黃埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)

黃埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)2020年安全等級(jí)保護(hù)三級(jí)復(fù)評(píng)及相關(guān)服務(wù)采購(gòu)需求項(xiàng)目概況、目標(biāo)為貫徹落實(shí)國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)制度有關(guān)要求，進(jìn)一步增強(qiáng)“黃埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)”的安全防護(hù)能力，確保系統(tǒng)安全穩(wěn)定運(yùn)行，黃埔區(qū)衛(wèi)生健康局組織開(kāi)展該系統(tǒng)2020年度的安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)工作?！包S埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)”由黃埔區(qū)衛(wèi)生健康局牽頭于2018年建設(shè)，系統(tǒng)承建開(kāi)發(fā)單位為東軟集團(tuán)股份有限公司，整個(gè)系統(tǒng)包含多個(gè)業(yè)務(wù)應(yīng)用子系統(tǒng)，各子系統(tǒng)使用統(tǒng)一的數(shù)據(jù)庫(kù)。該系統(tǒng)整體部署于廣州市政府信息化云服務(wù)平臺(tái)（市政務(wù)云），并于2019年實(shí)施并通過(guò)了安全等級(jí)保護(hù)三級(jí)測(cè)評(píng)。本次為開(kāi)展該系統(tǒng)的年度復(fù)評(píng)工作。依據(jù)參考《中華人民共和國(guó)網(wǎng)絡(luò)安全法》；《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》；《信息安全等級(jí)保護(hù)管理辦法》；GB/T22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》GBT28448-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》GBT25070-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》業(yè)務(wù)應(yīng)用軟件清單“黃埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)”包含的各業(yè)務(wù)應(yīng)用軟件子系統(tǒng)及其相關(guān)外部接口是本次測(cè)評(píng)的軟件范圍，具體如下：系統(tǒng)名稱子系統(tǒng)定級(jí)情況黃埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)1社區(qū)衛(wèi)生云HIS系統(tǒng)三級(jí)2社區(qū)衛(wèi)生云EMR系統(tǒng)3社區(qū)衛(wèi)生云LIS系統(tǒng)4社區(qū)衛(wèi)生云PACS系統(tǒng)5社區(qū)衛(wèi)生云公共衛(wèi)生系統(tǒng)6家庭醫(yī)生簽約服務(wù)系統(tǒng)7社區(qū)衛(wèi)生績(jī)效考核系統(tǒng)8社區(qū)衛(wèi)生云體檢系統(tǒng)9領(lǐng)導(dǎo)查詢系統(tǒng)10移動(dòng)預(yù)約醫(yī)療及查詢服務(wù)項(xiàng)目具體服務(wù)內(nèi)容（一）等級(jí)保護(hù)流程輔助服務(wù)：協(xié)助采購(gòu)人完成項(xiàng)目范圍內(nèi)各業(yè)務(wù)應(yīng)用軟件系統(tǒng)的等保測(cè)評(píng)資產(chǎn)收集、資料準(zhǔn)備、項(xiàng)目整體協(xié)調(diào)等工作。（二）風(fēng)險(xiǎn)梳理服務(wù)：為采購(gòu)人提供項(xiàng)目范圍內(nèi)各業(yè)務(wù)應(yīng)用軟件系統(tǒng)的資產(chǎn)核查、風(fēng)險(xiǎn)識(shí)別服務(wù)。判定各系統(tǒng)安全防護(hù)能力是否能達(dá)到安全保護(hù)等級(jí)第三級(jí)的要求，并提交《整改問(wèn)題清單》。