四川省妇幼保健院 四川省妇女儿童医院

2017年信息安全等级保护测评服务项目招标要求

一、服务供应商应具备的资格、资质性及其他类似效力要求

（1）具有独立承担民事责任的能力。

（2）具有良好的商业信誉和健全的财务会计制度。

（3）具有履行合同所必须的设备和专业技术能力。

（4）具有依法缴纳税收和社会保险资金的良好记录。

（5）参加本次采购活动前三年内，在经营活动中没有重大违法违规记录。

（6）具有省级及以上信息安全等级保护工作领导小组办公室颁发的“信息安全等级保护测评机构推荐证书”。

（7）本项目不接受联合体投标。

二、服务供应商应当提供的资格、资质性及其他类似效力要求的相关证明材料

（1）具备《政府采购法》第二十二条规定条件的承诺函原件。

（2）企业营业执照或事业单位法人证书副本复印件。

（3）组织机构代码证副本复印件。（已领取统一社会信用代码营业执照或事业单位法人证书的企事业单位可不提供）

（4）税务登记证副本复印件（国税或地税）。（已领取统一社会信用代码营业执照或事业单位法人证书的企事业单位可不提供）

（5）法定代表人授权书原件（非法定代表人投标时提供）。

（6）法定代表人的身份证复印件。

（7）授权代表的身份证复印件。

（8）省级及以上信息安全等级保护工作领导小组办公室颁发的“信息安全等级保护测评机构推荐证书”复印件。

三、售后服务要求

（1）为本项目提供信息安全优化、整改建议方案。

（2）为本项目提供相关的信息安全等级保护技术培训。

（3）为本项目提供测评相关设备的共享服务。

（4）为本项目提供7×24小时电话咨询服务，需要时上门服务。

四、服务期限及地点要求

（1）服务地点：业主指定地点。

（2）服务时间：合同签订后至完成项目的所有测评服务工作。

五、比选评分办法：

六、四川省妇幼保健院2017年信息安全等级保护测评服务项目技术需求

项目测评服务需求和技术要求

为了保障四川省妇幼保健院“核心业务系统（HIS系统）、妇幼卫生信息直报系统、出生医学证明管理系统”安全、稳定、可靠、高效的运行，按照相关的国家、行业的安全标准要求，需要对其进行安全等级保护三级测评和系统源代码安全测试。测评内容包括：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理、源代码安全等方面。通过测评，对照相应安全等级保护要求进行差距分析，排查系统安全漏洞和隐患并分析其风险，制订出整改措施，出具测评报告。具体内容包括：

1、对四川省妇幼保健院“核心业务系统（HIS系统）、妇幼卫生信息直报系统、出生医学证明管理系统”的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理共10个层面通过访谈、检查、测评等方法进行初测评，找出差距、安全漏洞和隐患并分析其风险，制订出整改建议报告。

2、对四川省妇幼保健院“核心业务系统（HIS系统）、妇幼卫生信息直报系统、出生医学证明管理系统”的源代码安全进行测试，并出具测试报告。

3、按照《GB/T22240-2008 信息系统安全等级保护定级指南》、《GB/T 22239-2008信息安全技术 信息系统安全等级保护基本要求》等国内相关标准，及初测评的整改意见协助四川省妇幼保健院完成被测信息系统技术方面的安全修复、系统加固等工作。

4、对经过整改后的信息系统进行回归测评，并正式形成《信息系统安全等级保护测评报告》、《信息系统源代码安全测试报告》。

测评内容包括信息系统技术安全性测评及信息系统管理安全测评：

1、信息系统技术安全性测评包括但不限于：物理安全、网络安全、主机安全、应用安全、数据安全。

2、信息系统管理安全测评包括但不限于：安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

3、源代码安全测试依据公共漏洞字典表、Web漏洞,以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列服务内容。

4、安全漏洞扫描包括但不限于：应用系统漏洞扫描、应用服务器漏洞扫描、数据库服务器漏洞扫描。

测评具体要求：

（一）信息系统技术安全性测评

1、物理安全测评

物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。

2、网络安全测评

网路安全测评应当包含：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。

3、主机安全测评

主机安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。

4、应用安全测评

应用安全测评应当包含：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

5、数据安全及备份恢复测评

数据安全及备份恢复测评应当包含：数据完整性、数据保密性、备份和恢复。

（二）信息系统管理安全测评

1、安全管理制度测评

安全管理制度测评应当包含：管理制度、制定与发布、审批和修订。

2、安全管理机构测评

安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

3、人员安全管理测评

人员安全管理测评应当包含：人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。

4、系统建设管理测评

系统建设管理测评应当包含：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全服务商选择。

5、系统运维管理测评

系统运维管理测评应当包含：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

（三）源代码测试

源代码安全测试依据公共漏洞字典表、Web漏洞,以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等一系列服务内容。

（四）风险分析和评价

依据GB/T 20984-2007《信息安全技术 信息安全风险评估规范》，针对四川省妇幼保健院“核心业务系统（HIS系统）、妇幼卫生信息直报系统、出生医学证明管理系统”采用风险分析方法，分析信息系统测评结果中存在的安全问题可能对信息系统安全造成的影响，并给出发现的安全问题以及风险分析及评价情况。

（五）安全漏洞扫描

安全漏洞扫描应当依据GB/T 18336-2015《信息技术 安全技术 信息技术安全性评估准则》、GB/T 20274-2008《信息系统安全保障评估框架》对四川省妇幼保健院“核心业务系统（HIS系统）、妇幼卫生信息直报系统、出生医学证明管理系统”的应用安全漏洞、主机安全漏洞、数据库安全漏洞三个内容进行测评。

