鹰潭一八四医院信息系统网络安全三等级保护测评服务小额采购公告
一、基本情况
1.项目名称:鹰潭一八四医院信息系统网络安全三等级保护测评服务
2.项目编号:RTYL-184YY-065。
3.项目所在地区:江西省鹰潭市月湖区湖东路4号鹰潭一八四医院
4.预算:38500元,供应商报价高于预算的响应将被否决。
5.本招标项目为1个标段,不接受联合体投标。
6.付款方式:获得测评报告并提供有效增值税发票,30天内全额支付。
7.项目服务期:合同签订后60天内完成
二、服务内容
(一)测评范围
本次等级保护测评分为技术安全测评和管理安全测评,技术安全测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、管理安全测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的测评。
(二)项目工作内容
本项目结合我院互联网医院项目建设需求,开展等级保护咨询项目服务,解决所面临的最主要的安全问题,将有限的资源投入到最有效的地方,不断加强信息系统安全保护能力。本项目主要工作内容:
1.网络安全等级保护定级和备案服务
2.网络安全等级保护测评服务
(三)网络安全等级保护定级和备案服务
1.服务对象:互联网医院(三级)
| 序号 | 货物名称 | 计量 单位 | 数量 | 等级 要求 | 交货 时间 | 交货 地点 | 备注 |
| 1 | 鹰潭一八四医院互联网医院 | 项 | 1 | 三级 | 合同签订后60天内完成 | 鹰潭 | 信息系 统网络 安全等 级保护 测评服 务项目 |
2.具体要求:
信息系统的定级是开展网络安全等级保护工作的首要环节和基础,测评机构将派遣公-安部信息安全测评中心或中关村测评联盟认证的中级测评师(或以上)协助用户单位完成等级保护定级和公-安备案工作。为了准确、科学地开展信息系统定级工作,进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为进一步明确要求、落实责任奠定基础。
定级工作将严格遵循《网络安全等级保护定级指南》(GB/T 22240-2019 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):省级公-安监管机关颁发的《信息系统安全等级保护备案证明》;
具体要求:根据国家行业信息安全要求,结合实际需求,严格遵循《网络安全等级保护条例》《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等,并应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析, 召开定级专家咨询会议,准确判定信息系统安全等级,编制《定级报告》和《备案表》, 并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,保证采购方顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。
(四)网络安全等级保护测评服务
服务对象:互联网医院(三级)
1.具体要求:
测评机构必须具备《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书-等级保护测评服务认证》,工作阶段、流程、内容及成果交付严格遵循《网络安全等级保护测评要求》(GB/T 28448-2019)、《网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护定级指南》(GB/T22240-2020)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,项目团队中应组织公-安部信息安全测评中心或中关村测评联盟颁发的高级测评师负责项目组管理,并根据系统等级开展相应级别的单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模板,符合公-安部门定级和备案要求。
按照《信息安全等级保护管理办法》和《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(GB/T 22239-2019)等技术标准,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度, 以及面临的信息安全威胁。
技术方面,物理安全方面应采用专用测试工具测试和人工现场复核方式;对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。
管理安全方面应对
未曾在中国电力招标采购网(www.dlztb.com)上注册会员的单位应先注册。登录成功后根据招标公告的相关说明下载招标文件!项目 联系人:李杨
咨询电话:010-51957458
传真:010-51957412
手机:18811547188
QQ:1211306049
备注:欲购买招标文件的潜在投标人,注册网站并缴纳因特网技术服务费后,查看项目业主,招标公告并下载资格预审范围,资质要求,招标清单,报名申请表等。为保证您能够顺利投标,具体要求及购买标书操作流程按会员区招标信息详细内容为准,以招标业主的解答为准本。
来源:中国电力招标采购网 编辑:jxtb


