中标
蚌埠市第一人民医院信息系统网络安全等级保护测评服务
金额
-
项目地址
安徽省
发布时间
2021/03/18
公告摘要
项目编号zcgf-bbyy-2021006
预算金额25万元
招标公司蚌埠市第一人民医院
招标联系人张先生
招标代理机构安徽省志成建设工程咨询股份有限公司
代理联系人董工18130040772
中标公司-
中标联系人-
公告正文
蚌埠市第一人民医院信息系统网络安全等级保护测评服务
(招标编号:ZCGF-BBYY-2021006)
项目所在地区:安徽省,蚌埠市
一、招标条件
本蚌埠市第一人民医院信息系统网络安全等级保护测评服务已由项目审批/核准
/备案机关批准,项目资金来源为自筹资金25万元,招标人为蚌埠市第一人民医
院。本项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:蚌埠市第一人民医院重要信息系统进行网络安全等级保护测评,包
括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制
和完善安全管理制度等;项目预算25万元
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目;
三、投标人资格要求
(001蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目)的投标人资
格能力要求:1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无;
3、本项目的特定资格要求:
3.1、供应商须具有有效的营业执照,具有独立法人资格;
3.2、本项目采用资格后审,不接受联合体投标;
3.3、供应商存在以下不良信用记录情形之一的,不得推荐为成交候选供应商,
不得确定为成交供应商:
①供应商被人民法院列入失信被执行人的;
②供应商或其法定代表人或拟派项目负责人被人民检察院列入行贿犯罪档案的
③供应商被工商行政管理部门列入企业经营异常名录的;
④供应商被税务部门列入重大税收违法案件当事人名单的;
⑤供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。;
本项目不允衿联合体投标。
四、招标文件的获取
获取时间:从2021年03月19日00时00分到2021年03月28日17时00分
获取方式:详见磋商公告
五、投标文件的递交
递交截止时间:2021年03月29日09时00分
递交方式:安徽省志成建设工程咨询股份有限公司开标室。(地址:蚌埠
市蚌山区新地城市广场B5号楼1811室)纸质文件递交
六、开标时间及地点
开标时间 :2021年03月29日09时00分
开标地点 :安徽省志成建设工程咨询股份有限公司开标室。(地址:蚌埠
市蚌山区新地城市广场B5号楼1811室)
七、其他
项目概况
蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目的潜在供应商应
按磋商公告规定的方式获取竞争性磋商文件,并于2021年3月29日9点00分(北
京时间)前提交响应文件,本项目实行纸质化招标。
一、项目基本情况
1、项目编号:ZCGF-BBYY-2021006;
2、项目名称:蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目;
3、采购方式:竞争性磋商
4、资料来源:自筹资金;
5、采购需求:蚌埠市第一人民医院重要信息系统进行网络安全等级保护测评,
包括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编
制和完善安全管理制度等;
6、工期:1年;
7、本项目不接受联合体。
8、最高限价:25万元。
二、申请人的资格要求:
1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无;
3、本项目的特定资格要求:
3.1、供应商须具有有效的营业执照,具有独立法人资格;
3.2、本项目采用资格后审,不接受联合体投标;
3.3、供应商存在以下不良信用记录情形之一的,不得推荐为成交候选供应商,
不得确定为成交供应商:
①供应商被人民法院列入失信被执行人的;
②供应商或其法定代表人或拟派项目负责人被人民检察院列入行贿犯罪档案的
③供应商被工商行政管理部门列入企业经营异常名录的;
④供应商被税务部门列入重大税收违法案件当事人名单的;
⑤供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。
三、获取竞争性磋商文件
1、凡有意参加投标并符合资格要求者,按如下报名:
现场报名:请派员递交有效的法定代表人或授权委托人的身份证、授权委托书
、营业执照以及投标人认为需提供的其他资料(上述材料提供按顺序装订并加
盖单位公章的复印件),在规定时间、地点报名并购买竞争性磋商文件。
网上报名:将所有现场报名所需资料加盖公章扫描件在规定时间内发至招标代
理公司邮箱:309244231@qq.com,并在邮件中注明投标单位名称、联系人、联
系电话及邮箱;
2、竞争性磋商文件发售时间与地点:2021年3月18日-
