項目需求詳情
1、項目基本情況******保健院的HIS系統、LIS系統、PACS系統、電子病歷系統4個(gè)二級系統,開(kāi)展等級保護測評工作。******保健院網(wǎng)絡(luò )安全等級測評項目;******保健院;******保健院新院區(修武縣青龍大道69號)2、項目?jì)热菁耙?/font>2.1網(wǎng)絡(luò )安全等級測評服務(wù)******保健院的HIS系統、LIS系統、PACS系統、電子病歷系統4個(gè)二級系統,開(kāi)展等級保護測評工作。測評內容主要包括兩個(gè)方面:一是單元測評,測評指標與《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護基本要求》(GB/T 22239-2019)相應等級的基本要求完全一致;二是系統整體測評,主要測評分析信息系統的整體安全性。2.1.1單元測評單元測評包括安全技術(shù)測評和安全管理測評兩大部分,******管理中心;安全管理測評層面主要包含:安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理。根據信息系統安全建設現狀以及信息系統的重要程度,本項目包括但不限于以下內容:2.1.1.1安全物理環(huán)境:主要包含物理位置選擇、物理訪(fǎng)問(wèn)控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護10個(gè)方面的內容。2.1.1.2安全通信網(wǎng)絡(luò ):主要包含網(wǎng)絡(luò )架構、通信傳輸、可信驗證3個(gè)方面的內容。2.1.1.3安全區域邊界:主要包含邊界防護、訪(fǎng)問(wèn)控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等6個(gè)方面的內容。2.1.1.4安全計算環(huán)境:主要包含身份鑒別、訪(fǎng)問(wèn)控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個(gè)人信息保護11方面的內容。2.1.1.5******管理中心:主要包含系統管理、審計管理、安全管理、集中管控4個(gè)方面的內容。2.1.1.6安全管理制度:主要包含安全策略、管理制度、制定和發(fā)布、評審和修訂4個(gè)方面的內容。2.1.1.7安全管理機構:主要包含崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查5個(gè)方面的內容。2.1.1.8安全管理人員:主要包含人員錄用、人員離崗、安全意識教育和培訓、外部人員訪(fǎng)問(wèn)管理4個(gè)方面的內容。2.1.1.9安全建設管理:主要包含定級和備案、安全方案設計、產(chǎn)品采購和使用、自行軟件開(kāi)發(fā)、外包軟件開(kāi)發(fā)、工程實(shí)施、測試驗收、系統交付、等級測評、服務(wù)供應商選擇10個(gè)方面的內容。2.1.1.10安全運維管理:主要包含環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風(fēng)險管理、網(wǎng)絡(luò )和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理14個(gè)方面的內容。2.1.2整體測評系統整體測評在單元測評的基礎上進(jìn)行進(jìn)一步測評分析,在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等安全控制間安全測評:安全控制間的安全測評主要考慮同一區域內、同一層面上的不同安全控制間存在的功能增強、補充或削弱等關(guān)聯(lián)作用。層面間安全測評:層面間的安全測評主要考慮同一區域內的不同層面之間存在的功能增強、補充和削弱等關(guān)聯(lián)作用。區域間安全測評:區域間的安全測評主要考慮互連互通(包括物理上和邏輯上的互連互通等)的不同區域之間存在的安全功能增強、補充和削弱等關(guān)聯(lián)作用,特別是有數據交換的兩個(gè)不同區域。系統結構安全測評:系統結構安全測評主要考慮信息系統整體結構的安全性和整體安全防范的合理性。在測評分析信息系統整體安全防范的合理性時(shí),應熟悉信息系統安全保護措施的具體實(shí)現方式和部署情況等,結合業(yè)務(wù)數據流分析不同區域和不同邊界與安全保護措施的關(guān)系、重要業(yè)務(wù)和關(guān)鍵信息與安全保護措施的關(guān)系等,參照縱深防御的要求,識別信息系統的安全防范是否突出重點(diǎn)、層層深入,綜合判定信息系統的整體安全防范是否恰當合理等。2.1.3技術(shù)要求在安全等級測評過(guò)程中,每個(gè)工作階段、流程、內容及成果交付嚴格遵循《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評要求》(GB/T 28448-2019)和《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評過(guò)程指南》(GB∕T 28449-2018)文件,對信息系統進(jìn)行梳理,協(xié)助我單位進(jìn)行系統定級備案,組織專(zhuān)家評審,開(kāi)展網(wǎng)絡(luò )安全等級測評工作,同時(shí)應結合我單位信息系統特性,安排具備專(zhuān)業(yè)能力認證的安全工程師進(jìn)行全面性系統安全風(fēng)險評估,根據測評結果出具相應的單項和整體測評報告,測評報告需得到我單位的確認,并協(xié)助報網(wǎng)監部門(mén)備案。