招标
医院信息系统安全等级保护测评项目调研公示
金额
35万元
项目地址
福建省
发布时间
2022/06/21
公告摘要
公告正文
医院信息系统安全等级保护测评项目调研公示
第一部分 须知前附表
地 址: 福建省福州市福马路420号省肿瘤医院科研楼四楼网络办
邮 编: 350014
电 话: 0591-83660063-8822
联系人: 金工
一、采购内容
二、采购要求
(一) 服务范围
(二) 服务内容
1) 等保测评服务
依照 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《行业网络安全等级保护基本要求》对被测系统进行等级保护测评,确定不同等级业务系统当前安全防护现状,以及与国家和行业等级保护要求间的差距;分析其所面临的威胁及其存在的脆弱性,提出有针对性的抵御威胁的防护策略和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地防止由于信息系统安全事件引发安全事故,全面提高信息系统安全防护水平提供科学依据。
等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容,内容包括但不限于以下内容:
1. 总体要求测评:包括总体技术要求、总体管理要求;
2. 安全技术测评:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;
3. 安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评;
4. 最终版报告需加盖有网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》资质公司的印章及等级保护专用章。
2) 等保咨询及安全运维服务
提供福建省肿瘤医院定级备案的HIS、LIS、EMR、PACS、移动APP、门户网站、集成平台为核心涵盖的网络设备、操作系统、应用服务器、数据库、安全产品、物理环境等IT资产)按照等级保护2.0要求服务,包括资产分析、风险评估、差距评估、整改设计、整改加固、安全复查、定级备案协助、辅助测评一站式服务。
1. 资产分析服务
1) 根据服务范围内的应用组成,派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;
2) 对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理,编制信息系统详细描述文档;
2. 风险分析服务
1) 对单位内网常见威胁进行评估并根据等级保护要求结合单位具体情况编写单位信息安全基线库;
2) 通过现场评估、脆弱性评估以及渗透测试等技术手段分析信息系统安全风险以及基线差距。
3. 差距分析服务
1) 在安全评估和信息系统定级的基础上,根据《信息系统安全保护等级基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行分析。
2) 对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。
4. 需求分析与设计服务
1) 对服务范围内信息系统按照差距分析报告对应策略设计整改措施,面向保护对象设计安全计算环境安全、安全区域边界安全、安全通信网络等方面的整改设计方案;
2) 开展详细设计工作,完成网络结构框架设计、功能设计、性能设计、部署方案设计、安全策略设计等方面,形成安全整改实施规范书;
3) 提供信息安全等级保护建设建议,应该包括具体的实施内容、实施流程、风险管理和进度控制等。
5. 安全整改加固服务
1) 派遣专业工程师到为单位服务器实施服务器病毒检查与清理、主机安全加固建议、数据库安全加固建议以及应用安全加固辅导;
2) 安全加固实施前,应提交安全加固风险分析及风险规避说明书。
6. 管理制度辅助建设服务
辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
7. 定级咨询服务
在用户信息系统自行定级的基础上,参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,协助用户撰写信息系统定级报告,明确信息系统的边界和安全保护等级,说明定级的方法和理由。
8. 等保测评现场辅助服务
在服务期内,采购人如有申请测评,则必须协助协助福建省网络与信息安全测评中心或具有等保测评机构推荐证书(DJCP)完成测评数据采集等工作,协助用户完成备案系统通过等级测评的工作。
9. 备案咨询服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门需到当地公安机关备案,提供备案咨询服务。
10. 安全运维服务
1) 安全风险评估服务
