kaiyun体育官方网站關(guan) 於(yu) 采購等級保護測評項目,因該項目預算有變動,為(wei) 保障此次采購的公正性,現特發布二次公告。
參照《中華人民共和國政府采購法》、《中華人民共和國政府采購法實施條例》、《中華人民共和國招標投標法》等有關(guan) 法律法規,kaiyun体育官方网站近期將對本項目進行院內(nei) 競爭(zheng) 性談判,請潛在供應商認真閱讀本文公告內(nei) 容,並按要求準備好相關(guan) 材料。本次公告在“kaiyun体育官方网站官網https://www.wonderfulstl.com/”上發布,請各申請人留意,采購人對其他網站或媒體(ti) 轉載的公告及公告內(nei) 容不承擔任何責任,公告如有變更,將在以上網站或以書(shu) 麵形式發布。
一、項目基本情況
1、項目名稱:kaiyun体育官方网站信息係統等級保護測評
2、采購方式:競爭(zheng) 性談判。
3、預算金額:200000.00元。
4、采購需求:
4.1采購內(nei) 容:按照附件內(nei) 容完成kaiyun体育官方网站信息係統等級保護測評,測評內(nei) 容詳見附件。
4.2標段劃分:本次采購共劃分為(wei) 1個(ge) 標段,擬參與(yu) 本項目的供應商必須整體(ti) 報價(jia) 不得拆分。
二、供應商要求
1、具有獨立承擔民事責任的能力;
2、具有良好的商業(ye) 信譽和健全的財務會(hui) 計製度;
3、具有履行合同所必需的設備和專(zhuan) 業(ye) 技術能力;
4、本項目的特定資格要求:
4.1(1)供應商應具有公安部第三研究所頒發的《網絡安全等級測評與(yu) 檢測評估機構服務認證證書(shu) 》(複印件或掃描件加蓋公章)、信息安全服務資質認證相關(guan) 證書(shu) ;
(2)供應商三年內(nei) 未被國家網絡安全等級保護工作協調小組辦公室或公安部第三研究所認證中心責令整改;供應商須具備完善的等級保護測評服務體(ti) 係和專(zhuan) 業(ye) 的等級保護測評服務隊伍;
(3)派出參加本項目的人員須具備國家信息安全等級保護測評師資質,其中至少包括一名具備中級或以上資質的測評師。
4.2無犯罪承諾書(shu) 以及供應商在本項目談判截止時間前未被列入“信用中國”網站(www.creditchina.gov.cn)失信被執行人及中國政府采購網(www.ccgp.gov.cn)“政府采購嚴(yan) 重違法失信行為(wei) 信息記錄名單”截圖並加蓋公章。
5、有依法繳納稅收和社會(hui) 保障資金的良好記錄;
6、不接受聯合體(ti) 響應。
三、報名要求及時間
1、報名郵箱:bssrmyyxxk2021@163.com
2、各潛在供應商持公司證照及個(ge) 人身份信息複印件等資料報名。資料應不少於(yu) :營業(ye) 執照、組織機構代碼證、稅務登記證(或三證合一)、經辦人授權書(shu) 、經辦人身份證複印件。報名表需注明所報項目名稱、公司名稱、聯係人、聯係電話,並加蓋公章。
3、報名時不接受任何形式的產(chan) 品報價(jia) 。
4、報名時間:2022年9月26日上午8時00分至2022年9月28日17:00,逾期視為(wei) 響應無效。
5、報名聯係電話:0875-2120419
四、談判要求及時間、地點
1、談判資料
A、供應商三證(營業(ye) 執照、稅務登記證、組織機構代碼證)。
B、供應商法人身份證複印件、經辦人身份證複印件、經辦人授權書(shu) 。
C、無犯罪承諾書(shu) 以及供應商在本項目談判截止時間前未被列入“信用中國”網站(www.creditchina.gov.cn)失信被執行人及中國政府采購網(www.ccgp.gov.cn)“政府采購嚴(yan) 重違法失信行為(wei) 信息記錄名單”截圖並加蓋公章。
D、產(chan) 品報價(jia)
2、談判時間:提前一天以上另行通知。談判時未按時簽到參加的視為(wei) 自動放棄,不予受理。
3、談判地點:kaiyun体育官方网站東(dong) 城院區後勤綜合樓3樓機房會(hui) 議室。
4、特別聲明:(1)談判會(hui) 材料請裝訂成冊(ce) ,一式兩(liang) 份帶到會(hui) 場,單獨密封並在封口處加蓋公章;(2)各供應商須派熟悉現場情況的人員參會(hui) ,以免影響談判結果。
五、談判規則
1、各潛在供應商按抽簽順序進行報價(jia) 和答疑;
