承德县医院电子病历等级保护测评服务采购公告(二次)
全部类型河北承德2024年12月20日
为满足医疗临床需要,更好地为患者提供医疗服务,现对下列项目进行院内采购,欢迎符合资格条件的单位积极参与投标。
一、采购项目内容:电子病历等级保护测评服务,
二、参数要求:
本项目的宗旨在于通过对本单位电子病历开展等级测评服务,通过等级测评,明确该系统的安全建设现状,找出存在的安全风险,分析安全建设差距,提出安全整改建议,并以此为基础,进一步制定安全建设整改方案,完善保护措施,使该系统满足我国关于等级保护相应级别的具体要求,增加信息系统安全的规范性和有效性,提高本单位的安全意识,增强网络的抗攻击的能力,保证被测系统正常运转。
2.1、服务内容
2.1.1.信息系统备案
按照《信息安全等级保护备案实施细则》(公信安[2007]1360号)文件要求,完成定级、备案材料的整理及在公安机关网安部门备案工作,并取得公安相关部门出具的信息系统安全等级保护备案证明。
2.1.2.初次测评
参照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)检查被测系统,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理进行差距分析,对系统进行初次安全评估。通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。
(1)安全物理环境测评:包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。
(2)安全通信网络测评:包括网络架构、通信传输、可信验证等内容。
(3)安全区域边界测评:包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等内容。
(4)安全计算环境测评:包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
(5)安全管理中心测评:系统管理、审计管理、安全管理、集中管控等内容。
(6)安全管理制度:涵盖管理制度、制定和发布、评审和修订。
(7)安全管理机构:涵盖岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(8)安全管理人员:涵盖人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
(9)安全建设管理:涵盖系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择。
(10)安全运维管理:涵盖环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码管理、密码管理、测评实施、备份与恢复管理、安全事件处置、应急预案管理。
2.13.信息系统等保整改方案及建议
中标方应协助招标人按照《信息安全等级保护管理办法》(公通字[2007]43号)等有关管理规范和技术标准,全程协助采购人制定并落实安全管理制度、落实安全责任,建设安全设施,落实安全技术措施。针对测评发现的问题,形成问题清单,出具整改建议,协助采购人按照销号制度开展相关整改工作,针对问题项逐一进行整改,直至问题整改完毕,对应暂时不能整改的问题,要提出临时解决建议方案,采取临时防护手段确保安全。通过安全建设整改,确保信息系统通过相应级别的安全等级评测。
2.1.4.二次测评
通过对整改后的系统进行分析和梳理,再次实施安全测评,记录访谈检查结果,进行综合分析,梳理安全风险,再次提出安全整改建议,测评结束后,按照公安部有关要求及《网络安全等级测评报告》(2021年版)完成安全测评报告的编写。
2.1.5.咨询服务
提供信息系统的安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展单位内部网络与信息安全检查工作。
2.1.7.安全意识和技能培训
针对技术人员、管理层提供不同类型的信息安全培训,包括管理培训和网络安全技术培训。
2.2工作原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
2.2.1、保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
2.2.2、规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
2.2.3、可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
2.2.4、整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
2.2.5、最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。
2.2.6、非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供应急保障方案,切实保证关键系统能正常工作。
投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。
2.3、服务对象及范围
本系统测评的测评范围及对象包括以下几类:
2.3.1、主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
2.3.2、办公场地:信息系统机房;
2.3.3、整个系统的网络拓扑结构;
2.3.4、安全设备,包括防火墙、入侵检测设备和防病毒网关等;
2.3.5、边界网络设(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
