2024年03月29日 星期5
通知公告

健康热线:0793-8316120,8209521

地址:上饶市上饶大道55号

公交路线:5,19,40,47,53,V2

欢迎广大患者朋友来我院就诊,对我院工作给予建议意见

电话:0793-8083671

邮箱:jxsrfybj@163.com

上饶市妇幼保健院信息系统等级保护测评服务项目 采购询价公示
来源: 本站原创 作者:佚名 点击数:533 时间:[2022-01-06 10:00:00]

饶市妇幼保健院信息系统等级保护测评服务项目

                     采购询价公示                                              

                         采购项目编号:SRFBXXXC-2022-001

    我院拟对信息系统进行等级保护测评,具体要求见采购明细,现对该项目进行询价,欢迎符合条件的软件开发商参与报价,报价单格式如附件1所示。

采购明细:

序号

项目名称

数量

单位

主要服务要求

预算金额(元)

1

上饶市妇幼保健院信息系统等级保护测评服务项目

1

详见项目需求

 

一、响应供应商资格要求:

1、具有独立承担民事责任的能力;((提供法人营业执照、税务登记证组织、组织机构代码证或三证合一) ;(复印件加盖公章)

2、具有良好的商业信誉和健全的财务会计制度;

3、具有履行合同所必需的设备和专业技术能力;(需提供具备履行合同所具备必需的设备书面承诺函原件、具备履行合同所具有专业技术书面承诺函原件)

4、有依法缴纳税收和社会保障资金的良好记录;(提供2019年至竞谈截止时间前任一个月纳税证明和2019年至竞谈截止时间前任一个月社保证明复印件加盖公章)

5、参加政府采购活动前三年内,在经营活动中没有重大违法记录且未受到国家网络安全等级保护协调工作办公室处罚、警告、勒令整改;(提供自行承诺书并加盖公章)

6、响应供应商必须具有《网络安全等级保护测评机构推荐证书》;(提供复印件加盖公章)

二、采购项目需求

本测评项目包括2个信息系统一年等保测评,具体内容如下:

序号

系统名称

安全保护级别

服务期限

1

LIS系统

Pacs系统

 

三级

一年

 

三、技术要求:

(一)本询价文件提出的是最低限度的要求,响应供应商的方案应达到或优于本询价文件要求,且符合国家有关标准和规范要求。

(二)采购单位:上饶市妇幼保健院

(三)服务内容及要求:

1、等保测评标准和规范

需满足国家信息安全等级保护工作要求和标书中的要求,提供安全建设整改方案;在等保测评中,清晰的阐述了测试对象、测试内容、测试工具、实施方案制定了详细风险管理方案和保密措施,具备充足的网络测试、软件渗透测试、主机测试能力保障;提供《网络安全等级保护测评机构推荐证书》。(提供复印件加盖公章)

2、等保测评服务内容

1)需通过本省公安机关网安部门盖章的系统等级保护定级备案证明;

2)开展等级测评,管理检查和技术检查;

3)信息系统安全风险分析;

4)信息系统的安全建设整改;

5)提供安全加固服务

通过使用公安部一所网防G01安全防护系统,实现威胁感知、自动资产识别、虚拟机安全隔离、数据流可视化、主机内核加固、威胁情报等功能,帮助用户自定义业务系统的安全边界,从而减少风险面的暴露。响应供应商需为公安部一所网防G01授权服务站(提供复印件加盖公章佐证)

3、测评计划:制定详细测评工作计划,说明评估范围、评估对象、工作方法、人员组成和时间计划。

4、交付成果:在测评结束时必须针对被测系统提供《信息系统安全等级保护测评报告》。

5、项目建设要求及说明

a.在安全测评过程中,安全评估等不得影响用户网络的正常运行。

b.安全测评服务单位作为独立的第三方权威的技术机构,应遵循“守法、公正、公平、独立”的原则,依据国家和有关主管部门标准进行,能出具合格的评估报告,并给出相应的整改建议,并协助完成上述安全加固和整改工作。

c.安全测评服务单位必须履行对业主单位的相关信息进行保密的义务。

d.安全测评服务机构应当及时报告项目的进展与汇总情况。

e.项目管理  供应商提供的项目组成员中必须有一名具备高级测评师证书工程师参与项目,为保证防护能力,供应商必须提供一名公安部颁发的网防技术能力认证工程师证书的人员为项目提供全程保障。以上人员供应商必须提供相关证书作为佐证,否则报价无效。