2、評標專(zhuan) 家組成:院內(nei) 專(zhuan) 家組;
3、本次以院內(nei) 談判方式進行,在供應商資質審查合格的前提下,綜合產(chan) 品質量、性能、價(jia) 格、服務能力等因素進行綜合評價(jia) 後確定中標供應商。
六、監督
本次談判全程由審計科、財務科監督,項目參與(yu) 供應商對中標結果如有異議,可向審計科提出。
審計科電話:0875-2149256
附件:技術需求
1 服務內容
服務名稱 |
描述 |
數量 |
三級係統等級測評服務 |
對醫院的醫院管理信息係統HIS(三級)、實驗室(檢驗)管理信息係統LIS(三級)、醫學影像存儲(chu) 與(yu) 傳(chuan) 輸係統PACS(三級)、電子病曆信息係統EMR(三級)等四個(ge) 核心係統開展三級等保測評服務,協助進行安全問題整改,安全策略加固優(you) 化,出具信息係統等級測評報告。並提供以下安全服務: 1、 安全巡檢服務:每年提供不少於(yu) 4次安全巡檢服務,對信息係統運行狀況、關(guan) 鍵策略及安全日誌進行檢查與(yu) 分析,並協助處理發現的風險; 2、 漏洞掃描及漏洞驗證性測試服務:每年提供不少於(yu) 4次漏洞掃描服務,定期進行主機漏洞掃描、Web漏洞掃描、弱密碼掃描,並且結合人工驗證提供相應的漏洞解決(jue) 方案,方便管理員對主機和應用的安全進行檢查和分析,及時修複漏洞; 3、 安全顧問谘詢服務:服務周期內(nei) ,提供信息安全各方麵的谘詢服務,包括但不限於(yu) :日常谘詢、安全技術體(ti) 係建設谘詢、安全運維谘詢、安全管理體(ti) 係建設谘詢、應用安全開發谘詢,安全方案評審等; 4、 網絡安全培訓服務:每年提供1次安全培訓服務,按照客戶要求,提供相應的安全培訓,比如黑客技術培訓、安全加固培訓、安全體(ti) 係政策培訓、安全風險意識培訓等。 |
1項 |
二級及以下係統安全風險檢測服務 |
針對醫院二級及以下係統開展安全檢測,發現係統安全問題,提出整改建議並協助進行整改,係統包括但不限於(yu) OA辦公自動化(二級)、健康體(ti) 檢信息管理係統(二級)、綜合運營管理信息係統(二級)、銀醫一卡通(二級)、感染與(yu) 實時監控係統(二級)、心電監測係統(二級)、輸血管理係統(二級)、管理決(jue) 策支持係統(二級)、合理用藥係統(二級)、餐廳刷卡消費係統(二級)等業(ye) 務係統。 |
1項 |
2 測評依據
Ø 《中華人民共和國網絡安全法》
Ø 《信息安全等級保護管理辦法》
Ø 《信息安全技術 網絡安全等級保護定級指南》
Ø 《信息安全技術 網絡安全等級保護基本要求》
Ø 《信息安全技術 網絡安全等級保護測評要求》
Ø 《信息安全技術 網絡安全等級保護測評過程指南》
3 網絡安全等級保護測評服務
3.1 測評對象
等級保護範圍參考《信息安全技術 網絡安全等級保護定級指南》,結合kaiyun体育官方网站實際網絡及信息係統現狀進行判定,本次測評係統對象如下:
係統分類 |
信息係統名稱 |
安全保護等級 |
4個(ge) 三級係統等保測評 |
醫院管理信息係統HIS |
三級 |
實驗室(檢驗)管理信息係統LIS |
三級 |
醫學影像存儲(chu) 與(yu) 傳(chuan) 輸係統PACS |
三級 |
電子病曆信息係統EMR |
三級 |
3.2 三級係統測評指標
依據《信息安全技術 網絡安全等級保護基本要求》,本次kaiyun体育官方网站等級測評的指標如下:
安全要求 |
安全分類 |
安全子類 |
測評項數 |
備注 |
安全通用要求 |
安全物理環境 |
物理位置的選擇 |
2 |
|
物理訪問控製 |
1 |
|
防盜竊和防破壞 |
2 |
|
防雷擊 |
1 |
|
防火 |
2 |
|
防水和防潮 |
2 |
|
防靜電 |
1 |
|
溫濕度控製 |
1 |
|
電力供應 |
2 |
|
電磁防護 |
1 |
|
安全通信網絡 |
網絡架構 |
2 |
|
通信傳(chuan) 輸 |
1 |
|
可信驗證 |
1 |
|
安全區域邊界 |
邊界防護 |
1 |
|
訪問控製 |
4 |
|
入侵防範 |
1 |
|
惡意代碼防範 |
1 |
|
安全審計 |
3 |
|
可信驗證 |
1 |
|
安全計算環境 |
身份鑒別 |
3 |
實際測評項數根據測評對象數量確定,每個(ge) 測評對象有23個(ge) 測評項。 |
