第二师库尔勒医院网络安全三级等保测评项目
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
第二师库尔勒医院网络安全三级等保测评项目
预算金额:¥登录即可免费查看
采购方式:谈判采购
项目需求详情
一、 目概况及技术要求
一、项目概述
为了落实《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等国家法律法规,有效提升自身网络安全防护能力,计划于2023年全面开展兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统、安全等级保护等级测评(三级)工作。
本项目以网络安全等级保护工作的开展为基础,服务内容包括:网络安全检查、完善信息系统定级备案、等级保护测评、风险评估服务及咨询、涉密培训及咨询服务等,要求见项目具体需求。
1、完成兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统安全等级保护(三级)差距分析,针对信息系统的安全保护现状,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理十个方面进行分析,分析各层面安全现状与等级保护基本要求之间的差距。
2、完成整体网络及信息系统安全整改方案的设计。
3、完成三大信息系统等级测评工作,其包含现场正式测评工作、渗透测试、配置审计、远程扫描等,并出具《网络安全等级测评报告》。
4、对兵团第二师库尔勒医院三大信息系统开展风险评估及咨询服务。根据风险评估要素关系模型,进行风险评估需要分析评价各要素,按照各要素关系,风险评估的过程主要包括:风险评估的准备,即信息收集与整理、对资产、威胁、脆弱性的分析、己有采取安全措施的确认以及风险评价等环节。
5、每年至少提供两次(上半年一次下半年一次)信息安全检查风险评估服务,根据信息部门安排,每次实施三次安全扫描,分别对应着信息安全检查的自查初级阶段、自查复核阶段、最终整改阶段。每个阶段保证7个工作日完成扫描结果和整改措施的提报。提报的结果以简单、方便阅读的图表或其他方式呈现,方便用户根据扫描结果进行整改。
6、定期对核心机房的服务器、存储设备、安全设备等设备进行安全巡检服务,查看设备运行状况是否良好,及时查找、发现机房环境及网络、系统的隐患,排除故障。
7、对该系统进行信息安全评估,通过资产梳理、资产识别、资产赋值、脆弱性赋值、威胁性赋值,形成最终的安全风险评估报告和安全加固建议。
8、渗透测试:通过对重点服务器进行准确、全面的测试,可以发现系统最脆弱的环节,以便对危害性严重的漏洞及时修补,以免后患。出具渗透测试报告,并根据渗透测试结果指导应用厂商进行修复和加固;修复后进行渗透测试复查,验证漏洞修复情况,出具复查报告。
9、安全培训:宣贯国家信息系统等级保护政策,明确开展等级保护工作的目标、内容和要求。
10、应急响应服务:在国家法定节假日、国家或自治区重要会议、安全事件大规模爆发等重要时刻,提供7x24小时的远程应急技术支持服务。
对在上述信息系统等级保护测评中发现的各种问题提出安全整改建议,并协助我单位做好整改工作,包括软件系统的安全设置、安全设备的搭建以及相关制度的完善等。最终达到定级标准要求。
确保定级测评工作的安全、规范,确保被测系统的安全。所使用的工具、方法和过程要在双方认可的情况下使用。等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序并销毁不需要的文档和资料;在对我单位信息系统进行测评中发现的漏洞及安全问题等情况严格执行相关保密制度;对测评设备、介质进行严格的保密管理;工作过程中对公司人员实施封闭式集中管理;公司项目组进场人员必须遵守我单位相关管理规定。
在工作过程中对涉及的各类数据严格保密,在测评工作结束后,不可将工作中的数据用于任何有损我单位利益的用途,双方签署保密协议。
测评工作虽然不能完全摆脱个人主张或判断,但测评人员应当在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。。
二、技术规范依据
《中华人民共和国网络安全法》
《中华人民共和国计算机信息系统安全保护条例》(国务院 147号令)
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2010)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2019)
三、项目技术服务需求
本项目主要对重要信息系统进行信息安全等级保护测评工作.为使得兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统达到相应三级的安全防护水平,对兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统提供信息系统安全等级测评服务,协助用户完成信息系统安全等级保护其他相关工作。
1.测评范围
兵团第二师库尔勒医院根据《信息安全等级保护管理办法》的规定,选择符合规定的测评机构,定期对系统安全等级状况开展等级测评。
2.本项目主要对兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统进行三级等级保护测评服务,协助用户完成信息系统安全等级保护其他相关工作。
2.1信息安全等级差距分析服务
依据等级保护测评相关法规文件,对信息系统进行详细分析,找出各系统与其对应等级保护保护级别的具体差距,提交《信息系统差距分析报告》
2.2信息安全等级整改方案服务
依据相关法规文件标准及差距分析报告,对信息系统进行全面综合分析,并设计安全技术方案,提交《信息系统安全等级保护整改方案》。
2.3信息安全等级测评服务
