一、项目基本情况
1、采购项目名称:济南市济阳区中医医院信息系统网络安全等级保护测评项目
2、项目编号:JYQZYYY-ZWK-2022-09
3、预算金额:8.5万元之内。供应商的报价不得高于预算,否则作无效报价处理。
4、项目概况:
4.1 济南市济阳区中医医院信息系统等级保护测评项目
4.1.1、等保测评目标
根据国家相关标准要求,进行等级保护测评。通过测评发现与信息安全等级保护基本要求存在的差距,根据测评结果进行整改,缩小与基本要求之间的差距,提高系统的安全保护能力。
4.1.2、信息安全管理规章制度的建立目标。
根据《网络安全法》的要求和本单位管理需求,协助梳理编制信息安全管理制度:信息安全总则、信息系统建设安全管理制度、信息系统运维安全管理制度、信息安全培训及考核管理办法、信息资产安全管理规定、数据中心机房管理规定、信息系统应急预案及处理办法等。
4.2 测评范围 针对如下系统开展等级保护测评工作:
(1)以电子病历为核心的医院信息管理系统测评等级为三级。
(2)医院官方网站测评等级为二级。
4.3 评测内容
依据《信息安全技术-网络安全等级保护基本要求》(GB/T22239-2019)等管理规范和技术标准,检测信息系统安全等级保护状况是否达到相应等级基本要求,通过等级测评进行现状分析,确定系统的安全保护现状和存在的安全问题。
包括安全技术测评和安全管理测评,其中安全技术测评包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;安全管理测评包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(1)、物理安全
针对物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标,判断出与其相对应的各测评项的测评结果。
(2)、网络安全
针对网络安全方面的“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等测评指标,判断出与其相对应的各测评项的测评结果。
(3)、主机安全
针对主机安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码防护”、“资源控制”等测评指标,判断出与其相对应的各测评项的测评结果。
(4)、应用安全
针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、 “通信完整性”、“通信保密性”、“软件容错”、“资源控制”等测评指标,判断出与其相对应的各测评项的测评结果。
(5)、数据安全及备份恢复
针对数据安全方面的“数据完整性”、“数据保密性”、“备份和恢复”等测评指标,判断出与其相对应的各测评项的测评结果。
(6)、安全管理制度
针对安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
(7)、安全管理机构
针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
(8)、人员安全管理
针对人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(9)、系统建设管理
针对系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
(10)、系统运维管理
针对系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。
4.4、测评工作流程
信息安全等级测评过程分为四个基本测评工作:测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级,等级越高,对应的基本要求项越多,所需进行的测评工作量也就越大。
(1)、测评准备工作
测评准备工作的主要任务包括:项目启动、信息收集和分析、工具和表单准备。
(2)、方案编制工作
方案编制活动的主要任务包括:测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。
(3)、现场测评工作
现场测评工作的主要任务包括:现场测评准备、现场测评和结果记录、结果确认和资料归还。
(4)、报告编制活动
报告编制活动的主要任务包括:单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。
最终出具信息安全等级测评报告,经被测单位确认,提交公安局网安部门进行备案。
4.5、项目交付成果
该项目提交的文档至少包括如下文件:
(1).《网络安全等级保护测评方案》
(2).《网络安全等级保护测评计划》
(3).《网络安全等级保护测评报告》
4.6、项目实施要求
(1)、人员要求
需提供项目组成员信息,包含工作年限、项目经历及相关资质证书等。
项目团队不少于4人,人员要求如下:
a.项目经理须具备中级以上信息安全等级测评师证书;
b.项目成员应包含网络、主机、安全等方面的技术专家;
c.负责本项目等级测评的项目组成员需具备信息安全等级测评师证书;
(2)、工期:签订合同后30天内完成并交付测评报告。
二、申请人的资格要求:
1、供应商具备有效的营业执照及相应的经营范围,并在人员、设备、资金等方面具有相应的能力;
2、在“信用中国”(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)、“信用山东”(www.creditsd.gov.cn)等网站中被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商,不得参加本次采购活动;
3、具有公安部第三研究所认证发布的《网络安全等级测评与检测评估机构服务认证证书》。
4、服务期限:签订合同后1年,成交人一年巡检次数不少于2次;
三、报名时间、地点及方式
1、时间:2022年09月2日至2022年09月4日(上午9:00至下午5:00)
2、地点:济南市济阳区中医医院(纬二路112号)
3、方式:凡有意参加本项目的供应商,在规定的报名时间内到指定地点持下列资料报名:
(1)营业执照副本;
(2)法定代表人证明书或法人授权委托书(授权代理人到场的);
(3)法定代表人或授权代理人身份证。
以上资料均须携带原件或复印件,复印件需加盖公章,简单装订。
四、提交报价文件截止时间、地点及方式
1、时间:2022年09月4日17点30分(北京时间)
2、地点:济南市济阳区中医医院门诊楼3楼小会议室
注:逾期未到达指定地点的,采购人不予受理。
五、评审方法:综合评分法。
评 分 因 素 | 分 值 分 配 | 权 值 分 配 |
A.投标报价 | 30分 | 30% |
B.对招标文件响应程度 | 61分 | 61% |
C.服务情况 | 5分 | 5% |
D. 优惠条件 | 4分 | 4% |
六、项目联系方式
1、采购单位:济南市济阳区中医医院
2、联系人:任传路
3、联系方式:15966686838
4、地址:济南市济阳区纬二路112号
发布公告日期:2022年9月1日
地址:济阳区纬2路112号 联系电话:0531-84211026 版权所有济南市济阳区中医医院 鲁ICP备2023020274号-1 中文版: 鲁公网安备 37012502000367号