招标文件
采购需求
一、项目概况:
项目属性:服务类
品目类别:测试评估认证服务(C16060000)
本项目采购的标的对应的中小微企业划分标准所属行业为:软件和信息技术服务业。
本项目属于不专门面向中小微企业预留采购份额的项目,原因和情形为:按照《政府采购促进中小企业发展管理办法》规定预留采购份额无法确保充分供应、充分竞争,或者存在可能影响政府采购目标实现的情形。
为深入贯彻中央关于网络安全工作的总体部署落实《国务院关于大力推进信息化发展和切实保障信息安全的若干意见》与信息安全等级保护制度的要求,加快建立健全医院网络与信息安全保障体系,提高防护能力和水平,保障信息系统健康有序发展。按照公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字〔2007〕43号)、2017年6月1日起施行的《中华人民共和国网络安全法》等文件要求,为全面加强医院信息系统的安全工作,切实保障信息系统的安全运行,决定组织开展重要信息系统网络安全等级保护测评工作。
- 二、服务范围
|
序号 |
项目名称 |
|
1 |
医院信息管理系统HIS(3级) |
|
2 |
检验系统LIS(3级) |
|
3 |
检查系统PACS(3级) |
|
4 |
办公自动化系统OA(3级) |
|
5 |
互联网医院(3级) |
|
6 |
信息集成平台(3级) |
|
7 |
智慧服务(3级) |
|
8 |
智慧管理(3级) |
|
9 |
移动护理系统(3级) |
- 三、服务内容
-
(1) 定级、专家评审和备案服务
定级备案由采购人组织、投标人协助,共同负责实施。采购人整理并提供纳入等保的信息系统有关建设使用、设备部署、网络拓扑、数据存储、运行维护、安全管理等方面的文档资料,安全测评机构按照等保工作管理规定,对系统相关文档进行整理,综合分析安全保护需求,提出定级建议并协助采购人完成向公安机关申报信息系统安全等级保护备案工作。
(2) 信息安全等级保护差距安全评估服务
针对本单位定级系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理制度等进行现场测评和差距分析,记录相关的测评结果,输出现场测评记录结果。
依照《等级保护现场测评记录》中所记录的针对本单位定级系统的技术和管理测评结果,结合系统整体差距测评结果,按照公安部标准测评报告模板撰写测评记录,完成提交《系统问题清单列表》。
(3) 信息安全等级保护测评服务
在信息系统进行完成差距测评后,甲方整改实施完成,乙方对信息系统的安全技术和安全管理上各个层面的安全控制进行整体性验证,针对本单位定级系统进行全面的信息安全等级保护测评。
等级保护测评包括,安全技术及安全管理测评两个方面。根据现场访谈、配置核查的基础上通过先进的安全测试工具进行安全漏洞、应用系统代码漏洞的扫描及人工核查,在现场测评的结果和本单位定级系统测评在数据汇总分析的基础上,分析系统存在的问题,给出系统等级测评结论,编制《等级保护测评报告》提交公安部门备案,协助用户完成等级保护测评工作。
(4) 入网安评服务
对3个新上线的面向互联网应用系统进行入网上线安全评估服务
(5) 安全迎检服务
提供6次的信息安全巡检服务
三、服务要求
(1)★投标人具备有效期内公安部第三研究所签发的《网络安全等级测评与检测评估机构服务认证证书》。
(2)本项目在实施过程投标人需提供能够满足《GBT22239-2019信息安全技术网络安全等级保护基本要求》《信息系统等级保护安全设计技术要求》(GB/T25070-2019)、《信息安全等级保护实施指南》(GB/T 25058-2019)、《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)等规范中相关测评技术要求的专业安全服务工具,且服务工具由中标人免费提供,中标人应保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由投标方负完全责任。
(3)测评工具软件运行可能需要的硬件平台(如计算机、打印机等)均由投标方自行准备,采购方有权按照相关的要求对设备进行必要的处理。投标方在测评期间未经采购方许可,不得将设备带离采购方指定的场所,也不得使用任何未经采购方确认的存储设备对测评数据进行复制。
(4)投标人须在投标文件中投标人须在投标文件中列出专业安全服务工具清单,并说明设备的最终归属权产权属于投标人。
四、管理要求
(1) 服务质量目标要求
1、中标人应通过自身在等保测评工作中积累的经验,结合自身的技术优势,充分考虑到信息系统实际情况,提供一份具体细致的、操作性强的等级保护实施计划,协助完成信息系统等级保护的相关工作。
2、中标人应依据《信息安全等级保护管理办法》《信息系统安全等级保护定级指南》《信息系统安全等级保护基本要求》《信息系统安全等级保护测评准则》《信息系统安全等级保护实施指南》和《信息安全风险评估规范》等有关要求,按照严格程序对信息系统的安全防护能力进行科学公正的综合测评活动,完成对信息系统的等级保护落实情况与等级保护相关标准要求之间的符合程度的测试判定。
3、中标人应整理测评数据,对测评结果进行综合分析,形成测评报告。
(2) 服务团队要求
1、项目经理至少具备5年以上工作经验,持有有效的等级保护测评师(高级测评师)证书,并提供人员近3个月内任意月份的社保证明。
2、服务团队应具有信息安全等级保护测评师初级或以上证书。
3、所有参与测评人员应具备信息系统等级保护测评工作经验,精通等级保护测评技术,能分析测评过程中存在的风险。
4、具有对发生的突发性安全事件进行分析和解决的能力。
