一��、項(xiàng)目名稱(chēng):湘雅常德醫(yī)院信息集成平臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)復(fù)測(cè)(第二次)
二、擬采用的采購(gòu)方式:院內(nèi)采購(gòu)
三���、項(xiàng)目概況:
| 項(xiàng)目名稱(chēng) | 金額 | 年限(年) | 備注 |
| 湘雅常德醫(yī)院信息集成平臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)復(fù)測(cè)(第二次) | 65000 | 1 | |
四�、參與公司資格:
(一)法人資格證明
(二)代理人授權(quán)委托書(shū)(法人參與不需提供)
(三)參與公司資質(zhì)證明
(四)響應(yīng)采購(gòu)需求(見(jiàn)附件)
五��、投標(biāo)報(bào)名截止時(shí)間和開(kāi)標(biāo)時(shí)間
報(bào)名截止日:2024年1月 16日15:00���。
開(kāi)標(biāo)時(shí)間:具體時(shí)間另行通知�����。
六、投標(biāo)文件遞交地點(diǎn)和開(kāi)標(biāo)地點(diǎn)
報(bào)名方式:凡有意參加投標(biāo)者���,必須按照資料模板填寫(xiě)���,到湖南省常德市武陵區(qū)月亮大道1688號(hào)湘雅常德醫(yī)院(行政樓6樓)或者網(wǎng)上電子郵箱xycdyyzbcg@126.com提交相關(guān)文件。
招標(biāo)規(guī)則:由采購(gòu)人在報(bào)名供應(yīng)商中進(jìn)行資格預(yù)審���,遴選符合資格條件的供應(yīng)商參與本次招標(biāo)活動(dòng)��,報(bào)名截止后2個(gè)工作日內(nèi)對(duì)向符合要求的供應(yīng)商發(fā)出通知��,未被遴選的供應(yīng)商��,不再另行通知�����。
七�����、公告媒體
湘雅常德醫(yī)院官網(wǎng)
八�、聯(lián)系方式:
聯(lián)系人:成老師
聯(lián)系電話: 0736-2120093
地址: 湘雅常德醫(yī)院行政樓6樓
九、監(jiān)督部門(mén):
聯(lián)系電話: 0736-2120028
湘雅常德醫(yī)院后勤保障部
2024年 1月 12日
附件:資料模板
采購(gòu)需求
一����、項(xiàng)目概述
(一)項(xiàng)目背景
根據(jù)三級(jí)醫(yī)院評(píng)審標(biāo)準(zhǔn)(2022年版)第一百六十九條要求落實(shí)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》,實(shí)施國(guó)家信息安全等級(jí)保護(hù)制度�����,實(shí)行信息系統(tǒng)按等級(jí)保護(hù)分級(jí)管理����,保障網(wǎng)絡(luò)信息安全,保護(hù)患者隱私�。推動(dòng)系統(tǒng)運(yùn)行維護(hù)的規(guī)范化管理��,落實(shí)突發(fā)事件響應(yīng)機(jī)制�,保證業(yè)務(wù)的連續(xù)性�����;電子病歷系統(tǒng)應(yīng)用水平分級(jí)評(píng)價(jià)標(biāo)準(zhǔn)要求完成信息安全等級(jí)保護(hù)定級(jí)備案與測(cè)評(píng)��、醫(yī)院重要信息安全等級(jí)保護(hù)不低于第三級(jí)�,建議盡快啟動(dòng)我院信息集成平臺(tái)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)事宜。
(二)項(xiàng)目目標(biāo)
根據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》�、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》信息系統(tǒng)安全等級(jí)保護(hù)文件和技術(shù)標(biāo)準(zhǔn),對(duì)湘雅常德醫(yī)院信息集成平臺(tái)系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)��,評(píng)價(jià)其信息安全保護(hù)情況�,對(duì)存在的問(wèn)題提出整改建議���,并提供整改實(shí)施的咨詢服務(wù)���,最終使湘雅常德醫(yī)院從安全管理和技術(shù)兩方面達(dá)到相應(yīng)等級(jí)的保護(hù)要求。
(三)項(xiàng)目原則
本項(xiàng)目實(shí)施遵循以下原則:
(1)標(biāo)準(zhǔn)化原則
等級(jí)測(cè)評(píng)工作不僅要遵循國(guó)家等級(jí)保護(hù)相關(guān)安全標(biāo)準(zhǔn)規(guī)范���,還要符合醫(yī)療行業(yè)的有關(guān)行業(yè)規(guī)范要求���。
(2)規(guī)范化原則
本項(xiàng)目的實(shí)施將嚴(yán)格按照有關(guān)質(zhì)量體系要求��,通過(guò)分析項(xiàng)目實(shí)施風(fēng)險(xiǎn)����,在項(xiàng)目管理基礎(chǔ)上��,建立規(guī)范的實(shí)施操作流程����、文檔管理制度和項(xiàng)目管理制度,最大限度降低項(xiàng)目實(shí)施風(fēng)險(xiǎn)�����。
