南昌市第一醫(yī)院信息系統(tǒng)等保測評服務市場調(diào)研
依據(jù)我院臨床需要,擬對下列貨/服務進行院內(nèi)采購,歡迎合格的供應商參加。
一.采購項目內(nèi)容
序號 | 項目名稱 | 預算價 |
1 | 醫(yī)院信息系統(tǒng)等保測評服務市場調(diào)研 |
二.項目詳細內(nèi)容
等保測評信息系統(tǒng)清單
序號 | 評測系統(tǒng) | 等級 | 備注 |
1 | PACS醫(yī)學影像系統(tǒng) | 三級 | |
2 | LIS臨床檢驗系統(tǒng) | 三級 |
近年來,《中華人民共和國網(wǎng)絡安全法》、《網(wǎng)絡安全等級保護條例》相繼頒布和實施,我國第一次以法律形式進一步明確國家實行網(wǎng)絡安全等級保護制度和密碼管理制度。網(wǎng)絡運營者應當按照網(wǎng)絡安全等級保護制度的要求,履行等級保護、風險評估、安全監(jiān)測、應急響應、安全加固等工作,保障網(wǎng)絡免受干擾、破壞或者未經(jīng)授權的訪問,防止網(wǎng)絡數(shù)據(jù)泄露或者被竊取、篡改文件要求。
南昌市第一醫(yī)院高度重視網(wǎng)絡安全工作,落實網(wǎng)絡安全風險控制和服務管理,貫徹《關于加強省級重要信息系統(tǒng)安全保障工作的通知》(贛公字[2015]55 號)、《國家信息化領導小組關于加強信息安全保障工作的意見》(中辦發(fā)[2003]27 號)、《關于信息安全等級保護工作的實施意見》(公通字[2004]66 號)和《信息安全等級保護管理辦法》(公通字[2007]43 號)等文件要求,結合自身信息化建設需求,按照技術要求開展等級保護咨詢安全及信息安全風險評估服務工作,解決所面臨的最主要的安全問題,將有限的資源投入到最有效的地方,不斷加強信息系統(tǒng)安全保護能力。
2、技術依據(jù)
? 《中華人民共和國網(wǎng)絡安全法》(主席令第 53 號)
? 關于印發(fā)《信息安全等級保護工作的實施意見》的通知(公通字[2004]66 號文件)
? 關于印發(fā)《信息安全等級保護管理辦法》的通知(公通字[2007]43 號文件)
? 《計算機信息系統(tǒng)安全保護等級劃分準則》(GB 17859-1999)
? 《網(wǎng)絡安全等級保護測評過程指南》(GB/T28449-2018)
? 《網(wǎng)絡安全等級保護實施指南》(GB/T25058-2019)
? 《網(wǎng)絡安全等級保護基本要求》(GB/T22239-2019)
? 《網(wǎng)絡安全等級保護測評要求》(GB∕T28448-2019)
? 《網(wǎng)絡安全等級保護定級指南》(GB/T 22240-2020)
3.1.服務周期
本次安全服務項目服務周期為:經(jīng)公開招標后合同簽訂之日起90天完成。
3.2.項目工作內(nèi)容
本項目結合南昌市第一醫(yī)院自身信息化建設需求,開展等級保護咨詢項目服務,解決所面臨的最主要的安全問題,將有限的資源投入到最有效的地方,不斷加強信息系統(tǒng)安全保護能力為目標。本項目主要工作內(nèi)容:
(1) 網(wǎng)絡安全等級保護定級和備案服務
(2) 網(wǎng)絡安全等級保護測評服務
3.2.1 網(wǎng)絡安全等級保護定級和備案服務
(1) 服務對象:《信息系統(tǒng)清單》中所含信息系統(tǒng)。
(2) 具體要求:
