招标
医院信息管理平台网络安全等级保护测评服务采购项目公示
金额
6万元
项目地址
四川省
发布时间
2022/06/17
公告摘要
公告正文
旺苍县中医医院拟对医院核心业务系统网络安全等级保护测评服务采购项目询价采购,特邀请符合本次采购要求的供应商参加本项目的报价。
一、采购项目基本情况
1、项目编号:ZYYY-2022-XX-02
2、采购项目名称:旺苍县中医医院核心业务系统网络安全等级保护测评及信息安全咨询服务采购项目。
3、采购人:旺苍县中医医院
二、资金情况
项目预算:人民币6万元。本项目最高限价为:6万元,超过最高限价报价无效。
资金来源:自筹资金
三、供应商邀请方式
公告方式:本次询价邀请在旺苍县中医医院官网(http://www.wcxzyyy.com/)上以公告形式发布。
四、供应商参加本次政府采购活动应具备下列条件
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录;
5、参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6、法律、行政法规规定的其他条件;
7、根据项目特殊要求设置的特定条件:具有网络安全等级测评与检测评估机构服务认证证书
五、严禁参加本次采购活动的供应商
1、根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的要求,供应商将本企业通过“信用中国”网站(www.creditchina.gov.cn)中“信用服务”(重大税收违法案件查询)查询结果网页及 “中国政府采购网”网站(www.ccgp.gov.cn)中(政府采购严重违法失信名单)查询结果网页整合于报价文件中,供评审小组审查。如有漏装,错装等造成的后果由供应商自行负责。
2、为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得参加本采购项目。供应商为采购人在确定采购需求、编制询价文件过程中提供咨询论证,其提供的咨询论证意见成为询价文件中规定的供应商资格条件、技术服务商务要求、评审因素和标准、政府采购合同等实质性内容条款的,视同为采购项目提供规范编制。
六、服务内容和技术要求
(一)服务内容
1、医院信息系统网络安全等级保护测评服务
(1)安全技术测评
包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等测评。
安全物理环境测评:对系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全状况。
安全通信网络测评:对信息系统的通信网络安全防护情况进行测评,包括网络架构、通信传输、可信验证等方面的安全状况。
安全区域边界测评:对信息系统的区域边界进行测评,包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全状况。
安全计算环境测评:对信息系统的计算环境进行测评,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。
安全管理中心测评:对信息系统的安全管理中心进行测评,包括系统管理、审计管理、安全管理、集中管控等方面的安全状况。
(2)安全管理测评
管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。乙方需要对甲方的管理制度进行梳理和协助甲方完成管理制度体系的建立。
安全管理制度:安全策略、管理制度、制定和发布、评审和修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理,外包运维管理。
2、信息安全咨询服务
提供信息安全评估、信息安全技术指导、安全咨询及相关培训服务。
(1)信息安全评估,按照网络安全相关法律法规及等保评测相关要求对现有安全状况进行评估,给出整改建议及技术指导。
(2)安全扫描服务:重要的网络安全技术。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。安全扫描是一种主动的防范措施,能够有效避免黑客攻击行为,做到防患于未然。
(3)信息安全技术指导,对现有信息安全设备及相关软件的应用进行技术指导,确保规范使用达到相关信息安全保障作用。
(4)信息安全培训,针对现有网络安全状况、外部环境及网络安全频发的事件做有针对性的培训。
(5)其他安全咨询服务:包含安全整改咨询,指导客户进行安全整改。
(6)经信息安全咨询服务指导、整改后确保现有医院信息系统网络安全等级保护测评达到二级标准。
(二)项目背景
为了落实公安部应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故。根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全等级保护管理办法》(公通字〔2007〕43号)、《中华人民共和国网络安全法》和《四川省市县财政网络安全工作规范》等标准规范,现拟招一家供应商提供等保测评服务找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保被测系统安全防护水平达到网络安全等级保护相应能力的要求。
(三)测评对象
(四)测评要求
根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
(五)技术要求
1、网络安全等级保护测评要求
(1)供应商应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案等。
(2)供应商应详细描述服务人员的组成、资质及各自职责的划分。供应商应配置有经验的测评人员进行本次等级保护测评工作。
2、项目交付文档
项目实施过程及完成后,供应商应向采购人提交包含但不限于以下的文档:《测评实施方案》《漏洞扫描报告》《网络安全等级整改建议》《网络安全等级保护测评报告》
(六)管理要求
1、供应商必须提供完整的项目管理方案,供应商需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效供应商。
2、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。
