招标
HIS信息系统等级测评服务
金额
5万元
项目地址
重庆市
发布时间
2024/10/09
公告摘要
公告正文
审合同
HIS信息系统等级测评服务
预算金额: ¥50000
采购方式: 直接采购
需求基本信息
发布时间: 2024-10-09 11:06
采购编号: 10777948
其他要求:
一、测评的内容
1.1 等级保护测评的主要工作内容
根据“招投标系统”的实际情况,在充分了解被测系统的基本情况下,根据“等保2.0”的技术标准选择测评指标,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。针对Web应用特点,重点对Web应用常见的SQL和代码注入漏洞、跨站脚本、缓冲期溢出、信息泄漏等进行工具扫描和检测,并对系统进行基本的渗透测试,以发现系统存在的高危漏洞和风险。通过提出整改建议,帮助委托方对该系统进行安全建设和改进,确保被测系统达到安全保护相应能力的要求。
本次测评的主要工作内容包括:
(1) 安全等级测评工作(第三级安全通用要求)
二、项目要求
1、供应商应为国家网络安全等级测评与检测评估机构(提供网络安全等级测评与检测评估机构服务认证证书)。
2、供应商具备中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS),认可的检验能力范围为“网络安全等级保护测评”。
3、供应商应为重庆市网络与信息安全信息通报机制成员单位或重庆市网络与信息安全信息通报中心支撑单位,依照渝网通[2016]11号文《重庆市网络与信息安全信息通报工作规范》之要求,协助采购人进行网络安全事件应急处置机制建设工作和网络安全应急处置通报工作。
4、供应商需具有应急服务团队(团队成员必须为供应商单位正式员工并具备信息安全相关专业资质和测评师资质),当发生突发网络安全公共事件时,能在2小时内派出技术团队到达现场协助处置突发事件。
5.保密要求:为保障我单位利益,供应商不得在测评工作中获取非采购人提供的保密信息,供应商不得将采购人的保密信息透露给任何第三方,而应尽力避免由于疏忽将保密信息披露给任何第三方,参与项目测评人员需要签定保密协议。
6.项目质量:测评中应严格按照《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,确保测评工作质量。测评指标和对象选择须符合《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》标准的相关要求。
7.实施要求:在项目实施过程中,投标方应做好计划与安排,确保项目实施不影响系统的正常运行,需要测评的项目做好计划及安排,确保整个项目在测评过程中不影响系统的运行;
8.人员要求:供应商必须为本项目成立等级保护测评小组,测评人员均具有公安部认证的测评师证书,持证上岗。测评小组至少3-4人构成,为保证项目实施质量,要求项目骨干人员具有3年及以上相关工作经验,测评服务提供方应为本项目指定一名高级测评师为该项目负责人并到现场主持测评工作。现场测评人员必须为测评小组成员,持证上岗。
9.售后服务:为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务,配合对被检测系统网络安全策略,漏洞修复等安全加固提供技术支持服务。
采购需求方信息
重庆市大足区中医院
HIS信息系统等级测评服务
预算金额: ¥50000
采购方式: 直接采购
需求基本信息
发布时间: 2024-10-09 11:06
采购编号: 10777948
其他要求:
一、测评的内容
1.1 等级保护测评的主要工作内容
根据“招投标系统”的实际情况,在充分了解被测系统的基本情况下,根据“等保2.0”的技术标准选择测评指标,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。针对Web应用特点,重点对Web应用常见的SQL和代码注入漏洞、跨站脚本、缓冲期溢出、信息泄漏等进行工具扫描和检测,并对系统进行基本的渗透测试,以发现系统存在的高危漏洞和风险。通过提出整改建议,帮助委托方对该系统进行安全建设和改进,确保被测系统达到安全保护相应能力的要求。
本次测评的主要工作内容包括:
(1) 安全等级测评工作(第三级安全通用要求)
序号 | 工作项目 |
8.1.1 安全物理环境 | |
| 1 | 8.1.1.1 物理位置选择 |
| 2 | 8.1.1.2 物理访问控制 |
| 3 | 8.1.1.3 防盗窃和防破坏 |
| 4 | 8.1.1.4 防雷击 |
| 5 | 8.1.1.5 防火 |
| 6 | 8.1.1.6 防水和防潮 |
| 7 | 8.1.1.7 防静电 |
| 8 | 8.1.1.8 温湿度控制 |
| 9 | 8.1.1.9 电力供应 |
| 10 | 8.1.1.10 电磁防护 |
8.1.2 安全通信网络 | |
| 11 | 8.1.2.1 网络架构 |
| 12 | 8.1.2.2 通信传输 |
| 13 | 8.1.2.3 可信验证 |
| | 8.1.3 安全区域边界 |
| 14 | 8.1.3.1 边界防护 |
| 15 | 8.1.3.2 访问控制 |
| 16 | 8.1.3.3入侵防范 |
| 17 | 8.1.3.4 恶意代码和垃圾邮件防范 |
