中标
市卫生健康委员会全民健康信息平台等保测评项目竞价结果成交公告
全民健康信息平台等保测评信息技术服务网络安全等级保护测评信息系统等级保护测评安全计算环境身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全管理中心系统管理审计管理集中管控安全管理制度安全策略安全管理机构测评岗位设置人员配备授权与审批沟通和合作审核和检查安全管理测评安全建设管理测试验收系统交付等级测评服务安全运维系统运维管理信息系统运行维护环境管理资产管理介质管理设备维护管理网络和系统安全管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理外包运维管理技术咨询服务信息系统安全等级保护测评阶段性文档提交信息安全等级保护测评信息安全测评关键业务系统优化扫描分类扫描针对扫描对象细化扫描数据库主机网络与系统
金额
7.44万元
项目地址
湖北省
发布时间
2022/06/23
公告摘要
公告正文
市卫生健康委员会全民健康信息平台等保测评项目竞价结果成交公告
市卫生健康委员会全民健康信息平台等保测评项目竞价结果成交公告
发布时间2022-06-23
项目编号: | JJ2022061610532 | 项目名称: | 全民健康信息平台等保测评项目 |
采购品目: | 信息技术服务 | 项目预算(元): | 80,000.00 |
采购单位名称: | 市卫生健康委员会 | 采购单位地址: | 荆州市荆州区荆东路18号 |
采购单位联系人: | 朱尚君 | 采购单位联系电话: | 0716-4163821 |
是否专门面向中小微企业 | 否 | 计划明细编号: | 荆采计备[2022]XY00597号-001 |
采购需求说明: |
查看
|
采购需求附件: |
|
成交供应商名称: | 武汉明嘉信技术有限公司 | 供应商地址: | 武汉市武昌区武汉大道30号徐家棚匠心城607室 |
供应商联系人: | 魏昵 | 联系人手机号: | 15927178107 |
成交报价: | 74,400.00元 |
竞价结果排序:
竞价排名 | 供应商名称 | 总报价金额(元) | 成交状态 |
---|---|---|---|
第1名 | 武汉明嘉信技术有限公司 | 74,400 | 中标 |
第2名 | 武汉等保测评有限公司 | 75,200 | 未中标 |
第3名 | 武汉安域信息安全技术有限公司 | 76,000 | 未中标 |
说明:若报价相同,则系统默认先报价的供应商为中标供应商
荆州市卫生健康委员会
“全民健康信息平台”网络安全等级保护测评
项目采购需求
一、投标人资格要求
(一)资格要求:投标人参加本次政府采购活动应具备下列条件:
1、符合《中华人民共和国政府采购法》第二十二条的相关规定:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必需的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录;
(6)法律、行政法规规定的其他条件。
2、单位负责人为同一人或者存在直接控股、管理关系的不同投标人,不得参
加本项目同一合同项下的政府采购活动;
3、为本采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的,
不得再参加本项目的其他招标采购活动。
(二)本项目规定的特定条件:
1、湖北省内投标人须提供公安部第三研究所认证发放的《网络安全等级评
测与检测评估服务认证证书》,省外具备等保测评资质的机构应提供湖北省
网络安全等级保护工作协调小组办公室颁发的《等级测评机构异地测评项目备
案表》;
2、潜在投标人应未被列入“信用中国”网站(www.creditchina.gov.cn)、
“中国政府采购网”网站(www.ccgp.gov.cn)失信被执行人名单、重大税
收违法案件当事人名单、政府采购严重违法失信行为记录名单中。
3、本项目不接受联合体参与投标。
4、供应商派驻现场测评师中有高级测评师或注册信息系统安全专业人员
(CISP或CISSP)。
二、项目采购要求
(一)项目概述
根据国家和公安部门关于信息安全等级保护相关要求,需要对荆州市卫生健
康委员会的相关信息系统开展信息系统等级保护测评工作,以指导安全整改,提
高信息系统的安全防护能力。
(二)项目目标及范围
按照《GBT22239-2019网络安全等级保护基本要求》和《GB/T28448-2019网
络安全等级保护测评要求》等标准规范要求,对待测评的信息系统进行安全现状
调研,通过现场测评发现安全问题,提出安全整改建议,待整改完成后实施安全复
测,并针对每个信息系统分别出具《信息系统等级测评报告》,确保测评报告符
合公安等主管部门等相关要求,通过公安机关备案手续。
序号 | 信息系统名称 | 定级 |
1 | 全民健康信息平台 | 三级 |
(三)具体实施要求
1、项目定级备案:投标方应梳理现有的信息系统,严格按照《信息安全技
术信息系统安全保护等级定级指南》的要求,对信息系统的级别进行划定。完成
信息系统定级报告及定级材料的准备、整理,指导用户方完成信息系统去公安机
关的备案工作。
2、项目等级测评内容:根据国家等级保护相关标准《GBT22239-2019网络
安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下内容:
(1)安全物理环境物理安全测评是对信息系统的机房和办公场所的物理位
置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温
湿度控制、电力供应、电磁防护等方面的安全状况。
(2)安全通信网络
网络安全测评是对信息系统的网络系统安全防护情况进行测评,包括网络结
构安全、网络访问控制、网络安全审计、网络边界完整性测评、网络入侵防范、
网络恶意代码防范、网络设备防护等方面的安全状况。
(3)安全区域边界
安全区域边界是对信息系统的边界防护、访问控制、入侵防范、恶意代码和
垃圾邮件防范、安全审计、可信验证等方面的安全状况。
(4)安全计算环境
安全计算环境是对信息系统的身份鉴别、访问控制、安全审计、入侵防范、
恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保
护、个人信息保护等方面的安全状况。
(5)安全管理中心
安全管理中心是对信息系统的系统管理、审计管理、安全管理、集中管控进
行测评。
(6)安全管理制度
安全管理制度测评是对信息系统的安全策略、管理制度、制定和发布、评审
和修订等情况进行测评。
(7)安全管理机构
安全管理机构测评是对信息系统的岗位设置、人员配备、授权与审批、沟通
和合作、审核和检查等情况进行测评。
(8)安全管理人员
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗安全意
识教育和培训、外部人员访问管理等情况进行测评。
(9)安全建设管理
系统建设管理测评是对信息系统建设过程中的、测试验收、系统交付、等级
测评服务供应商管理等情况进行测评。
(10)安全运维管理
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介
质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管
理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案
