临沂市中医医院信息安全等级保护测评项目
集中竞价采购须知
为了公开、公平、公正地集中竞价采购,本着合理、竞争、经济的原则,我院拟对本次采购活动参照招标形式进行集中竞价,相关事项如下:
第一部分
项目要求
一、项目背景
为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统安全等级保护测评工作。通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况,完善工作制度,提出安全建设加固建议。切实加强信息安全防范水平,提高系统抵御风险的能力。
二、项目目标、内容
按照国家等级保护相关标准和要求,对其HIS、电子病历系统(三级)、PACS和网站(二级)安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告,并提供后续检测服务。
三、项目实施参照法律法规及标准 《网络安全法》
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号); 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。
《信息安全技术 信息系统安全等级保护基本要求》( GB/T22239-2008)
《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008) 《信息安全技术
信息系统安全等级保护实施指南》 《信息安全技术
信息系统安全等级保护测评要求》 《信息安全技术
信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》(GB 17859-1999) 《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006) 《信息安全技术 网络基础安全技术要求》(GB/T 20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2006) 《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2006) 《信息安全技术 服务器技术要求》(GB/T 21028-2007)
《信息安全技术 终端计算机系统安全等级技术要求》(GA/T 671-2006) 《信息安全技术 信息系统安全管理要求》(GB/T20269-2006) 《信息安全技术 信息系统安全工程管理要求》(GB/T20282-2006) GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则
四、项目内容
1.等级测评
通过详细的系统调研,开展对其HIS、LIS系统(三级)、PACS和网站(二级)的等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
测评的内容包括但不限于以下内容:
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(1)、物理安全
根据临沂市中医院信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。 (2)、网络安全
根据临沂市中医院信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)、主机安全
主机安全现场测评包括对临沂市中医院信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。 (4)、应用安全
应用安全现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身份鉴
别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。 (5)、数据安全及备份恢复
临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。 (6)、安全管理制度
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 (7)、安全管理机构
根据现场安全测评记录,针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 (8)、人员安全管理
根据现场安全测评记录,针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (9)、系统建设管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 (10)、系统运维管理
根据现场安全测评记录,针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项待整改完毕后,进行结果确认,完成信息安全等级保护测评,出具测评报告,2.安全管理体系咨询
协助建立符合等级保护要求的信息安全管理体系,包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系ISO 27001和ISO 分析、整体分析,给出差距分析报告,并给出整改建议方案。 并将测评报告报当地公安机关备案。
20000制定相应流程,促进临沂市中医院信息安全管理工作。
3.安全监测
提供门户网站7*24小时网站安全监测,对网站页面挂马、篡改等事件实时监测,发现问题及时通报相关人员,并安排人员及时处理。
4.应急支援
服务期内提供不限次数的应急支援服务,针对发生的事件协助分析事件原因,查找问题,并提供安全加固建议。
5.安全培训
组织技术培训,对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发,涵盖网络安全的如下方面: 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库安全管理培训、27001安全管理体系培训等。
6.信息安全风险评估
按照GB-T20984-2007信息安全风险评估规范标准和要求,对信息系统进行风险评估,明确信息系统安全风险,提出合理的、满足等级保护要求的总体建设和管理规划,并制定安全实施计划,以指导后续的信息系统安全建设工程实施。
五、成果交付
该项目提交的文档至少包括如下文件:
1、《临沂市中医院XX信息系统安全等级保护测评方案》
2、《临沂市中医院XX系统信息安全等级保护测评报告》
3、《临沂市中医院XX信息安全管理制度汇编》
4、《信息安全风险评估报告》
5、《信息安全整改方案》
第二部分
投标方资质要求
1、《企业法人营业执照》副本复印件(盖章)。
2、法定代表人身份证明书或法人授权委托书、身份证复印件。
3、投标公司具有信息系统安全等级保护测评的国家相关资质,有专业技术检测项目组,其中有高级测评师及中级测评师,参与技术检测的人员均为中国公民,无违法犯罪记录并签订安全保密协议。
4、同类项目近几年的业绩情况及客户名单。
第三部分标书、报价方式
1、标书分正本1份,副本2份,并在标书标书袋上标明“正本”、“副本”字样。均固定装订成一册,不能活页装订或散装,盖单位公章和法定代表人印签后递交医院招标办。
第四部分报送时间、地点
标书报送时间截止2018年1月30日16时。(每日8:00~17:00,周
六、周日除外)
标书报送地点:临沂市中医医院门诊七楼招标办。
