醫(yī)院信息化等保測評需求

醫(yī)院信息化等保測評需求一、建設(shè)背景等級保護是國家關(guān)于信息安全的基本政策，《關(guān)于加強信息安全保障工作的意見》明確要求我國信息安全保障工作實行等級保護制度，提出“抓緊建立信息安全等級保護制度，制定信息安全等級保護的管理辦法和技術(shù)指南”。人民醫(yī)院準備對全院開展信息系統(tǒng)定級備案工作，并根據(jù)定級結(jié)果對已定級信息系統(tǒng)實施等級保護定級及測評工作。（二）概述2.1本技術(shù)條款是招標人對信息系統(tǒng)進行安全等級保護測評的主要技術(shù)服務(wù)要求，供編寫報價文件之用。2.2本技術(shù)條款所提出的各項要求，是本次信息系統(tǒng)安全等級保護測評依據(jù)，應(yīng)根據(jù)本文件中的相關(guān)說明和要求，提供測評方案和報價。2.3在測評方案書中，對能提供的信息系統(tǒng)安全等級保護測評進行詳細說明，可根據(jù)具體情況在項目方案中提出建議，并附詳細資料和說明。2.4應(yīng)對提供測評服務(wù)時所使用的設(shè)備及軟件保證擁有設(shè)備軟硬件的知識產(chǎn)權(quán)和所有權(quán)，并對所涉及的專利、知識產(chǎn)權(quán)等法律條款承擔(dān)義務(wù)，招標人以上問題不承擔(dān)任何法律責(zé)任。2.5若設(shè)備和系統(tǒng)包含自己的專用標準，應(yīng)在建議書中具體說明，并附上相應(yīng)的詳細技術(shù)資料。2.6招標人在任何時候保留對本文件的解釋和修改權(quán)，招標人有權(quán)在簽定合同前，根據(jù)需要修改和補充本技術(shù)條款，修改補充后的最終規(guī)范書將作為合同的附件。（三）項目工作內(nèi)容3．1根據(jù)相關(guān)文件及標準要求，對人民醫(yī)院的業(yè)務(wù)信息系統(tǒng)進行分類和梳理、信息系統(tǒng)定級及備案、等級測試。其中包含且不僅僅包含以下信息系統(tǒng)：序號系統(tǒng)名稱簡述1基礎(chǔ)網(wǎng)絡(luò)系統(tǒng)3級2面向病人的業(yè)務(wù)系統(tǒng)3級3門戶網(wǎng)站系統(tǒng)2級3.2工作內(nèi)容：3.2.1業(yè)務(wù)系統(tǒng)分類及梳理：對以上信息系統(tǒng)進行分析、梳理和分類，業(yè)務(wù)梳理需清晰明了。3.2.2信息系統(tǒng)定級及備案：根據(jù)系統(tǒng)分類和梳理的結(jié)果，對信息系統(tǒng)進行定級，并根據(jù)信息系統(tǒng)所定級別協(xié)助用戶進行備案，系統(tǒng)分類定級需科學(xué)準確。3.2.3信息安全等級保護測評：根據(jù)用戶單位信息系統(tǒng)的保護等級，并依據(jù)《GB/T22239-2019信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》、《信息系統(tǒng)安全等級保護測評準則（送審稿）》的條款要求，逐一對信息系統(tǒng)的安全保護等級進行測評，測評的內(nèi)容包括但不限于以下內(nèi)容：(1)安全技術(shù)測評：包括物理安全、網(wǎng)絡(luò)安全、主機系統(tǒng)安全、應(yīng)用安全和數(shù)據(jù)安全等五個方面的安全測評；(2)安全管理測評：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。3.2.4等級保護測評：根據(jù)用戶單位信息系統(tǒng)的保護等級，并依據(jù)信息安全等級保護工作有關(guān)規(guī)定，對本項目中已定級的系統(tǒng)提供測評服務(wù)。（四）項目要求及服務(wù)內(nèi)容編號項目要求及服務(wù)內(nèi)容(一)依據(jù)標準1.1投標供應(yīng)商應(yīng)依據(jù)國家等級保護相關(guān)標準開展工作，依據(jù)標準（包括但不限于）如下國家標準：GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求；GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求。(二)測評內(nèi)容2.1根據(jù)國家等級保護相關(guān)標準，投標供應(yīng)商對信息系統(tǒng)完成測評。信息系統(tǒng)安全等級保護測評的內(nèi)容（包括但不限于）以下內(nèi)容：根據(jù)用戶單位信息系統(tǒng)的保護等級，并依據(jù)GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求的條款要求，全面分析應(yīng)用系統(tǒng)的安全保護措施與等級保護相應(yīng)級別之間的差距，進行合規(guī)性分析，為系統(tǒng)等級保護加固整改提供客觀依據(jù)，配合委托方督促集成商根據(jù)安全改進建議進行適度加固整改，測評的內(nèi)容包括但不限于以下內(nèi)容：安全通用要求（安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理）及擴展項要求。(三)技術(shù)服務(wù)3.1測評應(yīng)滿足的原則3.1.1保密原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害采購人的行為，否則采購人有權(quán)追究投標供應(yīng)商的責(zé)任。3.1.2標準性原則：測評方案的設(shè)計與實施應(yīng)依據(jù)國家等級保護的相關(guān)標準進行。3.1.3規(guī)范性原則：投標供應(yīng)商的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制。3.1.4可控性原則：測評服務(wù)的進度要跟上進度表的安排，保證采購人對于測評工作的可控性。3.1.5整體性原則：測評的范圍和內(nèi)容應(yīng)當整體全面，包括國家等級保護相關(guān)要求涉及的各個層面。3.1.6最小影響原則：測評工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測評工作不能對現(xiàn)有信息系統(tǒng)的正常運行、業(yè)務(wù)的正常開展產(chǎn)生任何影響。3.2安全測評報告3.2.1投標供應(yīng)商應(yīng)對采購人的信息系統(tǒng)進行等級保護測評，形成相應(yīng)的報告。3.2.2投標供應(yīng)商在測評后出具符合要求的系統(tǒng)安全保護等級測評報告；3.2.3對上述系統(tǒng)不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的，投標供應(yīng)商出具可行整改方案并協(xié)助采購人整改服務(wù)。3.2.4投標供應(yīng)商協(xié)助采購人辦理信息系統(tǒng)安全保護等級測評備案手續(xù)。3.3本次等級保護測評的整體要求3.3.1投標供應(yīng)商應(yīng)詳細描述本次等級保護測評的整體實施方案，包括項目概述、等保測評方案、項目實施方案、測試過程中需使用測試設(shè)備清單、時間安排、階段性文檔提交和驗收標準等。3.3.2投標供應(yīng)商應(yīng)詳細描述測評人員的組成、資質(zhì)及各自職責(zé)的劃分。投標供應(yīng)商應(yīng)配置有經(jīng)驗的測評人員進行本次等級保護測評工作。3.3.3本次等級保護測評實施過程中所使用到的各種工具軟件由投標供應(yīng)商推薦，經(jīng)采購人確認后由投標供應(yīng)商提供并在測評中使用。在報價文件中應(yīng)詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風(fēng)險等。3.3.4安全測評工具軟件運行可能需要的硬件平臺（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等由投標供應(yīng)商推薦，經(jīng)采購人確認后由投標供應(yīng)商提供并在測評中使用。3.3.5安全