四、商务要求:

(一)履行地点:采购人指定地点。

(二)履行时间:合同生效后60个工作日内完成测评、测试、备案工作(不包含安全建设整改时间),采购人需提供测评环境和条件。

(三)履行期限:除采购人有其他要求外,该项目服务期为自合同签订生效后15个工作日内开始测评服务。

(四)付款方式:递交《信息系统测评报告》后付款100%;

(五)服务期限:合同签订后1年;

1)服务期内,成交供应商根据我单位实际情况,负责对交付成果中的文档进行免费修正、优化、补充和完善。

2)售后服务响应时间要求:接到甲方通知后2小时内进行响应

3)成交供应商交付成果时,需提交采购人信息系统的定级备案、等级测评及安全建设整改相关资料。

五、技术标准:

1、基础类法规与标准

1)《信息安全等级保护管理办法》 (公通字[2007]43号)

2)《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令)

3) 《国家信息化领导小组关于加强信息安全保障工作的意见》 (中办发[2003]27号)

4) 《计算机信息系统安全保护等级划分准则》 (GB17859-1999)

5)《关于开展信息安全等级保护安全建设整改工作的指导意见》 (公信安[2009]1429号)

2、测评技术标准

(1) 《信息安全技术信息系统安全保护等级定级指南》 (GB/T 22240-2008)

(2) 《网络安全等级保护实施指南》 (GB/T 25058-2019)

(3) 《信息安全技术网络安全等级保护基本要求》 (GB/T 22239-2019)

(4) 《网络安全等级保护测评要求》 (GB/T 22448-2019)

(5) 《网络安全等级保护测评过程指南》 (GB/T 22449-2018)

(6) 《信息安全技术网络安全等级保护安全设计技术要求》 (GB/T 24856-2008)

3、其他参考标准

(1) 《信息安全技术 信息安全风险评估规范》 (GB/T 20984-2007)

(2) 《信息安全事件管理指南》 (GB/Z 20985-2007)

(3) 《信息安全事件分类分级指南》 (GB/Z 20986-2007)

(4) 《信息系统安全工程管理要求》 (GB/T 20282-2006)

(5) 《信息化工程安全监理规范》 (GB T 19668[1].6-2007)

4、项目实施流程及交付成果

本项目过程分为阶段

◆项目受理阶段

◆系统定级备案阶段

◆等级测评阶段

◆安全整改方案设计阶段

本项目等级测评阶段的工作流程图所示:(见下页)

 

 

 

1)项目受理

测评机构需测评受理阶段任务中主要是组建等级测评项目组,与被测方进行洽谈,达成初步测评意向,被测方通过招标程序对测评机构需进行公开招标,测评机构需充分考虑项目特殊性编制内容丰富、准确应答、科学合理的《项目投标方案》,并从资料、人员、计划安排等方面为整个等级测评项目的启动做好准备。如项目中标,通过双方审核,签署保密协议、合同、测评协议。测评机构将在两个星期内提供详尽的技术标准、技术文件、培训计划和安全服务进度计划表,召开设计联络会议。