每年4次提供福建省肿瘤医院内网区域安全评估,保障安全运行:
a) 网络架构安全风险评估:分析整体的网络拓扑结构安全隐患,分析网络内部网络面临的外部和内部威胁,面向数据中心机房网络。
b) 网络设备风险评估:评估现有网络设备的配置和使用状况,考察网络设备的有效性、安全性,面向交换、路由设备。
c) 安全设备风险评估:评估现有安全设备的配置和使用状况,考察安全设备的有效性、安全性,面向防火墙、数据库审计、网闸、堡垒机等相关安全设备。
d) 主机服务器系统安全风险评估: 利用扫描工具及相关人工分析等方式检查整个网络内部网络的主机系统与数据库系统的漏洞情况,评估主系统与数据库本身存在的安全漏洞,面向数据中心机房网络。
e) 核心业务系统安全风险评估:对核心业务进行工具扫描和人工分析,评估核心业务存在的安全问题。
2) 网站安全监控服务
对福建省肿瘤医院的外网站点或者应用系统提供远程安全监测服务。用户无需安装任何软件或调整网络架构,由于无需购买和部署设备,因此用户可以在几个小时内将监测服务投入运行,并可以在第一时间获得监测到的网站安全问题,并获得专业的技术指导协助。
a) 网站可用性安全监控服务
通过对网站进行监控,感知网站的安全威胁。内容覆盖可用性监控、域名劫持监控等。
具备至少200多个分布式监测的能力,实现对网站稳定性和可用性分析,支持http(https)、ftp、ping、smtp等多种协议,覆盖中国移动、中国联通、中国电信、教育网等主流网络运营商线路,构建起强大的网站监测网络。
可提供如下功能:
(1) 告警功能,满足用户对于告警分级、事件响应与处理、分析需求 ;
(2) 查看最新告警监控项目,快速定位故障异常,及时掌握恢复信息;
(3) 可设置从2分钟到60分钟等不同网站监控频率;
(4) 故障汇总统计、通过快照进行故障分析、告警消息汇总统计;
(5) 允许通过邮件、短信、微信等方式及时接收告警通知。
b) 网站高级安全监控服务
通过对网站进行周期性轮询监控,内容覆盖网页敏感词内容监控、web漏洞监控、弱口令监控、挂马监控、暗链监控等。
c) 网站安全监控人工告警服务
配备7*24小时的值班手机和值班人员,针对发现的问题,第一时间进行人工验证,并进行微信、短信或电话告警。
3) 安全应急响应服务
为安全事件、安全咨询、紧急状况提供技术响应支持,提供临时处置办法,分析事故原因,提供解决措施。针对本服务范围内信息系统安全服务具体工作内容如下:
a) 全年应急响应服务
在遇到安全紧急情况时,并且远程支持无法解决时,启动应急响应服务程序,指派专人进行紧急响应,要求2小时内到达现场,实施最有效的紧急救援及恢复补救方案。每次启动应急响应服务后,出具一份《应急响应报告》。
b) 全年远程安全咨询服务
故障时能立即以电话咨询或远程维护方式建立联系,立即给予技术协助,远程咨询提供5×8小时服务支持;
4) 安全通告服务
服务提供商不定期通过电话、传真、服务平台、邮件、走访等方式提供信息安全政策咨询及最新的重大安全资讯,包括但不限于:a)国家安全政策及法律法规,b)安全界的新闻大事,新技术发展动态,c)厂商安全通告,d)最新公布漏洞及解决方法安全通告,e)最新的病毒动态及防治。
5) 安全产品服务
中标方需要对本次测评缺少的网络安全设备提供免费的试用不低于3个月、内网防火墙、入侵防御、防病毒网关提供免费特征库升级、定期优化数据库审计系统统方规则库,提升数据安全审计能力并出具相关设备《升级报告》。
6) 安全威胁情报服务
提供外网安全威胁情报服务,基于医疗行业大数据分析成果以及情报联盟合作,形成行业和区域特色的云端威胁情报共享服务。
通过定期更新外网态势感知与防火墙系统、web应用防护系统等组件的协同联动规则,可使得网络自动封堵的主动防御体系得到提升,提供《安全态势运营平台更新报告》。
三、本次调研说明
欢迎有意向的供应商参与本次调研。
参加调研会的公司应准备PPT材料(含方案介绍、服务及集成能力、应用案例、详细分项报价等)、技术参数等材料,每公司讲解时间30分钟(含答疑10分钟);同时上述材料须交予院方留档。
项目文件回执单
请有意参与的各公司在项目公示期内将回执单送到“福建省肿瘤医院网络办”。
公司名称:
联系人:
联系电话:
邮箱号:
公司盖章:
2022年 月 日
第一部分 须知前附表
| 序号 | 主 要 内 容 |
| 1 | 调研报名公示开始时间: 2022年 6 月 21 日北京时间 调研报名截止时间:2022年 6 月 27 日下午17点30分北京时间 (报名请携带加盖公章的项目文件回执单、营业执照复印件、介绍信) 调研会时间:调研会议时间另行通知 |
| 2 | 项目:医院信息系统安全等级保护测评项目 |
| 3 | 文件正本 1 份,副本 2 份。 |
| 4 | 文件递交处: 福建省肿瘤医院 网络办会议室 |
| 5 | 上述时间、地点如有变动,以单位届时通知为准。 |
