上饒市廣豐區(qū)中醫(yī)院
HIS系統(tǒng)網(wǎng)絡(luò)安全等保2.0第三級(jí)測(cè)評(píng)(復(fù)評(píng))采購(gòu)項(xiàng)目預(yù)算現(xiàn)場(chǎng)詢價(jià)公告
上饒市廣豐區(qū)中醫(yī)院擬對(duì)HIS系統(tǒng)網(wǎng)絡(luò)安全等保2.0第三級(jí)測(cè)評(píng)(復(fù)評(píng))采購(gòu)項(xiàng)目預(yù)算進(jìn)行現(xiàn)場(chǎng)詢價(jià)����,特邀請(qǐng)有符合條件要求的供應(yīng)商參加報(bào)價(jià)。
一����、項(xiàng)目最高限價(jià):
項(xiàng)目預(yù)算金額(最高限價(jià)):93700元
二、項(xiàng)目?jī)?nèi)容及具體要求:
詳見附件:上饒市廣豐區(qū)中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)復(fù)評(píng)技術(shù)要求
二��、參加詢價(jià)供應(yīng)商資格:
1��、具有獨(dú)立承擔(dān)民事責(zé)任的能力�����。
2����、具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度。
3�����、具有履行合同所必須的設(shè)備和專業(yè)技術(shù)能力����。
4、有依法繳納稅收和社會(huì)保障資金的良好記錄����。
5、供應(yīng)商參加本次政府采購(gòu)活動(dòng)前三年內(nèi)�����,在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄����。
6、法律���、行政法規(guī)規(guī)定的其他條件�����。
三���、參加詢價(jià)供應(yīng)商需要提交的響應(yīng)文件內(nèi)容����。
1�、響應(yīng)文件封面(格式自擬)、報(bào)價(jià)單(附件)
2���、提供有效的《營(yíng)業(yè)執(zhí)照》�����、《稅務(wù)登記證》���、《組織機(jī)構(gòu)代碼證》或三證合一的《營(yíng)業(yè)執(zhí)照》。
3���、法人的授權(quán)書����、法人和授權(quán)代表身份證復(fù)印件���。
4����、詢價(jià)具體內(nèi)容及要求中,若存在控標(biāo)嫌疑或不當(dāng)之處�,一并報(bào)送清單說(shuō)明。
注:以上資料必須加蓋公章�����,現(xiàn)場(chǎng)詢價(jià)結(jié)束后以PDF電子檔形式發(fā)送至郵箱���。
三、公告時(shí)間
2023年10月07日-2023年10月11日
五�����、現(xiàn)場(chǎng)詢價(jià)時(shí)間和地點(diǎn)
預(yù)算詢價(jià)時(shí)間:2023年10月11日下午14時(shí)正
地點(diǎn):上饒市廣豐區(qū)中醫(yī)院四樓會(huì)議室
六��、聯(lián)系人及電話
聯(lián)系人:周先生 聯(lián)系電話:***
郵箱:***@139.com
聯(lián)系地址:上饒市廣豐區(qū)中醫(yī)院(廣豐區(qū)銅鈸山大道)
上饒市廣豐區(qū)中醫(yī)院
2023年10月07日
附件:
上饒市廣豐區(qū)中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全
等級(jí)保護(hù)復(fù)評(píng)技術(shù)要求
一����、供應(yīng)商要求
1、符合政府采購(gòu)法第二十二條:1)具有獨(dú)立承擔(dān)民事責(zé)任的能力�;2)具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;3)具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力�;4)有依法繳納稅收和社會(huì)保障資金的良好記錄��;5)參加政府采購(gòu)活動(dòng)前五年����,在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄及行業(yè)主管部門的處罰整改記錄��;6)法律��、行政法規(guī)規(guī)定的其他條件�。
