駐馬店市中醫(yī)院信息系統(tǒng)安全等級(jí)保護(hù)采購(gòu)項(xiàng)目招標(biāo)公告
駐馬店市中醫(yī)院項(xiàng)目建設(shè)資金來自自籌,項(xiàng)目已具備自主招標(biāo)條件,現(xiàn)對(duì)該項(xiàng)目進(jìn)行公開招標(biāo),歡迎符合相關(guān)條件的企業(yè)參加投標(biāo)。
一、 項(xiàng)目概況和招標(biāo)范圍
1、項(xiàng)目名稱:信息系統(tǒng)安全等級(jí)保護(hù)采購(gòu)項(xiàng)目
2、招標(biāo)編號(hào):【2021】Z-007
3、招標(biāo)方式:公開招標(biāo)
4、項(xiàng)目概況:根據(jù)國(guó)家網(wǎng)絡(luò)安全法和衛(wèi)生部、公安廳相關(guān)文件要求,我院擬對(duì)醫(yī)院信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)
二、投標(biāo)申請(qǐng)人資格要求:
1、具有獨(dú)立的法人資格,能提供有效的企業(yè)法人營(yíng)業(yè)執(zhí)照(營(yíng)業(yè)執(zhí)照的經(jīng)驗(yàn)范圍必須涵蓋計(jì)算機(jī)設(shè)備),稅務(wù)登記證、組織機(jī)構(gòu)代碼證或三證合一證明文件,有能力提供招標(biāo)貨物及服務(wù)的生產(chǎn)商或代理商。
2、具有有效的營(yíng)業(yè)執(zhí)照,且經(jīng)營(yíng)范圍覆蓋等保測(cè)評(píng)業(yè)務(wù)。具有國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)協(xié)調(diào)小組頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書》,并在有效期內(nèi)。屬于《全國(guó)信息安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦目錄》推薦單位,并在中國(guó)信息安全等級(jí)保護(hù)網(wǎng)可查。
3、本項(xiàng)目測(cè)評(píng)人員必須具有信息安全保護(hù)測(cè)評(píng)人員、信息安全專業(yè)人員(CISP)要有從業(yè)資格證書。具備河南本地化服務(wù)能力,在河南本地有辦事機(jī)構(gòu),提供證明。近3年有類似的業(yè)績(jī)合同。
4、投標(biāo)人及法定代表人等商業(yè)信譽(yù)良好,未被列入“信用中國(guó)”網(wǎng)站(www.creditchina.gov.cn)記錄失信被執(zhí)行人或重大稅收違法案件當(dāng)事人名單或政府采購(gòu)嚴(yán)重違法失信行為”記錄名單;不處于中國(guó)政府采購(gòu)網(wǎng)(www.ccgp.gov.cn)政府采購(gòu)嚴(yán)重違法失信行為信息記錄”中的禁止參加政府采購(gòu)活動(dòng)期間(以在“信用中國(guó)”網(wǎng)站(www.creditchina.gov.cn)、中國(guó)政府采購(gòu)網(wǎng)(www.ccgp.gov.cn)查詢結(jié)果為準(zhǔn),(投標(biāo)人出具網(wǎng)頁截圖加蓋企業(yè)公章)。
5、本次招標(biāo)不接受聯(lián)合體投標(biāo),不允許轉(zhuǎn)包和分包。
三、項(xiàng)目目標(biāo)和內(nèi)容
1、項(xiàng)目目標(biāo)
按照信息安全等級(jí)保護(hù)定級(jí)標(biāo)準(zhǔn)和工作要求,開展信息系統(tǒng)安全等級(jí)專家評(píng)審和定級(jí),針對(duì)現(xiàn)有信息系統(tǒng)進(jìn)行評(píng)審定級(jí),協(xié)助組織定級(jí)評(píng)審材料,重點(diǎn)對(duì)醫(yī)院信息系統(tǒng)(HIS)、電子病歷(EMR)、實(shí)驗(yàn)室信息管理系統(tǒng)(LIS)、醫(yī)學(xué)影像系統(tǒng)(PACS)及醫(yī)院綜合管理系統(tǒng)(輸血系統(tǒng)、心電網(wǎng)絡(luò)系統(tǒng)、重癥手術(shù)麻醉系統(tǒng)、體檢系統(tǒng)、院感系統(tǒng)、臨床急診系統(tǒng)、規(guī)培系統(tǒng)、HERP系統(tǒng)、智能分診系統(tǒng)、預(yù)約系統(tǒng)、隨訪系統(tǒng)、無紙化系統(tǒng)等醫(yī)院現(xiàn)有系統(tǒng))的信息系統(tǒng)的等級(jí)保護(hù)定級(jí)與備案工作。
