招标文件
采购需求书
一、服务费
本项目预算金额(最高限价)为 350000.00 元,投标人投标报价高于最高限价的按无效投标处理。
二、合同履约期限
自合同签订之日起 90 日历天。
三、技术要求
1、测评目的
为落实《网络安全法》、其它相关法律法规和政策要求,采购人计划对其信息系统开展等级保护相关工作,通过对被测系统物理环境、网络设备、服务器群、应用软件系统以及管理制度实施等级保护测评,梳理被测系统的资产状况,明确被测系统的安全建设现状,找出存在的安全风险,提出安全整改建议,并以此为基础,进一步制定安全建设整改方案,完善保护措施。通过测评,可以提高招标方的安全意识,增强招标方网络的安全保障能力,保证重要信息系统的正常运转,使被测系统满足我国关于等级保护相应级别的具体要求。
2、涉及系统
本次招标涉及系统及定级情况如下:
|
安全保护等级 |
业务信息安全(S) |
系统服务安全(A) |
|
|
HIS |
第三级 |
第三级 |
第三级 |
|
LIS |
第三级 |
第三级 |
第三级 |
|
PACS |
第三级 |
第三级 |
第三级 |
|
EMR |
第三级 |
第三级 |
第三级 |
3、参照标准
中标人应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
- 《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
- 《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)
- 《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)
- 《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
- 《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
- 《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)
- 《信息技术安全技术 信息安全管理体系要求》(GB/T 22080-2016)
- 《计算机信息系统安全等级保护通用技术要求》(GA/T 390-2002)
- 《信息安全技术信息系统安全管理要求》(GB/T 20269-2006)
- 《信息安全技术信息系统安全工程管理要求》(GB/T 20282-2006)
- 《信息安全技术网络安全等级保护安全设计技术要求》(GB/T25070-2019)
- 《信息安全技术信息安全风险评估规范》(GB/T 20984-2007)
4、测评内容与流程
- 4.1信息系统备案
协助招标方依据《网络安全等级保护定级指南》(GB/T 22240-2020)、《信息安全等级保护备案实施细则》(公信安[2007]1360 号)等要求对被测信息系统现状进行调研。参照业务信息安全级别和系统服务安全级别,判定信息系统所属级别, 编制等级保护定级备案表和信息系统定级报告,最后召开定级专家评审会议,确认该信息系统等级保护级别。材料准备完毕,提交到所属公安机关,完成定级备案, 最终取得备案证明材料。
主要交付成果包括《信息系统定级报告》、《信息系统等级保护备案表》、《专家评审意见》、协助完善公安机关所需要的其他材料等。
4.2初次测评
检查招标方被测系统现状, 依据《网络安全等级保护基本要求》( GB/T 22239-2019)从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和安全管理等层面对系统进行初次安全评估,通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,形成差距分析;基于差距提出安全整改建议,以指导后续安全整改工作。
该阶段的测评内容包括:
安全物理环境测评:包括物理位置选择、物理访问控制、防盗窃防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。
安全通信网络测评:包括网络架构、通信传输、可信验证等内容。
安全区域边界测评:包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。
安全计算环境测评:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。
安全管理中心测评:系统管理、审计管理、安全管理、集中管控等内容。
安全管理测评:涵盖安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。
交付成果包括:《测评方案》、《初次测评现场记录表》、《信息系统渗透测试报告》、《信息系统安全整改建议书》等。
4.3等保整改
招标方根据测评机构提供的整改建议,按照《网络安全等级保护条例》(征求意见稿)、《关于开展信息系统等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)、《网络安全等级保护设计技术要求》(GB/T 25070-2019)等有关管理规范和技术标准,完善或制定安全管理制度、落实安全责任,优化安全技术措施。通过安全建设整改,确保信息系统通过相应级别的安全等级测评。
