位置>千里马招标网> 招标中心> 宁南县中医医院信息系统安全等级保护测评项目询价函
您尚未开通该权限!
咨询客服:400-688-2000,掌握更多商机线索!
- 咨询:400-688-2000查看全部商机
宁**中医医院
信息系统安全等级保护测评项目询价函
各公司:
我院拟遴(略)。按照网信办关(略),和州**局相关通知要求,根据国安家关于信息安全等级保护制度落实的相关要求,对我院(略)。
一、服务内容
系统名称 | 安全等级 |
HIS系统 | 三级 |
LIS系统 | 三级 |
PACS系统 | 三级 |
电子病历系统 | 三级 |
微信公众号 | 三级 |
一、服务内容及要求
(一)、项目目标及范围
根据国家关于信息安全等级保护制度落实的相关要求,对宁**中医医院相关系统开展安全等级测评工作,以指导安全整改,提高信息系统的安全防护能力。
本次测评信息系统为医院核心系统。
(二)、实施依据
本次测评项目实施需遵循以下依据:
1)中华人民*(略)(国务(略));
2)《信息安全等级保护管理办法》
l 《计算机信息系统安全保护等级划分准则》(GB(略)
l 《信息系统安全等级保护定级指南》(GB/T****-****)
l 《信息系统安(略)(GB/T(略))
l 《信息系统安全等级保护测评要求》(GB/T(略)
l 《信息系统安全等级保护测评过程指南》(GB/T(略)
l 《信息安全风险评估规范》(GB/T(略)
l 《信息安全技术 网络安全等级保护实施指南》(GB∕T ****-****)
l 《信息安全技术 网络安全(略)(GB∕T****-****)
l 《信息安全技术 网络安全等级保护安全设计技术要求》(GB∕T(略)
3)信息安全等级保护管理办法(公通字[(略)
4)其它国家、省、行业信息安全等级保护有关要求及标准。
(三)、项目主要服务内容
根据等级保护测评的工作要求,测评范围覆盖安全管理中心、安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度,以及云计算安全、移动互联安全、物联网安全、工控制系统安全等扩展方面的要求。
具体服务内容包括:
(1)协助业主单位进行信息系统的信息安全等级定级和备案工作。
(2)差距测评,至少包括:
安全(略)。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心方面的安全测评。
安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全系统建设和安全系统运维五个方面的安全测评。
形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计(测评(略)况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以、整改意见。
(3)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务。
(4)等级测评,至少包括:
按照等级保护相关标准对系统从安全技术、安全管理等方面进行等级测评工作。
编制测评报告,制定并提交《网络安全等级测评报告》,报告需提交**机关有关部门备案,且能满足合规性要求。
(四)、须提交的交付物
交付物将作为主要验收依据,包括但不限于:
序号 | 文档类型 | 文档名称 |
1 | 项目(略) | 安全差距分析报告 |
2 | 项目实施过程文档 | 网络安全整改建议方案 |
3 | 项目(略) | 网络安全等级测评报告 |
4 | 其他要求的文档 | 根据甲(略) |
(五)、服务内容指标
服务内容:his系统,lis系统,pacs系统,电子(略),微信公众号等核心系统。
1.三级系统通用指标要求
分类 | 子类 | 基本要求 |
安全物理环境 | 物理位置选择 | a) 机房场地应选择在具有防震、防风和防雨等能力的建筑内; |
物理访问控制 | 机房出入口应配置电子门禁系统,控制、鉴别和记录进入的人员。 | |
防盗窃和防破坏 | a) 应将设备或主要部件进行固定,并设置明显的不易除去的标识; | |
防雷击 | a) 应将各类机柜、设施和设备等通过接地系统安全接地。 | |
防火 | a) 机房应设置火灾自动消防系统,能够自动检测火情、自动报警,并自动灭火; | |
防水和防潮 | a) 应采取措施防止(略) | |
防静电 | a) 应采用防静电地板或地面并采用必要的接地防静电措施; | |
温湿度控制 | 应设置温湿度自动调节设施,使机房温湿度的变化在设备运行所允许的范围之内。 | |
电力供应 | a) 应在机房供电线路上配置稳压器和过电压防护设备; | |
电磁防护 | a) 电源线和通信线缆应隔离铺设,避免互相干扰; | |
安全(略) | 网络架构 | a) 应保证网络设备的业务处理能力满足业务高峰期需要; |
通信传输 | a) 应采用校验(略) | |
