大庆龙南医院2021年等级保护技术服务采购公告

大庆龙南医院2021年等级保护技术服务  采购公告

 

为切实提升我院信息系统的安全防护能力，根据《网络安全法》相关规定，开展对我院信息系统的测评加固工作。本次测评须由中国网络安全等级保护网公布的《全国等级保护测评机构推荐目录》名单内的机构，按照信息系统等级保护三级系统相关要求，对我院的HIS系统信息系统出具公安部认可的的《信息安全等级保护测评报告》测评报告，结合我院现有网络安全设备参照《GB/T28448-2019 信息安全技术 网络安全等级保护测评要求》优化安全策略、提出安全整改建议与安全测试加固，进一步提升我院信息安全防护水平，保障信息系统的正常稳定运行，支撑我院信息化建设的正常开展。欢迎符合条件，有能力的服务商报名参与。

    一、项目名称：大庆龙南医院2021年等级保护技术服务。

    二、项目编号：LNYY2021 (T)019。

    三、采购方式：院内竞争性谈判。

四、采购预算：15 万元（含税）。

五、服务期限：自合同签订起一年。

六、采购规则：报名服务商应满足三家或以上。本次采购采用院内竞争性谈判的方式，资质审核通过的服务商根据谈判文件的要求，编制响应文件。采购管理中心会以电话的形式通知服务商具体谈判时间，地点。到达现场的服务商进行签到确认，提交密封好的相关资料（响应文件纸质版需装订成册、电子版存U盘),本项目设资格预审，评委根据初步评审表要求查阅响应文件，符合预审要求的服务商且响应文件中提交第一轮报价低于预算价格方可进入第二轮报价，第二轮报价最低的服务商胜出，进入终极谈判，其余服务商签字退场。谈判小组依据价格确定最终中标服务商。

七、安全服务要求：

根据《中华人民共和国网络安全法》、GBT/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》对我院HIS系统三级信息系统等级保护测评服务。服务期限一年，并对每个系统出具《网络安全等级保护 XXX系统等级测评报告》加盖等级保护测评机构测评章。

1. 服务要求

等级保护测评需对我院现有信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心，安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，层面进行等级保护安全测评服务。

2. 技术要求

（1）依据

根据GBT/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术网络安全等级保护测评要求》、GB/T 28449-2018《信息安全技术 信息系统安全等级保护测评过程指南》、《中华人民共和国信息安全等级保护管理办法》等相关政策和技术标准，对我院 “HIS系统”信息系统提供三级等级保护测评服务。

（2）服务要求

1)在确保信息系统正常运行的前提下，根据国家等级保护相关标准对各系统进行等级保护测评。测评工作需由测评师根据GB/T 28449-2018《信息安全技术 信息系统安全等级保护测评过程指南》进行前期信息系统的调研，并编写针对信息系统等级保护合规性的实施方案，检测完成后，根据检测结果编写信息安全等级保护合规性检测报告。

2)信息安全等级保护检测工作完成后，报告中应包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容，并结合我院网络信息系统的实际情况，指出信息系统中存在的安全薄弱环节，提出安全整改建议。

3)测评项目组至少由一名高级测评师、一名中级测评师、两名初级测评师组成参与现场测评工作，其中，高级和中级测评师须与开标现场提供的《信息安全等级测评师》证书人员为同一人，须提供承诺函。

4)采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件。

5)采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品。

（3）指标

1)等级保护测评安全要求从整体上分为技术和管理两大类，其中，管理类和技术类安全要求按其保护的侧重点不同，根据GBT/T 22239-2019《信息安全技术 网络安全等级保护基本要求》将所有的控制点分为以下三类：

l 业务信息安全类：关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改。

l 系统服务安全类：关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致的系统不可用。

l 通用安全保护类：既关注保护业务信息的安全性，同时也关注系统的连续可用性。

2)信息系统控制点指标，根据GBT/T 22239-2019《信息安全技术 网络安全等级保护基本要求》对信息系统的控制点测评指标的要求，控制点测评指标见下表：

测评指标须包含下表测评指标。

 

 

序号	安全要求类别	层面	控制点
1	技术要求	安全物理环境	物理位置选择
2			物理访问控制
3			防盗窃和防破坏
4			防雷击
5			防火
6			防水和防潮
7			防静电
8			温湿度控制
9			电力供应
10			电磁防护
11		安全通信网络	网络架构
12			通信传输
13			可信验证
14		安全区域边界	边界防护
15			访问控制
16			入侵防范
17			恶意代码防范
18			安全审计
19			可信验证
20		安全计算环境	身份鉴别
21			访问控制
22			安全审计
23			入侵防范
24			恶意代码防范
25			可信验证
26			数据完整性
27			数据保密性
28			数据备份恢复
29			剩余信息保护
30			个人信息保护
31		安全管理中心	系统管理
32			审计管理
33			安全管理
34			集中管控
35	管理要求	安全管理制度	安全策略
36			管理制度
37			制定和发布
38			评审和修订
39		安全管理机构	岗位设置
40			人员配备
41			授权和审批
42			沟通和合作
43			审核和检查
44		安全管理人员	人员录用
45			人员离岗
46			安全意识教育和培训
47			外部人员访问管理
48		安全建设管理	定级和备案
49			安全方案设计
50			产品采购和使用
51			自行软件开发
52			外包软件开发
53			工程实施
54			测试验收
55			系统交付
56			等级测评
57			服务供应商选择
58		安全运维管理	环境管理
59			资产管理
60			介质管理
61			设备维护管理
62			漏洞和风险管理
63			网络和系统安全管理
64			恶意代码防范管理
65			配置管理
66			密码管理
67			变更管理
68			备份与恢复管理
69			安全事件处置
70			应急预案管理
71			外包运维管理

