妇幼保健计划生育服务中心(冕宁县妇幼保健院)等级保护测评服务招标公告
妇幼保健计划生育服务中心(冕宁县妇幼保健院)等级保护测评服务招标公告
| 公告信息: | |||
| 采购项目名称 | 冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院)等级保护测评服务采购项目 | ||
| 品目 | 服务/信息技术服务/其他信息技术服务 | ||
| 采购单位 | 冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院) | ||
| 行政区域 | 冕宁县 | 公告时间 | 2022年08月29日11:27 |
| 获取采购文件时间 | 2022年08月29日至2022年09月05日 每日上午:8:00 至 14:00下午:12:00 至 21:00(北京时间,法定节假日除外) | ||
| 响应文件递交地点 | 四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路 | ||
| 响应文件开启时间 | 2022年09月09日10:00 | ||
| 响应文件开启地点 | 四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路 | ||
| 预算金额 | ¥20.******万元(人民币) | ||
| 联系人及联系方式: | |||
| 项目联系人 | 凌女士 | ||
| 项目联系电话 | 0834-******* | ||
| 采购单位 | 冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院) | ||
| 采购单位地址 | 冕宁县妇幼保健计划生育服务中心 | ||
| 采购单位联系方式 | 陈老师:151*****877 | ||
| 代理机构名称 | 四川景辰飞扬工程项目管理有限公司 | ||
| 代理机构地址 | 四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路 | ||
| 代理机构联系方式 | 凌老师:0834-******* | ||
| 附件: | |||
| 附件1 | 磋商文件和报名表.zip | ||
项目概况
冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院)等级保护测评服务采购项目 采购项目的潜在供应商应在四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路获取采购文件,并于2022年09月09日 10点00分(北京时间)前提交响应文件。
一、项目基本情况
项目编号:JCFY-采磋-[2022]12号
项目名称:冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院)等级保护测评服务采购项目
采购方式:竞争性磋商
预算金额:20.******0 万元(人民币)
最高限价(如有):20.******0 万元(人民币)
采购需求:
第七章 采购项目技术、服务、商务及其他要求
一、项目概述
1.项目建设背景
为了落实公安局和卫计局应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故依据《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)、《信息安全等级保护管理办法》和《中华人民共和国网络安全法》等标准规范, 冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院)现拟招一家供应商提供等保测评服务。
2.项目建设目标
依据国家和行业信息安全的相关标准,全面了解和掌握企业为系统现有安全状况,找出其与《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)对应级别的差距,及时发现系统存在的安全问题,针对等级保护测评中发现的各种安全风险,测评项目组提出适宜的安全整改建议,最终提交该系统等级保护测评报告。
3.项目建设方案
依据《GBT *****-2019信息安全技术 网络安全等级保护测评要求》,按照《信息安全技术 网络安全等级保护测评过程指南》GB-T *****-2018要求,采取相应的测评方法(包括:访谈、检查、测试),按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
4.项目建设依据
此次依据的标准包括但不限于以下内容:
l《中华人民共和国网络安全法》
l《信息安全技术网络安全等级保护定级指南》GB/T *****-2020
l《信息安全技术网络安全等级保护基本要求》GB/T *****-2019
l《教育行业信息系统安全等级保护定级工作指南》
二、技术部分及规格参数1.服务内容及要求
1.1测评对象
系统名称 | 安全等级 |
HIS系统 | 二级 |
LIS系统 | 二级 |
1.2测评要求
根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
序号 | 关键实施阶段 | 工作要求 |
1 | 确定测评范围 | 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等。 |
2 | 获得信息系统的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
3 | 确定具体的测评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。 |
4 | 确定测评工作的方法 | 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。 |
5 | 制定测评工作计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
6 | 实施等级保护测评 | 实施测评,包括人工检查、工具扫描等方式。 |
7 | 项目总结 | 对测评结果进行总结、汇报 |
1.3 测评内容
按照信息系统等级保护测评依据开展测评工作(包括不限于以下项目)
1.3.1物理安全
物理安全检查主要是了解信息系统的物理安全保障情况。涉及对象为机房。在内容上,物理安全层面测评实施过程涉及的工作单元,具体如下表:
表1 物理安全测评内容:
序号 | 工作单元名称 | 工作单元描述 |
1 | 物理位置的选择 | 检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 | 电磁防护 | 检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
1.3.2网络安全
网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,网络安全层面测评过程涉及的工作单元,具体如下表:
