诚邀开发商参与我院信息系统安全等级保护测评及安全咨询项目市场调研的公告
一、 项目基本情况
项目名称:广州医科大学附属市八医院信息系统安全等级保护测评及安全咨询项目
二、开发商的资格要求
1. 公司无不良信用记录;
2. 符合《中华人民共和国政府采购法》第二十二条规定的国内独立法人;
3.具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》;
4.电子信息安全技术咨询资格;
5.本项目不接受联合体报名。
三、初步需求
一、项目概况:
本项目为广州医科大学附属市八医院信息系统安全等级保护测评及安全咨询调研需求。
二、项目需求及技术要求
(一)项目总述
为深入贯彻中央关于网络安全工作的总体部署落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》与信息安全等级保护制度的要求,加快建立健全我单位网络与信息安全保障体系,提高防护能力和水平,保障信息系统健康有序发展。按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[2007]43号)、2017年6月1日起施行的《中华人民共和国网络安全法》等文件要求,为全面加强我单位信息系统的安全工作,切实保障信息系统的安全运行,决定组织开展重要信息系统网络安全等级保护测评工作。
本次项目涉及的信息系统有:
序号 |
项目名称 |
数量 |
1 |
医院信息管理系统HIS(三级) |
1 |
2 |
电子病历系统EMR(三级) |
1 |
3 |
检验系统LIS(三级) |
|
4 |
检查系统PACS(三级) |
|
5 |
办公自动化系统OA(三级) |
|
6 |
互联网医院(三级) |
|
7 |
新冠疫情闭环管理信息系统(三级) |
1 |
8 |
信息集成平台(三级) |
1 |
9 |
信息安全咨询服务 |
1 |
(二)技术要求
1、网络安全等级测评服务:
测评主要包括以下内容:
包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的安全测评。
(1)安全物理环境
根据测评对象在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等方面所采取的安全措施进行检查,判断出与其相对应的各测评项的测评结果。
(2)安全通信网络
根据测评对象在“网络架构”、“通信传输”、“通信设备可信验证”等方面所采取的安全措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)安全区域边界
根据测评对象在“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“边界设备可信验证”等方面所采取的安全措施进行检查,判断出与其相对应的各测评项的测评结果。
(4)安全计算环境
根据测评对象在“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防护”、“计算设备可信验证”、“数据完整性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等方面所采取的安全措施进行检查,判断出与其相对应的各测评项的测评结果。
(5)安全管理中心
根据现场安全测评记录,针对测评对象在“系统管理”、“审计管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(6)安全管理制度
根据现场安全测评记录,针对测评对象在“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
(7)安全管理机构
根据现场安全测评记录,针对测评对象在“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
(8)安全管理人员
根据现场安全测评记录,针对测评对象在“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(9)安全建设管理
根据现场安全测评记录,针对测评对象在“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
(10)安全运维管理
根据现场安全测评记录,针对测评对象“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(11)服务交付物(含电子版):
《信息系统信息安全等级保护测评报告》;
(三)其他要求:
1、总体要求:
(1)按照国家相关信息安全标准和要求,对XXXX单位信息系统进行信息安全等级保护现状测评,出具信息系统安全等级测评报告,测评报告上应盖有测评机构公章;
(2)根据等级测评的结果,出具《安全加固整改建议书》,制订详细的安全整改实施计划,对必须新增安全软硬件产品才能解决相关安全问题,提出详细的风险规避措施和实施建议;
(3)如果通过测评后达不到要求,成交供应商要调查原因并免费指导直至满足等保的要求为止。
2、质量要求:
(1)服务原则
a.符合性原则:符合国家、公安部等信息安全评估/测评有关规范,指出防范的方针和保护的原则;
b.标准性原则:等级测评及风险分析发现的安全风险及差距的整改、设计与实施应依据行业、国内、国际的相关标准进行;
c.规范性原则:安全服务提供商在项目实施工作中的过程和文档,应具有很好的规范性,可以便于项目的跟踪和控制;
d.可控性原则:安全服务的方法和过程要在双方认可的范围之内,保证对于服务工作的可控性;
e.整体性原则:安全评估/测评及整改建议的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
f.最小影响原则:测试及扫描工作应尽可能小的影响系统和网络的正常运行,不能对各系统的运行和业务产生显著影响;
g.保密原则:应对服务过程中获得的数据和结果严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害利益的行为,否则有权追究其责任。
3、服务依据:
GB/T 22239-2019 《信息安全技术 网络安全等级保护基本要求》
GB/T 28448-2019 《信息安全技术 网络安全等级保护测评要求》
其他参考标准:
GB/T 25070-2019 《信息安全技术 网络安全等级保护安全设计技术要求》
GB/T 28449-2018 《信息安全技术 网络安全等级保护测评过程指南》
GB/T 36627-2018 《信息安全技术 网络安全等级保护测试评估技术指南》
4、售后服务:
成交供应商应提供免费培训服务和项目验收后一年内免费的跟踪服务,对相关人员进行信息安全等级保护基础知识培训,对本次测评范围内的问题提供远程技术咨询,对于漏洞的修补、问题的排除给出建议和指导。
(三)安全咨询服务:
本项目安全咨询服务包含咨询方案编制与数据安全迎检两部分工作。
1、咨询方案编制包括网络环境调研、网络安全能力应用情况调研、数据安全能力应用情况调研及密码能力应用情况调研。在调研的基础上形成咨询方案,明确各个环节安全能力、安全风险,同时结合广州医科大学附属市八医院当前安全能力、行业发展情况与外部合规要求,形成可持续、可落地的规划方案。
2、数据安全迎检服务内容包括分析数据安全检查指标项,并对当前数据安全能力进行梳理与差异化对标分析,形成差异化分析表;根据检查要求编制数据安全迎检管理规范体系架构并进行编制前汇报;编写数据安全迎检管理规范体系。数据安全迎检管理规范体系至少包含数据安全管理办法、个人信息管理规范、数据生命周期安全规范、数据分类分级规范、数据安全应急预案等内容以便更好支撑迎检工作;建立数据安全检查要求项与已形成的数据安全迎检管理规范体系之间关联关系,形成迎检对标索引表。
四、调研目的
1、信息系统安全等级保护测评及安全咨询项目需求的市场调研。
2、完善项目需求
五、报名文件提交要求
时间:2022年6月23日 至 2022年6月25日
报名文件:需提供投标联系人及电话、三证合一营业执照、信用证明、公司相关资质等文件的电子版,发送到邮箱 10927778@qq.com 周工
六、现场演示时间地点
时间:具体时间邮件通知。
地点:广州市白云区华英路8号广州医科大学附属市八医院嘉禾院区教学楼(具体地点以邮件通知为准)
七、公告期限
自本公告发布之日起3日。
八、其他补充事宜
报名截止日期:2022年6月25日17:00