件:
具有网络安全等级测评与检测评估机构服务认证证书。
4.其他类似效力要求:
(1)按本项目规定购买了竞争性磋商文件和缴纳了磋商保证金;
(2)授权参加本次采购活动的供应商代表证明材料。
三、获取采购文件时间:2022年8月16日9:00至2022年8月22日17:00(北京时间,法定节假日除外 )由内江融汇招标代理有限公司线上发售。
线上报名方式:请将以下报名资料电子版上传至njrh2003@126.com。
(1)供应商报名登记表(详见附件);
(2)供应商为法人或者其他组织的,须提供单位介绍信原件(加盖单位公章)、经办人身份证复印件(加盖单位公章);供应商为自然人的,须提供本人身份证复印件。
上传后请致电0832-*******,报名成功后,方可获取竞争性磋商文件。
地点:内江融汇招标代理有限公司给定的邮箱网上报名后,由内江融汇招标代理有限公司通过邮寄方式。
售价:本项目采购文件有偿获取,人民币300元/份。(采购文件售出后费用不退,报名资格不能转让)
四、响应文件提交截止时间:2022年8月26日14点30分(北京时间)。
地点:内江市东兴区翡翠国际社区清溪路商业楼47幢三楼
五、开启时间:2022年8月26日14点30分(北京时间)。
地点:内江市东兴区翡翠国际社区清溪路商业楼47幢
六、公告期限自本公告发布之日起3个工作日。
七、其他补充事宜:无。八、凡对本次采购提出询问,请按以下方式联系。1.采购人信息名称:威远县人民医院
地址:四川省内江市威远县严陵镇五云路72号
联 系 人:赖老师
电话:0832-*******
2.采购代理机构信息名称:内江融汇招标代理有限公司
地 址:内江市东兴区翡翠国际社区清溪路商业楼47幢
联 系 人:杨老师
联系方式:0832-*******
3.项目联系方式项目联系人:杨老师
电 话:0832-*******
附件
供应商报名登记表
项目编号(必填) | |
项目名称(必填) | |
单位名称(必填) | (加盖公章) |
单位地址(必填) | |
购买文件时间(必填) | |
联系人(必填) | |
单位固定电话 | |
经办人移动电话(必填) | |
单位传真 | |
电子邮箱(必填) | |
备注 |
标签: 信息系统
0人觉得有用|
招标
|
内江融汇招标代理有限公司 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
