會昌縣人民醫院信息系統三級等級保護測評項目
咨詢�、詢價公示
按照國家《信息安全等級保護管理辦法》定級為三級等保的系統每年測評一次���,我院HIS��、LIS��、EMR、PACS定級為三級����。為貫徹落實《信息安全等級保護管理辦法》���,確保我院相關信息系統網絡安全���,現對我院HIS���、LIS����、EMR���、PACS信息系統2024年度網絡安全等級保護測評服務進行詢價。我院擬委托第三方等保測試機構對醫院核心信息系統開展安全測評�,以提高醫院信息系統安全保護工作能力。現面向社會進行公開咨詢���、詢價,咨詢內容如下:
一���、項目編號:HCRX2024-003
二、采購方式:競爭性詢價
(一)服務內容
序號 |
測評系統名稱 |
測評數量(單位:次) |
系統等級 |
備注
?
|
1 |
醫院集成平臺
(HIS和LIS)
|
1 |
三級 |
對系統進行定級�����、備案�����、測評并協助整改����、獲取系統備案證明及提供測評報告�,保障系統安全 |
2 |
醫學影像系統(PACS) |
1 |
三級 |
3 |
電子病歷系統(EMR) |
1 |
三級 |
(二)項目服務技術依據:
《中華人民共和國網絡安全法》
《信息安全技術網絡安全等級保護安全設計技術要求》
《關于加強省級重要信息系統安全保障工作的通知》(贛公字[2015]55號)
關于印發《關于開展全國重要信息系統安全等級保護定級工作》的通知(公信安[2007]861 號文件)
《計算機信息系統安全保護等級劃分準則》(GB 17859-1999)
《信息安全等級保護實施指南》(GB/T 25058-2019)
《信息系統安全等級保護基本要求》(GB/T 22239-2019)
《信息系統安全保護等級定級指南》(GB/T 22240-2020)
《信息系統安全等級保護測評過程指南》(GB/T 28449-2018)
《信息系統安全等級保護測評要求》(GB/T 28448-2019)
《信息系統通用安全技術要求》(GB/T 20271-2006)
《網絡基礎安全技術要求》(GB/T 20270-2006)
《操作系統安全技術要求》(GB/T 20272-2019)
《數據庫管理系統安全技術要求》(GB/T 20273-2019)
《信息系統安全安全管理要求》(GB/T 20269)
《信息系統安全工程管理要求》(GB/T 20282)
(三)項目服務期
本項目服務期為自簽訂合同之日起12 個月(1年測評)。
(四)服務范圍
本次安全等級測評分為技術安全測評和管理安全測評��,技術安全測評包括物理安全�����、網絡安全�、主機安全��、應用安全和數據安全���,管理安全測評包括安全管理制度���、安全管理機構���、人員安全管理、系統建設管理、系統運維管理�����,共10 個方面的測評���。
(五)項目服務內容與要求:
1��、協助信息系統的定級與備案工作
具體要求:根據國家和行業信息安全要求�,結合采購人實際安全需求�����,嚴格遵循《信息安全技術信息系統安全等級保護定級指南》�,成交服務商應深入調研掌握信息系統的應用部署實際情況����,按照國家有關管理規范和標準要求,細致分析各信息系統安全域及管理邊界���,合理劃分信息系統范圍,科學開展信息系統重要性程度分析,準確判定信息系統安全等級,編制《定級報告》和《備案表》,并按照定級備案流程��,向主管部門����、監管機關就信息系統定級進行審批備案,使順利獲得監管機關頒發的《信息系統安全等級保護備案證明》。
交付要求:按照國家信息系統安全等級保護工作要求提供����。
工作過程文件及項目交付成果包括但不限于:系統定級報告���、備案表和《備案證明》等紙質版和電子版材料�。
交付時間:合同簽訂之日起����,60 日歷天���。
2、開展信息系統等級保護測評
按照《信息安全等級保護管理辦法》��、《信息系統安全保護等級實施指南》�����,遵循《網絡安全等級保護基本要求》(GB/T22239-2019))等技術標準�,從每個信息系統的物理安全�����、網絡安全����、主機安全���、應用安全�����、數據和備份恢復���、安全管理制度��、安全管理機構、人員安全管理�����、系統建設管理�、系統運維管理等10 個層面(二級系統175 個要求項����,三級系統290 個要求項)進行測評,并參考被測單位自身信息安全管理要求���,從安全控制間、層面間����、區域間和系統結構間的綜合分析進行整體測評��。
工作階段、流程��、內容���、及成果交付嚴格遵循《信息安全技術信息系統安全等級保護測評要求》)和《信息安全技術信息系統安全等級保護測評過程指南》文件�,根據系統等級開展相應級別的單項測評和整體測評。
