招标
秦皇岛市妇幼保健院选购通告(秦妇院采2024120)
金额
1万元
项目地址
河北省
发布时间
2024/09/19
公告摘要
公告正文
秦皇岛市妇幼保健院选购通告 (秦妇院采2024120)
秦皇岛市妇幼保健院选购通告
(秦妇院采2024120)
各供应商:
我院拟对信息系统等级保护测评进行选购论证。欢迎有意参与的供应商,尽快到我院采购办报名并提交相关资质。
预算:1年 20万元
参数要求:
信息系统等级保护测评参数要求
一、项目概况
2019年12月1日起,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)正式实施,要求本次等级保护测评按照等保2.0标准实施。本次信息系统安全等级保护测评主要针对被测信息系统安全保障体系等各个环节做一次全面的评测分析。通过评测,不仅进一步明确定级、备案、安全建设、等级测评、监督检查等规定动作,最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施,分析定位信息系统安全风险和薄弱环节,制定信息系统安全风险管理策略,健全信息安全管理和保障体系,完善规章制度和操作流程。被测信息系统根据上级主管部门要求和参照相关行业标准,明确等级、增强保护、常态监督,经专家评审确定信息系统保护等级,具体如下:
二、测评目的
本招标的宗旨在于通过对被测信息系统物理环境、网络设备、服务器群以及应用软件系统实施等级保护测评,明确该系统的安全建设现状,找出存在的安全风险,分析安全建设差距,提出安全整改建议,并以此为基础,进一步制定安全建设整改方案,完善保护措施,使该信息系统满足我国关于等级保护相应级别的具体要求,增加信息系统安全的规范性和有效性,提高招标人的安全意识,增强网络的抗攻击的能力,保证被测系统正常运转。
三、测评内容
1、信息系统备案
协助招标人按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)文件要求完成定级、备案材料的整理及在公安机关相关部门备案工作。
2、初次测评
检查招标人的被测系统现状,参照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)从物理环境、通信网络、区域边界、计算环境、安全管理中心和安全管理等层面进行差距分析,依据《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019),对系统进行初次安全评估。
测评内容:
安全物理环境:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。
安全通信网络:包括网络架构、通信传输、可信验证等内容。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心:包括系统管理、审计管理、安全管理、集中管理等内容。
安全管理测评:涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
3、信息系统等保整改方案及建议
通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。
4、二次测评
此阶段是等级测评完整实施阶段,通过对整改后的系统进行分析和梳理,再次实施等级测评,记录访谈检查结果,进行综合分析,梳理安全风险,提出安全整改建议,测评结束后,按照《信息系统安全等级测评报告模版》(最新版)编写等级测评报告。
测评内容:
安全物理环境:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。
安全通信网络:包括网络架构、通信传输、可信验证等内容。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心:包括系统管理、审计管理、安全管理、集中管理等内容。
安全管理测评:涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
四、测评对象
本系统测评的测评范围及对象包括以下几类:
1、主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象。
2、办公场地。
3、整个系统的网络拓扑结构。
4、安全设备,包括防火墙、入侵检测设备和防病毒网关等。
5、边界网络设(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等。
6、对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等。
7、存储被测系统重要数据的介质的存放环境。
8、承载被测系统主要业务或数据的服务器(包括操作系统和数据库)。
9、管理终端和主要业务应用系统终端。
10、对新建信息系统及关联信息系统。
11、业务备份系统。
12、管理方面:信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人。
13、产品方面:信息系统使用、运行的第三方软件产品。
14、涉及到信息系统安全的所有管理制度设计和记录要求。
五、测评应遵循的标准和原则
本次测评应满足“一个中心,三重防护”的思想,强调事前预防,事中响应,事后审计。安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
1、保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
2、规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
3、可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