訪問控製 |
4 |
安全審計 |
3 |
入侵防範 |
5 |
惡意代碼防範 |
1 |
可信驗證 |
1 |
數據完整性 |
1 |
數據備份恢複 |
2 |
剩餘(yu) 信息保護 |
1 |
個(ge) 人信息保護 |
2 |
安全管理中心 |
係統管理 |
2 |
|
審計管理 |
2 |
|
安全管理製度 |
安全策略 |
1 |
|
管理製度 |
2 |
|
製定和發布 |
2 |
|
評審和修訂 |
1 |
|
安全管理機構 |
崗位設置 |
2 |
|
人員配備 |
1 |
|
授權和審批 |
2 |
|
溝通和合作 |
3 |
|
審核和檢查 |
1 |
|
安全管理人員 |
人員錄用 |
2 |
|
人員離崗 |
1 |
|
安全意識教育和培訓 |
1 |
|
外部人員訪問管理 |
3 |
|
安全建設管理 |
定級和備案 |
4 |
|
安全方案設計 |
3 |
|
產(chan) 品采購和使用 |
2 |
|
自行軟件開發 |
2 |
|
外包軟件開發 |
2 |
|
工程實施 |
2 |
|
測試驗收 |
2 |
|
係統交付 |
3 |
|
等級測評 |
3 |
|
服務供應商選擇 |
2 |
|
安全運維管理 |
環境管理 |
3 |
|
資產(chan) 管理 |
1 |
|
介質管理 |
2 |
|
設備維護管理 |
2 |
|
漏洞和風險管理 |
1 |
|
網絡和係統安全管理 |
5 |
|
惡意代碼防範管理 |
3 |
|
配置管理 |
1 |
|
密碼管理 |
2 |
|
變更管理 |
1 |
|
備份與(yu) 恢複管理 |
3 |
|
安全事件處置 |
3 |
|
應急預案管理 |
2 |
|
外包運維管理 |
2 |
|
3.3 測評方式
本次kaiyun体育官方网站等級測評實施嚴(yan) 格遵循《信息安全技術 網絡安全等級保護測評要求》,將綜合采用訪談、檢查和測試三類測評方式。
1) 訪談
訪談是指測評人員通過與(yu) 被測係統有關(guan) 人員(個(ge) 人/群體(ti) )進行交流、詢問等活動,獲取證據以證明信息係統安全保護措施是否有效的一類方法。本次等級測評采取訪談方式涉及對象為(wei) 安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理等方麵內(nei) 容。其中安全物理環境、安全管理重點采取訪談方式。在訪談的廣度上,訪談覆蓋不同類型的係統管理人員,包括係統負責人、機房管理員、係統管理員、網絡管理員、開發人員、應用業(ye) 務人員、文檔管理員等;在訪談的深度上,訪談包含通用和高級的問題以及一些有難度和探索性的問題。
2) 檢查
檢查是指測評人員通過對評估對象進行觀察、查驗、分析等活動,獲取證據以證明信息係統安全保護措施是否有效的一類方法。本次測評采取檢查方式主要涉及對象為(wei) 安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心、安全管理製度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等方麵的內(nei) 容。檢查又可細分為(wei) 配置檢查、文檔審查及實地查看三種方式。
A.配置檢查
利用上機驗證的方式檢查服務器操作係統、數據庫、網絡設備、安全設備、應用係統的配置是否正確,測評其實施的正確性、有效性及完整性。
B.文檔審查
檢查製度、策略、操作規程、製度執行情況記錄等文檔(包括安全方針文件、安全管理製度、安全管理的執行過程文檔、係統設計方案、網絡設備的技術資料、係統和產(chan) 品的實際配置說明、係統的各種運行記錄文檔、機房建設相關(guan) 資料、機房出入記錄等過程記錄文檔)的完整性,以及這些文件之間的內(nei) 部一致性。
C.實地查看
通過實地的觀察網絡安全技術設施部署情況、關(guan) 鍵網絡節點連接情況、機房物理環境、辦公環境等方麵的安全情況,評估相關(guan) 安全措施是否達到了相應等級的安全要求。
3) 測試
測試是指評估人員使用預定的方法/工具使評估對象產(chan) 生特定的行為(wei) ,通過查看、分析這些行為(wei) 的結果,獲取證據以證明信息係統安全保護措施是否有效的一類方法。測試又可細分為(wei) 漏洞掃描及案例驗證測試。
A.漏洞掃描
通過漏洞掃描工具對操作係統、數據庫及WEB應用係統等進行脆弱性探測,定位目標係統存在的安全漏洞。