(3)業(yè)務(wù)主導(dǎo)原則
本次項(xiàng)目將遵循業(yè)務(wù)主導(dǎo)原則���,即以業(yè)務(wù)安全為評(píng)估工作導(dǎo)向�,根據(jù)湘雅常德醫(yī)院業(yè)務(wù)特點(diǎn)確定評(píng)估重點(diǎn)����,分析信息安全風(fēng)險(xiǎn)和漏洞對(duì)業(yè)務(wù)的影響,充分發(fā)揮網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估和等保測(cè)評(píng)對(duì)促進(jìn)湘雅常德醫(yī)院信息安全保障以完成業(yè)務(wù)使命的積極作用��。
(4)最小影響原則
本項(xiàng)目工作要做到充分的計(jì)劃性,所采用手段的工具均須經(jīng)過(guò)嚴(yán)格的評(píng)審和測(cè)試�,對(duì)預(yù)期的結(jié)果和影響進(jìn)行充分的估計(jì),并做好應(yīng)急措施��,不對(duì)現(xiàn)有網(wǎng)絡(luò)系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常提供產(chǎn)生顯著影響���,盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行�����,同時(shí)在安全服務(wù)實(shí)施前做好風(fēng)險(xiǎn)防范和應(yīng)急措施�����。
(5)保密性原則
項(xiàng)目團(tuán)隊(duì)對(duì)工作過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密��,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人��,不得利用此數(shù)據(jù)進(jìn)行任何侵害湘雅常德醫(yī)院利益的行為����。
(四)項(xiàng)目依據(jù)
根據(jù)國(guó)家和公安部的有關(guān)標(biāo)準(zhǔn)要求����,以及湘雅常德醫(yī)院的實(shí)際要求進(jìn)行測(cè)評(píng),須遵照的主要標(biāo)準(zhǔn)�、政策文件如下:
公安部、國(guó)家保密局�����、國(guó)際密碼管理局��、國(guó)務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)》(公通字[2004]66)�����;
公安部�、國(guó)家保密局、國(guó)家密碼管理局��、國(guó)務(wù)院信息化工作辦公室制定的《信息安全等級(jí)保護(hù)管理辦法》(公通字 [2007]43號(hào))����。
《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)》(中辦發(fā)[2003]27號(hào))
《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求》- GB/T22239-2012
《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》
《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求》
《信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》
《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》(GB/T20271-2006)
《信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求》(GB/T 20270-2006)
《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》(GB/T 20272-2006)
《信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》(GB/T20273-2006)
《信息安全技術(shù) 服務(wù)器技術(shù)要求》(GB/T 21028-2007)
《信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求》(GA/T 671-2006)
《信息安全技術(shù) 信息系統(tǒng)安全管理要求》(GB/T20269-2006)
《信息安全技術(shù) 信息系統(tǒng)安全工程管理要求》(GB/T20282-2006)
《信息安全等級(jí)保護(hù)安全建設(shè)整改工作指導(dǎo)意見(jiàn)》(公信安[2009]1429號(hào))
GB/T 18336-2001 《信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則》
IATF《信息保障技術(shù)框架》
《國(guó)務(wù)院關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見(jiàn)》(國(guó)發(fā)〔2012〕23號(hào))
《國(guó)務(wù)院辦公廳關(guān)于印發(fā)<政府信息系統(tǒng)安全檢查辦法>的通知》(國(guó)辦發(fā)〔2009〕28號(hào))
《關(guān)于開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》(中網(wǎng)辦發(fā)文〔2016〕3號(hào))