可信验证 | 可基于可(略)行可信验证,应用程序的关键执行环节进行动态可信验证,在检测到其可信性受到破坏后进行报警,并将验证结果形成审计记录送至安全管理中心。 | |
安全区域边界 | 边界防护 | a) 应保证跨越边(略); |
访问控制 | a) 应在网络边界或区域之间根据访问控制策略设置访问控制规则,默认情况下(略) | |
入侵防范 | a) 应在关键网络节点处检测、防止或限制从(略) | |
恶意代码和垃圾邮件防范 | a) 应在关键网络节点处对恶意代码进行检测和清除,并维护恶意代(略) | |
安全审计 | a) 应在网络边界(略),审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | |
可信验证 | 可基于可信根对边界设备的系统引导程序、系统程序、重要配置参数和边界防护应用程序等进行可信验证,并在应用程序的关键执行环节进行动态可信验证,在检测到其可信(略),并将验证结果(略)。 | |
安全计算环境 | 身份鉴别 | a) 应对登录的用户进行身份标识和鉴别,身份(略),身份鉴别信息具有复杂度要求并定期更换; |
访问控制 | a) 应对登录的用户分配账户和权限; | |
安全审计 | a) 应启(略),审计覆盖到每个用户,对重要的用户行为和重要安全事件进行审计; | |
入侵防范 | a) 应遵循最小安装的原则,仅安装需要的(略) | |
恶意代码防范 | (略)识别入侵和病毒行为,并将其有效阻断。 | |
可信验证 | 可基于可信根对计算设备的系统引导程序、系统程序、重要配置参数和应用程序等进行可信验证, 并在应用程序(略),在检测到其可信性受到破坏后进行报警,并将验证结(略)。 | |
数据完整性 | a) 应采用校验技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等; | |
数据保密性 | a)应采用密码技术保证重要数据在传输过程中的保密性,包括但不限于鉴别数据、重要业务数据和重要个人信息等; | |
数据备份恢复 | a) 应提供重要数据的本地数据备份与恢复功能; | |
剩余信息保护 | a)应保证鉴别信息所在的存储空间被释放或重新分配前得到完全清除; | |
个人信息保护 | a) 应仅采集和保存业务必需的用户个人信息; | |
安全管理中心 | 系统管理 | a) 应对系统管理员(略),只允许其通过特定的命令或操作界面进行系统管理操作,并对这些操作进行审计; |
审计管理 | a) 应对审计管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全审计操作,并对这些操作进行审计; | |
安全管理 | a)应对安全管理员进行身份鉴别,只允许其通过特定的命令或操作界面进行安全管理操作,并对这些操作进行审计; | |
集中管控 | a)应划分出(略),对分布在网络中的安全设备或安全组件进行管控; | |
安全管理制度 | 安全策略 | 应制定网络安全工作的总体方针和安全策略,阐明机构安(略)。 |
管理制度 | a) 应对安全管理活动中的主要管理内容建立安全管理制度; | |
制定和发布 | a) 应指定或授(略) | |
评审和修订 | 应定期对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的安全管理制度进行修订。 | |
安全管理机构 | 岗位设置 | a)应成立指(略),其最高领导由单位主管领导担任或授权; |
人员配备 | a)应配备一定数量的系统管理员、审计管理员和安全管理员等; | |
授权和审批 | a)应根据各个部门和岗位的职责明确授权审批事项、审批部门和批准人等; | |
沟通和** | a) 应加强各类管理人员、组织内部机构和网络安全管理部门之间的**与沟通,定期召开协调会议,共同协作处(略) | |
审核和检查 | a) 应定期进行常规安全检查,检查内容包括系统日常运行、系统漏洞和数据备份等情况; | |
安全管理人员 | 人员录用 | a) 应指定或授权专门的部门或人员负责人员录用; |
人员离岗 | a)应及时终止(略),取回各种身份证件、钥匙、徽章等以及机构提供的软硬件设备; | |
安全意识教育和培训 | a)应对各类人员进行安全意识教育和岗位技能培训,并告知相关的(略) | |
外部(略) | a) 应在外部人(略),批准后由专人全程陪同,并登(略) | |
安全建设管理 | 定级和备案 | a) 应以书面的形式说(略) |
安全方案设计 | a)应根据安全保护等级选择基本安全措施,依据风险分析的结果补充和调整安全措施; | |
产品采购和使用 | a) 应确保网络安(略) | |
自行软件开发 | a)应将开发环境与实际运行环境物理分开,测试数据和测试结果受到控制; | |
外包软件开发 | a) 应在软件交付前检测其中可能存在的恶意代码; | |
工程实施 | a) 应指定或授权(略) | |
测试验收 | a) 应制(略),并依据测(略),形成测试验收报告; | |