B.案例驗證測試
通過人工的方式對安全策略、應用係統安全功能、安全漏洞等進行驗證性測試。
1.1 測評結果輸出
《網絡安全等級保護測評報告》
1.2 項目服務人員要求
測評機構派遣參與(yu) 項目組的成員至少3人,派遣的服務人員須已取得網絡安全層麵的資格認證證書(shu) ,其中,擔任本項目的項目經理人員需同時具備信息係統項目管理師(高級)證書(shu) 和(CIIP-I、CISP、網絡安全等級高級測評師)證書(shu) ;派遣項目組成員須有cisp、網絡安全等級保護測評師證書(shu) ,項目人員需要提供不少於(yu) 6個(ge) 月的社保繳納證明(需體(ti) 現參保時間、身份證號碼、參保機構等)。項目服務工作開始時,釆購單位可對服務人員資格進行確認,若服務人員資格條件不滿足服務釆購需求,釆購方有權要求服務提供商更換服務人員。
1.3 服務質量要求
測評現場服務人員至少3名。按照采購人作息時間提供現場測評服務;重要會(hui) 議、國家法定節假日期間、重大活動以及突發安全事件期間提供遠程技術支持服務,供應商需提供主機應用綜合防護係統( 網防G01 )服務,優(you) 先考慮雲(yun) 南省網絡安全應急技術服務支撐單位做技術支持,特殊情況應根據要求提供現場服務。
4 二級及以下係統安全風險檢測服務
對kaiyun体育官方网站的二級及以下係統開展安全檢測,發現係統安全問題,提出整改建議並協助進行整改,係統包括但不限於(yu) OA辦公自動化、健康體(ti) 檢信息管理係統、綜合運營管理信息係統、銀醫一卡通、感染與(yu) 實時監控係統、心電監測係統、輸血管理係統、管理決(jue) 策支持係統、合理用藥係統、餐廳刷卡消費係統,具體(ti) 安全風險檢測內(nei) 容如下:
安全要求 |
安全分類 |
安全子類 |
測評項數 |
備注 |
安全通用要求 |
安全物理環境 |
物理位置的選擇 |
2 |
|
物理訪問控製 |
1 |
|
防盜竊和防破壞 |
2 |
|
防雷擊 |
1 |
|
防火 |
2 |
|
防水和防潮 |
2 |
|
防靜電 |
1 |
|
溫濕度控製 |
1 |
|
電力供應 |
2 |
|
電磁防護 |
1 |
|
安全通信網絡 |
網絡架構 |
2 |
|
通信傳(chuan) 輸 |
1 |
|
可信驗證 |
1 |
|
安全區域邊界 |
邊界防護 |
1 |
|
訪問控製 |
4 |
|
入侵防範 |
1 |
|
惡意代碼防範 |
1 |
|
安全審計 |
3 |
|
可信驗證 |
1 |
|
安全計算環境 |
身份鑒別 |
3 |
實際測評項數根據測評對象數量確定,每個(ge) 測評對象有23個(ge) 測評項。 |
訪問控製 |
4 |
安全審計 |
3 |
入侵防範 |
5 |
惡意代碼防範 |
1 |
可信驗證 |
1 |
數據完整性 |
1 |
數據備份恢複 |
2 |
剩餘(yu) 信息保護 |
1 |
個(ge) 人信息保護 |
2 |
安全管理中心 |
係統管理 |
2 |
|
審計管理 |
2 |
|
安全管理製度 |
安全策略 |
1 |
|
管理製度 |
2 |
|
製定和發布 |
2 |
|
評審和修訂 |
1 |
|
安全管理機構 |
崗位設置 |
2 |
|
人員配備 |
1 |
|
授權和審批 |
2 |
|
溝通和合作 |
3 |
|
審核和檢查 |
1 |
|
安全管理人員 |
人員錄用 |
2 |
|
人員離崗 |
1 |
|
安全意識教育和培訓 |
1 |
|
外部人員訪問管理 |
3 |
|
安全建設管理 |
定級和備案 |
4 |
|
安全方案設計 |
3 |
|
產(chan) 品采購和使用 |
2 |
|
自行軟件開發 |
2 |
|
外包軟件開發 |
2 |
|
工程實施 |
2 |
|
測試驗收 |
2 |
|
係統交付 |
3 |
|
等級測評 |
3 |
|
服務供應商選擇 |
2 |
|
安全運維管理 |
環境管理 |
3 |
|
資產(chan) 管理 |
1 |
|
介質管理 |
2 |
|
設備維護管理 |
2 |
|
漏洞和風險管理 |
1 |
|
網絡和係統安全管理 |
5 |
|
惡意代碼防範管理 |
3 |
|
配置管理 |
1 |
|
密碼管理 |
2 |
|
變更管理 |
1 |
|
備份與(yu) 恢複管理 |
3 |
|
安全事件處置 |
3 |
|
應急預案管理 |
2 |
|
外包運維管理 |
2 |
|