按照國(guó)家和醫(yī)療衛(wèi)生等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和要求,開展信息系統(tǒng)安全等級(jí)保護(hù)現(xiàn)狀測(cè)評(píng)和等級(jí)測(cè)評(píng)工作,查找安全差距,提交差距分析報(bào)告、安全整改建議和等級(jí)測(cè)評(píng)報(bào)告;遵循適度安全原則,綜合考量成本與效益因素,制定信息系統(tǒng)安全等級(jí)保護(hù)整改方案,指導(dǎo)整改工作。
按照信息系統(tǒng)安全等級(jí)保護(hù)的相關(guān)要求,梳理和完善。
信息安全管理制度和標(biāo)準(zhǔn),健全和完善信息安全管理體系和技術(shù)保障體系。
通過等保測(cè)評(píng)對(duì)目標(biāo)系統(tǒng)的安全狀況作深入探測(cè),發(fā)現(xiàn)系統(tǒng)脆弱的環(huán)節(jié),反映網(wǎng)絡(luò)所面臨的問題與真實(shí)的安全現(xiàn)狀,為醫(yī)院關(guān)鍵信息業(yè)務(wù)系統(tǒng)的安全配置與管理提供指導(dǎo)建議。
2、項(xiàng)目?jī)?nèi)容
對(duì)醫(yī)院重點(diǎn)信息系統(tǒng)(HIS)、電子病歷(EMR)、實(shí)驗(yàn)室信息管理系統(tǒng)(LIS)、醫(yī)學(xué)影像系統(tǒng)(PACS)及醫(yī)院綜合管理系統(tǒng)(輸血系統(tǒng)、心電網(wǎng)絡(luò)系統(tǒng)、重癥手術(shù)麻醉系統(tǒng)、體檢系統(tǒng)、院感系統(tǒng)、臨床急診系統(tǒng)、規(guī)培系統(tǒng)、HERP系統(tǒng)、智能分診系統(tǒng)、預(yù)約系統(tǒng)、隨訪系統(tǒng)、無紙化系統(tǒng)等醫(yī)院現(xiàn)有系統(tǒng))進(jìn)行現(xiàn)狀評(píng)估,確定和相應(yīng)等級(jí)之間的技術(shù)差距和管理制度差距,提交現(xiàn)狀評(píng)估報(bào)告和安全建設(shè)整改方案;
信息安全建設(shè)整改,含安全管理制度整改和協(xié)助安全技術(shù)整改;
信息系統(tǒng)定級(jí),并到公安機(jī)關(guān)備案,取得備案證明;
信息安全等級(jí)測(cè)評(píng),并將測(cè)評(píng)報(bào)告到公安機(jī)關(guān)備案;
響應(yīng)人須詳細(xì)在方案中注明以上內(nèi)容所需要的時(shí)間周期。
四、需遵循的政策法規(guī)及行業(yè)規(guī)范:
本項(xiàng)目實(shí)施過程中包括的所有設(shè)備、技術(shù)手段應(yīng)遵照下列組織的適用標(biāo)準(zhǔn)和規(guī)范進(jìn)行測(cè)評(píng)。所采用的標(biāo)準(zhǔn)和規(guī)范應(yīng)為合同期間的最新有效版本。當(dāng)參照的規(guī)范和標(biāo)準(zhǔn)與本規(guī)范書存在明顯沖突時(shí),響應(yīng)人應(yīng)向采購(gòu)人指出沖突之處并取得采購(gòu)人的書面意見。
1.《中華人民共和國(guó)保守國(guó)家秘密法》(1988年9月5日中華人民共和國(guó)主席令第6號(hào)公布)
2.《中華人民共和國(guó)保守國(guó)家秘密法實(shí)施辦法》(國(guó)家保密局文件國(guó)保發(fā)[1990]1號(hào))
3.《中華人民共和國(guó)國(guó)家安全法》(主席令68號(hào),1993年2月22日第七屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第三十次會(huì)議通過)
4.《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院令147號(hào))
5.《計(jì)算機(jī)信息系統(tǒng)保密管理暫行規(guī)定》(國(guó)家保密局文件國(guó)保發(fā)[1998]1號(hào))