2、已獲得國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)工作協(xié)調(diào)小組辦公室推薦的測(cè)評(píng)機(jī)構(gòu)�����。
3�����、具有政府部門認(rèn)可的內(nèi)網(wǎng)資產(chǎn)發(fā)現(xiàn)系統(tǒng)著作權(quán)證書�����、內(nèi)網(wǎng)流量監(jiān)控系統(tǒng)著作權(quán)證書���、網(wǎng)站漏洞掃描系統(tǒng)著作權(quán)證書���、服務(wù)器漏洞掃描系統(tǒng)著作權(quán)證書提供證書復(fù)印件優(yōu)先考慮�。
二����、服務(wù)內(nèi)容
依據(jù)相應(yīng)等級(jí)信息系統(tǒng)的基本要求和安全目標(biāo),設(shè)計(jì)出等級(jí)化����、符合系統(tǒng)特點(diǎn)���、融管理和技術(shù)為一體的整體安全保障體系�,以信息系統(tǒng)的實(shí)際情況和現(xiàn)實(shí)問(wèn)題為基礎(chǔ)����,遵照國(guó)家的法律法規(guī)和標(biāo)準(zhǔn)規(guī)范,參照國(guó)家的安全標(biāo)準(zhǔn)��,根據(jù)等級(jí)保護(hù)基本要求對(duì)當(dāng)前信息系統(tǒng)網(wǎng)絡(luò)安全作一次全面的檢查�,形成測(cè)評(píng)報(bào)告,使技術(shù)管理部門對(duì)系統(tǒng)在網(wǎng)絡(luò)安全方面有一個(gè)全面的了解�,及時(shí)發(fā)現(xiàn)風(fēng)險(xiǎn)、漏洞所在,從而進(jìn)行有針對(duì)性的加強(qiáng)和完善網(wǎng)絡(luò)安全等級(jí)保護(hù)建設(shè)工作��,以增強(qiáng)單位信息系統(tǒng)抗風(fēng)險(xiǎn)能力��。
|
序號(hào)
|
系統(tǒng)名稱
|
級(jí)別
|
備注
|
|
1
|
HIS系統(tǒng)
|
第三級(jí)
|
復(fù)評(píng)
|
根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)�,投標(biāo)人對(duì)上述信息系統(tǒng)完成測(cè)評(píng)、整改���、報(bào)備等工作��。要求對(duì)以上業(yè)務(wù)信息系統(tǒng)進(jìn)行摸底���、分析和梳理,提出測(cè)評(píng)方案�。逐一對(duì)信息系統(tǒng)進(jìn)行安全等級(jí)保護(hù)測(cè)評(píng),信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容:
(1) 安全技術(shù)測(cè)評(píng):包括安全物理環(huán)境���、安全區(qū)域邊界����、安全計(jì)算環(huán)境�、安全通信網(wǎng)絡(luò)、安全管理中心五個(gè)方面的安全測(cè)評(píng)�����;
(2) 安全管理測(cè)評(píng):安全管理機(jī)構(gòu)、安全管理制度����、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全控制測(cè)評(píng)�����;
(3)完成測(cè)評(píng)工作后����,提出整改方案并實(shí)施整改,最后出具符合公安機(jī)關(guān)要求的信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告��,并協(xié)助上述系統(tǒng)單位完成信息系統(tǒng)安全保護(hù)等級(jí)備案工作�。
三����、測(cè)評(píng)依據(jù)
開展重要信息系統(tǒng)等級(jí)測(cè)評(píng)等服務(wù),需遵循以下要求及標(biāo)準(zhǔn):
1)中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例(國(guó)務(wù)院第147號(hào)令)����;
2) 關(guān)于開展全國(guó)重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)工作的通知(公信安〔2007〕861號(hào));
3)信息安全等級(jí)保護(hù)管理辦法(公通字[2007]43號(hào))
4)信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南(GB/T 22240-2008);