2021年3月28日(每天08:30~17:00,北京时间,节假日除外),地点在蚌埠市
蚌山区新地城市广场B5号楼1811室。
3、竞争性磋商文件价格:500元/份,竞争性磋商文件售后不退
四、响应文件提交
1、提交响应文件截止时间:2021年3月29日9点00分(北京时间)
2、开标地点:安徽省志成建设工程咨询股份有限公司开标室。(地址:蚌埠市
蚌山区新地城市广场B5号楼1811室)
五、响应文件开启
时间:2021年3月29日9点00分(北京时间)
地点:蚌埠市蚌山区新地城市广场B5号楼1811室
六、公告期限:自本公告发布之日起5个工作日。
七、磋商保证金
1、人民币:3000元整;
2、磋商响应保证金在2021年3月26日17时30分前必须汇至安徽省志成建设工程
咨询股份有限公司账户(以到账时间为准),磋商响应保证金必须从响应供应
商银行基本账户汇入以下指定账户。
账户名:安徽省志成建设工程咨询股份有限公司
账号:499010100100631887
开户行:兴业银行合肥分行营业部
八、凡对本次采购提出询问,请按以下方式联系
1、采购单位信息
名称:蚌埠市第一人民医院
联系电话:张先生0552-4017144
地址:安徽省蚌埠市禹会区涂山路229号
2、采购代理机构信息
名称:安徽省志成建设工程咨询股份有限公司
联系电话:18130040772
地址:蚌埠市蚌山区新地城市广场B5号楼1811室
3、项目联系方式
项目联系人:董工
电话:18130040772
蚌埠市第一人民医院
安徽省志成建设工程咨询股份有限公司
2021年3月18日
八、监督部门
本招标项目的监督部门为蚌埠市第一人民医院。
九、联系方式
招标人:蚌埠市第一人民医院
地址:安徽省蚌埠市禹会区涂山路229号
联系人:张先生
电话:0552-4017144
电子邮件:80564678@qq.com
招标代理机构 :安徽省志成建设工程咨询股份有限公司
地址:蚌埠市蚌山区新地城市广场B5号楼1811室
联系人:董工
电话:18130040772
电子邮件:1536427810@qq.com
招标人或其招标代理机构主要负责人(项目负责人):
招标人或其招标代理机构:
第一章项目概况
一项目预算金额:25万元;
二、付款方式:项目测评整改报告发布,拿到备案证书付款100%;
三、维保周期:1年;
四、工期: 180天;
第二章采购需求
一、项目概况
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相
关要求,对蚌埠市第一人民医院重要信息系统进行网络安全等级保护测评,包
括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制
和完善安全管理制度等。
二、项目实施范围
本次参于网络安全等级保护测评的系统如下:
三、指导思想和基本准则
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系
统安全等级保护管理办法》(公通字〔2007〕43号)、《关于信息系统安全等
级保护工作的实施意见》(公通字〔2004〕66号)、《关于开展全国重要信息
系统安全等级保护定级工作的通知》(公信安〔2007〕861
号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(
公信安[2009]1429号)、国家发改委《关于加强国家电子政务工程建设项目信
息安全风险评估工作的通知》(发改高技[2008]2071号),以及安徽省发改委
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改
高技[2008]967号)等文件精神,按照《审计署办公厅关于地方审计机关信息系
统安全等级保护工作有关问题的通知》(审办计发[2012]105号)要求,结合蚌
埠市第一人民医院工作实际,现拟对蚌埠市第一人民医院重要信息系统实施网
络安全等级保护测评,以进一步完善信息系统安全管理体系和技术防护体系,
切实提高系统信息安全防护能力,为审计信息化建设的健康有序发展提供可靠
保障。
四、等级保护测评主要包括以下几个方面:
1)等保测评:完成包括安全物理环境、安全计算环境、安全区域边界、安
全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、
安全建设管理和安全运维管理方面的测评工作;
2)工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服
务工作;
3)整改建议:投标人应根据现场测评中发现的问题,分析与GB/T 22239-
2019、ISO/IEC27001、IS0/IEC20000、IS0
22301、ITIL和ITSS等行业最佳实践之间的差距,按照网络安全等级保护标准要
求提出安全整改建议;
4)编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具
符合标准要求的各信息系统网络安全等级保护测评报告。
5)编制和完善安全管理制度。依据《信息系统安全等级保护基本要求》
和《信息系统等级保护安全设计技术要求》,协助蚌埠市第一人民医院制订和
完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础