5、应了解、掌握并能应用等级保护测评国家和行业标准。
6、需根据等级保护测评工作中发现的安全隐患提出问题和建议。
7、严格遵守信息安全保密制度,做好数据在存储、传输过程中的保密措施,不得泄露项目的一切信息。
(3) 保密
1、针对本次项目安全服务文档的知识产权归属采购人所有,投标人原有产品既有知识产权不因本项目发生转移,涉及第三方提出侵权或知识产权的起诉及支付版税等费用由投标人承担所有责任及费用。
2、采购人为投标人提供的所有业务、技术资料,投标人有责任对第三方保密。如投标人未经采购人书面同意,擅自将涉及采购人商业和技术秘密的资料透露给第三方,采购人将保留追究投标人法律责任的权利。
(4) 服务响应
采购人在项目过程中提出相关疑问的,投标人需保证服务响应及时,能在1小时内响应并有效支持采购人的需求。
六、服务期限
等级保护测评服务期限:签订合同之日起 1个月内启动工作,待采购人网络和业务环境稳定情况下1个月内完成差距评估等工作,并提交所有文档(包括但不限于《问题清单及建议》);采购方完成整改工作后,成交方在1个月内完成等级保护测评工作,并提交所有文档(包括但不限于《等级保护测评报告》、取得由公安机关出具的提交网络安全等级测评报告回执)。
中标人在完成等级保护测评工作后,取得由公安机关出具的提交网络安全等级测评报告回执,并以此作为验收标准。
七、付款方式
第一笔:支付比例30%,合同签订后,投标人提交支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动首期款支付流程,首期款合同金额的30%。
第二笔:支付比例60%,投标人完成等级保护复测,并出具测评报告后,投标人提交支付金额等额的符合采购人财务管理要求的相应发票,采购人确认后启动支付流程,支付合同金额的60%。
第三笔:支付比例10%,取得由公安机关出具的提交网络安全等级测评报告回执,支付合同款的10%。
八、验收要求
1、验收时间:完成医院信息管理系统HIS(3级)、检验系统LIS(3级)、检查系统PACS(3级)、办公自动化系统OA(3级)、互联网医院(3级)、信息集成平台(3级)、智慧服务(3级)、智慧管理(3级)、移动护理系统(3级)九个信息系统网络安全等级保护测评工作并出具对应的网络安全等级保护测评报告且获取网络安全等级测评报告回执后一个月内。
2、验收程序:双方共同验收等。
3、验收标准:完成医院信息管理系统HIS(3级)、检验系统LIS(3级)、检查系统PACS(3级)、办公自动化系统OA(3级)、互联网医院(3级)、信息集成平台(3级)、智慧服务(3级)、智慧管理(3级)、移动护理系统(3级)九个信息系统网络安全等级保护测评工作并出具对应的网络安全等级保护测评报告且获取网络安全等级测评报告回执。
4、验收不合格的处理方式:验收不合格的判定标准:不符合国家标准;验收不合格的处理:整改、重新测评,直至符合国家规定,同时支付违约金、赔偿甲方损失等,没列明的根据《中华人民共和国民法典》等法律以及项目实际情况确定。
重要技术参数要求详见下表1-表3:
1、测评作业系统
-
序号
功能模块
技术要求
1.
系统登录
(1)基于安全认证,该系统应具备双因素登录认证,采用https协议进行登录操作。(需在投标文件提供相关截图)
2.
数据安全
▲(2)工具应支持敏感数据存储加解密能力。加解密功能支持密文模糊查询、密文运算。支持动态脱敏能力。动态脱敏支持业务系统数据脱敏,以及编写SQL操作(多种复杂场景)时均能正确脱敏。
3.
测评管理
(3)应支持测评工作线上全流程流转,线上报告编写、线上质量评审;
(4)应具备测评指标选取,拓展指标选取;
(5)应具备系统信息调研信息线上输入,线下导入,多格式导出功能;
▲(6)支持实施计划、会议签到表、测评方案等(测评过程材料)文件生成、上传(需在投标文件提供相关截图);
▲(7)支持现场记录、整改建议、测评对象编制等编制(需在投标文件提供相关截图);
▲(8)支持控制间分析,显示所有控制点记录。(需在投标文件提供相关截图)
▲(9)对测评过程文件进行归档管理(需在投标文件提供相关截图);
4.
工具测试
▲(10)应支持第三方检查工具检查结果文档上传,并能够自动生成渗透漏扫报告(需在投标文件提供相关截图)
5.
自主研发
▲(11)应具备计算机软件著作权登记证书(需在投标文件提供相关证明);
表1
- 2、项目管理系统
-
序号
功能模块
技术要求
1.
系统登录
(1)基于安全认证,应具备双因素登录认证,采用https协议进行登录操作。(需在投标文件提供相关截图)
2.
数据安全
▲(2)工具应支持敏感数据存储加解密能力。加解密功能支持密文模糊查询、密文运算。支持动态脱敏能力。动态脱敏支持业务系统数据脱敏,以及编写SQL操作(多种复杂场景)时均能正确脱敏。
3.
测评跟踪
▲(3)应支持测评阶段跟踪,能够查看到目前系统处于某个实施阶段;
(4)应具备项目统计功能,能够统计目前开展的系统情况;
▲(5)应支持备案管理跟踪,能够查看目前已备案系统备案证详情(需在投标文件提供相关截图);
4.
导出报表
▲(6)应具备项目进度导出功能,能够筛选特定时间、地域的项目;(需在投标文件提供相关截图)
- 表2
-
3、协议/证书检测工具
-
类别
技 术 要 求
协议/证书检测工具
▲(1)工具应能够对搜集的数据包进行分析,判断密码算法和密码协议的正确性、有效性。
(2)工具应能够对IPSEC/SSL VPN的网络协议以及密钥协商过程进行检测,识别密码协议和国密证书。
▲(3)工具应能够通过解析数字证书,判断数字证书是否符合密码行业相关标准。
表3
收藏