根据网络安全法及相关上级指示文件的相关要求,结合《信息安全技术信息系统安全等级保护基本要求(GBT_22239—2019)》、GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》等相关文件的标准要求及指示精神,同时根据天津市卫生健康委员会下发的津卫网【2024】113号文件要求,系统要求开展等级保护测评工作,结合我单位实际情况决定开展网络安全等级保护测评项目。
天津市静海区医院开展等级保护测评项目询价调研活动,现诚邀各单位参加。请贵单位于2024年11月 13日17:00前,确认满足项目需求并参加此次报价,请提供以下证明材料:法人或者其他组织的营业执照等证明文件,法人的身份证明;具备履行项目所必需技术能力的证明材料;报价文件(包含资质、报价等内容)。
一、等级保护测评系统
序号 |
系统名称 |
系统等级 |
1 |
天津市静海区医院电子病历系统 |
三级 |
2 |
天津市静海区医院互联网医院系统 |
三级 |
3 |
HIS系统 |
三级 |
4 |
PACS系统 |
二级 |
5 |
LIS系统 |
二级 |
6 |
心电管理系统 |
二级 |
7 |
手术麻醉管理系统 |
二级 |
二、服务要求
1.协助采购人进行信息系统业务内容分析、系统边界界定、业务信息安全保护等级、系统服务安全保护等级及最终系统级别的选取及确认,定级报告的出具等。
2.协助采购人进行备案单位情况、系统基本情况梳理及备案相关表格的梳理等。
3.针对被测系统的物理环境情况调研、网络拓扑图梳理及网络设备调研及分类整理、系统服务器硬件情况调研及梳理、操作系统及数据库系统情况调研及梳理、应用程序业务流程及数据流向调研梳理以及安全管理制度建设情况调研,进行差距分析。
4.针对被测信息系统资产情况及运行环境,依据国家等级保护2.0相关标准规范,确定等级保护测评对象、测评指标、测评方法、测评实施计划等内容,编写测评方案。
5.针对被测信息系统的物理环境、网络环境及设备配置、操作系统及数据库系统配置、应用程序相关安全防护以及安全管理制度建设等各个层面,按照等保2.0标准开展等级保护测评。
6.针对被测信息系统,通过专业漏洞扫描工具的使用,结合测评师经验对关键操作系统及应用系统的常见漏洞进行扫描分析,综合评估安全风险;根据相关结果进行风险分析,分析信息系统存在的风险。
7.综合以上结果,形成等级测评结论,输出等级测评报告,并完成相关报备工作。
8.根据等级测评结论,并根据信息系统的状况和未来业务发展能力,形成整改建设建议。
三、技术要求
1.供应商应把握和理解国家对该类项目的具体要求,对等级保护2.0相关政策标准本身有较深的认识。
2.供应商应具有完善的工作流程,有计划、按步骤地开展测评工作,保证测评活动的每个环节都得到有效的控制。
3.供应商应具有完善的应急流程,具有快速应急响应服务,以保证在整个项目过程中不影响采购人信息系统的正常运行。
4.供应商在现场测评环节过程中不能影响采购人的各项系统正常运行,针对工具测试等环节需要做好相应的应急预案以及操作规范。
5.供应商应具备完善的网络安全等级保护2.0测评方案,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理等。
6.供应商应具有完善的项目管理经验,包括制定项目汇报的流程、项目问题管理流程等。
7.供应商在等级保护项目中必须提交国家规定格式和标准的等级保护测评报告,并以此作为验收标准。
8.供应商应具有中国合格评定国家认可委员会颁发的CNAS检验机构认可证书(认可范围:网络安全等级保护测评、信息系统风险评估)。
9. 供应商项目组组长具备高级测评师和信息安全工程师专业认证。
四、实质性要求
供应商须具有公安机关认可的网络安全等级保护测评资质,并在全国网络安全等级测评与检验评估保机构目录中,需提供公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放的《网络安全等级测评与检测评估机构服务认证证书》。若为外地企业还需提供天津市网安总队以及辖区网安支队出具的网安盖章机构备案证明文件,提供有效期内证明文件复印件加盖公章。(本采购项目不承认此证书的授权、继承、转让等行为)
五、报名时间、地点、联系人及联系方式
1.报名时间:2024年11月11日至2024年11月13日17:00
2.资料递交截止时间:2024年11月13日17:00
3.报名地点:天津市静海区医院C区13楼微机网络信息中心
4.联系人:于皓
5.联系电话:022-68924340
友情链接: 天津医科大学总医院|天津市第一中心医院|天津市第二中心医院|