管理水平。
五、信息安全培训:
投标人需要为采购方提供线下、在服务期内不少于每年4次的信息安全技术
培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安
全策略、信息保密制度,信息安全管理制度和相关流程等;为了全面提升采购
方信息化人才队伍的安全意识和专业技能水平。
六、安全巡检服务
1.定期安排技术人员对蚌埠市第一人民医院被测系统信息安全状态进行检查,
对服务器、
网络设备、信息系统进行漏洞扫描,定期对被测系统进行一次渗透测试,对漏
洞危害进行分析。
定期对蚌埠市第一人民医院的信息安全设备进行巡检,对资产进行安全评估技
术检测,
检查设备运行状况是否正常,定期对安全产品进行维护,详细记录安全产品的
运行维护日志。
定期对蚌埠市第一人民医院的信息安全系统产品策略进行正确性检查,策略发
生变更时做好变更记录进行备份,并按要求对安全产品进行及时升级。
定期对蚌埠市第一人民医院的机房环境、网络设备、主机服务器和安全设备等
硬件系统进行全方位的综合风险分析,及时发现系统存在的高危安全漏洞和安
全隐患,并提出切实可行的系统加固方案。
定期对蚌埠市第一人民医院的服务器、网络设备、信息系统进行一次漏洞扫描
,对漏洞危害进行分析,提交漏洞扫描报告。
定期对蚌埠市第一人民医院的信息系统进行一次全面渗透测试,不但要在信息
系统中发现漏洞,而且还要验证漏洞,同时还要对一些未知的漏洞进行挖掘。
渗透测试必须通过真实
的用户访问环境进入系统,从而对网络到系统访问、数据调取、存储等一系列
的操作进行测试,主要用于检测外部威胁源和路径。渗透测试主要是指模拟社
会公众和内部用户对信息系统造成的危害行为,危害行为主要包括信息安全威
胁(信息泄泄露、修改、删除)和网络安全威胁(设备控管、网络扰乱或毁瘫
),本次渗透测试的主要内容:
2.1
互联网渗透测试:互联网计算机为起点,以互联网应用系统为攻击目标,要求
对应用软件能渗透获得系统数据,甚至获得系统权限,并在获得互联网系统控
制权限后,向内网进行渗透,测试互联网与内网边界隔离措施有效性。
2.2
内网渗透测试:通过模拟内部外部人员,选取内部外部测试点使用渗透测试的
方式查找内部可能存在的渗透点,发现内部防护体系的薄弱环节,找出内部可能
发生的恶意攻击事件和违规行为。
3.信息安全加固服务。
根据蚌埠市第一人民医院网络与信息系统安全方面存在的不足和缺陷,根据网
络与信息系统中不同设备的不同安全需求制定有针对性的加固服务,并在实施
安全加固之后,提供加
固服务手册和操作记录,以便后续业务系统安全策略的调整。
(1)定期需要提供但不限于以下文档:《安全加固方案》、《安全加固报告》
等。
(2)安全加固内容:至少包含网络结构优化、网络设备加固、主机系统加固、
WEB服务加固,并列出安全加固方法和基线。
(3)以表格或图表方式明确安全加固流程,至少包括流程图、责任单位和结果
文档,并列出加固过程中的风险规避措施。(4)派遣有经验的项目团队,以保
证各方面安全工作有序开展。
4.网络边界监测服务
根据蚌埠市第一人民医院的专网连接情况,分析专网边界安全,提供有效手段
能够随时监测终端计算机(windows主机、linux
主机)、网闸及交换机两网互联或脱离专网环境的情况,事件发生后能够及时
通过邮件或短信通知管理员,在最短时间内将违规事件处理,确保专网数据安
全。
(1)在无需安装客户端的情况下,通过镜像流量分析或主动探测技术自动发现
蚌埠市第一人民医院专网中终端计算机(windows主机、linux
主机)、网闸及交换机同时连接内网和互联网的违规事件,提供在外联服务器
上取证,取证信息包含外联设备内网IP、外联出口
IP,首次发现时间和最后更新时间等信息,可追溯外联前3
天内内网的应用系统访问日志。
(2)探测内外网直联、脱离专网环境等严重安全事件后,需1
小时内进行汇报,并协助蚌埠市第一人民医院进行相关事件排查服务,定位严
重安全事件位置及原因,协助排除严重安全事件隐患。
5.安全事件处置与应急响应服务
(1)根据网络与信息安全突发事件的起因、机理,将网络与信息安全突发事件
进行分类。同时参照网络与信息安全突发事件的分类原则,按照网络与信息安
全威胁产生原因,将网络与信息安全预警信息分类。通过上述分类,成交供应
商应按照网络与信息安全对可能造成的危害、紧急程度和发展势态,将安全事
件进行分级并制定安全事件分级管理制度。
(2)根据采购人特点编制网络安全应急预案:根据采购人业务特点编写应急演
练方案,方案应包括丰富、全面的应急演练场景,如包含防病毒、网络、渗透
攻击等演练场景。
(3)根据演练方案编制演练脚本,搭建演练环境,提供自动化工具用于构建跨
站攻击、网页篡改等复杂演练场景,并提供必要的演练设备,演练开始前为具
体参与人员提供演练培训。
(4)进行应急预案的培训:对采购人工作人员进行应急预案的流程培训,使各
个岗位的相关工作人员能了解应急处理流程,明了自己的职责。
(5)组织应急演练工作:协助采购人组织实施应急演练工作,选择演练对象,
从网络到系统环境等方面的故障进行模拟演练,确保在网络中断、系统毁瘫、
机房出现重大事故等情况下尽快恢复应用的正常运行,做好演练过程记录和演
练的总结工作。
