招标
网络安全等级保护测评服务院内公开采购公告(三次)
金额
-
项目地址
湖南省
发布时间
2023/06/13
公告摘要
公告正文
根据我院工作需要,湖南医药学院总医院(原怀化市第一人民医院)(以下简称“采购人”)对下列采购项目进行院内公开采购,欢迎符合资格条件的经销商、厂商投标。
一、 采购项目内容:
二、项目编码:202305021036
三、项目采购方式:院内公开采购(综合评分法)
四、付款方式:分两期向供应商付款。第一期费用为合同金额的50%。供应商完成网络安全等级保护评测工作,医院评测的全部系统取得公安部颁发的备案证明后,医院收到供应商发票90个工作日内完成无息支付;第二期费用为合同金额的50%。合同履行期限届满且项目通过医院的整体验收后,医院收到供应商发票之日起90个工作日内无息支付。
五、评分方法(评分细则):见附件一
六、项目要求:见附件二
七、投标人需提供的相关材料和标书要求:
1、投标人资格要求
(1)具备《中华人民共和国政府采购法》第二十二条资格条件;
(2)具备有独立承担民事责任能力的,在中华人民共和国境内注册的法人或其他组织;
(3)本项目不接受联合体投标;
(4)法定代表人或者负责人为同一人或者存在控股、管理关系的两个以上供应商,不得参加同一采购项目投标。
2、投标文件需要的相关材料
(1)投标函加盖单位公章
(2)投标价格一览表
(3)项目服务要求响应/偏离表(格式自拟)
(4)投标人认为需提供的其他资料
(5)投标公司的资质证明材料
①投标公司的营业执照复印件加盖单位公章;
②法定代表人身份证明书或法人授权委托书、授权代表的身份证复印件加盖单位公章;
③投标公司为投标代表人缴纳半年以上的社保证明;
(6)报名时提供条款(5)中①-③条款审查材料(复印件);
(7)投标文件的编写:
投标文件要求一正二副,标书必须“A4规格纸张胶制(非打孔或夹装)装订成册,并编制总目录”,要求密封;投标报价单单独密封;否则视为符合性审查不合格,作无效投标处理。
八、投标公司须提供真实、合法的投标材料,并应如实响应采购需求参数,提供虚假投标材料或虚假响应参数谋取中标的投标公司将按照相关法律法规承担相应责任,并将纳入医院供应商诚信黑名单,3年内不得参与医院采购项目投标。
九、中标单位需入驻湖南省政府采购电子卖场。
十、其他事项:本项目采购需求未尽事宜,合同签订时双方约定。
十一、投标人对以上采购文件的内容有质疑的,应当在本采购公告报名截止时间前以书面形式向采购人提交,逾期将不予受理。
十二、报名时间:2023年06月13日至2023年06月19日17:00止
开标时间:2023年06月20日15:10
开标地点:湖南医药学院总医院(原怀化市第一人民医院)(教学楼7楼)
联系电话:王老师 15111521151
报名地点:湖南医药学院总医院(原怀化市第一人民医院)招标与采购管理科(第三住院楼413室)
湖南医药学院总医院(原怀化市第一人民医院)
2023年06月13日
附件一:评分细则
附件二:项目要求
1.总则
1.1 本技术需求书条款所提出的各项要求,是本次信息系统安全等级保护测评依据,投标人应根据本文件中的相关说明和要求,提供方案。
1.2 投标人在测评方案书中,对能提供的信息系统安全等级保护测评进行说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
1.3 投标人应对提供信息系统安全等级保护测评时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人对以上问题不承担任何法律责任。
2.依据政策及标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《信息安全技术 信息系统安全等级保护实施指南》;
《信息安全技术 信息系统安全等级保护定级指南》(GBT 22240-2020);
《信息安全技术 网络安全等级保护基本要求》(GBT 22239-2019);
《信息安全技术 网络安全等级保护测评要求》(GBT 28448-2019);
《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007);
★3.测评范围
对湖南医药学院总医院(原怀化市第一人民医院)信息系统进行等保测评服务。
信息系统安全等级保护测评包含以下系统:
4.技术要求
依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)三级/二级要求,对信息系统进行等级测评,找出系统与国家标准要求之间的差距,对存在的风险进行评估,并出具《信息安全等级测评报告》和《安全建设整改方案》。测评内容涵盖:
(1)安全物理环境
安全物理环境测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。
在内容上,物理安全层面测评实施过程涉及10个安全子类,具体如下表:
(2)安全通信网络
安全通信网络测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,通信网络安全层面测评过程涉及个工作单元。
(3)安全区域边界
安全区域边界测评将通过访谈、检查和测试的方式评测信息系统的边界防护,在内容上,安全区域边界测评实施过程涉及6个安全子类。
(4)安全计算环境
安全计算环境测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上,安全计算环境测评实施过程涉及11个工作单元,具体如下表:
(5)安全管理中心
在内容上,安全管理中心层面测评实施过程涉及4个工作单元,具体如下表:
(6)安全管理制度