2.3.6、对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
2.3.7、存储被测系统重要数据的介质的存放环境;
2.3.8、承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
2.3.9、管理终端和主要业务应用系统终端;
2.3.10、对新建信息系统及关联信息系统;
2.3.11、业务备份系统;
2.3.12、管理方面:信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人;
2.3.13、涉及到信息系统安全的所有管理制度设计和记录要求。
2.4、安全服务依据要求
中标人应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
(1)《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
(2)《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
(3)《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
(4)《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)
(5)《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
(6)《信息安全技术网络安全等级保护安全管理中心技术要求》 (GB/T 36958-2018)
(7)(GB/T 36959-2018)《信息安全技术网络安全等级保护测评机构能力要求和评估规范 》
(8)《计算机信息系统安全保护等级划分准则》(GB17859-1999)
(9)《信息系统安全保护等级定级指南》(GB/T 22240-2020)
(10)《信息系统安全等级保护实施指南》(GB/T 25058-2019 )
(11)《信息技术安全技术信息安全管理体系要求》(GB/T22080-2016)
(12)《计算机信息系统安全等级保护通用技术要求》(GAT 390-2002)
(13)《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
(14)《信息系统安全工程管理要求》(GB/T20282-2006)
(15)《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
(16)《重要信息系统安全等级保护定级报告》
(17)《信息系统安全等级测评服务合同》
(18)其它国家法律、法规要求
2.5、交付物
(1)测评方案;
(2)安全等级建设整改建议;
(3)等级测评报告。
2.6、项目验收要求:项目交付后由招标人根据合同、招标文件、投标文件组织验收。
2.7、服务及售后服务基本要求
2.7.1免费售后服务期限:自合同签订之日一年。
2.7.2测评机构资质和人员能力要求:
1)投标人应具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》及中国网络安全审查技术与认证中心颁发的信息安全风险评估资质(二级),投标时提供上述证件扫描件加盖公章。
2)投标人应当具有满足等级测评工作的专业技术人员和管理人员,投标人投入本项目实施团队人员不得少于6人,均须具备从事等级保护测评工作的认证资格,其中具备高级测评师资格的人员不少于1人,具备中级测评师资格的人员不少于2人(投标文件须提供公司高级测评师、中级测评师在中国网络安全等级保护网的查询截图和中、高级测评师证书复印件加盖公章)。
(3)售后服务:
售后服务响应时间及维护承诺:在验收合格后一年内为招标方提供信息系统建设咨询服务,涵盖系统基础设计、系统建设方案、运维管理等相关的建设及安全问题,提供信息安全检查咨询和整改建议等技术支持服务。
三、采购编号:****
四、最高限价:9万元
五、资质要求:
报名单位必须具备如下条件:
1、在国内工商管理部门注册,具有独立的法人资格;
2、本项目内容在其经许可的经营范围内;
3、未被“信用中国”网站(www.creditchina.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单。(请提供网页截图及前3年内在经营活动中没有重大违法记录的书面声明);
4、本项目不接受联合体投标。
六、报名需提交材料:
1、投标函加盖单位公章(见招标管理--流程表单--附件1)
2、招标采购项目报名表;(见招标管理--流程表单--附件2)
3、投标公司资质:法人营业执照(三证合一)、税务登记证、组织机构代码证、经营许可证、经营备案凭证等的复印件。
4、法定代表人身份证明和授权委托书格式要求(见招标管理--流程表单--附件3)
5、未被“信用中国”网站(www.creditchina.gov.cn)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单。(请提供网页截图及前3年内在经营活动中没有重大违法记录的)
6、提供服务承诺函,承诺内容包含但不仅限于规格要求及资质要求的相关内容
要求:投标公司将招标采购项目报名表于 **** 17:00之前将扫描件发送至****@163.com邮箱。其他材料请加盖单位公章按要求装订成册(格式要求见招标管理-流程表单-附件3),一正本,两副本,密封后于**** 17:00之前邮寄或直接送达。
标书封面注明投标项目、联系人及联系电话,开标时间另行通知(所有标书概不退还)
七、报名截止日期:****
八、联系方式:
联系科室:河北省承德市点击登录查看门诊四楼419室采购办
联系人:点击登录查看
联系电话:****