大庆市人民医院HIS、办公管理平台信息系统等级保护安全服务项目需求公示
| 招标编号 | 【正式会员登录后可浏览】 | 采购业主 | 【正式会员登录后可浏览】 |
招标公司 | 【正式会员登录后可浏览】 |
|---|---|---|---|---|---|
| 联系人 | 【正式会员登录后可浏览】 | 联系电话 | 【正式会员登录后可浏览】 | 通讯地址 | 【正式会员登录后可浏览】 |
| 邮政编码 | 【正式会员登录后可浏览】 | 截止日期 | 【正式会员登录后可浏览】 |
公告摘要
各有关单位请与公告中联系人联系,及时参与投标等相关工作,以免错失商业机会。
部分信息内容如下:(查看详细信息请登录)
采购单位***人民医院
采购预算**万元
联 系 人曹滨
联系电话***********
商务要求
序号采购项目商务要求
*提供参与本标段投标供应商有效的企业营业执照副本。
*参与本项目竞争供应商自身具有有效的信息安全等级保护测评机构推荐证书的,需提供信息安全等级保护测评机构推荐证书;参与本项目竞争供应商自身不具有有效的信息安全等级保护测评机构推荐证书的,可以与具有有效的信息安全等级保护测评机构推荐证书的供应商以**伙伴的形式参与竞争,需提供**伙伴有效的信息安全等级保护测评机构推荐证书,并提供加盖双方公章的**协议原件,**协议要求载明双方的权利及义务。
*参与本项目投标服务商自身具有*名持有********颁发的信息安全等级保护安全建设专业技术人员证书的工程师,并提供相应证书原件及复印件加盖公章,提供资质的人员与中标后网络安全等级保护安全服务小组人员为同一人。
*中标方必须提供由***省信息系统安全等级保护协调小组办公室推荐的测评机构(“中国网络安全等级保护网”http://www.djbh.net中公布的),出具针对本次项目的《***人民医院HIS系统》安全等级保护测评报告、直属地**局出具的系统备案证明,作为验收的重要组成部分。
技术要求
序号品目采购项目技术参数要求
****人民医院HIS、办公管理平台信息系统等级保护安全服务项目
***人民医院HIS、办公管理平台信息系统等级保护安全服务项目
*、等级保护安全服务
按照《网络安全法》、《信息系统安全等级保护测评要求》对***人民医院HIS办公管理平台三级等级保护测评并核发等级保护证书和技术检测评估报告等级保护工作。
一、技术要求
(一)测评依据
根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《中华人民**国信息安全等级保护管理办法》等相关政策和技术标准,对我单位信息系统进行等级保护测评。
(二)测评服务要求
*.在确保信息系统正常运行的前提下,根据国家等级保护相关标准对各系统进行等级保护测评。测评工作需由高级测评师根据《等保测评过程指南》进行前期信息系统的调研,并编写针对信息系统等级保护测评的实施方案,测评完成后,根据测评结果编写信息安全等级保护测评报告。
*.信息安全等级保护测评工作完成后,形成信息安全等级保护测评报告,报告中应包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容,并结合我单位网络信息系统的实际情况,指出信息系统中存在的安全薄弱环节,提出安全整改建议。
*.测评人员要具有项目测评经验,可有效保障测评安全,及时有效处理测评中出现的问题。
*.测评项目组至少由一名名高级测评师、一名中级测评师、二名初级测评师组成,并提供项目组人员信息安全等级测评师证书复印件,根据编号可到**部相关网站查(www.djbh.net)确认。此次提供的认证人员必须与现场服务人员为同一人。
*.采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。
*.采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。
*. 对我单位拟定测评的系统提供信息系统备案服务、信息系统等级保护测评服务、漏洞扫描服务。应交付的产物如下:
A. 直属地**局出具的系统备案证明
B. 系统系统安全等级测评报告
C. 信息系统漏洞扫描报告
*.漏洞扫描
A、提供每季度一次、为期一年的WEB应用弱点扫描服务,内容涵盖:
深度扫描:以WEB漏洞风险为导向,通过对WEB应用(包括WEB*.*、JAVAScript、FLASH等)进行深度遍历,以安全风险管理为基础,支持各类WEB应用程序的扫描。
WEB漏洞检测:提供有丰富的策略包,针对各种WEB应用系统以及各种典型的应用漏洞进行检测(如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第三方软件等)。
网页木马检测:对各种挂马方式的网页木马进行全自动、高性能、智能化分析,并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。
配置审计:通过当前弱点获取数据库的相关敏感信息,对后台数据库进行配置审计,如弱口令、弱配置等。
B、提供每季度一次、为期五年的数据库弱点扫描服务,内容涵盖:
权威的弱点规则库:权威数据库安全专家提供最全面、最准确和最新的弱点知识库。
PCI/DSS合规扫描:支持PCI/DSS安全认证标准合规扫描,协助用户PCI/DSS合规性评估,证明用户在数据安全方面的承诺