安全策略和管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
在内容上,安全管理制度测评实施过程涉及4个工作单元,具体如下表:
(7)安全管理机构
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
(8)安全管理人员
安全管理人员测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
在内容上,人员安全管理测评实施过程涉及4个工作单元,具体如下表:
(9)安全建设管理
安全建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
在内容上,系统建设管理测评实施过程涉及10个工作单元,具体如下表:
(10)安全运维管理测评及工具测试
安全运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
在内容上,系统运维管理测评实施过程涉及14个工作单元,具体如下表:
工具测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
★5.实施流程
(1)测评准备活动:测评准备活动中,投标人主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
(2)方案编制活动:方案编制活动中,投标人主要完成确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制测评方案。
(3)现场测评活动:现场测评活动中,投标人在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
(4)分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
★6.技术服务要求
6.1本次等级测评应满足的原则
投标人应严格依据下列原则和国家等级保护相关标准开展项目实施工作。
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响。
6.2本次等级测评的整体要求
(1)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经采购人确认后由投标人提供并在信息系统等级保护测评中使用。
(4)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由采购人提供,投标人应详细描述需要的运行环境的具体要求。
(5)在服务期内提供至少四次检测(每季度一次),对医院互联网暴露面漏洞进行梳理清查,出具威胁发现报告和修复方案,协助医院完成漏洞威胁的修复。
6.3网络安全培训要求
(1)针对全院职工提供网络安全培训,提供安全相关资料,通过安全培训加强全院职工整体安全意识。
(2)针对医院专业技术人员提供专业技术培训,通过网络安全专项培训提高专业技术人员水平,通过实战化的攻防演练、攻击溯源等技能方法的学习,加强专业技术人员网络安全攻防技能;对日常安全维护内容进行培训,如日常安全巡检工作、月度安全检查工作、安全加固工作,使系统管理员了解日常安全工作如何开展;通过培训使管理人员能够掌握操作系统、网络设备、应用的安全问题及解决方法。
一、 采购项目内容:
| 采购项目 | 服务期限 | 最高限价(万元) |
| 网络安全等级保护测评服务 | 1年 | 35 |
二、项目编码:202305021036
三、项目采购方式:院内公开采购(综合评分法)
四、付款方式:分两期向供应商付款。第一期费用为合同金额的50%。供应商完成网络安全等级保护评测工作,医院评测的全部系统取得公安部颁发的备案证明后,医院收到供应商发票90个工作日内完成无息支付;第二期费用为合同金额的50%。合同履行期限届满且项目通过医院的整体验收后,医院收到供应商发票之日起90个工作日内无息支付。
五、评分方法(评分细则):见附件一
六、项目要求:见附件二
七、投标人需提供的相关材料和标书要求:
1、投标人资格要求
(1)具备《中华人民共和国政府采购法》第二十二条资格条件;
(2)具备有独立承担民事责任能力的,在中华人民共和国境内注册的法人或其他组织;
(3)本项目不接受联合体投标;
(4)法定代表人或者负责人为同一人或者存在控股、管理关系的两个以上供应商,不得参加同一采购项目投标。
2、投标文件需要的相关材料
(1)投标函加盖单位公章
(2)投标价格一览表
(3)项目服务要求响应/偏离表(格式自拟)
(4)投标人认为需提供的其他资料
(5)投标公司的资质证明材料
①投标公司的营业执照复印件加盖单位公章;
②法定代表人身份证明书或法人授权委托书、授权代表的身份证复印件加盖单位公章;
③投标公司为投标代表人缴纳半年以上的社保证明;
(6)报名时提供条款(5)中①-③条款审查材料(复印件);
(7)投标文件的编写:
投标文件要求一正二副,标书必须“A4规格纸张胶制(非打孔或夹装)装订成册,并编制总目录”,要求密封;投标报价单单独密封;否则视为符合性审查不合格,作无效投标处理。
八、投标公司须提供真实、合法的投标材料,并应如实响应采购需求参数,提供虚假投标材料或虚假响应参数谋取中标的投标公司将按照相关法律法规承担相应责任,并将纳入医院供应商诚信黑名单,3年内不得参与医院采购项目投标。
九、中标单位需入驻湖南省政府采购电子卖场。
十、其他事项:本项目采购需求未尽事宜,合同签订时双方约定。
十一、投标人对以上采购文件的内容有质疑的,应当在本采购公告报名截止时间前以书面形式向采购人提交,逾期将不予受理。
十二、报名时间:2023年06月13日至2023年06月19日17:00止