系统交付 | a) 应制定交付清单,并根据交付清单对所交接的设备、软件和文档等进行清点; | |
等级测评 | a) 应定期进行等级测评,发现不(略) | |
服务供应商选择 | a) 应确保服务供应商的选择符合国家的有关规定; | |
安全运维管理 | 环境管理 | a) 应指定专门的部门或人员负责机房安全,对机(略),定期对机房供配电、空调、温湿(略) |
资产管理 | a) 应编制并保存与(略),包括资产责任部门、重要程度和所处位置等内容; | |
介质管理 | a) 应将介质存放在安全的环境中,对各类介质进行控制和保护,实行存储环境(略),并根据存档介质的目录清单定期盘点; | |
设备维护管理 | a) 应对各种设备(包括备份和冗余设备)、线路等指定专门的部门或人员定期进行维护管理; | |
漏洞(略) | a) 应采取必要的措(略),对发现的安全漏洞和隐患及时进行修补或评估可能的影响后进行修补; | |
网络和系统安全管理 | a) 应划分不同的管理员角色进行网络和系统的运维管理,明确各个角色的责任和权限; | |
恶意代码防范管理 | a) 应提高所有用户的防恶意代码意识,对外来计算机或存储设备接入系统前进行恶意代码检查等; | |
配置管理 | a) 应记录和保存基本配置信息,包括网络拓扑结构、各个设备安装的软件组件、软件组件的版本和 补丁信息、各个设备或软件组件的配置参数等; | |
密码管理 | a) 应遵循密码相关国家标准和行业标准; | |
变更管理 | a)应明确变更需求,变更前根(略),变更方案经过评审、审批后方可实施; | |
备份与恢复管理 | a) 应识别需要定期备份的重要业务信息、系统数据及软件系统等; | |
安全(略) | a) 应及时向安全管理部门报告所发现的安全弱点和可疑事件; | |
应急预案管理 | a)应规定统一的应急预案框架,包括启动预案的条件、(略) | |
外包运维管理 | a) 应确保外包运维服务商的选择符合国家的有关规定; |
2.测评应满足的原则
本次信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:
(1) 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究供应商的责任。
(2) 标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3) 规范性原则:供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4) 可控性原则:等保测评服务的进度要跟上进度表的安排,保证采购人对(略)。
(5) 整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保(略)。
(6) 最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
3.安全(略)
供应商应在对项目内容充分调研了解的基础上,结合现有运维管理体系和技术状况,根据等级保护相关要求,针对实际业务需要,提出系统建设整改建议。具体应包括:信息安全管理体系、信息安全技术体系等方面。应编制《网络安全整改建议方案》。
4.测评报告编制
安全整改完成后,供应商进行安全问题复测,并进行信息系统等级测评报告编制。测评报告编制需按照**机关颁布最新测评报告模板,对信息系统的安(略),并根据各测评项权重计算各层面得分、信息系统总体得分,并在报告中给出安全问题处置建议。
供应商应针对被测系统出具《网络安全等级测评报告》。
5.安全优化建议方案编制
在测(略),供应商应(略),分析当前安全形势,分析整体安全态势。做出合理的安(略)。
(六)、实施和保障
(一)项目(略)
本项目测评实施要求同步实施、重点先行、阶段性成果展现相结合。具体实现进度要求如下:
1.系统梳理
组建项目组,协助采购人完成待测信息系统梳理工作,出具相应(略)。
2.现场测评
进行现场测评,同时对采购人信(略)。初次测评完成后,提交初评的(略)。
3.整改加固协助
协助采购人针对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的(略)。
4.成果递交
整理(略),向采购人提交被测信息系统安全等级保护测评报告、**机关的定级备案证书以及相应文档。
(二)项目实施要求
供应商应为本项目配置相应的实施团队,负责提供的服务内容至少应包括,但不限于以下各项:
1.协助采购方完成待测信息系统梳理工作,出具相应安全保护等级定级建议。
2.等保测评包括但不限于以下对象:网络结构、网络服务、主机系统、存储备份系统、数据库、中间件、应用系统、数据安全、安全系统、系统安全策略等。
3.供应商应详细描述服务的技术方案,包括准备工作、技术措施、人员安排、时间进度、可能对系统造成的影响等。
4.安全测评工作应选择在非业务繁忙时段进行,将可能带来的(略)。