任务描述:

a)向被测单位介绍等级测评的意义和作用

b)本次测评工作的详细流程和工作方法。

c)向被测单位揭示测评风险。说明测评过程中可能带来的风险,并说明测评机构采用怎样的措施规避风险的发生等。

d)向被测单位指出本次安全服务项目过程中可能产生的文件和表单,怎样通过各种质量保障措施达到安全服务工作的效果。包括:《等级测评方案》、《技术测评作业指导书》、《管理测评作业指导书》、《工具测评作业指导书》、《等级测评现场记录》、《会议记录》等

e)向被测单位介绍测评机构技术思路及优势等。

f ) 如项目中标,通过双方审核,签署保密协议、合同、测评协议。

g) 测评机构在15日内提供详尽的技术标准、技术文件、培训计划和安全服务进度计划表。

h) 召开设计联络会议,确定测评机构提交的有关标准及规范,讨论澄清合同文件中的技术条款及相应的配置方案,审查并确定初步的测评和等级测评方案,形成安全服务冻结清单。

2)等级保护测评

在信息系统定级备案后,测评机构被测单位信息系统进行等级测评确定所定等级信息系统当前安全防护现状,找出与国家等级保护要求间的差距,确定安全需求,从而完成安全整改方案设计,设计合理的、满足等级保护要求的《安全整改方案》,以指导信息系统安全建设工程实施。以便顺利的通过等级测评,从而准确、科学的利用资源,避免测评不准和资源浪费

等级测评覆盖物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理共10个层面,内容如下:

等级测评将逐项对照《网络安全等级保护基本要求》(GB/T 22239-2019)各安全要求项,通过人员访谈、配置检查、文档检查、工具测试、渗透测试等方式确定系统当前安全防护现状,判断目前所采取的安全技术措施与等级保护标准要求之间的差距。并由测评机构单位最终形成《等级测评报告》。

 “等级测评阶段”又分为测评准备、方案编制、测评实施、测评分析与报告编制等过程。

1)测评准备过程

本过程是开展现场测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本过程的主要任务是掌握被测系统的详细情况,为实施测评做好文档及测试工具等方面的准备。

2)方案编制过程

本过程是开展测评实施的关键过程,为测评实施提供最基本的文档和指导方案。本过程的主要任务是开发与被测信息系统相适应的测评内容及实施方法等。

3)测评实施过程

本过程是开展等级测评工作的核心过程。本过程的主要任务是按照测评方案的总体要求,严格执行测评实施手册,分步实施所有测评项目,包括单项测评和系统整体测评两个方面,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。

4)分析与报告编制过程

本过程是总结被测系统整体安全保护能力的综合评价过程。本过程的主要任务是根据现场测评结果和《信息安全等级保护测评要求》的有关要求,通过单项测评结果判定和系统整体测评分析等方法,分析整个系统的安全保护现状与相应等级的保护要求之间的差距,综合评价被测信息系统保护状况,并形成测评报告文本。

在完成等级保护安全建设整改后,开展等级测评工作,该工作评是依据《网络安全等级保护测评要求》等技术标准,确定信息系统安全保护能力是否达到相应等级基本要求的过程,是落实信息安全等级保护制度的重要环节,测评机构保证将客观的进行等级测评

各单位在安全实施建设完成后,测评机构按照《信息安全等级保护管理办法》、《信息系统安全保护等级实施指南》,遵循《基本要求》以其他相关标准,对各信息系统的现状进行等级测评,找出信息系统当中存在的不足,并进行风险评估分析,以最终判定该信息系统安全保护能力是否达到相应信息系统等级保护要求,给出等级测评结论

本次等级测评阶段过程中采集与分析得到的数据结果,“等级测评结果”中不符合的测评内容将在等级测评中进行重点测评。如为发生变更,则根据变更后的关联测评项进行重点测评。

 

