电话:0731-55571175   58999120
您的位置:

信息系统安全等级保护测评服务采购公示

  时间:2019-06-01  


一、项目名称:湘潭市第三人民医院信息系统安全等级保护测评

 

二、招标人:湘潭市第三人民医院

 

三、项目内容:本次项目实施要求完成医院四大核心信息系统安全等级保护测评工作并协助医院完成达到公安局的验收标准。主要包括以下内容:

1.按国家关于网络信息安全等级保护的相关法律法规、标准,落实全部测评项目。确保测评结果全面、客观、准确、有效。

2. 2019731日之前在湘潭市公安局取得备案证号进行测评。通过测评评估,出具正式书面整改建议。整改完成后进行复测。

3.医院整改过程中提供技术、服务支持,协助医院获得湘潭市公局核发的备案证明。

4.能积极响应医院信息系统发生的安全事件,给予场支持或者技术服务,并确保有适当长的服务期限。

 

四、资格要求

1)一般要求:具有独立法人资格。

2)★投标人应是《全国信息安全等级保护测评机构推荐目录》中的单位(www.djbh.net中可查),提供网上查询的证明材料。

3)须具有“信息安全等级保护测评机构推荐证书”,并在湖南省公安厅备案登记;

4)须在湖南省本地设有服务机构,满足招标文件的“技术要求”,提供详细的项目实施方案;

5)不接受联合体投标,不得以任何形式进行转包。

五、申请人须提交的资料:

1.申请人的营业执照复印件并加盖公司公章。

2.企业资质证书复印件并加盖公司公章。

3.项目报价单。

4.投标人需提供近三年的本地合同案例。

六、招标方式

投标人请于20196101730 前将相关资料密封提交至湘潭市第三人民医院,2019612 900 以综合评分法的谈判方式,经评审后确认中标供应商。

七、联系方式

招标人:湘潭市第三人民医院

 址:湖南省湘潭市岳塘区板塘铺板马路20号。

联系人:吴正

联系电话:13873205505



 

附件1

 


湘潭市第三人民医院

信息系统等级保护测评技术规格

 

1.项目基本情况

1.1 项目名称

湘潭市第三人民医院信息系统等级保护测评

1.2 建设单位

湘潭市第三人民医院

1.3 项目地点

项目地点:湘潭市第三人民医院

2. 项目内容

本次参与信息系统安全等级保护测评的系统共有4个。

2.1测评内容

序号

系统名称:

级别

1

HIS系统

二级

2

EMR系统

二级

3

LIS系统

二级

4

PACS系统

二级

2.2测评要求

测评范围

上述4个系统所涉及的基础物理环境、网络环境、主机层、应用层、数据层及相关安全设备与管理制度体系。

测评内容

具体分为物理安全、网络安全、主机系统安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等10个方面,同时要求采用漏洞扫描工具和渗透测试等方法对等级保护差距评估结果进行验证、分析。

3.项目成果要求

根据收集的信息和完成的分析创建评估文档,并向用户相关人员陈述本次评估结果,提出相应的安全整改措施建议,使用户充分理解信息系统存在的等级保护差距与其安全风险,以尽早采取整改与加固措施,最终完成本次评估活动。测评后,应至少提交以下成果:

《信息系统安全等级保护测评报告》:主体报告,描述被测评系统的信息安全现状,找出存在的安全隐患,描述系统安全防护措施与国家标准要求之间的差距,对存在的漏洞进行风险分析,最后提出整改建议。报告格式应符合公安部所发《信息系统安全等级保护测评报告模板》的要求。

信息安全等级保护整改建议》:综合报告后的辅助报告,通过综合分析,了解了当前的安全现状,提出针对当前有问题的业务系统总体安全解决方案建议。

协助医院编写《定级报告》、《备案表》及相关附件,协助医院按标准要求优化、整改到位,完成测评系统在公安机关的备案工作,协助医院获得湘潭市公局核发的备案证明。

4.实施方要求

实施方应满足下面的资格条件:

4.1实施方资质

实施单位需具备《中华人民共和国政府采购法》第二十二条规定的基本资格条件,并提供以下资格证明文件:

1)法人提交企业法人营业执照副本或事业单位法人证书副本以及组织机构代码证副本复印件;

2)依法缴纳税收和社会保险费的证明材料,各提供下列材料:

①缴纳税收证明资料:《税务登记证》复印件,或者近三个月依法缴纳税收的证明(纳税凭证复印件),或者委托他人缴纳的委托代办协议和近三个月的缴纳证明(收据复印件),或者法定征收机关出具的依法免缴税收的证明原件。

②缴纳社会保险证明资料:《社会保险登记证》复印件,或者近三个月依法缴纳社会保险的证明(缴费凭证复印件),或者委托他人缴纳的委托代办协议和近三个月的缴纳证明(收据复印件),或者法定征收机关出具的依法免缴保险费的证明原件。

3)法人提交法定代表人身份证明原件或者法定代表人授权委托书原件并附法定代表人身份证明原件,自然人提交身份证复印件;

