濟南市濟陽區(qū)中醫(yī)醫(yī)院信息系統(tǒng)網(wǎng)絡安全等級保護測評項目

一、項目基本情況

1、采購項目名稱：濟南市濟陽區(qū)中醫(yī)醫(yī)院信息系統(tǒng)網(wǎng)絡安全等級保護測評項目

2、項目編號：JYQZYYY-XXK-2023-10

3、預算金額：8.5萬元之內(nèi)。供應商的報價不得高于預算，否則作無效報價處理。

4、項目概況：

4.1 濟南市濟陽區(qū)中醫(yī)醫(yī)院信息系統(tǒng)等級保護測評項目

4.1.1、等保測評目標

根據(jù)國家相關(guān)標準要求，進行等級保護測評。通過測評發(fā)現(xiàn)與信息安全等級保護基本要求存在的差距，根據(jù)測評結(jié)果進行整改，縮小與基本要求之間的差距，提高系統(tǒng)的安全保護能力。

4.1.2、信息安全管理規(guī)章制度的建立目標。

根據(jù)《網(wǎng)絡安全法》的要求和本單位管理需求，協(xié)助梳理編制信息安全管理制度：信息安全總則、信息系統(tǒng)建設(shè)安全管理制度、信息系統(tǒng)運維安全管理制度、信息安全培訓及考核管理辦法、信息資產(chǎn)安全管理規(guī)定、數(shù)據(jù)中心機房管理規(guī)定、信息系統(tǒng)應急預案及處理辦法等。

4.2 測評范圍  針對如下系統(tǒng)開展等級保護測評工作：

以電子病歷為核心的醫(yī)院信息管理系統(tǒng)測評等級三級。

4.3 評測內(nèi)容

依據(jù)《信息安全技術(shù)-網(wǎng)絡安全等級保護基本要求》（GB/T22239-2019）等管理規(guī)范和技術(shù)標準，檢測信息系統(tǒng)安全等級保護狀況是否達到相應等級基本要求，通過等級測評進行現(xiàn)狀分析，確定系統(tǒng)的安全保護現(xiàn)狀和存在的安全問題。

包括安全技術(shù)測評和安全管理測評，其中安全技術(shù)測評包括物理安全、網(wǎng)絡安全、主機系統(tǒng)安全、應用安全和數(shù)據(jù)安全等五個方面的安全測評；安全管理測評包括安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。

（1）、物理安全

針對物理安全方面的“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應”和“電磁防護”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（2）、網(wǎng)絡安全

針對網(wǎng)絡安全方面的“結(jié)構(gòu)安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“網(wǎng)絡設(shè)備防護”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（3）、主機安全

針對主機安全方面的“身份鑒別”、“訪問控制”、“安全審計”、“入侵防護”、“惡意代碼防護”、“資源控制”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（4）、應用安全

針對應用安全方面的“身份鑒別”、“訪問控制”、“安全審計”、 “通信完整性”、“通信保密性”、“軟件容錯”、“資源控制”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（5）、數(shù)據(jù)安全及備份恢復

針對數(shù)據(jù)安全方面的“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（6）、安全管理制度

針對安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（7）、安全管理機構(gòu)

針對安全管理機構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（8）、人員安全管理

針對人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓”以及“外部人員訪問管理”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（9）、系統(tǒng)建設(shè)管理

針對系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、以及“安全服務商選擇”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

（10）、系統(tǒng)運維管理

針對系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、“網(wǎng)絡安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”以及“應急預案管理”等測評指標，判斷出與其相對應的各測評項的測評結(jié)果。

4.4、測評工作流程

信息安全等級測評過程分為四個基本測評工作：測評準備工作、方案編制工作、現(xiàn)場測評工作、分析及報告編制工作。而測評雙方之間的溝通與洽談應貫穿整個等級測評過程。根據(jù)被測系統(tǒng)的等級，等級越高，對應的基本要求項越多，所需進行的測評工作量也就越大。

（1）、測評準備工作

測評準備工作的主要任務包括：項目啟動、信息收集和分析、工具和表單準備。

（2）、方案編制工作

方案編制活動的主要任務包括：測評對象確定、測評指標確定、測評內(nèi)容確定、工具測試方法確定、測評指導書開發(fā)及測評方案編制。

（3）、現(xiàn)場測評工作

現(xiàn)場測評工作的主要任務包括：現(xiàn)場測評準備、現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還。

（4）、報告編制活動

報告編制活動的主要任務包括：單項測評結(jié)果判定、單元測評結(jié)果判定、整體測評、風險分析、等級測評結(jié)論形成及測評報告編制。

最終出具信息安全等級測評報告，經(jīng)被測單位確認，提交公安局網(wǎng)安部門進行備案。

4.5、項目交付成果

該項目提交的文檔至少包括如下文件：

（1）.《網(wǎng)絡安全等級保護測評方案》

（2）.《網(wǎng)絡安全等級保護測評計劃》

（3）.《網(wǎng)絡安全等級保護測評報告》

4.6、項目實施要求

（1）、人員要求

需提供項目組成員信息，包含工作年限、項目經(jīng)歷及相關(guān)資質(zhì)證書等。

項目團隊不少于4人，人員要求如下：

a.項目經(jīng)理須具備中級以上信息安全等級測評師證書；

b.項目成員應包含網(wǎng)絡、主機、安全等方面的技術(shù)專家；

c.負責本項目等級測評的項目組成員需具備信息安全等級測評師證書；

（2）、工期：簽訂合同后20天內(nèi)完成并交付測評報告。

二、申請人的資格要求：

1、供應商具備有效的營業(yè)執(zhí)照及相應的經(jīng)營范圍，并在人員、設(shè)備、資金等方面具有相應的能力；

2、在“信用中國”（www.creditchina.gov.cn）、中國政府采購網(wǎng)（www.ccgp.gov.cn）、“信用山東”（www.creditsd.gov.cn）等網(wǎng)站中被列入失信被執(zhí)行人、重大稅收違法案件當事人名單、政府采購嚴重違法失信行為記錄名單的供應商，不得參加本次采購活動；

3、具有公安部第三研究所認證發(fā)布的《網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書》。

4、服務期限：簽訂合同后1年,成交人一年巡檢次數(shù)不少于2次；

三、報名時間、地點及方式

1、時間：2023年10月24日至2023年10月27日（上午9：00至下午5：00）

2、地點：濟南市濟陽區(qū)中醫(yī)醫(yī)院（緯二路112號）

3、方式：凡有意參加本項目的供應商，在規(guī)定的報名時間內(nèi)到指定地點持下列資料報名：

（1）營業(yè)執(zhí)照副本；

（2）法定代表人證明書或法人授權(quán)委托書（授權(quán)代理人到場的）；

（3）法定代表人或授權(quán)代理人身份證。

以上資料均須攜帶原件或復印件，復印件需加蓋公章，簡單裝訂。

四、提交報價文件截止時間、地點及方式

1、時間：2022年11月03日17點30分（北京時間）

2、地點：濟南市濟陽區(qū)中醫(yī)醫(yī)院門診樓3樓小會議室

注：逾期未到達指定地點的，采購人不予受理。

五、評審方法：綜合評分法。

六、項目聯(lián)系方式

1、采購單位：濟南市濟陽區(qū)中醫(yī)醫(yī)院

2、聯(lián)系人：任傳路

3、聯(lián)系方式：15966686838

4、地址：濟南市濟陽區(qū)緯二路112號

發(fā)布公告日期：2023年10月24日