依据国家相关信息安全标准和规范,严格遵循《信息安全技术网络安全等级保护测评要求》和《信息安全技术网络安全等级保护测评过程指南》文件,根据本项目信息系统已完成的定级备案安全等级,开展相应级别的安全等级测评工作,测评工作包括技术测评和管理测评两部分,分别为:
(一)技术测评
(1)安全物理环境:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
(2)安全通信网络:安全通信网络测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类,具体的测评内容如下所示:结构安全、访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备防护。
(3)安全区域边界:安全区域边界测评通过访谈、检查和测试的方式,测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。具体测评内容包括:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制。
(4)安全计算环境:安全计算环境测评通过访谈、检查和测试的方式评测生产系统的应用安全保障情况。主要涉及的对象为应用软件系统,具体测评内容包括:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
(5)安全管理中心:安全管理中心测评通过访谈和检查的方式评估生产系统的数据安全保障情况。重点检测信息系统的数据在采集、传输、处理和存储过程中的安全,以及数据备份恢复的安全。具体测评内容包括:数据完整性、数据保密性、备份和恢复。
(二)管理测评
(1)安全管理制度:安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及的对象为安全主管人员、安全管理人员、其他人员、管理制度、操作规程文件等,具体测评内容包括:管理制度、制定和发布、评审和修订。
(2)安全管理机构:安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及的对象为安全主管人员、安全管理人员、相关的文件资料和工作记录等,具体测评内容包括:岗位设臵、人员配备、授权和审批、沟通和合作、审核和检查。
(3)安全管理人员:安全管理人员测评通过访谈和检查的形式评估机构人员安全控制方面的情况。主要涉及对象为安全主管人员、人事管理人员、相关管理制度、相关工作记录等,具体测评内容包括:人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。
(4)安全建设管理:安全建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及对象为安全主管人员、系统建设负责人、管理制度、操作规程文件、执行过程记录等,具体测评内容包括:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。
(5)安全运维管理:通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、运维人员,涉及内容有运维管理制度、运维服务团队的管理制度、操作规程文件、执行过程记录等。具体测评内容包括:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处臵、应急预案管理。
根据以上 10 个层面的现场测评结果出具相应的单项和整体测评报告,测评报告需得到项目单位的确认,并报自治区公安厅主管部门审核、批复。测评报告编制的内容及格式严格遵照最新颁布《网络安全等级保护测评报告模版》进行。
2.4信息安全培训服务
结合实时发生的安全事件,通过本地现场培训、视频讲座、远程网络培训等方式,对兵团第二师库尔勒医院各部门提供专业的信息安全培训服务,需在投标文件中提出具体培训计划。
2.5兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统安全巡检服务;
2.6应急响应服务;
2.7制定兵团第二师库尔勒医院HIS(包含EMR系统,同一个库)系统、LIS系统、PACS系统信息安全规划。
2.8对兵团第二师库尔勒医院所涉及信息系统开展风险评估培训及咨询服务;
根据风险评估要素关系模型,进行风险评估需要分析评价各要素,按照各要素关系,风险评估的过程主要包括:风险评估的准备,即信息收集与整理、对资产、威胁、脆弱性的分析、己有采取安全措施的确认以及风险评价等环节。
服务周期:365天
报价方式:价格
评选方式:综合评分
谈判时间:2023-07-24 12:00:00
谈判地址: 新疆维吾尔自治区巴音郭楞蒙古自治州库尔勒市第二师库尔勒医院经济运行管理中心
服务地址:新疆维*自治区巴音郭楞蒙古自治州库尔勒市第二师库尔勒医院
需求文件:
联系人:
报名结束时间:2023-07-24 00:00:00
发布时间:2023-07-18 17:21:52
采购编号:20231357877
采购单位:新疆生产建设兵团第二师库尔勒医院
供应商数量: 报名供应商不足2家流标。
允许1家中选
谈判文件提醒:供应商网上报名时须上传盖章后的响应文档一份,线下谈判时须供应商提供响应文件一式3份,其中正本1份,副本2份。(电子文档内容应与纸质文件正本、副本一致,如不一致以网上电子文档为准,副本可为正本的复印件。)
谈判规则:1.供应商须在平台报名并上传响应文件,采购单位不接受未在平台报名并上传响应文件的供应商。2.供应商须准时在谈判时间到线下谈判地点签到并递交文件,参与谈判。
供应商资格:一、符合《中华人民共和国政府采购法》第二十二条规定,且已在本系统注册的供应商。
二、落实政府采购政策满足的需求:无。
三、特定的资格要求:无。
异议处理项:如有异议请电话咨询采购人,采购流程问题请咨询平台运营。
您尚不具备投标资格,报名需
完善资料
微信扫码关注