深度的弱点检测:提供对数据库“弱点、不安全配置、弱口令、补丁”深层次安全检测及准确评估。
完备的类型支持:支持业界主流的数据库类型,包括Oracle、MSsql、DB*、Informix、Mysql、Sybase等。
优异的扫描引擎:扫描引擎确保系统工作时对数据库及服务器性能影响最小化。
灵活的策略管理:策略即数据库检测的依据和标准,策略管理可以灵活制定不同的检测标准,根据用户的实际测试目的,定制不同的策略,并可以自行添加策略项扩充策略库检测数据库的安全漏洞。
用户管理:产品默认用户分为三类:管理员,审计员和操作员。管理员可以对审计员和操作员进行角色权限分配。审计员可以审计程序运行日志。操作员可以根据自己权限情况进行相应的操作,使用相应的功能。也可以由管理员创建新的角色给予相应的权限。
日志管理:记录该产品运行中的所有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为CSV格式的文档。
丰富的扫描报告:扫描结果通过灵活的报表呈现给用户,支持各类格式输出,并提供弱点分级、相应加固建议方案以及自定义报表内容。
方便的操作管理:充分考虑国内用户的使用习惯,提供全中文的操作界面,提供向导模式帮助使用者轻松完成扫描项目的配置。
C、提供每季度一次、为期五年的主机安全弱点扫描服务,对主机操作系统的安全配置弱点进行扫描,主要包括如下:
密码安全;用户权限划分配置;Guest是否禁用;登录失败设置;安全审计设置;防火墙开启情况及配置;恶意代码防范情况;程序组件安装情况;服务启用情况;端口开放情况;默认共享开启情况;管理地址限制情况
D. 提供每季度一次、为期五年的网络设备安全弱点扫描服务,对网络设备的安全配置弱点进行扫描,主要包括如下:
密码安全配置;访问控制策略配置;路由配置;Vlan划分配置;用户权限划分配置;SSH及TELNET配置;登录超时配置;SNMP配置;审计日志设置;协议启用情况;管理地址限制情况;CPU、内存、风扇等**使用情况;链路状态情况;闲置端口开关情况;软件版本情况;时钟同步配置
(三) 测评指标
*. 安全要求从整体上分为技术和管理两大类,其中,管理类和技术类安全要求按其保护的侧重点不同,《信息安全技术 信息安全等级保护基本要求》将所有的控制点分为以下三类:
安全要求:
业务信息安全类 关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改
系统服务安全类 关注的是保护系统连续正常的运行,避免因对系统的未授权修改、破坏而导致的系统不可用。
通用安全保护类 既关注保护业务信息的安全性,同时也关注系统的连续可用性
*. 信息系统控制点测评指标
跟据《信息安全技术 信息安全等级保护基本要求》对信息系统的控制点测评指标的要求,控制点测评指标见下表:
三级信息系统控制点测评指标合计**(类)
*. 信息系统要求项测评指标
信息系统安全保护等级,其需要测评的基本指标:**个安全分类,**个控制点(安全子类),***个要求项,其中技术要测评的**个控制点***个要求项;管理要测评的**个控制点***个要求项。
(四)评测机构能力要求
*.测评机构能够把握和理解国家对该类项目的具体要求,对等级保护政策标准本身有较深的认识。
*.测评机构要具有某省信息系统安全等级保护协调小组办公室颁发的《信息安全等级保护测评机构推荐证书》(提供相关材料复印件),并在**部等级保护测评机构推荐目录中,**部相关网站查询(www.djbh.net)确认。
*.测评机构应具有完善的工作流程,有计划、按步骤地开展测评工作,保证测评活动的每个环节都得到有效的控制。
*.为维护我单位的利益,测评机构在我单位实际测评工作中对我单位的系统、信息、数据有安全保密的义务,进场时必须签订保密协议。
*.测评机构在现场测评工作中必须在不影响我单位各业务系统对外服务的前提下进行。
*.测评机构应具有完善的项目管理经验,包括制定项目汇报的体系、项目问题管理体系等。
*、为应对网络安全突发事件,保障网络安全等级保护安全服务质量,中标方必须成立网络安全等级保护服务小组并驻场服务。驻场服务人员具备**机相关机关的信息安全等级保护安全建设专业技术人员*名、*名信息安全等级保护测评师(提供人员身份证(复印件)及认证证书(复印件))加盖公章,提供资质的人员与中标后网络安全等级保护安全服务小组人员为同一人。
服务时间:合同签定后***日内
合计
- 招标导航
-
施工准备 土地整理 三通一平
工程施工 地基与基础工程 桩基工程 预应力工程 防水工程 保温工程 爆破工程 加固除险工程 改造改建工程 回填工程 燃气工程 防腐工程 电气防雷工程 空调采暖工程 地下室 停车场 钢结构 膜结构 给排水 声屏障 道路工程 桥梁工程 市政工程
园林景观绿化 古建筑 喷泉 水幕 雕塑 草坪 亮化工程 照明 灯光
弱电 安防 综合布线 消防工程 门禁 救生 智能建筑 有线电视 数字会议 广播 音响工程 大屏幕
装饰装修 吊顶 粉刷 彩绘 幕墙 外立面
工程服务 审计 监理 勘察 规划 设计
建筑材料 门窗 座椅 地板 混凝土构件 水泥 建筑钢材 木构件 涂料 拦污栅 除尘器 管材 土工材料 土工格栅 土工布
更多>>
为保证您能够顺利投标,请在投标或购买招标文件前向招标代理机构或招标人咨询投标详细要求,有关招标的具体要求及情况以招标代理机构或招标人的解释为准。
