当前位置:
“大玉医”城市医疗集团(点击登录查看)院内信息系统等保测评服务采购项目
预算金额:¥50000 元 采购方式:询比采购
项目需求详情
“大玉医”城市医疗集团(点击登录查看)院内信息系统等保测评服务采购项目服务要求
一、测评依据:
《中华人民共和国网络安全法》;
《中华人民共和国计算机信息系统安全保护条例》
《信息安全技术网络安全等级保护基本要求》GB/T22239-2019
《信息安全技术网络安全等级保护测评要求》GB/T28448-2019;
《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019;
《信息安全技术网络安全等级保护测评过程指南》GB/T28449-2018;
《GB/T 39786-2021信息安全技术 信息系统密码应用基本要求》;
二、测评对象
院内信息系统(HIS、LIS、PACS、EMR)的(三级)等保测评及商用密码应用安全性评估。
三、测评内容要求
1、单项测评
| 指标类 | 测评指标 | 测评标准 |
| 安全物理环境 | 物理位置选择 | 通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
| 物理访问控制 | 通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 | |
| 防盗窃和防破坏 | 通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 | |
| 防雷击 | 通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 | |
| 防火 | 通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 | |
| 防水和防潮 | 通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 | |
| 防静电 | 通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 | |
| 温湿度控制 | 通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 | |
| 电力供应 | 通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 | |
| 电磁防护 | 通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 | |
| 安全通信网络 | 网络架构 | 测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
| 通信传输 | 测评通信过程中的完整性、保密性等。 | |
| 可信验证 | 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证,并在应用程序的关键执行环节进行动态可信验证。 | |
| 安全区域边界 | 边界防护 | 测评分析信息系统网络边界安全防护的状况。 |
| 访问控制 | 测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。 | |
| 入侵防范 | 测评分析信息系统对攻击行为的识别和处理情况。 | |
| 恶意代码和垃圾邮件防范 | 测评分析信息系统网络边界和核心网段对病毒等恶意代码及垃圾邮件的防护情况。 | |
| 安全审计 | 测评分析信息系统审计配置和审计记录保护情况。 | |
| 可信验证 | 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等 进行可信验证,并在应用程序的关键执行环节进行动态可信验证。 | |
| 安全计算环境 | 身份鉴别 | 检查服务器的身份标识与鉴别和用户登录的配置情况。 |
| 访问控制 | 检查服务器的访问控制设置情况,包括安全策略覆盖、控制粒度以及权限设置情况等。 | |
| 安全审计 | 检查服务器的安全审计的配置情况,如覆盖范围、记录的项目和内容等;检查安全审计进程和记录的保护情况。 | |
| 入侵防范 | 检查服务器在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 | |
| 恶意代码防范 | 检查服务器的恶意代码防范情况,如服务器是否安装统一管理的恶意代码防范软件,是否及时升级病毒库等。 | |
| 可信验证 | 基于可信根对通信设备的系统引导程序、系统程序、重要配置参数和通信应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证。 | |
| 数据完整性 | 测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。 | |
| 数据保密性 | 测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。 | |
| 数据备份恢复 | 测评信息系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 | |
| 剩余信息保护 | 测评鉴别信息所在的存储空间被释放或重新分配前是否得到完全清除。 | |
| 个人信息保护 | 测评是否仅采集和保存业务必需的用户个人信息;是否禁止未授权访问和使用用户个人信息。 | |
| 安全管理中心 | 系统管理 | 测评信息系统的系统管理员对系统的管理情况。 |
| 审计管理 | 测评信息系统的安全审计员对系统的审计情况。 | |
| 安全管理 | 测评信息系统的安全管理员对系统的安全策略的配置情况。 | |
| 集中管控 | 测评网络链路、安全设备、网络设备和服务器等设备的运行状况的集中监测、分析、报警等。 | |
| 安全管理制度 | 安全策略 | 测评信息安全工作的总体方针、安全策略,总体目标、范围、原则和安全框架等。 |
| 管理制度 | 测评信息系统管理制度内容覆盖上是否全面、完善。 | |
| 制定和发布 | 测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 | |
| 评审和修订 | 测评信息系统管理制度定期评审和修订情况。 | |
| 安全管理机构 | 岗位设置 | 测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
| 人员配备 | 测评信息系统各个岗位人员配备情况。 | |
| 授权和审批 | 测评信息系统对关键活动的授权和审批情况。 | |
| 沟通与合作 | 测评信息系统内部部门间、与外部单位间的沟通与合作情况。 | |
| 审核和检查 | 检查信息系统安全工作的审核和测评情况。 | |
| 安全管理人员 | 人员录用 | 测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
