周口市中医院2023年网络安全等级保护测评服务项目 招标公告
周口市中医院2023年网络安全等级保护测评服务项目,将采用院内竞谈方式进行招标,欢迎符合条件的供应商前来参加。
一、项目基本情况
1.项目编号:202300059
2.项目名称:周口市中医院2023年网络安全等级保护测评服务项目
3.采购方式:院内竞谈
4.采购内容:(详情见招标文件,招标文件报名时领取)
5.预算金额:29万元
6.质量要求:符合国家或行业现行标准规定
7.服务要求:1年
二、投标人资格要求
1.具有税务登记证、营业执照、组织机构代码或三证合一的营业执照
2.拟任委托代理人必须为本单位人员,需提供劳动合同
3.具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》
4.具有河南省网络与数据安全工程研究中心颁发的计算机信息系统安全评估体系建设技术支撑单位
三、报名时需携带材料
1.税务登记证、营业执照、组织机构代码或三证合一的营业执照
2.法人授权书及法人、被授权人身份证复印件及劳动合同
3.公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》
4.具有河南省网络与数据安全工程研究中心颁发的计算机信息系统安全评估体系建设技术支撑单位
5.失信被执行人、重大税收违法失信主体、政府采购严重违法失信行为记录名单查询记录(“信用中国”及“中国政府采购网”查询记录);
注:以上资料缺一不可,提交时需携带原件及加盖红章的复印件,只携带复印件的不予受理。
四、投标保证金
1.各投标单位于报名时需缴纳投标保证金6000元,中标单位将投标保证金转为履约保证金,不中标单位无息退回。
2.凡报名成功的供应商无故不来参与投标的,不退还投标保证金。
3.投标保证金请以贵公司对公账户存入我院账户,不能以个人名义存入。
请将投标保证金存入我院以下账户:
账户名:周口市中医院
开户行:中原银行周口荷花支行
账号:01500060104015000412
转账时请在用途一栏标明项目名称
五、报名时间及地点:
1.报名时间:2023年10月16日-2023年10月20日(上午8:30-11:30下午15:00 -17:00节假日除外)
2.报名地点:周口市中医院行政楼(6号楼)三楼招标办
联系人:徐老师电话:0394—8282792
六、具体开标、评标时间及地点:另行通知
七、发布公告媒体
1.本次招标公告仅在《周口市中医院官网》上发布,其他网站转载采购人不承担任何责任
2.项目公告时间:2023年10月16日-2023年10月20日(上午8:30-11:30下午15:00 -17:00节假日除外)
八、项目要求
1.项目背景
为认真贯彻和落实《中华人民共和国网络安全法》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的知道意见》公安网[2020]1960、《中华人民共和国数据安全法》、中央27号文件《国家信息化领导小组关于加强信息安全保障工作的意见》、国务院《关于大力推进信息化发展和切实保障信息安全的若干意见》文件要求,切实提高周口市中医院信息系统安全保护能力和信息安全管理水平,我院择优选取具有级测评资质的第三方安全等级测评公司,按照国家相关要求开展信息安全等级保护测评,依据信息安全技术网络安全等级保护实施指南【GB/T 25058-2019】、信息安全技术网络安全等级保护定级指南【GB/T 22240-2020】、信息安全技术网络安全等级保护基本要求【GB/T 22239-2019】等相关文件要求,对本单位系统进行全面的安全等级测评并协助完成整改工作,为全面提升周口市中医院信息系统的安全保障能力和防护水平
2.项目服务范围
本次安全等级测评项目涉及以下信息系统:
序号 | 信息系统名称 | 测评内容描述 | 系统拟定级别 |
1 | HIS系统 | 涉及的系统软硬件、网络、边界安全防护、计算环境、管理制度等 | 第三级 |
2 | EMR系统 | 第三级 | |
3 | LIS及输血系统 | 第三级 | |
4 | PACS系统 | 第三级 | |
5 | 一体化信息集成平台 | 第三级 | |
6 | 手术麻醉系统 | 第三级 | |
7 | 临床重症管理系统 | 第三级 | |
8 | 体检系统 | 第三级 | |
9 | 康复管理系统 | 二级 | |
10 | HERP系统 | 二级 | |
11 | 网络心电系统 | 二级 | |
12 | 院感系统 | 二级 | |
13 | 传染病管理系统 | 二级 | |
14 | 随访管理系统 | 二级 | |
15 | 综合预约系统 | 二级 | |
16 | 消毒追溯供应系统 | 二级 | |
17 | 血透系统 | 二级 | |
18 | 医保质控系统 | 二级 |
对招标的信息系统按照等级保护级别2.0标准,进行网络安全等级保护测评,发现可能存在的问题,并提出可行性整改方案,出具公安部门认定的测评报告,协助完成备案工作。
3.项目整体要求
对采购清单信息系统按照等级保护三级标准进行安全测评工作,发现可能存在的问题,并提出可行性整改方案,出具公安部门认定的网络安全保护等级测评报告,协助医院完成整改方案中的整改,以达到等级保护相关文件的要求,确保完成信息系统安全保护等级备案工作,并按单位要求在公安部门取得备案证明。