5、其中拟派项目经理应具有信息系统审计认证证书、重要信息系统保护人员(可信计算)证书、信息安全管理体系认证证书、计算机技术与软件专业技术人员资格证书(信息安全工程师)、信息技术应用创新考试评价证书(信息安全工程师)、国际软件测试工程师证书、管理相关认证证书;拟派其他技术人员应至少具有国际软件测试工程师证书、信息技术应用创新考试评价证书(信息安全工程师)、CCSC网络安全能力认证证书、信息技术应用创新考试评价证书(信息安全工程师)、计算机技术与软件专业技术人员资格证书(信息安全工程师)、软件工程造价师证书、CISP-PTE注册渗透测试工程师证书、信息技术应用创新考试评价证书(数据库工程师中级)等网络安全相关技术人员资格证书。
6、测评工具要求
(1)采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;
(4)测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。
七、商务要求
1、服务时间:合同签订后60个工作日。
2、服务地点:旺苍县中医医院。
3、进度要求:本项目实施周期为60个工作日内完成系统测评和报告编写工作。
4、中选人在旺苍县中医医院
一个二级系统的测评服务,并提供相关安全服务。
5、付款方式:在安全等级测评服务工作完成后,经验收合格,由服务单位出具正式测评报告并提供正式发票后一次性支付合同总金额的100%。
八、供应商报名及递交报价文件截止时间地点
项目公告期:2022年6月17日至2022年6月23日。
(一)递交响应文件截止时间:2022年6月23日17:00(北京时间)。
(二)采购活动开始时间:2022年6月24日15:00(北京时间)
(三)递交报价文件内容:兹邀请符合要求的供应商将拟推荐产品、技术参数、公司资质及报价等相关资料加盖鲜章密封。
(四)递交响应文件地点:现场提交或邮寄至信息科,请各供应商互相转告,过期将不予受理。(收件人:鲜老师;联系电话:0839-4028291,地址:东河镇兴旺东路177号旺苍县中医医院信息科)
九、联系方式
采购人:旺苍县中医医院
地址:东河镇兴旺东路177号
联系人:鲜老师
联系电话:0839-4028291
邮编:628200
一、采购项目基本情况
1、项目编号:ZYYY-2022-XX-02
2、采购项目名称:旺苍县中医医院核心业务系统网络安全等级保护测评及信息安全咨询服务采购项目。
3、采购人:旺苍县中医医院
二、资金情况
项目预算:人民币6万元。本项目最高限价为:6万元,超过最高限价报价无效。
资金来源:自筹资金
三、供应商邀请方式
公告方式:本次询价邀请在旺苍县中医医院官网(http://www.wcxzyyy.com/)上以公告形式发布。
四、供应商参加本次政府采购活动应具备下列条件
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必需的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录;
5、参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6、法律、行政法规规定的其他条件;
7、根据项目特殊要求设置的特定条件:具有网络安全等级测评与检测评估机构服务认证证书
五、严禁参加本次采购活动的供应商
1、根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的要求,供应商将本企业通过“信用中国”网站(www.creditchina.gov.cn)中“信用服务”(重大税收违法案件查询)查询结果网页及 “中国政府采购网”网站(www.ccgp.gov.cn)中(政府采购严重违法失信名单)查询结果网页整合于报价文件中,供评审小组审查。如有漏装,错装等造成的后果由供应商自行负责。
2、为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得参加本采购项目。供应商为采购人在确定采购需求、编制询价文件过程中提供咨询论证,其提供的咨询论证意见成为询价文件中规定的供应商资格条件、技术服务商务要求、评审因素和标准、政府采购合同等实质性内容条款的,视同为采购项目提供规范编制。
六、服务内容和技术要求
(一)服务内容
1、医院信息系统网络安全等级保护测评服务
(1)安全技术测评
包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等测评。
安全物理环境测评:对系统的机房和办公场所的物理环境安全防护情况进行测评,包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等方面的安全状况。
安全通信网络测评:对信息系统的通信网络安全防护情况进行测评,包括网络架构、通信传输、可信验证等方面的安全状况。
安全区域边界测评:对信息系统的区域边界进行测评,包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等方面的安全状况。
安全计算环境测评:对信息系统的计算环境进行测评,包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。
安全管理中心测评:对信息系统的安全管理中心进行测评,包括系统管理、审计管理、安全管理、集中管控等方面的安全状况。
(2)安全管理测评
管理测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。乙方需要对甲方的管理制度进行梳理和协助甲方完成管理制度体系的建立。
安全管理制度:安全策略、管理制度、制定和发布、评审和修订。
安全管理机构:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
安全建设管理:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。
安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理,外包运维管理。
2、信息安全咨询服务
提供信息安全评估、信息安全技术指导、安全咨询及相关培训服务。
(1)信息安全评估,按照网络安全相关法律法规及等保评测相关要求对现有安全状况进行评估,给出整改建议及技术指导。
