驻马店市中医院信息系统安全等级保护采购项目招标公告
驻马店市中医院项目建设资金来自自筹,项目已具备自主招标条件,现对该项目进行公开招标,欢迎符合相关条件的企业参加投标。
一、 项目概况和招标范围
1、项目名称:信息系统安全等级保护采购项目
2、招标编号:【2021】Z-007
3、招标方式:公开招标
4、项目概况:根据国家网络安全法和卫生部、公安厅相关文件要求,我院拟对医院信息系统进行安全等级保护测评
二、投标申请人资格要求:
1、具有独立的法人资格,能提供有效的企业法人营业执照(营业执照的经验范围必须涵盖计算机设备),税务登记证、组织机构代码证或三证合一证明文件,有能力提供招标货物及服务的生产商或代理商。
2、具有有效的营业执照,且经营范围覆盖等保测评业务。具有国家网络安全等级保护协调小组颁发的《网络安全等级保护测评机构推荐证书》,并在有效期内。属于《全国信息安全等级保护测评机构推荐目录》推荐单位,并在中国信息安全等级保护网可查。
3、本项目测评人员必须具有信息安全保护测评人员、信息安全专业人员(CISP)要有从业资格证书。具备河南本地化服务能力,在河南本地有办事机构,提供证明。近3年有类似的业绩合同。
4、投标人及法定代表人等商业信誉良好,未被列入“信用中国”网站(www.creditchina.gov.cn)记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单;不处于中国政府采购网(www.ccgp.gov.cn)政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间(以在“信用中国”网站(www.creditchina.gov.cn)、中国政府采购网(www.ccgp.gov.cn)查询结果为准,(投标人出具网页截图加盖企业公章)。
5、本次招标不接受联合体投标,不允许转包和分包。
三、项目目标和内容
1、项目目标
按照信息安全等级保护定级标准和工作要求,开展信息系统安全等级专家评审和定级,针对现有信息系统进行评审定级,协助组织定级评审材料,重点对医院信息系统(HIS)、电子病历(EMR)、实验室信息管理系统(LIS)、医学影像系统(PACS)及医院综合管理系统(输血系统、心电网络系统、重症手术麻醉系统、体检系统、院感系统、临床急诊系统、规培系统、HERP系统、智能分诊系统、预约系统、随访系统、无纸化系统等医院现有系统)的信息系统的等级保护定级与备案工作。
按照国家和医疗卫生等级保护相关标准和要求,开展信息系统安全等级保护现状测评和等级测评工作,查找安全差距,提交差距分析报告、安全整改建议和等级测评报告;遵循适度安全原则,综合考量成本与效益因素,制定信息系统安全等级保护整改方案,指导整改工作。
按照信息系统安全等级保护的相关要求,梳理和完善。
信息安全管理制度和标准,健全和完善信息安全管理体系和技术保障体系。
通过等保测评对目标系统的安全状况作深入探测,发现系统脆弱的环节,反映网络所面临的问题与真实的安全现状,为医院关键信息业务系统的安全配置与管理提供指导建议。
2、项目内容
对医院重点信息系统(HIS)、电子病历(EMR)、实验室信息管理系统(LIS)、医学影像系统(PACS)及医院综合管理系统(输血系统、心电网络系统、重症手术麻醉系统、体检系统、院感系统、临床急诊系统、规培系统、HERP系统、智能分诊系统、预约系统、随访系统、无纸化系统等医院现有系统)进行现状评估,确定和相应等级之间的技术差距和管理制度差距,提交现状评估报告和安全建设整改方案;
信息安全建设整改,含安全管理制度整改和协助安全技术整改;
信息系统定级,并到公安机关备案,取得备案证明;
信息安全等级测评,并将测评报告到公安机关备案;
响应人须详细在方案中注明以上内容所需要的时间周期。
四、需遵循的政策法规及行业规范:
本项目实施过程中包括的所有设备、技术手段应遵照下列组织的适用标准和规范进行测评。所采用的标准和规范应为合同期间的最新有效版本。当参照的规范和标准与本规范书存在明显冲突时,响应人应向采购人指出冲突之处并取得采购人的书面意见。
1.《中华人民共和国保守国家秘密法》(1988年9月5日中华人民共和国主席令第6号公布)
2.《中华人民共和国保守国家秘密法实施办法》(国家保密局文件国保发[1990]1号)
3.《中华人民共和国国家安全法》(主席令68号,1993年2月22日第七届全国人民代表大会常务委员会第三十次会议通过)
4.《中华人民共和国计算机信息系统安全保护条例》(国务院令147号)
5.《计算机信息系统保密管理暂行规定》(国家保密局文件国保发[1998]1号)
6.《计算机信息系统国际联网保密管理规定》(国家保密局文件国保发[1999]1号)
