一网搜
搜索
一网搜
搜索
为进一步加强州卫生数据中心机房网络环境安全保护能力,经我中心研究,决定采购机房网络安全等级保护三级测评服务事项,经请示州卫健委同意,拟采取询价采购方式进行,特邀请相关公司参加“甘孜州医鉴和卫生信息中心机房网络安全等级保护三级测评服务”报价工作。现就询价采购相关事宜函告如下。
一、采购项目基本情况
1.采购项目名称:甘孜州医疗事故技术鉴定鉴和卫生信息中心机房网络安全等级保护三级测评服务。
2.资金预算:12万元
3.采购人:甘孜州医疗事故技术鉴定和卫生信息中心。
二、供应商参加本次政府采购活动应具备下列条件:
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必须的设备和专业技术能力;
4.具有依法缴纳税收和社会保障资金的良好记录;
5.参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件;
7.采购人根据采购项目提出的特殊条件。
三、严禁参加本次采购活动的供应商
1.根据《关于在政府采购活动中查询及使用信用记录有关问题的通知》(财库〔2016〕125号)的要求,甘孜州医鉴和卫生信息中心将通过“信用中国”网站(www.creditchina.gov.cn)、“中国政府采购网”网站(www.ccgp.gov.cn)等渠道查询供应商在本采购项目之日前信用记录并保存信用记录结果网页截图,拒绝列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的供应商报名参加本项目的采购活动。
2.为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得参加本采购项目。供应商为采购人、采购代理机构在确定采购需求、编制询价通知书过程中提供咨询论证,其提供的咨询论证意见成为询价通知书中规定的供应商资格条件、技术服务商务要求、评审因素和标准、政府采购合同等实质性内容条款的,视同为采购项目提供规范编制。
四、询价通知书获取方式、公示时间
1、获取方式:甘孜州卫生健康委官网(http://wjw.gzz.gov.cn/);
2、公示时间:2020年11月18日至11月20日;
五、递交响应文件截止时间和要求
请供应商于2020年11月26日12点前向采购人提交完整的报价书。
报价书包括但不限于以下内容:供应商工商注册登记证书、统一社会信用证书、报价表、产品合格证等证明和报价文件。所有文件均需由供应商法定代表人/主要负责人/本人或其授权代表在响应文件要求的地方签字(或加盖私人印章),要求加盖公章的地方加盖单位公章,不得使用专用章(如经济合同章、投标专用章等)或下属单位印章代替。
供应商应在询价函规定的提交响应文件截止时间前,将响应文件现场送达或快递送达采购人。在规定的递交响应文件截止时间后送达的响应文件,为无效响应文件,不予接收。
六、联系方式
采 购 人:甘孜州医疗事故技术鉴定和卫生信息中心
通讯地址:四川省甘孜州康定市炉城镇西大街64号(甘孜州政府第二办公区)
邮 编: 626000
联 系 人:樊一呈
联系电话:0836 2872912
手 机:191 1387 0840
电子邮件:891407795 @qq.com
甘孜州医疗事故技术鉴定和卫生信息中心
2020年11月18日
附件1
为贯彻落实国家信息安全等级保护制度的相关规定,根据信息系统安全低等级保护基本要求,提高信息系统安全防护水平,落实信息安全等级保护工作,加强信息系统的信息安全管理,防范黑客及恶意代码等对信息系统的攻击和侵害,保障信息系统的安全稳定运行,根据《中华人民共和国网络安全法》、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等相关政策文件,对甘孜藏族自治州卫生数据中心信息系统开展等级保护测评服务。
根据《中华人民共和国网络安全法》、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),对甘孜藏族自治州卫生数据中心信息系统开展信息安全等保定级(等保三级),并开展等级保护测评。
通过等级保护工作发现单位信息系统存在的安全隐患和不足,进而针对安全风险进行全整改以提高信息系统的信息安全防护能力,降低系统被各种攻击的风险,维护单位良好的形象。
根据《中华人民共和国网络安全法》、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号),对甘孜藏族自治州卫生数据中心信息系统开展信息安全等保定级(等保三级),并开展等级保护测评。本次需对以下信息系统提供信息安全等级定级及等级保护测评工作:
1、甘孜藏族自治州卫生信息系统信息安全定级为等保三级。
2、甘孜藏族自治州卫生信息系统等级保护测评(等保三级)。
测评机构提供的服务应满足国家标准、行业标准和国家相关政策文件要求。所用的标准必须是最新版本,如果这些标准的内容有矛盾时,应按照最高标准的条款执行或按双方协商同意的标准或条款执行。包含但不限于以下标准:
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》
《GB/T28448-2019信息安全技术 网络安全等级保护测评要求》
《GB/T 22240-2020信息安全技术 网络安全保护等级定级指南》
《GB/T28449-2018信息安全技术 网络安全等级保护测评过程指南》测评应满足的原则
《GB/T 25058-2020信息安全技术 网络安全等级保护实施指南》
为了保证测评过程的规范化、测评结果的准确性,我们将按照如下的流程开展测评工作:
在正式进行现场测评前,测评公司的售后服务团队将协助被测单位进行信息系统的梳理工作。测评公司依据《信息系统安全等级保护定级指南》、《计算机信息系统安全保护等级划分准则》结合信息系统自身的业务情况如用户量、业务范围及内容进行评估,对梳理的信息系统出具信息系统定级建议。
同时协助被测单位完成信息系统的定级备案资料的编制工作及在公安部门进行系统备案工作。
为了保证项目后续平稳推进,在正式进行现场测评前。测评单位和被测单位一同召开项目启动会或项目入场交流,期间将确定项目的计划安排、配合人员、测评对象等具体内容,为后续的工作开展打下基础。
在项目启动后,测评机构安排专人协助收集本次项目被测系统的信息,期间将完善“信息系统资产调研表”,获取被测系统的相关访问方式等。依据收集的信息编制信息系统测评方案、测评计划、作业指导书等文档材料。
