周口市中醫(yī)院2023年網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目 招標(biāo)公告
周口市中醫(yī)院2023年網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目,將采用院內(nèi)競(jìng)談方式進(jìn)行招標(biāo),歡迎符合條件的供應(yīng)商前來參加。
一、項(xiàng)目基本情況
1.項(xiàng)目編號(hào):202300059
2.項(xiàng)目名稱:周口市中醫(yī)院2023年網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目
3.采購(gòu)方式:院內(nèi)競(jìng)談
4.采購(gòu)內(nèi)容:(詳情見招標(biāo)文件,招標(biāo)文件報(bào)名時(shí)領(lǐng)取)
5.預(yù)算金額:29萬(wàn)元
6.質(zhì)量要求:符合國(guó)家或行業(yè)現(xiàn)行標(biāo)準(zhǔn)規(guī)定
7.服務(wù)要求:1年
二、投標(biāo)人資格要求
1.具有稅務(wù)登記證、營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼或三證合一的營(yíng)業(yè)執(zhí)照
2.擬任委托代理人必須為本單位人員,需提供勞動(dòng)合同
3.具備公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》
4.具有河南省網(wǎng)絡(luò)與數(shù)據(jù)安全工程研究中心頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全評(píng)估體系建設(shè)技術(shù)支撐單位
三、報(bào)名時(shí)需攜帶材料
1.稅務(wù)登記證、營(yíng)業(yè)執(zhí)照、組織機(jī)構(gòu)代碼或三證合一的營(yíng)業(yè)執(zhí)照
2.法人授權(quán)書及法人、被授權(quán)人身份證復(fù)印件及勞動(dòng)合同
3.公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》
4.具有河南省網(wǎng)絡(luò)與數(shù)據(jù)安全工程研究中心頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全評(píng)估體系建設(shè)技術(shù)支撐單位
5.失信被執(zhí)行人、重大稅收違法失信主體、政府采購(gòu)嚴(yán)重違法失信行為記錄名單查詢記錄(“信用中國(guó)”及“中國(guó)政府采購(gòu)網(wǎng)”查詢記錄);
注:以上資料缺一不可,提交時(shí)需攜帶原件及加蓋紅章的復(fù)印件,只攜帶復(fù)印件的不予受理。
四、投標(biāo)保證金
1.各投標(biāo)單位于報(bào)名時(shí)需繳納投標(biāo)保證金6000元,中標(biāo)單位將投標(biāo)保證金轉(zhuǎn)為履約保證金,不中標(biāo)單位無(wú)息退回。
2.凡報(bào)名成功的供應(yīng)商無(wú)故不來參與投標(biāo)的,不退還投標(biāo)保證金。
3.投標(biāo)保證金請(qǐng)以貴公司對(duì)公賬戶存入我院賬戶,不能以個(gè)人名義存入。
請(qǐng)將投標(biāo)保證金存入我院以下賬戶:
賬戶名:周口市中醫(yī)院
開戶行:中原銀行周口荷花支行
賬號(hào):01500060104015000412
轉(zhuǎn)賬時(shí)請(qǐng)?jiān)谟猛疽粰跇?biāo)明項(xiàng)目名稱
五、報(bào)名時(shí)間及地點(diǎn):
1.報(bào)名時(shí)間:2023年10月16日-2023年10月20日(上午8:30-11:30下午15:00 -17:00節(jié)假日除外)
2.報(bào)名地點(diǎn):周口市中醫(yī)院行政樓(6號(hào)樓)三樓招標(biāo)辦
聯(lián)系人:徐老師電話:0394—8282792
六、具體開標(biāo)、評(píng)標(biāo)時(shí)間及地點(diǎn):另行通知
七、發(fā)布公告媒體
1.本次招標(biāo)公告僅在《周口市中醫(yī)院官網(wǎng)》上發(fā)布,其他網(wǎng)站轉(zhuǎn)載采購(gòu)人不承擔(dān)任何責(zé)任
2.項(xiàng)目公告時(shí)間:2023年10月16日-2023年10月20日(上午8:30-11:30下午15:00 -17:00節(jié)假日除外)
八、項(xiàng)目要求
1.項(xiàng)目背景