开标时间:2023年06月20日15:10
开标地点:湖南医药学院总医院(原怀化市第一人民医院)(教学楼7楼)
联系电话:王老师 15111521151
报名地点:湖南医药学院总医院(原怀化市第一人民医院)招标与采购管理科(第三住院楼413室)
湖南医药学院总医院(原怀化市第一人民医院)
2023年06月13日
附件一:评分细则
| 评标方法及标准 | |||
| 评审因素 | 分值 | 评分标准 | |
| 价格 | 30分 | 满足采购要求且投标价格最低的投标报价为评标基准价,其价格分为满分。投标人的报价得分=(评标基准价/投标报价)×30 | |
| 技术 部分 40分 | 项目实施方案 | 10分 | 以项目的技术要求为基准,应详细描述项目实施中涉及到的各个方面,包括测评项、测评方法、测评工具、人员安排、安全域划分拓扑图、项目分工界面、现场实施工作表单,符合等保工具测试要求的接入点示意图等。分档计分:方案完整、合理的计10分,方案较完整、较合理计8分,方案一般计6分,方案差或未提供的不计分。 |
| 技术响应程度 | 10分 | 任何一项注“★”技术参数及商务条款出现负偏离或不响应的,视为无效投标。完全满足采购文件技术指标的计10分,一般技术条款(非“★”条款)每负偏离一项扣1分;如响应缺项,则视同负偏离处理。偏离项≥10项,视为无效投标。 | |
| 技术实力 | 20分 | 1、投标人自2019年以来在全国网络安全等级保护测评机构攻防大赛上获得一等奖的计4分,二等奖计3分,三等奖计2分。(提供相关证明复印件并加盖公章否则不计分) 2、投标人具有中国网络安全审查技术与认证中心颁发信息安全服务资质认证的信息系统安全运维证书计4分。(提供证书复印件并加盖公章) 3、投标人具有公安部等级保护评估中心核发的重要信息系统保护人员CIIP-A的资质的工程师,每个人员计1分(提供证书复印件并加盖公章和相关人员在投标单位近三个月的社保证明)最多计4分。 4、投标人实施人员具有高级信息安全等级测评师且通过商用密码应用安全性评估人员测评能力考核证书的,计4分(提供证书复印件和相关人员在投标单位近三个月的社保证明)。 5、投标人拟派往本项目的项目经理具有高级信息安全等级测评师资质的,计4分。(提供证书复印件和相关人员在投标单位近三个月的社保证明材料,并加盖投标人公章,否则不计分) | |
| 商务 部分 40分 | 资质能力 | 15分 | 投标人具有省级及以上质量技术监督局颁发的检验检测机构资质认定证书(CMA)的计5分。(提供证书复印件并加盖公章,否则不计分) |
| 投标人同时具有中国网络安全审查技术与认证中心颁发信息安全服务资质认证的信息安全风险评估服务资质证书计5分。(提供证书复印件并加盖公章,否则不计分) | |||
| 投标人具有ISO9001质量管理体系认证和ISO27001信息安全管理体系认证的每个计2.5分,最高计5分。(提供证书复印件并加盖公章,否则不计分) | |||
| 同类业绩 | 10分 | 投标人提供2019年以来等保测评案例,每个计2分,最多10分。(须提供加盖投标人公章的项目合同首、尾、关键页;未提供合同复印件的,不予计分) | |
| 企业信誉 | 5分 | 投标人在2018年至2023年,获得国家信息安全等级保护工作协调小组办公室颁发的先进单位,1分/次,最高计5分。(提供证书复印件并加盖公章,否则不计分) | |
附件二:项目要求
1.总则
1.1 本技术需求书条款所提出的各项要求,是本次信息系统安全等级保护测评依据,投标人应根据本文件中的相关说明和要求,提供方案。
1.2 投标人在测评方案书中,对能提供的信息系统安全等级保护测评进行说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
1.3 投标人应对提供信息系统安全等级保护测评时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人对以上问题不承担任何法律责任。
2.依据政策及标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
《信息安全等级保护管理办法》(公通字〔2007〕43号);
《信息安全技术 信息系统安全等级保护实施指南》;
《信息安全技术 信息系统安全等级保护定级指南》(GBT 22240-2020);
《信息安全技术 网络安全等级保护基本要求》(GBT 22239-2019);
《信息安全技术 网络安全等级保护测评要求》(GBT 28448-2019);
《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007);
★3.测评范围
对湖南医药学院总医院(原怀化市第一人民医院)信息系统进行等保测评服务。
信息系统安全等级保护测评包含以下系统:
| 序号 | 系统名称: | 级别 |
| 1 | HIS系统 | 三级 |
| 2 | PACS系统 | 三级 |
| 3 | LIS系统 | 三级 |
| 4 | 医院信息系统平台 | 三级 |
| 5 | 互联网医院 | 三级 |
| 6 | BI系统 | 二级 |
| 7 | HRP系统 | 二级 |
4.技术要求
依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)三级/二级要求,对信息系统进行等级测评,找出系统与国家标准要求之间的差距,对存在的风险进行评估,并出具《信息安全等级测评报告》和《安全建设整改方案》。测评内容涵盖:
(1)安全物理环境
安全物理环境测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。