對《信息系統(tǒng)清單》所含信息系統(tǒng)開展等保級別變更,從原等保備案級別二級,變更為等保三級。定級工作將嚴格遵循《網(wǎng)絡安全等級保護定級指南》(GB/T 22240-2019 征求意見稿),深入調(diào)研掌握信息系統(tǒng)的應用部署實際情況,按照國家有關管理規(guī)范和標準要求, 細致分析各信息系統(tǒng)安全域及管理邊界,合理劃分信息系統(tǒng)范圍,科學開展信息系統(tǒng)重要性程度分析,準確判定信息系統(tǒng)安全等級,向主管部門、監(jiān)管機關就信息系統(tǒng)定級進行審批備案,順利獲得監(jiān)管機關頒發(fā)的《信息系統(tǒng)安全等級保護備案證明》。工作過程文件及項目交付成果(包括但不限于):公安監(jiān)管機關頒發(fā)的《信息系統(tǒng)安全等級保護備案證明》;
3.2.2 網(wǎng)絡安全等級保護測評服務
(1) 服務對象:《信息系統(tǒng)清單》中所含信息系統(tǒng)。
(2)具體要求:
供應商必須具備《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》,工作階段、流程、內(nèi)容、及成果交付嚴格遵循《網(wǎng)絡安全等級保護測評要求》(GB/T 28448-2019)、《網(wǎng)絡安全等級保護測評過程指南》(GB/T 28449-2018)和《信息安全技術 網(wǎng)絡安全等級保護基本要求》(等保 2.0)文件。本項目測評系統(tǒng)復雜規(guī)模大、部署廣、測評時間集中,應按照項目組開展工作,項目團隊中應組織公安部信息安全測評中心或中關村測評聯(lián)盟頒發(fā)高級測評師負責項目組管理,并根據(jù)系統(tǒng)等級開展相應級別的開展單項測評和整體測評分析;測評報告內(nèi)容及格式嚴格遵照網(wǎng)絡安全等級保護測評報告最新模版,符合公安部門定級和備案要求。
按照《信息安全等級保護管理辦法》、《網(wǎng)絡安全保護等級實施指南》,遵循《網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)等技術標準,從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等 10 個層面進行測評,并參考采購人自身信息安全管理要求,進行綜合分析和整體測評。應依據(jù)信息系統(tǒng)的業(yè)務應用和內(nèi)外部環(huán)境,深入調(diào)研分析各信息系統(tǒng)資產(chǎn)狀況和重要性程度,以及面臨信息安全的威脅。
技術方面,物理安全方面應在采用專用測試工具測試和人工現(xiàn)場復核方式;對信息機房的消防、防雷擊、防水防潮、防靜電、空調(diào)、UPS、電磁輻射以及防盜等基礎設備實施的防護措施進行檢測檢驗。網(wǎng)絡和主機安全方面應通過上機配置驗證的方式對信息系統(tǒng)的服務器操作系統(tǒng)、數(shù)據(jù)庫、中間件及其網(wǎng)絡和安全設備的安全配置及設置逐項進行檢測驗證,以發(fā)現(xiàn)身份鑒別、訪問控制、安全審計等措施的安全隱患。應用安全方面應通過口令破解、越權測試、注入測試、性能測試等方法對應用軟件的安全功能和配置逐項進行檢測驗證,以發(fā)現(xiàn)身份鑒別、訪問控制、安全審計、軟件容錯、資源控制等措施的安全隱患。
管理安全方面應對采購人信息安全管理現(xiàn)狀進行需求分析,確定安全管理目標和安全策略,針對信息系統(tǒng)的各類管理活動,梳理已存在的系統(tǒng)運維管理制度、人員安全管理制度、系統(tǒng)建設管理制度、定期檢查制度。應通過采用網(wǎng)絡檢測工具、操作系統(tǒng)漏洞檢測工具、數(shù)據(jù)庫掃描工具、WEB 應用漏洞分析工具等對網(wǎng)絡、主機等進行滲透測試分析。應采取等級測評、安全審計、風險評估等方法,逐項對照《網(wǎng)絡安全等級保護基本要求》的各安全要求項,評估確定系統(tǒng)當前安全防護現(xiàn)狀以及與標準要求的差距,判斷安全保護建設需求及其分析,出具整改意見,采購單位根據(jù)整改意見對系統(tǒng)進行安全整改。工作過程文件及項目交付成果(包括但不限于):《網(wǎng)絡安全等級保護等級測評報告》。