4)实施主题具有实行了“三证合一”登记制度改革的新证并提交的,视同为持有并提交了工商营业执照、组织机构代码证和税务登记证,符合基本资格条件的相关条款。

4.2 实施方基本资格条件

投标人需具有“信息安全等级保护测评机构推荐证书”(提供公安部等级保护网http://www.djbh.net截图为证),并在湖南省公安厅备案登记;

5.建设需求

5.1服务内容

依照《GB/T 22239-2008 信息安全技术信息系统等级保护基本要求》等国家和行业等级保护相关标准对目标信息系统进行等级保护符合性测评,并提出改进建议。具体服务内容如下:

针对业务信息系统从物理安全、网络安全、主机系统安全、应用安全、数据安全等方面开展符合性测试,通过现场人员访谈、配置核查、漏洞扫描等技术手段发现信息安全技术问题,评估技术测评项的符合性。

根据安全管理的不同管理域,依据相关标准的要求,评估目标系统的信息安全管理能力。现场管理评估的方式主要有两种:一是与有关管理和运行人员进行交流;另外一种方式就是审查管理文档并实地考察必需的硬件及软件条件等。评估的安全管理域包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等。

综合评估结果出具等保符合性判断,并提交安全整改方案。

5.2交付物

《信息系统等级保护测评报告》(按系统出报告)

《信息安全等级保护整改建议》

6.服务质量要求

6.1信息安全等级保护测评

根据我单位提供的重要信息系统的详细资料,采用信息安全等级保护评估方法对我单位的被测系统进行安全等级保护测评。测评项目包含被测系统的物理安全、网络安全、主机安全、应用安全和数据安全(备份与恢复)等五个技术层面,以及安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个管理层面。

6.2等级保护测评范围

序号

系统名称:

级别

1

HIS系统

二级

2

EMR系统

二级

3

LIS系统

二级

4

PACS系统

二级

6.3等级保护测评内容

参考标准要求

?  《中华人民共和国网络安全法》

?  《信息安全等级保护管理办法》

?  信息系统安全等级保护基本要求(GB/T222392008

?  《信息安全技术 信息系统安全等级保护实施指南》;

?  《信息安全技术 信息系统安全等级保护定级指南》(GBT 22240-2008);

?  《信息安全技术 信息系统安全等级保护基本要求》(GBT 22239-2008);

?  《信息安全技术  信息安全风险评估规范》(GB/T 209842007);

?  《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006

?  《信息安全技术 信息系统安全等级保护测评要求》;

?  《信息安全管理体系要求》(GB/T 22080-2008);

?  《信息系统安全工程管理要求》(GB/T 20282

物理安全评估

根据要求对机房内物理环境及设施进行评估,根据评估结果对需调整和采购的物理安全方面的安全设备提出合理化建议。

网络安全评估

网络安全测评要求通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。

主机系统安全

主机系统安全测评要求通过访谈、检查和测试的方式评测信息系统的主机和服务器(操作系统、数据库管理系统)安全保障情况。

应用系统安全

应用安全测评要求通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。

数据安全及备份恢复

数据安全及备份恢复测评要求通过访谈和检查的方式评测信息系统的数据安全保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全。

安全管理制度

安全管理制度测评要求通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

6.4等级保护测评交付物

通过测评结果的分析,判断安全管理和安全技术的各个方面与测评指标的符合程度,找出我单位被测信息系统的安全保护程度与国家等级保护要求之间的差距,客观反映现有安全状况、当前存在的不足和可能的风险,提出整改措施建议。最终完成并提交《系统等级保护测评报告》(每个系统一份)。

6.5本次等级保护测评应满足的原则

?  保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害的行为。

?  标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。

?  规范性原则:工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。

?  可控性原则:测评服务的进度要跟上进度表的安排,保证对于测评工作的可控性。

?  整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。

?  最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响。

应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

6.6 技术要求

?  人员资质要求:投标人项目经理需具有技术及管理知识和经验(提供等保测评师和CISP资质证书),参与本项目的人员不少于3人,需具有2年或以上信息安全等级保护测评服务工作经验。

?  工具要求:在服务过程中,投标人使用的测评与评估工具应严格遵循可控性原则,使用的所有工具须符合信息安全等级保护测评标准,已经过可靠的实际应用验证,且由投标人自行负责。投标人须承诺在项目实施过程中所使用的工具,投标人均具有合法使用权,免受第三方提出的侵犯知识产权的起诉。

?  文档要求:投标人应按照等级保护测评规范要求制定服务过程中产生的文档及其管理制度,做到科学、规范、详尽、统一。

?  保密要求:对医院信息保密,投标人不得在任何场合,以任何方式向第三方透漏招标人内部信息。

?  应用标准要求:符合ISO质量管理标准体系、信息安全等级保护要求。

6.7售后服务

安全事件响应服务:安全事件发生时,提供现场或者远程支持,进行事件调查、保存证据、查找后门、追查来源等,事后进行全面的分析和储存问题,防止事件的重复性和可扩散性,并出具详细的应急响应服务报告及后续的安全状况跟踪。






地址:湘潭市岳塘区板塘铺板马路20号 投诉电话:0731-55989900
技术支持:湖南创星科技有限公司
网站备案号:湘ICP备05004498号-2

湘公网安备 43030402000269号