管理、外包运维管理等情况进行测评。
3、形成差距分析报告:依据测评结果,对等级测评结果进行汇总统计(测
评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对
信息系统基本安全保护状态的分析给出差距测评结论,根据测评结果制定《测评
差距分析报告》。
4、完成整改工作:依据整改方案,为系统安全整改的各项工作提供技术咨询服
务,并协助制定整改计划和确定网络安全整改标准和整改结果达标确认。
三、服务要求
(一)标准和规范
《中华人民共和国网络安全法》
《GBT22240—2020信息安全技术网络安全等级保护定级指南》
《GBT22239-2019网络安全等级保护基本要求》
《GB/T25070-2019网络安全等级保护设计技术要求》
《GB/T28448-2019网络安全等级保护测评要求》
《GB17859-1999计算机信息系统安全等级保护划分准则》
《GBT20269—2006信息安全技术信息系统安全管理要求》
《GBT20271—2006信息安全技术信息系统安全通用技术要求》
《GBT20272—2006信息安全技术操作系统安全技术要求》
(二)测评实施原则
本项目实施方案设计与具体实施必须满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任
何单位和个人,不得利用此数据进行任何侵害招标方的行为。
标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相
关标准进行。
规范性原则:投标方的工作中的过程和文档,具有很好的规范性,可以便于
项目的跟踪和控制。
可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;
测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求
涉及的各个层面。
(三)整体要求
1、供应商应详细描述本次信息系统安全等级保护测评的整体实施方案,包
括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、
阶段性文档提交等。
2、供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应
配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
3、供应商应详细描述测评人员的组成、资质及各自职责的划分,参与测评
人员不少于5人,派驻现场的测评师必须持有测评师资质,项目经理须持有注册
信息系统安全专业人员证书(CISP或CISSP)。
4、本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由
投标人推荐,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。
5、信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由
招标人提供,供应商应详细描述需要的运行环境的具体要求。
(四)商务要求
1.履约地点:实施地点在荆州市卫生健康委员会,具体由采购人指定。
2.履约时间:供应商须在合同签订后,30天内完成等保测评工作(以上时间
不包含客户整改时间),出具公安机关认可的《网络安全等级保护测评报告》。
3.付款方式:采购人与成交供应商协商后在合同内签订。
(五)其他要求
1、测评风险规避要求
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全
保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评
活动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测进
行监督,对接入的检测设备进行控制。
安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,
根据被测评对象的不同采取相应的风险控制手段。不限于以下方法:
(1)操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处
理意外事件。
(2)操作时间控制对测评直接影响系统工作时,尽可能避开敏感时期。
(3)人员与数据管理
必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。
测评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有
相应的约束和控制措施,按国家有关要求做好保密工作。
(4)制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
(5)关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用
测评工具,采用访谈、测评和简单测试的方式进行。
(6)优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要
的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要
根据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
(7)数据备份与恢复
对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备
与主机的损伤影响业务系统的正常运行。
2、安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做
好安全保密工作。
A、等级保护测评前
(1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
(2)签订安全保密协议。
B、等级保护测评中
(1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与
数据、人员与管理等方面的信息进行严格的安全保密管理;
(2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损
失,工作结束后不驻留任何程序;
(3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等
威胁情况要控制知情范围;
(4)对测评设备、介质进行严格的保密管理;
(5)工作过程中对人员要实施封闭式集中管理;
(6)对进场人员遵守被测单位的相关管理规定。
C、等级保护测评后
(1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据
不被泄漏;
(2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留
任何代码或可执行程序;
(3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
3、文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理、
符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符合国
家标准规范、富有建设性和可操作性。
返回顶部