(6)提供全面的安全事件处置与应急响应服务,通过技术支撑团队对系统内可
能发生安全事件提供全面的应急响应支持,针对突发的信息安全事件,做到事
前提前预警、事中及时处理、事后归纳总结。各系统发生安全事件时,响应单
位应及时处理和汇报;成交供应商应对信息安全事件的发生、处理办法进行记
录,并把《信息安全事件记录单》进行备案。提交且不限于以下文档:《编制
及修订应急处置预案》、《应急演练实施方案》、《应急演练日志记录表》、
《应急演练报告》等。
(7)在应急需求发起后,技术支撑人员必须在2
小时内到达采购人指定现场对安全事件
进行处理。应派遣有经验的项目团队进行安全事件处置与应急响应服务工作,
以保证各方面安全工作有序开展。
七、工作要求:
(1)实施原则
规范性原则:成交供应商工作中的过程和文档,具有很好的规范性,可以
便于项目的跟踪和控制;
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行
可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进
度表的安排,保证采购人对服务工作的可控性;
整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各
个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能
对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥
塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给
任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购
人有权追究责任。
(2)测评依据
《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)
《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)
《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)
(3)等级保护测评内容
a)等级保护测评内容
根据国家等级保护相关标准,本次项目的网络安全等级保护测评应包括以
下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全
计算环境、安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全
建设管理和安全运维管理等五个方面的安全测评。
b)安全物理环境
安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评,包
括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防
潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
c)安全通信网络
安全通信网络测评是对网络系统安全防护情况进行测评,包括网络架构、
通信传输、可信验证等方面的安全状况。
d)安全区域边界
安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全
审计、可信验证等方面的测评。
e)安全计算环境
安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码
防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、
个人信息保护等方面的测评。
f)安全管理中心
安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测
评。
g)安全管理制度
安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进
行测评。
h)安全管理机构
安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、
审核和检查等情况进行测评。
i)安全管理人员
安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部
人员访问管理等情况进行测评。
j)安全建设管理
安全建设管理测评是对建设过程中的系统定级和备案、安全方案设计、产
品采购和使用、自行软件开发、外包软件开发、
工程实施、测试验收、系统交付、
等级测评、服务供应商选择等情况进行测评。
k)安全运维管理
安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、
漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码
管理、变更管理、备份与恢复管理、安全事件处置、
应急预案管理、外包运维管理等情况进行测评。
八、报价要求
本项目报总价,报价包含完成本项目服务期间所产生的一切费用(含验收
费用),采购人后期不再另行追加费用。
九、人员配备