為認(rèn)真貫徹和落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》、《貫徹落實(shí)網(wǎng)絡(luò)安全等級(jí)保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的知道意見》公安網(wǎng)[2020]1960、《中華人民共和國(guó)數(shù)據(jù)安全法》、中央27號(hào)文件《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、國(guó)務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》文件要求,切實(shí)提高周口市中醫(yī)院信息系統(tǒng)安全保護(hù)能力和信息安全管理水平,我院擇優(yōu)選取具有級(jí)測(cè)評(píng)資質(zhì)的第三方安全等級(jí)測(cè)評(píng)公司,按照國(guó)家相關(guān)要求開展信息安全等級(jí)保護(hù)測(cè)評(píng),依據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南【GB/T 25058-2019】、信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南【GB/T 22240-2020】、信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求【GB/T 22239-2019】等相關(guān)文件要求,對(duì)本單位系統(tǒng)進(jìn)行全面的安全等級(jí)測(cè)評(píng)并協(xié)助完成整改工作,為全面提升周口市中醫(yī)院信息系統(tǒng)的安全保障能力和防護(hù)水平
2.項(xiàng)目服務(wù)范圍
本次安全等級(jí)測(cè)評(píng)項(xiàng)目涉及以下信息系統(tǒng):
序號(hào) | 信息系統(tǒng)名稱 | 測(cè)評(píng)內(nèi)容描述 | 系統(tǒng)擬定級(jí)別 |
1 | HIS系統(tǒng) | 涉及的系統(tǒng)軟硬件、網(wǎng)絡(luò)、邊界安全防護(hù)、計(jì)算環(huán)境、管理制度等 | 第三級(jí) |
2 | EMR系統(tǒng) | 第三級(jí) | |
3 | LIS及輸血系統(tǒng) | 第三級(jí) | |
4 | PACS系統(tǒng) | 第三級(jí) | |
5 | 一體化信息集成平臺(tái) | 第三級(jí) | |
6 | 手術(shù)麻醉系統(tǒng) | 第三級(jí) | |
7 | 臨床重癥管理系統(tǒng) | 第三級(jí) | |
8 | 體檢系統(tǒng) | 第三級(jí) | |
9 | 康復(fù)管理系統(tǒng) | 二級(jí) | |
10 | HERP系統(tǒng) | 二級(jí) | |
11 | 網(wǎng)絡(luò)心電系統(tǒng) | 二級(jí) | |
12 | 院感系統(tǒng) | 二級(jí) | |
13 | 傳染病管理系統(tǒng) | 二級(jí) | |
14 | 隨訪管理系統(tǒng) | 二級(jí) | |
15 | 綜合預(yù)約系統(tǒng) | 二級(jí) | |
16 | 消毒追溯供應(yīng)系統(tǒng) | 二級(jí) | |
17 | 血透系統(tǒng) | 二級(jí) | |
18 | 醫(yī)保質(zhì)控系統(tǒng) | 二級(jí) |
對(duì)招標(biāo)的信息系統(tǒng)按照等級(jí)保護(hù)級(jí)別2.0標(biāo)準(zhǔn),進(jìn)行網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng),發(fā)現(xiàn)可能存在的問題,并提出可行性整改方案,出具公安部門認(rèn)定的測(cè)評(píng)報(bào)告,協(xié)助完成備案工作。
3.項(xiàng)目整體要求
對(duì)采購(gòu)清單信息系統(tǒng)按照等級(jí)保護(hù)三級(jí)標(biāo)準(zhǔn)進(jìn)行安全測(cè)評(píng)工作,發(fā)現(xiàn)可能存在的問題,并提出可行性整改方案,出具公安部門認(rèn)定的網(wǎng)絡(luò)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告,協(xié)助醫(yī)院完成整改方案中的整改,以達(dá)到等級(jí)保護(hù)相關(guān)文件的要求,確保完成信息系統(tǒng)安全保護(hù)等級(jí)備案工作,并按單位要求在公安部門取得備案證明。
3.1在安全等級(jí)測(cè)評(píng)過程中,每個(gè)工作階段、流程、內(nèi)容、及成果交付嚴(yán)格遵循《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019)和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》(GB/T28449-2018)文件的要求,根據(jù)本項(xiàng)目信息系統(tǒng)情況協(xié)助完成信息系統(tǒng)定級(jí)備案工作,并開展相應(yīng)級(jí)別的安全等級(jí)測(cè)評(píng)工作,測(cè)評(píng)結(jié)果需得到招標(biāo)人的確認(rèn),測(cè)評(píng)報(bào)告的編制嚴(yán)格遵照《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》(最新模版)。