《關(guān)于開(kāi)展關(guān)鍵信息基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全檢查的通知》
GB/T 20984-2007 《信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》
GB/T 20274-2006 《信息系統(tǒng)安全保障評(píng)估框架》
GB/T 20988—2007《信息系統(tǒng)災(zāi)難恢復(fù)規(guī)范》
GB/Z 20985-2007《信息安全事件管理指南》
GB/Z 20986-2007 《信息安全事件分類(lèi)分級(jí)指南》
GB/T 22081-2008 《信息安全管理實(shí)用規(guī)劃》
二、項(xiàng)目服務(wù)內(nèi)容
(一)等級(jí)保護(hù)測(cè)評(píng)
根據(jù)公安部《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》�����、《信息安全技術(shù)信息系統(tǒng)安全等級(jí)保護(hù)基本要求》信息系統(tǒng)安全等級(jí)保護(hù)文件和技術(shù)標(biāo)準(zhǔn)���,對(duì)湘雅常德醫(yī)院的主要信息系統(tǒng)進(jìn)行第三方等級(jí)保護(hù)測(cè)評(píng)���。詳見(jiàn)下表�����。
| 序號(hào) | 系統(tǒng)名稱(chēng) | 級(jí)別 |
| 1 | 信息集成平臺(tái)系統(tǒng) | 3 |
對(duì)以上信息系統(tǒng)進(jìn)行全面的安全測(cè)評(píng)和檢查�����,以便及時(shí)準(zhǔn)確的排查整個(gè)信息系統(tǒng)中存在的安全漏洞和隱患���。內(nèi)容包括但不限于:制度檢查、整體網(wǎng)絡(luò)安全檢查�、漏洞掃描、滲透測(cè)試�、木馬專(zhuān)項(xiàng)檢查、關(guān)鍵設(shè)備審計(jì)����、應(yīng)用權(quán)限審計(jì)。
測(cè)評(píng)服務(wù)機(jī)構(gòu)依據(jù)《信息安全等級(jí)保護(hù)管理辦法》���,按照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T 22239-2019代替GB/T 22239-2008����,即等保2.0標(biāo)準(zhǔn))的測(cè)評(píng)指標(biāo)�����,結(jié)合湘雅常德醫(yī)院的被測(cè)評(píng)系統(tǒng)特點(diǎn)���,確定具體的測(cè)評(píng)對(duì)象����,通過(guò)訪談�、檢查和測(cè)試等方式,對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況�����、安全保障性能進(jìn)行安全測(cè)試����,對(duì)信息安全管控能力進(jìn)行考察和評(píng)價(jià),判斷測(cè)評(píng)系統(tǒng)各個(gè)方面對(duì)測(cè)評(píng)指標(biāo)的符合程度�����,從而判定信息系統(tǒng)是否具備保持《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》中相應(yīng)等級(jí)安全保護(hù)能力,提供安全等級(jí)測(cè)評(píng)報(bào)告和安全等級(jí)整改方案�,直至最終通過(guò)測(cè)評(píng)。
等保測(cè)評(píng)公司需要對(duì)我院的IT資產(chǎn)進(jìn)行梳理和風(fēng)險(xiǎn)識(shí)別�,按照國(guó)家信息安全等保的法規(guī)要求,以高級(jí)專(zhuān)家和等保工具結(jié)合的工作方式���,對(duì)我院信息系統(tǒng)安全設(shè)施包括但不限于通信網(wǎng)絡(luò)/區(qū)域邊界/計(jì)算環(huán)境/安全管理中心以及風(fēng)險(xiǎn)管理體系���、安全管理體系、安全技術(shù)體系�、網(wǎng)絡(luò)信任體系等提供確實(shí)有效的建議,在我院進(jìn)行信息系統(tǒng)安全加固和整改過(guò)程中�,等保測(cè)評(píng)公司需提供全程咨詢、指導(dǎo)和督促服務(wù)���。
三����、其它要求及說(shuō)明:
本項(xiàng)目采用費(fèi)用包干方式�,供應(yīng)商應(yīng)根據(jù)項(xiàng)目要求和現(xiàn)場(chǎng)情況,詳細(xì)列明項(xiàng)目所需的檢測(cè)設(shè)備����、軟件及材料����,以及產(chǎn)品運(yùn)輸保險(xiǎn)保管�����、項(xiàng)目安裝調(diào)試����、試運(yùn)行測(cè)試通過(guò)驗(yàn)收�、培訓(xùn)、質(zhì)保期免費(fèi)保修維護(hù)等所有人工�����、管理���、財(cái)務(wù)等所有費(fèi)用��,如一旦中標(biāo)��,在項(xiàng)目實(shí)施中出現(xiàn)任何遺漏����,均由中標(biāo)人免費(fèi)提供,采購(gòu)人不再支付任何費(fèi)用�。供應(yīng)商須協(xié)助采購(gòu)人取得信息系統(tǒng)公安部門(mén)等級(jí)保護(hù)備案證明,所需一切費(fèi)用由供應(yīng)商承擔(dān)��。
