《临沂中医医院信息安全等级保护测评项目.docx》由会员分享,可在线阅读,更多相关《临沂中医医院信息安全等级保护测评项目.docx(5页珍藏版)》请在第壹文秘上搜索。
1、临沂市中医医院信息平安等级爱护测评项目集中竞价选购须知为了公开、公允、公正地集中竞价选购,本着合理、竞争、经济的原则,我院拟对本次选购活动参照招标形式进行集中竞价,相关事项如下:第一部分项目要求一、项目背景为了提高信息系统的平安爱护水平,依据国家法律法规和有关梯门相关要求,聘请第三方专业机构,在全面了解临沂市中医院现有信息化现况的基础上,开展信息系统平安等级爱护测评工作。通过本次工作,发觉信息系统中存在的平安风险,分析信息系统平安现状与相关政筑文件、技术标准内容要求的符合性状况,完善工作制度,提出平安建设加固建议。切实加强信息平安防范水平,提高系统抵挡风险的实力。二、项目目标、内容依据国家等级
2、爱护相关标准和要求,对其HIS.电子病历系统(三级)、PACS和网站(二级)平安等级爱护测评工作,找出系统现状与相关标准要求之间的爰死.遒彼适度原则,提出切实可行的整改建议,完成等级爱护测评报告,并供应后续检测服务。三、项目实施参照法律法规及标准网络平安法公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息平安等级爱护工作的实施看法3(公通字200466号):信息平安技术信息平安技术信息平安技术也信息平安技术信息平安技术公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息平安等级爱护管理方法(公通字200743号)。信息系统平安等级爱护基本要求(GB/T
3、22239-2008)信息系统平安等级爱护定级指南(GB/T22240-2008)信息系统平安等级爱护实施指南信息系统平安等级爱护测评要求5信息系统平安等级爱护测评过程指南计算机信息系统平安爱护等级划分准则(GB17859-1999)信息平安技术信息系统通用平安技术要求(GB/T20271-2006)信息平安技术网络基础平安技术要求(GB/T20270-2006)信息平安技术操作系统平安技术要求(GB/T20272-2006)信息平安技术信息平安技术信息平安技术信息平安技术信息平安技术数据库管理系统平安技术要求(GB/T20273-2006)服务器技术要求(GB/T21028-2007)终难计
4、算机系统平安等级技术要求(GA/T671-2006)信息系统平安管理要求(GB/T20269-2006)信息系统平安工程管理要求(GB/T20282-2006)GB/T18336-2001信息技术平安技术信息技术平安性评估准则四、项目内容1 .等领测评通过具体的系统调研,开展对其HIS、1.IS系统(三级)、PACS和网站(二级)的等级爱护测评工作,找出平安见状与标准要求之间的差距,并建循适度平安的原则,帮助制定平安整改运设方案,指导整改工作。最终完成等级爱护测评报告。测评的内容包括但不限于以下内容:平安技术测评:包括物理平安、网络平安.主机系统平安、应用平安和数据平安等五个方面的平安测评;平
5、安管理测评:平安管理机构、平安管理制度、人员平安管理、系统拢设管理和系统运维管理等五个方面的平安测评。(1),物理平安依据临沂市中医院信息系统机房和现场平安测评记录,针对机房和现场在“物理位置选择“、”物理访问限制、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度限制”、“电力供应”和“电磁防护”等物理平安方面所实行的措施进行,推断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。(2),网络平安依据曲沂市中医院信息系统网络平安测评记录,针对网络方面在“结构平安”、“访问限制”、平安审计”、边界完整性检出“、入侵防范”、恶意代玛防范”、“网
6、络设备防护”等网络平安方面所实行的措施进行检查.推断出与其相对应的各测评项的测评结果。(3),主机平安主机平安现场测评包括对临沂市中医院信息系统服务罂的测评,测评内容包括“身份饕别”、“访问限制”、“平安审计”、“剩余信息爱护”、“入侵防护”、“恶意代码防护”、“资源限制”。(4),应用平安应用平安现场测评包括对临沂市中医院信息系统的测评,测评内容包括“身份鉴别”、“访问限制”、“平安审计”、剩余信息爱护”、“通信完整性”、“通信保组性”、“抗抵赖”、“荻件容错、资源限制”方面。(5),数据平安及备份受原临沂市中医院信息系统数据平安及备份复原现场测评包括“数据完整性”、“数据保密性”、”备份和
