环球360网站最新官网地址关于采购等级保护测评项目,因该项目预算有变动,为保障此次采购的公正性,现特发布二次公告。
参照《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》、《中华人民共和国招标投标法》等有关法律法规,环球360网站最新官网地址近期将对本项目进行院内竞争性谈判,请潜在供应商认真阅读本文公告内容,并按要求准备好相关材料。本次公告在“环球360网站最新官网地址官网/”上发布,请各申请人留意,采购人对其他网站或媒体转载的公告及公告内容不承担任何责任,公告如有变更,将在以上网站或以书面形式发布。
一、项目基本情况
1、项目名称:环球360网站最新官网地址信息系统等级保护测评
2、采购方式:竞争性谈判。
3、预算金额:200000.00元。
4、采购需求:
4.1采购内容:按照附件内容完成环球360网站最新官网地址信息系统等级保护测评,测评内容详见附件。
4.2标段划分:本次采购共划分为1个标段,拟参与本项目的供应商必须整体报价不得拆分。
二、供应商要求
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的设备和专业技术能力;
4、本项目的特定资格要求:
4.1(1)供应商应具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》(复印件或扫描件加盖公章)、信息安全服务资质认证相关证书;
(2)供应商三年内未被国家网络安全等级保护工作协调小组办公室或公安部第三研究所认证中心责令整改;供应商须具备完善的等级保护测评服务体系和专业的等级保护测评服务队伍;
(3)派出参加本项目的人员须具备国家信息安全等级保护测评师资质,其中至少包括一名具备中级或以上资质的测评师。
4.2无犯罪承诺书以及供应商在本项目谈判截止时间前未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人及中国政府采购网(www.ccgp.gov.cn)“政府采购严重违法失信行为信息记录名单”截图并加盖公章。
5、有依法缴纳税收和社会保障资金的良好记录;
6、不接受联合体响应。
三、报名要求及时间
1、报名邮箱:bssrmyyxxk2021@163.com
2、各潜在供应商持公司证照及个人身份信息复印件等资料报名。资料应不少于:营业执照、组织机构代码证、税务登记证(或三证合一)、经办人授权书、经办人身份证复印件。报名表需注明所报项目名称、公司名称、联系人、联系电话,并加盖公章。
3、报名时不接受任何形式的产品报价。
4、报名时间:2022年9月26日上午8时00分至2022年9月28日17:00,逾期视为响应无效。
5、报名联系电话:0875-2120419
四、谈判要求及时间、地点
1、谈判资料
A、供应商三证(营业执照、税务登记证、组织机构代码证)。
B、供应商法人身份证复印件、经办人身份证复印件、经办人授权书。
C、无犯罪承诺书以及供应商在本项目谈判截止时间前未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人及中国政府采购网(www.ccgp.gov.cn)“政府采购严重违法失信行为信息记录名单”截图并加盖公章。
D、产品报价
2、谈判时间:提前一天以上另行通知。谈判时未按时签到参加的视为自动放弃,不予受理。
3、谈判地点:环球360网站最新官网地址东城院区后勤综合楼3楼机房会议室。
4、特别声明:(1)谈判会材料请装订成册,一式两份带到会场,单独密封并在封口处加盖公章;(2)各供应商须派熟悉现场情况的人员参会,以免影响谈判结果。
五、谈判规则
1、各潜在供应商按抽签顺序进行报价和答疑;
2、评标专家组成:院内专家组;
3、本次以院内谈判方式进行,在供应商资质审查合格的前提下,综合产品质量、性能、价格、服务能力等因素进行综合评价后确定中标供应商。
六、监督