6.《計(jì)算機(jī)信息系統(tǒng)國(guó)際聯(lián)網(wǎng)保密管理規(guī)定》(國(guó)家保密局文件國(guó)保發(fā)[1999]1號(hào))
7.《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定》(國(guó)務(wù)院令195號(hào))
8.《中華人民共和國(guó)計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)管理暫行規(guī)定實(shí)施辦法》(1997年12月8日國(guó)務(wù)院信息化工作領(lǐng)導(dǎo)小組審定)
9.《計(jì)算機(jī)病毒防治管理辦法》(2000年4月26日中華人民共和國(guó)公安部第51號(hào)令)
10.《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》(1997年12月11日國(guó)務(wù)院批準(zhǔn),1997年12月30日公安部發(fā)布)
11.《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品分類原則》(1997年4月公安部發(fā)布)
12.《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》(1999年9月國(guó)家技術(shù)監(jiān)督局發(fā)布)
13.《互聯(lián)網(wǎng)站從事登載新聞業(yè)務(wù)管理暫行規(guī)定》(國(guó)務(wù)院新聞辦公室和信息產(chǎn)業(yè)部11月7日聯(lián)合發(fā)布)
14.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)劃分準(zhǔn)則》(GB/T17859-1999)
15.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)網(wǎng)絡(luò)技術(shù)要求》(GA/T387-2002)
16.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)操作系統(tǒng)技術(shù)要求》(GA/T388-2002)
17.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)數(shù)據(jù)庫(kù)管理系統(tǒng)技術(shù)要求》(GA/T389-2002)
18.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》(GA/T390-2002)
19.《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》(GA/T391-2002)
20.《計(jì)算機(jī)機(jī)房場(chǎng)地安全要求》(GB9361-88)
21.《信息安全等級(jí)保護(hù)管理辦法》(公通字[2007]43號(hào))
22.《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》(GB/T25058-2010)
23.《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見》(公信安[2009]1429號(hào))(含附件)
24.《信息安全技術(shù) 信息系統(tǒng)安全保護(hù)等級(jí)保護(hù)基本要求》(GB/T 22239-2019)
25.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》(GBT28448-2019)
26.《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》(GB-T 28449-2018)
27.《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的通知》
28.《衛(wèi)生部關(guān)于衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》
29.《醫(yī)院信息系統(tǒng)基本功能規(guī)范》(衛(wèi)生部)
