一、项目名称:互联网医院(医联体康复平台)等级保护2.0测评项目
二、项目号:CYKF-X2023010
三、采购方式:自主采购 竞争性磋商
四、项目内容:
项目内容 | 服务期(年) | 预算金额 (万元) | 备注 |
互联网医院(医联体康复平台)等级保护2.0测评项目 | 1年 | 7.95 |
(一)项目服务内容
本次测评涉及按安全保护等级三级(S3A3G3)的相应指标进行。信息安全等级保护测评目的和测评内容,必须与信息安全等级保护要求的基本安全控制要求相一致。本项目测评人员应依据测评目的和测评内容,选取、实施特定测评操作的方式方法。待测系统等级保护测评包括如下几个方面的内容:
(1)技术测评
从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术层面开展测评工作。
使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全分析工具)对待测系统进行安全分析。在与我方深入沟通的基础上,对系统进行渗透,发现系统缺陷,对过程进行记录并最终形成工具扫描、渗透报告。
(2)管理测评
从安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面开展测评工作。
(3) 项目成果
等级评测报告,含安全等级测评报告、问题和风险分析、系统安全保护整改建议、等级测评记录、风险分析及相关的检测过程文档等内容,可视情况进行合并输出。如被测系统未取得备案证书,则根据等级保护测评过程出具等级保护预测评报告,要求其内容与正式报告一致,仅报告名字不同。
《“互联网医院(医联体康复平台)”等级评测报告》
(二)技术参数
“▲”标注的需求为重要需求,若不满足将按照评标因素中相关规定处理。
“※”标注的需求为实质性要求,若不满足将按照评标因素中相关规定处理。
测评项 | 内容描述 | |
安全物理环境测评 | 物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护 | |
安全通信网络测评 | 网络架构、通信传输、可信验证 | |
安全区域边界测评 | 边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证 | |
安全管理中心测评 | ※系统管理、审计管理、安全管理、集中管控 | |
安全计算环境测评 | ※主机、数据库、网络设备、安全设备、应用系统、中间件等的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护 | |
安全管理制度测评 | ※安全策略、管理制度、制定和发布、评审和修订 | |
安全管理机构测评 | ※岗位设置、人员配备、授权和审批、沟通和合作、审核和检查 | |
安全管理人员测评 | ※人员录用、人员离岗、安全意识教育和培训、外部人员访问管理 | |
安全系统建设管理测评 | ※定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择 | |
安全运维管理测评 | ※环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理 | |
扩展指标测评 | 根据系统实际情况,选择去度算等扩展指标 | |
工具扫描及渗透测试 | ▲使用专业的安全分析工具(至少包含专业的主机网络安全分析、应用系统安全析工具)对待测系统进行安全分析,针对关键设备、重点网段和高危漏洞进行渗透测试,形成相应的实施和分析报告。 | |
应急响应 | ▲提供网络安全应急响应和处置服务:(1)当被测系统遭受网络病毒/木马、黑客入侵、DOS攻击以及发生其他网络安全事件时,供应商于2小时内派出安全专家团队进行现场排查处理安全事件,保障业务系统的连续性,阻止和减小安全事件带来的负面影响,并依照渝网通[2016]11号文《重庆市网络与信息安全信息通报工作规范》要求,协助网络安全事件应急处置机制建设工作,落实网络安全应急处置通报工作,供应商须为重庆市网络与信息安全信息通报机制成员单位或重庆市网络与信息安全信息通报中心支撑单位;(2)应急相应服务工作完成后,针对此次事件的问题现象、发生原因以及处理过程,预防措施与建议进行总结报告;(3)如发生安全事件,按上述步骤处置后,出具《网络安全应急响应服务报告》 | |
其他要求 | ▲测评中严格按照《GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》标准的要求实施,加强质量监督和复查,保证测评工作质量。。 | |
签署保密协议,对测评工作相关的业务数据、商业信息、客户信息和被测信息系统不可分割的组成部分的相关信息等进行保护。 |
五、供应商资格要求
(一)一般资格条件
(1)具有独立承担民事责任的能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必须的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)参加此采购活动前三年内,在经营活动中没有重大违法记录(由供应商在诚信承诺中作出声明);
(6)符合法律、法规规定的其他条件。
说明:上述证明材料须在投标文件中准备复印件加盖公章。
(二)特定资格条件
(7)具有网络安全等级测评与检测评估机构服务认证证书。
六、谈判有关说明
1.报名:2023年11月22日至11月24日8:00—17:00(工作日,工作时间)到重庆医科大学附属康复医院大公馆院区5号楼3楼招采办报名领取招标文件。(报名提供:营业执照复印件加盖公章、标书费转账凭证)
标书费:100.00元/项
标书费办理流程:报名登记前按下述医院账号转账(对公账户)。
投标保证金:1600.00元。缴纳截止时间:11月27日 17:00
缴纳方式:要求以转账方式从其基本银行账户支付至我院银行账户。
我院账号信息如下:
户 名:重庆医科大学附属康复医院
账 号:31820101040011318
开户行:中国农业银行石柱支行营业部
特别说明:请各投标人对标书费或投标保证金按项目分别转账,并备注标书费或投标保证金;参与投标须提供缴纳投标保证金有效票据(投标人转账依据或我院财务科出具票据)。请各投标人自行考虑汇入时间风险,如同城汇入、异地汇入、跨行汇入的时间要求。
2.响应文件提交:请于2023年11月29日 9:30-10:00前送达重庆医科大学附属康复医院大公馆院区5号楼3楼会议室。
3.谈判时间:2023年11月29日10:00
4.谈判地点:重庆医科大学附属康复医院大公馆院区5号楼3楼会议室
5.联系人:招 采 办--菅老师 联系电话:023-68087680。
需求部门--游老师 联系电话:023-68612609。
6.本项目不接受联合体投标。
24小时服务中心 : 023-68823284(大公馆院区)023-89869777(大渡口院区)