各潜在供应商:
依据《信息系统安全等级保护基本要求》、《信息安全等级保护管理办法》、《中华人民共和国网络安全法》等标准规范,四川省林业中心医院拟开展网络安全等级保护测评工作,对等保测评服务进行询价采购,诚邀合格的供应商参加询价。具体要求如下:
一、服务需求和技术要求
(一)项目概述
为了落实应用系统安全等级保护的要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故,我院拟对医院信息系统(HIS)、医学影像归档和通信系统(PACS)两个二级信息系统进行网络安全等级保护测评。项目预算85000.00元(人民币大写:捌万伍仟元整)。
(二)项目管理要求
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
1、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任。
2、应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。
3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留。
4、供应商的岗位配置要至少配置测评技术员、项目经理(总测评工程师)、技术主管、质量主管等。
5、测评人员要求:参与此次等级保护测评的供应商其测评人员应具备并符合以下要求:
(1)开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(2)开展此次等级保护测评工作的人员应取得等级测评师证书(等级测评人员应由初级、中级)的人员组成;
(3)开展此次等级保护测评工作的人员应具备从事信息系统安全测评相关工作三年以上工作经验,开展等级保护测评工作不少于一年,参与教育行业信息安全测评项目;
(4)针对软件、网络、安全等方面的测评技术人员除具有信息安全等级保护测评师证书以外,还应该持有相关技术资格证书;
(5)测评项目组人员在对开展等级保护测评工作之前需签订保密协议。
6.测评工具要求
(1)采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障;
(4)测评机构所使用的测评工具不会对系统产生破坏或负面影响。
(三)功能及技术指标
1、测评依据
GB/T 22239-2008信息安全技术信息系统安全等级保护基本要求
GB/T 22240-2008信息安全技术信息系统安全等级保护定级指南
GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南
GB/T 28449-2012信息安全技术信息系统安全等级保护测评过程指南
GB/T 28448-2012信息安全技术信息系统安全等级保护测评要求
GB/T 20984-2007信息安全技术信息安全风险评估规范
GB/T 18336.1-2008信息技术安全技术信息技术安全性评估准则
2、测评原则
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究供应商的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
可控性原则:等保测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
最小影响原则:等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
3、本次安全等级保护测评的整体要求
(1)供应商应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、验收标准等。
(2)供应商应详细描述服务人员的组成、资质及各自职责的划分。供应商应配置有经验的测评人员进行本次等级保护测评工作。
(3)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由供应商推荐,经采购人确认后由供应商提供并在测评中使用。
(4)供应商根据采购人现有场地和网络环境提出相应的运行环境的具体要求。
4、本次安全等级保护测评的具体要求
4.1 信息系统技术安全测评
(1)物理安全测评:物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
(2)网络安全测评:网路安全测评应当包含:结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护等。
(3)主机安全测评:主机安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等。
(4)应用安全测评:应用安全测评应当包含:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。
(5)数据安全及备份恢复测评:数据安全及备份恢复测评应当包含:数据完整性、数据保密性、备份和恢复。
4.2 信息系统管理安全测评
(1)安全管理制度测评:安全管理制度测评应当包含:管理制度、制定与发布、审批和修订。
(2)安全管理机构测评:安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(3)人员安全管理测评:人员安全管理测评应当包含:人员录用、人员离岗、人员考核、安全意识教育和培训、第三方人员访问管理。
(4)系统建设管理测评:系统建设管理测评应当包含:系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、测评、安全供应商选择。
(5)系统运维管理测评:系统运维管理测评应当包含:环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。
5、服务目标
等级保护测评服务的信息系统共有2个二级信息系统。供应商应在采购人指定地点完成所有信息系统的等级保护测评服务相关工作,协助采购人取得等级保护备案证书,并给出相应的整改建议。
(四)服务保障要求
1、服务提供商应严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目规定的期限内按期完成。
2、服务提供商应协助、配合与主管、监管部门的沟通协调,顺利完成被测信息系统的定级备案工作。
3、服务提供商应在项目实施过程中,对我单位相关人员进行安全方面的技术培训,明确项目实施的思路、方案、技术路线,提升技术人员的安全意识,可以独立的对信息安全等级保护的国家安全政策和法规进行把握,了解测评整改手段,掌握测评整改方法。
4、服务提供商应在项目开始前,与我单位签订保密协议,严格遵守法律法规,对商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密。
二、商务要求
1、合格投标人:
投标人须满足《中华人民共和国政府采购法》第二十二条要求,包括:
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必须的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加此采购活动前三年内,在经营活动中没有重大违法记录;
(6)符合法律、法规规定的其他条件。
2、资质性要求:具有网络安全等级保护测评机构推荐证书资质。
3、服务时间:合同签订后30天交货/完工。
4、服务地点:四川省林业中心医院。
5、付款方式:合同签订后10个工作日内采购方向中标方支付合同金额的50%,测评服务完成中标方出具评测报告且采购方取得等级保护备案证书后15个工作日内采购方向中标方支付合同金额的50%。
三、 投标书要求:(正本1本,副本3本)
供应商递交的询价资料包括但不仅限于:年检合格营业执照、年检合格组织机构代码、税务登记证、资质证书等资料的复印件并盖鲜章,参与投标人员的身份证件和授权证明材料等有关资料,测评服务计划实施方案(包括项目的人员组成及资质证书、时间进度安排等内容),投标价格、售后服务承诺条款等。
四、 招标地点:四川省林业中心医院行政办公楼一楼会议室。
五、 招标时间:2019年9月4日(星期三)下午14:30(时间若有变动另行电话通知)。
六、测评服务交付产物:
中标方需在采购人指定地点开展信息系统等级保护测评服务相关工作,及时发现系统存在的安全问题,针对等级保护测评中发现的各种安全风险,测评项目组提出适宜的安全整改建议,并协助采购方取得等级保护备案证书。测评服务最终交付的产物包括但不仅限于《网络安全等级保护测评报告》。
七、中标办法:
采用价格磋商的办法,以合格投标人进行等保测评服务最低报价为中标价格(投标人在2018年至今,获得过全国信息安全攻防竞赛前三名的,具有国家信息安全漏洞共享平台(CNVD)颁发的“原创漏洞证明”证书的可以优先考虑)。
备注:
1、“招标通知”在四川省林业中心医院网上下载或物资供应科领取。
2、请参与议价的商家先电话报名,报名时间2019年8月27日8:00至2019年9月2日17:00,报名电话:028-83180365。
2019年8月26日