3)等级保护安全整改方案设计

等级保护测评完成后,开展安全建设整改之前,测评机构需依据信息系统的《信息系统等级保护测评报告》结果情况,按照《信息系统等级保护基本要求》、《网络安全等级保护安全设计技术要求》、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)以及其他相关标准,分析明确信息系统安全需求,针对每一个被测系统设计合理的、满足等级保护要求的《安全整改方案》,制定《安全实施计划》,以指导信息系统安全建设工程实施。安全方案设计由测评机构在开展等级测评的基础上按以下步骤完成:

a)信息系统现状分析

了解掌握信息系统的数量和等级、所处的网络区域以及信息系统所承载的业务应用情况,分析信息系统的边界、构成和相互关联情况,分析网络结构、内部区域、区域边界以及软、硬件资源等。具体可参照《信息系统安全等级保护实施指南》中信息系统分析的内容。

b)信息系统安全保护技术现状需求分析

根据《等级保护测评报告》结果情况,分析目前所采取的安全技术措施与等级保护标准要求之间的差距,分析系统已发生的事件或事故,分析安全技术方面存在的问题,形成安全技术建设整改的基本安全需求。在满足网络安全等级保护基本要求基础上,可以结合行业特点和信息系统安全保护的特殊要求,提出特殊安全需求。具体可参照《信息系统等级保护基本要求》、《网络安全等级保护测评要求》和《网络安全等级保护测评过程指南》等标准。

 c安全建设整改技术方案设计

在进行信息系统安全建设整改技术方案设计时,测评机构需以《信息系统等级保护基本要求》,为基本目标,可以针对安全现状分析发现的问题进行加固改造,缺什么补什么;也可以进行总体的安全技术设计,将不同区域、不同层面的安全保护措施形成有机的安全保护体系,落实物理安全、网络安全、主机安全、应用安全和数据安全等方面基本要求,最大程度发挥安全措施的保护能力。在进行安全技术设计时,参考《网络安全等级保护安全设计技术要求》,从安全计算环境、安全区域边界、安全通信网络和安全管理中心等方面落实安全保护技术要求

d)安全建设整改管理体系设计

在进行安全建设整改管理体系设计,测评机构需依据《信息安全管理体系规范》(BS7799 2:2002)、《信息安全管理实施细则》ISO/IEC 17799:2000)的思想,结合《网络安全等级保护基本要求》(GB/T 22239-2019)内容,同时参照《信息系统安全管理要求》GB/T 202692006标准,对贵单位信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的人员安全管理制度、系统建设管理制度、系统运维管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程等;对未覆盖的安全管理域,制定其相关管理制度和文件。为信息安全管理制度的持续改进提供框架,形成安全管理体系,提高整体的信息安全管理水平。

5、项目实施原则

1客观性和公正性原则

虽然测评工作不能完全摆脱个人主张或判断,但测评机构全体测评人员郑重承诺:在任何情况下测评过程完全没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。

2保密性原则

在参与本项目之前,确保测评机构与被测评信息系统单位已经书面签定《测评保密协议》,全体项目组成员已经与所属单位书面签定《员工保密项目保密协议》,并郑重承诺:服务组全体成员在测评过程中所接触到的一切有关贵单位的信息,有责任有义务保守秘密,在没有得到贵单位的书面许可之前,不得向任何第三方泄密,不得利用它们进行任何侵害被测评信息系统单位安全利益的行为。

3可控性原则

测评机构在开展项目现场实施之前,将严格按照项目管理规范,详细制订《项目实施方案》,精挑项目组成员,并进行严格的资格审查和备案,明确职责分工,并对人员工作岗位的变更执行严格的审批手续,确保人员可控。拟订的《测评方案》(包括测评内容、测评方法、测评工具、测评步骤)均需严格审核,经被测评信息系统单位认可后,项目组严格按照即定方案执行,涉及变更需要严格履行变更控制流程,确保项目可控。

4标准性和规范性原则

信息安全等级保护标准体系已经包含了近70个标准规范或配套标准,对测评过程中任何测评项、任何测评对象均具有对应技术要求、评价方法、规范或指南,测评机构需严格按照标准规范操作实施。