30.《河南省醫(yī)院信息化建設(shè)指南》
31.《河南省數(shù)字化醫(yī)院建設(shè)指南》
32.《中華人民共和國(guó)網(wǎng)絡(luò)安全法》(2017年6月1日正式施行)
33.《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》2.0版本。(2019年12月1日正式實(shí)施)
五、項(xiàng)目建設(shè)內(nèi)容
根據(jù)信息系統(tǒng)安全建設(shè)現(xiàn)狀以及信息系統(tǒng)的重要程度,本次等級(jí)保護(hù)測(cè)評(píng)工作可為安全技術(shù)測(cè)評(píng)和安全管理測(cè)評(píng)兩大類。安全技術(shù)測(cè)評(píng)包括:安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)層面上的安全控制測(cè)評(píng);安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)。詳細(xì)內(nèi)容包括但不限于以下內(nèi)容:
1)安全物理環(huán)境
安全物理環(huán)境測(cè)評(píng)應(yīng)評(píng)測(cè)信息系統(tǒng)的物理安全保障情況。主要涉及對(duì)象為機(jī)房。在內(nèi)容上,物理安全層面測(cè)評(píng)實(shí)施過程應(yīng)涉及10個(gè)工作單元,具體工作單元應(yīng)包括:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)。
2)安全通信網(wǎng)絡(luò)
安全通信網(wǎng)絡(luò)測(cè)評(píng)應(yīng)通過訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對(duì)象為機(jī)房的網(wǎng)絡(luò)設(shè)備、網(wǎng)絡(luò)安全設(shè)備以及網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)等三大類對(duì)象。在內(nèi)容上,測(cè)評(píng)過程應(yīng)涉及網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證3個(gè)工作單元的測(cè)評(píng)。
3)安全區(qū)域邊界
安全區(qū)域邊界的測(cè)評(píng)對(duì)象包括:網(wǎng)閘、防火墻、路由器、交換機(jī)和無線接入網(wǎng)關(guān)設(shè)備等提供訪問控制功能的設(shè)備或相關(guān)組件、終端管理系統(tǒng)或相關(guān)設(shè)備、網(wǎng)絡(luò)拓?fù)浜蜔o線網(wǎng)絡(luò)設(shè)備、抗APT攻擊系統(tǒng)、網(wǎng)絡(luò)回溯系統(tǒng)、威脅情報(bào)檢測(cè)系統(tǒng)、抗DDoS攻擊系統(tǒng)和入侵保護(hù)系統(tǒng)或相關(guān)組件、綜合安全審計(jì)系統(tǒng)等。在內(nèi)容上,測(cè)評(píng)師實(shí)施過程涉及邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證等6個(gè)工作單元的測(cè)評(píng)。
4)安全計(jì)算環(huán)境
安全計(jì)算環(huán)境測(cè)評(píng)應(yīng)通過訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的主機(jī)安全保障情況。在內(nèi)容上,主機(jī)系統(tǒng)安全層面測(cè)評(píng)實(shí)施過程應(yīng)涉及身份鑒別、訪問控制、安全審計(jì)、安全防范、剩余信息保護(hù)、惡意代碼防范和資源控制身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)等11個(gè)工作單元的測(cè)評(píng)。
5)安全管理中心
安全管理中心應(yīng)通過訪談、檢查和測(cè)試的方式評(píng)測(cè)信息系統(tǒng)的綜合安全管理情況。在內(nèi)容上,安全管理中心實(shí)施過程應(yīng)涉及系統(tǒng)管理、審計(jì)管理、安全管理、集中管控4個(gè)工作單元的測(cè)評(píng)。
