为满足医疗临床需要,更好地为患者提供医疗服务,现对下列项目进行院内采购,欢迎符合资格条件的单位积极参与投标。
一、采购项目内容:HIS等保评测服务
二、 参数要求:
本项目的宗旨在于通过对本单位HIS系统开展等级测评服务,通过等级测评,明确该系统的安全建设现状,找出存在的安全风险,分析安全建设差距,提出安全整改建议,并以此为基础,进一步制**全建设整改方案,完善保护措施,使该系统满足我国关于等级保护相应级别的具体要求,增加信息系统安全的规范性和有效性,提高本单位的安全意识,增强网络的抗攻击的能力,保证被测系统正常运转。
1、服务内容
1.1信息系统备案
按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)文件要求,完成定级、备案材****机关网安部门备案工作,并取得**相关部门出具的信息系统安全等级保护备案证明。
1.2初次测评
参照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)检查被测系统,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心等五个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理进行差距分析,对系统进行初次安全评估。通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。
(1)安全物理环境测评:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。
(2)安全通信网络测评:包括网络架构、通信传输、可信验证等内容。
(3)安全区域边界测评:包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等内容。
(4)安全计算环境测评:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
(5****中心测评:系统管理、审计管理、安全管理、集中管控等内容。
(6)安全管理制度:涵盖管理制度、制定和发布、评审和修订。
(7)安全管理机构:涵盖岗位设置、人员配备、授权和审批、沟通和**、审核和检查。
(8)安全管理人员:涵盖人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
(9)安全建设管理:涵盖系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择。
(10)安全运维管理:涵盖环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码管理、密码管理、测评实施、备份与恢复管理、安全事件处置、应急预案管理。
1.3信息系统等保整改方案及建议
中标方应协助招标人按照《信息安全等级保护管理办法》(公通字[2007]43号)等有关管理规范和技术标准,全程协助采购人制定并落实安全管理制度、落实安全责任,建设安全设施,落实安全技术措施。针对测评发现的问题,形成问题清单,出具整改建议,协助采购人按照销号制度开展相关整改工作,针对问题项逐一进行整改,直至问题整改完毕,对应暂时不能整改的问题,要提出临时解决建议方案,采取临时防护手段确保安全。通过安全建设整改,确保信息系统通过相应级别的安全等级评测。
1.4二次测评
通过对整改后的系统进行分析和梳理,再次实施安全测评,记录访谈检查结果,进行综合分析,梳理安全风险,再次提出安全整改建议,测评结束后,按照**部有关要求及《网络安全等级测评报告》(2021年版)完**全测评报告的编写。
1.5咨询服务
提供信息系统的安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展单位内部网络与信息安全检查工作。
1.6安全意识和技能培训
针对技术人员、管理层提供不同类型的信息安全培训,包括管理培训和网络安全技术培训。
2、工作原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
2.1保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
2.2规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
2.3可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
2.4整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
2.5最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。
2.6非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供应急保障方案,切实保证关键系统能正常工作。
投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。
3、服务对象及范围
本系统测评的测评范围及对象包括以下几类:
3.1主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
3.2办公场地:信息系统机房;
3.3整个系统的网络拓扑结构;
3.4安全设备,包括防火墙、入侵检测设备和防病毒网关等;
3.5边界网络设(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
3.6对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
3.7存储被测系统重要数据的介质的存放环境;
3.8承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
3.9管理终端和主要业务应用系统终端;
3.10对**信息系统及关联信息系统;
3.11业务备份系统;
3.12管理方面:信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
3.13产品方面:信息系统使用、运行的第三方软件产品;
3.14涉及到信息系统安全的所有管理制度设计和记录要求。
4、安全服务依据要求
中标人应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
(1)《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
(2)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
(3)《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
(4)《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)
(5)《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
(6)《信息安全技术网络****管理中心技术要求》 (GB/T 36958-2018)
(7)(GB/T 36959-2018)《信息安全技术网络安全等级保护测评机构能力要求和评估规范 》
(8)《计算机信息系统安全保护等级划分准则》(GB17859-1999)
(9)《信息系统安全保护等级定级指南》(GB/T 22240-2020)
(10)《信息系统安全等级保护实施指南》(GB/T 25058-2019 )
(11)《信息技术安全技术信息安全管理体系要求》(GB/T22080-2016)
(12)《计算机信息系统安全等级保护通用技术要求》(GAT 390-2002)
(13)《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
(14)《信息系统安全工程管理要求》(GB/T20282-2006)
(15)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
(16)《重要信息系统安全等级保护定级报告》
(17)《信息系统安全等级测评服务合同》
(18)其它国家法律、法规要求
5、交付物
(1)测评方案;
(2)安全等级建设整改建议;
(3)等级测评报告。
6、投标报价
本项目预算为9万元,投标人投标报价超过项目预算的为无效投标。投标报价包含完成采购项目的技术服务、实施、售后服务、满足国家及行业规范标准并取得相关监管部门备案、保险及各项税金等所有费用。
7、实施或完工时间:≤30个日
8、项目验收要求:项目交付后由招标人根据合同、招标文件、投标文件组织验收。
9、服务及售后服务基本要求
(1)免费售后服务期限:自合同签订之日一年。
(2)售后服务机构及服务团队构成:
投标人的项目成员要求至少6名网络安全等级测评师服务,其中不少于1名高级测评师,不少于2名中级测评师****公司高级测评师、中级测评师在中国网络安全等级保护网的查询截图和中、高级测评师证书复印件加盖公章)。
(3)售后服务响应时间及维护承诺:在验收合格后一年内为招标方提供信息系统建设咨询服务,涵盖系统基础设计、系统建设方案、运维管理等相关的建设及安全问题,提供信息安全检查咨询和整改建议等技术支持服务。
(4******部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》。