| 人员离岗 | 测评信息系统人员离岗时是否按照一定的手续办理。 | |
| 安全意识教育和培训 | 测评是否对人员进行安全方面的教育和培训。 | |
| 外部人员访问管理 | 测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 | |
| 安全建设管理 | 定级和备案 | 测评是否按照一定要求确定系统的安全等级并完成备案工作。 |
| 安全方案设计 | 测评系统整体的安全规划设计是否按照一定流程进行。 | |
| 产品采购和使用 | 测评是否按照一定的要求进行系统的产品采购。 | |
| 自行软件开发 | 测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 | |
| 外包软件开发 | 测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 | |
| 工程实施 | 测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 | |
| 测试验收 | 测评系统运行前是否对其进行测试验收工作。 | |
| 系统交付 | 测评是否采取必要的措施对系统交付过程进行有效控制。 | |
| 等级测评 | 测评是否依据国家要求完成等级测评和整改工作。 | |
| 服务供应商选择 | 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 | |
| 安全运维管理 | 环境管理 | 测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
| 资产管理 | 测评是否采取必要的措施对系统的资产进行分类标识管理。 | |
| 介质管理 | 测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 | |
| 设备维护管理 | 测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 | |
| 漏洞和风险管理 | 测评是否采取必要的措施识别安全漏洞和隐患,对发现的安全漏洞和隐患及时进行修补。测评是否定期开展安全测评。 | |
| 网络和系统安全管理 | 测评是否采取必要的措施对网络和系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 | |
| 恶意代码防范管理 | 测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 | |
| 配置管理 | 测评是否记录和保存系统的基本配置信息 | |
| 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 | |
| 变更管理 | 测评是否采取必要的措施对系统发生的变更进行有效管理。 | |
| 备份与恢复管理 | 测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 | |
| 安全事件处置 | 测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 | |
| 应急预案管理 | 测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 | |
| 外包运维管理 | 测评外包运维服务商的选择是否符合国家的有关规定并签订相关协议。 |
2、系统整体测评
按照等保2.0要求进行测评。从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析,从而给出等级测评结论。整体测评包括安全控制点测评、安全控制点间测评和区域间测评。
实施人员应根据特定信息系统的具体情况,结合相关国家标准和要求,确定系统整体检查的具体内容,在安全控制符合性检查的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,检查安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。检查完毕,必须向用户方提交测评报告及整改方案。包括但不限于以下材料:《信息系统等级保护测评方案》(纸版和电子版);《信息系统等级保护测评实施计划》(纸版和电子版);《信息系统等级保护测评过程记录文件》(电子版);《信息系统等级保护测评报告》(纸版和电子版);《信息系统安全等级保护整改建议书》(纸版和电子版);《网络安全渗透测试报告》(纸版和电子版);其它应交付的文档(纸版和电子版);完成指定系统的商用密码应用安全性评估初测,按照实际评估结果出具评估报告。
三、测评报告编制
完成现场检查工作后,应按要求完成安全问题汇总及分析,经过后期的综合分析与风险判断,确定测评结论,编写网络安全等级保护测评报告,为后续的信息系统安全整改提供有力的依据。
四、系统备案
服务结束后,须协助玉溪市中医医院对本项目涉及的信息系统在当地公安部门完成等保测评备案工作。
五、其他服务要求
服务商等保测评完成现场测评后,需配合点击登录查看完成整改工作,等保测评师评估师现场配合整改交流不少于三次。服务商不得在任何场合向任何无关单位或个人透露被测评信息系统和被测评单位的内部信息,并与用户方签订保密协议。
项目名称:
计划编号:
计划名称:
服务周期: 60天 天
报价方式: 价格
评选方式: 价格最低
最低价相同评审办法:
采购成本价: ¥0
服务地址:
询价通知书: 询价通知书
联系人:
点击登录查看电话:
报名开始时间:
报名结束时间: **** 10:30:00
发布时间: **** 18:31:26
采购编号: ****
采购单位: 点击登录查看
供应商数量: 报名供应商不足二家流标。
允许1家中选
是否需要上传响应文件: 是
供应商资格: 一、符合《中华人民共和国政府采购法》第二十二条规定,且已在本系统注册的供应商。
二、一般资质条件
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。(第2-6条由供应商自行承诺,格式详见诚信声明,加盖公章扫描上传)
三、特定的资格要求
1.提供营业执照扫描件/复印件;
2.具备相应资质、资格,依照法律法规、技术标准和执业标准,开展技术服务活动。
3.需要具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》和国家密码管理局颁发的《商用密码检测机构资质证书》。
备注:以上资质须为有效资质,否则将视为不合格。
异议处理项: 如有异议请电话咨询采购人,采购流程问题请咨询平台运营。
结果公示内容:
采购结果:成功评选
报价供应商数: 2
中选供应商:
| 状态 | 供应商名称 | 评审结果 | 公告日期 | 成交金额 | 备注 |
|---|---|---|---|---|---|
| 现成交 | 云南云盾信息安全测评有限公司 | 中选 | **** | 49500.00 |