（三）等級(jí)保護(hù)整改、加固服務(wù)：根據(jù)風(fēng)險(xiǎn)梳理后生成的《整改問(wèn)題清單》，向采購(gòu)人給出完整、可操作的安全整改建議；為采購(gòu)人提供操作系統(tǒng)、網(wǎng)絡(luò)安全設(shè)備、數(shù)據(jù)庫(kù)方面的技術(shù)整改加固服務(wù)；協(xié)助指導(dǎo)采購(gòu)人開(kāi)展管理整改加固，建立及完善網(wǎng)絡(luò)信息安全各項(xiàng)管理制度。整改加固直至滿足通過(guò)等級(jí)保護(hù)三級(jí)測(cè)評(píng)的要求。本整改加固服務(wù)不涉及：應(yīng)用軟件程序整改及硬件設(shè)備采購(gòu)。（四）等級(jí)保護(hù)測(cè)評(píng)服務(wù)：委托廣東省內(nèi)的具有國(guó)家網(wǎng)絡(luò)安全等級(jí)保護(hù)協(xié)調(diào)小組辦公室所頒發(fā)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)推薦證書(shū)的機(jī)構(gòu)實(shí)施“黃埔區(qū)社區(qū)衛(wèi)生服務(wù)信息云系統(tǒng)”的具體等級(jí)保護(hù)測(cè)評(píng)服務(wù)。并提交《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告》，按要求向廣州市網(wǎng)監(jiān)部門(mén)備案，最終獲取備案證書(shū)。（五）測(cè)評(píng)期間安全事件分析服務(wù)：測(cè)評(píng)工作開(kāi)展期間，如出現(xiàn)針對(duì)被測(cè)系統(tǒng)的安全事件，服務(wù)單位須使用專業(yè)調(diào)查處置工具對(duì)安全事件進(jìn)行調(diào)查處置，建立安全事件知識(shí)庫(kù)，對(duì)安全事件進(jìn)行溯源及分析，并出具《安全事件調(diào)查報(bào)告》。（六）源代碼審計(jì)服務(wù)：提供針對(duì)被測(cè)系統(tǒng)的源代碼審計(jì)服務(wù)，通過(guò)專業(yè)設(shè)備進(jìn)行源代碼審計(jì)，利用特有的軟件安全漏洞規(guī)則集全面匹配、查找，排查源代碼中存在的安全漏洞，并整理提交相關(guān)報(bào)告。項(xiàng)目配套要求測(cè)評(píng)工具要求本項(xiàng)目在實(shí)施過(guò)程中應(yīng)包含如下可用工具：1、網(wǎng)絡(luò)安全事件調(diào)查處置系統(tǒng)，2、網(wǎng)絡(luò)邊界完整性檢查工具，3、網(wǎng)絡(luò)回溯分析系統(tǒng)網(wǎng)絡(luò)通信審計(jì)工具。且可能用到的所有測(cè)評(píng)工具和軟件（包括但不限于上述3種）均不需采購(gòu)人再額外購(gòu)買(mǎi)，均由中標(biāo)人提供。投標(biāo)人在保證所有測(cè)評(píng)工具和軟件可用性、可靠性的同時(shí)，必須承諾其工具和軟件不會(huì)產(chǎn)生所有權(quán)和知識(shí)產(chǎn)權(quán)糾紛，如由此產(chǎn)生的一切責(zé)任由投標(biāo)人負(fù)完全責(zé)任。相關(guān)工具詳細(xì)要求如下：工具名稱工具要求網(wǎng)絡(luò)安全事件調(diào)查處置系統(tǒng)工具支持將攻擊者攻擊行為進(jìn)行回溯，包括掃描網(wǎng)站、發(fā)現(xiàn)漏洞、發(fā)起攻擊、入侵主機(jī)、高危后果、清除痕跡共6個(gè)過(guò)程（需提供產(chǎn)品功能截圖）。支持知識(shí)庫(kù)管理，主要包括：漏洞庫(kù)、惡意程序樣本庫(kù)、網(wǎng)絡(luò)安全事件處置知識(shí)庫(kù)、調(diào)查處置工具庫(kù)4個(gè)功能。工具廠家的信息安全等級(jí)保護(hù)綜合管理系統(tǒng)通過(guò)公安部的檢測(cè)(需提供公安部信息安全產(chǎn)品檢測(cè)中心的檢測(cè)報(bào)告的關(guān)鍵頁(yè)并加蓋廠家公章)。網(wǎng)絡(luò)邊界完整性檢查系統(tǒng)工具具備中華人民共和國(guó)公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》及具有國(guó)家版權(quán)局頒發(fā)的軟件著作權(quán)登記證書(shū)。