现我院对下列货物进行公开采购,现邀请有意向的供应商参加。具体如下:
1、采购内容:
序号 | 货物名称 | 数量 | 预算单价(万元) | 预算总价(万元) |
1 | 等保信息测评 | 1 | 32 | 32 |
1.1 项目编号:syxyfy-sb2022025
1.2 地点:邵阳学院附属第一医院
1.3 交货时间:双方合同签订时具体约定
2、资金来源:自筹资金
3、资格要求:
3.1 必须具备独立的法人资格,企业财务状况良好,具有固定营业场所,且许可范围涵盖本次采购范围。
3.2 所投设备若纳入中华人民共和国医疗器械监督管理的,第一类医疗器械必须具备食品药品监督管理部门颁发的医疗器械备案凭证;第二、三类医疗器械必须具备食品药品监督管理部门颁发的医疗器械注册证。
3.3 具备食品药品监督管理部门颁发的相应医疗器械经营许可证(医疗器械经营备案凭证)。
3.4 单位负责人为同一人或者存在控股、管理关系的不同单位,不得同时对本项目响应。
3.5 与采购人存在利害关系可能影响采购公正性的法人、其他组织或者个人,不得响应。
3.6 供应商必须符合法律法规规定的其他条件。
4、公告时间: 2022 年 7 月 14 日 8:00 至 2022 年 7 月 20 日 17:00 (五个工作日)
5、响应文件递交截止时间: 2022 年 7 月 20 日(北京时间) 17:00 。
6、开标时间:另行通知。
7、响应文件递交地点:邵阳学院附属第一医院医学装备部。
8、响应文件内容:第一页报价单(内容包含:设备名称、型号规格、生产厂家、单价、数量、总金额)、目录、设备配置清单、厂家生产许可证、产品注册证、供应商经营许可证、授权书、售后服务、技术参数、彩页等。
9、响应文件的密封要求:建议装订成册,全部密封于一个密封袋内(正本一份,副本一份)。密封袋封面:项目名称,项目编号,公司名称,联系人,联系电话。
10、采购结束后对未成交供应商未成交原因采购人不予解释,未成交供应商不再另行通知。
11、采购人:邵阳学院附属第一医院
11.1 地址:湖南省邵阳市双清区通衡街39号
11.2 联系人:谷女士
11.3 联系电话:0739-5250957
技术参数
一.等级保护测评
1.总则
1.1 本技术需求书条款所提出的各项要求,是本次信息系统安全等级保护测评依据投标人应根据本文件中的相关说明和要求,提供方案。
1.2 投标人在测评方案书中,对能提供的信息系统安全等级保护测评进行说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
1.3 投标人应对提供信息系统安全等级保护测评时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人对以上问题不承担任何法律责任。
2.依据政策及标准
投标人应依据国家相关政策标准开展工作,依据标准包括但不限于如下国家政策标准:
●《计算机信息系统安全保护等级划分准则》(GB 17859-1999);
●《信息安全等级保护管理办法》(公通字〔2007〕43号);
●《信息安全技术 信息系统安全等级保护实施指南》;
●《信息安全技术 信息系统安全等级保护定级指南》(GBT 22240-2020);
●《信息安全技术 网络安全等级保护基本要求》(GBT 22239-2019);
●《信息安全技术 网络安全等级保护测评要求》(GBT 28448-2019);;
●《信息安全技术 信息安全风险评估规范》(GB/T 20984—2007);
3.测评范围
根据相关文件及标准要求,邵阳学院附属第一医院等级保护测评项目,内容包括信息系统安全等级保护测评及验收服务。
*信息系统安全等级保护测评包含以下系统:
序号 | 系统名称: | 级别 |
1 | HIS系统 | 三级 |
2 | LIS系统 | 三级 |
3 | PACS系统 | 三级 |
4 | EMR系统 | 三级 |
5 | 门户网站系统 | 二级 |
4.测评内容
依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)三级、二级要求,对信息系统进行等级测评,找出系统与国家标准要求之间的差距,对存在的风险进行评估,并出具《信息安全等级测评报告》和《安全建设整改方案》。测评内容涵盖:
(1)安全物理环境
安全物理环境测评将通过访谈和检查的方式评测信息系统的物理安全保障情况。主要涉及对象为机房。
在内容上,物理安全层面测评实施过程涉及10个安全子类,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 物理位置的选择 | 通过访谈物理安全负责人,检查机房,测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。 |
2 | 物理访问控制 | 通过访谈物理安全负责人,检查机房出入口等过程,测评信息系统在物理访问控制方面的安全防范能力。 |
3 | 防盗窃和防破坏 | 通过访谈物理安全负责人,检查机房内的主要设备、介质和防盗报警设施等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。 |
