犍為縣中醫(yī)醫(yī)院

關于***年信息系統(tǒng)網(wǎng)絡安全三級保護制度

測評 詢價征集公告

一、 項目說明

為認真 做好我院重要信息系統(tǒng)網(wǎng)絡安全三級保護制度測評，提高信息安全保障能力和水平，現(xiàn)公開征集***年信息系統(tǒng)網(wǎng)絡安全三級保護制度測評的 詢價信息 。歡迎符合條件的供應商積極參與。

二、測評要求

（一）測評原則

方案設計與實施應滿足以下原則：

符合性原則：應符合國家網(wǎng)絡安全等級保護制度及相關法律法規(guī)，指出防范的方針和保護的原則。

標準性原則：方案設計、實施與網(wǎng)絡安全體系的構(gòu)建應依據(jù)國內(nèi)、國際的相關標準進行。

規(guī)范性原則：項目實施應由專業(yè)的等級測評師依照規(guī)范的操作流程進行，在實施之前將詳細量化出每項測評內(nèi)容，對操作過程和結(jié)果提供規(guī)范的記錄，以便于項目的跟蹤和控制。

可控性原則：項目實施的方法和過程要在雙方認可的范圍之內(nèi)，實施進度要按照進度表進度的安排，保證項目實施的可控性。

整體性原則：安全體系設計的范圍和內(nèi)容應當整體全面，包括安全涉及的各個層面，避免由于遺漏造成未來的安全隱患。

最小影響原則：項目實施工作應盡可能小的影響網(wǎng)絡和信息系統(tǒng)的正常運行，不能對信息系統(tǒng)的運行和業(yè)務的正常提供產(chǎn)生顯著影響。

保密原則：對項目實施過程獲得的數(shù)據(jù)和結(jié)果嚴格保密，未經(jīng)授權不得泄露給任何單位和個人，不得利用此數(shù)據(jù)和結(jié)果進行任何侵害測評委托單位利益的行為。

（二）測評依據(jù)

信息系統(tǒng)等級測評依據(jù)《網(wǎng)絡安全等級保護基本要求》、《網(wǎng)絡安全等級保護測評要求》，在對信息系統(tǒng)進行安全技術和安全管理的安全控制測評及系統(tǒng)整體測評結(jié)果基礎上，針對相應等級的信息系統(tǒng)遵循的標準進行綜合系統(tǒng)測評，提出相應的系統(tǒng)安全整改建議。

主要參考標準如下：

《中華人民共和國網(wǎng)絡安全法》；

GB***：《計算機信息系統(tǒng)安全保護等級劃分準則》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護測評過程指南》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護測試評估技術指南》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護基本要求》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護實施指南》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護測評要求》；

GB/T ***：《信息安全技術 網(wǎng)絡安全等級保護定級指南》；

GB/T ***：《信息安全技術信息安全風險評估方法》。

（三）測評實施內(nèi)容

1、測評 對象

序號	系統(tǒng)名稱	安全等級
1	HIS系統(tǒng)	三級
2	LIS系統(tǒng)	三級
3	EMR系統(tǒng)	三級
4	PACS系統(tǒng)	三級

2 、測評內(nèi)容

根據(jù)《GB/T *** 信息安全技術 網(wǎng)絡安全等級保護基本要求》和《GB/T *** 信息安全技術 網(wǎng)絡安全等級保護測評要求》等相關文件及標準要求，對業(yè)務信息系統(tǒng)開展測評服務，測評內(nèi)容包括但不限于以下內(nèi)容：

安全測評通用要求

（1）安全物理環(huán)境測評：包含物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等 內(nèi)容 。

（2）安全通信網(wǎng)絡測評應包含：網(wǎng)絡架構(gòu)、通信傳輸、可信驗證等 內(nèi)容 。

（3）安全區(qū)域邊界測評應包含：邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等 內(nèi)容 。

（4）安全計算環(huán)境測評應包含：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護等 內(nèi)容 。

（5）安全管理中心測評應包含：系統(tǒng)管理、審計管理、安全管理、集中管控等 內(nèi)容 。

（6）安全管理制度測評應包含：安全策略、管理制度、制定與發(fā)布、評審和修訂等 內(nèi)容 。

（7）安全管理機構(gòu)測評應包含：崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查等 內(nèi)容 。

（8)安全管理人員測評應包含：人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理等 內(nèi)容 。

(9 )安全建設管理測評應包含：定級和備案、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評、服務供應商的選擇等 內(nèi)容 。

(***)安全運維管理測評應包含：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理等 內(nèi)容 。

云計算安全擴展要求 ：

（1）安全物理環(huán)境測評應包含：基礎設施位置等 內(nèi)容 。

（2）安全通信網(wǎng)絡測評應包含：網(wǎng)絡架構(gòu)等 內(nèi)容 。

（3）安全區(qū)域邊界測評應包含：訪問控制、入侵防范、安全審計等 內(nèi)容 。

（4）安全計算環(huán)境測評應包含：訪問控制、鏡像和快照保護、數(shù)據(jù)完整性和保密性、數(shù)據(jù)備份恢復、剩余信息保護等 內(nèi)容 。

（5）安全建設管理測評應包含：云服務商選擇、供應鏈管理等 內(nèi)容 。

（6）安全運維管理測評應包含：云計算環(huán)境管理等 內(nèi)容 。

移動互聯(lián)安全擴展要求

（1）安全物理環(huán)境測評應包含：無線接入點的物理配置等 內(nèi)容 。

（2）安全區(qū)域邊界測評應包含：邊界防護、訪問控制、入侵防范等 內(nèi)容 。

（3）安全計算環(huán)境測評應包含：移動應用管理等 內(nèi)容 。

（4）安全建設管理測評應包含：移動應用軟件采購、移動應用軟件開發(fā)等 內(nèi)容 。

三、報名需提供資料

（一）提供有效的企業(yè)法人營業(yè)執(zhí)照副本、稅務登記證、組織機構(gòu)代碼證副本復印件，若供應商已辦理三證合一的，則只需提供有效的三證合一證書。（注：①在有效期內(nèi)；②具有獨立法人資格；③復印件加蓋公章。）

（二）參加本次采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄。（可提供承諾函，格式自擬） （三）公司法人授權委托書原件及法人和代表的身份證復印件。 （四）具有獨立承擔民事責任的能力，具有履行合同所必需的設備和專業(yè)技術能力。 （五）測評系統(tǒng)報價清單。

四、報名文件要求

請有意向且符合條件的供應商，在報名時間內(nèi)將報名條件所需的資料密封包裝后并在封口處加蓋單位公章。報名資料交到犍為縣中醫(yī)醫(yī)院內(nèi)科大樓6樓信息科。在截止時間前送達報名地點，逾期送達的報名文件以及不符合要求的報名文件不予接受。

五、報名時間

報名日期： ***年*** 月 3 日--***年*** 月 7 日，上午 8:*** 到***點，下午***:***到*** :***。

六、其他

聯(lián)系人及聯(lián)系方式： 聯(lián)系人：代老師 聯(lián)系電話：***（四川省樂山市犍為縣圣泉路***號，內(nèi)科大樓6樓信息科） 犍為縣中醫(yī)醫(yī)院 ***年***月3日