6)安全管理機(jī)構(gòu)
安全管理機(jī)構(gòu)測(cè)評(píng)應(yīng)通過訪談和檢查的形式評(píng)測(cè)安全管理機(jī)構(gòu)的組成情況和機(jī)構(gòu)工作組織情況。主要涉及安全主管人員、安全管理人員、相關(guān)的文件資料和工作記錄等對(duì)象。在內(nèi)容上,安全管理機(jī)構(gòu)測(cè)評(píng)實(shí)施過程應(yīng)涉及崗位設(shè)置、人員配備、授權(quán)和審批、溝通與合作和審核與檢查5個(gè)工作單元的測(cè)評(píng)。
7)安全管理制度
安全管理制度測(cè)評(píng)應(yīng)通過訪談和檢查的形式評(píng)測(cè)安全管理制度的制定、發(fā)布、評(píng)審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對(duì)象。在內(nèi)容上,安全管理制度測(cè)評(píng)實(shí)施過程應(yīng)涉及安全策略、管理制度、制定和發(fā)布、評(píng)審和修訂4個(gè)工作單元的測(cè)評(píng)。
8)人員安全管理
人員安全管理測(cè)評(píng)應(yīng)通過訪談和檢查的形式評(píng)測(cè)機(jī)構(gòu)人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關(guān)管理制度、相關(guān)工作記錄等對(duì)象。在內(nèi)容上,人員安全管理測(cè)評(píng)實(shí)施過程應(yīng)涉及人員錄用、人員離崗、安全意識(shí)教育和培訓(xùn)、外部人員訪問管理4個(gè)工作單元的測(cè)評(píng)。
9)安全建設(shè)管理
安全建設(shè)管理測(cè)評(píng)應(yīng)通過訪談和檢查的形式評(píng)測(cè)系統(tǒng)建設(shè)管理過程中的安全控制情況。主要涉及安全主管人員、系統(tǒng)建設(shè)負(fù)責(zé)人、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對(duì)象。 在內(nèi)容上,系統(tǒng)建設(shè)管理測(cè)評(píng)實(shí)施過程應(yīng)涉及系統(tǒng)定級(jí)和備案、安全方案設(shè)計(jì)、產(chǎn)品采購(gòu)和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、等級(jí)測(cè)評(píng)、服務(wù)響應(yīng)人管理10個(gè)工作單元的測(cè)評(píng)。
10)安全運(yùn)維管理
安全運(yùn)維管理測(cè)評(píng)應(yīng)通過訪談和檢查的形式評(píng)測(cè)系統(tǒng)運(yùn)維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運(yùn)維人員、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對(duì)象。 在內(nèi)容上,系統(tǒng)運(yùn)維管理測(cè)評(píng)實(shí)施過程應(yīng)涉及環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防護(hù)管理、配置管理、密碼管理、變更管理、備份和恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理15個(gè)工作單元的測(cè)評(píng)。
項(xiàng)目范圍包括數(shù)據(jù)庫(kù)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備和安全設(shè)備,詳見下表。
序號(hào) | 系統(tǒng)名稱 | 系統(tǒng)級(jí)別 | 數(shù)量 |
1 | 醫(yī)院信息系統(tǒng)(HIS) | 三級(jí) | 1 |
2 | 電子病歷(EMR) | 三級(jí) | 1 |
3 | 三級(jí) | 1 | |
4 | 醫(yī)學(xué)影像管理系統(tǒng)(PACS) | 三級(jí) | 1 |
5 | 醫(yī)院綜合管理系統(tǒng) (包含的現(xiàn)有系統(tǒng)) | 二級(jí) | 1 |
