项目需求书

本项目所属行业：信息技术服务

一、项目背景

天津市肿瘤医院空港医院在加快信息化建设和信息系统开发的同时，高度重视信息安全工作，采取了多种防范措施严密保证信息安全。随着《中华人民共和国网络安全法》正式施行，法律强调网络运营者的义务，提出“网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务”的法律要求。本院对网络安全高度重视，为贯彻公安部、国家保密局、国家密码管理局和国务院信息化工作办公室四部委联合制定的《信息安全等级保护管理办法》的要求，为了符合《中华人民共和国网络安全法》的相关要求，为了使后续的网络安全建设工作具有目标，特开展本次网络安全服务项目。

二、项目预算

  项目预算为 65万元。

三、资格要求

（一）设置供应商投标的特定资格条件（符合现行法律法规的要求）

1.供应商具备公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书提供证书。（复印件加盖公章）

2.供应商应提供营业执照副本。（复印件加盖公章）

3.供应商必须具有依法缴纳税收和社会保障款项的良好记录；（提供2024年度至少1个月的依法缴纳税收和社会保险费的相关证明材料扫描件，加盖公章）

四、技术要求

1.供应商能够把握和理解国家对该类项目的具体要求，对等级保护政策标准，如：《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术网络安全等级保护测评过程指南》（GB/T28449-2018）、《信息安全技术网络安全等级保护测评要求》（GB/T28448-2019）等内容有较深的认识，并按照相关标准规范进行测评服务。

2. 供应商在现场测评工作中必须在不影响采购人信息系统正常运行的前提下进行。

3.供应商应具有完善的项目管理经验，包括制定项目汇报的体系、项目问题管理体系等，建立信息安全测评服务质量体系。测评实施的质量要素包括：项目的进度，关键节点的服务成果，最终用户的服务反馈等。

4.供应商应具备完善的网络安全等级保护2.0测评方案，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理等。

5.供应商在等级保护服务完成后必须提交国家规定格式（并符合医院要求）的等级保护测评报告，并以此作为验收标准。

6.供应商应为本项目成立不少于6人的项目组。项目组至少具备1名高级测评师，1名中级测评师、2名初级测评师和2名信息安全技术人员。其中项目经理应为业内资深管理人员，具备高级测评师和信息安全保障人员认证证书（CISAW）。信息安全技术人员需具备网安安全相关资质证书。

7.供应商应具备在项目实施过程中的风险控制能力，保证招标人系统正常稳定运行，对于系统突发安全事件有应急处置方案。

8.供应商以及组建的测评组需在入场前签署保密协议。保密期限至少10年。

9.对上述测评对象未进行定级备案的系统辅助运营主管单位完成定级备案工作，需要定级备案资料更新的，则协助进行相关资料收集更新及备案资料填报工作。

10.协助招标人进行信息系统业务内容分析、系统边界界定、业务信息安全保护等级、系统服务安全保护等级及最终系统级别的选取及确认，定级报告的出具等。

11.针对被测系统的物理环境情况调研、网络拓扑图梳理、网络设备调研及分类整理、系统服务器硬件情况调研及梳理、操作系统及数据库系统情况调研及梳理、应用程序业务流程及数据流向调研梳理以及安全管理制度建设情况调研，进行差距分析。

12.针对被测信息系统，通过专业漏洞扫描工具的使用，结合测评师经验对关键操作系统及应用系统的常见漏洞进行扫描分析，综合评估安全风险；根据相关结果进行风险分析，分析信息系统存在的风险。

13.根据等级测评结论，并根据信息系统的状况和未来业务发展能力，形成整改建设建议。

14.供应商提供的风险评估服务，包括但不限于资产赋值、安全脆弱性的评估、安全威胁的评估、综合风险分析。评估对象应包括：操作系统平台、网络结构、网络设备、应用服务器、数据库服务器、物理环境、安全管理、工具测试。

15.风险评估服务需要采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式。

16.风险评估服务需要包含为五个阶段：一是信息资产的界定和赋值、二是威胁的评估、三是弱点的评估、四是现有安全措施评估、五是综合风险分析。

17.网络安全巡检服务，需要包含对潜伏于系统中的安全威胁等进行排查与处置、漏洞扫描，降低系统所在网络、主机、应用、数据库等各层面的安全风险。并对我院管理制度更新持续提供咨询服务。

18.网络安全巡检服务内容需要包含：网络系统安全、操作系统安全、数据库安全、数据的传输安全、应用身份鉴定、应用授权管理、应用访问控制、应用审计追踪。

19.网络安全应急演练服务需要事先搭建安全事件攻防环境，定制技术应急、流程响应等演练方案，模拟安全攻防演练全过程，并对使用的攻防技术和处理方式进行详细讲解。

五、付款方式

合同签订后，招标人向供应商支付30%合同额。验收合格后，招标人向中标单位支付60%合同额。完成所有服务且合同签订满一年后支付10%合同额。

六、验收标准

在等级保护测评完成以及相关服务完成后，必须提交符合国家规定格式以及医院要求的等级保护测评报告。

七、服务内容

1.网络安全等级保护测评服务

范围如下：

序号	系统名称	定级级别
1	HIS系统	三级
2	EMR系统	三级
3	精准诊断系统	三级
4	GCP系统	三级
5	移动护理系统	三级
6	医护协同系统	三级
7	LIS系统	三级
8	PACS系统	三级

