根据公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)《中华人民共和国网络安全法》《信息安全技术 网络安全等级保护基本要求》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护设计技术要求》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护测评要求》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护实施指南》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护测评过程指南》(GB/T 2略略略-略略略略略略)等法律法规和制度规定的相关要求,对济南市第八人民医院以电子病历为核心的信息系统开展信息系统等级保护测评工作,在技术和管理两个方面的10个大项(包括但不限于)的内容进行逐一的检查和测试,夯实单位信息系统安全基础,提高信息安全管理水平,消除安全隐患,确保信息网络的安全运行。
一.供应商资质要求:
(一)供应商必须是在中华人民共和国境内***的具有独立承担民事责任能力且具有提供本项目相关服务的能力,需具有有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;
(二)供应商须具有《网络安全等级测评与检测评估机构服务认证证书》;
(三)供应商近三年(截止时间为开标日前5个工作日的零点)没有被“中国政府采购网”列入政府采购严重违法失信行为信息记录的,没有被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单的。或被“中国政府采购网”列入政府采购严重违法失信行为信息记录,被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单但已过限制期的。
(四)不接受联合体投标。
二、供应商应提供的资信证明
(一)有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;法定代表人参加报名时,提供法定代表人身份证原件;如委托代理人报名时提供法定代表人授权委托书及受委托人身份证原件
(二)《网络安全等级测评与检测评估机构服务认证证书》;
(三)法定代表人身份证或法人授权委托书及委托代理人本人身份证原件;
(四)信用信息查询相关证明材料。
二.报名截止时间:略略略略年略略月略略日
地址:济南市第八人民医院
电话:略略略-略略略略略略
联系人:刘斌
三、项目名称
济南市第八人民医院以电子病历为核心的信息系统等级保护测评项目
四、项目服务期
项目服务期:1年
五、项目预算
项目预算:8万元
五、测评范围
系统名称 |
系统定级 |
以电子病历为核心的信息系统 |
三级 |
|
|
|
|
六、项目内容
本项目由具备等级保护高级、中级、初级测评师且至少6人的服务团队(至少1人为等级保护高级测评师和至少1人为等级保护中级测评师),严格按照《信息安全技术 网络安全等级保护基本要求》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护设计技术要求》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护测评要求》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护实施指南》(GB/T 2略略略-略略略略略略)《信息安全技术 网络安全等级保护测评过程指南》(GB/T 2略略略-略略略略略略)等法律法规和制度规定的相关要求,以及以电子病历为核心的信息系统和网络安全相关内容的检查、测评与修复等工作的具体实施要求,服务内容包括但不限于以下内容:
1、等级保护测评服务:由具备等级保护高级、中级、初级测评师且至少6人的服务团队(至少1人为等级保护高级测评师和至少1人为等级保护中级测评师),供应商承担相关的费用。服务频率一年一次,不少于10个工作日,测评要提供等级保护测评报告,报告要有相关高级测评师签字并加盖中标供应商公章。
1)系统确认
协助单位从应用系统、信息资产、基础架构、规章制度、应急保障等维度进行梳理,全面准确掌握信息系统部署、运行、应用和运维工作基本情况,填写梳理情况表,编制梳理报告。
2)定级备案
协助单位完成信息系统备案工作,协助完成信息系统的定级备案报告的编写和到所属公安机构的等级保护备案工作。
3)安全分析
协助单位结合国家、省、市关于安全等级标准规范和要求,对相应等级指标进行等级保护安全现状分析,逐项明确不符合项及与安全要求之间的差距及可能造成的风险。
4)系统安全现状测评
按照《信息安全技术 网络安全等级保护基本要求》(GB/T 2略略略-略略略略略略)的要求进行信息安全等级保护现状测评。
(1)安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。
物理安全测评
:根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
网络安全测评:根据信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
主机安全测评:主要是对被测信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。
应用安全测评:主要是对被测信息系统应用的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。