在内容上,物理安全层面测评实施过程涉及10个安全子类,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 物理位置的选择 | 通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
| 2 | 物理访问控制 | 通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
| 3 | 防盗窃和防破坏 | 通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
| 4 | 防雷击 | 通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
| 5 | 防火 | 通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
| 6 | 防水和防潮 | 通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
| 7 | 防静电 | 通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
| 8 | 温湿度控制 | 通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
| 9 | 电力供应 | 通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
| 10 | 电磁防护 | 通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
(2)安全通信网络
安全通信网络测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,通信网络安全层面测评过程涉及个工作单元。
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 网络架构 | 通过访谈网络管理员,检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
| 2 | 通信传输 | 通过访谈网络管理员,检查各硬件设备传输过程中是否采用加密技术。 |
| 3 | 可信验证 | 通过访谈网络管理员,检查各硬件设备传输过程中是否采用可信验证技术。 |
(3)安全区域边界
安全区域边界测评将通过访谈、检查和测试的方式评测信息系统的边界防护,在内容上,安全区域边界测评实施过程涉及6个安全子类。
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 边界防护 | 通过访谈网络管理员,查看边界设备防护措施。 |
| 2 | 访问控制 | 通过访谈网络管理员,查看边界设备的访问控制策略。 |
| 3 | 入侵防范 | 通过访谈网络管理员,查看各个关键网络节点的防入侵措施。 |
| 4 | 恶意代码防范和垃圾邮件防范 | 通过访谈网络管理员,查看各个关键网络节点恶意代码防范措施。 |
| 5 | 安全审计 | 通过访谈网络管理员,查看边界设备的日志审计策略和记录。 |
| 6 | 可信验证 | 通过访谈网络管理员,查看边界设备是否采用可信验证技术。 |
(4)安全计算环境
安全计算环境测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上,安全计算环境测评实施过程涉及11个工作单元,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 身份鉴别 | 检查信息系统网络设备、安全设备、服务器、数据库和应用系统的身份标识与鉴别功能设置和使用配置情况; 检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
| 2 | 访问控制 | 检查网络设备、安全设备、服务器、数据库和应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
| 3 | 安全审计 | 检查网络设备、安全设备、服务器、数据库和应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查应用系统安全审计进程和记录的保护情况。 |
| 4 | 可信验证 | 检查计算设备的系统引导程序、系统程序、重要配置参数和应用系统程序等是否可以进行可信验证,并检测可信验证受到破坏时进行报警。 |
| 5 | 入侵防范 | 检查网络设备、安全设备、服务器、数据库和应用系统入侵防范,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
| 6 | 恶意代码防范 | 检查网络设备、安全设备、服务器、数据库和应用系统恶意代码防范措施。 |
| 7 | 数据完整性 | 检查网络设备、安全设备、服务器、数据库和应用系统的通信完整性保护情况。 |
| 8 | 数据保密性 | 检查网络设备、安全设备、服务器、数据库和应用系统的通信保密性保护情况。 |
| 9 | 数据备份和恢复 | 检查网络设备、安全设备、服务器、数据库和应用系统的关键信息备份情况。 |
| 10 | 剩余信息保护 | 检查网络设备、安全设备、服务器、数据库和应用系统。 |
| 11 | 个人信息保护 | 检查系统收集个人信息和使用个人信息的情况。 |
(5)安全管理中心
