上饶市第二人民医院网络安全等级保护测评项目需求

1、医院HIS系统三级等保（1次）

2、医院EMR系统三级等保（1次）

3、漏洞扫描（2次）

4、网络安全培训（2次）

5、应急模拟演练（1次）

6、其它安全服务

7、所有参数必须做响应偏离表

(1) 提供法人或者其他组织的营业执照等证明文件，自然人的身份证明。

(2) 有依法缴纳税收和社会保障资金的良好记录：提供近六个月内任意一个月依法缴纳税收和社会保障资金的相关材料。

(3) 具备履行合同所必需的业技术能力的证明材料。

(4) ****政府采购电子卖场供货单位中的供货商，提供截图。

(5) ****政府采购活动前三年内在经营活动中没有重大违法记录的书面声明。

1、本项目技术依据

《中华人民**国网络安全法》

《网络安全等级保护实施指南》（GB/T25058-2019）

《网络安全等级保护基本要求》（GB/T22239-2019）

《信息系统安全保护等级定级指南》（GB/T22240-2008）

《网络安全等级保护测评过程指南》（GB/T28449-2018）

《网络安全等级保护测评要求》（GB/T28448-2019）

《信息安全技术网络安全等级保护安全设计技术要求》（GBT25070-2019）

2、项目清单

3、项目服务期以及服务范围

3.1服务期：本项目服务期为12个月。

3.2服务范围：本次安全等级测评分为安全技术测评和安全管理测评两个方面，技术安全测评包括物理安全、网络安全、主机安全、应用安全、数据安全和备份恢复，管理安全测评包括安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理。

4、服务内容与要求

4.1、开展信息系统等级保护测评

工作阶段、流程、内容、及成果交付严格遵循《信息安全技术网络安全等级保护定级指南》GB/T22240-2020和《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019））文件，根据系统等级开展相应级别的单项测评和整体测评。

按照《信息安全等级保护管理办法》、《信息安全技术网络安全等级保护定级指南》GB/T22240-2020，遵循《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019））等技术标准，从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评，并参考被测单位自身信息安全管理要求，从安全控制间、层面间、区域间和系统结构间的综合分析进行整体测评。

为了减少数据泄露和系统入侵的风险，提升等保测评服务质量，供应商应使用专业化测评工具辅助完成测评工作，并且该工具应具备以下几点功能：

①支持自动化开展渗透测试，集成服务涉及的渗透报告生成工具，填写被测对象的IP、URL、风险评估、编号、攻击向量、整改建议和整改情况记录等关键信息，同时发现的漏洞可关联漏洞归属，漏洞类型，漏洞级别等功能。

②支持以excel报表格式导入渗透测试报告，展示漏洞是否整改、未整改或忽略的处置状态，最终自动形成渗透测试台账。可在系统查看渗透测试结果，以图表形式可视化展现漏洞风险级别比例、风险应用比例，可对渗透报告中的漏洞进行跟踪确认。

③支持对测评发现的高危漏洞可帮助采购人进行漏洞闭环处置，基于告警风险值或者定向源产生的漏洞进行屏蔽封堵，包括可利用漏洞、版本漏洞等风险。

（针对以上①-③点提供相关功能截图、原厂商授权函并加盖原厂公章予以佐证，未提供或提供不符合要求视为无效响应）

交付要求：工作过程文件及项目交付成果包括但不限于：《信息安全等级保护等级测评报告》。

4.2、协助完善信息安全管理制度

对医院信息安全管理现状进行需求分析，确**全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等；对未覆盖的安全管理域，制定其相关管理制度和文件。

交付要求：输出文档包括但不限于《信息安全管理制度汇编》等。

4.3、协助安全整改工作

在测评工作的基础上，对医院信息安全管理和技术方面现状进行全面的分析，制订信息安全等级保护安全整改方案，出具方案后，需以此方案为基础，开展安全整改咨询和系统加固工作，最终使我院安全管理和技术两方面达到相应等级的保护要求。

交付要求：工作过程文件及交付成果包括但不限于：《信息安全等级保护安全整改方案》。

4.4、漏洞扫描

为医院提供两次的漏洞扫描服务，要求供应商使用的漏扫工具支持内置漏洞扫描功能，同时能够针对主机和网站进行不同类型的扫描；能够进行多个IP扫描，能够支持设置扫描周期，支持查看漏洞数量。（供应商需提供具有CMA和CNAS标识的工具功能检测报告原件扫描件及授权函并加盖制造商公章，注：须在报告中通过醒目标识展现出对应功能点的检测情况。）针对报告扫描过程中发现的系统脆弱性做出详细的说明，以及从脆弱性可能引发的安全隐患或者安全事件，并提供基本的修补建议。

