承德縣醫(yī)院HIS等保評測服務采購公告

點擊登錄查看HIS等保評測服務采購公告

為滿足醫(yī)療臨床需要，更好地為患者提供醫(yī)療服務，現(xiàn)對下列項目進行院內(nèi)采購，歡迎符合資格條件的單位積極參與投標。

一、采購項目內(nèi)容：HIS等保評測服務

二、 參數(shù)要求：

本項目的宗旨在于通過對本單位HIS系統(tǒng)開展等級測評服務，通過等級測評，明確該系統(tǒng)的安全建設現(xiàn)狀，找出存在的安全風險，分析安全建設差距，提出安全整改建議，并以此為基礎(chǔ)，進一步制定安全建設整改方案，完善保護措施，使該系統(tǒng)滿足我國關(guān)于等級保護相應級別的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高本單位的安全意識，增強網(wǎng)絡的抗攻擊的能力，保證被測系統(tǒng)正常運轉(zhuǎn)。

1、服務內(nèi)容

1.1信息系統(tǒng)備案

按照《信息安全等級保護備案實施細則》（公信安[2007]1360號）文件要求，完成定級、備案材料的整理及在公安機關(guān)網(wǎng)安部門備案工作，并取得公安相關(guān)部門出具的信息系統(tǒng)安全等級保護備案證明。

1.2初次測評

參照《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）檢查被測系統(tǒng)，從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等五個層面和管理上的安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理、安全運維管理進行差距分析，對系統(tǒng)進行初次安全評估。通過對系統(tǒng)現(xiàn)狀的分析和梳理，發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全措施與等級保護基本要求的差距，提出安全整改建議，以指導后續(xù)安全整改工作。

（1）安全物理環(huán)境測評：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等內(nèi)容。

（2）安全通信網(wǎng)絡測評：包括網(wǎng)絡架構(gòu)、通信傳輸、可信驗證等內(nèi)容。

（3）安全區(qū)域邊界測評：包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、可信驗證等內(nèi)容。

（4）安全計算環(huán)境測評：包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護等內(nèi)容。

（5）安全管理中心測評：系統(tǒng)管理、審計管理、安全管理、集中管控等內(nèi)容。

（6）安全管理制度：涵蓋管理制度、制定和發(fā)布、評審和修訂。

（7）安全管理機構(gòu)：涵蓋崗位設置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查。

（8）安全管理人員：涵蓋人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理。

（9）安全建設管理：涵蓋系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全服務商選擇。

（10）安全運維管理：涵蓋環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼管理、密碼管理、測評實施、備份與恢復管理、安全事件處置、應急預案管理。

1.3信息系統(tǒng)等保整改方案及建議

中標方應協(xié)助招標人按照《信息安全等級保護管理辦法》（公通字[2007]43號）等有關(guān)管理規(guī)范和技術(shù)標準，全程協(xié)助采購人制定并落實安全管理制度、落實安全責任，建設安全設施，落實安全技術(shù)措施。針對測評發(fā)現(xiàn)的問題，形成問題清單，出具整改建議，協(xié)助采購人按照銷號制度開展相關(guān)整改工作，針對問題項逐一進行整改，直至問題整改完畢，對應暫時不能整改的問題，要提出臨時解決建議方案，采取臨時防護手段確保安全。通過安全建設整改，確保信息系統(tǒng)通過相應級別的安全等級評測。

1.4二次測評

通過對整改后的系統(tǒng)進行分析和梳理，再次實施安全測評，記錄訪談檢查結(jié)果，進行綜合分析，梳理安全風險，再次提出安全整改建議，測評結(jié)束后，按照公安部有關(guān)要求及《網(wǎng)絡安全等級測評報告》（2021年版）完成安全測評報告的編寫。

1.5咨詢服務

提供信息系統(tǒng)的安全咨詢和整改建議等技術(shù)支持服務，涵蓋系統(tǒng)建設、運維、管理、技術(shù)等相關(guān)安全問題；協(xié)助開展單位內(nèi)部網(wǎng)絡與信息安全檢查工作。

1.6安全意識和技能培訓

針對技術(shù)人員、管理層提供不同類型的信息安全培訓，包括管理培訓和網(wǎng)絡安全技術(shù)培訓。

2、工作原則

本次安全保護等級保護測評實施方案設計與具體實施應滿足以下原則：

2.1保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害招標人的行為，否則招標人有權(quán)追究投標人的責任。

2.2規(guī)范性原則：投標人的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制。

2.3可控性原則：測評服務的進度要跟上進度表的安排，保證招標人對于測評工作的可控性。

2.4整體性原則：測評的范圍和內(nèi)容應當整體全面，包括國家等級保護相關(guān)要求涉及的各個層面。

2.5最小影響原則：測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡，并在可控范圍內(nèi)；測評工作不能對現(xiàn)有信息系統(tǒng)的的正常運行、業(yè)務的正常開展產(chǎn)生任何影響，保證現(xiàn)有系統(tǒng)24小時的不間斷、穩(wěn)定、安全運行。

