一、项目名称及预算
信息安全等级保护测评项目。本项目预算金额:*****.**元(超预算报价无效)。
二、技术要求
*、项目说明
根据《中华人民共和国网络安全法》、公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安〔****〕***号)等相关要求,对信息系统开展等级保护测评工作,从技术和管理两个方面进行逐一的检查和测试,夯实单位信息系统安全基础,提高信息安全管理水平,消除安全隐患,确保信息网络的安全运行。
*、项目系统名称
系统名称 |
系统等级 |
以电子病历为核心的医院信息化系统 |
等保三级 |
*、技术要求
*.*服务要求
(*)在国家信息安全保障相关政策和标准指导下,通过对信息系统实施信息安全等级保护工作,全面提升信息系统的安全性及安全防护水平,使各级系统经改建后达到等级保护相应级别的安全防护要求。
(*)本次服务项目范围涉及到组织方开展等级保护工作的全过程。
安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
*.*测评内容
安全物理环境:物理安全测评根据测评系统机房和现场安全测评记录,针对机房和现场的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全通信网络:安全通信网络根据测评系统网络安全测评记录,针对通信网络方面的“网络架构”、“通信传输”、“可信验证”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全区域边界:安全区域边界对测评系统区域边界防护方面的“边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全计算环境:安全计算环境对测评系统计算环境方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等控制点进行测评,判断出相对应的各测评项的测评结果。
安全管理中心:安全管理中心对测评系统安全管理方面的“系统管理”、“审计管理”、“安全管理”、“集中管控”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全管理制度:安全管理制度对测评系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”、“评审和修订”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全管理机构:安全管理机构对测评系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全管理人员:安全管理人员对测评系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全建设管理:安全建设管理对测评系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务评测实验室有限公司选择”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
安全运维管理:安全运维管理对测评系统在运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等控制点进行测评,判断出与其相对应的各测评项的测评结果。
扩展安全要求:按扩展安全要求对被测系统在“云计算安全”、“移动互联安全”、“物联网安全”以及“工业控制系统安全”方面是否满足,判断出与其相对应的各测评项的测评结果。
本次测评将参照等级测评实施办法,严格按照有关标准进行,详细如下:
(*)《中华人民共和国网络安全法》
(*)计算机信息系统安全保护条例****(国务院*** 号令)
(*)公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[****]** 号)
(*)公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字[****]** 号)
(*)GB *****-**** 《计算机信息系统安全保护等级划分准则》
(*)GB/T *****-****《信息安全技术 网络安全等级保护基本要求》
(*)GB/T *****-**** 《信息安全技术 网络安全等级保护定级指南》
(*)GB/T *****-**** 《信息安全技术 网络安全等级保护测评要求》
(*)GB/T *****-**** 《信息安全技术 网络安全等级保护测评过程指南》
*、交付成果
该项目提交的文档至少包括如下文件:
(*)《网络安全等级保护测评报告》
三、服务期限
收到甲方通知后**日历日内完成测评工作并出具测评报告。
五、付款方式
付款方式为:合同签订,验收合格后**日内一次性付清费用。付款前,乙方应向甲方出具普通发票。
六、采购原则:
符合项目要求,综合服务优。
七、其他说明
项目期间发生的餐饮、住宿费用由成交单位自行承担,医院不另行安排。
八、材料说明
报价文件附带以下资料
*、报价单(因未使用医院提供的报价单模板造成报价信息的不明确,有权视为同意作为服务商排序的最后一名)
*、服务商资质文件:
报价服务商营业执照、法人授权书、被授权人身份证复印件,及其他服务商认为需提供的资质证件。
*、服务商的****年以来业绩合同复印件。
*、服务商等级保护测评方案,包含测评目标、内容、方法等
*、服务方案,包含项目组人员组成,响应时间、服务方式、服务内容,服务保障,保密措施等方面内容,
*、材料按照顺序装订,档案袋密封并盖章。
九、报价时间、地点、其他:
*、报价时间:发布之日起至****年*月*日**:**(北京时间),逾期提交或所提交的报价文件不符合规定,恕不接受。
地址:潍坊市高新区健康东街****号*号综合楼***室招标采购办公室
*、要求:纸质盖章报价材料(报价如有品牌规格型号需写明)*份、营业执照,文件袋密封。
*、提交方式:递交或邮寄,邮寄以快递送达时间为准,建议使用顺丰或邮政快递。
十、联系人:
招标采购办公室 宁
电话: ****-******* (项目具体问题咨询信息科****-*******)
邮箱:*************@***.com
报价单模板.doc
