臨沂中醫(yī)醫(yī)院信息安全等級保護測評項目

1、臨沂市中醫(yī)醫(yī)院信息安全等級保護測評項目集中競價采購須知為了公開、公平、公正地集中競價采購，本著合理、競爭、經(jīng)濟的原則，我院擬對本次采購活動參照招標(biāo)形式進行集中競價，相關(guān)事項如下：第一部分 項目要求一、項目背景為了提高信息系統(tǒng)的安全保護水平，按照國家法律法規(guī)和有關(guān)部門相關(guān)要求，聘請第三方專業(yè)機構(gòu)，在全面了解臨沂市中醫(yī)院現(xiàn)有信息化現(xiàn)況的基礎(chǔ)上，開展信息系統(tǒng)安全等級保護測評工作。通過本次工作，發(fā)現(xiàn)信息系統(tǒng)中存在的安全風(fēng)險，分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準(zhǔn)內(nèi)容要求的符合性情況，完善工作制度，提出安全建設(shè)加固建議。切實加強信息安全防范水平，提高系統(tǒng)抵御風(fēng)險的能力。二、項目目標(biāo)、內(nèi)容按照國家等

2、級保護相關(guān)標(biāo)準(zhǔn)和要求，對其HIS、電子病歷系統(tǒng)（三級）、PACS和網(wǎng)站（二級）安全等級保護測評工作，找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo)準(zhǔn)要求之間的差距，遵循適度原則，提出切實可行的整改建議，完成等級保護測評報告，并提供后續(xù)檢測服務(wù)。三、項目實施參照法律法規(guī)及標(biāo)準(zhǔn)Ø 網(wǎng)絡(luò)安全法Ø 公安部、國家保密局、國際密碼管理局、國務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的關(guān)于信息安全等級保護工作的實施意見（公通字200466號）；Ø 公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定的信息安全等級保護管理辦法（公通字 200743號）。Ø 信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求

3、（ GB/T22239-2008） Ø 信息安全技術(shù) 信息系統(tǒng)安全等級保護定級指南（GB/T 22240-2008）Ø 信息安全技術(shù) 信息系統(tǒng)安全等級保護實施指南Ø 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評要求Ø 信息安全技術(shù) 信息系統(tǒng)安全等級保護測評過程指南Ø 計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則（GB 17859-1999）Ø 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）Ø 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T 20270-2006）Ø 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T

4、 20272-2006）Ø 信息安全技術(shù) 數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）Ø 信息安全技術(shù) 服務(wù)器技術(shù)要求（GB/T 21028-2007）Ø 信息安全技術(shù) 終端計算機系統(tǒng)安全等級技術(shù)要求（GA/T 671-2006）Ø 信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）Ø 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）Ø GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評估準(zhǔn)則四、項目內(nèi)容1. 等級測評通過詳細(xì)的系統(tǒng)調(diào)研，開展對其HIS、LIS系統(tǒng)

5、（三級）、PACS和網(wǎng)站（二級）的等級保護測評工作，找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作。最終完成等級保護測評報告。 測評的內(nèi)容包括但不限于以下內(nèi)容：Ø 安全技術(shù)測評：包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個方面的安全測評；Ø 安全管理測評：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。（1）、物理安全根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機房和現(xiàn)場安全測評記錄，針對機房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防

6、潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護”等物理安全方面所采取的措施進行，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。中標(biāo)人出具加蓋CNAS章的機房檢測報告。（2）、網(wǎng)絡(luò)安全根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全測評記錄，針對網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“訪問控制”、“安全審計”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護”等網(wǎng)絡(luò)安全方面所采取的措施進行檢查，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。（3）、主機安全主機安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“入侵防護”、“惡意代碼防護”

7、、“資源控制”。（4）、應(yīng)用安全應(yīng)用安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯”、“資源控制”方面。（5）、數(shù)據(jù)安全及備份恢復(fù)臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場測評包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個方面的測評。（6）、安全管理制度根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。（7）、安全管理機構(gòu)根據(jù)現(xiàn)場安全測評記錄，針對臨沂

