您好,欢迎访问东营市第二人民医院 官网!
院办公室:0546-6881821 客服部:0546-6852222
资讯详情
东营市第二人民医院
信息平台系统安全等级保护测评服务项目
院内竞争性磋商公告
项目名称:信息平台系统安全等级保护测评服务项目
招标时间:2020年9月30日(周三)上午9:00
招标地址:东营市广饶县大王镇常春路28号 东营市第二人民医院 妇女儿童医院门诊部五楼会议室
一、项目编号:DYEY2020057#
二、招标内容:
见附件
三、投标人资格要求
1.符合《中华人民共和国政府采购法》第二十二条规定;
2.具备《信息安全等级保护测评机构推荐书》;
3.具备该项目相应的履约能力。
四、招标文件要求:本次招标不发售招标文件,请参加招标的投标人按照以下内容及顺序要求制作设备投标标书正本一份、副本四份(副本内容与正本相同,不需要盖章):
(一)企业基本概况;
(二)实施所投项目的基本条件和优势(类似项目业绩);
(三)有效的《信息安全等级保护测评机构推荐书》;
(四)相关资信证明文件:
1.投标人法人营业执照副本复印件加盖投标人公章并注明 “与原件一致”字样的法人营业执照副本复印件或其国家公证机构出具的公证书(投标人所提交的上述资料必须体现投标人已经按照相关法律法规的规定,按时参加并通过了工商行政管理部门组织的年检活动的相关内容)。
2.公司授权委托书及委托代理人本人的身份证复印件。
3.其他相关资信证明文件。
(五)项目报价单。
五、评标办法
评分项目 |
分值 |
要求及说明 |
|
1、价格分 (30分) |
30 |
基准价为各投标人有效投标报价的算数平均值;投标人的报价得分=30-|投标报价-基准价|/基准价×30。备注:评标小组有权判定明显低于成本的不合理超低价投标是无效投标,将不计入基准价计算。 |
|
2、技术实力 (45分) |
资质 情况 |
25 |
|
合同 案例 |
10 |
自2017年9月1日以来(以合同签订日为准)相关业绩证明合同金额超过50万元以上服务项目案例,每有一项得2分,最多得10分。(要求提供合同原件) |
|
人员情况 |
10 |
参与项目的实施团队需具备等保测评师资质,其中包括高级测评师、CISP资质、CISA、ITIL证书、CISAW(风险管理专业级认证)证书、CISSP证书、NSATP-A证书、项目经理资质,PMP证书、团队全部具备得10分;部分具备得5分;不具备不得分。(投标人需提供资格证书原件和人员社保证明) |
|
3、技术方案 (25分) |
等保测评方案 |
10 |
投标人应提供等级保护测评方案,方案包含测评目标、内容、方法等内容,方案要求描述清晰、科学规范、可行。评标小组根据测评方案与信息系统实际情况的贴合程度分三个档次打分,满分10分。优,得8-10分;良,得5-7分;一般,得1-4分。 |
检测 工具 |
3 |
具有自主研发的等保测评评估服务工具得3分。(需提供著作权证明和产品登记证明原件) |
|
5 |
投标人应具有满足项目实施要求的测试仪器设备,涵盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全和软件产品安全测试等方面,以及自动化的漏洞发现与验证平台。评标小组根据投标人提供的仪器设备配备情况打分,满分8分。优,得6-8分;良,得3-5分;一般,得1-2分。 |
||
7 |
具有国家信息安全漏洞库三级及以上技术支撑单位得3分 每增加CNVD原创漏洞证明,每有一项得1分,共4分。 |
||
合计 |
100分 |
1+2+3 |
六、付款方式
项目完成,中标方提供《以电子病历核心的医院信息平台等保测评报告》,院方一次性全额支付服务费用。
七、联系方式
联系人:于老师
电话:0546-6883295
技术联系人:刘老师 13792054336
地址:东营市广饶县大王镇常春路28号 东营市第二人民医院妇女儿童医院门诊部312招标办
东营市第二人民医院
2020年9月25日
附件:
东营市第二人民医院
以电子病历为核心的医院信息平台系统
安全等级保护测评服务要求
一、项目背景
为进一步加强信息安全管理,提高信息系统安全水平,根据公安部等有关开展等级保护工作的相关要求,我单位将开展以电子病历核心的医院信息平台系统的安全等级保护测评工作,提前发现信息系统中存在的安全风险和漏洞,形成安全测评与分析方案及相关报告,据此提出信息系统安全等级保护整改和解决方案,避免安全事件对信息管理带来损失;完善信息系统安全管理制度,提升信息系统安全管理水平,做好今后信息系统安全建设的指导和规范。
二、主要参考标准
- 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);
- 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。
