臨沂中醫(yī)醫(yī)院信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目

1、臨沂市中醫(yī)醫(yī)院信息安全等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目集中競(jìng)價(jià)采購(gòu)須知為了公開(kāi)、公平、公正地集中競(jìng)價(jià)采購(gòu)，本著合理、競(jìng)爭(zhēng)、經(jīng)濟(jì)的原則，我院擬對(duì)本次采購(gòu)活動(dòng)參照招標(biāo)形式進(jìn)行集中競(jìng)價(jià)，相關(guān)事項(xiàng)如下：第一部分 項(xiàng)目要求一、項(xiàng)目背景為了提高信息系統(tǒng)的安全保護(hù)水平，按照國(guó)家法律法規(guī)和有關(guān)部門相關(guān)要求，聘請(qǐng)第三方專業(yè)機(jī)構(gòu)，在全面了解臨沂市中醫(yī)院現(xiàn)有信息化現(xiàn)況的基礎(chǔ)上，開(kāi)展信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)工作。通過(guò)本次工作，發(fā)現(xiàn)信息系統(tǒng)中存在的安全風(fēng)險(xiǎn)，分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準(zhǔn)內(nèi)容要求的符合性情況，完善工作制度，提出安全建設(shè)加固建議。切實(shí)加強(qiáng)信息安全防范水平，提高系統(tǒng)抵御風(fēng)險(xiǎn)的能力。二、項(xiàng)目目標(biāo)、內(nèi)容按照國(guó)家等

2、級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和要求，對(duì)其HIS、電子病歷系統(tǒng)（三級(jí)）、PACS和網(wǎng)站（二級(jí)）安全等級(jí)保護(hù)測(cè)評(píng)工作，找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo)準(zhǔn)要求之間的差距，遵循適度原則，提出切實(shí)可行的整改建議，完成等級(jí)保護(hù)測(cè)評(píng)報(bào)告，并提供后續(xù)檢測(cè)服務(wù)。三、項(xiàng)目實(shí)施參照法律法規(guī)及標(biāo)準(zhǔn)Ø 網(wǎng)絡(luò)安全法Ø 公安部、國(guó)家保密局、國(guó)際密碼管理局、國(guó)務(wù)院信息化工作辦公室聯(lián)合轉(zhuǎn)發(fā)的關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見(jiàn)（公通字200466號(hào)）；Ø 公安部、國(guó)家保密局、國(guó)家密碼管理局、國(guó)務(wù)院信息化工作辦公室制定的信息安全等級(jí)保護(hù)管理辦法（公通字 200743號(hào)）。Ø 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)基本要求

3、（ GB/T22239-2008） Ø 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南（GB/T 22240-2008）Ø 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南Ø 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)要求Ø 信息安全技術(shù) 信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南Ø 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則（GB 17859-1999）Ø 信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求（GB/T20271-2006）Ø 信息安全技術(shù) 網(wǎng)絡(luò)基礎(chǔ)安全技術(shù)要求（GB/T 20270-2006）Ø 信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求（GB/T

4、 20272-2006）Ø 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求（GB/T20273-2006）Ø 信息安全技術(shù) 服務(wù)器技術(shù)要求（GB/T 21028-2007）Ø 信息安全技術(shù) 終端計(jì)算機(jī)系統(tǒng)安全等級(jí)技術(shù)要求（GA/T 671-2006）Ø 信息安全技術(shù) 信息系統(tǒng)安全管理要求（GB/T20269-2006）Ø 信息安全技術(shù) 信息系統(tǒng)安全工程管理要求（GB/T20282-2006）Ø GB/T 18336-2001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評(píng)估準(zhǔn)則四、項(xiàng)目?jī)?nèi)容1. 等級(jí)測(cè)評(píng)通過(guò)詳細(xì)的系統(tǒng)調(diào)研，開(kāi)展對(duì)其HIS、LIS系統(tǒng)

5、（三級(jí)）、PACS和網(wǎng)站（二級(jí)）的等級(jí)保護(hù)測(cè)評(píng)工作，找出安全現(xiàn)狀與標(biāo)準(zhǔn)要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作。最終完成等級(jí)保護(hù)測(cè)評(píng)報(bào)告。 測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容：Ø 安全技術(shù)測(cè)評(píng)：包括物理安全、網(wǎng)絡(luò)安全、主機(jī)系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個(gè)方面的安全測(cè)評(píng)；Ø 安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。（1）、物理安全根據(jù)臨沂市中醫(yī)院信息系統(tǒng)機(jī)房和現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)機(jī)房和現(xiàn)場(chǎng)在“物理位置選擇”、“物理訪問(wèn)控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防

6、潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。中標(biāo)人出具加蓋CNAS章的機(jī)房檢測(cè)報(bào)告。（2）、網(wǎng)絡(luò)安全根據(jù)臨沂市中醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)記錄，針對(duì)網(wǎng)絡(luò)方面在“結(jié)構(gòu)安全”、“訪問(wèn)控制”、“安全審計(jì)”、“邊界完整性檢查”、“入侵防范”、“惡意代碼防范”、“網(wǎng)絡(luò)設(shè)備防護(hù)”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（3）、主機(jī)安全主機(jī)安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“入侵防護(hù)”、“惡意代碼防護(hù)”