(2)安全扫描服务:重要的网络安全技术。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。安全扫描是一种主动的防范措施,能够有效避免黑客攻击行为,做到防患于未然。
(3)信息安全技术指导,对现有信息安全设备及相关软件的应用进行技术指导,确保规范使用达到相关信息安全保障作用。
(4)信息安全培训,针对现有网络安全状况、外部环境及网络安全频发的事件做有针对性的培训。
(5)其他安全咨询服务:包含安全整改咨询,指导客户进行安全整改。
(6)经信息安全咨询服务指导、整改后确保现有医院信息系统网络安全等级保护测评达到二级标准。
(二)项目背景
为了落实公安部应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故。根据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全等级保护管理办法》(公通字〔2007〕43号)、《中华人民共和国网络安全法》和《四川省市县财政网络安全工作规范》等标准规范,现拟招一家供应商提供等保测评服务找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保被测系统安全防护水平达到网络安全等级保护相应能力的要求。
(三)测评对象
| 系统名称 | 安全等级 |
| 医院核心业务系统 | 二级 |
(四)测评要求
根据项目需求,为保障信息安全现场测评过程安全可控,明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
| 序号 | 关键实施阶段 | 工作要求 |
| 1 | 确定测评范围 | 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等。 |
| 2 | 获得信息系统的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
| 3 | 确定具体的测评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如机房、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、应用系统等。 |
| 4 | 确定测评工作的方法 | 根据信息系统安全等级情况、系统规模大小等,明确本次测评的方法。 |
| 5 | 制定测评工作计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
| 6 | 实施等级保护测评 | 实施测评,包括人工检查等方式。 |
| 7 | 安全扫描服务 | 重要的网络安全技术。通过对网络的扫描,网络管理员能了解网络的安全设置和运行的应用服务,及时发现安全漏洞,客观评估网络风险等级。安全扫描是一种主动的防范措施,能够有效避免黑客攻击行为,做到防患于未然。 |
| 8 | 安全咨询服务 | 包含安全整改咨询,对测评出的问题进行整改的指导工作 |
| 9 | 安全培训服务 | 提供等保相关的专业知识培训2次 |
| 10 | 项目总结 | 对测评结果进行总结、汇报 |
(五)技术要求
1、网络安全等级保护测评要求
(1)供应商应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案等。
(2)供应商应详细描述服务人员的组成、资质及各自职责的划分。供应商应配置有经验的测评人员进行本次等级保护测评工作。
2、项目交付文档
项目实施过程及完成后,供应商应向采购人提交包含但不限于以下的文档:《测评实施方案》《漏洞扫描报告》《网络安全等级整改建议》《网络安全等级保护测评报告》
(六)管理要求
1、供应商必须提供完整的项目管理方案,供应商需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效供应商。
2、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。
5、其中拟派项目经理应具有信息系统审计认证证书、重要信息系统保护人员(可信计算)证书、信息安全管理体系认证证书、计算机技术与软件专业技术人员资格证书(信息安全工程师)、信息技术应用创新考试评价证书(信息安全工程师)、国际软件测试工程师证书、管理相关认证证书;拟派其他技术人员应至少具有国际软件测试工程师证书、信息技术应用创新考试评价证书(信息安全工程师)、CCSC网络安全能力认证证书、信息技术应用创新考试评价证书(信息安全工程师)、计算机技术与软件专业技术人员资格证书(信息安全工程师)、软件工程造价师证书、CISP-PTE注册渗透测试工程师证书、信息技术应用创新考试评价证书(数据库工程师中级)等网络安全相关技术人员资格证书。
6、测评工具要求
(1)采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;
(4)测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。
七、商务要求
1、服务时间:合同签订后60个工作日。
2、服务地点:旺苍县中医医院。
3、进度要求:本项目实施周期为60个工作日内完成系统测评和报告编写工作。
4、中选人在旺苍县中医医院
一个二级系统的测评服务,并提供相关安全服务。
5、付款方式:在安全等级测评服务工作完成后,经验收合格,由服务单位出具正式测评报告并提供正式发票后一次性支付合同总金额的100%。
八、供应商报名及递交报价文件截止时间地点
项目公告期:2022年6月17日至2022年6月23日。
(一)递交响应文件截止时间:2022年6月23日17:00(北京时间)。
(二)采购活动开始时间:2022年6月24日15:00(北京时间)
(三)递交报价文件内容:兹邀请符合要求的供应商将拟推荐产品、技术参数、公司资质及报价等相关资料加盖鲜章密封。
(四)递交响应文件地点:现场提交或邮寄至信息科,请各供应商互相转告,过期将不予受理。(收件人:鲜老师;联系电话:0839-4028291,地址:东河镇兴旺东路177号旺苍县中医医院信息科)
九、联系方式
采购人:旺苍县中医医院
地址:东河镇兴旺东路177号
联系人:鲜老师
联系电话:0839-4028291
邮编:628200
解决方案
联系我们
返回顶部