交付成果包括《测评系统整改确认报告》等。
4.4二次测评
招标方完成整改后,通过对整改后的系统进行分析和梳理,再次实施等级测评,记录测评结果。
交付成果包括《终版测评现场记录表》、《信息系统渗透测试报告》等。
4.5报告编制
通过对现场测评获得的测评证据和资料,判定单项测评结果及单元测评结果,然后进行整体测评和风险分析,形成等级测评结论,按照《网络安全等级测评报告模版(2021年版)》编写等级测评报告。
交付成果包括《网络安全等级测评报告》等。
5、测评对象
本次安全保护等级测评的测评对象包括所涵盖测评系统范围的以下内容:
(1)主机房(包括其环境、设备和设施等)和部分辅机房,应将放置了服务于信息系统的局部(包括整体)或对信息系统的局部(包括整体)安全性起重要作用的设备、设施的辅机房选取作为测评对象;
(2)办公场地;
(3)整个系统的网络拓扑结构;
(4)安全设备,包括防火墙、入侵检测设备和防病毒网关等;
(5)边界网络设(可能会包含安全设备),包括路由器、防火墙、认证网关和边界接入设备(如楼层交换机)等;
(6)对整个信息系统或其局部的安全性起作用的网络互联设备,如核心交换机、汇聚层交换机、路由器等;
(7)存储被测系统重要数据的介质的存放环境;
(8)承载被测系统主要业务或数据的服务器(包括其操作系统和数据库);
(9)管理终端和主要业务应用系统终端;
(10)能够完成被测系统不同业务使命的业务应用系统;
(11)业务备份系统;
(12)信息安全主管人员、各方面负责人员、具体负责安全管理的当事人、业务负责人;
(13)涉及到信息系统安全的所有管理制度和记录。
6、安全保护培训
投标人结合测评内容和测评阶段,制定针对招标方技术人员、管理人员及相关工作人员的信息安全培训计划方案,配合招标方开展网络安全保护教育培训。培训内容包括网络安全基础知识、等保测评知识交流、网络安全法知识普及、安全意识培训。
(1)培训形式:包括针对招标方技术人员、管理人员的现场培训与集中培训,针对招标方全体工作人员的集中安全学习教育,其中每个服务期针对招标方技术人员、管理人员的集中培训不得少于10人次(或依据招标方实际情况确定人数)。
(2)投标人必须为所有被培训人员提供使用的中文文字资料和讲义等相关用品。
四、测评应满足的原则
本次等级保护测评实施方案设计与具体实施应满足以下原则:
1.保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标方的行为,否则招标方有权追究投标人的责任。
2.规范性原则:投标人工作中的过程和文档应具有规范性记录,以便于项目的跟踪和控制。
3.可控性原则:项目实施进度要按照进度表的安排,保证招标方对测评工作的可控性。
4.整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
5.最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内开展;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。
6.非高峰期原则:漏洞扫描及渗透测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供应急保障方案,切实保证关键系统能正常工作。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
五、测评验收交付
中标方的工作计划、流程、内容及成果交付,严格遵循国家标准规范开展。根据实际情况,项目实施验收前应提交真实可靠、客观公正的评估文档,文档应包括但不限于以下内容:
1、测评方案;
2、安全建设整改建议;
3、等级测评报告;
4、公安相关部门出具的信息系统安全等级保护备案证明(如被测系统未曾备案或信息有变更)。
六、测评售后服务
本项目安全保护等级测评服务包括本年度招标文件要求相关系统的安全保护等级测评与备案服务,以及自项目合同签订之日起一个日历年度期间的安全保护等级建设技术售后服务。
1、中标方投标方案中项目负责人应同时为项目售后服务负责人。
2、电话支持。提供投标人承诺售后年限内 7×24 小时的免费电话支持服务。提供免费技术支持服务热线电话,通过电话了解情况并提供远程技术服务,30 分钟以内做出反应、2 小时内做出答复。
3、在线远程支持。提供投标人承诺售后年限内 7×24 小时的免费在线远程支持服务。提供免费在线远程支持服务,通过远程技术服务,保证 7×24 小时维护响应。
4、到场支持。如需要解决技术问题,需 24 小时到场(特殊情况根据公司驻地到招标方工作场地距离双方协商时间),问题解决后提交问题处理报告,说明问题种类、问题原因、问题解决方法等情况。
5、提供专业咨询顾问服务。范围包括系统诊断、故障恢复等。指定具有丰富经验的专业技术人员负责系统的技术支持。
6、在验收合格后一年内为招标方提供信息系统安全咨询服务,涵盖系统建设、运维、管理等相关的安全问题,提供信息安全检查咨询和整改建议等技术支持服务。
收藏