| 18 | 8.1.3.5 安全审计 |
| 19 | 8.1.3.6 可信验证 |
8.1.4 安全计算环境 | |
| 20 | 8.1.4.1 身份鉴别 |
| 21 | 8.1.4.2 访问控制 |
| 22 | 8.1.4.3 安全审计 |
| 23 | 8.1.4.4 入侵防范 |
| 24 | 8.1.4.5 恶意代码防范 |
| 25 | 8.1.4.6 可信验证 |
| 26 | 8.1.4.7 数据完整性 |
| 27 | 8.1.4.8 数据备份与恢复 |
| 28 | 8.1.4.9 剩余信息保护 |
| 29 | 8.1.4.10 个人信息保护 |
8.1.5 安全管理中心 | |
| 30 | 8.1.5.1 系统管理 |
| 31 | 8.1.5.2 审计管理 |
8.1.6 安全管理制度 | |
| 32 | 8.1.6.1 安全策略 |
| 33 | 8.1.6.2 管理制度 |
| 34 | 8.1.6.3 制定和发布 |
| 35 | 8.1.6.4 评审和修订 |
8.1.7 安全管理机构 | |
| 36 | 8.1.7.1 岗位设置 |
| 37 | 8.1.7.2 人员配备 |
| 38 | 8.1.7.3 授权和审批 |
| 39 | 8.1.7.4 沟通和合作 |
| 40 | 8.1.7.5 审核和检查 |
8.1.8 安全管理人员 | |
| 41 | 8.1.8.1 人员录用 |
| 42 | 8.1.8.2 人员离岗 |
| 43 | 8.1.8.3 安全意识教育和培训 |
| 44 | 8.1.8.4 外部人员访问管理 |
8.1.9 安全建设管理 | |
| 45 | 8.1.9.1 定级和备案 |
| 46 | 8.1.9.2 安全方案设计 |
| 47 | 8.1.9.3 产品采购和使用 |
| 48 | 8.1.9.4 自行软件开 |
| 49 | 8.1.9.5 外包软件开发 |
| 50 | 8.1.9.6 工程实施 |
| 51 | 8.1.9.7 测试验收 |
| 52 | 8.1.9.8 系统交付 |
| 53 | 8.1.9.9 等级测评 |
| 54 | 8.1.9.10 服务商供应商选择 |
8.1.10 安全运维管理 | |
| 55 | 8.1.10.1 环境管理 |
| 56 | 8.1.10.2 资产管理 |
| 57 | 8.1.10.3 介质管理 |
| 58 | 8.1.10.4 设备维护管理 |
| 59 | 8.1.10.5 漏洞和风险管理 |
| 60 | 8.1.10.6 网络和系统安全管理 |
| 61 | 8.1.10.7 恶意代码防范管理 |
| 62 | 8.1.10.8 配置管理 |
| 63 | 8.1.10.9 密码管理 |
| 64 | 8.1.10.10 变更管理 |
| 65 | 8.1.10.11 备份与恢复管理 |
| 66 | 8.1.10.12 安全事件处置 |
| 67 | 8.1.10.13 应急预案管理 |
| 68 | 8.1.10.14外包运维管理 |
二、项目要求
1、供应商应为国家网络安全等级测评与检测评估机构(提供网络安全等级测评与检测评估机构服务认证证书)。
2、供应商具备中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS),认可的检验能力范围为“网络安全等级保护测评”。
3、供应商应为重庆市网络与信息安全信息通报机制成员单位或重庆市网络与信息安全信息通报中心支撑单位,依照渝网通[2016]11号文《重庆市网络与信息安全信息通报工作规范》之要求,协助采购人进行网络安全事件应急处置机制建设工作和网络安全应急处置通报工作。
4、供应商需具有应急服务团队(团队成员必须为供应商单位正式员工并具备信息安全相关专业资质和测评师资质),当发生突发网络安全公共事件时,能在2小时内派出技术团队到达现场协助处置突发事件。
5.保密要求:为保障我单位利益,供应商不得在测评工作中获取非采购人提供的保密信息,供应商不得将采购人的保密信息透露给任何第三方,而应尽力避免由于疏忽将保密信息披露给任何第三方,参与项目测评人员需要签定保密协议。
6.项目质量:测评中应严格按照《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,确保测评工作质量。测评指标和对象选择须符合《GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》标准的相关要求。
7.实施要求:在项目实施过程中,投标方应做好计划与安排,确保项目实施不影响系统的正常运行,需要测评的项目做好计划及安排,确保整个项目在测评过程中不影响系统的运行;
8.人员要求:供应商必须为本项目成立等级保护测评小组,测评人员均具有公安部认证的测评师证书,持证上岗。测评小组至少3-4人构成,为保证项目实施质量,要求项目骨干人员具有3年及以上相关工作经验,测评服务提供方应为本项目指定一名高级测评师为该项目负责人并到现场主持测评工作。现场测评人员必须为测评小组成员,持证上岗。
9.售后服务:为采购人提供信息安全规划、方针、策略和管理制度体系咨询服务,配合对被检测系统网络安全策略,漏洞修复等安全加固提供技术支持服务。
采购需求方信息
重庆市大足区中医院
解决方案
联系我们
返回顶部