本次谈判全程由审计科、财务科监督,项目参与供应商对中标结果如有异议,可向审计科提出。
审计科电话:0875-2149256
附件:技术需求
1 服务内容
服务名称 |
描述 |
数量 |
三级系统等级测评服务 |
对医院的医院管理信息系统HIS(三级)、实验室(检验)管理信息系统LIS(三级)、医学影像存储与传输系统PACS(三级)、电子病历信息系统EMR(三级)等四个核心系统开展三级等保测评服务,协助进行安全问题整改,安全策略加固优化,出具信息系统等级测评报告。并提供以下安全服务: 1、 安全巡检服务:每年提供不少于4次安全巡检服务,对信息系统运行状况、关键策略及安全日志进行检查与分析,并协助处理发现的风险; 2、 漏洞扫描及漏洞验证性测试服务:每年提供不少于4次漏洞扫描服务,定期进行主机漏洞扫描、Web漏洞扫描、弱密码扫描,并且结合人工验证提供相应的漏洞解决方案,方便管理员对主机和应用的安全进行检查和分析,及时修复漏洞; 3、 安全顾问咨询服务:服务周期内,提供信息安全各方面的咨询服务,包括但不限于:日常咨询、安全技术体系建设咨询、安全运维咨询、安全管理体系建设咨询、应用安全开发咨询,安全方案评审等; 4、 网络安全培训服务:每年提供1次安全培训服务,按照客户要求,提供相应的安全培训,比如黑客技术培训、安全加固培训、安全体系政策培训、安全风险意识培训等。 |
1项 |
二级及以下系统安全风险检测服务 |
针对医院二级及以下系统开展安全检测,发现系统安全问题,提出整改建议并协助进行整改,系统包括但不限于OA办公自动化(二级)、健康体检信息管理系统(二级)、综合运营管理信息系统(二级)、银医一卡通(二级)、感染与实时监控系统(二级)、心电监测系统(二级)、输血管理系统(二级)、管理决策支持系统(二级)、合理用药系统(二级)、餐厅刷卡消费系统(二级)等业务系统。 |
1项 |
2 测评依据
Ø 《中华人民共和国网络安全法》
Ø 《信息安全等级保护管理办法》
Ø 《信息安全技术 网络安全等级保护定级指南》
Ø 《信息安全技术 网络安全等级保护基本要求》
Ø 《信息安全技术 网络安全等级保护测评要求》
Ø 《信息安全技术 网络安全等级保护测评过程指南》
3 网络安全等级保护测评服务
3.1 测评对象
等级保护范围参考《信息安全技术 网络安全等级保护定级指南》,结合环球360网站最新官网地址实际网络及信息系统现状进行判定,本次测评系统对象如下:
系统分类 |
信息系统名称 |
安全保护等级 |
4个三级系统等保测评 |
医院管理信息系统HIS |
三级 |
实验室(检验)管理信息系统LIS |
三级 |
医学影像存储与传输系统PACS |
三级 |
电子病历信息系统EMR |
三级 |
3.2 三级系统测评指标
依据《信息安全技术 网络安全等级保护基本要求》,本次环球360网站最新官网地址等级测评的指标如下:
安全要求 |
安全分类 |
安全子类 |
测评项数 |
备注 |
安全通用要求 |
安全物理环境 |
物理位置的选择 |
2 |
|
物理访问控制 |
1 |
|
防盗窃和防破坏 |
2 |
|
防雷击 |
1 |
|
防火 |
2 |
|
防水和防潮 |
2 |
|
防静电 |
1 |
|
温湿度控制 |
1 |
|
电力供应 |
2 |
|
电磁防护 |
1 |
|
安全通信网络 |
网络架构 |
2 |
|
通信传输 |
1 |
|
可信验证 |
1 |
|
安全区域边界 |
边界防护 |
1 |
|
访问控制 |
4 |
|
入侵防范 |
1 |
|
恶意代码防范 |
1 |
|
安全审计 |
3 |
|
可信验证 |
1 |
|
安全计算环境 |
身份鉴别 |
3 |
实际测评项数根据测评对象数量确定,每个测评对象有23个测评项。 |
访问控制 |
4 |
安全审计 |
3 |
入侵防范 |
5 |
恶意代码防范 |
1 |
可信验证 |
1 |
数据完整性 |
1 |
数据备份恢复 |
2 |
剩余信息保护 |
