项目需求详情
1、项目基本情况******保健院的HIS系统、LIS系统、PACS系统、电子病历系统4个二级系统,开展等级保护测评工作。******保健院网络安全等级测评项目;******保健院;******保健院新院区(修武县青龙大道69号)2、项目内容及要求2.1网络安全等级测评服务******保健院的HIS系统、LIS系统、PACS系统、电子病历系统4个二级系统,开展等级保护测评工作。测评内容主要包括两个方面:一是单元测评,测评指标与《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)相应等级的基本要求完全一致;二是系统整体测评,主要测评分析信息系统的整体安全性。2.1.1单元测评单元测评包括安全技术测评和安全管理测评两大部分,******管理中心;安全管理测评层面主要包含:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。根据信息系统安全建设现状以及信息系统的重要程度,本项目包括但不限于以下内容:2.1.1.1安全物理环境:主要包含物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个方面的内容。2.1.1.2安全通信网络:主要包含网络架构、通信传输、可信验证3个方面的内容。2.1.1.3安全区域边界:主要包含边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等6个方面的内容。2.1.1.4安全计算环境:主要包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11方面的内容。2.1.1.5******管理中心:主要包含系统管理、审计管理、安全管理、集中管控4个方面的内容。2.1.1.6安全管理制度:主要包含安全策略、管理制度、制定和发布、评审和修订4个方面的内容。2.1.1.7安全管理机构:主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。2.1.1.8安全管理人员:主要包含人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的内容。2.1.1.9安全建设管理:主要包含定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的内容。2.1.1.10安全运维管理:主要包含环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的内容。2.1.2整体测评系统整体测评在单元测评的基础上进行进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等安全控制间安全测评:安全控制间的安全测评主要考虑同一区域内、同一层面上的不同安全控制间存在的功能增强、补充或削弱等关联作用。层面间安全测评:层面间的安全测评主要考虑同一区域内的不同层面之间存在的功能增强、补充和削弱等关联作用。区域间安全测评:区域间的安全测评主要考虑互连互通(包括物理上和逻辑上的互连互通等)的不同区域之间存在的安全功能增强、补充和削弱等关联作用,特别是有数据交换的两个不同区域。系统结构安全测评:系统结构安全测评主要考虑信息系统整体结构的安全性和整体安全防范的合理性。在测评分析信息系统整体安全防范的合理性时,应熟悉信息系统安全保护措施的具体实现方式和部署情况等,结合业务数据流分析不同区域和不同边界与安全保护措施的关系、重要业务和关键信息与安全保护措施的关系等,参照纵深防御的要求,识别信息系统的安全防范是否突出重点、层层深入,综合判定信息系统的整体安全防范是否恰当合理等。2.1.3技术要求在安全等级测评过程中,每个工作阶段、流程、内容及成果交付严格遵循《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)和《信息安全技术 网络安全等级保护测评过程指南》(GB∕T 28449-2018)文件,对信息系统进行梳理,协助我单位进行系统定级备案,组织专家评审,开展网络安全等级测评工作,同时应结合我单位信息系统特性,安排具备专业能力认证的安全工程师进行全面性系统安全风险评估,根据测评结果出具相应的单项和整体测评报告,测评报告需得到我单位的确认,并协助报网监部门备案。测评报告编制的内容及格式严格遵照《网络安全等级测评报告模版(2025版)》进行。 测评技术团队应符合《网络安全等级测评与检测评估机构自律规范》对测评机构和测评人员管理的要求,项目总负责人须由公安部培训考核认证通过的信息安全高级等级测评师承担,拥有10年以上行业信息安全及等级测评工作经验,具有高级信息系统项目管理师证书,通过信息系统安全专业认证和信息安全保障人员认证,具备良好的教育背景、受过专业的技术培训、拥有丰富的行业系统网络安全等级测评工作经验,对信息系统安全等级测评过程中可能会面临的各类技术问题及时提供解决方案,项目团队应最少包含两名信息安全高级测评师。2.2应急响应服务2.2.1为******保健院提供1年应急响应服务,建立安全应急预案,遇到重大安全事件如网络入侵、大规模病毒爆发、遭受拒绝服务攻击等,无法及时对该事件进行处理或解决时,投标人需安排专业技术人员以7*24小时远程、电话、邮件等方式提供应急响应支持,快速恢复系统的保密性、完整性和可用性,阻止和降低安全威胁事件带来的严重性影响,查明安全事件原因,确定安全事件的威胁和破坏的严重程度,并根据对事件的分析及原因提供相应的解决方案。2.2.2服务要求:投标人应具备必要的应急处置服务资质和能力并且针对可能发生的网络安全应急事件做出分析预判,做出对应应急预案,以便更加及时、有效地进行应急响应服务工作。在发现安全事件时,须及时判断安全事件的级别。针对严重的安全事件,对安全事件进行紧急分析处理、灾难恢复和入侵追踪和取证,并出具应急响应报告。建立长期稳定专业的安全服务团队,并通过专业认证,在发生重大安全事件时,在2小时内提供应急响应服务;在发生一般安全事件时,3小时内提供应急响应服务。2.2.3安全培训服务:为******保健院提供1次安全培训服务,结合采购方当前网络安全工作的现实情况和实际需求,开展安全培训服务,培训内容包括但不限于网络******医院员工网络安全意识、网络安全技术能力水平和网络安全风险应对能力。2.2.4培训师资要求:讲师需具备专业资格认证、受过良好的技术培训、拥有丰富的信息安全行业培训工作经验。2.3交付成果项目阶段各阶段的测评过程文档(参照《信息安全技术 网络安全等级保护测评过程指南》)编制。详见下表(包括但不限于):| 项目阶段 | 交付成果 |
| 测评准备活动 | 项目实施计划书被测系统基本情况分析报告 |
| 方案编制活动 | 测评指导书信息系统安全测评实施方案 |
| 现场测评活动 | 测评结果记录测评中发现的问题汇总 |
| 分析与报告编制活动 | 单项测评结果汇总分析整体测评结果汇总分析风险分析和评估等级测评结论网络安全等级测评报告 |
服务周期:10天
报价方式:价格
评选方式:价格最低
服务实施地:******保健院
报名结束时间:2025-04-23 00:00:00
发布时间:2025-04-21 08:57:40
采购编号:HNJZC************202
采购单位:******保健院
供应商数量: 报名供应商不足三家。
允许1家中选是否需要上传响应文件:是
供应商资格:一、符合《中华人民共和国政府采购法》第二十二条规定,且已在本系统注册的供应商。
二、落实政府采购政策满足的需求:无。
三、特定的资格要求:无。
异议处理项:如有异议请电话咨询采购人,采购流程问题请咨询平台运营。