数据安全及备份恢复测评:测评信息系统数据安全及备份恢复,包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。
(2)安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。
安全管理制度测评:根据现场安全测评记录,针对信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
安全管理机构测评:根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
人员安全管理测评:根据现场安全测评记录,针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
系统建设管理测评:根据现场安全测评记录,针对信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
系统运维管理测评:根据现场安全测评记录,针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
5)文档交付
依据《公安部信息系统安全等级保护测评报告模板(试行)》制作。
6)保密要求。提供保密声明,自签订合同之日起至项目结束,采取必要的控制措施防止因项目实施造成的任何信息泄漏。
7)风险规避。提供风险规避声明,自签订合同之日起至服务期结束,采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。
8)进度要求。提供详实的进度计划方案,自合同签订之日起3个月内提交信息安全等级保护测评报告和整改方案。
2、漏洞检查服务
对确认的系统实施工具扫描,由具备等级保护高级、中级、初级测评师且至少6人的服务团队(至少1人为等级保护高级测评师和至少1人为等级保护中级测评师),根据被评估系统特点,出具安全漏洞扫描报告。
3、应急响应支持服务
对用户单位提供安全应急响应支撑服务,本项目由具备等级保护中级(含)以上测评师、信息安全专业人员以上等资质证书的人员组成的服务团队(至少1人为等级保护中级以上证书或信息安全专业人员证书),协助配合开展网络安全事件的预防、发现、预警和协调处置等工作。
4、安全培训服务
对用户单位的安全培训服务,由具备等级保护中级(含)以上测评师或信息系统保护人员、信息安全专业人员以上资质证书的人员授课,讲授网络安全管理应知应会和应急管理知识,提高培训对象人员的安全意识和安全管理能力,提高网络安全应对能力。供应商承担相关的培训费用,服务频率一年一次。
5、安全能力评估服务
评估网络安全防护效果,通过模拟真实黑客的技术手段对目标进行漏洞检测,突破系统的安全防护手段,从而验证已部署的安全措施是否按照预期设计工作,帮助挖掘出正常业务流程中隐藏的安全缺陷和漏洞,深入评估漏洞可能造成的实际影响,给出详细的评估结果和安全风险分析,并且结合专业的安全服务专家团队,提供修复建议与解决方案。评估过程中保证资产不受影响,攻击脚本只会对靶标进行安全可控的攻击,不会对系统造成任何的实际侵入和伤害。
6、以上服务内容在每次实施之前,应提前用户单位项目负责人进行详尽的沟通交流,制定详实可行的实施方案,确定带队负责人和组队人员,以及服务项目的详细内容和实施步骤,经XXX项目负责人确认后,按照既定的实施方案执行。具体执行过程中可根据双方协商的情况进行修改、增删等。
七、服务期限
服务合同期暂定为1年,如中标人服务标准达不到采购人服务标准,自动终止合同。
服务地点:采购人指定地点。
八、项目资金来源
财政资金。
九、对项目转包、分包要求
1、该项目不允许转包、分包。
2、采购人发现成交人进行转包、分包的,有权单方解除合同,取消成交人实施项目资格。成交人除赔偿损失外,还须向采购人支付项目合同总价款10%的违约金。
十、其他要求
1、合同项目履行过程中的一切风险,均由供应商综合考虑并承担。
2、磋商费用:供应商须自行承担编制与递交响应文件所涉及的一切费用。不管磋商结果如何,采购人对上述费用不承担任何责任。
3、报价有效期:从递交响应文件的截止之日起计算60日历天。
4、磋商过程中可能实质性变动的内容:采购项目采购需求。
十一、推介会日期
时间:略略略略年略略月略略日 下午14:00
地址:济南市第八人民医院
电话:略略略-略略略略略略
联系人:刘斌
第二章 供应商条件及须提供的资信证明
一、合格供应商的条件
(一)供应商必须是在中华人民共和国境内***的具有独立承担民事责任能力且具有提供本项目相关服务的能力,需具有有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;
(二)供应商须具有《网络安全等级测评与检测评估机构服务认证证书》;
(三)供应商近三年(截止时间为开标日前5个工作日的零点)没有被“中国政府采购网”列入政府采购严重违法失信行为信息记录的,没有被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单的。或被“中国政府采购网”列入政府采购严重违法失信行为信息记录,被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单但已过限制期的。
(四)不接受联合体投标。
二、供应商应提供的资信证明
(一)有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;法定代表人参加报名时,提供法定代表人身份证原件;如委托代理人报名时提供法定代表人授权委托书及受委托人身份证原件
(二)《网络安全等级测评与检测评估机构服务认证证书》;
(三)法定代表人身份证或法人授权委托书及委托代理人本人身份证原件;
(四)信用信息查询相关证明材料。
标讯订阅网