4 | 防雷击 | 通过访谈物理安全负责人,检查机房设计/验收文档,测评信息系统是否采取相应的措施预防雷击。 |
5 | 防火 | 通过访谈物理安全负责人,检查机房防火方面的安全管理制度,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。 |
6 | 防水和防潮 | 通过访谈物理安全负责人,检查机房及其除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。 |
7 | 防静电 | 通过访谈物理安全负责人,检查机房等过程,测评信息系统是否采取必要措施防止静电的产生。 |
8 | 温湿度控制 | 通过访谈物理安全负责人,检查机房的温湿度自动调节系统,测评信息系统是否采取必要措施对机房内的温湿度进行控制。 |
9 | 电力供应 | 通过访谈物理安全负责人,检查机房供电线路、设备等过程,测评是否具备为信息系统提供一定电力供应的能力。 |
10 | 电磁防护 | 通过访谈物理安全负责人,检查主要设备等过程,测评信息系统是否具备一定的电磁防护能力。 |
(2)安全通信网络
安全通信网络测评将通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,通信网络安全层面测评过程涉及个工作单元。
序号 | 安全子类 | 测评指标描述 |
1 | 网络架构 | 通过访谈网络管理员,检查网络拓扑情况、核查核心交换机、路由器,测评分析网络架构与网段划分、隔离等情况的合理性和有效性。 |
2 | 通信传输 | 通过访谈网络管理员,检查各硬件设备传输过程中是否采用加密技术。 |
3 | 可信验证 | 通过访谈网络管理员,检查各硬件设备传输过程中是否采用可信验证技术。 |
安全区域边界测评将通过访谈、检查和测试的方式评测信息系统的边界防护,在内容上,安全区域边界测评实施过程涉及6个安全子类。
序号 | 安全子类 | 测评指标描述 |
1 | 边界防护 | 通过访谈网络管理员,查看边界设备防护措施。 |
2 | 访问控制 | 通过访谈网络管理员,查看边界设备的访问控制策略。 |
3 | 入侵防范 | 通过访谈网络管理员,查看各个关键网络节点的防入侵措施。 |
4 | 恶意代码防范和垃圾邮件防范 | 通过访谈网络管理员,查看各个关键网络节点恶意代码防范措施。 |
5 | 安全审计 | 通过访谈网络管理员,查看边界设备的日志审计策略和记录。 |
6 | 可信验证 | 通过访谈网络管理员,查看边界设备是否采用可信验证技术。 |
(4)安全计算环境
安全计算环境测评将通过访谈、检查和测试的方式评测信息系统的应用安全保障情况。在内容上,安全计算环境测评实施过程涉及11个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 身份鉴别 | 检查信息系统网络设备、安全设备、服务器、数据库和应用系统的身份标识与鉴别功能设置和使用配置情况; 检查应用系统对用户登录各种情况的处理,如登录失败处理、登录连接超时等。 |
2 | 访问控制 | 检查网络设备、安全设备、服务器、数据库和应用系统的访问控制功能设置情况,如访问控制的策略、访问控制粒度、权限设置情况等。 |
3 | 安全审计 | 检查网络设备、安全设备、服务器、数据库和应用系统的安全审计配置情况,如覆盖范围、记录的项目和内容等; 检查应用系统安全审计进程和记录的保护情况。 |
4 | 可信验证 | 检查计算设备的系统引导程序、系统程序、重要配置参数和应用系统程序等是否可以进行可信验证,并检测可信验证受到破坏时进行报警。 |
5 | 入侵防范 | 检查网络设备、安全设备、服务器、数据库和应用系统入侵防范,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
6 | 恶意代码防范 | 检查网络设备、安全设备、服务器、数据库和应用系统恶意代码防范措施。 |
7 | 数据完整性 | 检查网络设备、安全设备、服务器、数据库和应用系统的通信完整性保护情况。 |
8 | 数据保密性 | 检查网络设备、安全设备、服务器、数据库和应用系统的通信保密性保护情况。 |
9 | 数据备份和恢复 | 检查网络设备、安全设备、服务器、数据库和应用系统的关键信息备份情况。 |
10 | 剩余信息保护 | 检查网络设备、安全设备、服务器、数据库和应用系统。 |
11 | 个人信息保护 | 检查系统收集个人信息和使用个人信息的情况。 |
(5)安全管理中心
在内容上,安全管理中心层面测评实施过程涉及4个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 系统管理 | 通过访谈系统管理员,对系统的资源和运行配置进行配置、控制和管理是否全由系统管理员进行操作。 |
2 | 审计管理 | 通过访谈安全审计员,是否对审计记录进行分析,并根据分析结果进行处理,包括根据安全审计策略对审计记录进行存储、管理和查询等。 |
3 | 安全管理 | 通过访问安全员,对系统的安全策略进行配置,包括安全参数的设置、主体、客体进行统一安全标记,对主体进行授权,配置可信验证策略是否全由安全员进行操作。 |
