招标公告
一、项目名称:聊城市退役军人医院信息系统三级等保测评服务采购项目
二、项目说明:
(一)项目实施参照标准及依据
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号);
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)。
信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019);
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019);
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T25070-2019);
《信息安全技术 网络安全等级保护测评过程指南》GB/T 28449-2018);
《信息安全技术 信息系统安全等级保护实施指南》(GBT 25058-2019);
《信息安全技术 数据库管理系统安全评估准则》(GB/T 20009-2019);
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2019);
《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2019);
《信息安全技术 Web 应用安全检测系统安全技术要求和测试评价方法》( GB/T37931-2019);
《信息安全技术 网络存储安全技术要求》(GB/T 37939-2019);
《信息安全技术 移动终端安全管理平台技术要求》GB/T 37952-2019);
《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019);
《信息安全技术 大数据安全管理指南》(GB/T 37973-2019);
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019);
《信息技术 安全技术 消息鉴别码 第 3 部分: 采用泛杂凑函数的机制》( GB/T15852.3-2019);
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)省公安厅《山东省信息安全等级保护测评工作规范(试行)》
(二)项目目标
1、等级保护测评。
对照国家标准、行业要求以及本单位有关规定逐项进行问题查找和问题分析,信息内容保护能力、安全运行监控能力、支撑环境保障能力、安全管理机制、运维管理机制等方面进行诊断,切实找准影响信息系统安全稳定运行的问题及原因。
2、健全安全管理体系。
按照信息系统安全等级保护的相关要求,梳理和完善各单位信息安全管理制度,健全和完善信息安全管理体系和技术保障体系。
(三)项目内容
1.等级保护测评
通过详细的系统调研,开展等级保护测评工作,找出安全现状与标准要求之间的差距,并遵循适度安全的原则,协助制定安全整改建设方案,指导整改工作。最终完成等级保护测评报告。
1.1 测评范围
序号 |
系统名称 |
定级情况 |
内容 |
1 |
以电子病历为核心的信息系统 |
三级 |
等保测评 |
1.2 定级和备案
按照《信息安全等级保护管理办法》和《信息系统安全等级保护定级指南》(以下简称《定级指南》)要求,并结合上级指导意见自主确定系统等级。对新建信息系统在系统建设的同时,要同步确定系统的安全保护等级,按照具体等级同步规划建设安全设施。在初步确定定级对象的安全保护等级后,聘请专家对定级情况进行评审,并出具评审意见。参照评审意见最后确定信息系统安全保护等级,由测评公司协助,完成备案表和定级报告,并按照要求上报当地公安局网安支队完成备案。
1.3 差距分析测评
按照信息系统等级保护基本要求及测评流程,进行信息系统安全现状分析,明确信息系统目前采取的安全保护措施与信息安全等级保护相关国家标准和行业标准之间的差距,排查信息系统安全隐患和薄弱环节,查找信息系统安全建设整改需要解决的问题,确定安全需求,编制《差距分析报告》。
1.4 协助安全建设整改
协助组织方进行安全建设整改工作。确保安全建设整改工作安全、科学、有效的进行,并达到国家相关标准的技术要求,切实、高效的提升信息系统安全防护水平。
1.5 安全测评
按照《信息安全技术 网络安全保护等级基本要求》(GB/T22239-2019)的要求,对济南市仲裁委员会系统进行信息安全等级保护现状测评。依据信息系统安全等级保护测评相关标准,运用各种管理和技术手段对信息系统安全等级进行等级测评。
测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面安全测评;
安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面安全测评。
2、健全安全管理体系
按照信息系统安全等级保护的相关要求,梳理和完善各单位信息安全管理制度,健全和完善信息安全管理体系和技术保障体系。
依据标准《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术信息系统安全管理要求》(GBT20269-2019)等,完成安全管理体系的设计,制定等级保护整改方案,指导完成信息系统安全技术体系和安全管理体系的建立健全。
3、安全加固
在全面评估的基础上针对当前存在的重要问题,从技术和管理两个方面制定切实可行的工作方案,落实整改措施,保证加固效果。依据《信息系统安全等级保护基本要求》(GB/T 22239-2008)、《信息安全技术信息系统通用安全技术要求》(GB/T20171-2006)、《信息安全技术网络基础安全技术要求》(GB/T20270-2006)等,根据安全现状测评结果制定安全加固方案并协助出具安全加固方案。安全加固方案应对网络结构及设备部署情况进行整体规划,考虑物理安全整改、网络安全整改、主机安全整改、应用安全整改、数据备份与恢复整改等内容。
4、应急服务支撑
为网络和信息系统提供全面应急响应,完善对信息安全事件的应急预案及工作机制。
建立并完善信息安全相关应急预案并进行演练。信息安全应急响应是解决网络和信息系统安全问题的有效安全服务手段之一。应急预案包括应急预案名称、预案编号(版本号)、涉及的应用系统或设备、主要应急措施,是否制订应急演练方案、演练方式、是否进行实战演练、应急保障队伍等信息。应急预案的类型不限于网络攻击、病毒爆发、DDOS 攻击、网页篡改等等。开展信息安全方面的演练,并根据实际演练效果,提出相关建议和整改措施。
5、渗透测试服务
提供专业的渗透测试和漏洞挖掘服务。渗透方式包括但不限于:拒绝服务攻击测试、应用安全性测试等参与渗透测试的成员当中应拥有自开标之日前36个月内“国家级”CNVD原创漏洞证明材料(三份及以上)。
搭建漏洞发现、漏洞防御、人工分析漏洞智能平台。参考下一代自动漏洞诊断挖掘系统的设计理念,依据应用威胁风险模型OWASP-TRM构建的新一代漏洞综合诊断与发现机制,做到通用漏洞发现、零时差漏洞第一时间防御发现、漏洞发现能力覆盖99%的漏洞、被动扫描与自动化自主检测、全天候获知安全状况、机扫与人工安全专家联合诊断,从而有效发现漏洞,及时作出防护。
提交的文档包括但不限于如下文件:
(1)《信息安全等级保护差距分析和整改报告》
(2)《信息安全等级保护测评报告》
(四)人员要求
1、人员要求:本次等级测评项目组中至少包含1名高级等级测评师、2名中级等级测评师,3名初级等级测评师,投标人应详细描述项目组成员人员分工计划。
2、保密要求:投标人应对采购人提供的所有资料向第三方保密,不得将本项目产生的所有资料、数据向第三方提供。
三、项目预算:80000元。
四、付款方式:测评报告交付且通过验收后全款支付。
五、服务期:一年
六、需要提供的资料:加盖公章的《网络安全等级测评与检测评估机构服务认证证书》复印件、加盖公章的有效营业执照复印件、法定代表人身份证复印件或法定代表人委托授权书及代理人身份证复印件、证明企业实力的其他材料(包括但不限于同类项目业绩合同复印件、等级证书、交付能力证明材料)。
七、定标方式:根据报价、企业实力、服务方案综合对比。
八、报名时间及报名方式:
报名时间:2024年8月16日8:00——2024年8月21日17:00
报名地点:请到聊城市退役军人医院门诊楼四楼财务科报名
联系方式:0635-8344021
聊城市退役军人医院财务科
2024年8月15日