4、整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
5、最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。
6、非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供技术保障方案,切实保证关键系统能正常工作。
投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。
六、交付物
工作计划、流程、内容、及成果交付,严格遵循相关文件,根据实际情况,开展信息系统的等级测评,测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》(2021年版)撰写。
项目实施验收前应提交真实可靠、客观公正的系统测评文档,文档应包括但不限于以下内容:
(1)测评方案;
(2)安全建设整改建议;
(3)等级测评报告;
(4)公安相关部门出具的信息系统安全等级保护备案证明。
七、安全意识和技能培训
针对技术人员、管理层提供不同类型的信息安全培训,培训内容包括但不限于网络安全基础知识、等保测评知识交流、网络安全法知识普及、安全常识培训、安全意识培训等。
八、咨询服务
提供信息系统的安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展内部网络与信息安全检查工作。
九、项目完成期限
合同签订之日期60天内。
十、售后服务支持
1、售后服务机构及服务团队构成:项目服务团队至少配备4名测评工程师,其中高级测评师不少于1名,中级测评工程师不少于1名,初级测评师不少于2名,均需持证上岗。
2、提供免费售后服务期限:自合同签订之日起一年。
3、投标人应自完成规定的工作内容并通过验收后起,免费为招标人提供为期一年的咨询服务,7×24小时电话远程应急响应。
十一、项目验收
招标人将依据本项目的要求,组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。
资质要求:
加盖公司鲜章的资质证明文件;产品资质、产品授权、法人授权书、代理人近三个月社保证明;代理人、法人身份证复印件。
报名方式:
各报名供应商需将以上报名材料电子版扫描至PDF文件中,并将下列《报名表》填写完整后存入WORD文档中,同时发送至qhdfycgb@163.com邮箱,现场及邮寄报名不予以接收。
信息系统等级保护测评报名表
联 系 人:采购办 郭鸿廷
联系电话:03353921307
报名截止时间:2024年9月25日
采购办
2024年9月19日
秦皇岛市妇幼保健院选购通告
(秦妇院采2024120)
各供应商:
我院拟对信息系统等级保护测评进行选购论证。欢迎有意参与的供应商,尽快到我院采购办报名并提交相关资质。
预算:1年 20万元
参数要求:
信息系统等级保护测评参数要求
一、项目概况
2019年12月1日起,《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)和《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)正式实施,要求本次等级保护测评按照等保2.0标准实施。本次信息系统安全等级保护测评主要针对被测信息系统安全保障体系等各个环节做一次全面的评测分析。通过评测,不仅进一步明确定级、备案、安全建设、等级测评、监督检查等规定动作,最主要的是把安全检测、通报预警、案事件调查等措施都将全部纳入等级保护制度并加以实施,分析定位信息系统安全风险和薄弱环节,制定信息系统安全风险管理策略,健全信息安全管理和保障体系,完善规章制度和操作流程。被测信息系统根据上级主管部门要求和参照相关行业标准,明确等级、增强保护、常态监督,经专家评审确定信息系统保护等级,具体如下:
| 序号 | 系统名称 | 等级 |
| 1 | HIS系统 | 三级 |
| 2 | LIS系统 | 三级 |
| 3 | PACS系统 | 三级 |
| 4 | EMR系统 | 三级 |
| 5 | 互联网医院系统 | 三级 |
| 6 | 网站 | 二级 |
二、测评目的
本招标的宗旨在于通过对被测信息系统物理环境、网络设备、服务器群以及应用软件系统实施等级保护测评,明确该系统的安全建设现状,找出存在的安全风险,分析安全建设差距,提出安全整改建议,并以此为基础,进一步制定安全建设整改方案,完善保护措施,使该信息系统满足我国关于等级保护相应级别的具体要求,增加信息系统安全的规范性和有效性,提高招标人的安全意识,增强网络的抗攻击的能力,保证被测系统正常运转。
三、测评内容
1、信息系统备案
协助招标人按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)文件要求完成定级、备案材料的整理及在公安机关相关部门备案工作。
2、初次测评
检查招标人的被测系统现状,参照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)从物理环境、通信网络、区域边界、计算环境、安全管理中心和安全管理等层面进行差距分析,依据《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019),对系统进行初次安全评估。
测评内容:
安全物理环境:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。
安全通信网络:包括网络架构、通信传输、可信验证等内容。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心:包括系统管理、审计管理、安全管理、集中管理等内容。
