州中醫(yī)醫(yī)院LIS、PACS系統(tǒng)三級等保測評服務(wù)及電子發(fā)票、集成平臺、銀海醫(yī)保、院感
系統(tǒng)等26個(gè)系統(tǒng)網(wǎng)絡(luò)安全等級
保護(hù)測評服務(wù)招標(biāo)公告
因工作需要,經(jīng)我院黨委會研究,決定采購:LIS、PACS系統(tǒng)三級等保測評服務(wù)及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個(gè)系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù),現(xiàn)面向社會發(fā)布招標(biāo)公告,歡迎具備相關(guān)資質(zhì)的單位于公告期內(nèi)前來咨詢、報(bào)名,投標(biāo)時(shí)具體需求內(nèi)容及相關(guān)資料請致電我院采購科獲取,采購內(nèi)容和要求附后,該公告也同步發(fā)到點(diǎn)擊登錄查看官網(wǎng)https://www.qdnzzyy.cn/,相關(guān)實(shí)施要求如下:
一、項(xiàng)目名稱:點(diǎn)擊登錄查看LIS、PACS系統(tǒng)三級等保測評服務(wù)及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個(gè)系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)采購。
二、需求編號:****。
三、服務(wù)內(nèi)容:
(一)服務(wù)清單: LIS 系統(tǒng)、PACS系統(tǒng)每年一次三級等保測評服務(wù)以及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個(gè)系統(tǒng)(具體系統(tǒng)清單見附件)定級、專家評審、測評等服務(wù),并贈(zèng)送HIS 系統(tǒng)、EMR系統(tǒng)和OA系統(tǒng)每年一次的三級等保測評服務(wù)。
(二)技術(shù)要求:
1.測評依據(jù):
依據(jù)信息安全等級保護(hù)的國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn),按照特定方法對信息系統(tǒng)的安全保護(hù)能力進(jìn)行科學(xué)公正的綜合評判過程。本次開展測評活動(dòng)所依據(jù)的文件及標(biāo)準(zhǔn)如下(不僅限于以下標(biāo)準(zhǔn)和規(guī)范,測評必須按照國家最新標(biāo)準(zhǔn)規(guī)范要求執(zhí)行):
(1)《關(guān)于信息安全等級保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號)
(2)《信息安全等級保護(hù)管理辦法》(公通字〔2007〕43 號)
(3)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則》GB 17859-1999
(4)《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T 22239-2019
(5)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)測評要求》GB/T28448-2019
(6)《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》GB/T25070-2019
(7)《信息安全風(fēng)險(xiǎn)管理指南》GB/Z 24363-2009
(8)《信息安全管理體系要求》GB/T 22080-2008
(9)《信息安全管理實(shí)用規(guī)則》GB/T 22081-2008
(10)《信息系統(tǒng)安全管理要求》GB/T 20269-2006
(11)《電子信息系統(tǒng)機(jī)房設(shè)計(jì)規(guī)范》GB 50173-2008
(12)《信息安全技術(shù)服務(wù)器測評要求》GB/T 25062-2010
(13)《信息安全技術(shù)包過濾防火墻評估準(zhǔn)則》GB/T 20010-2005
(14)《信息安全技術(shù)路由器安全評估準(zhǔn)則》GB/T 20011-2005
(15)《信息安全技術(shù)終端計(jì)算機(jī)系統(tǒng)安全等級評估準(zhǔn)則》GA/T 672-2006
(16)信息安全技術(shù)應(yīng)用軟件系統(tǒng)安全等級保護(hù)通用測試指南GA/T 712-2007
等級測評的現(xiàn)場實(shí)施過程由單元測試和整體測評兩部分構(gòu)成。單元測試是對應(yīng)各安全控制點(diǎn)的測評,主要包括:安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全制度管理、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等測評任務(wù)(不限于以下內(nèi)容)。
整體測評是在單元測評的基礎(chǔ)上,通過進(jìn)一步的分析信息系統(tǒng)安全保護(hù)功能的整體相關(guān)性,對信息系統(tǒng)實(shí)施的綜合安全測評。
測評工程師在進(jìn)行各單元測評之前,需獲得被測評方的授權(quán),并簽署安全保密協(xié)議,在現(xiàn)場測評過程中,需要對設(shè)備和系統(tǒng)進(jìn)行一定驗(yàn)證測試工作,部分測試內(nèi)容需要上機(jī)查看一些信息,可能會影響系統(tǒng)的正常運(yùn)行。因此,在進(jìn)行驗(yàn)證測試和工具測試時(shí),應(yīng)盡量避開業(yè)務(wù)高峰期,同時(shí)還應(yīng)對關(guān)鍵數(shù)據(jù)做好備份工作,并對可能出現(xiàn)的影響制定相應(yīng)的處理方案。上機(jī)驗(yàn)證測試原則上應(yīng)是測評人員提出需要查看或驗(yàn)證的內(nèi)容,由測評委托單位的相關(guān)技術(shù)人員進(jìn)行操作,測評人員根據(jù)操作結(jié)果進(jìn)行記錄。測評工程完成后,測評人員應(yīng)交回測評過程中獲取的所有特權(quán),歸還測評過程中借閱的相關(guān)資料文檔,并嚴(yán)格清理測評過程中植入被測評系統(tǒng)中的相關(guān)代碼/程序。