在内容上,安全管理中心层面测评实施过程涉及4个工作单元,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 系统管理 | 通过访谈系统管理员,对系统的资源和运行配置进行配置、控制和管理是否全由系统管理员进行操作。 |
| 2 | 审计管理 | 通过访谈安全审计员,是否对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 |
| 3 | 安全管理 | 通过访问安全员,对系统的安全策略进行配置,包括安全参数的设置、主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略是否全由安全员进行操作。 |
| 4 | 集中管控 | 通过访谈安全员,对分布在网络中的安全设备或安全组件进行管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测、对分散在各个设备上的审计数据进行收集汇总和集中分析,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析的情况。 |
(6)安全管理制度
安全策略和管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
在内容上,安全管理制度测评实施过程涉及4个工作单元,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 安全策略 | 通过访谈安全主管,检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
| 2 | 管理制度 | 通过访谈安全主管,检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
| 3 | 制定和发布 | 通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
| 4 | 评审和修订 | 通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
(7)安全管理机构
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 岗位设置 | 通过访谈安全主管,检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
| 2 | 人员配备 | 通过访谈安全主管,检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
| 3 | 授权和审批 | 通过访谈安全主管,检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
| 4 | 沟通和合作 | 通过访谈安全主管,检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
| 5 | 审核和检查 | 通过访谈安全主管,检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
(8)安全管理人员
安全管理人员测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
在内容上,人员安全管理测评实施过程涉及4个工作单元,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 人员录用 | 通过访谈人事负责人,检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
| 2 | 人员离岗 | 通过访谈人事负责人,检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
| 3 | 安全意识教育和培训 | 通过访谈安全主管,检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
| 4 | 外部人员访问管理 | 通过访谈安全主管,检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
(9)安全建设管理
安全建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
在内容上,系统建设管理测评实施过程涉及10个工作单元,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 定级和备案 | 通过访谈安全主管,检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
| 2 | 安全方案设计 | 通过访谈系统建设负责人,检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
| 3 | 产品采购和使用 | 通过访谈安全主管、系统建设负责人和安全产品等过程,测评是否按照一定的要求进行系统的产品采购。 |
| 4 | 自行软件开发 | 通过访谈系统建设负责人,检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
| 5 | 外包软件开发 | 通过访谈系统建设负责人,检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
| 6 | 工程实施 | 通过访谈系统建设负责人,检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
