长沙市卫生健康委员会:长沙市信创产业技术区域智慧医疗建设项目安全等保测评服务项目采购需求公开
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
一、功能及要求:
一、项目概况
1、项目名称:长沙市信创产业技术区域智慧医疗建设项目安全等保测评服务项目
2、项目预算: 登录即可免费查看元
二、项目服务内容
按相关要求对长沙市信创产业技术区域智慧医疗建设项目开展等级保护测评工作,测评后需获得符合主管单位要求的测评报告,并取得备案证明。
根据提供的重要信息系统的详细资料,采用信息安全等级保护评估方法对长沙市信创产业技术区域智慧医疗建设项目的各相关系统进行安全等级测评。
二、相关标准:
依据标准:
投标人应依据国家等级保护相关标准开展工作。
测评过程中主要依据的标准:
《关于信息安全等级保护工作的实施意见》(公通字[2004]66);
《信息安全等级保护管理办法》(公通字 [2007]43号);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《信息安全技术 网络安全等级保护基本要求》-GB/T 22239-2019;
《信息安全技术 网络安全等级保护定级指南》- GB/T22240-2020;
《信息安全技术 网络安全等级保护测评过程指南》-GB/T 28449-2018;
《信息安全技术 网络安全等级保护测评要求》-GB/T 28448-2019;
《计算机信息系统安全保护等级划分准则》-(GB 17859-1999);
《信息安全技术 网络安全等级保护安全设计技术要求》-GB/T 25070-2019
《信息安全技术 网络安全等级保护测试评估技术指南》GB/T 36627-2018
三、技术规格:
三、保密要求:
1、对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标方的责任;
2、对涉及客户的检查项目、资料、检查过程和结果以及客户的知识产权、所有权等其它信息采取保密措施;
3、在接收客户的检查项目时,应对检查项目加强监管,防止泄密。信息安全等级保护评测之前必须签订保密协议。所有检查项目,不经用户同意,不得向与检查无关人员展示;
4、所有检查过程均对外保密,与检查无关人员未经公司批准,不得擅自进入检查现场;
5、在未经许可的情况下与检查无关的人员不得接触被检查项目及相关资料,不得参与检查和编制检查报告;
6、出具的检查报告应为客户保密,未经客户授权,不得将检查报告转交他人,不得擅自公布检查结果;
7、当客户要求用电话、图文传真或其它方式传送检查结果时,应有客户正式的书面委托并证实相关通讯方式可靠后方可执行;
8、不得向无关人员泄露任何有关客户资料和检查结果,检查结果只能通过相关程序及约定的告知方式通知相应业务单位和个人;
9、对接触客户检查项目、资料及其它相关信息的人员应履行为客户保护所有权的义务,不得利用客户的有关知识产权为己牟利。
四、交付时间和地点:
1、实施时间及地点
(1)实施时间:合同签订之日起计算,采购人指定时间内完成服务工作。
(2)实施地点: 采购人指定地点
2、结算方法
(1)支付方式: 长沙市卫生健康委员会(国库集中支付)。
(2)付款方式:签订合同后支付合同金额的40%,在完成所有相关系统的定级备案工作后,支付合同金额的40%,在项目完成提供测评报告并经业主验收合格后(无质量问题、售后服务纠纷,以及其他经济法律纠纷等)无息付合同金额的尾款。
五、服务标准:
3、服务内容:
(1)组建不少于5人且具有丰富经验的等级保护测评师团队;
(2)根据《GB-T_22240-2020 信息安全技术_信息系统安全等级保护定级指南》开展信息系统的定级申报工作。针对被测系统业务信息和业务服务情况,填写备案表以及定级报告等必要的定级备案材料,分析所属类型、服务范围以及业务对系统的依赖程度,确定系统安全保护等级;
(3)整理信息安全等级保护备案材料,提交公安主管部门进行定级备案;
(4)从医疗信息化建设实践出发,基于《信息系统安全等级保护基本要求》(GB/T22239-2019)等标准要求进行等级保护测评服务,等级测评内容须涵盖物理(机房)、网络(网络结构、网络设备、安全设备)、主机(操作系统、数据库)、应用(应用软件、中间件)、数据和管理等六个层面,在此基础上,还需进行工具测试和渗透测试。