供应商拟派的安全服务团队不得少于6人(至少包括1名高级测评师、3名中
级测评师)。安全服务团队在合同约定期内派驻采购人到指定地点办公;成交
供应商需保证在实施阶段主要技术人员必须是全职。
(招标编号:ZCGF-BBYY-2021006)
项目所在地区:安徽省,蚌埠市
一、招标条件
本蚌埠市第一人民医院信息系统网络安全等级保护测评服务已由项目审批/核准
/备案机关批准,项目资金来源为自筹资金25万元,招标人为蚌埠市第一人民医
院。本项目已具备招标条件,现招标方式为其它方式。
二、项目概况和招标范围
规模:蚌埠市第一人民医院重要信息系统进行网络安全等级保护测评,包
括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制
和完善安全管理制度等;项目预算25万元
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目;
三、投标人资格要求
(001蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目)的投标人资
格能力要求:1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无;
3、本项目的特定资格要求:
3.1、供应商须具有有效的营业执照,具有独立法人资格;
3.2、本项目采用资格后审,不接受联合体投标;
3.3、供应商存在以下不良信用记录情形之一的,不得推荐为成交候选供应商,
不得确定为成交供应商:
①供应商被人民法院列入失信被执行人的;
②供应商或其法定代表人或拟派项目负责人被人民检察院列入行贿犯罪档案的
③供应商被工商行政管理部门列入企业经营异常名录的;
④供应商被税务部门列入重大税收违法案件当事人名单的;
⑤供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。;
本项目不允衿联合体投标。
四、招标文件的获取
获取时间:从2021年03月19日00时00分到2021年03月28日17时00分
获取方式:详见磋商公告
五、投标文件的递交
递交截止时间:2021年03月29日09时00分
递交方式:安徽省志成建设工程咨询股份有限公司开标室。(地址:蚌埠
市蚌山区新地城市广场B5号楼1811室)纸质文件递交
六、开标时间及地点
开标时间 :2021年03月29日09时00分
开标地点 :安徽省志成建设工程咨询股份有限公司开标室。(地址:蚌埠
市蚌山区新地城市广场B5号楼1811室)
七、其他
项目概况
蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目的潜在供应商应
按磋商公告规定的方式获取竞争性磋商文件,并于2021年3月29日9点00分(北
京时间)前提交响应文件,本项目实行纸质化招标。
一、项目基本情况
1、项目编号:ZCGF-BBYY-2021006;
2、项目名称:蚌埠市第一人民医院信息系统网络安全等级保护测评服务项目;
3、采购方式:竞争性磋商
4、资料来源:自筹资金;
5、采购需求:蚌埠市第一人民医院重要信息系统进行网络安全等级保护测评,
包括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编
制和完善安全管理制度等;
6、工期:1年;
7、本项目不接受联合体。
8、最高限价:25万元。
二、申请人的资格要求:
1、满足《中华人民共和国政府采购法》第二十二条规定;
2、落实政府采购政策需满足的资格要求:无;
3、本项目的特定资格要求:
3.1、供应商须具有有效的营业执照,具有独立法人资格;
3.2、本项目采用资格后审,不接受联合体投标;
3.3、供应商存在以下不良信用记录情形之一的,不得推荐为成交候选供应商,
不得确定为成交供应商:
①供应商被人民法院列入失信被执行人的;
②供应商或其法定代表人或拟派项目负责人被人民检察院列入行贿犯罪档案的
③供应商被工商行政管理部门列入企业经营异常名录的;
④供应商被税务部门列入重大税收违法案件当事人名单的;
⑤供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。
三、获取竞争性磋商文件
1、凡有意参加投标并符合资格要求者,按如下报名:
现场报名:请派员递交有效的法定代表人或授权委托人的身份证、授权委托书
、营业执照以及投标人认为需提供的其他资料(上述材料提供按顺序装订并加
盖单位公章的复印件),在规定时间、地点报名并购买竞争性磋商文件。
网上报名:将所有现场报名所需资料加盖公章扫描件在规定时间内发至招标代
理公司邮箱:309244231@qq.com,并在邮件中注明投标单位名称、联系人、联
系电话及邮箱;
2、竞争性磋商文件发售时间与地点:2021年3月18日-
2021年3月28日(每天08:30~17:00,北京时间,节假日除外),地点在蚌埠市
蚌山区新地城市广场B5号楼1811室。
3、竞争性磋商文件价格:500元/份,竞争性磋商文件售后不退
四、响应文件提交
1、提交响应文件截止时间:2021年3月29日9点00分(北京时间)
2、开标地点:安徽省志成建设工程咨询股份有限公司开标室。(地址:蚌埠市
蚌山区新地城市广场B5号楼1811室)
五、响应文件开启
