一、项目背景

根据国家和公安部门关于信息安全等级保护相关要求，需要对江安县人民医院承载的相关信息系统开展信息系统等级保护测评工作，以指导安全整改，提高信息系统的安全防护能力。

二、投标限价：20.00万（超过此限价的投标无效）

三、项目目标及范围

根据国家和公安部门关于信息安全等级保护制度落实的相关要求，对江安县人民医院承载的信息系统开展安全等级测评工作，以指导安全整改，提高信息系统的安全防护能力。

本次安全等级测评项目的服务范围包括以下信息系统：

序号	信息系统名称	定级
1	HIS	三级
2	LIS	三级
3	PACS	三级
4	EMR	三级

四、实施依据

本次测评项目实施需遵循以下依据：

1）中华人民共和国网络安全法

2）中华人民共和国计算机信息系统安全保护条例（国务院第147号令）；

3）信息安全等级保护管理办法(公通字[2007]43号)

4）信息系统安全等级保护基本要求(GB/T 22239-2008)；

5）信息系统安全等级保护测评要求(GB/T 28448-2012)；

6）其它国家、省、行业信息安全等级保护有关要求和标准。

五、项目主要内容

 按照相关要求，对上述待测评的信息系统进行安全现状调研，通过现场测评发现安全问题，提出安全整改建议，待整改完成后实施安全复测，并针对每个信息系统分别出具《信息系统安全等级测评报告》，确保测评报告符合公安等主管部门等相关要求。

实施地点：江安县中医医院

六、须提交的交付物

交付物将作为主要验收依据，包括但不限于：

 

序号	文档类型	文档名称
1	项目实施过程文档	测评方案、计划
2	项目实施过程文档	信息系统安全等级保护备案表
3	项目实施过程文档	安全整改建议方案
4	项目成果文档	各信息系统安全等级测评报告
5	项目成果文档	安全优化建议方案
6	其他要求的文档	根据业主、公安等主管部门要求

七、具体工作任务

供应商须按照业主要求，根据国家、省、行业项目的实施依据开展测评工作。

等级测评工作内容主要包括单元测评和整体测评，其中单元测评是对测评对象的物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等的逐项测评；整体测评是在单元测评的基础上，通过进一步分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。系统测评包括初测与复测，在各类系统初测后供应商需要指导用户单位、开发商、集成商、设备厂商、安全服务商等进行整改，整改完成后进行复测并出具各系统的《等级测评报告》。

1.单元测评

1）物理安全测评

物理安全测评涉及的测评对象主要为支撑信息系统运行的机房环境和相关的安全文档；测评主要关注机房在物理位置选择、物理访问控制、供电等10方面的安全保护能力，具体测评指标包括但不限于下表1。

表1 物理安全测评指标描述

序号	安全子类	测评指标描述
1	物理位置的选择	测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
2	物理访问控制	测评信息系统在物理访问控制方面的安全保护能力。
3	防盗窃和防破坏	测评信息系统是否采取了必要的安全措施预防设备、介质等丢失和被破坏。
4	防雷击	测评信息系统是否采取相应的措施预防雷击。
5	防火	测评信息系统是否采取必要的措施防止火灾的发生。
6	防水和防潮	测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7	防静电	测评信息系统是否采取必要措施防止静电的产生。
8	温湿度控制	测评信息系统是否采取必要措施对机房内的温湿度进行控制。
9	电力供应	测评是否具备为信息系统提供一定电力供应的能力。
10	电磁防护	测评信息系统是否具备一定的电磁防护能力。

2）网络安全测评

网络安全测评主要关注信息系统网络层面的结构安全、访问控制、安全审计等7方面的安全保护能力，具体测评指标包括但不限于下表2。

表2 网络安全测评指标描述

序号	安全子类	测评指标描述
1	结构安全	测评分析网络架构与网段划分、隔离等情况的合理性和有效性。
2	访问控制	测试系统对外暴露漏洞情况等，测评分析信息系统对网络区域边界相关的网络隔离与访问控制能力。
3	安全审计	测评分析信息系统审计配置和审计记录保护情况。
4	边界完整性检查	测评分析信息系统私自联到外部网络的行为。
5	入侵防范	测评分析信息系统对攻击行为的识别和处理情况。
6	恶意代码防范	测评分析信息系统网络恶意代码防范的能力。
7	网络设备防护	测评网络设备自身的安全防范能力。

