攀枝花市第二人民医院网络安全等级保护测评服务比选公告

www.panzhihua.gov.cn     发布时间:2019-07-11     来源:攀枝花市第二人民医院      选择阅读字号:[ ]     阅读次数:

  我院就HIS、LIS、PACS信息系统等级保护测评服务(三级)进行比选,欢迎有资质的单位前来参加本项目合作比选。

  一、比选单位:攀枝花市第二人民医院

  二、比选地点:同上

  三、比选服务内容:对攀枝花市第二人民医院HIS、LIS、PACS信息系统(三级)开展等级保护测评,并协助指导整改及备案登记工作。

  四、最高限价:24万元

  五、参选条件

  1、具有独立承担民事责任的能力;

  2、具有良好的商业信誉和健全的财务会计制度;

  3、具有履行合同所必需的设备和专业技术能力;

  4、有依法缴纳税收和社会保障资金的良好记录;

  5、参加政府采购活动前三年内,在经营活动中没有重大违法记录;

  6、法律、行政法规规定的其他条件。

  7、具有信息安全等级保护测评机构推荐证书。

  8、参选机构在四川省公安厅信息安全等级测评机构推荐目录(http://gat.sc.gov.cn/xxgk/gsgaf/tzgg/201711/t20171109_52189.html)中。

  参选单位报名时请携带以下资料:

  保证所提供的各种材料和证明材料的真实性,并承担相应的法律责任。院方在报名时进行资质初审,通过者方可报名。中标后进行资质复审,通过后方可签订供货合同。

  投标人的资质,并提供相应证件(均需加盖印章):

  企业法人营业执照、组织机构代码证;

  法定代表人授权委托书原件及法定代表人、被委托人身份证复印件;

  参选条件1-5规定的承诺函;

  参选条件6-8规定的资质证明;

  技术要求中要求的其它所需资料;

  以上材料在报名时提交比选单位审核

  报价函(需密封提交)

  六、比选办法:

  参选单位报价最低者中标,最低报价出现多个参选单位的情况下择优选定成交方:

  1、参选单位具有中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质证书、AAA信用认证的、近两年参加了由中国合格评定国家认可委员会组织的信息系统安全等级保护测评能力验证,任意一年结果为满意及以上的优先考虑;

  2、参选单位项目组人员具有信息系统项目管理师(高级)证书、咨询师证书,近三年获得公安部颁发的网络安全等级保护测评“先进个人”等荣誉证书的优先考虑,测试人员具有CISP、CIIP、HCNP证书、计算机网络应用与技术支持中级及以上工程师等证书的优先考虑。

  七、报名地点:攀枝花市第二人民医院信息科

  八、报名时间:2019年7月11日  -7月 18 日。

  九、联系方式:0812-3882251,联系人:周老师

  攀枝花市第二人民医院

  2019年7月11日

附件:

技术要求

一、 参考标准要求

投标人应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:

  • GB/T 22239-2008 信息安全技术信息系统安全等级保护基本要求
  • GB/T 22240-2008 信息安全技术信息系统安全等级保护定级指南
  • GB/T 25058-2010 信息安全技术信息系统安全等级保护实施指南
  • GB/T 28449-2012 信息安全技术  信息系统安全等级保护测评过程指南
  • GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求
  • GB/T 20984-2007  信息安全技术  信息安全风险评估规范
  • GB/T 18336.1-2008信息技术安全技术信息技术安全性评估准则

二、测评应满足的原则

本次信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:

1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。

2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。

3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。

4)可控性原则:等保测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。

5)整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。

6)最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

三、本次安全等级保护测评的整体要求

1)投标人应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2)投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

3)本次服务项目实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

4)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标人推荐,经招标人确认后由投标人提供并在测评中使用。

5)安全测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细描述需要的运行环境的具体要求。

四、总体进度要求

信息系统安全等级保护测评整个工作应在合同签定后30天内完成。

五、测评项目

从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面对本次项目所含系统进行测评。(测评须涵盖本项目所列系统涉及的所有硬件及软件)

物理安全测评包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

网络安全测评包括:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护

主机安全测评包括:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防护、恶意代码防范资源控制

应用安全测评包括:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

数据安全包括:数据完整性、数据保密性、数据备份与恢复。

安全管理制度测评包括:管理制度、制定和发布、评审和修订。

安全管理机构测评包括:岗位设置、人员配备、授权和审批、沟通与合作、审核与检查。

人员安全管理测评包括:人员录用、人员考核、人员离岗、安全意识教育和培训、外部人员访问管理。

系统建设管理测评包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。

系统运维管理测评包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

免责声明

1、凡本网注明“来源:攀枝花市电子政务办公室或攀枝花市人民政府网”的所有作品,版权均属于“攀枝花市人民政府网”,未经本网授权不得转载、摘编或利用其它方式使用上述作品。已经本网授权使用作品的,应在授权范围内使用,并注明“来源:攀枝花市电子政务办公室或攀枝花市人民政府网”。违反上述声明者,本网将追究其相关法律责任。

2、凡本网注明“来源:XXX”的作品,均转载自其它媒体,转载目的在于传递365棋牌:信息,并不代表本网赞同其观点和对其真实性负责。

3、如因作品内容、版权和其它问题需要同“攀枝花市电子政务办公室”联系的,请在15日内进行。