时间:2021年3月29日9点00分(北京时间)
地点:蚌埠市蚌山区新地城市广场B5号楼1811室
六、公告期限:自本公告发布之日起5个工作日。
七、磋商保证金
1、人民币:3000元整;
2、磋商响应保证金在2021年3月26日17时30分前必须汇至安徽省志成建设工程
咨询股份有限公司账户(以到账时间为准),磋商响应保证金必须从响应供应
商银行基本账户汇入以下指定账户。
账户名:安徽省志成建设工程咨询股份有限公司
账号:499010100100631887
开户行:兴业银行合肥分行营业部
八、凡对本次采购提出询问,请按以下方式联系
1、采购单位信息
名称:蚌埠市第一人民医院
联系电话:张先生0552-4017144
地址:安徽省蚌埠市禹会区涂山路229号
2、采购代理机构信息
名称:安徽省志成建设工程咨询股份有限公司
联系电话:18130040772
地址:蚌埠市蚌山区新地城市广场B5号楼1811室
3、项目联系方式
项目联系人:董工
电话:18130040772
蚌埠市第一人民医院
安徽省志成建设工程咨询股份有限公司
2021年3月18日
八、监督部门
本招标项目的监督部门为蚌埠市第一人民医院。
九、联系方式
招标人:蚌埠市第一人民医院
地址:安徽省蚌埠市禹会区涂山路229号
联系人:张先生
电话:0552-4017144
电子邮件:80564678@qq.com
招标代理机构 :安徽省志成建设工程咨询股份有限公司
地址:蚌埠市蚌山区新地城市广场B5号楼1811室
联系人:董工
电话:18130040772
电子邮件:1536427810@qq.com
招标人或其招标代理机构主要负责人(项目负责人):
招标人或其招标代理机构:
第一章项目概况
一项目预算金额:25万元;
二、付款方式:项目测评整改报告发布,拿到备案证书付款100%;
三、维保周期:1年;
四、工期: 180天;
第二章采购需求
一、项目概况
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相
关要求,对蚌埠市第一人民医院重要信息系统进行网络安全等级保护测评,包
括:安全技术测评,安全管理测评,工具测试,编制系统安全整改方案,编制
和完善安全管理制度等。
二、项目实施范围
本次参于网络安全等级保护测评的系统如下:
| 序号 | 待测 | 系统名称 | 安全保护等级 | 备注 | ||||
| 1 2 3 | 门户网站 医疗信息系统 互联网医院 | 二级 三级 三级 | ||||||
三、指导思想和基本准则
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系
统安全等级保护管理办法》(公通字〔2007〕43号)、《关于信息系统安全等
级保护工作的实施意见》(公通字〔2004〕66号)、《关于开展全国重要信息
系统安全等级保护定级工作的通知》(公信安〔2007〕861
号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(
公信安[2009]1429号)、国家发改委《关于加强国家电子政务工程建设项目信
息安全风险评估工作的通知》(发改高技[2008]2071号),以及安徽省发改委
《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改
高技[2008]967号)等文件精神,按照《审计署办公厅关于地方审计机关信息系
统安全等级保护工作有关问题的通知》(审办计发[2012]105号)要求,结合蚌
埠市第一人民医院工作实际,现拟对蚌埠市第一人民医院重要信息系统实施网
络安全等级保护测评,以进一步完善信息系统安全管理体系和技术防护体系,
切实提高系统信息安全防护能力,为审计信息化建设的健康有序发展提供可靠
保障。
四、等级保护测评主要包括以下几个方面:
1)等保测评:完成包括安全物理环境、安全计算环境、安全区域边界、安
全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、
安全建设管理和安全运维管理方面的测评工作;
2)工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服
务工作;
3)整改建议:投标人应根据现场测评中发现的问题,分析与GB/T 22239-
2019、ISO/IEC27001、IS0/IEC20000、IS0
22301、ITIL和ITSS等行业最佳实践之间的差距,按照网络安全等级保护标准要
求提出安全整改建议;
4)编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具
符合标准要求的各信息系统网络安全等级保护测评报告。
5)编制和完善安全管理制度。依据《信息系统安全等级保护基本要求》
和《信息系统等级保护安全设计技术要求》,协助蚌埠市第一人民医院制订和
完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础
管理水平。
五、信息安全培训:
投标人需要为采购方提供线下、在服务期内不少于每年4次的信息安全技术
培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安