7、、“資源控制”。（4）、應(yīng)用安全應(yīng)用安全現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)臨沂市中醫(yī)院信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、“剩余信息保護(hù)”、“通信完整性”、“通信保密性”、“抗抵賴”、“軟件容錯(cuò)”、“資源控制”方面。（5）、數(shù)據(jù)安全及備份恢復(fù)臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場(chǎng)測(cè)評(píng)包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個(gè)方面的測(cè)評(píng)。（6）、安全管理制度根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在安全管理制度方面的“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（7）、安全管理機(jī)構(gòu)根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂

8、市中醫(yī)院信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（8）、人員安全管理根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“人員考核”、“安全意識(shí)教育和培訓(xùn)”以及“外部人員訪問(wèn)管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（9）、系統(tǒng)建設(shè)管理根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購(gòu)和使用”、“自行軟件開(kāi)發(fā)”、“外包軟件開(kāi)發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”

9、、“系統(tǒng)備案”、“等級(jí)測(cè)評(píng)”以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。（10）、系統(tǒng)運(yùn)維管理根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備管理”、 “網(wǎng)絡(luò)安全管理”、“系統(tǒng)安全管理”、“惡意代碼防范管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”以及“應(yīng)急預(yù)案管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。通過(guò)現(xiàn)場(chǎng)測(cè)評(píng)，逐項(xiàng)找出系統(tǒng)現(xiàn)狀與國(guó)家相關(guān)標(biāo)準(zhǔn)要求之間的差距，進(jìn)行逐項(xiàng)分析、整體分析，給出差距分析報(bào)告，并給出整改建議方案。待整改完畢后，進(jìn)行結(jié)果確認(rèn)，完成信息安全

10、等級(jí)保護(hù)測(cè)評(píng)，出具測(cè)評(píng)報(bào)告，并將測(cè)評(píng)報(bào)告報(bào)當(dāng)?shù)毓矙C(jī)關(guān)備案。2. 安全管理體系咨詢協(xié)助建立符合等級(jí)保護(hù)要求的信息安全管理體系，包含信息安全方針、信息安全策略、運(yùn)行管理制度和運(yùn)維管理制度。并參照國(guó)際標(biāo)準(zhǔn)體系ISO 27001和ISO 20000制定相應(yīng)流程，促進(jìn)臨沂市中醫(yī)院信息安全管理工作。3. 安全監(jiān)測(cè)提供門戶網(wǎng)站7*24小時(shí)網(wǎng)站安全監(jiān)測(cè)，對(duì)網(wǎng)站頁(yè)面掛馬、篡改等事件實(shí)時(shí)監(jiān)測(cè)，發(fā)現(xiàn)問(wèn)題及時(shí)通報(bào)相關(guān)人員，并安排人員及時(shí)處理。4. 應(yīng)急支援服務(wù)期內(nèi)提供不限次數(shù)的應(yīng)急支援服務(wù)，針對(duì)發(fā)生的事件協(xié)助分析事件原因，查找問(wèn)題，并提供安全加固建議。5. 安全培訓(xùn)組織技術(shù)培訓(xùn)，對(duì)臨沂市中醫(yī)院的技術(shù)人員進(jìn)行等級(jí)保護(hù)

11、、安全技術(shù)和項(xiàng)目部署要求等內(nèi)容培訓(xùn)。技術(shù)培訓(xùn)應(yīng)從實(shí)際應(yīng)用出發(fā)，涵蓋網(wǎng)絡(luò)安全的如下方面：基礎(chǔ)設(shè)施運(yùn)行安全培訓(xùn)、網(wǎng)絡(luò)安全縱深防御體系培訓(xùn)、操作系統(tǒng)安全加固技術(shù)培訓(xùn)、應(yīng)用系統(tǒng)滲透測(cè)試檢測(cè)與加固培訓(xùn)、數(shù)據(jù)庫(kù)安全管理培訓(xùn)、27001安全管理體系培訓(xùn)等。6.信息安全風(fēng)險(xiǎn)評(píng)估按照GB-T20984-2007信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范標(biāo)準(zhǔn)和要求，對(duì)信息系統(tǒng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，明確信息系統(tǒng)安全風(fēng)險(xiǎn)，提出合理的、滿足等級(jí)保護(hù)要求的總體建設(shè)和管理規(guī)劃，并制定安全實(shí)施計(jì)劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實(shí)施。五、成果交付該項(xiàng)目提交的文檔至少包括如下文件：1、 臨沂市中醫(yī)院XX信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)方案2、 臨沂市中醫(yī)院XX系統(tǒng)信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告3、 臨沂市中醫(yī)院XX信息安全管理制度匯編4、 信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告5、 信息安全整改方案第二部分 投標(biāo)方資質(zhì)要求1、企業(yè)法人營(yíng)業(yè)執(zhí)照副本復(fù)印件（蓋章）。2、法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。3、投標(biāo)公司具有信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的國(guó)家相關(guān)資質(zhì)，有專業(yè)技術(shù)檢測(cè)項(xiàng)目組，其中有高級(jí)測(cè)評(píng)師及中級(jí)測(cè)評(píng)師，參與技術(shù)檢測(cè)的人員均為中國(guó)公民，無(wú)違法犯罪記錄并簽訂安全保密協(xié)議。4、同類項(xiàng)目近幾年的業(yè)績(jī)情況及客