表2网络安全测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 网络结构安全 | 检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 | 网络访问控制 | 检查防火墙等网络访问控制设备,测试系统对外暴露安全漏洞情况等,测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。 |
3 | 网络安全审计 | 检查核心交换机、路由器等网络互联设备的安全审计情况,测评分析信息系统审计配置和审计记录保护情况。 |
4 | 边界完整性检查 | 检查边界完整性检查设备,测评分析信息系统违规联到外部网络的行为。 |
5 | 网络入侵防范 | 测评分析信息系统对攻击行为的识别和处理情况。 |
6 | 恶意代码防范 | 检查网络防恶意代码产品等过程,测评分析信息系统网络边界和核心网段对病毒等恶意代码的防护情况。 |
7 | 网络设备防护 | 检查交换机、路由器等网络互联设备以及防火墙等网络安全设备,查看它们的安全配置情况,包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等,考察网络设备自身的安全防范情况。 |
1.3.3主机安全
主机系统安全检查是为了了解评测目标系统的主机系统安全保障情况。在内容上,主机系统安全层面测评实施过程涉及的工作单元,具体如下表:
表3 主机安全测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查服务器的身份标识与鉴别和用户登录的配置情况。 |
2 | 访问控制 | 检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 |
3 | 安全审计 | 检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 |
4 | 入侵防范 | 检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 | 剩余信息保护 | 检查服务器鉴别信息的存储空间,被释放或再分配给其他用户前得到完全清除。 |
6 | 恶意代码防范 | 检查服务器的恶意代码防范情况。 |
7 | 资源控制 | 检查服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。 |
1.3.4应用系统安全
应用安全检查是为了了解业务应用系统的应用安全保障情况。在内容上,应用安全层面测评实施过程涉及的工作单元,具体如下表:
表4应用系统安全测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查应用系统的身份标识与鉴别功能设置和使用配置情况; |
检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 | ||
2 | 访问控制 | 检查应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
3 | 安全审计 | 检查应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; |
检查应用系统安全审计进程和记录的保护情况。 | ||
4 | 剩余信息保护 | 检查应用系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
5 | 通信完整性 | 检查应用系统客户端和服务器端之间的通信完整性保护情况。 |
6 | 通信保密性 | 检查应用系统客户端和服务器端之间的通信保密性保护情况。 |
7 | 抗抵赖 | 检查应用系统对原发方和接收方的抗抵赖实现情况。 |
8 | 软件容错 | 检查应用系统的软件容错能力,如输入输出格式检查、自我状态监控、自我保护、回退等能力。 |
9 | 资源控制 | 检查应用系统的资源控制情况,如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。 |
1.3.5数据安全及备份恢复
数据安全及备份恢复评估是为了了解评测系统的数据安全及备份恢复保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全及安全备份恢复情况。在内容上,实施过程涉及的工作单元,具体如下表:
表5数据安全及备份恢复测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 数据完整性 | 检查操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。 |
2 | 数据保密性 | 检查操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。 |
3 | 安全备份和恢复 | 检查信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
1.3.6安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体如下表:
表6安全管理制度测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 管理制度 | 检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
2 | 制定与发布 | 检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
3 | 评审和修订 | 检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
1.3.7安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程涉及的工作单元,具体如下表:
表7安全管理机构测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 岗位设置 | 检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通与合作 | 检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核与检查 | 检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
1.3.8人员安全管理
人员安全管理测评是为了了解评测人员安全方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,人员安全管理测评实施过程涉及的工作单元,具体如下表:
表8人员安全管理测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 人员考核 | 检查有关考核记录等过程,测评是否对人员进行日常的业务考核和工作审查。 |