7.《中华人民共和国计算机信息网络国际联网管理暂行规定》(国务院令195号)
8.《中华人民共和国计算机信息网络国际联网管理暂行规定实施办法》(1997年12月8日国务院信息化工作领导小组审定)
9.《计算机病毒防治管理办法》(2000年4月26日中华人民共和国公安部第51号令)
10.《计算机信息网络国际联网安全保护管理办法》(1997年12月11日国务院批准,1997年12月30日公安部发布)
11.《计算机信息系统安全专用产品分类原则》(1997年4月公安部发布)
12.《计算机信息系统安全保护等级划分准则》(1999年9月国家技术监督局发布)
13.《互联网站从事登载新闻业务管理暂行规定》(国务院新闻办公室和信息产业部11月7日联合发布)
14.《计算机信息系统安全等级保护划分准则》(GB/T17859-1999)
15.《计算机信息系统安全等级保护网络技术要求》(GA/T387-2002)
16.《计算机信息系统安全等级保护操作系统技术要求》(GA/T388-2002)
17.《计算机信息系统安全等级保护数据库管理系统技术要求》(GA/T389-2002)
18.《计算机信息系统安全等级保护通用技术要求》(GA/T390-2002)
19.《计算机信息系统安全等级保护管理要求》(GA/T391-2002)
20.《计算机机房场地安全要求》(GB9361-88)
21.《信息安全等级保护管理办法》(公通字[2007]43号)
22.《信息安全技术 信息系统安全等级保护实施指南》(GB/T25058-2010)
23.《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号)(含附件)
24.《信息安全技术 信息系统安全保护等级保护基本要求》(GB/T 22239-2019)
25.《信息安全技术网络安全等级保护测评要求》(GBT28448-2019)
26.《信息安全技术 网络安全等级保护测评过程指南》(GB-T 28449-2018)
27.《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》
28.《卫生部关于卫生行业信息安全等级保护工作的指导意见》
29.《医院信息系统基本功能规范》(卫生部)
30.《河南省医院信息化建设指南》
31.《河南省数字化医院建设指南》
32.《中华人民共和国网络安全法》(2017年6月1日正式施行)
33.《信息安全技术网络安全等级保护基本要求》2.0版本。(2019年12月1日正式实施)
五、项目建设内容
根据信息系统安全建设现状以及信息系统的重要程度,本次等级保护测评工作可为安全技术测评和安全管理测评两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个层面上的安全控制测评;安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评。详细内容包括但不限于以下内容:
1)安全物理环境
安全物理环境测评应评测信息系统的物理安全保障情况。主要涉及对象为机房。在内容上,物理安全层面测评实施过程应涉及10个工作单元,具体工作单元应包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。
2)安全通信网络
安全通信网络测评应通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为机房的网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上,测评过程应涉及网络架构、通信传输、可信验证3个工作单元的测评。
3)安全区域边界
安全区域边界的测评对象包括:网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件、终端管理系统或相关设备、网络拓扑和无线网络设备、抗APT攻击系统、网络回溯系统、威胁情报检测系统、抗DDoS攻击系统和入侵保护系统或相关组件、综合安全审计系统等。在内容上,测评师实施过程涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等6个工作单元的测评。
4)安全计算环境
安全计算环境测评应通过访谈、检查和测试的方式评测信息系统的主机安全保障情况。在内容上,主机系统安全层面测评实施过程应涉及身份鉴别、访问控制、安全审计、安全防范、剩余信息保护、恶意代码防范和资源控制身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等11个工作单元的测评。
5)安全管理中心