安全管理测评:涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
3、信息系统等保整改方案及建议
通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。
4、二次测评
此阶段是等级测评完整实施阶段,通过对整改后的系统进行分析和梳理,再次实施等级测评,记录访谈检查结果,进行综合分析,梳理安全风险,提出安全整改建议,测评结束后,按照《信息系统安全等级测评报告模版》(最新版)编写等级测评报告。
测评内容:
安全物理环境:包括位置、访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电磁防护等内容。
安全通信网络:包括网络架构、通信传输、可信验证等内容。
安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心:包括系统管理、审计管理、安全管理、集中管理等内容。
安全管理测评:涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
四、测评对象
本系统测评的测评范围及对象包括以下几类:
1、主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象。
2、办公场地。
3、整个系统的网络拓扑结构。
4、安全设备,包括防火墙、入侵检测设备和防病毒网关等。
5、边界网络设(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等。
6、对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等。
7、存储被测系统重要数据的介质的存放环境。
8、承载被测系统主要业务或数据的服务器(包括操作系统和数据库)。
9、管理终端和主要业务应用系统终端。
10、对新建信息系统及关联信息系统。
11、业务备份系统。
12、管理方面:信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人。
13、产品方面:信息系统使用、运行的第三方软件产品。
14、涉及到信息系统安全的所有管理制度设计和记录要求。
五、测评应遵循的标准和原则
本次测评应满足“一个中心,三重防护”的思想,强调事前预防,事中响应,事后审计。安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
1、保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
2、规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
3、可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
4、整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
5、最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。
6、非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供技术保障方案,切实保证关键系统能正常工作。
投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。
六、交付物
工作计划、流程、内容、及成果交付,严格遵循相关文件,根据实际情况,开展信息系统的等级测评,测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》(2021年版)撰写。
项目实施验收前应提交真实可靠、客观公正的系统测评文档,文档应包括但不限于以下内容:
(1)测评方案;
(2)安全建设整改建议;
(3)等级测评报告;
(4)公安相关部门出具的信息系统安全等级保护备案证明。
七、安全意识和技能培训
针对技术人员、管理层提供不同类型的信息安全培训,培训内容包括但不限于网络安全基础知识、等保测评知识交流、网络安全法知识普及、安全常识培训、安全意识培训等。
八、咨询服务
提供信息系统的安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展内部网络与信息安全检查工作。
九、项目完成期限
合同签订之日期60天内。
十、售后服务支持
1、售后服务机构及服务团队构成:项目服务团队至少配备4名测评工程师,其中高级测评师不少于1名,中级测评工程师不少于1名,初级测评师不少于2名,均需持证上岗。
2、提供免费售后服务期限:自合同签订之日起一年。
3、投标人应自完成规定的工作内容并通过验收后起,免费为招标人提供为期一年的咨询服务,7×24小时电话远程应急响应。
十一、项目验收
招标人将依据本项目的要求,组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。
资质要求:
加盖公司鲜章的资质证明文件;产品资质、产品授权、法人授权书、代理人近三个月社保证明;代理人、法人身份证复印件。
报名方式:
各报名供应商需将以上报名材料电子版扫描至PDF文件中,并将下列《报名表》填写完整后存入WORD文档中,同时发送至qhdfycgb@163.com邮箱,现场及邮寄报名不予以接收。
信息系统等级保护测评报名表
| 供应商名称 | 产地 | 品牌 | 联系人 | 联系电话 | 邮箱 |
联 系 人:采购办 郭鸿廷
联系电话:03353921307
报名截止时间:2024年9月25日
采购办
2024年9月19日
解决方案
联系我们
返回顶部