5.等级保(略),协助采购方整理备案材料和进行主管部门备案。
(三) 项目管理要求
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
1.供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
2.应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力;
3.供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4.测评人员要求
参与此次等级保护测评的供应商其测评人员应具备并符合以下要求:
(1)开展此次等级保护测评工作的人员仅限于中华人民**国境内的中国公民,且无犯罪记录;
(2) 开展此次等级保护测评工作的人员应参加信息安全等级保护测评人员培训、考试,并取得中关村信息安全测评(略)
(3)测评项目组人员在开展等级保护测评工作之前需签订保密协议。
5.测评工具要求
(1) 采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)测评机构所使用的测评工具不会对系统产生破坏或负面影响。
二、商务要求:
付款方式:签订合同后,5个工作日内采购人支付合同总额的40%,剩余60%(略),且提交《网络安全等级保护测评报告》并通过后且通过甲方验收后支付。
二、投标人及投标产品资格、资质性及其他类似效力要求及 证明材料投标人资格、资质性及其他类似效力要求
(一)《中华(略)(一)至(五)规定的条件:
1、具有独立承担民事责任的能力
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必须的设备和专业技术能力;
4、具有依法缴纳税收和社会保障资金的良好记录;
5、参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6、具备法律、行政法规规定的其他条件;
7、投标人单位及其现(略);
8、截止到投标截止时间,在“信用中国”网站((略)gov.cn )、中国政府采购网((略)gov.cn )中被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人不允许参加本次政府采购活动;
(二)资质性要求:
具有网络安全(略)。
二、(略)
1、营业执照复印件、法人代表身份证复印件及相关资质
2、报价文件
报价资料截止时间(略)
联系方式:
地址:**省宁****镇水碾西路6号宁**中医医院
邮箱:(略)
宁**中医医院
(略)
注册会员享贴心服务
项目查询服务
·让您全面及时掌握全国各省市拟建、报批、立项、施工在建项目的项目信息
·帮您跟对合适的项目、找对准确的负责人,全面掌握各项目的业主单位、设计院、总包单位、施工企业的项目经理、项目负责人的详细联系方式
·帮您第一时间获得全国项目业主、招标代理公司和政府采购中心发布的招标、中标项目信息
项目定制服务
·根据您的关注重点定制项目,从海量的项目中筛选出符合您的要求和标准的工程并及时找出关键负责人和联系方式
·根据您的需要,向您指定的手机、电子邮箱及时反馈项目进展情况
- 猜你喜欢
- 更多定安县招标采购信息
- 《公路基础设施数字底座架构关键技术
- 03月08日
- 【银联商务桌面管理系统2024年度
- 03月08日
- 宁南县中医医院 机房维保服务询价函
- 03月08日
- 浙江省绍兴市中级人民法院低值易耗品
- 03月08日
- 东莞农村商业银行数据中心2023年
- 03月08日
- 锐异资环低碳环保装备技术研发及产业
- 03月08日
- 【物资类】中国电建江西水电公司华能
- 03月08日
- 2024年女职中会议记录本制作采购
- 03月08日
- 长汀县城市运行管理服务平台(二期)
- 03月08日
- 西园社区卫生服务中心--保洁和污水
- 03月08日
- [2024000611]便携式计算
- 03月08日
- 广西壮族自治区体育彩票管理中心20
- 03月08日
-
定安县建材网
定安县采购信息网
定安县政府公开信息
定安县公共资源交易网
定安县电力交易中心
定安县交易中心
定安县房产交易中心
定安县工程交易中心
定安县钢铁交易中心
定安县建设交易中心
定安县招投标交易中心
定安县政府交易中心
定安县造价信息网
定安县市政工程信息网
定安县水利工程信息网
定安县通信工程信息网
定安县医药招标网
定安县建筑招标网
定安县工程招标网
定安县建设招标网
定安县施工招标
定安县装饰工程招标
定安县建设工程网
定安县水利招标信息网
定安县电力招标网
定安县建委招投标网
定安县建筑管理网
定安县建设信息港
定安县教育招标网
定安县装修招标
定安县人力和社会保障局
定安县建设网
定安县总包工程
定安县政府工程招标
定安县工程施工招标
定安县工程公开项目
定安县工程采购信息
定安县招标投标采购平台
定安县省市工程建设网