測評報告編制的內容及格式嚴格遵照《網(wǎng)絡(luò )安全等級測評報告模版(2025版)》進(jìn)行。 ???????????????????測評技術(shù)團隊應符合《網(wǎng)絡(luò )安全等級測評與檢測評估機構自律規范》對測評機構和測評人員管理的要求,項目總負責人須由公安部培訓考核認證通過(guò)的信息安全高級等級測評師承擔,擁有10年以上行業(yè)信息安全及等級測評工作經(jīng)驗,具有高級信息系統項目管理師證書(shū),通過(guò)信息系統安全專(zhuān)業(yè)認證和信息安全保障人員認證,具備良好的教育背景、受過(guò)專(zhuān)業(yè)的技術(shù)培訓、擁有豐富的行業(yè)系統網(wǎng)絡(luò )安全等級測評工作經(jīng)驗,對信息系統安全等級測評過(guò)程中可能會(huì )面臨的各類(lèi)技術(shù)問(wèn)題及時(shí)提供解決方案,項目團隊應最少包含兩名信息安全高級測評師。2.2應急響應服務(wù)2.2.1為******保健院提供1年應急響應服務(wù),建立安全應急預案,遇到重大安全事件如網(wǎng)絡(luò )入侵、大規模病毒爆發(fā)、遭受拒絕服務(wù)攻擊等,無(wú)法及時(shí)對該事件進(jìn)行處理或解決時(shí),投標人需安排專(zhuān)業(yè)技術(shù)人員以7*24小時(shí)遠程、電話(huà)、郵件等方式提供應急響應支持,快速恢復系統的保密性、完整性和可用性,阻止和降低安全威脅事件帶來(lái)的嚴重性影響,查明安全事件原因,確定安全事件的威脅和破壞的嚴重程度,并根據對事件的分析及原因提供相應的解決方案。2.2.2服務(wù)要求:投標人應具備必要的應急處置服務(wù)資質(zhì)和能力并且針對可能發(fā)生的網(wǎng)絡(luò )安全應急事件做出分析預判,做出對應應急預案,以便更加及時(shí)、有效地進(jìn)行應急響應服務(wù)工作。在發(fā)現安全事件時(shí),須及時(shí)判斷安全事件的級別。針對嚴重的安全事件,對安全事件進(jìn)行緊急分析處理、災難恢復和入侵追蹤和取證,并出具應急響應報告。建立長(cháng)期穩定專(zhuān)業(yè)的安全服務(wù)團隊,并通過(guò)專(zhuān)業(yè)認證,在發(fā)生重大安全事件時(shí),在2小時(shí)內提供應急響應服務(wù);在發(fā)生一般安全事件時(shí),3小時(shí)內提供應急響應服務(wù)。2.2.3安全培訓服務(wù):為******保健院提供1次安全培訓服務(wù),結合采購方當前網(wǎng)絡(luò )安全工作的現實(shí)情況和實(shí)際需求,開(kāi)展安全培訓服務(wù),培訓內容包括但不限于網(wǎng)絡(luò )******醫院?jiǎn)T工網(wǎng)絡(luò )安全意識、網(wǎng)絡(luò )安全技術(shù)能力水平和網(wǎng)絡(luò )安全風(fēng)險應對能力。2.2.4培訓師資要求:講師需具備專(zhuān)業(yè)資格認證、受過(guò)良好的技術(shù)培訓、擁有豐富的信息安全行業(yè)培訓工作經(jīng)驗。2.3交付成果項目階段各階段的測評過(guò)程文檔(參照《信息安全技術(shù) 網(wǎng)絡(luò )安全等級保護測評過(guò)程指南》)編制。詳見(jiàn)下表(包括但不限于):| 項目階段 | 交付成果 |
| 測評準備活動(dòng) | 項目實(shí)施計劃書(shū)被測系統基本情況分析報告 |
| 方案編制活動(dòng) | 測評指導書(shū)信息系統安全測評實(shí)施方案 |
| 現場(chǎng)測評活動(dòng) | 測評結果記錄測評中發(fā)現的問(wèn)題匯總 |
| 分析與報告編制活動(dòng) | 單項測評結果匯總分析整體測評結果匯總分析風(fēng)險分析和評估等級測評結論網(wǎng)絡(luò )安全等級測評報告 |
服務(wù)周期:10天
報價(jià)方式:價(jià)格
評選方式:價(jià)格最低
服務(wù)實(shí)施地:******保健院
報名結束時(shí)間:2025-04-23 00:00:00
發(fā)布時(shí)間:2025-04-21 08:57:40
采購編號:HNJZC************202
采購單位:******保健院
供應商數量: 報名供應商不足三家。
允許1家中選是否需要上傳響應文件:是
供應商資格:一、符合《中華人民共和國政府采購法》第二十二條規定,且已在本系統注冊的供應商。
二、落實(shí)政府采購政策滿(mǎn)足的需求:無(wú)。
三、特定的資格要求:無(wú)。
異議處理項:如有異議請電話(huà)咨詢(xún)采購人,采購流程問(wèn)題請咨詢(xún)平臺運營(yíng)。