8、市中醫(yī)院信息系統(tǒng)在安全管理機構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。（8）、人員安全管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識教育和培訓(xùn)”以及“外部人員訪問管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。（9）、系統(tǒng)建設(shè)管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”

9、、“系統(tǒng)備案”、“等級測評”以及“安全服務(wù)商選擇”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。（10）、系統(tǒng)運維管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、 “網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。通過現(xiàn)場測評，逐項找出系統(tǒng)現(xiàn)狀與國家相關(guān)標(biāo)準(zhǔn)要求之間的差距，進行逐項分析、整體分析，給出差距分析報告，并給出整改建議方案。待整改完畢后，進行結(jié)果確認(rèn)，完成信息安全

10、等級保護測評，出具測評報告，并將測評報告報當(dāng)?shù)毓矙C關(guān)備案。2. 安全管理體系咨詢協(xié)助建立符合等級保護要求的信息安全管理體系，包含信息安全方針、信息安全策略、運行管理制度和運維管理制度。并參照國際標(biāo)準(zhǔn)體系ISO 27001和ISO 20000制定相應(yīng)流程，促進臨沂市中醫(yī)院信息安全管理工作。3. 安全監(jiān)測提供門戶網(wǎng)站7*24小時網(wǎng)站安全監(jiān)測，對網(wǎng)站頁面掛馬、篡改等事件實時監(jiān)測，發(fā)現(xiàn)問題及時通報相關(guān)人員，并安排人員及時處理。4. 應(yīng)急支援服務(wù)期內(nèi)提供不限次數(shù)的應(yīng)急支援服務(wù)，針對發(fā)生的事件協(xié)助分析事件原因，查找問題，并提供安全加固建議。5. 安全培訓(xùn)組織技術(shù)培訓(xùn)，對臨沂市中醫(yī)院的技術(shù)人員進行等級保護

11、、安全技術(shù)和項目部署要求等內(nèi)容培訓(xùn)。技術(shù)培訓(xùn)應(yīng)從實際應(yīng)用出發(fā)，涵蓋網(wǎng)絡(luò)安全的如下方面：基礎(chǔ)設(shè)施運行安全培訓(xùn)、網(wǎng)絡(luò)安全縱深防御體系培訓(xùn)、操作系統(tǒng)安全加固技術(shù)培訓(xùn)、應(yīng)用系統(tǒng)滲透測試檢測與加固培訓(xùn)、數(shù)據(jù)庫安全管理培訓(xùn)、27001安全管理體系培訓(xùn)等。6.信息安全風(fēng)險評估按照GB-T20984-2007信息安全風(fēng)險評估規(guī)范標(biāo)準(zhǔn)和要求，對信息系統(tǒng)進行風(fēng)險評估，明確信息系統(tǒng)安全風(fēng)險，提出合理的、滿足等級保護要求的總體建設(shè)和管理規(guī)劃，并制定安全實施計劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。五、成果交付該項目提交的文檔至少包括如下文件：1、 臨沂市中醫(yī)院XX信息系統(tǒng)安全等級保護測評方案2、 臨沂市中醫(yī)院XX系統(tǒng)信息安全等級保護測評報告3、 臨沂市中醫(yī)院XX信息安全管理制度匯編4、 信息安全風(fēng)險評估報告5、 信息安全整改方案第二部分 投標(biāo)方資質(zhì)要求1、企業(yè)法人營業(yè)執(zhí)照副本復(fù)印件（蓋章）。2、法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。3、投標(biāo)公司具有信息系統(tǒng)安全等級保護測評的國家相關(guān)資質(zhì)，有專業(yè)技術(shù)檢測項目組，其中有高級測評師及中級測評師，參與技術(shù)檢測的人員均為中國公民，無違法犯罪記錄并簽訂安全保密協(xié)議。4、同類項目近幾年的業(yè)績情況及客