遂宁市安居区人民医院信息安全等级保护测评服务采购项目竞争性谈判公告（第二次）

正文内容

附件*谈判邀请.docx 项目概况 **********信息安全等级保护测评服务采购项目 采购项目的潜在供应商应在***经开区**路向山小区三期商业楼**号门面*楼获取采购文件，并于****年**月**日 **点**分（**时间）前提交响应文件。 一、项目基本情况 项目编号：FFLY-****-** 项目名称：**********信息安全等级保护测评服务采购项目 采购方式：竞争性谈判 预算金额：**.****** 万元（人民币） 最高限价（如有）：**.****** 万元（人民币） 采购需求： （一）项目背景 为了贯彻落实**部、网信办等有关信息应用系统安全等级保护要求，进一步增强系统安全防护能力，确保系统安全稳定运行，防止因系统安全事件引发安全事故，依据《信息安全技术网络安全等级保护基本要求》(GB/T *****-****)《信息安全技术网络安全等级保护测评要求》(GB/T*****-****) 《信息安全等级保护管理办法》(公通字〔****〕**号)和《中华人民**国网络安全法》等标准规范，**********特开展此次网络安全等级保护测评工作。 （二）建设规模 我院****年度网络安全等级保护测评建设项目拟依据《中华人民**国网络安全法》《信息安全技术网络安全等级保护基本要求》(GB/T *****-****)《信息安全等级保护管理办法》(公通字〔****〕**号)等法律及标准规范，对**********（三级）进行网络安全等级保护测评。 （三）项目内容 主要内容有： *.**********等级保护测评(三级)； （四）项目目标 依据《信息安全技术网络安全等级保护测评要求》,按照《信息安全技术网络安全等级保护测评过程指南》(GB/T *****-****)要求，采取相应的测评方法(包括：访谈、检查、测试),按照相应的测评规程对测评对象(包括：制度 文档、各类设备、安全配置、相关人员)进行相应力度(包括：广度、深度)的单元测评、整体测评，全面了解和掌握我院信息应用系统现有安全状况，找出其与《信息安全技术网络安全等级保护基本要求》对应级别的差距，及时发现系统存在的安全问题，针对等级保护测评中发现的各种安全风险进行分析评估，测评项目组提出合理化整改建议，最终提交相应的信息系统等级保护测评报告并通过审核。 （五）项目测评依据 此次依据的标准包括但不限于以下内容： 《信息安全等级保护管理办法》(公通字〔****〕**号) 《信息安全技术网络安全等级保护基本要求》（GB/T *****-****） 《信息安全技术网络安全等级保护定级指南》（GB/T *****-****） 《信息安全技术网络安全等级保护实施指南》（GB/T *****-****） 《信息安全技术信息安全风险评估方法》（GB/T *****-****） 《信息安全技术网络安全等级保护测评要求》（GB/T *****-****） 《信息安全技术网络安全等级保护测评过程指南》（GB/T *****-****） 《中华人民**国网络安全法》 （六）项目服务内容及技术要求 *、测评对象 系统名称 安全等级 测评年份 HIS系统 三级 ****年 LIS系统 三级 ****年 PACS系统 三级 ****年 互联网医院 三级 ****年 *、测评要求 按照网络安全等级保护测评依据开展测评工作(包括但不限于以下项目): （*）安全物理环境 安全物理环境检查主要是了解信息系统的物理安全保障情况，涉及对象为机房。在内容上，安全物理环境层面测评实施过程涉及的工作单元，具体如下表： 表*安全物理环境测评内容 序号 工作单元名称 工作单元描述 * 物理位置的选择 检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 * 物理访问控制 检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。 * 防盗窃和防破坏 检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 * 防雷击 检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。 * 防火 检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。 * 防水和防潮 检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。 * 防静电 检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。 * 温湿度控制 检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内的温湿度进行控制。 * 电力供应 检查机房供电线路、设备等过程，测评是否具备为信息系统提供一定电力供应的能力。 ** 电磁防护 检查主要设备等过程，测评信息系统是否具备一定的电磁防护能力 。 （*）安全通信网络 安全通信网络检查主要是了解系统的网络架构和通信传输等，涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上，安全通信网络层面测评过程涉及的工作单元，具体如下表： 表*安全通信网络测评内容 序号 工作单元名称 工作单元描述 * 网络架构 检查核心设备的CPU和内存使用率，整个网络带宽是否满足现状，VLAN划分是否合理，网络架构是否做到设备冗余、链路。 * 通信传输 检查数据在传输过程中的的完整性和保密性措施。 * 可信计算 检查设备是否进行可信验证。 （*）安全区域边界 安全区域边界检查主要是了解系统在网络边界的防护措施，涉及对象为防火墙、入侵检测、安全审计等安全设备。在内容上，安全区域边界层面测评实施过程涉及的工作单元，具体如下表： 表*安全区域边界测评内容 序号 工作单元名称 工作单元描述 * 边界防护 检查网络边界是否有访问控制设备，访问控制策略是否合理，是否关闭了闲置端口等。 * 访问控制 检查网络中的访问控制策略是否合理、有效。 * 入侵防范 检查网络中是否采用了入侵防范措施，验证该措施是否有效。 * 恶意代码和垃圾邮件防范 检查网络中是否有恶意代码和垃圾邮件防范措施。 * 安全审计 检查网络中是否有综合安全审计措施。 * 可信验证 检查设备是否进行可信验证。 （*）安全计算环境 安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施，涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上，安全计算环境层面测评实施过程涉及的工作单元，具体如下表： 表*应用系统安全测评内容 序号 工作单元名称 工作单元描述 * 身份鉴别 检查所有设备的登录用户是否有身份鉴别措施，是否有复杂度、唯一性等检查。 * 访问控制 检查用户的权限分配情况，默认用户和默认口令使用情况等。 * 安全审计 检查是否开启安全审计功能，是否能审计到每个用户，审计记录是否有保护措施。 * 入侵防范 检查设备在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 * 恶意代码防范 检查设备的恶意代码防范情况。 * 可信验证 检查设备是否进行可信验证。 * 数据完整性 检查系统数据的传输完整性和存储完整性措施。 * 数据保密性 检查系统数据的传输保密性和存储保密性措施。 * 数据备份恢复 检查系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。 ** 剩余信息保护 检查系统的剩余信息保护情况，如将用户鉴别信息以及文件、目录和数据库记录等**所在的存储空间再分配时的处理情况。 ** 个人信息保护 检查系统对个人信息的采集和使用情况。 （*）安全管理中心 安全管理中心检查主要是了解系统在管理、审计等集中管理的情况，涉及对 象为综合管理类设备、综合审计类设备等。在内容上，安全管理中心实施过程涉及的工作单元，具体如下表： 表*安全管理中心测评内容 序号 工作单元名称 工作单元描述 * 系统管理 检查是否对系统管理员进行统一的身份鉴别，操作审计等。 * 审计管理 检查是否对审计管理员进行统一的身份鉴别，操作审计等。 * 安全管理 检查是否对安全管理员进行统一的身份鉴别，操作审计等。 * 集中管控 检查是否划分独立的安全管理区域，是否对网络中运行的设备 进行状态监测、日志审计、安全审计等，是否对补丁、恶意代代码进行统一管理。 （*）安全管理制度 安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订 等情况，主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、 各类操作规程文件等对象。在内容上，安全管理制度测评实施过程涉及的工作单 元，具体如下表： 表*安全管理制度测评内容 序号 工作单元名称 工作单元描述 * 安全策略 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目标、范围、原则和各类安全策略 * 管理制度 检查有关管理制度文档和重要操作规程等过程，测评信息系统管理制度在内容覆盖上是否全面、完善。 * 制定和发布 检查有关制度制定要求文档等过程，测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 * 评审和修订 检查管理制度评审记录等过程，测评信息系统管理制度定期评审和修订情况。 （*）安全管理机构 安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况，主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等 对象。在内容上，安全管理机构测评实施过程涉及的工作单元，具体如下表： 表*安全管理机构测评内容 序号 工作单元名称 工作单元描述 * 岗位设置 检查部门/岗位职责文件，测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 * 人员配备 检查人员名单等文档，测评信息系统各个岗位人员配备情况， * 授权和审批 检查相关文档，测评信息系统对关键活动的授权和审批情况。 * 沟通和** 检查相关文档，测评信息系统内部部门间、与外部单位间的沟通与**情况。 * 审核和检查 检查记录文档等过程，测评信息系统安全工作的审核和检查情况。 （*）安全管理人员 安全管理人员测评是为了了解单位人员安全方面的情况，主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上，安全管 理人员测评实施过程涉及的工作单元，具体如下表： 表*安全管理人员测评内容 序号 工作单元名称 工作单元描述 * 人员录用 检查人员录用文档等过程，测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 * 人员离岗 检查人员离岗安全处理记录等过程，测评信息系统人员离岗时是否按照一定的手续办理。 * 安全意识教育和培训 检查培训计划和执行记录等文档，测评是否对人员进行安全方面的教育和培训。 * 外部人员访问管理 检查有关文档等过程，测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 （*）安全建设管理 安全建设管理测评是为了了解评测系统建设管理过程中的安全控制情况，主 要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上，安全建设管理测评实施过程涉及的工作单元，具体如下表： 表*安全建设管理测评内容 序号 工作单元名称 工作单元描述 * 定级和备案 检查系统定级相关文档等过程，测评是否按照一定要求确定系统的安全等级。 * 安全方案设计 检查系统安全建设方案等文档，测评系统整体的安全规划设计是否按照一定流程进行。 * 产品采购和使用 测评是否按照一定的要求进行系统的产品采购。 * 自行软件开发 检查相关软件开发文档等，测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 * 外包软件开发 检查相关文档，测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 * 工程实施 检查相关文档，测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 * 测试验收 检查测试验收等相关文档，测评系统运行前是否对其进行测试验收工作。 * 系统交付 检查系统交付清单等过程，测评是否采取必要的措施对系统交付过程进行有效控制。 * 等级测评 检查系统之前等级测评的情况，以及之前测评机构的资质等。 ** 服务供应商选择 测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 （**）安全运维管理 安全运维管理测评是为了了解系统运维管理过程中的安全控制情况，主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上，安全运维管理测评实施过程涉及的工作单元，具体如下表： 表**安全运维管理测评内容 序号 工作单元名称 工作单元描述 * 环境管理 检查机房安全管理制度，机房和办公环境等过程，测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 * 资产管理 检查资产清单，检查系统、网络设备等过程，测评是否采取必要的措施对系统的资产进行分类标识管理。 * 介质管理 检查介质管理记录和各类介质等过程，测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 * 设备维护管理 检查设备使用管理文档和设备操作规程等过程，测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 * 漏洞和风险管理 检查系统对于漏洞和安全隐患风险的管理，是否有报告、记录等文档，是否定期开展安全测评等。 * 网络和系统安全管理 检查系统和网络的安全管理文档，是否明确了角色划分、权限划分，是否覆盖安全策略、账户管理、配置文件的生成及备份， 变更审批等内容；检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修改等内容；核查是否具有对日志、监测和报警数据等进行分析统计的报告；核查开通远程运维的审批记录，核查针对远程运维的审计日志是否不可以更改等。 * 恶意代码防范管 理 检查恶意代码防范管理文档和恶意代码检测记录等过程，测评是否采取必要的措施对恶意代码进行有效管理，确保系统具有 恶意代码防范能力。 * 配置管理 检查是否对基本配置信息进行记录和保存，基本配置信息改变后是否及时更新基本配置信息库等。 * 密码管理 测评是否能够确保信息系统中密码算法和密钥的使用符合国家 密码管理规定。 ** 变更管理 检查变更方案和变更管理制度等过程，测评是否采取必要的措施对系统发生的变更进行有效管理。 ** 备份与恢复管理 检查系统备份管理文档和记录等过程，测评是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必 要时能够对这些数据有效地恢复。 ** 资产管理 检查是否有资产清单，清单是否包括资产类别、资产责任部门、重要程度和所处位置等内容；是否依据资产的重要程度对资产进行标识，不同类别的资产在管理措施的选取上是否不同；核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 ** 应急预案管理 检查应急响应预案文档等过程，测评是否针对不**全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。 ** 外包运维管理 检查外包运维服务情况，单位是否符合国家有关规定，协议是否明确约定外包运维的范围和工作内容等。 （**）网络安全渗透测试 渗透测试是在可控条件下，采取可控的、不造成不可弥补损失的黑客入侵手 法，对目标网络和系统完全模拟黑客可能使用的攻击技术和漏洞发现技术发起真 正攻击，对目标系统的安全做深入的探测，发现系统最脆弱的环节。渗透测试能 够直观的让管理人员知道网络所面临的问题。 （**）交付产物 包括但不仅限于以下资料： * 《网络安全等级保护测评报告》(包含整改建议) * 《渗透测试报告》 （七）测评要求 * 投标人机构技术团队情况 拟派技术负责人*名具有: *、信息安全等级评测师（高级）证书或网络安全等级评测师（高级）证书； *、注册信息安全专业人员（CISP）证书； *、中国认证认可协会颁发的注册证书（ISMS审核员）； *、渗透测试高级工程师证书。 以上人员提供在职证明，如：社保缴纳证明或劳动合同等 拟派项目经理*名具有： *、信息安全等级评测师（中级以上）证书或网络安全等级评测师（中级以上）证书； *、信息安全服务资质认证审查员证书； 拟派测试团队人员具有以下证书： *、信息安全等级评测师证书或网络安全等级评测师证书； *、渗透测试高级工程师证书； *、信息安全保障人员（CISAW）（认证方向：风险管理）； *、网络安全服务能力评价证书； *、注册信息安全专业人员（CISP）证书 * 投标人 业绩 投标人近三年具有信息安全测评项目业绩 附有效证明文件复印件（加盖投标人公章）。 合同履行期限：信息系统安全等级保护测评整个工作应在合同签定后**天内完成（不含整改时间） 本项目(不接受 )联合体投标。 二、申请人的资格要求： *.满足《中华人民**国政府采购法》第二十二条规定； *.落实政府采购政策需满足的资格要求： / *.本项目的特定资格要求：*.供应商具有网络安全等级测评与检测评估机构服务认证证书*.本项目不接受联合体参与。 三、获取采购文件 时间：****年**月**日 至****年**月**日，每天上午*:**至**:**，下午**:**至**:**。（**时间，法定节假日除外） 地点：***经开区**路向山小区三期商业楼**号门面*楼 方式：网络或现场 售价：￥***.* 元（人民币） 四、响应文件提交 截止时间：****年**月**日 **点**分（**时间） 地点：***经开区**路向山小区三期商业楼**号门面*楼 五、开启 时间：****年**月**日 **点**分（**时间） 地点：***经开区**路向山小区三期商业楼**号门面*楼 六、公告期限 自本公告发布之日起*个工作日。 七、其他补充事宜 / 八、凡对本次采购提出询问，请按以下方式联系。 *.采购人信息 名 称：**********　　　　　 地址：***安居区梧桐南路***号　　　　　　　　 联系方式：联系人：周女士联系电话：****-*******　　　　　　 *.采购代理机构信息 名 称：****************　　　　　　　　　　　　 地　址：***经开区**路向山小区三期商业楼**号门面*楼　　　　　　　　　　　　 联系方式：联系人：王女士 联系电话：****-*******　　　　　　　　　　　　 *.项目联系方式 项目联系人：王女士 电　话：　　****-*******