一���、項目名稱:湘雅常德醫(yī)院信息集成平臺網(wǎng)絡(luò)安全等級保護復(fù)測(第二次)
二���、擬采用的采購方式:院內(nèi)采購
三、項目概況:
| 項目名稱 | 金額 | 年限(年) | 備注 |
| 湘雅常德醫(yī)院信息集成平臺網(wǎng)絡(luò)安全等級保護復(fù)測(第二次) | 65000 | 1 | |
四�、參與公司資格:
(一)法人資格證明
(二)代理人授權(quán)委托書(法人參與不需提供)
(三)參與公司資質(zhì)證明
(四)響應(yīng)采購需求(見附件)
五、投標報名截止時間和開標時間
報名截止日:2024年1月 16日15:00�����。
開標時間:具體時間另行通知�����。
六�、投標文件遞交地點和開標地點
報名方式:凡有意參加投標者�,必須按照資料模板填寫,到湖南省常德市武陵區(qū)月亮大道1688號湘雅常德醫(yī)院(行政樓6樓)或者網(wǎng)上電子郵箱xycdyyzbcg@126.com提交相關(guān)文件�。
招標規(guī)則:由采購人在報名供應(yīng)商中進行資格預(yù)審,遴選符合資格條件的供應(yīng)商參與本次招標活動����,報名截止后2個工作日內(nèi)對向符合要求的供應(yīng)商發(fā)出通知�,未被遴選的供應(yīng)商����,不再另行通知。
七�����、公告媒體
湘雅常德醫(yī)院官網(wǎng)
八����、聯(lián)系方式:
聯(lián)系人:成老師
聯(lián)系電話: 0736-2120093
地址: 湘雅常德醫(yī)院行政樓6樓
九、監(jiān)督部門:
聯(lián)系電話: 0736-2120028
湘雅常德醫(yī)院后勤保障部
2024年 1月 12日
附件:資料模板
采購需求
一����、項目概述
(一)項目背景
根據(jù)三級醫(yī)院評審標準(2022年版)第一百六十九條要求落實《中華人民共和國網(wǎng)絡(luò)安全法》,實施國家信息安全等級保護制度�,實行信息系統(tǒng)按等級保護分級管理,保障網(wǎng)絡(luò)信息安全���,保護患者隱私��。推動系統(tǒng)運行維護的規(guī)范化管理�,落實突發(fā)事件響應(yīng)機制,保證業(yè)務(wù)的連續(xù)性���;電子病歷系統(tǒng)應(yīng)用水平分級評價標準要求完成信息安全等級保護定級備案與測評�����、醫(yī)院重要信息安全等級保護不低于第三級��,建議盡快啟動我院信息集成平臺網(wǎng)絡(luò)安全等級保護測評事宜���。
(二)項目目標
根據(jù)《信息系統(tǒng)安全等級保護管理辦法》、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》信息系統(tǒng)安全等級保護文件和技術(shù)標準��,對湘雅常德醫(yī)院信息集成平臺系統(tǒng)進行等級保護測評���,評價其信息安全保護情況,對存在的問題提出整改建議�,并提供整改實施的咨詢服務(wù),最終使湘雅常德醫(yī)院從安全管理和技術(shù)兩方面達到相應(yīng)等級的保護要求��。
(三)項目原則
本項目實施遵循以下原則:
(1)標準化原則
等級測評工作不僅要遵循國家等級保護相關(guān)安全標準規(guī)范�,還要符合醫(yī)療行業(yè)的有關(guān)行業(yè)規(guī)范要求。
(2)規(guī)范化原則
本項目的實施將嚴格按照有關(guān)質(zhì)量體系要求����,通過分析項目實施風(fēng)險��,在項目管理基礎(chǔ)上�����,建立規(guī)范的實施操作流程�、文檔管理制度和項目管理制度�,最大限度降低項目實施風(fēng)險。
(3)業(yè)務(wù)主導(dǎo)原則
本次項目將遵循業(yè)務(wù)主導(dǎo)原則�,即以業(yè)務(wù)安全為評估工作導(dǎo)向,根據(jù)湘雅常德醫(yī)院業(yè)務(wù)特點確定評估重點���,分析信息安全風(fēng)險和漏洞對業(yè)務(wù)的影響���,充分發(fā)揮網(wǎng)絡(luò)安全風(fēng)險評估和等保測評對促進湘雅常德醫(yī)院信息安全保障以完成業(yè)務(wù)使命的積極作用。
(4)最小影響原則
本項目工作要做到充分的計劃性�����,所采用手段的工具均須經(jīng)過嚴格的評審和測試���,對預(yù)期的結(jié)果和影響進行充分的估計�����,并做好應(yīng)急措施�,不對現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的運行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響,盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行���,同時在安全服務(wù)實施前做好風(fēng)險防范和應(yīng)急措施���。
(5)保密性原則
項目團隊對工作過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密,未經(jīng)授權(quán)不得泄露給任何單位和個人����,不得利用此數(shù)據(jù)進行任何侵害湘雅常德醫(yī)院利益的行為。
(四)項目依據(jù)
根據(jù)國家和公安部的有關(guān)標準要求��,以及湘雅常德醫(yī)院的實際要求進行測評��,須遵照的主要標準�����、政策文件如下:
公安部���、國家保密局�、國際密碼管理局�、國務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級保護工作的實施意見》(公通字[2004]66);
公安部����、國家保密局、國家密碼管理局���、國務(wù)院信息化工作辦公室制定的《信息安全等級保護管理辦法》(公通字 [2007]43號)�。
《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)[2003]27號)
《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》- GB/T22239-2012