5)信息系統(tǒng)安全等級(jí)保護(hù)基本要求(GB/T 22239-2019)��;
6)信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求(GB/T 28448-2019)���;
四��、項(xiàng)目原則
在本次項(xiàng)目實(shí)施過(guò)程中����,項(xiàng)目團(tuán)隊(duì)?wèi)?yīng)遵循以下原則:
1.保密性原則
在體系優(yōu)化工作開始前��,與采購(gòu)人簽署保密協(xié)議����,規(guī)定實(shí)施過(guò)程和實(shí)施結(jié)束后技術(shù)中心敏感信息的保密工作,如對(duì)數(shù)據(jù)加密存儲(chǔ)���、清除用戶數(shù)據(jù)���。
2.最小影響原則
通過(guò)管理和技術(shù)兩個(gè)層面將工作所帶來(lái)的影響降至最小,避免由于占用技術(shù)中心過(guò)多人力或資源而干擾其正常業(yè)務(wù)�,避免實(shí)施過(guò)程對(duì)信息系統(tǒng)的正常運(yùn)行產(chǎn)生不利的影響。
3.可操作性原則
通過(guò)詳細(xì)定義每個(gè)階段的任務(wù)和任務(wù)實(shí)踐內(nèi)容���,明確定義參與人員的職責(zé)和每項(xiàng)工作開始前的必備條件和結(jié)束時(shí)的輸出結(jié)果,從而規(guī)范實(shí)施的流程����,保證實(shí)施過(guò)程的可操作性和可控性。
4.質(zhì)量控制原則
通過(guò)項(xiàng)目管理的方法�����,從項(xiàng)目的組織����、角色定義與培訓(xùn)�����、溝通與確認(rèn)、進(jìn)度控制、文檔控制、匯報(bào)與驗(yàn)收等多個(gè)環(huán)節(jié)保證評(píng)估服務(wù)的總體質(zhì)量���。
5.風(fēng)險(xiǎn)規(guī)避原則
在體系優(yōu)化工作開始前�����,充分考慮可能引入的多方面風(fēng)險(xiǎn)�����,告知用戶可能存在的風(fēng)險(xiǎn)��,并采取相應(yīng)的控制措施加以規(guī)避����。
6.符合性原則
體系優(yōu)化工作應(yīng)符合國(guó)家����、行業(yè)、國(guó)際等相關(guān)的安全標(biāo)準(zhǔn)與規(guī)范���。
7.整體性原則
體系優(yōu)化的范圍和內(nèi)容應(yīng)當(dāng)系統(tǒng)性����、全面�,覆蓋采購(gòu)人安全所涉及的各個(gè)層面、業(yè)務(wù)條線��、內(nèi)部組織架構(gòu)����,力求建立全面、整體的安全防護(hù)體系���。
五��、測(cè)評(píng)要求
1.投標(biāo)人應(yīng)詳細(xì)描述本次等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案����,包括項(xiàng)目概述�����、等保測(cè)評(píng)方案�、項(xiàng)目實(shí)施方案��、測(cè)試過(guò)程中需使用測(cè)試設(shè)備清單、時(shí)間安排��、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等�。
2.投標(biāo)人應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分��。投標(biāo)人應(yīng)配置有經(jīng)驗(yàn)的測(cè)評(píng)人員進(jìn)行本次等級(jí)保護(hù)測(cè)評(píng)工作���。
3.本次等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中所使用到的各種工具軟件由投標(biāo)人推薦��,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在測(cè)評(píng)中使用�。在投標(biāo)文件中應(yīng)詳細(xì)描述所使用的安全測(cè)評(píng)工具(軟硬件型號(hào)����、功能和性能描述)、使用的方式和時(shí)間���、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等��。