三.服務要求:
1.實施要求
(1) 供應商必須具備獨立完成本項目的能力;
(2) 供應商必須公安部第三研究所認證發(fā)放的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》;
(3) 供應商應對了解到的信息保密,并提供保密承諾;
(4) 供應商在項目現(xiàn)場實施周期內(nèi),必須為本項目成立等級保護測評項目部,安排包括項目經(jīng)理和各測評實施小組進場調(diào)研、測評工作;
(5) 在采購人進行整改過程中提供必要的技術支持。
2.項目管理要求
(1) 組織實施要求
1) 供應商應安排專職項目經(jīng)理負責本次項目的實施。
2) 供應商應保證項目團隊成員的穩(wěn)定,以保證服務的質量和連貫性。
(2) 人員安排要求
本項目的技術服務人員需具有信息安全服務工作經(jīng)驗,參加過網(wǎng)絡安全等級保護測評項目并取得信息安全方面資質證書,提供人員管理及配備方案,并確保人員的穩(wěn)定。如更換技術服務人員,須由采購人同意并簽字確認。
3.保密要求
成交供應商須保證對本項目實施中所獲得任何資料和信息嚴格保密,并與南昌市第一醫(yī)院簽訂保密責任書。
注:以上服務標準和要求為必須滿足項,否則作無效響應處理。
四.報名要求及報名需提供的相關材料:
1.具有獨立承擔民事責任能力的法人;
2.有依法繳納稅收的良好記錄;
3.近三年內(nèi),在經(jīng)營活動中沒有重大違法記錄;
4.信用中國查詢結果截圖打印,加蓋單位公章;
5.法定代表人身份證明書或法人授權委托書,加蓋單位公章。
6.供應商需提供中國政府采購網(wǎng)政府采購嚴重違法失信行為記錄名單查詢結果截圖打印,加蓋單位公章。
7.項目詳細內(nèi)容及服務要求響應文件
報名結束后將對報名單位資質進行綜合審查,通過資格審核合格后,方可進行調(diào)研。
五.市場調(diào)研時需提供的相關材料:
1.以上第四項報名需要的所有資料(為方便審核,請把報價表附在標書第一頁,其他報名材料按順序依次附在報價表之后。)需要加蓋單位公章
2.根據(jù)服務需求提供基本實施方案、工作思路等
3.該服務售后聯(lián)系方式及售后服務承諾;
市場調(diào)研時談判文件要求一正三副,密封。談判現(xiàn)場須有技術工程師代表在場。
六.報名時間:2024年9月2日至2024年9月6日17:00止,過期不予受理。
七.咨詢(報名)地點:南昌市第一醫(yī)院信息科(門診南十樓)
八.談判時間:另行通知
九.聯(lián)系電話:0791-88862221(胡老師)
掃碼查看服務號
(預約掛號、在線繳費、查閱報告)
掃碼查看訂閱號
(醫(yī)院動態(tài)、靠譜科普)
東湖院區(qū):
南昌市東湖區(qū)象山北路128號
0791-88862216
青山湖院區(qū):
南昌市青山南路739號
0791-88676739
紅谷灘健康管理中心:
南昌市紅谷灘新區(qū)綠茵路800號
0791-83872070
88862328
九龍湖院區(qū):
南昌市紅谷灘區(qū)九龍湖街辦鷹潭街777號(鷹潭街地鐵站2號口旁)
18720053781
Copyrights ? 2015 南昌市第一醫(yī)院 版權所有
備案號:贛ICP備09010013號-1
(洪衛(wèi)網(wǎng)審 [2015] 第 16 號)
贛公網(wǎng)安備 36010202000257號