信息安全等級(jí)保護(hù)測(cè)評(píng)工作采購需求

信息安全等級(jí)保護(hù)測(cè)評(píng)工作采購需求一、項(xiàng)目概況根據(jù)《中華人民共和國(guó)網(wǎng)絡(luò)安全法》二十一條“國(guó)家實(shí)行網(wǎng)絡(luò)安全等級(jí)保護(hù)制度。網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求，履行下列安全保護(hù)義務(wù)，保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問，防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改”規(guī)定，為了落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度，履行網(wǎng)絡(luò)安全保護(hù)義務(wù)，廣西醫(yī)科大學(xué)附屬腫瘤醫(yī)院計(jì)劃采購一家有網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書資質(zhì)的機(jī)構(gòu)對(duì)相關(guān)等級(jí)保護(hù)對(duì)象開展等級(jí)測(cè)評(píng)工作，衡量等級(jí)保護(hù)對(duì)象是否達(dá)到相應(yīng)等級(jí)的安全保護(hù)能力。二、需求一覽表項(xiàng)號(hào)服務(wù)名稱數(shù)量單位技術(shù)參數(shù)及性能配置要求1網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)1項(xiàng)★1、總的要求依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）對(duì)基礎(chǔ)醫(yī)療支持系統(tǒng)（HIS、LIS、PACS等）（三級(jí)）廣西醫(yī)科大學(xué)附屬腫瘤醫(yī)院互聯(lián)網(wǎng)醫(yī)院系統(tǒng)（三級(jí)）信息集成平臺(tái)與數(shù)據(jù)中心系統(tǒng)（三級(jí)）開展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作，并對(duì)相應(yīng)信息系統(tǒng)分別出具網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。2、標(biāo)準(zhǔn)依據(jù)《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019）《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》（GB/T28449-2018)《網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》（GB/T25070-2019）《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》（GB/T36627-2018）★3、測(cè)評(píng)內(nèi)容（1）安全通用要求安全通用要求測(cè)評(píng)內(nèi)容應(yīng)包括安全技術(shù)和安全管理兩大類，其中技術(shù)類應(yīng)包括對(duì)安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五個(gè)方面的測(cè)評(píng)，安全管理類測(cè)評(píng)應(yīng)包括對(duì)安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理五個(gè)方面的測(cè)評(píng)。安全擴(kuò)展要求本項(xiàng)目涉及等級(jí)保護(hù)對(duì)象涉及測(cè)評(píng)標(biāo)準(zhǔn)安全擴(kuò)展要求（云計(jì)算、移動(dòng)互聯(lián)網(wǎng)、物聯(lián)網(wǎng)、大數(shù)據(jù)、工業(yè)控制）方面內(nèi)容的，投標(biāo)人應(yīng)該滿足對(duì)被測(cè)評(píng)系統(tǒng)兩個(gè)或以上網(wǎng)絡(luò)環(huán)境的測(cè)評(píng)，需根據(jù)實(shí)際情況選定適用的安全擴(kuò)展要求測(cè)評(píng)內(nèi)容開展本項(xiàng)目測(cè)評(píng)工作。4、測(cè)評(píng)方法在測(cè)評(píng)實(shí)施過程中，應(yīng)采用訪談、檢查和測(cè)試、滲透測(cè)試等測(cè)評(píng)方法進(jìn)行，并與國(guó)家相關(guān)規(guī)范及標(biāo)準(zhǔn)的要求相符。

訪談是指測(cè)評(píng)人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過程；

檢查是指測(cè)評(píng)人員通過對(duì)測(cè)評(píng)對(duì)象（如管理制度、操作記錄、安全配置等）進(jìn)行觀察、查驗(yàn)、分析以幫助測(cè)評(píng)人員理解、分析或取得證據(jù)的過程；測(cè)試是測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為，通過查看和分析結(jié)果以幫助測(cè)評(píng)人員獲取證據(jù)的過程；滲透測(cè)試是模擬黑客的攻擊方法，對(duì)受保護(hù)對(duì)象的應(yīng)用系統(tǒng)、主機(jī)、網(wǎng)絡(luò)進(jìn)行攻擊，從而驗(yàn)證測(cè)評(píng)對(duì)象的弱點(diǎn)、技術(shù)缺陷或漏洞的一種評(píng)估方法。5、服務(wù)成果測(cè)評(píng)完成后，對(duì)相應(yīng)信息系統(tǒng)分別出具符合等保2.0相關(guān)技術(shù)標(biāo)準(zhǔn)要求、國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)管理部門規(guī)范要求且公安機(jī)關(guān)認(rèn)可的的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。商務(wù)要求表★投標(biāo)人資質(zhì)要求投標(biāo)人必須具備公安部第三研究所認(rèn)證發(fā)放的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》；完成期限及服務(wù)地點(diǎn)：1、完成期限：2022年12月30日前出具相應(yīng)信息系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告。2、服務(wù)地點(diǎn)：南寧市內(nèi)采購人指定地點(diǎn)。其他要求★1、投標(biāo)人提供的測(cè)評(píng)人員必須具有公安部信息安全等級(jí)保護(hù)評(píng)估中心（或中關(guān)村信息安全測(cè)評(píng)聯(lián)盟）頒發(fā)的《信息/網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)師證書》，項(xiàng)目組成至少包括五名測(cè)評(píng)師，分別為一名高級(jí)測(cè)評(píng)師、一名中級(jí)測(cè)評(píng)師和兩名初級(jí)測(cè)評(píng)師，一名質(zhì)量監(jiān)督人員；現(xiàn)場(chǎng)測(cè)評(píng)人員不少于四名測(cè)評(píng)師，至少包括一名高級(jí)測(cè)評(píng)師，一名中級(jí)測(cè)評(píng)師，兩名初級(jí)測(cè)評(píng)師。2、投標(biāo)人如在南寧設(shè)有常駐的機(jī)構(gòu)提供本地化服務(wù)，請(qǐng)?zhí)峁?/p>