1 |
个人信息保护 |
2 |
安全管理中心 |
系统管理 |
2 |
|
审计管理 |
2 |
|
安全管理制度 |
安全策略 |
1 |
|
管理制度 |
2 |
|
制定和发布 |
2 |
|
评审和修订 |
1 |
|
安全管理机构 |
岗位设置 |
2 |
|
人员配备 |
1 |
|
授权和审批 |
2 |
|
沟通和合作 |
3 |
|
审核和检查 |
1 |
|
安全管理人员 |
人员录用 |
2 |
|
人员离岗 |
1 |
|
安全意识教育和培训 |
1 |
|
外部人员访问管理 |
3 |
|
安全建设管理 |
定级和备案 |
4 |
|
安全方案设计 |
3 |
|
产品采购和使用 |
2 |
|
自行软件开发 |
2 |
|
外包软件开发 |
2 |
|
工程实施 |
2 |
|
测试验收 |
2 |
|
系统交付 |
3 |
|
等级测评 |
3 |
|
服务供应商选择 |
2 |
|
安全运维管理 |
环境管理 |
3 |
|
资产管理 |
1 |
|
介质管理 |
2 |
|
设备维护管理 |
2 |
|
漏洞和风险管理 |
1 |
|
网络和系统安全管理 |
5 |
|
恶意代码防范管理 |
3 |
|
配置管理 |
1 |
|
密码管理 |
2 |
|
变更管理 |
1 |
|
备份与恢复管理 |
3 |
|
安全事件处置 |
3 |
|
应急预案管理 |
2 |
|
外包运维管理 |
2 |
|
3.3 测评方式
本次环球360网站最新官网地址等级测评实施严格遵循《信息安全技术 网络安全等级保护测评要求》,将综合采用访谈、检查和测试三类测评方式。
1) 访谈
访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。本次等级测评采取访谈方式涉及对象为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理等方面内容。其中安全物理环境、安全管理重点采取访谈方式。在访谈的广度上,访谈覆盖不同类型的系统管理人员,包括系统负责人、机房管理员、系统管理员、网络管理员、开发人员、应用业务人员、文档管理员等;在访谈的深度上,访谈包含通用和高级的问题以及一些有难度和探索性的问题。
2) 检查
检查是指测评人员通过对评估对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。本次测评采取检查方式主要涉及对象为安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容。检查又可细分为配置检查、文档审查及实地查看三种方式。
A.配置检查
利用上机验证的方式检查服务器操作系统、数据库、网络设备、安全设备、应用系统的配置是否正确,测评其实施的正确性、有效性及完整性。
B.文档审查
检查制度、策略、操作规程、制度执行情况记录等文档(包括安全方针文件、安全管理制度、安全管理的执行过程文档、系统设计方案、网络设备的技术资料、系统和产品的实际配置说明、系统的各种运行记录文档、机房建设相关资料、机房出入记录等过程记录文档)的完整性,以及这些文件之间的内部一致性。
C.实地查看
通过实地的观察网络安全技术设施部署情况、关键网络节点连接情况、机房物理环境、办公环境等方面的安全情况,评估相关安全措施是否达到了相应等级的安全要求。
3) 测试
测试是指评估人员使用预定的方法/工具使评估对象产生特定的行为,通过查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的一类方法。测试又可细分为漏洞扫描及案例验证测试。
A.漏洞扫描
通过漏洞扫描工具对操作系统、数据库及WEB应用系统等进行脆弱性探测,定位目标系统存在的安全漏洞。
B.案例验证测试
通过人工的方式对安全策略、应用系统安全功能、安全漏洞等进行验证性测试。
1.1 测评结果输出
《网络安全等级保护测评报告》
