淮北市人民医院网络安全等级保护测评服务采购需求
具体要就如下:
二、项目概况
2019年5月13日《信息安全技术网络安全等级保护基本要求》正式发布,等级保护正式进入2.0时代。为了适应信息技术的发展和网络安全形势的变化,为履行网络安全主体责任,淮北市人民医院按照网络安全等级保护制度和医疗行业法规标准的要求,开展医院网络安全等级保护2.0测评工作,以建立、健全淮北市人民医院网络安全防护体系,提升医院整体网络安全防护能力,满足系统网络安全等级保护的能力要求。
请投标人自行进行现场勘察,充分了解淮北市人民医院现有网络拓扑结构与网络安全设备部署情况以获得一切可能影响投标方案的直接资料。
三、服务需求
采购人应当对采购标的的市场技术或者服务水平、供应、价格等情况进行市场调查,根据调查情况、资产配置标准等科学、合理地确定采购需求,进行价格测算。采购需求应当完整、明确,包括以下内容:
1、采购标的需实现的功能或者目标,以及为落实政府采购政策需满足的要求;
2、采购标的需执行的国家相关标准、行业标准、地方标准或者其他标准、规范;
3、采购标的需满足的质量、安全、技术规格、物理特性等要求;
4、采购项目交付或者实施的时间和地点;
5、采购标的需满足的服务标准、期限、效率等要求;
6、采购标的的验收标准;
7、采购标的的其他技术、服务等要求。
依据国家等级保护相关标准《GB/T 22239-2019 信息安全技术网络安全等级保护基本要求》;《GB/T 28448-2019 信息安全技术网络安全等级保护测评要求》,以《GB/T 22240-2020 信息安全技术网络安全等级保护定级指南》为基础,对面向患者的业务系统(三级)和面向医务的业务系统(二级)进行等级保护测评,复测一次。具体内容如下:
1、定级备案
协助采购方各重要信息系统在公安机关网安部门完成定级备案工作,交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证明。
2、等级保护测评
工作内容:依据《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)等标准规范,结合ISO/IEC 27001、ISO/IEC 20000等行业最佳实践对各采购方重要信息系统开展等级保护测评,内容包括:
1)等级保护测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理及安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心共十个方面的安全测评;
2)工具测试:针对系统在测评工作结束后,按采购方需求进行定期(自合同签订之日起之后两年内,每年至少两次)的漏洞扫描、渗透测试等安全服务工作;
3)整改建议:投标人应根据现场测评中发现的问题,分析与等级保护基本要求、ISO/IEC 27001、ISO/IEC 20000等行业最佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改报告;
4)编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具符合公安机关要求的各信息系统网络安全等级保护测评报告。
5)对于后续相关服务,投标人需在投标文件中提供响应承诺函。
3、等级保护安全培训
投标人需要为采购方提供不少于1次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等。
四、项目实施要求
1、客观性和公正性要求
按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。
2、保密要求
在测评过程中,需严格遵循保密原则,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
3、互动要求
在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。
4、最小影响要求
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经业主同意后实施。
5、规范性要求
信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
6、质量保障要求
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
7、项目团队要求
投标人需根据测评业务系统的数量自行评估并配置不少于5人(至少包括1高、2中)的测评实施团队;投标人在中标后需保证在实施阶段主要技术人员必须是全职。
四、报价要求
淮北市人民医院网络安全等级保护测评项目,预算价30万元。最高限价30万。