3）主机安全测评

主机安全测评关注信息系统相关主机操作系统和数据库管理系统在身份鉴别、访问控制、安全审计等7个方面的安全保护能力，具体测评指标包括但不限于下表3。

表3主机安全测评指标描述

序号	安全子类	测评指标描述
1	身份鉴别	测评主机操作系统、数据库的身份标识与鉴别和用户登录的配置情况。
2	访问控制	测评主机操作系统、数据库的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。
3	安全审计	测评主机操作系统、数据库的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计进程和记录的保护情况。
4	入侵防范	测评主机操作系统在运行过程中的入侵防范措施，如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。
5	剩余信息保护	检查主机操作系统数据库鉴别信息的存储空间，被释放或再分配给其他用户前得到完全清除。
6	恶意代码防范	测评主机操作系统的恶意代码防范情况。
7	资源控制	测评主机操作系统、数据库对单个用户的登录方式、网络地址范围、会话数量等的限制情况。

4）应用安全测评

应用安全测评关注信息系统的业务应用软件在身份鉴别、访问控制、安全审计等9个方面的安全保护能力，具体测评指标包括但不限于下表4。

表4 应用安全测评指标描述

序号	安全子类	测评指标描述
1	身份鉴别	测评应用系统的身份标识与鉴别功能设置和使用配置情况；测评应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。
2	访问控制	测评应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置情况等。
3	安全审计	测评应用系统的安全审计配置情况，如覆盖范围、记录的项目和内容等； 检查应用系统安全审计进程和记录的保护情况。
4	通信完整性	测评应用系统客户端和服务器端之间的通信完整性保护情况。
5	通信保密性	测评应用系统客户端和服务器端之间的通信保密性保护情况。
6	抗抵赖	测评应用系统对原发方和接收方的抗抵赖实现情况
7	剩余信息保护	检查应用系统的剩余信息保护情况，如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。
8	软件容错	测评应用系统的软件容错能力，如输入输出格式检查、自我状态监控、自我保护、回退等能力。
9	资源控制	测评应用系统的资源控制情况，如会话限定、用户登录限制、最大并发连接以及服务优先级设置等。

 

5）数据安全及备份恢复测评

数据安全及备份恢复测评主要关注信息系统的数据完整性、数据保密性和备份和恢复等3个方面，具体测评指标包括但不限于下表5。

表5 数据安全及备份恢复测评指标描述

序号	安全子类	测评指标描述
1	数据完整性	测评操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的完整性保护情况。
2	数据保密性	测评操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程中的保密性保护情况。
3	数据备份和恢复	测评信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。

6）安全管理制度测评

安全管理制度测评主要关注管理制度体系、制定与发布以及评审和修订等3方面，涉及安全主管、安全管理人员、管理制度文档、各类操作规程文件和操作记录等，具体测评指标包括但不限于下表6。

 

表6 安全管理制度测评指标描述

序号	安全子类	测评指标描述
1	管理制度	测评信息系统管理制度在内容覆盖上是否全面、完善。
2	制定与发布	测评信息系统管理制度的制定和发布过程是否遵循一定的流程。
3	评审和修订	测评信息系统管理制度定期评审和修订情况。

7）安全管理机构测评

安全管理机构测评主要关注岗位设置、人员配备、授权和审批等5个方面，涉及安全主管、相关管理制度以及相关工作/会议记录等测评对象，具体测评指标包括但不限于下表7。

表7 安全管理机构测评指标描述

序号	安全子类	测评指标描述
1	岗位设置	测评信息系统安全主管部门设置情况以及各岗位设置和岗位职责情况。
2	人员配备	测评信息系统各个岗位人员配备情况。
3	授权和审批	测评信息系统对关键活动的授权和审批情况。
4	沟通和合作	测评信息系统内部部门间、与外部单位间的沟通与合作情况。
5	审核和检查	测评信息系统安全工作的审核和检查情况。

8）人员安全管理测评

人员安全管理测评实施过程关注人员录用、人员离岗、人员考核等5个方面，涉及安全主管、人事管理人员、相关管理制度以及相关工作记录等对象，具体测评指标包括但不限于下表8。