实施和保障方案

（一）项目进度要求

本项目测评实施要求同步实施、重点先行、阶段性成果展现相结合。

具体实现进度要求如下：

本次信息系统安全等级保护测评服务工作分为：测评准备、方案编制、现场测评、问题整改、回归测评、报告编制等几个阶段。

（1）第一阶段：

组建项目组，制定信息安全测评项目计划书、测评实施方案以及人员安全培训计划，并提交四川省妇幼保健院审核。

（2）第二阶段：

进行现场测评，同时对四川省妇幼保健院信息安全相关管理和技术人员进行安全技术培训。初次测评完成后，提交初评的整改意见报告。

（3）第三阶段：

协助四川省妇幼保健院针对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。

（4）第四阶段：

整理测评结果，向四川省妇幼保健院提交被测信息系统安全等级保护测评报告、源代码安全测试报告、以及相应文档。

（二）项目实施要求

依据国家各项相关标准法规和四川省妇幼保健院现有的规范、制度，同时结合项目实际需要，对信息安全等级保护项目工作中的定级、备案、测评（包括测评范围、测评方法等）、整改（包括整改方法、范围等）过程中，所需的产品、技术、制度、流程、建设要求和实施规范等方面，提供咨询、测评、整改建议以及整个建设过程的监督和管理等服务。所提供的整体方案需包括技术方案和实施方案。技术方案包括整体流程、技术方法和服务方案设计等，需要对每项技术方法的应用位置进行详细描述，对系统进行详细的测评，发现系统不足，明确安全风险隐患和差距，提出整改意见，协助四川省妇幼保健院信息安全管理人员进行整改；实施方案包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等，需要明确每项工作的时间安排、操作时间和操作人员。投标人负责提供的服务内容至少应包括，但不限于以下各项：

1、服务提供商在信息安全等级保护测评和风险评估前应制定详细的技术方案，包括信息安全等级保护测评项目计划书、测评实施方案以及人员安全培训计划等，并提交四川省妇幼保健院审核。

2、信息安全等级保护测评包括但不限于以下对象：网络结构、网络服务、主机系统、存储备份系统、数据库、中间件、应用系统、数据安全、安全系统、系统安全策略等。

3、服务提供商应描述测评服务的技术方案，包括准备工作、技术措施、人员安排、时间进度、可能对系统造成的影响等。

4、安全测评工作应尽量选择在非业务繁忙时段进行，将对被测系统可能带来的影响减至最小。

5、服务提供商应书面承诺能够积极与四川省妇幼保健院协作，共同完成本项目的测评工作，项目实施过程中出现问题不得互相推诿，双方应主动进行沟通，并及时解决问题，确保项目顺利实施。

（三）项目管理要求

对项目进行科学严格的管理，通过系统计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，投标人必须提供完整的项目管理方案，项目的方案设计与具体实施应满足以下原则：

1、最小影响原则：工作应尽可能小的影响系统和网络的正常运行，不能对网络的运行和业务的正常运行产生显著影响（包括系统性能明显下降、网络拥塞、服务中断）；

2、标准性原则：服务方案的设计与实施应依据国家相关标准进行，包括但不限于《GB/T 20984-2007信息安全技术信息安全风险评估规范》，符合《信息安全等级保护管理办法（公通字[2007]43号）》、《计算机信息系统安全保护等级划分准则（GB 17859-1999）》、《信息系统安全等级保护基本要求（GB/T 22239-2008）》、《信息系统安全等级保护实施指南（GB/T 25058-2010）》等国家标准；

3、规范性原则：服务提供商工作中的过程和文档，应具有较好的规范性，便于项目的跟踪和控制；

4、可控性原则：方法和过程要在双方认可的范围之内，安全服务的进度要按照进度表安排实施，保证四川省妇幼保健院对于服务工作的可控性；

5、整体性原则：评估内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

6、保密原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则四川省妇幼保健院有权追究服务提供商的责任。

服务提供商需根据上述要求，提供项目详细的项目管理方案，并予以详细解释。

（四）服务保障与承诺

1、服务提供商应严格按照测评人员执业守则，按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评，在保证质量、安全的前提下，确保在项目规定的期限内按期完成。

2、服务提供商应协助、配合四川省妇幼保健院与上级监管部门、公安机关的沟通协调。在测评过程中和测评完成后，协助、配合四川省妇幼保健院进行相关的信息系统安全整改，确保已定级系统达到等级保护的相关要求，并通过上级监管部门和公安机关的审核验收。

3、服务提供商应在项目期内向四川省妇幼保健院提供7*24小时电话咨询服务，必要时上门服务。跟踪信息安全等级保护的最新发展情况，及时告之四川省妇幼保健院，提供相应解决方案及建议，协助其持续符合信息系统信息安全等级保护工作的要求。

4、服务提供商应在项目实施过程中，对四川省妇幼保健院相关人员进行安全方面的技术培训，明确项目实施的思路、方案、技术路线，提升技术人员的安全意识，可以独立的对信息安全等级保护的国家安全政策和法规进行把握，了解测评整改手段，掌握测评整改方法。

5、服务提供商应在项目开始前，与四川省妇幼保健院签订保密协议，严格遵守法律法规，对四川省妇幼保健院商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密，未经四川省妇幼保健院同意，严禁将上述内容与任何第三方透露或用于其他商业用途，并承担由此产生的一切损失。

四川省妇幼保健院

信息化部

2017年9月28日