安全管理中心应通过访谈、检查和测试的方式评测信息系统的综合安全管理情况。在内容上,安全管理中心实施过程应涉及系统管理、审计管理、安全管理、集中管控4个工作单元的测评。
6)安全管理机构
安全管理机构测评应通过访谈和检查的形式评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上,安全管理机构测评实施过程应涉及岗位设置、人员配备、授权和审批、沟通与合作和审核与检查5个工作单元的测评。
7)安全管理制度
安全管理制度测评应通过访谈和检查的形式评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程应涉及安全策略、管理制度、制定和发布、评审和修订4个工作单元的测评。
8)人员安全管理
人员安全管理测评应通过访谈和检查的形式评测机构人员安全控制方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,人员安全管理测评实施过程应涉及人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个工作单元的测评。
9)安全建设管理
安全建设管理测评应通过访谈和检查的形式评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。 在内容上,系统建设管理测评实施过程应涉及系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务响应人管理10个工作单元的测评。
10)安全运维管理
安全运维管理测评应通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。 在内容上,系统运维管理测评实施过程应涉及环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防护管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处置、应急预案管理、外包运维管理15个工作单元的测评。
项目范围包括数据库系统、服务器、网络设备和安全设备,详见下表。
序号 | 系统名称 | 系统级别 | 数量 |
1 | 医院信息系统(HIS) | 三级 | 1 |
2 | 电子病历(EMR) | 三级 | 1 |
3 | 实验室信息管理系统(LIS) | 三级 | 1 |
4 | 医学影像管理系统(PACS) | 三级 | 1 |
5 | 医院综合管理系统 (包含的现有系统) | 二级 | 1 |
对驻马店市中医院的现有系统信息系统进行安全等级保护测评和验收测评工作。包括但不限于以下工作:
(1)记录各系统运行现状及安全状况
记录被测信息系统的基本情况(可参考信息系统安全等级保护备案表),包括但不限于:系统的运营使用单位、投入运行时间、承载的业务情况、系统服务情况以及定级情况。
(2)等级测评结果
对等级测评结果进行汇总统计(测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果);通过对信息系统基本安全保护状态的分析给出等级测评结论
(3)制定《系统等级测评报告》
列出被测信息系统中存在的主要问题以及可能造成的后果,制订《系统等级测评报告》。
(4)制定《系统安全建设、整改方案》
依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》各项要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全建设整改方案,方案内容包含但不限于:企业信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题。
(5)协助等保整改工作
针对系统存在的主要问题提出安全建设、整改建议,协助完成系统整改工作。
(6)制定《信息系统验收测评报告》
提交《信息系统验收测评报告》,报告须提交公安机关有关部门报备,协助办理备案证明。
六、项目要求
在安全等级测评过程中,每个工作阶段、流程、内容、及成果交付严格遵循《信息安全技术 信息系统安全等级保护测评要求》(国标报批稿)和《信息安全技术 信息系统安全等级保护测评过程指南》(国标报批稿)文件,根据本项目信息系统已完成的定级备案安全等级,开展相应级别的安全等级测评和风险评估工作,根据测评结果出具相应的单项和整体测评报告,测评报告需得到项目单位的确认,并报请省公安厅主管部门审核、批复。测评报告编制的内容及格式严格遵照《信息系统安全等级测评报告模版》(2019版)进行。
七、工作过程文件及项目交付成果(包括但不限于):