(5)根据信息系统安全等级保护相关要求,对被测系统提出安全整改加固建议,并协助完成项目安全整改工作。
(6)整改完成之后,测评机构对整改项目进行复测,确保存在的中高风险漏洞都得到整改。
(7)测评后出具信息系统网络安全保护等级测评报告,确保最终取得信息安全主管部门出具的备案证明,并完成测评服务过程中其他的相关工作。
4、服务原则
(1)标准性原则:测评方案与实施过程应依据国家等级保护的相关标准进行。
(2)规范性原则:测评工作过程中的文档规范,便于项目的跟踪和控制。
(3)可控性原则:测评工作的进度要严格根据进度表的安排。
(4)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(5)最小影响原则:测评工作对系统和网络的影响必须在可控范围内,不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
六、验收标准:
四、验收标准
1、根据《关于进一步规范政府采购项目履约验收工作管理的通知》(长财采购〔2016〕6号)文件,该项目采用简易程序验收。
2、等级测评服务交付物:
(1)完成每个被测系统定级备案工作并提供备案证明.
(2)针对每个被测系统分别提供《信息系统等级测评报告》。
(3)安全测评咨询服务交付物:《系统安全建议报告》
(4)应急响应服务交付物:《应急响应服务报告》(若无应急响应发生则无需提供)。
七、其他要求:
(1)本项目采用费用包干方式建设,成交人应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及产品运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所有费用。如成交后,在项目实施中出现任何遗漏,均由供应商免费提供,采购人不再支付任何费用。
(2)投标人或中标人在参与本项目的全部过程中(包括但不限于勘察、运输、安装、施工、调试、验收售后、运维服务等),应负责其派出的所有工作人员的人身意外保险并承担人身意外事故引发的责任、损失和所有费用。采购人不承担投标人或中标单位工作人员因意外所致的任何责任。
(3) 对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
一、项目概况
1、项目名称:长沙市信创产业技术区域智慧医疗建设项目安全等保测评服务项目
2、项目预算: 登录即可免费查看元
二、项目服务内容
按相关要求对长沙市信创产业技术区域智慧医疗建设项目开展等级保护测评工作,测评后需获得符合主管单位要求的测评报告,并取得备案证明。
根据提供的重要信息系统的详细资料,采用信息安全等级保护评估方法对长沙市信创产业技术区域智慧医疗建设项目的各相关系统进行安全等级测评。
二、相关标准:
依据标准:
投标人应依据国家等级保护相关标准开展工作。
测评过程中主要依据的标准:
《关于信息安全等级保护工作的实施意见》(公通字[2004]66);
《信息安全等级保护管理办法》(公通字 [2007]43号);
《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);
《信息安全技术 网络安全等级保护基本要求》-GB/T 22239-2019;
《信息安全技术 网络安全等级保护定级指南》- GB/T22240-2020;
《信息安全技术 网络安全等级保护测评过程指南》-GB/T 28449-2018;
《信息安全技术 网络安全等级保护测评要求》-GB/T 28448-2019;
《计算机信息系统安全保护等级划分准则》-(GB 17859-1999);
《信息安全技术 网络安全等级保护安全设计技术要求》-GB/T 25070-2019
《信息安全技术 网络安全等级保护测试评估技术指南》GB/T 36627-2018
三、技术规格:
三、保密要求:
1、对服务的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则招标人有权追究投标方的责任;
2、对涉及客户的检查项目、资料、检查过程和结果以及客户的知识产权、所有权等其它信息采取保密措施;
3、在接收客户的检查项目时,应对检查项目加强监管,防止泄密。信息安全等级保护评测之前必须签订保密协议。所有检查项目,不经用户同意,不得向与检查无关人员展示;
4、所有检查过程均对外保密,与检查无关人员未经公司批准,不得擅自进入检查现场;
