采购内容及要求
一、项目概述
根据(《信息安全等级保护管理办法》公通字【2007】43号)文件规定进行网络安全等级保护测评,为提高系统安全、业务安全、数据安全,计划针对****信息系统开展2023年度信息系统网络安全等级保护测评及安全服务工作,以期发现信息系统和等级保护标准的差距以及存在的安全隐患,为后续的安全整改工作提供参考依据,从而实现信息系统有效保障相关业务的顺利开展。
二、网络安全等级保护及安全服务清单
序号 | 系统名称 | 等级保护级别 |
1 | 医院HIS系统 | 三级 |
2 | ********医院 | 三级 |
三、项目依据:
Φ 《中华人民**国网络安全法》
Φ 《信息安全技术 信息系统安全等级保护测评要求》
Φ 《信息安全技术 信息系统安全等级保护测评过程指南》
Φ 《网络安全等级保护基本要求》(GB/T22239-2019)
Φ 《网络安全等级保护设计技术要求》(GB/T25070-2019)
Φ 《网络安全等级保护测评要求》(GB/T28448-2019)
四、服务要求:
中标人需针对以上2个信息系统提供网络安全等级保护测评及安全服务,查找与分析现有系统的安全防护能力的不足,编制等级保护测评报告,并协助甲方完成测评报告的备案。根据等级测评和安全服务成果,由测评机构提出合理可行的安全整改建议,协助甲方进行安全管理与安全技术两方面的整改工作。
五、技术要求(参数)
1、等保测评服务
依据国家《信息安全技术 信息系统安全等级保护基本要求》,对以上2个信息系统开展信息安全等级保护测评,分析信息系统安全保护现状与《信息安全技术信息系统安全等级保护基本要求》信息系统的安全保护要求之间的差距,对其提出整改建议与信息系统整改方案,为完成信息安全等级保护整改工作提供依据,最终获得《医院HIS系统网络安全等级测评报告》、《********医院网络安全等级测评报告》。
测评工作将从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个层面分别进行。
1、安全物理环境
安全物理环境将通过现场机房查看的方式评估信息系统的物理机房环境情况。在内容上,层面测评实施过程涉及测评单元:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
2、安全通信网络
安全通信网络安全测评将通过访谈、配置检查和工具测试的方式评估信息系统的安全通信网络安全保障情况。在内容上,安全通信网络安全层面测评实施过程涉及测评单元:网络架构、通信传输、可信验证等。
3、安全区域边界
安全区域边界测评将通过访谈、配置检查和工具测试的方式评估信息系统的安全区域边界保障情况。在内容上,安全区域边界安全层面测评实施过程涉及测评单元:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
4、安全计算环境
安全计算环境测评将通过访谈、配置检查的方式评估信息系统的数据安全保障情况。在内容上,安全计算环境测评实施过程涉及测评单元:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
5、****中心
****中心测评将通过访谈、配置检查的方式评****管理中心保障情况。在内容上,****中心
测评实施过程涉及测评单元:系统管理、审计管理、安全管理、集中管理等。
6、安全管理
安全管理制度:
测评内容主要包括:安全策略、管理制度、制定和发布、评审和修订等。
安全管理机构:
测评内容主要包括:岗位设置、人员配备、授权和审批、沟通和**、审核和检查等。
安全管理人员:
测评内容主要包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
安全建设管理:
测评内容主要包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
安全运维管理:
测评内容主要包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
2、安全服务
服务期内针对以上2个信息系统提供漏洞扫描、渗透测试、敏感数据泄露检测、安全修复各一次。出具《安全合规检测及修复报告》1份。提供详细的漏洞修补建议与协助修复,增强或补充相应的安全防护措施;全面检测敏感数据在互联网上的暴露分布情况和数据安全状况,及时告警并协助处理;切实提升系统的安全防护能力,修复方式包括但不限于安全配置调试、补丁升级、网络与安全设备层策略修改;能够在不增加的硬件设备的条件下协助甲方对网络系统、主机系统、应用系统提供全面的防入侵功能设计和安全策略优化。
评分标准
具体评审细则如下:
序 | 分部内容 | 分项内容 | 分值 | 打分要求 |
一 | 价格部分 | 磋商报价 | 10 | 采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标供应商的价格分统一按照下列公式计算: 投标报价得分=(评标基准价/投标报价)×价格权值×100。 |