安全物理環(huán)境:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù);
安全通信網(wǎng)絡(luò):網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證;
安全區(qū)域邊界:邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證;
安全計(jì)算環(huán)境:身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù);
安全管理中心:系統(tǒng)管理、審計(jì)管理、安全管理、集中管控;安全制度管理:安全策略、管理制度、制定與發(fā)布、評審和修訂;
安全管理機(jī)構(gòu):崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查;
安全管理人員:人員錄用、人員離崗、安全意識教育培訓(xùn)、外部人員訪問管理;
安全建設(shè)管理:定級和備案、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、服務(wù)供應(yīng)商選擇、等級測評;
安全運(yùn)維管理:環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理。
3.交付物
(1)《信息系統(tǒng)備案證明》(每個(gè)系統(tǒng)一份)
(2)《信息系統(tǒng)差距分析報(bào)告》(每個(gè)系統(tǒng)一份)
(3)《信息系統(tǒng)安全等級測評報(bào)告》(每個(gè)系統(tǒng)一份)
(4) 服務(wù)期限:三年
四、服務(wù)要求:
1.按照公安部門要求,完成LIS系統(tǒng)、PACS系統(tǒng)的定級、備案、專家評審、測評、出具整改意見、指導(dǎo)整改、復(fù)評等一整套三級等保測評服務(wù),獲得當(dāng)?shù)鼐W(wǎng)安部門頒發(fā)的LIS系統(tǒng)、PACS系統(tǒng)的三級等保備案證明,并提供差距分析報(bào)告、專家評審意見、整改意見以及達(dá)到三級等保要求的測評報(bào)告。
2.按照公安部門要求,完成電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個(gè)系統(tǒng)(具體系統(tǒng)清單見附件)的定級、備案(根據(jù)系統(tǒng)定級情況而定)、專家評審、測評、出具整改意見、指導(dǎo)整改等一整套網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù),提供定級證明、差距分析報(bào)告、專家評審意見、整改意見等相關(guān)意見報(bào)告。
3.完成贈(zèng)送的HIS系統(tǒng)、EMR系統(tǒng)及OA系統(tǒng)的定級、備案、專家評審、測評、出具整改意見、指導(dǎo)整改、復(fù)評等一整套三級等保測評服務(wù),獲得當(dāng)?shù)鼐W(wǎng)安部門頒發(fā)的以上系統(tǒng)的三級等保備案證明,并提供差距分析報(bào)告、專家評審意見、整改意見以及達(dá)到三級等保要求的測評報(bào)告。
4.對LIS系統(tǒng)、PACS系統(tǒng)、電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)以及贈(zèng)送的HIS系統(tǒng)、EMR系統(tǒng)及OA系統(tǒng)等31個(gè)系統(tǒng)至少進(jìn)行一年3次的漏洞掃描、風(fēng)險(xiǎn)評估、網(wǎng)絡(luò)安全制度制定及調(diào)整等網(wǎng)絡(luò)安全相關(guān)工作,并出具相應(yīng)整改意見和報(bào)告,協(xié)助醫(yī)院進(jìn)行網(wǎng)絡(luò)安全整改工作。
五、報(bào)名單位資格要求、報(bào)名資料:
1.專業(yè)技術(shù)資質(zhì):本項(xiàng)目所需特殊行業(yè)資質(zhì)或要求:具備網(wǎng)絡(luò)安全服務(wù)認(rèn)證證書等級保護(hù)測評服務(wù)認(rèn)證(提供證書復(fù)印件或掃描件,并加蓋公章)、單位(公司)資質(zhì)、法人身份復(fù)印件、授權(quán)代表委托書、被委托人身份證復(fù)印件、聯(lián)系電話。
2.近三年內(nèi)無違法違紀(jì)行為承諾;
3.提供通過信用中國網(wǎng)站(www.creditchina.gov.cn)、中國政府采購網(wǎng)(www.ccgp.gov.cn)查詢無失信行為信息記錄的證明材料(截圖)。
4.所投服務(wù)內(nèi)容和服務(wù)目標(biāo)須等于或優(yōu)于我方要求。
六、最高限價(jià):11.9萬元/年,三年費(fèi)用不超過35.7萬元,超出限價(jià)報(bào)價(jià)為無效報(bào)價(jià)。
七、付款方式:單位自籌資金支付。
八、報(bào)名資料的遞交方式:
報(bào)名方法:加微信號:****,通過后,將資料的PDF版壓縮文件包發(fā)至微信號。加微信號模板:報(bào)名公司名稱+聯(lián)系電話。
逾期送達(dá)或者未送達(dá)指定地點(diǎn)的,不予受理。如有不清楚事宜可在現(xiàn)場或者線上咨詢。
報(bào)名時(shí)間:****至****(3個(gè)工作日)
報(bào)名地點(diǎn)及電話:點(diǎn)擊登錄查看行政辦公區(qū)采購科
電話:****
項(xiàng)目技術(shù)咨詢地點(diǎn)及電話:點(diǎn)擊登錄查看信息科
電話:****
26個(gè)系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評清單.docx
****