交付要求：工作过程文件及交付成果包括但不限于：《漏洞扫描报告》。

4.5、网络安全培训

4.5.1、安全意识培训

安全意识培训主要包含法律法规解读、安全意识防范案例分析。从网络安全概述入手，通过典型事例了解网络安全的重要性，同时对网络安全法律法规的学习和了解，帮助参训人员更好的规范自身的行为，维护自身的权益；办**全主要讲解作为企业员工，如何规范防止因个人安全意识的缺失造成企业的严重损失；个人安全主要以个体为单位，主要了解如何保障个人隐私安全、防止信息泄漏等。

交付要求：工作过程文件及交付成果包括但不限于：《安全培训课件》。

4.5.2、安全管理培训

信息安全管理培训主要包含信息安全标准、等级保护建设、信息安全评估、安全管理体系等。通过信息安全管理培训内容，提升参培人员的安全意识、安全管理知识水平、安全管理操作能力，增广信息安全的视野，提高参训人员在本职工作中信息安全管理各项工作的实际操作水平。

交付要求：工作过程文件及交付成果包括但不限于：《安全培训课件》。

4.6、应急模拟演练

针对应急预案，协助医院定期模拟进行网络安全事件应急演练，规范应急响应流程和管理，找出应急流程和技术实现不足之处，并不断对演练过程进行完善，提高医院处置网络与信息安全突发事件的能力，落实和完善网络安全事件应急响应预案，全面加强信息系统应急管理工作。

交付要求：工作过程文件及交付成果包括但不限于：《应急演练脚本及总结》。

4.7、其它安全服务

4.7.1安全应急响应

针对主要的四**全事件（有害程序事件、网络攻击事件、信息破坏时间、设备设施故障事件）进行快速响应，当发现安全应急事件，供应商加派1名网络安全工程师4小时内赶赴现场进行应急响应，最大程度上减少因为信息安全事件而带来的直接或间接的经济损失，缩小事件影响范围，并记录事件处置过程，事后出具《安全事件分析与处置报告》。

交付要求：工作过程文件及交付成果包括但不限于：《安全事件总结报告》。

4.7.2网络安全风险评估

提供至少4****医院****医院网络安全风险进行评估并提出整改意见，出具《网络安全报告》的服务。

5、服务实施要求

5.1实施要求

5.1.1成交供应商提供的资格、资质等证明文件应真实有效；

5.1.2成交供应商在项目现场实施周期内，必须为本项目成立等级保护测评项目部，安排包括项目****小组进场调研、测评工作；

5.1.3在采购方进行整改过程中提供必要的技术支持；

5.1.3能按照采购方规定的工作内容及进度安排协助完成等级保护工作。

5.2项目管理要求

5.2.1组织实施要求

供应商应安排专职项目经理负责本次项目的实施；供应商应保证项目团队成员的稳定，以保证服务的质量和连贯性。

5.2.2人员安排要求

为了满足测评的实施质量，要求供应商拟派一名项目经理，具备信息安全等级测评师（高级）证书、信息安**标制定实力，参与国家信息安全标准起草。（供应商须在服务响应文件中出具符合上述要求的服务承诺函并加盖公章，未提供则视为无效响应。）（说明：签订合同前拟中标服务供应商须提供上述证书或证明材料扫描件及开标前三个月投标人为其缴纳的社保证明材料加盖公章，未提供或提供不符合要求视为虚假应标取消中标资格。）标书代写

5.2.3服务工具要求

为保障项目实施质量，供应商须对采购人的IT资产（网络设备、安全设备等）进行梳理，供应商须使用资产台账管理系统参与本次项目的实施，且实施工具满足以下功能点：

（1）支持从网络安全等级保护基本要求的十大层面进行资产管理（网络、安全、服务器系统等）；

（2）支持漏洞等级通告、支持密码、越权等进行动态展示，支持对于用户异常、脆弱性、Web弱口令等行为进行动态监测展示；

（3）支持自定义测评/检查任务并且生成网络安全监督测评/检查表，支持表格的在线填报。

（响应文件中提供以上（1）-（3）点具有CMA和CNAS标识的第三方检测机构出具的检测报告原件扫描件，以上材料加盖供应商公章。注:功能点需通过醒目标识标记出对应功能点在报告中的检测情况，且报告时间需早于本次采购文件挂网时间，未提供或提供不符合要求视为无效响应。）标书代写

上述服务工具需完成与主流国产化厂商的适配，取得中标**兼容性适配证明，供应商须提供加盖公章的适配认证佐证材料（未提供或提供不符合要求视为无效响应），确保满足国产化环境运行要求。

5.3保密要求

供应商须保证对本项目实施中所获得任何资料和信息严格保密，并与医院签订保密责任书。