表8 人员安全管理测评指标描述

序号	安全子类	测评指标描述
1	人员录用	测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
2	人员离岗	测评信息系统人员离岗时是否按照一定的手续办理。
3	人员考核	测评是否对人员进行日常的业务考核和工作审查。
4	安全意识教育和培训	测评是否对人员进行安全方面的教育和培训。
5	外部人员访问管理	测评对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。

9）系统建设管理测评

系统建设管理测评涉及系统定级、安全方案设计和产品采购和使用等9个方面，涉及系统建设负责人、各类管理制度、操作规程文件和执行过程记录等测评对象，具体测评指标包括但不限于下表9。

表9 系统建设管理测评指标描述

序号	安全子类	测评指标描述
1	系统定级	测评是否按照一定要求确定系统的安全等级。
2	安全方案设计	测评系统整体的安全规划设计是否按照一定流程进行。
3	产品采购和使用	测评是否按照一定的要求进行系统的产品采购。
4	自行软件开发	测评自行开发的软件是否采取必要的措施保证开发过程的安全性。
5	外包软件开发	测评外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
6	工程实施	测评系统建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
7	测试验收	测评系统运行前是否对其进行测试验收工作。
8	系统交付	测评是否采取必要的措施对系统交付过程进行有效控制。
9	安全服务商选择	测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

10）系统运维管理测评

系统运维管理测评主要关注环境管理、资产管理和介质管理等13个方面，主要涉及安全主管、各类运维人员、各类管理制度、操作规程文件和执行过程记录等测评对象，具体测评指标包括但不限于下表10。

表 10 系统运维管理测评指标描述

序号	安全子类	测评指标描述
1	环境管理	测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
2	资产管理	测评是否采取必要的措施对系统的资产进行分类标识管理。
3	介质管理	测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
4	设备管理	测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
5	系统安全管理	测评是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理，确保网络安全运行。
6	监控管理和安全管理中心	通过访谈系统运维负责人，测评是否采取必要的措施对重要主机的运行和访问权限进行监控管理。
7	网络安全管理	测评是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。
8	恶意代码防护管理	测评是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。
9	密码管理	测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。
10	变更管理	测评是否采取必要的措施对系统发生的变更进行有效管理
11	备份和恢复管理	测评是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。
12	安全事件处置	测评是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
13	应急预案管理	测评是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。

 

2.整体测评

在单元测评的基础上，供应商评价信息系统的整体安全保护能力有没有缺失，是否能够对抗相应等级的安全威胁。信息系统整体测评应从安全控制点间、层面间和区域间等方面进行安全分析和测评，并最后从系统结构安全方面进行综合分析，对系统结构进行安全测评，并给出合理的优化建议方案。

1）安全控制点安全分析和测评

安全控制点间安全测评主要对同一区域同一层面内的两个或者两个以上不同安全控制点间的关联进行测评分析，其目的是确定这些关联对信息系统整体安全保护能力的影响。

2）层面间安全分析和测评

层面间安全测评主要对同一区域内的两个或者两个以上不同层面安全控制点间的关联进行测评分析，其目的是确定这些关联对信息系统整体安全保护能力的影响。

3）区域间安全分析和测评

区域间安全测评主要对两个或者两个以上不同物理或逻辑区域间安全控制点间的关联进行测评分析，其目的是确定这些关联对信息系统整体安全保护能力的影响。

通过对信息系统的单元测评、安全控制点之间的测评、层面分析和区域分析，从而评价信息系统面临的主要安全风险，并提出整改建议，协助进行整改方案的评审，最终使其符合信息系统所定等级应达到的安全防护要求，将信息系统的安全风险降至最低。

 

3.安全整改建议编制

供应商应在对项目内容充分调研了解的基础上，结合现有运维管理体系和技术状况，根据等级保护相关要求，针对实际业务需要，提出系统建设整改建议。具体应包括：信息安全管理体系、信息安全技术体系等方面。编制《信息系统安全整改建议方案》。

 

4.测评报告编制

安全整改完成后，供应商进行安全问题复测，并进行信息系统等级测评报告编制。测评报告编制需按照公安机关颁布最新测评报告模板，对信息系统的安全问题项进行符合度评分，并根据各测评项权重计算各层面得分、信息系统总体得分，并在报告中给出安全问题处置建议。

