南昌市第一醫(yī)院信息系統(tǒng)等保測評服務市場調(diào)研
依據(jù)我院臨床需要����,擬對下列貨/服務進行院內(nèi)采購,歡迎合格的供應商參加����。
一.采購項目內(nèi)容
序號 | 項目名稱 | 預算價 |
1 | 醫(yī)院信息系統(tǒng)等保測評服務市場調(diào)研 |
|
二.項目詳細內(nèi)容
等保測評信息系統(tǒng)清單
序號 | 評測系統(tǒng) | 等級 | 備注 |
1 | PACS醫(yī)學影像系統(tǒng) | 三級 |
|
2 | LIS臨床檢驗系統(tǒng) | 三級 |
|
1、項目概述
近年來�����,《中華人民共和國網(wǎng)絡安全法》�����、《網(wǎng)絡安全等級保護條例》相繼頒布和實施�����,我國第一次以法律形式進一步明確國家實行網(wǎng)絡安全等級保護制度和密碼管理制度���。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求����,履行等級保護�����、風險評估�����、安全監(jiān)測����、應急響應、安全加固等工作��,保障網(wǎng)絡免受干擾�����、破壞或者未經(jīng)授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取����、篡改文件要求。
南昌市第一醫(yī)院高度重視網(wǎng)絡安全工作�,落實網(wǎng)絡安全風險控制和服務管理,貫徹《關于加強省級重要信息系統(tǒng)安全保障工作的通知》(贛公字[2015]55 號)�、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27 號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66 號)和《信息安全等級保護管理辦法》(公通字[2007]43 號)等文件要求���,結合自身信息化建設需求�����,按照技術要求開展等級保護咨詢安全及信息安全風險評估服務工作��,解決所面臨的最主要的安全問題�,將有限的資源投入到最有效的地方����,不斷加強信息系統(tǒng)安全保護能力。
2����、技術依據(jù)
? 《中華人民共和國網(wǎng)絡安全法》(主席令第 53 號)
? 關于印發(fā)《信息安全等級保護工作的實施意見》的通知(公通字[2004]66 號文件)
? 關于印發(fā)《信息安全等級保護管理辦法》的通知(公通字[2007]43 號文件)
? 《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999)
? 《網(wǎng)絡安全等級保護測評過程指南》(GB/T28449-2018)
? 《網(wǎng)絡安全等級保護實施指南》(GB/T25058-2019)
? 《網(wǎng)絡安全等級保護基本要求》(GB/T22239-2019)
? 《網(wǎng)絡安全等級保護測評要求》(GB∕T28448-2019)
? 《網(wǎng)絡安全等級保護定級指南》(GB/T 22240-2020)
3.1.服務周期
本次安全服務項目服務周期為:經(jīng)公開招標后合同簽訂之日起90天完成�����。
3.2.項目工作內(nèi)容
本項目結合南昌市第一醫(yī)院自身信息化建設需求,開展等級保護咨詢項目服務�,解決所面臨的最主要的安全問題,將有限的資源投入到最有效的地方�����,不斷加強信息系統(tǒng)安全保護能力為目標���。本項目主要工作內(nèi)容:
(1) 網(wǎng)絡安全等級保護定級和備案服務
(2) 網(wǎng)絡安全等級保護測評服務
3.2.1 網(wǎng)絡安全等級保護定級和備案服務
(1) 服務對象:《信息系統(tǒng)清單》中所含信息系統(tǒng)�����。
(2) 具體要求:
對《信息系統(tǒng)清單》所含信息系統(tǒng)開展等保級別變更��,從原等保備案級別二級��,變更為等保三級���。定級工作將嚴格遵循《網(wǎng)絡安全等級保護定級指南》(GB/T 22240-2019 征求意見稿),深入調(diào)研掌握信息系統(tǒng)的應用部署實際情況�����,按照國家有關管理規(guī)范和標準要求, 細致分析各信息系統(tǒng)安全域及管理邊界�����,合理劃分信息系統(tǒng)范圍�,科學開展信息系統(tǒng)重要性程度分析�����,準確判定信息系統(tǒng)安全等級�����,向主管部門�、監(jiān)管機關就信息系統(tǒng)定級進行審批備案,順利獲得監(jiān)管機關頒發(fā)的《信息系統(tǒng)安全等級保護備案證明》�。工作過程文件及項目交付成果(包括但不限于):公安監(jiān)管機關頒發(fā)的《信息系統(tǒng)安全等級保護備案證明》;
3.2.2 網(wǎng)絡安全等級保護測評服務
(1) 服務對象:《信息系統(tǒng)清單》中所含信息系統(tǒng)����。
(2)具體要求:
供應商必須具備《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》,工作階段、流程�����、內(nèi)容��、及成果交付嚴格遵循《網(wǎng)絡安全等級保護測評要求》(GB/T 28448-2019)�、《網(wǎng)絡安全等級保護測評過程指南》(GB/T 28449-2018)和《信息安全技術 網(wǎng)絡安全等級保護基本要求》(等保 2.0)文件����。本項目測評系統(tǒng)復雜規(guī)模大�、部署廣、測評時間集中����,應按照項目組開展工作,項目團隊中應組織公安部信息安全測評中心或中關村測評聯(lián)盟頒發(fā)高級測評師負責項目組管理�����,并根據(jù)系統(tǒng)等級開展相應級別的開展單項測評和整體測評分析��;測評報告內(nèi)容及格式嚴格遵照網(wǎng)絡安全等級保護測評報告最新模版���,符合公安部門定級和備案要求���。