| 7 | 测试验收 | 通过访谈系统建设负责人,检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
| 8 | 系统交付 | 通过访谈系统运维负责人,检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
| 9 | 等级测评 | 通过访谈系统运维负责人,核查定期开展等级测评和等级保护整改情况。 |
| 10 | 服务供应商选择 | 通过访谈系统运维负责人,测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
(10)安全运维管理测评及工具测试
安全运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
在内容上,系统运维管理测评实施过程涉及14个工作单元,具体如下表:
| 序号 | 安全子类 | 测评指标描述 |
| 1 | 环境管理 | 通过访谈物理安全负责人,检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
| 2 | 资产管理 | 通过访谈资产管理员,检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
| 3 | 介质管理 | 通过访谈资产管理员,检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
| 4 | 设备维护管理 | 通过访谈资产管理员、系统管理员,检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
| 5 | 漏洞和风险管理 | 通过访谈安全主管、系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
| 6 | 网络和系统安全管理 | 通过访谈安全主管、网络管理员,检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
| 7 | 恶意代码防范管理 | 通过访谈系统运维负责人,检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
| 8 | 配置管理 | 通过访谈系统运维负责人,核查配置库的建立和维护情况。 |
| 9 | 密码管理 | 通过访谈安全员,测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
| 10 | 变更管理 | 通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
| 11 | 备份与恢复管理 | 通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
| 12 | 安全事件处置 | 通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
| 13 | 应急预案管理 | 通过访谈系统运维负责人,检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
| 14 | 外部运维管理 | 通过访谈系统运维负责人,核查外包运维服务商选择和安全相关协议的签订情况。 |
工具测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
★5.实施流程
(1)测评准备活动:测评准备活动中,投标人主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
(2)方案编制活动:方案编制活动中,投标人主要完成确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制测评方案。
(3)现场测评活动:现场测评活动中,投标人在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
(4)分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
★6.技术服务要求
6.1本次等级测评应满足的原则
投标人应严格依据下列原则和国家等级保护相关标准开展项目实施工作。
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响。
6.2本次等级测评的整体要求
(1)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经采购人确认后由投标人提供并在信息系统等级保护测评中使用。
(4)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由采购人提供,投标人应详细描述需要的运行环境的具体要求。
(5)在服务期内提供至少四次检测(每季度一次),对医院互联网暴露面漏洞进行梳理清查,出具威胁发现报告和修复方案,协助医院完成漏洞威胁的修复。
6.3网络安全培训要求
(1)针对全院职工提供网络安全培训,提供安全相关资料,通过安全培训加强全院职工整体安全意识。
(2)针对医院专业技术人员提供专业技术培训,通过网络安全专项培训提高专业技术人员水平,通过实战化的攻防演练、攻击溯源等技能方法的学习,加强专业技术人员网络安全攻防技能;对日常安全维护内容进行培训,如日常安全巡检工作、月度安全检查工作、安全加固工作,使系统管理员了解日常安全工作如何开展;通过培训使管理人员能够掌握操作系统、网络设备、应用的安全问题及解决方法。
解决方案
联系我们
返回顶部