信息系统需要按照《信息安全技术网络安全等级保护测评过程指南》、《信息安全技术网络安全等级保护基本要求》、《信息安全技术网络安全等级保护测评要求》等相关标准规范进行测评，并根据等级测评报告模板2021版出具测评报告。

在不影响系统业务正常运行的前提下，根据国家标准协助天津市肿瘤医院空港医院对上述列表中未开展过定级备案的系统进行定级备案；对上述列表中所有的系统进行网络安全等级保护测评，测评内容应包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评；

安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评；

系统整体测评：从安全控制点间、区域间对单项测评结果进行分析和整体评价。

2.网络安全风险评估服务

风险评估需要按照《信息系统安全保障评估框架》、《信息安全风险评估规范》等标准规范开展评估工作。风险评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评估。

评估采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式。

安全风险评估服务共分为以下五个阶段：

一是信息资产的界定和赋值：信息资产的识别和赋值可以确定评估的对象，是整个评估工作的基础，本阶段可以实现信息资产识别和价值评定过程的标准化，完成一份完整和最新的信息资产清单，对信息资产管理工作会有所帮助。首先要识别信息资产，完成所有重要信息资产的清单。按照资产性质和客户业务类型等可以分成若干资产类，一般分为数据、软件、服务、硬件、设备和文档等。根据不同的项目目标与项目特点，重点识别的资产类别会有所不同，在通常的项目中，一般数据、软件和服务为重点。资产赋值是对其三个安全特性：机密性、完整性和可用性方面的价值分别赋予价值等级。根据不同的应用需求、应用特性和安全目标，资产在其三个安全特性方面的价值会有所不同，应以不同的权值来计算资产价值。

二是威胁的评估：列出每项抽样选取的信息资产面临的威胁，对威胁发生的可能性、造成后果的严重性分别赋值。主要采用如下方式：

潜在威胁分析，对系统中信息安全方面潜在威胁和可能入侵给出全面的分析，潜在威胁主要是根据每项资产的安全弱点而引发的安全威胁，会对漏洞可能会引起的威胁通过对漏洞的进一步分析进行赋值，主要是通过对威胁发生的可能性和造成后果的严重性来对其进行赋值；

当前威胁审计和日志分析，充分了解当前的安全威胁状况，利用工具对我院重要信息系统存在的威胁进行定量审计；

安全威胁综合分析，对我院信息安全方面已存在的威胁、潜在威胁结合起来进行综合的分析，给出全面的威胁报告。威胁报告内容是与信息资产存在的漏洞相对应的，并对威胁进行了相应的赋值；

三是弱点的评估：根据主机、网络、应用、数据库等多方面的扫描和评估结果，进行综合性的安全技术性弱点分析评估。

四是现有安全措施评估：列出每项信息资产已经具有的安全措施、有效的安全服务和安全控制手段，分析其安全策略，考虑其计划实施的安全措施，对其现有的和计划实行的安全措施的强弱程度进行赋值。对资产安全措施进行赋值主要是根据对信息资产的机密性、完整性和可用性方面的综合因素，赋予等级。

五是综合风险分析。针对我院各信息系统，综合信息资产列表、弱点和漏洞列表、威胁列表、已有的安全控制手段，得出最终的风险分析报告。

3.网络安全巡检服务

每两个月左右开展一次网络安全巡检，及时发现安全隐患和新问题，并在工作开展前提供网络安全巡检方案和巡检后提供网络安全巡检报告。降低系统所在网络、主机、应用、数据库等各层面的安全风险。可以对潜伏于系统中的安全威胁等进行排查与处置、漏洞扫描。内容包含：网络系统安全、操作系统安全、数据库安全、数据的传输安全、应用身份鉴定、应用授权管理、应用访问控制、应用审计追踪。并对我院管理制度更新持续提供咨询服务。

4.网络安全意识培训服务

对我院员工开展四次网络安全意识培训。通过真实案例了解网络安全与每人息息相关，通过对相关法律法规解读做到知法守法，通过网络安全意识与基本常识的学习提升每个节点的安全性，补强短板。

5.网络安全知识培训服务

对我院信息中心人员开展四次网络安全知识培训。提高我院技术人员的网络安全知识储备和技能水平。包括但不限于：信息安全知识、网络安全知识、等级保护2.0、相关法律法规等。

6.网络安全应急演练服务

根据我院业务系统和网络安全实际，事先搭建安全事件攻防环境，定制技术应急、流程响应等演练方案，模拟安全攻防演练全过程，并对使用的攻防技术和处理方式进行详细讲解。使我院技术人员能够置身于真实的安全事件攻防环境中，直观地体会从安全事件发生到预警到应急处置每一个环节的实现方法、技术原理及处置流程。

攻防实战演练要求：1、人员技术过硬，红蓝两队人员均必须是参加过护网或其它真实攻防对抗的技术人员，能够熟练使用各种扫描渗透工具、能够根据特定漏洞进行数据包构造或SQL语句编写并发起攻击、能够根据设备日志发现攻击方式并编写策略进行针对性防护；2、过程可控，攻防实战演练服务需要服务提供方能够全面记录攻击过程，全过程留痕并可审计；3、环境可控，攻防实战演练服务场地由用户提供，服务方需在现场部署监控设备，人员行为应受到监控；4、风险可控，服务方应提供现场突发事件支持及应急处置；5、成果可控，攻防演练报告应经过未参与攻防演练的专业技术人员审核签字，确保演练的专业性。

7.网络安全人员培训认证服务

对我院技术人员两名提供可获得证书的CISP注册信息安全专业人员培训及认证考试。