4 | 集中管控 | 通过访谈安全员,对分布在网络中的安全设备或安全组件进行管控,对网络链路、安全设备、网络设备和服务器等的运行状况进行集中监测、对分散在各个设备上的审计数据进行收集汇总和集中分析,对安全策略、恶意代码、补丁升级等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析的情况。 |
(6)安全管理制度
安全策略和管理制度测评将通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。
在内容上,安全管理制度测评实施过程涉及4个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 安全策略 | 通过访谈安全主管,检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
2 | 管理制度 | 通过访谈安全主管,检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
3 | 制定和发布 | 通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
4 | 评审和修订 | 通过访谈安全主管,检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
(7)安全管理机构
安全管理机构测评将通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。
序号 | 安全子类 | 测评指标描述 |
1 | 岗位设置 | 通过访谈安全主管,检查部门/岗位职责文件,测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。 |
2 | 人员配备 | 通过访谈安全主管,检查人员名单等文档,测评信息系统各个岗位人员配备情况。 |
3 | 授权和审批 | 通过访谈安全主管,检查相关文档,测评信息系统对关键活动的授权和审批情况。 |
4 | 沟通和合作 | 通过访谈安全主管,检查相关文档,测评信息系统内部部门间、与外部单位间的沟通与合作情况。 |
5 | 审核和检查 | 通过访谈安全主管,检查记录文档等过程,测评信息系统安全工作的审核和检查情况。 |
(8)安全管理人员
安全管理人员测评将通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。
在内容上,人员安全管理测评实施过程涉及4个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 人员录用 | 通过访谈人事负责人,检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 通过访谈人事负责人,检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 安全意识教育和培训 | 通过访谈安全主管,检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
4 | 外部人员访问管理 | 通过访谈安全主管,检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
安全建设管理测评将通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。
在内容上,系统建设管理测评实施过程涉及10个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 定级和备案 | 通过访谈安全主管,检查系统定级相关文档等过程,测评是否按照一定要求确定系统的安全等级。 |
2 | 安全方案设计 | 通过访谈系统建设负责人,检查系统安全建设方案等文档,测评系统整体的安全规划设计是否按照一定流程进行。 |
3 | 产品采购和使用 | 通过访谈安全主管、系统建设负责人和安全产品等过程,测评是否按照一定的要求进行系统的产品采购。 |
4 | 自行软件开发 | 通过访谈系统建设负责人,检查相关软件开发文档等,测评自行开发的软件是否采取必要的措施保证开发过程的安全性。 |
5 | 外包软件开发 | 通过访谈系统建设负责人,检查相关文档,测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。 |
6 | 工程实施 | 通过访谈系统建设负责人,检查相关文档,测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。 |
7 | 测试验收 | 通过访谈系统建设负责人,检查测试验收等相关文档,测评系统运行前是否对其进行测试验收工作。 |
8 | 系统交付 | 通过访谈系统运维负责人,检查系统交付清单等过程,测评是否采取必要的措施对系统交付过程进行有效控制。 |
9 | 等级测评 | 通过访谈系统运维负责人,核查定期开展等级测评和等级保护整改情况。 |
10 | 服务供应商选择 | 通过访谈系统运维负责人,测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。 |