4.安全測(cè)評(píng)工具軟件運(yùn)行可能需要的硬件平臺(tái)(如筆記本電腦��、PC���、工作站等)和操作系統(tǒng)軟件等由投標(biāo)人推薦�,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在測(cè)評(píng)中使用�。
5.安全測(cè)評(píng)需要的運(yùn)行環(huán)境(如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等)由采購(gòu)人提供��,投標(biāo)人應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求����。
6.為保障項(xiàng)目順利完成,建議項(xiàng)目負(fù)責(zé)人具有8年以上的測(cè)評(píng)工作經(jīng)驗(yàn)的高級(jí)測(cè)評(píng)師���,并同時(shí)有注冊(cè)信息安全專業(yè)人員(CISP)�、信息安全保障人員證書(CISAW安全集成)����、信息系統(tǒng)項(xiàng)目管理師(高級(jí))、內(nèi)審員證書���、職業(yè)技能證書(網(wǎng)絡(luò)攻防技術(shù)與信息安全應(yīng)急響應(yīng)-高級(jí))�����,如中標(biāo)簽合同前需提供證書原件備查�����。
7�����、為保障項(xiàng)目順利完成��,建議項(xiàng)目技術(shù)總監(jiān)具有5年以上的測(cè)評(píng)工作經(jīng)驗(yàn)的中級(jí)測(cè)評(píng)師�����,并同時(shí)具有注冊(cè)信息安全專業(yè)人員(CISP)��、云計(jì)算安全證書(CIIP-A)���、信息系統(tǒng)項(xiàng)目管理師(高級(jí))、國(guó)家專業(yè)技術(shù)人才知識(shí)更新工程培訓(xùn)證書�����,如中標(biāo)簽合同前需提供證書原件備查�����。
六、項(xiàng)目驗(yàn)收
本項(xiàng)目輸出包括且不僅僅包括以下成果:
1.本項(xiàng)目輸出包括且不僅僅包括以下成果:
u 《網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)建議報(bào)告》
u 《等級(jí)保護(hù)備案表》
u 《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》
u 《網(wǎng)絡(luò)安全等級(jí)整改建議書》
測(cè)評(píng)工作結(jié)束后���,協(xié)助委托方完成系統(tǒng)的備案工作����。
2.投標(biāo)人應(yīng)對(duì)所有正式交付件的綜合質(zhì)量審查負(fù)責(zé)�,指定各交付件的相關(guān)責(zé)任人,明確相關(guān)職責(zé)��。
3.投標(biāo)人應(yīng)提交驗(yàn)收方案���,供招標(biāo)人參考���。
4.招標(biāo)人將依據(jù)本項(xiàng)目的要求,組織相關(guān)部門或單位的技術(shù)專家對(duì)投標(biāo)人提交的項(xiàng)目成果進(jìn)行驗(yàn)收�����。
七��、保密要求
1�、投標(biāo)人必須和采購(gòu)人簽訂保密協(xié)議和非侵害性協(xié)議,投標(biāo)人必須要與參加此次測(cè)評(píng)項(xiàng)目的所有項(xiàng)目組成員簽訂保密協(xié)議和非侵害性協(xié)議�����,在合同簽訂時(shí)一并提供給采購(gòu)人。
2�����、投標(biāo)人具體測(cè)評(píng)工作和等級(jí)保護(hù)測(cè)評(píng)報(bào)告的編寫���,必須在采購(gòu)人的指定地點(diǎn)進(jìn)行。對(duì)于測(cè)評(píng)中的重要資料和結(jié)果�����,在測(cè)評(píng)期間和測(cè)評(píng)結(jié)束后��,投標(biāo)人不得帶離該地點(diǎn)�。
3、投標(biāo)人對(duì)本規(guī)范書中的內(nèi)容及在應(yīng)標(biāo)過(guò)程中接觸的設(shè)備信息����、數(shù)據(jù)資料等負(fù)有保密責(zé)任,不得泄露給任何第三方��。無(wú)論投標(biāo)人中標(biāo)與否���,其對(duì)上述內(nèi)容的保密責(zé)任將長(zhǎng)期存在�����。
浙公網(wǎng)安備 33010602000172號(hào)