4 | 安全意识教育和培训 | 检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
5 | 外部人员访问管理 | 检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
1.3.9系统建设管理
系统建设管理测评是为了了解评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统建设管理测评实施过程涉及的工作单元,具体如下表:
表9系统建设管理测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统定级 | 检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 安全服务商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
1.3.10、系统运维管理
系统运维管理测评是为了了解评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,系统运维管理测评实施过程涉及的工作单元,具体如下表:
表10系统运维管理测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 环境管理 | 检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备管理 | 检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 监控管理和安全管理中心 | 测评是否采取必要的措施对重要主机的运行和访问权限进行监控管理。 |
6 | 网络安全管理 | 检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
7 | 系统安全管理 | 检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
8 | 恶意代码防范管理 | 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
9 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份和恢复管理 | 检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 安全事件处置 | 检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
13 | 应急预案管理 | 检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
2.交付产物
包括但不仅限于以下资料:
1 | 信息系统安全等级测评报告(包含整改建议) |
2 | 其他未列入的应交资料 |
三、商务要求:(实质性要求)
1、付款方式:以采购人和成交供应商签订合同为准。
服务地点:冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院)。3、服务时间:签订合同后60个日历天内完成项目要求的所有工作和资料交付,并配合采购方获得相应的等级保护证书。
4、履约保证金:3%。
八、验收办法
1、验收办法:严格按照四川省财政厅《财政部关于进一步需求和履约验收管理的指导意见》(财库(2016)205号)验收。验收小组,按照采购合同的约定对供应商履约情况进行验收。验购合同的约定对每一项技术、服务、安全标准的履约情况进行确认。验收结束后出具验收报告,列明各项标准的验收情况及项目总体评价,由验收双方共同签署。
2、验收标准:供应商应提供系统验收方案、验收测试报告及接受检验来证明其提供的系统符合本采购文件的各项要求(上述文件应经过采购人审查同意实施)。项目验收总体按技术要求完成所有工作及资料交付后。成交供应商向采购人提出验收申请,由采购人组织验收。
九、质量要求(实质性要求)
按照国家相关标准要求完成技术要求中所有等保测评工作,对单位重要信息系统的定级提供指导意见,并协助单位完成在当地公安机关的信息系统等级保护备案相关工作,整理所有等保测评交付资料。
十、售后服务(实质性要求)
1、对所测系统进行不少于3次的渗透测试和漏洞扫描。
2、提供7*24小时电话咨询服务,必要时现场响应。
3、在有关单位组织的攻防演练中提供远程支撑服务。
4、在重大时间前、突发事件后进行远程网络安全支撑服务,必要时进行现场支撑。
5、每季度进行安全巡查、巡检,并出具报告。
合同履行期限:签订合同后60个日历天。
本项目(不接受)联合体投标。
二、申请人的资格要求:
1.满足《中华人民共和国政府采购法》第二十二条规定;
2.落实政府采购政策需满足的资格要求:
无
3.本项目的特定资格要求:1、具有网络安全等级测评与检测评估机构服务认证证书。
三、获取采购文件
时间:2022年08月29日至2022年09月05日,每天上午8:00至14:00,下午12:00至21:00。(北京时间,法定节假日除外)
地点:四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路
方式:4.1 现场获取,应当提供《报名信息登记表》、《介绍信》(附经办人身份证复印件)加盖单位公章的原件。 4.2 远程获取,(1)供应商远程办理购买询价通知书时,请先自行下载公告附件中的《报名信息登记表》、《介绍信(格式)》,并按相关要求填写信息(单位名称、经办人姓名、经办人手机号、单位座机及传真号、电子邮箱、包号等)。(2)将已填写的《报名信息登记表》、《介绍信》(附经办人身份证复印件)加盖供应商单位公章后扫描成图片连同报名费用支付凭证截图发送至*********@qq.com。4.3报名咨询电话:0834-*******。
售价:¥200.0元(人民币)
四、响应文件提交
截止时间:2022年09月09日 10点00分(北京时间)
地点:四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路
五、开启
时间:2022年09月09日 10点00分(北京时间)
地点:四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
无
八、凡对本次采购提出询问,请按以下方式联系。
1.采购人信息
名 称:冕宁县妇幼保健计划生育服务中心(冕宁县妇幼保健院)
地址:冕宁县妇幼保健计划生育服务中心
联系方式:陈老师:151*****877
2.采购代理机构信息
名 称:四川景辰飞扬工程项目管理有限公司
地 址:四川省凉山彝族自治州冕宁县城厢镇东南新区卫星西路
联系方式:凌老师:0834-*******
3.项目联系方式
项目联系人:凌女士
电 话: 0834-*******
标签: 等级保护测评
0人觉得有用|
招标
|
四川景辰飞扬工程项目管理有限公司 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