安全运维管理测评将通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。
在内容上,系统运维管理测评实施过程涉及14个工作单元,具体如下表:
序号 | 安全子类 | 测评指标描述 |
1 | 环境管理 | 通过访谈物理安全负责人,检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 通过访谈资产管理员,检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 通过访谈资产管理员,检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备维护管理 | 通过访谈资产管理员、系统管理员,检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 漏洞和风险管理 | 通过访谈安全主管、系统管理员,检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程,测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。 |
6 | 网络和系统安全管理 | 通过访谈安全主管、网络管理员,检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程,测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。 |
7 | 恶意代码防范管理 | 通过访谈系统运维负责人,检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 配置管理 | 通过访谈系统运维负责人,核查配置库的建立和维护情况。 |
9 | 密码管理 | 通过访谈安全员,测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 通过访谈系统运维负责人,检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份与恢复管理 | 通过访谈系统管理员、网络管理员,检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 安全事件处置 | 通过访谈系统运维负责人,检查安全事件记录分析文档、安全事件报告和处置管理制度等过程,测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。 |
13 | 应急预案管理 | 通过访谈系统运维负责人,检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
14 | 外部运维管理 | 通过访谈系统运维负责人,核查外包运维服务商选择和安全相关协议的签订情况。 |
(11)工具测试
根据工具测试过程管理表单,使用漏洞扫描工具对信息系统的设备进行扫描,扫描结束后,根据目标设备的具体情况,判断漏洞验证的风险程度。
(1)测评准备活动:测评准备活动中,投标人主要完成启动测评项目,组建测评项目组;通过收集和分析被测系统的相关资料信息,掌握被测系统的大体情况;并准备测评工具和表单等测评所需的相关资料。
(2)方案编制活动:方案编制活动中,投标人主要完成确定测评对象和测评指标,选择测试工具接入点,从而进一步确定测评实施内容,并从已有的测评指导书中选择本次需要用到的测评指导书,最后根据上述情况编制测评方案。
(3)现场测评活动:现场测评活动中,投标人在与测评委托单位就测评方案达成一致意见,并进一步确定测评配合人员,完成测评指导书各项测评内容,获取足够的测评证据。
(4)分析与报告编制活动:分析与报告编制活动中,测评人员通过分析现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,进行整体测评和风险分析,形成等级测评结论,并编制测评报告。
6.技术服务要求
6.1本次等级测评应满足的原则
投标人应严格依据下列原则和国家等级保护相关标准开展项目实施工作。
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:投标人的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则:测评服务的进度要跟上进度表的安排,保证招标人对于测评工作的可控性。
(5)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
6.2本次等级测评的整体要求
(1)投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。
(4)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细描述需要的运行环境的具体要求。
版权所有:邵阳学院附属第一医院
地址:邵阳市双清区铁砂岭路通衡街39号(大汉步行街西侧)
全国公安联网备案号:
湘公网安备 43050202000102号
工信部ICP备案: 湘ICP备12010229号