地 址: 福建省福州市福马路420号省肿瘤医院科研楼四楼网络办
邮 编: 350014
电 话: 0591-83660063-8822
联系人: 金工
一、采购内容
| 合同包 | 项目名称 | 数量 | 预算价 |
| 1 | 等级保护测评及安全运维服务 | 1项 | 35万元 |
二、采购要求
(一) 服务范围
| 序号 | 系统名称 | 系统定级 | 备注 |
| 1、 | HIS系统 | 三级 | |
| 2、 | LIS系统 | 三级 | |
| 3、 | EMR系统 | 三级 | |
| 4、 | PACS系统 | 三级 | |
| 5、 | 移动APP系统 | 三级 | |
| 6、 | 门户网站 | 三级 | |
| 7、 | 集成平台 | 三级 | |
(二) 服务内容
1) 等保测评服务
依照 GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》和《行业网络安全等级保护基本要求》对被测系统进行等级保护测评,确定不同等级业务系统当前安全防护现状,以及与国家和行业等级保护要求间的差距;分析其所面临的威胁及其存在的脆弱性,提出有针对性的抵御威胁的防护策略和整改措施,为防范和化解信息安全风险,将风险控制在可接受的水平,最大限度地防止由于信息系统安全事件引发安全事故,全面提高信息系统安全防护水平提供科学依据。
等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容,内容包括但不限于以下内容:
1. 总体要求测评:包括总体技术要求、总体管理要求;
2. 安全技术测评:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;
3. 安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评;
4. 最终版报告需加盖有网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》资质公司的印章及等级保护专用章。
2) 等保咨询及安全运维服务
提供福建省肿瘤医院定级备案的HIS、LIS、EMR、PACS、移动APP、门户网站、集成平台为核心涵盖的网络设备、操作系统、应用服务器、数据库、安全产品、物理环境等IT资产)按照等级保护2.0要求服务,包括资产分析、风险评估、差距评估、整改设计、整改加固、安全复查、定级备案协助、辅助测评一站式服务。
1. 资产分析服务
1) 根据服务范围内的应用组成,派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告;
2) 对服务范围内信息系统开展物理环境、网络结构、设备配置、应用系统以及管理制度进行调研和梳理,编制信息系统详细描述文档;
2. 风险分析服务
1) 对单位内网常见威胁进行评估并根据等级保护要求结合单位具体情况编写单位信息安全基线库;
2) 通过现场评估、脆弱性评估以及渗透测试等技术手段分析信息系统安全风险以及基线差距。
3. 差距分析服务
1) 在安全评估和信息系统定级的基础上,根据《信息系统安全保护等级基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析,从管理和技术两个层面找出存在的问题并进行分析。
2) 对于需要增加投资,部署新的信息安全产品和技术的整改措施,双方根据整改方案另行协商和实施。
4. 需求分析与设计服务
1) 对服务范围内信息系统按照差距分析报告对应策略设计整改措施,面向保护对象设计安全计算环境安全、安全区域边界安全、安全通信网络等方面的整改设计方案;
2) 开展详细设计工作,完成网络结构框架设计、功能设计、性能设计、部署方案设计、安全策略设计等方面,形成安全整改实施规范书;
3) 提供信息安全等级保护建设建议,应该包括具体的实施内容、实施流程、风险管理和进度控制等。
5. 安全整改加固服务
1) 派遣专业工程师到为单位服务器实施服务器病毒检查与清理、主机安全加固建议、数据库安全加固建议以及应用安全加固辅导;
2) 安全加固实施前,应提交安全加固风险分析及风险规避说明书。
6. 管理制度辅助建设服务
辅助用户编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度,达到等级保护测评要求。
7. 定级咨询服务
在用户信息系统自行定级的基础上,参照国家和地方对等级保护定级的有关要求,对信息系统开展摸底调查工作,掌握信息系统的基本情况,了解信息系统(包括信息网络)的业务类型、应用或服务范围、用户数量、系统结构、部署方式、安全策略、内控制度等信息,协助用户撰写信息系统定级报告,明确信息系统的边界和安全保护等级,说明定级的方法和理由。
8. 等保测评现场辅助服务