供应商应针对每个系统分别出具《信息系统安全等级测评报告》。

5.数据中心安全优化建议方案编制

在数据中心测评完成后，供应商应根据《信息系统安全整改建议方案》，分析当前安全形势，分析数据中心整体安全态势。做出合理的数据中心安全优化建议方案。

八、实施和保障

(一)项目进度要求

本项目测评实施要求同步实施、重点先行、阶段性成果展现相结合。具体实现进度要求如下：

1．系统梳理

组建项目组，协助业主完成待测信息系统梳理工作，出具相应安全保护等级定级建议。

2．现场测评

进行现场测评，同时对业主信息安全相关人员进行安全技术培训。初次测评完成后，提交初评的整改意见报告。

3．整改加固协助

协助业主针对测评过程中发现的安全问题进行技术整改加固工作，并进行整改后的回归测评。

4．成果递交

整理测评结果，向业主提交被测信息系统安全等级保护测评报告、定级备案证书、以及相应文档。

5．工期要求

供应商须在合同签订后，60天内完成任务。

(二)项目实施要求

供应商应为本项目配置相应的实施团队，具有丰富的实施经验和技术能力。供应商负责提供的服务内容至少应包括，但不限于以下各项：

1．协助业主完成待测信息系统梳理工作，出具相应安全保护等级定级建议。

2．等保测评包括但不限于以下对象：网络结构、网络服务、主机系统、存储备份系统、数据库、中间件、应用系统、数据安全、安全系统、系统安全策略等。

3．供应商应详细描述服务的技术方案，包括准备工作、技术措施、人员安排、时间进度、可能对系统造成的影响等。

4．安全测评工作应选择在非业务繁忙时段进行，将可能带来的影响减至最小。

5．等级保护测评完后，协助业主整理备案材料和进行主管部门备案。

  (三)项目管理要求

对项目进行科学严格的管理，通过系统计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，供应商必须提供完整的项目管理方案，并符合以下要求：

1．供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定，提供客观、公平、公正、有效的等级保护测评服务，并承担相应的法律责任；

2．应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力；

3．供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅自复制、保留；

4．供应商的岗位配置要至少配置测评技术员、项目经理（总测评工程师）、技术主管、质量主管、保密安全员和档案管理员，其中项目经理、技术主管、质量主管、保密安全员和档案管理员应独立配置，不能有兼任的情况；

5．测评人员要求

参与此次等级保护测评的供应商其测评人员应具备并符合以下要求：

（1）开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民，且无犯罪记录；

（2） 开展此次等级保护测评工作的人员应参加信息安全等级保护测评人员培训、考试，并取得信息安全等级保护评估中心颁发的等级测评师证书（等级测评人员应由初级、中级和高级）的人员组成；

（3）针对软件、网络、安全等方面的测评技术人员除具有信息安全等级保护测评师证书以外，还应该持有国家或行业颁发的相关技术资格证书；

（4）测评项目组人员在对开展等级保护测评工作之前需签订保密协议。

6．测评工具要求

（1） 采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件；

（2）采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品；

（3）采用的测评工具的生产商应为正规厂商，具有一定的研发和服务能力，能够对产品进行持续更新并提供质量和安全保障；

（4）测评机构所使用的测评工具不会对系统产生破坏或负面影响。

九、★保密承诺（供应商必须单独承诺，格式自拟）

（1）供应商必须保证保守业主工作秘密，供应商派遣到业主的工作人员必须保证保守业主工作秘密特别是具体负责工作秘密，不得泄露业主工作秘密。

（2）供应商须与业主签订安全保密承诺书。如若供应商及其派遣到业主的工作人员泄露业主工作秘密，业主有权依法依规追究供应商及相关人员的责任。

十、商务要求 

履约地点：实施地点在江安县中医医院，具体由业主指定。

履约时间：单个二级系统被测时间为30天，单个三级系统测评时间为45天，5-10个系统55天，10个以上系统80天，以上时间不包含客户整改时间.

货款支付方式：签订合同后5工作日内支付60%预付款， 供应商完成初测，出具整改建议书后5工作日内，业主需支付20%款，在整改完成后，业主收到供应商出具的纸质版盖章的《信息系统安全等级保护测评报告》后5个工作日内，支付合同剩余款。

注意：1、★号项为实质性要求，不允许有负偏离。