第五章 技术要求

1、技术参数

• 招标内容与技术测评
  • 项目背景

等级保护是国家关于信息安全的基本政策，《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号），（以下简称27号文）明确要求我国信息安全保障工作实行等级保护制度，提出“抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。

药品智慧监管信息化建设是药品治理体系和治理能力现代化的全新要求，更是面对新形势、新任务的必然选择。加快布局信息化建设就是抢占未来发展的制高点。在信息化建设高速发展的时代，推动药品安全治理现代化，就必须充分发挥信息化在药品监管事业创新发展中的先导作用，必须正确认识新一代信息技术对药品监管事业的全面改革和长远发展的创新引领作用，必须坚持管理和服务并重的监管理念，加快推进药品监管数字化转型。

本项目是在贯彻国务院以及国家药品监督管理局对药品安全和信息化建设要求的基础上，结合宁夏2019年工作的重点，提出相关建设内容。按照总体布局、数据统一，统筹整合、兼容共享、安全可控、保障效率的原则，充分运用数据驱动药品监管工作，高效利用现代信息技术、社会数据资源和社会化信息服务，建立健全新型信息化条件下的药品监管体制机制，塑造药品监管部门在构建“企业自治、行业自律、政府监管、社会监督”社会共治格局中的新优势，有利于明确监管重点、降低监管成本、提高监管效率、提升监管精度，积极落实宁夏药品监管职责，全面提升自治区药品监管部门的监管能效和服务水平。 2017年6月1日实施的《中华人民共和国网络安全法》第二十一条、第三十八条明确要

求实行网络安全等级保护制度，关键信息基础设施的运营者应当自行或委托网络安全服务机构对其网络的安全性和可能存在的风险每年至少进行一次检测评估。宁夏回族自治区药品监督管理局应加强信息安全保护力度，认真贯彻和执行公安部信息系统安全等级保护要求，对宁夏药品智慧监管（一期）系统进行等级保护测评和安全防护评估服务工作。

• 测评目的

本次等保测评的目的是：

• 通过等级保护测评，验证宁夏回族自治区药品监督管理局信息系统的安全性；
• 对宁夏回族自治区药品监督管理局信息系统的安全状态做出判断，验证其是否符合等级保护要求。同时，将测评结论作为进一步完善系统安全防护措施的依据。

 

• 出具信息安全等级保护测评报告等。

• 测评依据参考：

《GB 17859-1999计算机信息系统安全保护等级划分准则》

《GB/T 22239-2008信息系统安全等级保护基本要求》

《GB/T 22240-2008信息系统安全等级保护定级指南》

《GA/T 390-2002 计算机信息系统安全等级保护通用技术要求》

《GA/T 391-2002 计算机信息系统安全等级保护管理要求》

《信息系统安全等级保护测评准则》

《信息系统安全等级保护测评过程指南》

1.2 测评工作内容

测评的内容包括但不限于以下内容：

• 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；
• 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
  • 物理安全

根据宁夏回族自治区药品监督管理局信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

• 网络安全

根据宁夏回族自治区药品监督管理局信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

• 主机安全

主机安全现场测评包括对宁夏回族自治区药品监督管理局信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。

• 应用安全

 

应用安全现场测评包括对宁夏回族自治区药品监督管理局的信息系统测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。

• 数据安全及备份恢复

宁夏回族自治区药品监督管理局信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。

• 安全管理制度

根据现场安全测评记录，针对宁夏回族自治区药品监督管理局信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

• 安全管理机构

根据现场安全测评记录，针对宁夏回族自治区药品监督管理局信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

• 人员安全管理

根据现场安全测评记录，针对宁夏回族自治区药品监督管理局信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

• 系统建设管理

根据现场安全测评记录，针对宁夏回族自治区药品监督管理局信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

• 系统运维管理

根据现场安全测评记录，针对宁夏回族自治区药品监督管理局信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、 “网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。

1.3 项目实施要求

• 保密要求

 

投标方对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务： 1、中标人应按要求与宁夏回族自治区药品监督管理局签署保密协议。

2、主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。

3、不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。

4、不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。

5、不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。

6、不论何种原因终止参与甲方关于该项目的工作后，都不得利用该项目之商业秘密为其他与甲方有竞争关系的企业（包括自办企业）服务。

7、该项目的商业秘密所有权始终全部归属甲方，乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前乙方已依法具有某些所有权者除外。

8、如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密，应当采取有效措施防止泄密进一步扩大，并及时向甲方报告。

• 实施要求

在项目实施过程中，投标方应做好计划与安排，不影响我单位正常业务办公的开展。投标方要给予承诺，并承担由此引起的损失。

• 服务要求

1、提供给甲方与项目相关的技术文档。

2、一旦收到甲方的服务请求，乙方项目组成员应立即给予响应。双方确认需要到现场服务时，从确认时间开始，乙方工程师在4小时内到达用户现场，提供服务。

3、提供技术服务热线，并安排专业人员为宁夏回族自治区药品监督管理局解答本项目有关技术问题，接收到用户要求服务的通知后，有关技术人员应立即做出响应。

• 交付物

项目实施完成后，要求投标人提供交付物为系统等级测评报告。

项目相关的各项管理文档等,生成的阶段性评估结果报告或资料等中间文件。

• 质量保证

1、为保证信息安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。

 

2、参与等级测评的每个人都应具有等级测评师安全服务资质。

3、等级测评结果必须通过宁夏回族自治区药品监督管理局组织的评审和审批。