公告摘要
项目编号-
预算金额32万元
招标联系人田老师0511-80820337
标书截止时间-
投标截止时间-
公告正文
江苏大学附属医院信息安全三级等保测评项目
采购需求公示
我院近期拟对“信息安全三级等保测评”项目启动采购程序,根据《政府采购信息发布管理办法》(财政部令〔2019〕101号)、《关于开展政府采购意向公开工作的通知》(财库〔2020〕10号)精神,现将有关该项目的主要用途、功能及使用目的、采购需求(技术参数、主要配置、售后服务等)进行公示。详见附件一:采购需求书。
本次公示是本单位采购工作的初步安排,具体采购项目情况以相关采购公告和采购文件为准。
公示期:2021年8月24日-2021年8月31日。
如有异议,请联系: 信息处:田老师 0511–85023285
采招办:邱老师 0511-80820337
江苏大学附属医院信息处
2021年8月24日
附件一
采购需求书
一、项目概况及总体要求
为更好的贯彻落实国务院关于网络安全的重要指示精神,有效应对当前网络安全面临的严峻威胁与挑战,全力做好重要信息系统网络安全保卫工作,需对重要信息系统展开等保测评工作,通过该工作及时发现系统安全隐患并迅速进行整改,从而全面提升重要信息系统的网络安全防护水平,保障系统的安全、高效、稳定运行。
积极落实《网络安全法》的“网络安全等级保护制度”,履行重要系统和门户网站的安全保护义务,参照《信息安全等级保护管理办法》中“第三级信息系统应当每年至少进行一次等级测评”的要求,为三级信息系统进行每年一次的检测评估属于我院每年均开展的预算内项目。今年拟开展医院信息系统(HIS)、电子病历系统(虚拟平台)、医院网站、互联网医院共四个系统的测评,按照历年测评中“每个三级系统为8万元”的收费标准,今年的信息安全三级等保测评预算为32万元。
序号
系统名称
等保测评级别
1
医院信息系统(HIS)
三级
2
电子病历系统(虚拟平台)
三级
3
江苏大学附属医院网站
三级
4
江苏大学附属医院互联网医院
三级

二、采购用途
采购用途:□科研 □教学 □医疗 □管理 □后勤 ☑其他
用途说明:三级信息系统每年一次的检测评估。
三、采购需求一览表(服务类):
序号
货物名称
是否为进口设备
单位
数量
是否属核心产品
1





2





3






四、技术指标(按一览表中货物分别填写)
1. 信息安全三级等保测评
序号
指标项
重要性
指标要求
关键指标理由
1
服务内容


根据等保2.0三级等级保护要求,对系统进行测评分析,对评估对象的现状作记录,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;按照用户系统现状对应的管理要求进行测评分析,对评估对象的现状作记录,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
1)识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
2)增强安全防护能力。依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
3)测评结果分析
(1)单项测评结果判定
(2)单元测评结果判定
(3)整体测评分析
(4)形成测评分析报告
(5)针对测评分析报告的整改建议



选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
1)渗透测试的内容
工作内容包括渗透测试及提供漏洞修复方案。渗透测试工作为黑盒测试。
2)需要包含如下阶段
(1)前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
(2)信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
(3)威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
(4)漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
(5)渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
(6)后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
(7)报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。

2
服务成果


本次安全服务应提交以下成果:
1)《信息系统等级测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等(每个系统一份)。
2)《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围。测试的人员、时间、策略。测试的工具、风险规避措施。测试的过程、漏洞利用截图,测试的结果等。

3
服务人员要求


1)项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。
2)项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。

4
工具配备要求


1)投标人必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web漏洞扫描系统。
2)投标人必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。


五、商务和服务需求
序号
商务和服务项目
重要性
商务和服务要求
1
供货期

测评服务在合同签订后60天内完成
2
质保限


3
原厂售后
服务承诺


4
服务标准

按招标参数和评分细则要求执行。
5
培训


6
验收标准

所有参数功能满足要求,项目验收资料齐全。
7
付款方式

1、合同签订生效后3个月内,甲方向乙方支付合同总金额的50%,乙方收到款项后10个工作日内安排工程师上门实施。
2、 项目测评结束、验收合格后3个月内,甲方向乙方支付合同总金额的50%。

六、特定资格条件
除《中华人民共和国政府采购法》第二十二条规定的供应商应具备的条件外,采购人可以根据采购项目的特殊要求,规定供应商的特定资格条件,如国家或行业强制性标准等。但不得以不合理的条件对供应商实行差别待遇或者歧视待遇。
1、投标单位需具备有效的《信息安全等级保护测评机构推荐证书》(DJCP),出具复印件并加盖公章,携带原件备查。
2、三年内无重大违法记录和未受到主管部门通报批评,出具承诺函并加盖公章。
返回顶部