對(duì)駐馬店市中醫(yī)院的現(xiàn)有系統(tǒng)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng)和驗(yàn)收測(cè)評(píng)工作。包括但不限于以下工作:
(1)記錄各系統(tǒng)運(yùn)行現(xiàn)狀及安全狀況
記錄被測(cè)信息系統(tǒng)的基本情況(可參考信息系統(tǒng)安全等級(jí)保護(hù)備案表),包括但不限于:系統(tǒng)的運(yùn)營(yíng)使用單位、投入運(yùn)行時(shí)間、承載的業(yè)務(wù)情況、系統(tǒng)服務(wù)情況以及定級(jí)情況。
(2)等級(jí)測(cè)評(píng)結(jié)果
對(duì)等級(jí)測(cè)評(píng)結(jié)果進(jìn)行匯總統(tǒng)計(jì)(測(cè)評(píng)項(xiàng)符合情況及比例、單元測(cè)評(píng)結(jié)果符合情況比例以及整體測(cè)評(píng)結(jié)果);通過對(duì)信息系統(tǒng)基本安全保護(hù)狀態(tài)的分析給出等級(jí)測(cè)評(píng)結(jié)論
(3)制定《系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》
列出被測(cè)信息系統(tǒng)中存在的主要問題以及可能造成的后果,制訂《系統(tǒng)等級(jí)測(cè)評(píng)報(bào)告》。
(4)制定《系統(tǒng)安全建設(shè)、整改方案》
依照《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見》(公信安[2009]1429號(hào)),嚴(yán)格遵循《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指南》各項(xiàng)要求,在系統(tǒng)測(cè)評(píng)工作的基礎(chǔ)上,對(duì)信息系統(tǒng)總體信息安全管理和技術(shù)方面現(xiàn)狀進(jìn)行全面的分析,制訂信息安全等級(jí)保護(hù)安全建設(shè)整改方案,方案內(nèi)容包含但不限于:企業(yè)信息安全背景、政策與技術(shù)標(biāo)準(zhǔn)依據(jù)、當(dāng)前風(fēng)險(xiǎn)分析、安全需求分析、總體安全策略、安全建設(shè)整改技術(shù)方案設(shè)計(jì)、安全建設(shè)整改管理體系設(shè)計(jì)、信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)建議、安全建設(shè)整改項(xiàng)目實(shí)施計(jì)劃、項(xiàng)目預(yù)算,整改后可能存在的其他問題。
(5)協(xié)助等保整改工作
針對(duì)系統(tǒng)存在的主要問題提出安全建設(shè)、整改建議,協(xié)助完成系統(tǒng)整改工作。
(6)制定《信息系統(tǒng)驗(yàn)收測(cè)評(píng)報(bào)告》
提交《信息系統(tǒng)驗(yàn)收測(cè)評(píng)報(bào)告》,報(bào)告須提交公安機(jī)關(guān)有關(guān)部門報(bào)備,協(xié)助辦理備案證明。
六、項(xiàng)目要求
在安全等級(jí)測(cè)評(píng)過程中,每個(gè)工作階段、流程、內(nèi)容、及成果交付嚴(yán)格遵循《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》(國(guó)標(biāo)報(bào)批稿)和《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》(國(guó)標(biāo)報(bào)批稿)文件,根據(jù)本項(xiàng)目信息系統(tǒng)已完成的定級(jí)備案安全等級(jí),開展相應(yīng)級(jí)別的安全等級(jí)測(cè)評(píng)和風(fēng)險(xiǎn)評(píng)估工作,根據(jù)測(cè)評(píng)結(jié)果出具相應(yīng)的單項(xiàng)和整體測(cè)評(píng)報(bào)告,測(cè)評(píng)報(bào)告需得到項(xiàng)目單位的確認(rèn),并報(bào)請(qǐng)省公安廳主管部門審核、批復(fù)。測(cè)評(píng)報(bào)告編制的內(nèi)容及格式嚴(yán)格遵照《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模版》(2019版)進(jìn)行。