在服务期内,采购人如有申请测评,则必须协助协助福建省网络与信息安全测评中心或具有等保测评机构推荐证书(DJCP)完成测评数据采集等工作,协助用户完成备案系统通过等级测评的工作。
9. 备案咨询服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门需到当地公安机关备案,提供备案咨询服务。
10. 安全运维服务
1) 安全风险评估服务
每年4次提供福建省肿瘤医院内网区域安全评估,保障安全运行:
a) 网络架构安全风险评估:分析整体的网络拓扑结构安全隐患,分析网络内部网络面临的外部和内部威胁,面向数据中心机房网络。
b) 网络设备风险评估:评估现有网络设备的配置和使用状况,考察网络设备的有效性、安全性,面向交换、路由设备。
c) 安全设备风险评估:评估现有安全设备的配置和使用状况,考察安全设备的有效性、安全性,面向防火墙、数据库审计、网闸、堡垒机等相关安全设备。
d) 主机服务器系统安全风险评估: 利用扫描工具及相关人工分析等方式检查整个网络内部网络的主机系统与数据库系统的漏洞情况,评估主系统与数据库本身存在的安全漏洞,面向数据中心机房网络。
e) 核心业务系统安全风险评估:对核心业务进行工具扫描和人工分析,评估核心业务存在的安全问题。
2) 网站安全监控服务
对福建省肿瘤医院的外网站点或者应用系统提供远程安全监测服务。用户无需安装任何软件或调整网络架构,由于无需购买和部署设备,因此用户可以在几个小时内将监测服务投入运行,并可以在第一时间获得监测到的网站安全问题,并获得专业的技术指导协助。
a) 网站可用性安全监控服务
通过对网站进行监控,感知网站的安全威胁。内容覆盖可用性监控、域名劫持监控等。
具备至少200多个分布式监测的能力,实现对网站稳定性和可用性分析,支持http(https)、ftp、ping、smtp等多种协议,覆盖中国移动、中国联通、中国电信、教育网等主流网络运营商线路,构建起强大的网站监测网络。
可提供如下功能:
(1) 告警功能,满足用户对于告警分级、事件响应与处理、分析需求 ;
(2) 查看最新告警监控项目,快速定位故障异常,及时掌握恢复信息;
(3) 可设置从2分钟到60分钟等不同网站监控频率;
(4) 故障汇总统计、通过快照进行故障分析、告警消息汇总统计;
(5) 允许通过邮件、短信、微信等方式及时接收告警通知。
b) 网站高级安全监控服务
通过对网站进行周期性轮询监控,内容覆盖网页敏感词内容监控、web漏洞监控、弱口令监控、挂马监控、暗链监控等。
c) 网站安全监控人工告警服务
配备7*24小时的值班手机和值班人员,针对发现的问题,第一时间进行人工验证,并进行微信、短信或电话告警。
3) 安全应急响应服务
为安全事件、安全咨询、紧急状况提供技术响应支持,提供临时处置办法,分析事故原因,提供解决措施。针对本服务范围内信息系统安全服务具体工作内容如下:
a) 全年应急响应服务
在遇到安全紧急情况时,并且远程支持无法解决时,启动应急响应服务程序,指派专人进行紧急响应,要求2小时内到达现场,实施最有效的紧急救援及恢复补救方案。每次启动应急响应服务后,出具一份《应急响应报告》。
b) 全年远程安全咨询服务
故障时能立即以电话咨询或远程维护方式建立联系,立即给予技术协助,远程咨询提供5×8小时服务支持;
4) 安全通告服务
服务提供商不定期通过电话、传真、服务平台、邮件、走访等方式提供信息安全政策咨询及最新的重大安全资讯,包括但不限于:a)国家安全政策及法律法规,b)安全界的新闻大事,新技术发展动态,c)厂商安全通告,d)最新公布漏洞及解决方法安全通告,e)最新的病毒动态及防治。
5) 安全产品服务
中标方需要对本次测评缺少的网络安全设备提供免费的试用不低于3个月、内网防火墙、入侵防御、防病毒网关提供免费特征库升级、定期优化数据库审计系统统方规则库,提升数据安全审计能力并出具相关设备《升级报告》。
6) 安全威胁情报服务
提供外网安全威胁情报服务,基于医疗行业大数据分析成果以及情报联盟合作,形成行业和区域特色的云端威胁情报共享服务。
通过定期更新外网态势感知与防火墙系统、web应用防护系统等组件的协同联动规则,可使得网络自动封堵的主动防御体系得到提升,提供《安全态势运营平台更新报告》。
三、本次调研说明
欢迎有意向的供应商参与本次调研。
参加调研会的公司应准备PPT材料(含方案介绍、服务及集成能力、应用案例、详细分项报价等)、技术参数等材料,每公司讲解时间30分钟(含答疑10分钟);同时上述材料须交予院方留档。
项目文件回执单
请有意参与的各公司在项目公示期内将回执单送到“福建省肿瘤医院网络办”。
| 序号 | 公司名称 | 产品名称 | 报价 |
| 1 | | | |
| 2 | | | |
| 3 | | | |
| 4 | | | |
| 5 | | | |
公司名称:
联系人:
联系电话:
邮箱号:
公司盖章:
2022年 月 日
解决方案
联系我们
返回顶部