按照《信息安全等級保護管理辦法》�、《網(wǎng)絡安全保護等級實施指南》���,遵循《網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)等技術標準���,從安全物理環(huán)境、安全通信網(wǎng)絡����、安全區(qū)域邊界、安全計算環(huán)境�����、安全管理中心��、安全管理制度����、安全管理機構、安全管理人員����、安全建設管理���、安全運維管理等 10 個層面進行測評,并參考采購人自身信息安全管理要求��,進行綜合分析和整體測評���。應依據(jù)信息系統(tǒng)的業(yè)務應用和內(nèi)外部環(huán)境���,深入調(diào)研分析各信息系統(tǒng)資產(chǎn)狀況和重要性程度����,以及面臨信息安全的威脅。
技術方面����,物理安全方面應在采用專用測試工具測試和人工現(xiàn)場復核方式;對信息機房的消防�、防雷擊、防水防潮�、防靜電、空調(diào)�����、UPS、電磁輻射以及防盜等基礎設備實施的防護措施進行檢測檢驗�����。網(wǎng)絡和主機安全方面應通過上機配置驗證的方式對信息系統(tǒng)的服務器操作系統(tǒng)�、數(shù)據(jù)庫、中間件及其網(wǎng)絡和安全設備的安全配置及設置逐項進行檢測驗證�,以發(fā)現(xiàn)身份鑒別、訪問控制�����、安全審計等措施的安全隱患��。應用安全方面應通過口令破解���、越權測試��、注入測試�����、性能測試等方法對應用軟件的安全功能和配置逐項進行檢測驗證�,以發(fā)現(xiàn)身份鑒別、訪問控制�、安全審計、軟件容錯�����、資源控制等措施的安全隱患��。
管理安全方面應對采購人信息安全管理現(xiàn)狀進行需求分析�,確定安全管理目標和安全策略,針對信息系統(tǒng)的各類管理活動�����,梳理已存在的系統(tǒng)運維管理制度�����、人員安全管理制度��、系統(tǒng)建設管理制度���、定期檢查制度。應通過采用網(wǎng)絡檢測工具�、操作系統(tǒng)漏洞檢測工具��、數(shù)據(jù)庫掃描工具���、WEB 應用漏洞分析工具等對網(wǎng)絡、主機等進行滲透測試分析�����。應采取等級測評�����、安全審計�����、風險評估等方法����,逐項對照《網(wǎng)絡安全等級保護基本要求》的各安全要求項,評估確定系統(tǒng)當前安全防護現(xiàn)狀以及與標準要求的差距��,判斷安全保護建設需求及其分析�,出具整改意見,采購單位根據(jù)整改意見對系統(tǒng)進行安全整改��。工作過程文件及項目交付成果(包括但不限于):《網(wǎng)絡安全等級保護等級測評報告》。
三.服務要求:
1.實施要求
(1) 供應商必須具備獨立完成本項目的能力�����;
(2) 供應商必須公安部第三研究所認證發(fā)放的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》�;
(3) 供應商應對了解到的信息保密,并提供保密承諾����;
(4) 供應商在項目現(xiàn)場實施周期內(nèi),必須為本項目成立等級保護測評項目部����,安排包括項目經(jīng)理和各測評實施小組進場調(diào)研、測評工作���;
(5) 在采購人進行整改過程中提供必要的技術支持����。
2.項目管理要求
(1) 組織實施要求
1) 供應商應安排專職項目經(jīng)理負責本次項目的實施����。
2) 供應商應保證項目團隊成員的穩(wěn)定����,以保證服務的質量和連貫性��。
(2) 人員安排要求
本項目的技術服務人員需具有信息安全服務工作經(jīng)驗�����,參加過網(wǎng)絡安全等級保護測評項目并取得信息安全方面資質證書��,提供人員管理及配備方案�,并確保人員的穩(wěn)定���。如更換技術服務人員�����,須由采購人同意并簽字確認�。
3.保密要求
成交供應商須保證對本項目實施中所獲得任何資料和信息嚴格保密��,并與南昌市第一醫(yī)院簽訂保密責任書�����。
注:以上服務標準和要求為必須滿足項�����,否則作無效響應處理。
四.報名要求及報名需提供的相關材料:
1.具有獨立承擔民事責任能力的法人�����;
2.有依法繳納稅收的良好記錄�;
3.近三年內(nèi),在經(jīng)營活動中沒有重大違法記錄;
4.信用中國查詢結果截圖打印��,加蓋單位公章�����;
5.法定代表人身份證明書或法人授權委托書���,加蓋單位公章�。
6.供應商需提供中國政府采購網(wǎng)政府采購嚴重違法失信行為記錄名單查詢結果截圖打印��,加蓋單位公章�。
7.項目詳細內(nèi)容及服務要求響應文件
報名結束后將對報名單位資質進行綜合審查�����,通過資格審核合格后�,方可進行調(diào)研。
五.市場調(diào)研時需提供的相關材料:
1.以上第四項報名需要的所有資料(為方便審核�����,請把報價表附在標書第一頁���,其他報名材料按順序依次附在報價表之后��。)需要加蓋單位公章
2.根據(jù)服務需求提供基本實施方案�����、工作思路等
3.該服務售后聯(lián)系方式及售后服務承諾����;
市場調(diào)研時談判文件要求一正三副����,密封。談判現(xiàn)場須有技術工程師代表在場��。
六.報名時間:2024年9月2日至2024年9月6日17:00止,過期不予受理���。
七.咨詢(報名)地點:南昌市第一醫(yī)院信息科(門診南十樓)
八.談判時間:另行通知
九.聯(lián)系電話:0791-88862221(胡老師)