應(yīng)能夠?qū)Ψ鞘跈?quán)設(shè)備私自聯(lián)到內(nèi)部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷；應(yīng)能夠?qū)?nèi)部網(wǎng)絡(luò)用戶私自聯(lián)到外部網(wǎng)絡(luò)的行為進(jìn)行檢查，準(zhǔn)確定出位置，并對(duì)其進(jìn)行有效阻斷。網(wǎng)絡(luò)回溯分析系統(tǒng)網(wǎng)絡(luò)通信審計(jì)工具工具商為中國(guó)境內(nèi)注冊(cè)，產(chǎn)品擁有自主知識(shí)產(chǎn)權(quán)，并且為國(guó)內(nèi)研發(fā)和生產(chǎn)，具有公安部頒發(fā)的《計(jì)算機(jī)信息系統(tǒng)安全專用產(chǎn)品銷售許可證》；具有《計(jì)算機(jī)軟件著作權(quán)登記證書(shū)》；具有軟件能力成熟度集成模型（CMMI）3級(jí)或者3級(jí)以上認(rèn)證證書(shū)；工具具有專業(yè)檢測(cè)能力，提供工具原廠商自2018年連續(xù)2年進(jìn)入GratnerNPMD領(lǐng)域魔力象限報(bào)告。需提供截圖和Gartner網(wǎng)站鏈接。網(wǎng)絡(luò)回溯分析系統(tǒng)支持?jǐn)?shù)據(jù)包秒級(jí)解碼分析（提供蓋章截圖）。進(jìn)度要求項(xiàng)目啟動(dòng)會(huì)后5個(gè)工作日內(nèi)，提交詳細(xì)實(shí)施計(jì)劃。實(shí)施計(jì)劃經(jīng)采購(gòu)人確定后15個(gè)工作日內(nèi)完成風(fēng)險(xiǎn)梳理，提交《整改問(wèn)題清單》。提交《整改問(wèn)題清單》后20個(gè)工作日內(nèi)完成本次項(xiàng)目要求的整改加固工作，提交符合等級(jí)保護(hù)要求的管理制度及相關(guān)整改加固截圖。待采購(gòu)人完成全部整改后40個(gè)工作日內(nèi)完成等保測(cè)評(píng)、《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告》及向廣州市網(wǎng)監(jiān)部門(mén)的備案。資金計(jì)劃及驗(yàn)收要求本項(xiàng)目最高限價(jià)為：人民幣14.438萬(wàn)元。合同簽訂后，采購(gòu)人向中標(biāo)人支付項(xiàng)目合同總金額的50%；完成測(cè)評(píng)工作，獲得廣州市網(wǎng)監(jiān)部門(mén)出具的備案證書(shū)或回執(zhí)后，采購(gòu)人進(jìn)行項(xiàng)目驗(yàn)收，向中標(biāo)人支付項(xiàng)目合同總金額的50%尾款。安全保密要求投標(biāo)人應(yīng)當(dāng)提供與采購(gòu)人的保密協(xié)議草擬本，并在中標(biāo)后與采購(gòu)人簽署保密協(xié)議，對(duì)于因?qū)嵤┌踩?wù)所獲取的相關(guān)信息進(jìn)行嚴(yán)格保密，未經(jīng)采購(gòu)人授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)、信息進(jìn)行任何侵害投標(biāo)人信息系統(tǒng)的行為。服務(wù)中產(chǎn)生的全部檔案資料版權(quán)歸采購(gòu)人所有，未經(jīng)采購(gòu)人允許，不得以任何形式向第三方提供安全技術(shù)文檔的全部或部分內(nèi)容。評(píng)標(biāo)規(guī)則評(píng)審方法：綜合評(píng)分法評(píng)審小組在投標(biāo)人滿足采購(gòu)文件實(shí)質(zhì)性要求前提下，對(duì)其技術(shù)服務(wù)、商務(wù)、價(jià)格三部分進(jìn)行綜合評(píng)審評(píng)分，以綜合總得分從高到低的排名順序，綜合總得分排第1名的投標(biāo)人為中標(biāo)候選人。當(dāng)綜合評(píng)價(jià)總得分相同時(shí)，依次序分別以投標(biāo)人報(bào)價(jià)、技術(shù)服務(wù)評(píng)價(jià)、商務(wù)評(píng)價(jià)的優(yōu)劣，從中擇優(yōu)確定中標(biāo)候選人。評(píng)分比重如下：評(píng)分內(nèi)容技術(shù)服務(wù)部分商務(wù)部分價(jià)格部分權(quán)重50%30%20%量化評(píng)審內(nèi)容如下：1、技術(shù)服務(wù)部分（權(quán)重50%）:分項(xiàng)內(nèi)容分值項(xiàng)目工具可使用情況評(píng)價(jià)針對(duì)投標(biāo)人就本次項(xiàng)目所提供的工具，綜合評(píng)價(jià)其科學(xué)、合理、符合本次項(xiàng)目服務(wù)需求書(shū)情況。