全策略、信息保密制度,信息安全管理制度和相关流程等;为了全面提升采购
方信息化人才队伍的安全意识和专业技能水平。
六、安全巡检服务
1.定期安排技术人员对蚌埠市第一人民医院被测系统信息安全状态进行检查,
对服务器、
网络设备、信息系统进行漏洞扫描,定期对被测系统进行一次渗透测试,对漏
洞危害进行分析。
定期对蚌埠市第一人民医院的信息安全设备进行巡检,对资产进行安全评估技
术检测,
检查设备运行状况是否正常,定期对安全产品进行维护,详细记录安全产品的
运行维护日志。
定期对蚌埠市第一人民医院的信息安全系统产品策略进行正确性检查,策略发
生变更时做好变更记录进行备份,并按要求对安全产品进行及时升级。
定期对蚌埠市第一人民医院的机房环境、网络设备、主机服务器和安全设备等
硬件系统进行全方位的综合风险分析,及时发现系统存在的高危安全漏洞和安
全隐患,并提出切实可行的系统加固方案。
定期对蚌埠市第一人民医院的服务器、网络设备、信息系统进行一次漏洞扫描
,对漏洞危害进行分析,提交漏洞扫描报告。
定期对蚌埠市第一人民医院的信息系统进行一次全面渗透测试,不但要在信息
系统中发现漏洞,而且还要验证漏洞,同时还要对一些未知的漏洞进行挖掘。
渗透测试必须通过真实
的用户访问环境进入系统,从而对网络到系统访问、数据调取、存储等一系列
的操作进行测试,主要用于检测外部威胁源和路径。渗透测试主要是指模拟社
会公众和内部用户对信息系统造成的危害行为,危害行为主要包括信息安全威
胁(信息泄泄露、修改、删除)和网络安全威胁(设备控管、网络扰乱或毁瘫
),本次渗透测试的主要内容:
2.1
互联网渗透测试:互联网计算机为起点,以互联网应用系统为攻击目标,要求
对应用软件能渗透获得系统数据,甚至获得系统权限,并在获得互联网系统控
制权限后,向内网进行渗透,测试互联网与内网边界隔离措施有效性。
2.2
内网渗透测试:通过模拟内部外部人员,选取内部外部测试点使用渗透测试的
方式查找内部可能存在的渗透点,发现内部防护体系的薄弱环节,找出内部可能
发生的恶意攻击事件和违规行为。
3.信息安全加固服务。
根据蚌埠市第一人民医院网络与信息系统安全方面存在的不足和缺陷,根据网
络与信息系统中不同设备的不同安全需求制定有针对性的加固服务,并在实施
安全加固之后,提供加
固服务手册和操作记录,以便后续业务系统安全策略的调整。
(1)定期需要提供但不限于以下文档:《安全加固方案》、《安全加固报告》
等。
(2)安全加固内容:至少包含网络结构优化、网络设备加固、主机系统加固、
WEB服务加固,并列出安全加固方法和基线。
(3)以表格或图表方式明确安全加固流程,至少包括流程图、责任单位和结果
文档,并列出加固过程中的风险规避措施。(4)派遣有经验的项目团队,以保
证各方面安全工作有序开展。
4.网络边界监测服务
根据蚌埠市第一人民医院的专网连接情况,分析专网边界安全,提供有效手段
能够随时监测终端计算机(windows主机、linux
主机)、网闸及交换机两网互联或脱离专网环境的情况,事件发生后能够及时
通过邮件或短信通知管理员,在最短时间内将违规事件处理,确保专网数据安
全。
(1)在无需安装客户端的情况下,通过镜像流量分析或主动探测技术自动发现
蚌埠市第一人民医院专网中终端计算机(windows主机、linux
主机)、网闸及交换机同时连接内网和互联网的违规事件,提供在外联服务器
上取证,取证信息包含外联设备内网IP、外联出口
IP,首次发现时间和最后更新时间等信息,可追溯外联前3
天内内网的应用系统访问日志。
(2)探测内外网直联、脱离专网环境等严重安全事件后,需1
小时内进行汇报,并协助蚌埠市第一人民医院进行相关事件排查服务,定位严
重安全事件位置及原因,协助排除严重安全事件隐患。
5.安全事件处置与应急响应服务
(1)根据网络与信息安全突发事件的起因、机理,将网络与信息安全突发事件
进行分类。同时参照网络与信息安全突发事件的分类原则,按照网络与信息安
全威胁产生原因,将网络与信息安全预警信息分类。通过上述分类,成交供应
商应按照网络与信息安全对可能造成的危害、紧急程度和发展势态,将安全事
件进行分级并制定安全事件分级管理制度。
(2)根据采购人特点编制网络安全应急预案:根据采购人业务特点编写应急演
练方案,方案应包括丰富、全面的应急演练场景,如包含防病毒、网络、渗透
攻击等演练场景。
(3)根据演练方案编制演练脚本,搭建演练环境,提供自动化工具用于构建跨
站攻击、网页篡改等复杂演练场景,并提供必要的演练设备,演练开始前为具
体参与人员提供演练培训。
(4)进行应急预案的培训:对采购人工作人员进行应急预案的流程培训,使各
个岗位的相关工作人员能了解应急处理流程,明了自己的职责。
(5)组织应急演练工作:协助采购人组织实施应急演练工作,选择演练对象,
从网络到系统环境等方面的故障进行模拟演练,确保在网络中断、系统毁瘫、
机房出现重大事故等情况下尽快恢复应用的正常运行,做好演练过程记录和演
练的总结工作。
(6)提供全面的安全事件处置与应急响应服务,通过技术支撑团队对系统内可
能发生安全事件提供全面的应急响应支持,针对突发的信息安全事件,做到事
前提前预警、事中及时处理、事后归纳总结。各系统发生安全事件时,响应单
位应及时处理和汇报;成交供应商应对信息安全事件的发生、处理办法进行记