二 | 技术部分 | 等级测评方案 | 9 | 等级测评方案: 方案符合《信息安全技术 网络安全等级保护测评要求》要求,科学合理,内容具体,可行性强,方案内容中 (1)测评对象章节应包含安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理,共计10个方面,每具备1个且内容合理得0.3分,最高得3分; (2)测评方法章节应包含人员访谈、检查、测试,共计3个方面,每具备1个且内容合理得1分,最高得3分; (3)测评内容章节应包含单元测评、整体测评、风险分析,共计3个方面,每具备1个且内容合理得1分,最高得3分。 |
渗透测试方案 | 9 | 渗透测试方案: 方案符合《信息安全技术 网络安全等级保护测评过程指南》要求,科学合理,内容具体,可行性强,方案内容中 (1)规划阶段章节应包含测试规则确定、管理层审批、测试目标设定,共计3个方面,每具备1个且内容合理得0.5分,最高得1.5分; (2)发现阶段章节应包含信息收集和扫描、脆弱性分析,共计2个方面,每具备1个且内容合理得1分,最高得2分; (3)攻击阶段章节应包含漏洞探查、分析和测试,共计2个方面,每具备1个且内容合理得2分,最高得4分; (4)报告阶段章节中应包含测试计划、测试记录与汇报、风险评估,共计3个方面,每具备1个且内容合理得0.5分,最高得1.5分。 | ||
漏洞扫描方案 | 9 | 漏洞扫描方案: 方案符合《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》、《信息安全技术 网络安全等级保护测评过程指南》要求,科学合理,内容具体,可行性强,方案内容中 (1)扫描配置管理章节应包含扫描范围制定、扫描策略配置,共计2个方面,每具备1个且内容合理得0.5分,最高得1分; (2)扫描能力章节应包含**发现、漏洞检测、变形检测、内容检测、风险规避,共计5个方面,每具备1个且内容合理得1分,最高得5分; (3)扫描结果分析处理章节应包含结果验证、修复和缓解、二次扫描和验证,共计3个方面,每具备1个且内容合理得1分,最高得3分。 | ||
三 | 履约能力 | 项目团队 人员要求 | 8 | 项目经理: 投标供应商为本项目配备专职项目经理,项目经理应熟悉网络安全等级保护标准体系,具备信息测评和服务领域技术方法总结与标准化研究能力,项目经理具有高级等级测评师、重要信息系统安全等级保护培训(CIIPT)证书、CISP证书、信息安全保障人员认证(CISAW)证书,每具备1个得2分,最高得8分,没有不得分。 注:须提供投标供应商近6个月为拟派项目经理缴纳社保的有效证明材料,加盖投标供应商公章。 |
16 | 团队人员: (1)项目团队成员(除项目经理外)中每具有一名高级测评师得2分,最高得6分; (2)项目团队成员(除项目经理外)中每具有一名中级测评师得1分,最高得10分。 注:1.人员证书不重复计分; 2.提供证书复印件并加盖投标供应商公章,以及投标供应商近半年为以上人员缴纳社保的有效证明材料,否则不得分 | |||
企业资信 | 9 | 投标供应商具有有效期内的ISO 9001质量管理体系认证证书、ISO 27001信息安全管理体系认证证书、ISO 20000 信息技术服务管理体系认证证书的,每具有其中一个证书得3分,最高得9分,没有不得分。(提供证书复印件并加盖投标供应商公章,未提供或未盖章不得分) | ||
9 | 投标供应商具备有效期内中国网****认证中心颁发的信息安全风险评估服务资质、应急处理服务资质、安全运维服务资质,每具有其中一个资质得3分,最高得9分,没有不得分。(提供证书复印件并加盖投标供应商公章,未提供或未盖章不得分) | |||
3 | 投标人****测评中心颁发的国家信息安全漏洞库(CNNVD)技术支撑单位等级证书的得3分,没有不得分。(提供证书复印件并加盖投标供应商公章,未提供或未盖章不得分) | |||
3 | 近五年未受到中关村信息安全测评联盟、****研究所、国家网络安全等级保护工作协 ****办公室的通报,勒令整改、暂停证书等处罚,提供承诺函得3分。(承诺函须加盖投标供应商公章,未提供或未盖章不得分,测评机构处罚情况以网络安全等级保护网监督管理栏目(http://www.****.net)公布为准) | |||
四 | 其他 | 项目经验 | 15 | 提供近三年以来完成的等保测评项目案例(不含设备买卖集成),每提供一个得1.5分,本项最高得15分,不提供不得分。(提供合同复印件加盖投标供应商公章,合同须能反映项目名称、主要标的物,签订时间和签章清晰可见) |
说明:(1)所有打分项均以供应商所提供的响应文件进行打分,响应文件中未提及的不予认可,响应文件提交截止时间后不得修改或是补充响应文件。(2)供应商的最终得分为所有评委打分的平均值,计算结果保留至小数点后两位。