七、工作過程文件及項(xiàng)目交付成果(包括但不限于):
(1)不同測(cè)評(píng)階段對(duì)應(yīng)的各項(xiàng)文檔(參照《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》),詳見下表(包括但不限于):
項(xiàng)目階段 | 交付成果 |
測(cè)評(píng)準(zhǔn)備活動(dòng) | 項(xiàng)目計(jì)劃書 被測(cè)系統(tǒng)基本情況分析報(bào)告 |
方案編制活動(dòng) | 測(cè)評(píng)指導(dǎo)書 信息系統(tǒng)安全測(cè)評(píng)方案 |
現(xiàn)場(chǎng)測(cè)評(píng)活動(dòng) | 測(cè)評(píng)結(jié)果記錄 測(cè)評(píng)中發(fā)現(xiàn)的問題匯總 |
分析與報(bào)告編制活動(dòng) | 單項(xiàng)測(cè)評(píng)結(jié)果匯總分析 整體測(cè)評(píng)結(jié)果匯總分析 風(fēng)險(xiǎn)分析和評(píng)估 等級(jí)測(cè)評(píng)結(jié)論 信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告 |
(2)安全等級(jí)測(cè)評(píng)整改技術(shù)方案。
安全等級(jí)測(cè)評(píng)整改技術(shù)方案,方案可根據(jù)整改和規(guī)劃內(nèi)容的重要性和復(fù)雜程度采用分冊(cè)方式編寫。涉及所有被測(cè)評(píng)系統(tǒng)的安全整改方案,需包含如下內(nèi)容:
方案分項(xiàng) | 詳細(xì)內(nèi)容及要求 |
等級(jí)化安全保障建議方案 | 內(nèi)容應(yīng)包括但不限于以下方面: 1.安全區(qū)域和等級(jí)劃分; 2.安全體系框架設(shè)計(jì); 3.等級(jí)化安全指標(biāo)體系報(bào)告。 |
安全體系建設(shè)建議方案 | 內(nèi)容應(yīng)包括但不限于以下方面: 1.網(wǎng)絡(luò)面臨風(fēng)險(xiǎn)分析; 2.針對(duì)性措施建議。 |
相關(guān)網(wǎng)絡(luò)安全管理制度 | 內(nèi)容應(yīng)包括但不限于以下方面: 1.機(jī)房安全管理制度; 2.網(wǎng)絡(luò)故障應(yīng)急預(yù)案及應(yīng)急方案流程制度; 3.客戶端管理制度; 4.數(shù)據(jù)備份及恢復(fù)制度; 5.災(zāi)難恢復(fù)策略及制度。 |
(3)應(yīng)當(dāng)且可以向采購(gòu)人提供不同測(cè)評(píng)階段對(duì)應(yīng)的各項(xiàng)文檔,及最終的安全等級(jí)測(cè)評(píng)報(bào)告和風(fēng)險(xiǎn)評(píng)估報(bào)告,以及切實(shí)可行的安全防護(hù)整改建議書等。如:
1.信息安全等級(jí)測(cè)評(píng)報(bào)告;
2.測(cè)評(píng)過程中產(chǎn)生的各項(xiàng)文檔;
3.其它文檔;
交付要求:交付項(xiàng)目涉及的所有業(yè)務(wù)系統(tǒng)的安全等級(jí)測(cè)評(píng)整改技術(shù)方案對(duì)應(yīng)的文檔,及其對(duì)應(yīng)的安全等級(jí)測(cè)評(píng)報(bào)告原件,協(xié)助辦理完畢備案證明。
響應(yīng)性文件必須實(shí)質(zhì)性響應(yīng)本項(xiàng)要求,編制詳盡列表說明。
1、項(xiàng)目進(jìn)度要求:40個(gè)工作日出備案證明。
2、實(shí)施基本要求:鑒于測(cè)評(píng)工作是對(duì)我單位信息系統(tǒng)的全面深入測(cè)試,實(shí)施工作帶來安全性和可靠性要求,響應(yīng)人必須逐條予以明確以下承諾:
(1)在測(cè)評(píng)過程中,當(dāng)與其它應(yīng)用系統(tǒng)(含硬件、集成平臺(tái)、應(yīng)用系統(tǒng)、數(shù)據(jù)庫(kù)系統(tǒng)等)發(fā)生任何矛盾時(shí)(如協(xié)作沖突、技術(shù)分歧等),均應(yīng)服從采購(gòu)人的協(xié)調(diào)或裁決。
(2)響應(yīng)人實(shí)行項(xiàng)目總負(fù)責(zé)人制,在項(xiàng)目驗(yàn)收前,響應(yīng)人不得隨意更換;如確需更換,需事先向采購(gòu)人提交書面更換意見函,征得采購(gòu)人同意答復(fù)后進(jìn)行更換。
3、服務(wù)響應(yīng):響應(yīng)人在本地設(shè)立服務(wù)單位和服務(wù)小組,必須對(duì)服務(wù)內(nèi)容做出詳細(xì)的實(shí)質(zhì)性承諾:售后服務(wù)免費(fèi)技術(shù)支持期、服務(wù)響應(yīng)速度、服務(wù)模式、售后服務(wù)質(zhì)量控制、客戶培訓(xùn)等。所有的售后費(fèi)用,必須計(jì)入投標(biāo)總價(jià)。
九、投標(biāo)人報(bào)名時(shí)需攜帶資料:
1、有效的企業(yè)營(yíng)業(yè)執(zhí)照、有效的組織機(jī)構(gòu)代碼證、有效的稅務(wù)登記證或三證合一證明文件;
2、法定代表人授權(quán)書及法人、被授權(quán)人身份證
3、各類資質(zhì)證明文件及售后服務(wù)承諾函
4、類似的業(yè)績(jī)合同
注:以上證件資料報(bào)名時(shí)須攜帶復(fù)印件加蓋公章,原件備查(只提供復(fù)印件的不予受理)。
十、報(bào)名時(shí)間、地點(diǎn):
1、報(bào)名時(shí)間:2021年05月07日-2021年05月14日,上午8:00-11:30 下午15:00 -17:00(節(jié)假日除外);
2、報(bào)名地點(diǎn):駐馬店市中醫(yī)院西辦公區(qū)四樓招標(biāo)辦(中醫(yī)院西邊502院內(nèi)金悅有限公司旁四層小樓四樓第一間辦公室)
聯(lián) 系 人:黎女士 電話:0396——2816819
十一、投標(biāo)保證金
1、各投標(biāo)單位于報(bào)名時(shí)需繳納投標(biāo)保證金3000元,中標(biāo)單位將投標(biāo)保證金轉(zhuǎn)為履約保證金,不中標(biāo)單位無息退回。
2、不按照招標(biāo)程序履約的投標(biāo)單位保證金概不退還。
3、投標(biāo)保證金請(qǐng)以貴公司對(duì)公賬戶存入我院賬戶,不能以個(gè)人名義存入。
請(qǐng)將投標(biāo)保證金存入我院以下賬戶:
賬戶名:駐馬店市中醫(yī)院
開戶行:中原銀行廣場(chǎng)支行
賬號(hào):4117 1501 0110 0148 01
十二、投標(biāo)文件要求說明
本項(xiàng)目不另發(fā)放招標(biāo)文件,投標(biāo)人應(yīng)自行編寫投標(biāo)文件,投標(biāo)文件應(yīng)包括以下內(nèi)容:
1、投標(biāo)文件的組成
1.1、投標(biāo)人須提供標(biāo)書一正七副,如投標(biāo)文件中正本與副本有不同之處,以正本為準(zhǔn)
1.2、投標(biāo)文件正本須由投標(biāo)企業(yè)的法人代表或授權(quán)人簽字并加蓋公章,授權(quán)委托書(原件),副本可復(fù)印
1.3、投標(biāo)文件正本與副本均應(yīng)使用A4張打印并膠印裝訂,膠裝標(biāo)書的封面應(yīng)標(biāo)明文件項(xiàng)目名稱,項(xiàng)目編號(hào),企業(yè)名稱
2、投標(biāo)文件的內(nèi)容
2.1、投標(biāo)書文件清單及頁碼索引、投標(biāo)聲明、廉政承諾書。
2.2、報(bào)價(jià)表,提供完備的維保方案
2.3、營(yíng)業(yè)執(zhí)照,稅務(wù)登記、法定代表人有效身份證復(fù)印件、法定代表人委托書及有效身份證復(fù)印件
2.4、有關(guān)資質(zhì)證書,優(yōu)惠承諾書及售后服務(wù)承諾
2.5、提供近6個(gè)月以來依法繳納職工社會(huì)保障資金的證明材料(社會(huì)保險(xiǎn)基金管理部門出具的繳款憑證或繳款證明原件,復(fù)印件需加蓋投標(biāo)單位公章)。
2.6、近幾年的審計(jì)報(bào)告,商業(yè)信譽(yù)查詢結(jié)果
駐馬店市中醫(yī)院
2021年05月07日