- 《信息安全技术 信息系统安全等级保护基本要求》( GB/T22239-2008)
- 《信息安全技术 信息系统安全等级保护定级指南》(GB/T 22240-2008)
- 《信息安全技术信息系统安全等级保护实施指南》
- 《信息安全技术信息系统安全等级保护测评要求》
- 《信息安全技术信息系统安全等级保护测评过程指南》
- 《政府信息系统安全检查办法》(国办发[2009]28号)
- 《2010年度政府信息系统安全检查指南》(工信部协[2010])
- 《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
- 《信息安全技术信息系统通用安全技术要求》(GB/T20271-2006)
- 《信息安全技术网络基础安全技术要求》(GB/T 20270-2006)
- 《信息安全技术操作系统安全技术要求》(GB/T 20272-2006)
- 《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
- 《信息安全技术服务器技术要求》(GB/T 21028-2007)
- 《信息安全技术终端计算机系统安全等级技术要求》(GA/T 671-2006)
- 《信息安全技术信息系统安全管理要求》(GB/T20269-2006)
- 《信息安全技术信息系统安全工程管理要求》(GB/T20282-2006)
- 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
三、测评目的
1、通过等级保护测评,验证以电子病历核心的医院信息平台系统的网络的安全性;
2、对以电子病历核心的医院信息平台系统的网络安全状态做出判断,验证其是否符合等级保护要求。同时,将测评结论作为进一步完善系统安全防护措施的依据。
四、项目原则
1、保密性原则:双方签订信息保密协议,要求服务提供商采取必要的控制措施避免用户信息的泄漏。
2、规范性原则:服务提供商在项目实施过程中应按照国家标准规定的标准和流程进行测评,保证测评结果安全服务的有效、可靠。
3、适度安全原则:遵循适度安全原则,综合考量成本与效益因素,提出信息系统安全等级保护整改方案,指导整改工作。
4、最小影响原则:信息系统安全测评过程需要对在线的主机、网络设备、数据库、信息系统等进行审计、扫描和调研,需要对有关员工进行抽样访谈,因此难免会影响到相关人员和系统的正常工作。服务提供商应采取必要措施减少实际影响,尽可能地保障评估工作不会影响到用户的日常工作和系统运行。
5、整体性原则:服务提供商应从信息系统整体性考虑,避免对设备的孤立评估,避免出现偏颇的测评效果。
6、客观公正原则:服务提供商应在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
7、符合性原则:测评所产生的结果是在对测评指标的正确理解下所取得的良好的判断。服务提供商在测评实施过程中应当使用正确的方法以确保其满足了测评指标的要求。
五、服务要求
协助完成如下材料整理工作:
(1)系统拓扑结构及说明;
(2)系统安全组织机构和管理制度;
(3)系统安全保护设施设计实施方案或者改建实施方案;
(4)系统使用的信息安全产品清单及其认证、销售许可证明;
(5)测评后符合系统安全保护等级的技术检测评估报告;
拟定级系统如下:
系统名称 |
等级保护定级情况 |
备注 |
|
1 |
以电子病历核心的医院信息平台 |
三级 |
|
1、系统等级保护测评
本次参与测评的系统为内部及外部业务系统。
(1)测评方式
等级测评主要分为单元测评和整体测评:
单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面,测评《信息系统安全等级保护基本要求》(GB/T 22239-2008)所要求的基本安全控制在信息系统中的实施配置情况;
整体测评应主要测评分析信息系统的整体安全性,内容上应包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。
(2)测评内容
包括但不限于以下内容:
①安全技术测评
安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。
物理安全测评:测评信息系统的物理安全保障情况。主要涉及对象为机房、网络综合布线等基础物理环境。
网络安全测评:测评信息系统的网络安全保障情况。主要涉及对象为网络互联及访问、网络安全防护体系和整体网络结构等三大类对象。
主机安全测评:测评信息系统的主机安全保障情况。本次重点测评小型机及重要PC服务器的设备安全性和其上运行的操作系统、数据库管理系统的安全性。
应用安全测评:测评信息系统的应用安全保障情况。主要涉及对象为核心应用系统。
