项目概况:
威远县人民医院PACS系统和医院综合管理业务系统等级保护测评服务采购项目(第二次)的潜在供应商应在威远县人民医院获取比选文件,并于 2024 年12月17日 10点00 分(北京时间)前提交响应文件。
项目名称:威远县人民医院PACS系统和医院综合管理业务系统等级保护测评服务采购项目(第二次)
采购方式:比选
预算金额:96,000.00元
最高限价:96,000.00元
采购保证金:本项目不收取保证金。
本项目不接受联合体。
采购需求:
一、★服务要求
(一)项目要求
1、依据《中华人民共和国网络安全法》的相关要求,对采购人的信息系统进行网络安全等级保护测评工作。
2、本次信息安全等级保护测评涵盖安全技术内容包括:
(1)安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。
(2)安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
(3)依据相关的测评准则,结合系统的构成特点,确定具体的测评对象,制定测评方案,通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求,找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保其安全防护水平达到信息系统安全等级保护相应能力的要求。
(二)标准和规范(包括但不限于以下内容,若有最新标准的,按照最新标准执行)
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》
《GB/T22240-2019信息安全技术 网络安全等级保护定级指南》
《GB/T25058-2010信息安全技术 信息系统安全等级保护实施指南》
《GB/T28448-2019信息安全技术 网络安全等级保护测评要求》
《GB/T28449-2018信息安全技术 网络安全等级保护测评过程指南》
(三)服务内容及服务要求
1、测评及评估原则
(1)保密性原则:供应商应与采购人签订保密协议,对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害的权益,否则有权追究的责任。
(2)标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。
(3)规范性原则:供应商工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
(4)可控性原则:项目的进度应符合进度安排,保证对测评工作的可控性。
(5)整体性原则:测评及评估的范围和内容应系统、全面、规范,满足等级保护的相关基本要求。
(6)最小影响原则:技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在许可的条件下进行。
2、实施要求:供应商应详细描述信息系统安全等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。应详细描述测评及评估人员的组成、资质及各自职责的划分。
3、测评人员要求
(1)应配置经验丰富的测评及评估人员进行信息系统安全等级保护测评工作。针对本项目配备项目经理1人,测评工程师不低于2人。
(2)项目经理同时具有商用密码应用安全性评估人员测评能力合格证书、信息(或网络)安全等级测评师(高级)证书、互联网安全评估师证书(CIISA);测评工程师同时具有信息(或网络)安全等级测评师(中级及以上)证书、商用密码应用安全性评估人员测评能力合格证书。
供应商在响应文件中提供上述(2)相关人员相应有效证书复印件及上述(2)相关人员与供应商签订的劳动合同复印件并均加盖供应商公章予以佐证;
4、测评及评估方法
(1)测评及评估方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。
(2)如需对系统安全等级保护测评实施过程中采用在线测评工具,各种工具软件由供应商推荐,经确认后由供应商提供并在工作中使用。
(3)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经确认后由供应商提供并在测评中使用。
5、等级保护测评内容
根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
(1)安全物理环境
安全物理环境针对物理机房提出安全控制要求,主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、安全等级保和电磁防护。
(2)安全通信网络
安全通信网络针对网络架构和通信传输提岀安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。
(3)安全区域边界
安全区域边界针对网络边界提出安全控制要求,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
(4)安全计算环境
安全计算环境针对边界内部提出安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。
(5)安全管理中心
安全管理中心针对整个系统提出安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。
(6)安全管理制度
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
(7)安全管理机构
安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
(8)安全管理人员
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
(9)安全建设管理
系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。
(10)安全运维管理
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
(四)成果资料
在本项目完成后,中标方方须提供以下文档资料:
(1)《信息系统安全问题汇总及整改建议》
(2)《网络安全等级保护等级测评报告》及过程资料
二、★商务要求
1、工期:合同签订后60个工作日内,如因采购人需要整改,则工期顺延。
2、交货地点: 威远县人民医院。
3、付款方式: 签订合同后付60%,出具测评报告取得内江市公安部门颁发的《信息系统安全等级保护备案证明》付40%。
4、验收方法和标准:服务供应商提交《网络安全等级保护测评报告》以及相关的过程材料后,即组织验收。
注:上述标注“★”项的为实质性要求,供应商不满足或不响应的作无效响应处理。
(一)具有独立承担民事责任能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必须的设备和专业技术能力;
(四)具有依法缴纳税收和社会保障资金的良好记录;
(五)参加比选活动前三年内,在经营活动中没有重大违法记录,遵守相关的法律和法规;
(六)本项目不允许联合体参与竞争。
(七)供应商具有有效的《网络安全等级测评与检测评估机构服务认证证书》。
1、比选文件自2024年 12月12日至2024年 12月13日上午8:00-12:00下午14:30-18:00(北京时间)进行获取
2、获取比选文件必须携带下列有效证明文件
2.1供应商为法人或者其他组织的,须提供单位介绍信原件(加盖单位公章)、经办人身份证复印件(加盖单位公章);供应商为自然人的,须提供本人身份证复印件。
2.2 供应商报名登记表
截止时间: 2024年12月17日 10 点00 分(北京时间)
地点:威远县人民医院行政办公楼三楼会议室
时间: 2024年12月17日 10 点00 分(北京时间)
地点:威远县人民医院行政办公楼三楼会议室
采购人:威远县人民医院
地 址:威远县严陵镇五云路110号
联系人:刘老师
电 话:0832-8231745
附件1 供应商报名登记表