1、 临沂市 中医医院 信息安全等级保护测评项目 集中竞价采购 须知 为了公开、公平、公正地集中竞价采购,本着合理、竞争、经济的原则,我院拟对本次采购活动参照招标形式进行集中竞价,相关事项如下: 第一部分 项目要求 一、项目背景 为了提高信息系统的安全保护水平,按照国家法律法规和有关部门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统安全等级保护测评工作。通过本次工作,发现信息系统中存在的安全风险,分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况,完善工作制度, 提出安全建设加固建议。切实加强信息安全防范水平,提高系统抵御风险的能力。 二、项
2、目目标、内容 按照国家等级保护相关标准和要求,对其 HIS、电子病历系统(三级)、 PACS和网站(二级)安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,完成等级保护测评报告,并提供后续检测服务。 三、项目实施参照法律法规及标准 网络安全法 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见(公通字 200466 号); 公 安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办法(公通字 200743 号)。 信息安全技术 信息系统安全等级保护基本要求( GB/
3、T22239-2008) 信息安全技术 信息系统安全等级保护定级指南( GB/T 22240-2008) 信息安全技术 信息系统安全等级保护实施指南 信息安全技术 信息系统安全等级保护测评要求 信息安全技术 信息系统安全等级保护测评过程指南 计算机信息系统安全保护等级划分准则( GB 17859-1999) 信息安全技术 信息系统通用安全技术要求( GB/T20271-2006) 信息安全技术 网络基础安全技术要求( GB/T 20270-2006) 信息安全技术 操作系统安全技术要求( GB/T 20272-2006) 信息安全技术 数据库管理系统安全技术要求( GB/T20273-2006
4、) 信息安全技术 服务器技术要求( GB/T 21028-2007) 信息安全技术 终端计算机系统安全等级技术要求( GA/T 671-2006) 信息安全技术 信息系统安全管理要求( GB/T20269-2006) 信息安全技术 信息系统安全工程管理要求( GB/T20282-2006) GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则 四、项目内容 1. 等级测评 通过详细的系统调研,开展对其 HIS、 LIS 系统(三级)、 PACS 和网站(二级)的等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工
5、作。最终完成等级保护测评报告。 测评的内容包括但不限于以下内容: 安全技术测评:包括物理安全、网络安全、主机系统安全、应用 安全和数据安全等五个方面的安全测评; 安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 ( 1)、物理安全 根据临沂市中医院信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。中标人出具加盖 CNAS 章的
6、机房检测报告。 ( 2)、网络安全 根据临沂 市中医院信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 ( 3)、主机安全 主机安全现场测评包括对临沂市中医院信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。 ( 4)、应用安全 应用安全现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身 份鉴别”、“访问控制”、“安全审计”
7、、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。 ( 5)、数据安全及备份恢复 临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。 ( 6)、安全管理制度 根据现场安全测评记录,针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 ( 7)、安全管理机构 根据现场安全测评记录,针对临沂市中医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测
8、评指标,判断出与其相对应的各测评项的测评结果。 ( 8)、人员安全管理 根据现场安全测评记录,针对临沂市中医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 ( 9)、系统建设管理 根据现场安全测评记录,针对临沂市中医院信息系统在系统建设管理方面的“ 系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
9、( 10)、系统运维管理 根据现场安全测评记录,针对临沂市中医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、 “网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案 管理”等测评指标,判断出与其相对应的各测评项的测评结果。 通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。 待整改完毕后,进行结果确认,完成信息安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案。 2. 安全管理体系咨询 协助
10、建立符合等级保护要求的信息安全管理体系,包含信息安全方针、信息安全策略、运行管理制度和运维管理制度。并参照国际标准体系 ISO 27001和 ISO 20000制定相应流程,促进临沂市中医院信息安全管 理工作。 3.安全监测 提供门户网站 7*24 小时网站安全监测,对网站页面挂马、篡改等事件实时监测,发现问题及时通报相关人员,并安排人员及时处理。 4.应急支援 服务期内提供不限次数的应急支援服务,针对发生的事件协助分析事件原因,查找问题,并提供安全加固建议。 5.安全培训 组织技术培训,对临沂市中医院的技术人员进行等级保护、安全技术和项目部署要求等内容培训。技术培训应从实际应用出发,涵盖网络
11、安全的如下方面: 基础设施运行安全培训、网络安全纵深防御体系培训、操作系统安全加固技术培训、应用系统渗透测试检测与加固培训、数据库 安全管理培训、 27001 安全管理体系培训等。 6.信息安全风险评估 按照 GB-T20984-2007 信息安全风险评估规范标准和要求,对信息系统进行风险评估,明确信息系统安全风险,提出合理的、满足等级保护要求的总体建设和管理规划,并制定安全实施计划,以指导后续的信息系统安全建设工程实施。 五、成果交付 该项目提交的文档至少包括如下文件: 1、 临沂市中医院 XX 信息系统安全等级保护测评方案 2、 临沂市中医院 XX 系统信息安全等级保护测评报告 3、 临沂
12、市中医院 XX 信息安全管理制度汇编 4、 信息安全风险评估报告 5、 信息 安全整改方案 第二部分 投标方资质要求 1、企业法人营业执照副本复印件(盖章)。 2、法定代表人身份证明书或法人授权委托书、身份证复印件。 3、投标公司具有信息系统安全等级保护测评的国家相关资质,有专业技术检测项目组,其中有高级测评师及中级测评师,参与技术检测的人员均为中国公民,无违法犯罪记录并签订安全保密协议。 4、同类项目近几年的业绩情况及客户名单。 第 三 部分 标书、报价方式 1、标书分正本 1 份,副本 2 份,并在标书标书袋上标明“正本”、“副本”字样。 均固定装订成一册,不能活页装订或散装, 盖单位 公章和法定代表人印签后递交医院招标办。 第 四 部分 报送时间、 地点 标书报送时间截止 2018 年 1 月 30 日 16 时。(每日 8: 00 17: 00,周六、周日除外) 标书报送地点:临沂市中医医院门诊七楼招标办。