3.2針對(duì)測(cè)評(píng)中不足提出改進(jìn)建議并協(xié)助我單位進(jìn)行改進(jìn)以達(dá)到相關(guān)標(biāo)準(zhǔn)要求。不得非授權(quán)占有、使用我單位測(cè)評(píng)相關(guān)資料及數(shù)據(jù)文件。
3.3實(shí)施人員要求:符合《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)管理辦法》對(duì)測(cè)評(píng)機(jī)構(gòu)和測(cè)評(píng)人員的要求,由公安部信息安全等級(jí)保護(hù)評(píng)估中心或中關(guān)村信息安全測(cè)評(píng)聯(lián)盟頒發(fā)的信息安全等級(jí)測(cè)評(píng)師證書。
4.需遵循的政策法規(guī)及規(guī)范
? 《中華人民共和國(guó)網(wǎng)絡(luò)安全法》
?《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào));
?《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見》(公信安[2009]1429號(hào));
?《網(wǎng)絡(luò)安全等級(jí)保護(hù)實(shí)施指南》(GB/T 25058-2020);
?《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》(GB/T 22240-2020);
?《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019);
?《網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019);
?《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GB/T28448-2019);
?《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》(GB/T28449-2018);
? 《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》;
? 《衛(wèi)生部關(guān)于衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》;
? 《河南省醫(yī)院信息化建設(shè)指南》。
包括但不限于以上法律規(guī)范。
5.項(xiàng)目實(shí)施內(nèi)容要求
5.1測(cè)評(píng)內(nèi)容
測(cè)評(píng)內(nèi)容主要包括兩個(gè)方面:一是單元測(cè)評(píng),測(cè)評(píng)指標(biāo)與GB/T2239-2019相應(yīng)等級(jí)的基本要求完全一致;二是系統(tǒng)整體測(cè)評(píng),主要測(cè)評(píng)分析信息系統(tǒng)的整體安全性。
單元測(cè)評(píng)包括安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大部分,其中安全技術(shù)測(cè)評(píng)層面主要包含:安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。安全管理測(cè)評(píng)層面主要包含:安全管理制度、安全管理人員、安全管理機(jī)構(gòu)、安全建設(shè)管理、安全運(yùn)維管理。
整體測(cè)評(píng)在單元測(cè)評(píng)的基礎(chǔ)上進(jìn)行進(jìn)一步測(cè)評(píng)分析,在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測(cè)評(píng)以及系統(tǒng)結(jié)構(gòu)的安全測(cè)評(píng)等。
(1)安全物理環(huán)境
主要包含物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)10個(gè)方面的內(nèi)容。
(2)安全通信網(wǎng)絡(luò)
主要包含網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證3方面的內(nèi)容。
(3)安全區(qū)域邊界
主要包含邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證等6個(gè)方面的內(nèi)容。
(4)安全計(jì)算環(huán)境
主要包含身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)11方面的內(nèi)容。
(5)安全管理中心
主要包含系統(tǒng)管理、審計(jì)管理、安全管理、集中管控4個(gè)方面的內(nèi)容。
(6)安全管理制度
安全管理制度測(cè)評(píng)主要涉及安全策略、管理制度、制定和發(fā)布、評(píng)審和修訂4個(gè)方面的安全保護(hù)能力。
(7)安全管理人員
主要包含人員錄用、人員離崗、安全意識(shí)教育和培訓(xùn)、外部人員訪問管理4個(gè)方面的內(nèi)容。
(8)安全管理機(jī)構(gòu)