（4）安全测试加固措施指标

1) ★本次项目安全测试对象包括我院网站系统、HIS系统，服务期限：一年一次。

2) 安全测试由安全工程师模拟黑客的行为模式，采用黑客的漏洞发现和利用技术，以及尽可能多的攻击方法，对上述信息系统的安全性进行深入分析。

3) ★投标人得到用户书面授权许可、签订保密协议，并制定实施方案，由用户审核通过后，才能进行安全测试的实施。

4) 安全测试需提交安全测试报告，安全测试报告应包括对每个业务系统安全问题的验证分析、响分析和解决措施等内容。

5) 内部测试需经过用户授权后，渗透到达用户工作现场，根据用户的期望测试的目标直接接入到用户的办公网络甚至业务网络中。

6) 外部测试需经过用户授权后，渗透无需到达用户现场，直接从互联网访问用户的某个接入到互联网的系统并进行安全测试。

7) 安全测试内容包括但不限于：信息收集类、配置管理类（HTTP方法测试、应用中间件测试、信息泄露、异常错误等）、认证类（用户枚举、密码猜解、密码重置、密码策略测试等）、会话类（cookie测试、session会话测试等）、授权类（越权访问、路径遍历、任意文件下载、逻辑缺陷测试等）、数据验证类（SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等、输入输出校验绕过、数据篡改）、系统应用漏洞（溢出、0day漏洞等）、端口扫描、远程溢出、口令猜测等方法及内容。

8) 服务工具要求

l 服务过程中所需要的服务工具由投标人自行负责，并保证其所使用的服务相关工具不会产生因第三方提出侵犯其专利权或其它知识产权而引起的法律和经济纠纷，招标人不另行支付任何费用。

l 服务工具应采用成熟、业界著名的商业化的硬件一体化的漏洞扫描工具及配置核査工具进行安全检査，保证对目标系统无大的影响以及扫描结果的准确性和可信度。投标人必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷，并保证工具和软件可用性和可靠性。由此产生的一切责任由投标人负完全责任。

l ★安全服务工具在检查过程中起到良好的辅助作用，检查时使用的工具的种类包括但不限于：Windows主机安全配置检查工具、主机病毒检查工具、主机木马检查工具、网站恶意代码检查工具、Linux主机安全配置检查工具、网络及安全设备配置检查工具、弱口令检查工具、数据库安全检查工具、网站安全检查工具、系统漏洞检查工具、邮件漏洞检测工具等。

9) 服务报告要求

l 在安全测试实施工作完成后七个工作日内，安全测试人员需出具一份安全测试报告。

l 根据测试结果，渗透将针对每种威胁进行详细描述，描述内容至少包括了测试范围、过程、使用的技术手段以及获得的成果。

l 除此之外，渗透还将结合测试目标的具体威胁内容编写解决方案和相关的安全建议，为管理员的维护和修补工作提供参考，包含复测。

l 投标人在安全测试服务完成后需输出如下报告：《XXX系统安全测试报告》

 

八、对参标服务商要求：

1、本项目不接受联合体报名；

2、提供参与本项目竞争供应商有效的营业执照或事业单位法人证书；

3、提供拟参与本项目组成人员安全策略调整与加固工作的技术人员2人，并提供以上人员有效的信息安全等级保护安全建设专业技术人员证书；

4、因疫情原因，参标委托代理人须为大庆本市人员，现场报名时需携带三日内的核酸检测报告，外省市报名单位需与我院发起科室专业技术部门联系沟通，在获得发起科室的同意和确认后，可通过邮件的形式发送报名材料影印件至采购管理中心。

九、报名时间： 发布公告起至2021年2月10日16时。

十、报名方式及地点： 

报名方式：现场报名或电话报名
   报名地址：***

十一、报名提交资料:

1.营业执照；

2.银行开户许可证；

3.法定代表人身份证名及资格证明；

4.被授权人身份证明及授权委托书；

5.资质证明文件及相关证件；

6.法人或委托代理人三日内核算检测报告。

说明：以上报名文件要求全部为影印件加盖公章。

十二、谈判文件的领取：报名结束审核通过后自备U盘到龙南医院采购管理中心拷取。

    十三、开标时间：由采购管理中心另行通知。 

   十四、注意事项：  
   1、本项目采购公告发出后，如有变更（如：变更通知、项目暂停通知等），将在“大庆龙南医院网站”告知所有参与本项目投标的服务商，服务商应主动查看。 

  2、本项目设资格预审，服务商应详细阅读本公告，符合条件即可参与。

   3、凡对本项目提出询问，请按以下联系方式***

联系人***
  电 话：5910513  

地 址：大庆市让胡路区爱国路35号