5、在未经许可的情况下与检查无关的人员不得接触被检查项目及相关资料,不得参与检查和编制检查报告;
6、出具的检查报告应为客户保密,未经客户授权,不得将检查报告转交他人,不得擅自公布检查结果;
7、当客户要求用电话、图文传真或其它方式传送检查结果时,应有客户正式的书面委托并证实相关通讯方式可靠后方可执行;
8、不得向无关人员泄露任何有关客户资料和检查结果,检查结果只能通过相关程序及约定的告知方式通知相应业务单位和个人;
9、对接触客户检查项目、资料及其它相关信息的人员应履行为客户保护所有权的义务,不得利用客户的有关知识产权为己牟利。
四、交付时间和地点:
1、实施时间及地点
(1)实施时间:合同签订之日起计算,采购人指定时间内完成服务工作。
(2)实施地点: 采购人指定地点
2、结算方法
(1)支付方式: 长沙市卫生健康委员会(国库集中支付)。
(2)付款方式:签订合同后支付合同金额的40%,在完成所有相关系统的定级备案工作后,支付合同金额的40%,在项目完成提供测评报告并经业主验收合格后(无质量问题、售后服务纠纷,以及其他经济法律纠纷等)无息付合同金额的尾款。
五、服务标准:
3、服务内容:
(1)组建不少于5人且具有丰富经验的等级保护测评师团队;
(2)根据《GB-T_22240-2020 信息安全技术_信息系统安全等级保护定级指南》开展信息系统的定级申报工作。针对被测系统业务信息和业务服务情况,填写备案表以及定级报告等必要的定级备案材料,分析所属类型、服务范围以及业务对系统的依赖程度,确定系统安全保护等级;
(3)整理信息安全等级保护备案材料,提交公安主管部门进行定级备案;
(4)从医疗信息化建设实践出发,基于《信息系统安全等级保护基本要求》(GB/T22239-2019)等标准要求进行等级保护测评服务,等级测评内容须涵盖物理(机房)、网络(网络结构、网络设备、安全设备)、主机(操作系统、数据库)、应用(应用软件、中间件)、数据和管理等六个层面,在此基础上,还需进行工具测试和渗透测试。
(5)根据信息系统安全等级保护相关要求,对被测系统提出安全整改加固建议,并协助完成项目安全整改工作。
(6)整改完成之后,测评机构对整改项目进行复测,确保存在的中高风险漏洞都得到整改。
(7)测评后出具信息系统网络安全保护等级测评报告,确保最终取得信息安全主管部门出具的备案证明,并完成测评服务过程中其他的相关工作。
4、服务原则
(1)标准性原则:测评方案与实施过程应依据国家等级保护的相关标准进行。
(2)规范性原则:测评工作过程中的文档规范,便于项目的跟踪和控制。
(3)可控性原则:测评工作的进度要严格根据进度表的安排。
(4)整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(5)最小影响原则:测评工作对系统和网络的影响必须在可控范围内,不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
六、验收标准:
四、验收标准
1、根据《关于进一步规范政府采购项目履约验收工作管理的通知》(长财采购〔2016〕6号)文件,该项目采用简易程序验收。
2、等级测评服务交付物:
(1)完成每个被测系统定级备案工作并提供备案证明.
(2)针对每个被测系统分别提供《信息系统等级测评报告》。
(3)安全测评咨询服务交付物:《系统安全建议报告》
(4)应急响应服务交付物:《应急响应服务报告》(若无应急响应发生则无需提供)。
七、其他要求:
(1)本项目采用费用包干方式建设,成交人应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及产品运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所有费用。如成交后,在项目实施中出现任何遗漏,均由供应商免费提供,采购人不再支付任何费用。
(2)投标人或中标人在参与本项目的全部过程中(包括但不限于勘察、运输、安装、施工、调试、验收售后、运维服务等),应负责其派出的所有工作人员的人身意外保险并承担人身意外事故引发的责任、损失和所有费用。采购人不承担投标人或中标单位工作人员因意外所致的任何责任。
(3) 对于上述项目要求,投标人应在投标文件中进行回应,作出承诺及说明。
采购需求仅供参考,相关内容以采购文件为准。
微信扫码关注