录,并把《信息安全事件记录单》进行备案。提交且不限于以下文档:《编制
及修订应急处置预案》、《应急演练实施方案》、《应急演练日志记录表》、
《应急演练报告》等。
(7)在应急需求发起后,技术支撑人员必须在2
小时内到达采购人指定现场对安全事件
进行处理。应派遣有经验的项目团队进行安全事件处置与应急响应服务工作,
以保证各方面安全工作有序开展。
七、工作要求:
(1)实施原则
规范性原则:成交供应商工作中的过程和文档,具有很好的规范性,可以
便于项目的跟踪和控制;
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行
可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进
度表的安排,保证采购人对服务工作的可控性;
整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各
个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能
对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥
塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给
任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购
人有权追究责任。
(2)测评依据
《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
《信息安全技术网络安全等级保护定级指南》(GB/T22240-2020)
《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)
《信息安全技术网络安全等级保护测评过程指南》(GB/T28449-2018)
(3)等级保护测评内容
a)等级保护测评内容
根据国家等级保护相关标准,本次项目的网络安全等级保护测评应包括以
下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全
计算环境、安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全
建设管理和安全运维管理等五个方面的安全测评。
b)安全物理环境
安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评,包
括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防
潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。
c)安全通信网络
安全通信网络测评是对网络系统安全防护情况进行测评,包括网络架构、
通信传输、可信验证等方面的安全状况。
d)安全区域边界
安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全
审计、可信验证等方面的测评。
e)安全计算环境
安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码
防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、
个人信息保护等方面的测评。
f)安全管理中心
安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测
评。
g)安全管理制度
安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进
行测评。
h)安全管理机构
安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、
审核和检查等情况进行测评。
i)安全管理人员
安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部
人员访问管理等情况进行测评。
j)安全建设管理
安全建设管理测评是对建设过程中的系统定级和备案、安全方案设计、产
品采购和使用、自行软件开发、外包软件开发、
工程实施、测试验收、系统交付、
等级测评、服务供应商选择等情况进行测评。
k)安全运维管理
安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、
漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码
管理、变更管理、备份与恢复管理、安全事件处置、
应急预案管理、外包运维管理等情况进行测评。
八、报价要求
本项目报总价,报价包含完成本项目服务期间所产生的一切费用(含验收
费用),采购人后期不再另行追加费用。
九、人员配备
供应商拟派的安全服务团队不得少于6人(至少包括1名高级测评师、3名中
级测评师)。安全服务团队在合同约定期内派驻采购人到指定地点办公;成交
供应商需保证在实施阶段主要技术人员必须是全职。
解决方案
联系我们
返回顶部