根据国家信息安全等级保护制度规范要求和医院信息系统建设发展工作需求,依据《中华人民共和国政府采购法》《政府采购非招标采购方式管理办法》《安徽省政府采购工作指南(2024 年版)》《安徽省政府集中采购目录及标准(2024 年版)》等法律法规,现拟以询比价采购方式对“以电子病历为核心的医院信息管理系统及基础网络系统”等级保护三级予以测评,具体事宜公告如下:
一、采购需求
本项目为一整包,预算控价≦9万元/年。投标报价超过预算价的为无效报价。测评时间要求:招评标公示结束,合同签订之日起30天内完成定级和测评工作;如因院方整改的可适当延迟,但最长不超过20日。
(一)项目要求
医院现有网安设施包含但不限于SANGFOR OSM-1000-A600堡垒机*1台,AF-1000-B1200防火墙*2台,AF-2000-FH2102A下一代防火墙(包含防病毒模块、入侵防御系统模块、SSL VPN 安全网关)*2台,SUNDRAY TS7905外网核心交换机1台,OSM-1000-A600运维安全管理系统*1台,LAS-1000-A600日志与数据库审计系统*各1台套,EDR终端检测响应平台*1套, GAP-1000-A600S内外网物理隔离网闸1台,AC-1000-SK1500全网行为管理设备,SIP-Y-1600安全感知管理平台及漏洞扫描设备,aStor-Backup-1250灾备一体机等(具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》的测评公司如有意向可自行进场勘察)。
1.对“以电子病历为核心的医院信息管理系统及基础网络系统”进行前期分析评估和优化加固服务以及后期巡检、测试、等级测评等服务内容。通过专业技术服务团队分步、有序、扎实、全面地对系统进行深入地分析评估,理清各种基础数据和运行情况,发现各种问题和隐患,提供针对性的整改建议,配合提供后期运行全过程支持服务。
2.完成对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面面临风险的评估进行综合定性、定量分析,以及脆弱性等级、关联资产等级、威胁安全级别、安全事件发生的可能性、安全事件发生后的损失计算等工作,出具测评分析报告书。
3.完成“以电子病历为核心的医院信息管理系统及基础网络系统”安全等级保护的定级与测评工作,测评后经用户方确认,编写相应的《信息系统安全等级保护定级报告》;出具符合公安网监部门要求的信息系统(含基础网络)安全等级测评报告;
4.完成“以电子病历为核心的医院信息管理系统及基础网络系统”安全等级保护备案工作;
5.对“以电子病历为核心的医院信息管理系统及基础网络系统”不符合信息安全等级保护有关管理规范和技术标准的,提出可行性整改方案,提供相应的安全整改建议书。经医院整改后继续测评,直到测评结果达到三级为止,不再另行收取测评费用。
6.按照国家信息安全等级保护制度的要求,在信息安全等级保护工作过程中提供监督、检查、指导等专业技术支持,及相关技术咨询服务、信息安全技术培训、信息系统(网络)安全性测评、信息系统安全方案咨询和评审等。
(二)测评要求
依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》对被测系统进行等级保护测评。
1. 等级保护测评内容
(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
(3)形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB /T 22239-2008),对各信息系统进行安全现状分析,形成相应的差距分析报告。
(4)编制系统安全整改方案:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,结合差距分析结果,编制针对各信息系统的安全整改建设方案。
(5)编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助建设方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。
(6)编制等级测评报告:完成上述测评工作和建设方实施整改后,出具符合公安网监部门要求的(年度)信息系统安全保护等级测评报告。
(三)质量要求
1.等级测评及服务原则:符合性原则、标准性原则、规范性原则、可控性原则、整体性原则。
2.信息系统安全等级保护定级及测评服务依据:
《GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求》;
《GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南》;
《GB/T 28448-2012 信息安全技术 信息系统安全等级保护测评要求》;
《GB/T 28449-2012 信息安全技术 信息系统安全等级保护测评过程指南》;
《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》;
《卫生健康行业医疗机构场景密码应用与安全性评估实施指南》(国家卫健委2023.12)。
(四)测评服务准则
测评单位应遵循如下服务准则,实施并完成项目的测评任务:
(1)维护国家的荣誉和利益,按照“守法、诚信、公正、科学”的准则执业;
(2)执业有关项目的法律法规、规范标准和制度,履行测评合同规定的职责和义务;
(3)不收受被测评单位的任何礼金和宴请;
(4)不泄露所测评系统各方认为需要保密的事项;
(5)遵守国家的法律和政府的有关条例、规定和方法等;
(6)认真履行系统测评合同所承诺的义务和承担约定的责任;
(7)坚持公正的立场,公平地处理有关各方的争议;
(8)坚持科学的态度和实事求是的原则;
(9)在坚持按测评合同的规定向建设单位提供技术服务的同时,帮助被测评者完成其承担的建设任务;
(10)不泄露测评工作中需保密的事项。
(五)其他要求
1.保密要求:
在测评过程中,需严格遵循保密原则,对服务过程中涉及的任何用户信息未经允许不向其他任何第三方泄露,以及不得利用这些信息损害采购方利益。
2.最小影响要求:
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先作出说明并经信息主管同意后实施。
3规范性要求:
信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
4.质量保障要求:
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
二、供应人资格要求
(一)投标人符合《中华人民共和国政府采购法》第二十二条规定的所有条件,具有独立法人资格和有效的营业执照(投标文件中提供营业执照复印件);
(二)投标人具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》,且公司在《全国等级保护测评机构推荐目录》中(投标文件中提供相关证明材料);
(三)投标人在投标截止时间前不得被人民法院在信用中国网站(Http://www.creditchina.gov.cn)上或凤台县人民医院列为失信被执行人;
(四)参加本项目投标前三年内,在经营活动中没有弄虚作假、行贿等违法记录;
(五)本项目不接受联合或联合体投标;
(六)本项目拟采取经评审有效最低价法。
三、公示期限为:2024年1月10日至2024年1月16日
四、联系地址、联系人和联系电话
1.招标办:王主任(8612275)、张旭(18949685825)
2.信息中心:王 铸(18900540229)、李文侠(17754002570)
3.审计监管:吴奕垚(13956468999)
4.纪检监督:葛本玲(17754002520)