广安市第三人民医院信息系统等保测评服务项目采购公告-政府采购
· 2024-11-13
广安市第三人民医院
信息系统等保测评服务项目
采购公告
广安市第三人民医院根据工作需要拟通过竞争性谈判采购方式采购 广安市第三人民医院信息系统等保测评服务项目,现面向社会邀请符合本次竞争性谈判采购要求的供应商前来参与。
一、项目概况
本采购项目为广安市第三人民医院信息系统等保测评服务项目,资金来源(财政性资金),预算金额:18万元。
二、资格证明文件
1.具有独立承担民事责任的能力(承诺函)
2.具有良好的商业信誉(承诺函)
3.具有健全的财务会计制度。(承诺函)
4.具有履行合同所必需的设备和专业技术能力。(承诺函)
5.有依法缴纳税收和社会保障资金的良好记录。(承诺函)
6.参加政府采购活动前三年内,在经营活动中没有重大违法记录。(承诺函)
7.不存在与单位负责人为同一人或者存在直接控股、管理关系的其他供应商参与同一合同项下的政府采购活动的行为。(承诺函)
8.营业执照、税务登记证和组织机构代码证或三证(多证)合一的营业执照(正本或副本复印件)。
9.法定代表人及被授权代表身份证明。(复印件)
10.特定要求:具备公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》。(复印件)
备注:资格证明文件为复印件的必须加盖投标人公章(鲜章)。
采购需求/清单
★(一)项目需求
根据《中华人民共和国网络安全法》以及《信息安全等级保护管理办法》等相关要求,采购网络安全等级保护测评服务供应商,对采购人相关信息系统提供网络安全等级保护测评服务,协助采购人对系统进行定级备案,并通过测评查找安全隐患,提供差距分析指导安全建设,最终出具等级保护测评报告。
1.技术安全性测评包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
2.管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
3.等级测评至少包括:按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。编制测评报告,制定并提交《系统信息安全等级测评报告》。
(二)依据标准
①《中华人民共和国网络安全法》
②GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
③GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
④GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
⑤GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》
⑥GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
⑦《信息安全等级保护管理办法》公通字 [2007] 43号
⑧《网络安全等级保护测评机构管理办法》公信安 [2018] 765号
★(三)完成项目所需提交的文档清单
在本项目完成后,服务方须提供以下文档资料:
《信息系统安全问题汇总及整改建议》
《信息系统等保测评报告》及过程资料
(四)项目具体要求
1.对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
2.对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
3.系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
4.投标方根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作。
★(五):测评内容具体要求
(1)安全物理环境
序号 | 工作单元名称 | 工作单元描述 |
1 | 物理位置选择 | 通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 通过访谈、检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 通过访谈、检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 通过访谈、检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 通过访谈、检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 通过访谈、检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 通过访谈、检查机房是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 通过访谈、检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 通过访谈、检查机房供电线路、设备等过程,是否具备提供一定的电力供应的能力。 |
10 | 电磁防护 | 通过访谈、检查是否具备一定的电磁防护能力。 |
(2)安全通信网络
序号 | 工作单元名称 | 工作单元描述 |
1 | 网络架构 | 通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络宽带分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性,以及通信线路、关键设备硬件冗余,系统可用性保证情况。 |
2 | 通信传输 | 通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。 |
3 | 可信验证 | 通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
(3)安全区域边界
序号 | 工作单元名称 | 工作单元描述 |
1 | 边界防护 | 通过访谈、检查、测试边界完整性检查设备,测评分析跨域边界的访问控制和数据流通过边界设备的控制措施,非法内联、外联、无线准入控制的监测、阻断等能力。 |
2 | 访问控制 | 通过访谈、检查、测试网络访问控制设备策略部署,测试系统对外暴露安全漏洞情况等过程,测评分析对进出网络的数据流量控制以及基于应用协议和应用内容的访问控制能力。 |
3 | 入侵防范 | 通过访谈、检查、测试网络边界处、关键网络节点检测、防止或限制从内部和外部发起网络攻击行为的防护能力,以及网络行为分析、监测、报警能力,特别是新型网络攻击行为的分析,对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。 |
4 | 恶意代码和防垃圾邮件 | 通过访谈、检查、测试关键网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况, |
5 | 安全审计 | 通过访谈、检查网络边界、重要网络节点安全审计情况等,测评分析信息系统审计配置和审计记录保护,审计内容等情况。 |
6 | 可信验证 | 通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
(4)安全计算环境
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 通过访谈、检查、测试对登录的用户进行身份标识和鉴别,是否具有不易被冒用的特点,口令应有复杂度要求并定期更换,以及远程管理安全、双因素鉴别等内容。 |
2 | 访问控制 | 通过访谈、检查、测试是否启用访问控制功能,依据安全策略控制用户对资源的访问;是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限等内容。 |
3 | 安全审计 | 通过访谈、检查安全审计范围及内容。 |
4 | 入侵防范 | 通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警,是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。 |
5 | 恶意代码防范 | 通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制,能否及时识别入侵和病毒行为并将其有效阻断等内容。 |
6 | 可信验证 | 通过访谈、通过访谈安全员,检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。 |
7 | 数据完整性 | 通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
8 | 数据保密性 | 通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。 |
9 | 数据备份恢复 | 通过访谈、检查、测试重要数据本地备份与恢复功能,异地实时备份功能,以及重要数据处理系统的热冗余和高可用性保证等。 |
10 | 剩余信息保护 | 通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除,存有敏感数据的存储空间被释放或重新分配前是否有效清除等。 |
11 | 个人信息保护 | 通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息,对用户个人信息的访问和使用等。 |
(5)安全管理中心
序号 | 工作单元名称 | 工作单元描述 |
1 | 系统管理 | 通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计,以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。 |
2 | 审计管理 | 通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计,以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。 |
3 | 安全管理 | 通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计,以及是否通过安全管理员对安全策略、参数进行配置等。 |
4 | 集中管控 | 通过访谈、检查、测试是否具有特定的管理区域,对分布在网络中的安全设备或安全组件进行集中管控,对网络链路、安全设备、网络设备和服务的运行进行集中监测,对分散在各设备上的审计数据进行收集汇总和集中分析,并确保记录留存符合法律法规要求,对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析等。 |
(6)安全管理制度
序号 | 工作单元名称 | 工作单元描述 |
1 | 安全策略 | 通过访谈、检查网络安全工作的总体方针我安全策略是否全面、完善。 |
2 | 管理制度 | 通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。 |
3 | 制度和发布 | 通过访谈、检查管理制度定期评审和修订情况。 |
4 | 评审和修订 | 通过访谈、检查管理制度在内容覆盖上是否全面、完善。 |
(7)安全管理机构
序号 | 工作单元名称 | 工作单元描述 |
1 | 岗位设置 | 通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 通过访谈、检查各个岗位人员配备情况。 |
3 | 授权和审批 | 通过访谈、检查对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 通过访谈、检查安全工作的审核和检查情况。 |
(8)安全管理人员
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 通过访谈、检查人员离岗时是否按照一定的手续办理。 |
3 | 安全意识教育和培训 | 通过访谈、检查是否对人员进行安全方面的教育和培训。 |
4 | 外部人员访问管理 | 通过访谈、检查对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
(9)安全建设管理
文章推荐:
新疆艾比湖湿地国家级自然保护区2024年基层管护站通电建设项目竞价公告
安徽省公共卫生临床中心(芜湖)皖南医学院第一附医院(弋矶山)医院北区项目高压供电汤沟变外线变更工程
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