初测针对本项目的第一次现场测评工作,初测过程中测评机构将依据等保相关要求开展现场测评工作。
针对初测中发现的安全问题安全风险,有针对性的提出整改建议及措施。
在提交整改意见报告后,测评机构将为被测单位开展整改工作提供咨询服务,解决整改过程中的技术难题。
在被测单位完成安全问题整改后,测评机构将再次依据等级保护的相关要求开展复测工作。
初测完成后根据获取的系统现状情况进行汇总分析,编制整改意见报告或差距分析报告。在完成整改工作后,针对复测的结果进行汇总分析编制最终的等级保护测评报告。
测评机构提供的服务应满足国家标准、行业标准和国家相关政策文件要求。所用的标准必须是最新版本,如果这些标准的内容有矛盾时,应按照最高标准的条款执行或按双方协商同意的标准或条款执行。包含但不限于以下标准:
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)
《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》
《GB/T28448-2019信息安全技术 网络安全等级保护测评要求》
《GB/T 22240-2020信息安全技术 网络安全保护等级定级指南》
《GB/T28449-2018信息安全技术 网络安全等级保护测评过程指南》测评应满足的原则
《GB/T 25058-2020信息安全技术 网络安全等级保护实施指南》
本次信息系统安全等级保护测评服务方案设计,以及具体实施内容应满足以下原则:
(1)保密原则。测评前签订保密承诺书,对测评的文档、过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害被测单位的行为,否则被测单位有权追究评测机构的责任。
(2)标准性原则。测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则。机构的工作中的过程和文档,需按照等保评审要求及卫生信息中心管理要求,具有很好的规范性,可以便于项目的跟踪和控制。
(4)可控性原则。等保测评服务的进度要跟上进度表的安排,保证被测单位对于测评工作的可控性。
(5)整体性原则。等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6)最小影响原则。等保测评服务工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
测评机构应具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》;
测评机构应制定本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
1、组建项目组,测评机构应详细描述项目组人员的组成、资质及各自职责的划分。参与此次等级保护测评的机构其测评人员应具备并符合以下要求:
(1)开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录;
(2)开展此次等级保护测评工作的人员应参加信息安全等级保护测评人员培训、考试,并取得信息安全等级保护评估中心颁发的等级测评师证书的人员组成;
2、本次服务项目实施过程中所使用到的各种工具软件由机构推荐,采用的测评工具软件必须获得正版授权,并在有效期内,不得使用盗版软件,经被测单位确认后由机构提供并在测评中使用。
3、安全测评需要的运行环境(如场地、网络环境等)由被测单位提供,机构应详细描述需要的运行环境的具体要求。
根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
1、安全物理环境
安全物理环境针对物理机房提出了安全控制要求,主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、安全等级保和电磁防护。
2、安全通信网络
安全通信网络针对网络架构和通信传输提岀了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。
3、安全区域边界
安全区域边界针对网络边界提出了安全控制要求,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
4、安全计算环境
安全计算环境针对边界内部提出了安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。
5、安全管理中心
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。
6、安全管理制度
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
7、安全管理机构
安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
8、安全管理人员
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
9、安全建设管理
系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。
10、安全运维管理
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。安全整改建议编制
机构应在对项目内容充分调研了解的基础上,结合现有运维管理体系和技术状况,根据等级保护相关要求,针对实际业务需要,提出系统建设整改建议。具体应包括:信息安全管理体系、信息安全技术体系等方面,应编制《信息系统安全整改建议方案》,需出具的整改建议方案按GB/T 22239-2019标准编制。
4、测评限制价格
|
序号 |
服务内容 |
数量 |
价格(万元) |
|
1 |
三级系统 |
1 |
12 |
附件2
供应商技术服务和商务应答表
供应商(盖章): 日期: 年 月 日
|
序号 |
技术服务应答 |
商务应答 |
报价 |
备注 |
|
|
|
|
|
|
|
|
|
|
|
|
注:1.供应商必须根据询价函要求据实逐条填写,不得虚假响应,虚假响应的,其响应文件无效并按规定追究其相关责任。2.供应商按照询价函的规定一次报出不得更改的价格。
供应商名称(加盖单位公章):
法定代表人或授权代表(签字或盖章):
日 期: 年 月 日
网站地图
联系我们
网站声明