測評報告內容及格式嚴格遵照《信息系統安全等級測評報告模版》�。為提高測評質量,規避實施風險,供應商應具備本項目所需的檢測能力(至少應包括:網絡安全等級測評與檢測評估機構服務認證證書)���。
交付要求:自合同簽訂之日起60 日歷天內��,供應商須完成等級測評,工作過程文件及項目交付成果包括但不限于:《信息安全等級保護等級測評報告》�。輸出文檔要求:電子版1份以及紙質版2 份(加蓋服務機構公章)��。
3、協助完善信息安全管理制度
依據《信息安全管理體系規范》����、《信息安全管理實施細則》��,結合《信息系統安全等級保護基本要求》內容,同時參照《信息系統安全管理要求》等標準����,對信息安全管理現狀進行需求分析,確定安全管理目標和安全策略,針對信息系統的各類管理活動,梳理已存在的系統運維管理制度��、人員安全管理制度�����、系統建設管理制度�、定期檢查制度等�,規范安全管理人員或操作人員的操作規程等;對未覆蓋的安全管理域��,制定其相關管理制度和文件。
交付要求:輸出文檔包括但不限于《信息安全管理制度匯編》等電子版1份以及紙質版2份�����。
4���、協助安全建設整改方案設計
依據《信息安全等級保護管理辦法》���、《信息系統安全保護等級實施指南》文件要求�����,應按照等級保護第三級要求進行保護����,依據《信息系統安全保護等級實施指南》���,遵循《信息安全等級保護基本要求》(GB/T22239-2019)對會昌縣人民醫院信息系統進行建設整改分析��,比較信息系統與國家標準要求之間的差距�。
具體要求:依照《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429 號)�����,嚴格遵循《信息安全等級保護安全建設整改工作指南》各項要求,在系統測評工作的基礎上���,對被測單位信息安全管理和技術方面現狀進行全面的分析,制訂信息安全等級保護安全整改方案,方案內容包含但不限于:信息安全背景��、政策與技術標準依據��、當前風險分析��、安全需求分析、總體安全策略、安全整改技術方案設計���、安全整改管理體系設計、信息系統安全產品選型及技術指標建議、安全整改項目實施計劃、項目預算,整改后可能存在的其他問題;出具方案后�����,需以此方案為基礎��,開展安全整改咨詢和系統加固工作�,最終使會昌縣人民醫院安全管理和技術兩方面達到相應等級的保護要求����。
交付要求:工作過程文件及交付成果包括但不限于:《信息安全等級保護安全整改方案》,方案可根據整改和規劃內容的重要性和復雜程度編寫�。輸出文檔《信息安全等級保護安全整改方案》等紙質版2 份(加蓋服務機構公章)
5���、項目實施要求:
5.1 實施要求
在項目現場實施周期內���,供應商必須為本項目成立等級保護測評項目部�����,安排包括項目經理和各測評實施小組進場調研����、測評工作。
5.2 組織實施要求
供應商應安排專職項目經理負責本次項目的實施��;供應商應保證項目團隊成員的穩定�,以保證服務的質量和連貫性。
5.3 人員安排要求
本項目的技術服務人員需具有信息安全服務工作經驗�����,參加過信息安全等級保護測評項目并取得信息安全方面資質證書���,提供人員管理及配備方案【響應文件中須提供擬派本項目的技術人員名單及其基本情況表】�,并確保人員的穩定。如更換技術服務人員����,須由采購方同意并簽字確認���。
5.4 服務保密要求
成交供應商應具有較好的保密管理及風險管理���,必須保證對本項目實施中所獲得任何資料和信息嚴格保密�����,并與會昌縣人民醫院簽訂保密協議�����。
三、資質和投標要求:
1���、供應商需具有獨立承擔民事責任的能力:
2��、具有履行合同所必須的設備和專業技術能力���;
3��、參加政府采購活動前三年內,在經營活動中沒有重大違法記錄����;
4�����、具有獨立法人資格的設備制造商或代理商均能參加投標;
5�����、咨詢文件一式三份����,按附件中的格式做好設備咨詢文件,請將各自品牌獨有的參數標記出來��。設備咨詢文件需膠封���,設備科有權不接受未經膠裝的資料���。
(五)�、響應報名函:
1、響應方式:響應報價為一次性不得更改的最終報價,每種貨物只允許一個報價��,任何有選擇的報價都將被拒絕��。
2、響應時間:2024年01月29日-2024年02月4日,咨詢文件密封后通過郵寄或現場提交的方式,同時將公司名稱、報名項目名稱��、參加項目詢價的聯系人��、聯系電話發送到郵箱77004558@qq.com以便統計����,郵寄地址:江西省贛州市會昌縣人民醫院住院樓4樓信息科 王先生收�����。如有疑問��,請撥打電話:0797-5637482。
附件下載:
擬派本項目的技術人員名單.docx