主要包含崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查5個(gè)方面的內(nèi)容。
(9)安全建設(shè)管理
主要包含定級(jí)和備案、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、等級(jí)測(cè)評(píng)、服務(wù)供應(yīng)商選擇10個(gè)方面的內(nèi)容。
(10)安全運(yùn)維管理
主要包含環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理14個(gè)方面的內(nèi)容。
系統(tǒng)整體測(cè)評(píng)涉及到信息系統(tǒng)的整體拓?fù)洹⒕植拷Y(jié)構(gòu),也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置,與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān),內(nèi)容復(fù)雜且充滿系統(tǒng)個(gè)性。因此,全面地給出系統(tǒng)整體測(cè)評(píng)要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。測(cè)評(píng)人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況,結(jié)合本標(biāo)準(zhǔn)要求,確定系統(tǒng)整體測(cè)評(píng)的具體內(nèi)容,在安全控制測(cè)評(píng)的基礎(chǔ)上,重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系,測(cè)評(píng)安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。
5.2項(xiàng)目交付成果
項(xiàng)目階段各階段的測(cè)評(píng)過程文檔(參照《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》)編制。相見下表(包括但不限于)
項(xiàng)目階段 | 交付成果 |
測(cè)評(píng)準(zhǔn)備活動(dòng) | 項(xiàng)目計(jì)劃書 被測(cè)系統(tǒng)基本情況調(diào)查表 |
方案編制活動(dòng) | 測(cè)評(píng)指導(dǎo)書 信息系統(tǒng)安全測(cè)評(píng)方案 |
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng) | 測(cè)評(píng)結(jié)果記錄 測(cè)評(píng)中發(fā)現(xiàn)的問題匯總 |
分析與報(bào)告編制活動(dòng) | 單項(xiàng)測(cè)評(píng)結(jié)果匯總分析 整體測(cè)評(píng)結(jié)果匯總分析 風(fēng)險(xiǎn)分析和評(píng)估 等級(jí)測(cè)評(píng)結(jié)論 網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告 |
6.整改建議要求
依據(jù)信息系統(tǒng)安全等級(jí)測(cè)評(píng)的相關(guān)報(bào)告,編制并提交相關(guān)的信息安全整改建議方案,并全程協(xié)助完成整改工作。
1)具體要求
依照《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見》(公信安[2009]1429號(hào)),嚴(yán)格遵循《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)各項(xiàng)要求,在系統(tǒng)測(cè)評(píng)工作的基礎(chǔ)上,對(duì)信息系統(tǒng)總體信息安全管理和技術(shù)方面現(xiàn)狀進(jìn)行全面的分析,制訂信息安全等級(jí)保護(hù)安全建設(shè)整改方案,方案內(nèi)容包含但不限于:信息安全背景、政策與技術(shù)標(biāo)準(zhǔn)依據(jù)、當(dāng)前風(fēng)險(xiǎn)分析、安全需求分析、總體安全策略、安全建設(shè)整改技術(shù)方案設(shè)計(jì)、安全建設(shè)整改管理體系設(shè)計(jì)、信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)建議、安全建設(shè)整改項(xiàng)目實(shí)施計(jì)劃、項(xiàng)目預(yù)算,整改后可能存在的其他問題。
2)工作過程文件及項(xiàng)目交付成果(包括但不限于)
安全等級(jí)測(cè)評(píng)整改技術(shù)方案,方案可根據(jù)整改和規(guī)劃內(nèi)容的重要性和復(fù)雜程度采用分冊(cè)方式編寫。
7.項(xiàng)目成果
7.1《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告》
7.2《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)整改建議》
周口市中醫(yī)院招標(biāo)辦
2023年10月13日