数据安全测评:测评信息系统的数据安全保障情况。主要涉及对象为在用信息系统的管理数据及业务数据等。
②安全管理测评
安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。
安全管理制度测评:测评信息系统运营使用单位是否建立一套完整的信息安全管理体系,防止员工的不安全行为引入风险。测评内容包括信息安全总体政策方针、具体管理制度和各类操作规程。
安全管理机构测评:测评信息系统运营使用单位是否建立起健全、务实、有效、统一指挥、统一步调的安全管理机构,明确安全职责。测评内容包括单位岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等。
人员安全管理测评:测评信息系统运行使用单位是否对工作人员建立正确和完善的管理体系,主要测评内容包括人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等。
系统建设管理测评:对信息系统的分析论证、方案设计、采购实施三个阶段的安全管理活动进行测评,主要测评包括可行性分析论证、安全方案设计、产品采购、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级、系统备案、等级测评和安全服务商选择等。
系统运维管理测评:对信息系统建设完成并投入运行后的管理活动进行测评,涉及环境管理、人员管理、资源管理、事件和流程管理及知识管理等方面,主要内容包括环境管理、资产管理、介质管理、设备管理、安全事件管理、知识管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、用户及权限管理、变更和流程管理、备份与恢复管理、应急处置管理等。
投标人按照《GBT22239-2008信息安全技术信息系统安全等级保护基本要求》的要求,结合被测单位被测信息系统的状况和各信息系统安全保护等级的相应等级指标,进行等级保护安全现状分析,并出具详细的《信息系统等级保护测评报告》。
(3)测评工具
需列示用于本次等保测评的监测工具名录。
名录最少应包括以下几个方面:
检测工具类型(如:端口扫描工具、数据路扫描工具、漏洞扫描工具等);
检测工具名称;
检测工具来源(开源、自主研发、采购)。
3、成果交付
该项目提交的文档至少包括如下文件:《以电子病历核心的医院信息平台等保测评报告》;
4、安全服务实施要求
(1)以电子病历核心的医院信息平台系统,安全要求极高,等保测评工作应以不影响系统正常运行为第一要务,坚决避免出现影响系统运行的情况发生。
(2)为确保本项目可以顺利实施,参与技术检测的人员均为中华人民共和国公民,无违法犯罪记录并与招标人签订安全保密协议。
(3)投标方与招标方签订信息保密协议,采取必要的控制措施避免用户信息的泄漏。
(4)在项目实施过程中按照国家标准规定的标准和流程进行测评,保证测评结果的有效、可靠。
(5)从信息系统整体性考虑,避免对设备的孤立评估,避免出现偏颇的测评效果。
(6)在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
(7)测评方案:按照国家相关标准进行信息安全等级保护测评和系统性能测试,需从理论、方法、技术、工具等方面描述测评方案和项目实施方案,其中等级保护测评过程至少包含四个基本阶段:测评准备阶段、方案编制阶段、现场测评阶段、分析及报告编制阶段。测评方案方法、技术层次结构清晰,内容充实,测评过程描述正确、详实的。
(8)测评所产生的结果是在对测评指标的正确理解下所取得的良好的判断。测评实施过程应当使用正确的方法以确保其满足了测评指标的要求。
(9)建设整改方案:提供建设整改方法、技术、工具等详细内容等。
(10)有具体的培训内容、提供相关技术支持,具有CIIPT培训资质能力优先考虑。
(11)提供符合项目的实施要求和进度计划的可实施性。项目的培训计划、技术支持方案的完备和可行性。
(12)提供应急响应服务支撑,具备网络安全应急服务能力优先考虑。
东营市第二人民医院
信息平台系统安全等级保护测评服务项目
项目报价单
序号:DYEY2020057#
项目名称 |
东营市第二人民医院 信息平台系统安全等级保护测评服务 |
投标报价(元) |
|
磋商中报价(元) |
|
最终报价(元) |
|
公司名称(盖章): 联系人及电话:
扫二维码用手机看
联系我们
院办公室:0546-6881821
投诉热线:0546-685(8170)
人事科:0546-6882171
医保办:0546-6625517
医务科:0546-6881812
护理部:0546-6881803
妇女儿童关爱中心:0546-6858668
客服部:0546-6852222
地址:山东省东营市广饶县大王镇常春路28号
互动平台
互联网医院
扫码在线预约