2.6非高峰期原則：漏洞掃描及滲透測試時間，應盡量安排在夜間或法定節(jié)假日期間，制定切實可行的測試實施細則；對意外導致的宕機等，應提供應急保障方案，切實保證關(guān)鍵系統(tǒng)能正常工作。

投標人應嚴格按照上述原則和國家等級保護相關(guān)標準開展項目實施工作。

3、服務對象及范圍

本系統(tǒng)測評的測評范圍及對象包括以下幾類：

3.1主機房（包括其環(huán)境、設備和設施等）和部分輔機房，應將放置了服務于信息系統(tǒng)的局部（包括整體）或?qū)π畔⑾到y(tǒng)的局部（包括整體）安全性起重要作用的設備、設施的輔機房選取作為測評對象；

3.2辦公場地：信息系統(tǒng)機房；

3.3整個系統(tǒng)的網(wǎng)絡拓撲結(jié)構(gòu)；

3.4安全設備，包括防火墻、入侵檢測設備和防病毒網(wǎng)關(guān)等；

3.5邊界網(wǎng)絡設（可能會包含安全設備），包括路由器、防火墻、認證網(wǎng)關(guān)和邊界接入設備（如樓層交換機）等；

3.6對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡互聯(lián)設備，如核心交換機、匯聚層交換機、路由器等；

3.7存儲被測系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；

3.8承載被測系統(tǒng)主要業(yè)務或數(shù)據(jù)的服務器（包括其操作系統(tǒng)和數(shù)據(jù)庫）；

3.9管理終端和主要業(yè)務應用系統(tǒng)終端；

3.10對新建信息系統(tǒng)及關(guān)聯(lián)信息系統(tǒng)；

3.11業(yè)務備份系統(tǒng)；

3.12管理方面：信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業(yè)務負責人；

3.13產(chǎn)品方面：信息系統(tǒng)使用、運行的第三方軟件產(chǎn)品；

3.14涉及到信息系統(tǒng)安全的所有管理制度設計和記錄要求。

4、安全服務依據(jù)要求

中標人應依據(jù)國家等級保護相關(guān)標準開展工作，依據(jù)標準包括但不限于如下國家標準：

（1）《信息安全技術(shù)網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）

（2）《信息安全技術(shù)網(wǎng)絡安全等級保護安全設計技術(shù)要求》（GB/T 25070-2019）

（3）《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》（GB/T 28448-2019）

（4）《信息安全技術(shù)網(wǎng)絡安全等級保護測評過程指南》（GB/T 28449-2018）

（5）《信息安全技術(shù)網(wǎng)絡安全等級保護測試評估技術(shù)指南》（GB/T 36627-2018）

（6）《信息安全技術(shù)網(wǎng)絡安全等級保護安全管理中心技術(shù)要求》 （GB/T 36958-2018）

（7）（GB/T 36959-2018）《信息安全技術(shù)網(wǎng)絡安全等級保護測評機構(gòu)能力要求和評估規(guī)范 》

（8）《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）

（9）《信息系統(tǒng)安全保護等級定級指南》（GB/T 22240-2020）

（10）《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2019 ）

（11）《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2016）

（12）《計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》（GAT 390-2002）

（13）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

（14）《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

（15）《信息安全技術(shù)信息安全風險評估規(guī)范》（GB/T 20984-2007）

（16）《重要信息系統(tǒng)安全等級保護定級報告》

（17）《信息系統(tǒng)安全等級測評服務合同》

（18）其它國家法律、法規(guī)要求

5、交付物

（1）測評方案；

（2）安全等級建設整改建議；

（3）等級測評報告。

6、投標報價

本項目預算為9萬元，投標人投標報價超過項目預算的為無效投標。投標報價包含完成采購項目的技術(shù)服務、實施、售后服務、滿足國家及行業(yè)規(guī)范標準并取得相關(guān)監(jiān)管部門備案、保險及各項稅金等所有費用。

7、實施或完工時間：≤30個日

8、項目驗收要求：項目交付后由招標人根據(jù)合同、招標文件、投標文件組織驗收。

9、服務及售后服務基本要求

（1）免費售后服務期限：自合同簽訂之日一年。

（2）售后服務機構(gòu)及服務團隊構(gòu)成：

投標人的項目成員要求至少6名網(wǎng)絡安全等級測評師服務，其中不少于1名高級測評師，不少于2名中級測評師（投標文件須提供公司高級測評師、中級測評師在中國網(wǎng)絡安全等級保護網(wǎng)的查詢截圖和中、高級測評師證書復印件加蓋公章）。

（3）售后服務響應時間及維護承諾：在驗收合格后一年內(nèi)為招標方提供信息系統(tǒng)建設咨詢服務，涵蓋系統(tǒng)基礎(chǔ)設計、系統(tǒng)建設方案、運維管理等相關(guān)的建設及安全問題，提供信息安全檢查咨詢和整改建議等技術(shù)支持服務。

（4）投標人必須具有公安部第三研究所頒發(fā)的《網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書》。