1.2 项目服务人员要求
测评机构派遣参与项目组的成员至少3人,派遣的服务人员须已取得网络安全层面的资格认证证书,其中,担任本项目的项目经理人员需同时具备信息系统项目管理师(高级)证书和(CIIP-I、CISP、网络安全等级高级测评师)证书;派遣项目组成员须有cisp、网络安全等级保护测评师证书,项目人员需要提供不少于6个月的社保缴纳证明(需体现参保时间、身份证号码、参保机构等)。项目服务工作开始时,釆购单位可对服务人员资格进行确认,若服务人员资格条件不满足服务釆购需求,釆购方有权要求服务提供商更换服务人员。
1.3 服务质量要求
测评现场服务人员至少3名。按照采购人作息时间提供现场测评服务;重要会议、国家法定节假日期间、重大活动以及突发安全事件期间提供远程技术支持服务,供应商需提供主机应用综合防护系统( 网防G01 )服务,优先考虑云南省网络安全应急技术服务支撑单位做技术支持,特殊情况应根据要求提供现场服务。
4 二级及以下系统安全风险检测服务
对环球360网站最新官网地址的二级及以下系统开展安全检测,发现系统安全问题,提出整改建议并协助进行整改,系统包括但不限于OA办公自动化、健康体检信息管理系统、综合运营管理信息系统、银医一卡通、感染与实时监控系统、心电监测系统、输血管理系统、管理决策支持系统、合理用药系统、餐厅刷卡消费系统,具体安全风险检测内容如下:
安全要求 |
安全分类 |
安全子类 |
测评项数 |
备注 |
安全通用要求 |
安全物理环境 |
物理位置的选择 |
2 |
|
物理访问控制 |
1 |
|
防盗窃和防破坏 |
2 |
|
防雷击 |
1 |
|
防火 |
2 |
|
防水和防潮 |
2 |
|
防静电 |
1 |
|
温湿度控制 |
1 |
|
电力供应 |
2 |
|
电磁防护 |
1 |
|
安全通信网络 |
网络架构 |
2 |
|
通信传输 |
1 |
|
可信验证 |
1 |
|
安全区域边界 |
边界防护 |
1 |
|
访问控制 |
4 |
|
入侵防范 |
1 |
|
恶意代码防范 |
1 |
|
安全审计 |
3 |
|
可信验证 |
1 |
|
安全计算环境 |
身份鉴别 |
3 |
实际测评项数根据测评对象数量确定,每个测评对象有23个测评项。 |
访问控制 |
4 |
安全审计 |
3 |
入侵防范 |
5 |
恶意代码防范 |
1 |
可信验证 |
1 |
数据完整性 |
1 |
数据备份恢复 |
2 |
剩余信息保护 |
1 |
个人信息保护 |
2 |
安全管理中心 |
系统管理 |
2 |
|
审计管理 |
2 |
|
安全管理制度 |
安全策略 |
1 |
|
管理制度 |
2 |
|
制定和发布 |
2 |
|
评审和修订 |
1 |
|
安全管理机构 |
岗位设置 |
2 |
|
人员配备 |
1 |
|
授权和审批 |
2 |
|
沟通和合作 |
3 |
|
审核和检查 |
1 |
|
安全管理人员 |
人员录用 |
2 |
|
人员离岗 |
1 |
|
安全意识教育和培训 |
1 |
|
外部人员访问管理 |
3 |
|
安全建设管理 |
定级和备案 |
4 |
|
安全方案设计 |
3 |
|
产品采购和使用 |
2 |
|
自行软件开发 |
2 |
|
外包软件开发 |
2 |
|
工程实施 |
2 |
|
测试验收 |
2 |
|
系统交付 |
3 |
|
等级测评 |
3 |
|
服务供应商选择 |
2 |
|
安全运维管理 |
环境管理 |
3 |
|
资产管理 |
1 |
|
介质管理 |
2 |
|
设备维护管理 |
2 |
|
漏洞和风险管理 |
1 |
|
网络和系统安全管理 |
5 |
|
恶意代码防范管理 |
3 |
|
配置管理 |
1 |
|
密码管理 |
2 |
|
变更管理 |
1 |
|
备份与恢复管理 |
3 |
|
安全事件处置 |
3 |
|
应急预案管理 |
2 |
|
外包运维管理 |
2 |
|