测评过程具有统一的流程,使用的方法和文档,需要具有良好的规范性,便于测评工作的质量保证,并保证测评结果一致性。

a)整体性原则

根据《招标文件》相关材料及可能签订的《测评合同》,在与被测评信息系统单位充分沟通,双方充分理解的基础上,基于明确定义的测评范围和内容,进行全面、系统的测评活动。

测评过程应覆盖信息系统安全所涉及各个层面,并考虑系统各控制间、层面间、系统间的相互关系相互补充、相互抵消),并详细检测和分析。

b)最小影响性原则

在正式开展现场实施之前,确保测评机构与被测评信息系统单位已经书面签定《测评安全责任书》及有效认可《项目实施方案》,对测评过程可能的影响性应充分预见,并通过有效措施保证尽可能小的影响网络和系统的正常运行。对渗透测试工具应事先取得有关专家安全性论证,并明确定义和解释被测评信息系统单位后方可进行。

c)经济性和可重用性原则

基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。

d)可重复性和可再现性原则

不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。

e)结果完善性原则

测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。

f)果重用原则

在信息系统所有安全控制中,有一些安全控制是不依赖于其所在的地点便可测评,即在其部署到运行环境之前便可以接受安全测评。如果一个信息系统部署和安装在多个地点,且系统具有一组共同的软件、硬件、固件组成部分,对于此类安全控制的测评可以集中在一个集成测试环境中实施,如果没有这种环境,则可以在其中一个预定的运行地点实施,在其他运行地点的安全测评便可重用此测评结果。

在信息系统所有安全控制中,有一些安全控制与它所处于的运行环境紧密相关如与人员或物理有关的某些安全控制),对其测评必须在信息系统分发到运行环境中才能进行。如果多个信息系统处在地域临近的封闭场地内,系统所属的机构同在一个领导层管理之下。对这些安全控制在多个信息系统中进行重复测评对有效资源可能是一种浪费,因此,可以在一个选定的信息系统中进行测评,而在此场地的其他信息系统直接重用这些测评结果

专业测评人员以其所掌握的信息安全等级保护测评及风险评估的知识和技能,依据《网络安全等级保护测评过程指南》通过合理抽查方式选择测评对象,采用现场访谈、文档检查、配置检查、工具测试、实地验证及脆弱性分析等测评方法,对被测信息系统安全保护现状提出等级保护测评意见。

g)安全措施实施原则

依据《信息安全等级保护基本要求》标准分层面采取各种安全措施时,还应考虑以下总体性要求,保证信息系统的整体安全保护能力:

1) 构建纵深的防御体系:应从通信网络、局域网络边界、局域网络内部、各种业务应用平台等各层次测评和落实各种安全措施,形成纵深防御体系。

2) 采取互补的安全措施:应充分考虑各个安全控制足见的互补性,关注各个安全控制组件在层面内、层面间和功能间产生的连接、交互、依赖、协调、协同等相互关联关系,保证各个安全控制组件共同综合作用于信息系统的安全功能上,使得信息系统的整体安全保护能力得以保证。

3) 保证一致的安全强度:应将基本安全功能要求,如身份鉴别、访问控制、安全审计、入侵防范、安全标记等内容,分解到信息系统中的各个层面,在实现各个层面安全功能时,应保证各个层面安全功能实现强度的一致性。

4) 建立统一的支撑平台:多数安全功能(如身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等)为了获得更高的强度,均要基于密码技术,为了保证信息系统整体安全防护能力,应建立基于密码技术的统一支撑平台,支持高强度身份鉴别、访问控制、数据完整性、数据保密性、抗抵赖等安全功能的实现。

5)进行集中的安全管理:为了保证分散于各个层面的安全功能在统一策略的指导下实现,各个安全控制组件在可控情况下发挥各自的作用,应建立安全管理中心,集中管理信息系统中的各个安全控制组件,支持统一安全管理。

六、报名方式:

符合资格的供应商可从即日起至2022年1月13日,工作时间报名。

报名地点:上饶市妇幼保健院信息宣传科

采购人名称:上饶市妇幼保健院

详细地址:上饶市信州区上饶大道55号

联系人:徐君辉

联系电话:0793-8209280

 

 

2022年1月6日

上饶市妇幼保健网 上饶市妇幼保健院 版权所有 赣ICP备18010854号-2 后台管理