(1)不同测评阶段对应的各项文档(参照《信息安全技术 信息系统安全等级保护测评过程指南》),详见下表(包括但不限于):
项目阶段 | 交付成果 |
测评准备活动 | 项目计划书 被测系统基本情况分析报告 |
方案编制活动 | 测评指导书 信息系统安全测评方案 |
现场测评活动 | 测评结果记录 测评中发现的问题汇总 |
分析与报告编制活动 | 单项测评结果汇总分析 整体测评结果汇总分析 风险分析和评估 等级测评结论 信息系统安全等级测评报告 |
(2)安全等级测评整改技术方案。
安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。涉及所有被测评系统的安全整改方案,需包含如下内容:
方案分项 | 详细内容及要求 |
等级化安全保障建议方案 | 内容应包括但不限于以下方面: 1.安全区域和等级划分; 2.安全体系框架设计; 3.等级化安全指标体系报告。 |
安全体系建设建议方案 | 内容应包括但不限于以下方面: 1.网络面临风险分析; 2.针对性措施建议。 |
相关网络安全管理制度 | 内容应包括但不限于以下方面: 1.机房安全管理制度; 2.网络故障应急预案及应急方案流程制度; 3.客户端管理制度; 4.数据备份及恢复制度; 5.灾难恢复策略及制度。 |
(3)应当且可以向采购人提供不同测评阶段对应的各项文档,及最终的安全等级测评报告和风险评估报告,以及切实可行的安全防护整改建议书等。如:
1.信息安全等级测评报告;
2.测评过程中产生的各项文档;
3.其它文档;
交付要求:交付项目涉及的所有业务系统的安全等级测评整改技术方案对应的文档,及其对应的安全等级测评报告原件,协助办理完毕备案证明。
响应性文件必须实质性响应本项要求,编制详尽列表说明。
1、项目进度要求:40个工作日出备案证明。
2、实施基本要求:鉴于测评工作是对我单位信息系统的全面深入测试,实施工作带来安全性和可靠性要求,响应人必须逐条予以明确以下承诺:
(1)在测评过程中,当与其它应用系统(含硬件、集成平台、应用系统、数据库系统等)发生任何矛盾时(如协作冲突、技术分歧等),均应服从采购人的协调或裁决。
(2)响应人实行项目总负责人制,在项目验收前,响应人不得随意更换;如确需更换,需事先向采购人提交书面更换意见函,征得采购人同意答复后进行更换。
3、服务响应:响应人在本地设立服务单位和服务小组,必须对服务内容做出详细的实质性承诺:售后服务免费技术支持期、服务响应速度、服务模式、售后服务质量控制、客户培训等。所有的售后费用,必须计入投标总价。
九、投标人报名时需携带资料:
1、有效的企业营业执照、有效的组织机构代码证、有效的税务登记证或三证合一证明文件;
2、法定代表人授权书及法人、被授权人身份证
3、各类资质证明文件及售后服务承诺函
4、类似的业绩合同
注:以上证件资料报名时须携带复印件加盖公章,原件备查(只提供复印件的不予受理)。
十、报名时间、地点:
1、报名时间:2021年05月07日-2021年05月14日,上午8:00-11:30 下午15:00 -17:00(节假日除外);
2、报名地点:驻马店市中医院西办公区四楼招标办(中医院西边502院内金悦有限公司旁四层小楼四楼第一间办公室)
联 系 人:黎女士 电话:0396——2816819
十一、投标保证金
1、各投标单位于报名时需缴纳投标保证金3000元,中标单位将投标保证金转为履约保证金,不中标单位无息退回。
2、不按照招标程序履约的投标单位保证金概不退还。
3、投标保证金请以贵公司对公账户存入我院账户,不能以个人名义存入。
请将投标保证金存入我院以下账户:
账户名:驻马店市中医院
开户行:中原银行广场支行
账号:4117 1501 0110 0148 01
十二、投标文件要求说明
本项目不另发放招标文件,投标人应自行编写投标文件,投标文件应包括以下内容:
1、投标文件的组成
1.1、投标人须提供标书一正七副,如投标文件中正本与副本有不同之处,以正本为准
1.2、投标文件正本须由投标企业的法人代表或授权人签字并加盖公章,授权委托书(原件),副本可复印
1.3、投标文件正本与副本均应使用A4张打印并胶印装订,胶装标书的封面应标明文件项目名称,项目编号,企业名称
2、投标文件的内容
2.1、投标书文件清单及页码索引、投标声明、廉政承诺书。
2.2、报价表,提供完备的维保方案
2.3、营业执照,税务登记、法定代表人有效身份证复印件、法定代表人委托书及有效身份证复印件
2.4、有关资质证书,优惠承诺书及售后服务承诺
2.5、提供近6个月以来依法缴纳职工社会保障资金的证明材料(社会保险基金管理部门出具的缴款凭证或缴款证明原件,复印件需加盖投标单位公章)。
2.6、近几年的审计报告,商业信誉查询结果
驻马店市中医院
2021年05月07日