橫向比較：優(yōu)16-20分；良11-15分；一般6-10分，差0-5分20分投標(biāo)方案綜合評(píng)價(jià)針對(duì)投標(biāo)人就本次項(xiàng)目所提供技術(shù)方案，綜合評(píng)價(jià)其對(duì)需開(kāi)展等保測(cè)評(píng)、等保整改內(nèi)容的理解情況，方案的詳細(xì)、完整、計(jì)劃性、所用流程方法的可操作性等情況。橫向比較：優(yōu)16-20分；良11-15分；一般6-10分，差0-5分20分本地化服務(wù)評(píng)價(jià)綜合評(píng)價(jià)投標(biāo)人對(duì)服務(wù)質(zhì)量、到場(chǎng)服務(wù)響應(yīng)時(shí)間、售后服務(wù)等情況的承諾和設(shè)計(jì)：優(yōu)得8-10分；良得5-7分；一般2-4分，差得0-1分10分2、商務(wù)部分（權(quán)重30%）:分項(xiàng)內(nèi)容分值投標(biāo)人企業(yè)資質(zhì)投標(biāo)人企業(yè)資質(zhì)，最高10分，最低0分1）公安部門(mén)或省級(jí)協(xié)會(huì)頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全服務(wù)等級(jí)證書(shū)2）ISO9001質(zhì)量管理體系認(rèn)證證書(shū)3）省級(jí)或以上電子政務(wù)協(xié)會(huì)頒發(fā)的電子政務(wù)服務(wù)能力等級(jí)證書(shū)4）廣東省內(nèi)測(cè)評(píng)機(jī)構(gòu)合作伙伴5）中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的“信息系統(tǒng)安全運(yùn)維”服務(wù)資質(zhì)三級(jí)6）中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的“信息安全風(fēng)險(xiǎn)評(píng)估”服務(wù)資質(zhì)三級(jí)7）中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的“信息系統(tǒng)安全集成”服務(wù)資質(zhì)三級(jí)8）稅務(wù)局頒發(fā)的納稅信用A級(jí)及以上9）廣東省“守合同重信用”企業(yè)說(shuō)明：1、以上9項(xiàng)須提供證書(shū)復(fù)印件，全部滿足得10分，滿足任意7項(xiàng)得5分，滿足任意4項(xiàng)得3分，滿足任意2項(xiàng)得1分，其余不得分。2、以上證書(shū)均須在有效期范圍內(nèi)，如證書(shū)沒(méi)有設(shè)置有效期要求的，則視為長(zhǎng)期有效。10分等保整改測(cè)評(píng)服務(wù)業(yè)績(jī)情況評(píng)價(jià)對(duì)投標(biāo)人2016年1月1日至今的同類網(wǎng)絡(luò)安全等級(jí)保護(hù)整改及測(cè)評(píng)服務(wù)相關(guān)案例進(jìn)行評(píng)分；橫向比較：優(yōu)得10分；良得8分；一般5分，差得0分。說(shuō)明：提供項(xiàng)目合同主要頁(yè)復(fù)印件。10分投標(biāo)人擬派本項(xiàng)目現(xiàn)場(chǎng)負(fù)責(zé)人資質(zhì)投標(biāo)人擬派本項(xiàng)目現(xiàn)場(chǎng)負(fù)責(zé)人資質(zhì)，最高10分，最低0分。1）注冊(cè)信息安全專業(yè)人員證書(shū)（CISP）2）公安部信息安全等級(jí)保護(hù)評(píng)估中心頒發(fā)的國(guó)家重要信息系統(tǒng)人員保護(hù)證書(shū)3）工業(yè)互聯(lián)網(wǎng)安全評(píng)估師初級(jí)或以上證書(shū)（CIISA）4）信息網(wǎng)絡(luò)安全專業(yè)技術(shù)人員繼續(xù)教育證書(shū)5）公安部信息安全等級(jí)保護(hù)測(cè)評(píng)中心頒發(fā)的信息安全等級(jí)測(cè)評(píng)師證書(shū)說(shuō)明：1、以上5項(xiàng)全部滿足得10分，滿足任意4項(xiàng)得7分，滿足任意3項(xiàng)得5分，滿足2項(xiàng)得2分，其余不得分。2、以上證書(shū)均須在有效期范圍內(nèi)，如證書(shū)沒(méi)有設(shè)置有效期要求的，則視為長(zhǎng)期有效。3