3.1在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)和《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018)文件的要求,根据本项目信息系统情况协助完成信息系统定级备案工作,并开展相应级别的安全等级测评工作,测评结果需得到招标人的确认,测评报告的编制严格遵照《网络安全等级保护测评报告》(最新模版)。
3.2针对测评中不足提出改进建议并协助我单位进行改进以达到相关标准要求。不得非授权占有、使用我单位测评相关资料及数据文件。
3.3实施人员要求:符合《网络安全等级保护测评机构管理办法》对测评机构和测评人员的要求,由公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的信息安全等级测评师证书。
4.需遵循的政策法规及规范
Ø 《中华人民共和国网络安全法》
Ø《信息安全等级保护管理办法》(公通字[2007]43号);
Ø《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号);
Ø《网络安全等级保护实施指南》(GB/T 25058-2020);
Ø《网络安全等级保护定级指南》(GB/T 22240-2020);
Ø《网络安全等级保护基本要求》(GB/T 22239-2019);
Ø《网络安全等级保护设计技术要求》(GB/T 25070-2019);
Ø《网络安全等级保护测评要求》(GB/T28448-2019);
Ø《网络安全等级保护测评过程指南》(GB/T28449-2018);
Ø 《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》;
Ø 《卫生部关于卫生行业信息安全等级保护工作的指导意见》;
Ø 《河南省医院信息化建设指南》。
包括但不限于以上法律规范。
5.项目实施内容要求
5.1测评内容
测评内容主要包括两个方面:一是单元测评,测评指标与GB/T2239-2019相应等级的基本要求完全一致;二是系统整体测评,主要测评分析信息系统的整体安全性。
单元测评包括安全技术测评和安全管理测评两大部分,其中安全技术测评层面主要包含:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。安全管理测评层面主要包含:安全管理制度、安全管理人员、安全管理机构、安全建设管理、安全运维管理。
整体测评在单元测评的基础上进行进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。
(1)安全物理环境
主要包含物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个方面的内容。
(2)安全通信网络
主要包含网络架构、通信传输、可信验证3方面的内容。
(3)安全区域边界
主要包含边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等6个方面的内容。
(4)安全计算环境
主要包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11方面的内容。
(5)安全管理中心
主要包含系统管理、审计管理、安全管理、集中管控4个方面的内容。
(6)安全管理制度
安全管理制度测评主要涉及安全策略、管理制度、制定和发布、评审和修订4个方面的安全保护能力。
(7)安全管理人员
主要包含人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的内容。
(8)安全管理机构
主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。
(9)安全建设管理
主要包含定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的内容。
(10)安全运维管理
主要包含环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的内容。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
5.2项目交付成果
项目阶段各阶段的测评过程文档(参照《信息安全技术信息系统安全等级保护测评过程指南》)编制。相见下表(包括但不限于)
项目阶段 | 交付成果 |
测评准备活动 | 项目计划书 被测系统基本情况调查表 |
方案编制活动 | 测评指导书 信息系统安全测评方案 |
现场测评活动 | 测评结果记录 测评中发现的问题汇总 |
分析与报告编制活动 | 单项测评结果汇总分析 整体测评结果汇总分析 风险分析和评估 等级测评结论 网络安全等级测评报告 |
6.整改建议要求
依据信息系统安全等级测评的相关报告,编制并提交相关的信息安全整改建议方案,并全程协助完成整改工作。
1)具体要求
依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)各项要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全建设整改方案,方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题。
2)工作过程文件及项目交付成果(包括但不限于)
安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。
7.项目成果
7.1《网络安全等级测评报告》
7.2《网络安全等级测评整改建议》
周口市中医院招标办
2023年10月13日