7、曳原”几个方面的测评。(6)、平安管理制度依据现场平安测评记录,针对临沂市中医院信息系统在平安管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,推断出与其相对应的各测评项的测评结果。(7) .平安管理机构依据现场平安测评记录,针时临沂市中医院信息系统在平安管理机构方面的“岗位设置”、“人员配备”、“授权和审枇”、”沟通和合作”以及“审核和检查”等测评指标,推断出与其相对应的各测评项的测评结果.(8),人员平安管理依据现场平安测评记录,针对临沂市中医院信息系统在人员平安管理方面的“人员录用”、“人员离岗”、“人员考核”、“平安意识教化和培训”以及“外部人员访问管理”等测评指
8、标,推断出与其相对应的各测评项的测评结果。(9)、系统建设管理依据现场平安测评记录,针对临沂市中医院信息系统在系统淀设管理方面的“系统定级”、“平安方案设计”、“产品选购和运用”、“自行软件开发”、“外包软件开发“、“工程实施”、“测试聆收”、“系统交付”、“系统备案”、“等级测评”以及“平安服务葭选择”等测评指标,推断出与其相对应的各测评项的测评结果。(10),系统运维管理依据现场平安测评记录,针对临沂市中医浣信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络平安管理”、“系统平安管理”、恶意代码防范管理”、“密码管理”、“变更管理”、“备份与复原管理
9、”、“平安事务处置”以及“应急预案管理”等测评指标.推断出与其相财应的各测评项的测评结果。通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,迸行这项分析、整体分析,绐出差距分析报告,并给出整改赛议方案.待整改完毕后,进行结果确认,完成信息平安等级爱护测评,出具测评报告,并将测评报报当地公安机关备案。2 .平安管理体系询问锣助建立符合等级爱护要求的信息平安管理体系.包含信息平安方针、信息平安策略、运行管理制度和运维管理制度。并参照国际标准体系ISO27001和ISO20000制定相应流程,促进临沂市中医院信息平安管理工作。3 .平安监测供应门户网站7*24小时网站平安监测,财网站页面挂
10、马、篡改等事务实时监测,发觉问题刚好通报相关人员,井支配人员刚好处理.4 .应急支援服务期内供应不限次数的应急支援服务,针对发生的事务帮助分析事务缘由,直找问就.并供应平安加固建议。5 .平安带调组织技术培训,村临沂市中医院的技术人员进行等级爱护、平安技术和项目部署要求等内容培训。技术培训应从实际应用动身,涵光网络平安的如下方面:基础设施运行平安培训、网络平安纵深防卫体系培训、操作系统平安加固技术培训、应用系统渗透测试检测与加固培训、数据库平安管理培训、27001平安管理体系培训等。6 .信息平安风险评估依据GBT20984-2007信息平安风险评估规范标准和要求,财信息系统进行风险评估,明确
11、信息系统平安风险,提出合理的、满意等级爱护要求的总体定设和管理规划,并制定平安实施支配,以指导后续的信息系统平安建设工程实施.五、成果交付该项目提交的文档至少包括如下文件:1, 临沂市中医院XX信息系蜕平安等级爱护测评方案2, 6临沂市中医院XX系统信息平安等级爱护测评报告3, 临沂市中医院XX信息平安管理制度汇端?1.6信息平安风险评估报告5、C信息平安整改方案3其次部分投标方资质要求1、企业法人营业执理副本复印件(盖章)。2,法定代表人身份证明书或法人授权托付书、身份证复印件。3,投标公司具有信息系统平安等级爱护测评的国家相关资质,有专业技术检测项目组,其中有高级测评师及中级测评师,参加技术检测的人员均为中国公民,无违法犯罪记录并签订平安保密协议。4,同类项目近几年的业绩状况及客户名单。第三部分标书、报价方式1、标书分正本I份,副本2份,并在标书标书袋上标明“正本”、“副本”字样.均阚定装订成一册,不能活页装订或散装,盖单位公章和法定代表人印签后递交医院招标办。第四部分报送时间、地点标书报送时间截止2018年1月30日16Ihfo(每日8:00-17:00,周六、周日除外)标书报送地点:临沂市中医医院门诊七楼招标办。