《信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南》
《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求》
《信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南》
《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)
《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T 20270-2006)
《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T 20272-2006)
《信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)
《信息安全技術(shù) 服務(wù)器技術(shù)要求》(GB/T 21028-2007)
《信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求》(GA/T 671-2006)
《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)
《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)
《信息安全等級保護安全建設(shè)整改工作指導(dǎo)意見》(公信安[2009]1429號)
GB/T 18336-2001 《信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評估準則》
IATF《信息保障技術(shù)框架》
《國務(wù)院關(guān)于大力推進信息化發(fā)展和切實保障信息安全的若干意見》(國發(fā)〔2012〕23號)
《國務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(國辦發(fā)〔2009〕28號)
《關(guān)于開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》(中網(wǎng)辦發(fā)文〔2016〕3號)
《關(guān)于開展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》
GB/T 20984-2007 《信息安全風(fēng)險評估規(guī)范》
GB/T 20274-2006 《信息系統(tǒng)安全保障評估框架》
GB/T 20988—2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》
GB/Z 20985-2007《信息安全事件管理指南》
GB/Z 20986-2007 《信息安全事件分類分級指南》
GB/T 22081-2008 《信息安全管理實用規(guī)劃》
二����、項目服務(wù)內(nèi)容
(一)等級保護測評
根據(jù)公安部《信息系統(tǒng)安全等級保護管理辦法》、《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》信息系統(tǒng)安全等級保護文件和技術(shù)標準����,對湘雅常德醫(yī)院的主要信息系統(tǒng)進行第三方等級保護測評。詳見下表�����。
| 序號 | 系統(tǒng)名稱 | 級別 |
| 1 | 信息集成平臺系統(tǒng) | 3 |
對以上信息系統(tǒng)進行全面的安全測評和檢查����,以便及時準確的排查整個信息系統(tǒng)中存在的安全漏洞和隱患��。內(nèi)容包括但不限于:制度檢查����、整體網(wǎng)絡(luò)安全檢查����、漏洞掃描、滲透測試�、木馬專項檢查、關(guān)鍵設(shè)備審計�、應(yīng)用權(quán)限審計。
測評服務(wù)機構(gòu)依據(jù)《信息安全等級保護管理辦法》��,按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》(GB/T 22239-2019代替GB/T 22239-2008�,即等保2.0標準)的測評指標,結(jié)合湘雅常德醫(yī)院的被測評系統(tǒng)特點�,確定具體的測評對象,通過訪談�����、檢查和測試等方式�����,對信息系統(tǒng)安全等級保護狀況��、安全保障性能進行安全測試����,對信息安全管控能力進行考察和評價,判斷測評系統(tǒng)各個方面對測評指標的符合程度��,從而判定信息系統(tǒng)是否具備保持《信息系統(tǒng)安全等級保護基本要求》中相應(yīng)等級安全保護能力�,提供安全等級測評報告和安全等級整改方案,直至最終通過測評�����。
等保測評公司需要對我院的IT資產(chǎn)進行梳理和風(fēng)險識別����,按照國家信息安全等保的法規(guī)要求,以高級專家和等保工具結(jié)合的工作方式����,對我院信息系統(tǒng)安全設(shè)施包括但不限于通信網(wǎng)絡(luò)/區(qū)域邊界/計算環(huán)境/安全管理中心以及風(fēng)險管理體系、安全管理體系���、安全技術(shù)體系����、網(wǎng)絡(luò)信任體系等提供確實有效的建議,在我院進行信息系統(tǒng)安全加固和整改過程中����,等保測評公司需提供全程咨詢、指導(dǎo)和督促服務(wù)���。
三��、其它要求及說明:
本項目采用費用包干方式�,供應(yīng)商應(yīng)根據(jù)項目要求和現(xiàn)場情況��,詳細列明項目所需的檢測設(shè)備��、軟件及材料����,以及產(chǎn)品運輸保險保管、項目安裝調(diào)試���、試運行測試通過驗收���、培訓(xùn)���、質(zhì)保期免費保修維護等所有人工��、管理���、財務(wù)等所有費用���,如一旦中標,在項目實施中出現(xiàn)任何遺漏���,均由中標人免費提供���,采購人不再支付任何費用。供應(yīng)商須協(xié)助采購人取得信息系統(tǒng)公安部門等級保護備案證明�,所需一切費用由供應(yīng)商承擔(dān)。
