您现在的位置：大同市第三人民医院 > 医院公告 > 大同市第三人民医院关于医院信息系统安全等级测评院内采购通知

大同市第三人民医院关于医院信息系统安全等级测评院内采购通知

发布时间：2020-09-03 点击数： 3342 次

1、项目名称：采购医院信息系统安全等级测评项目

2、项目编号：XXK2020-09-03

3、项目序列号：2020-XXK-04

4、采购项目细则:

（1）项目概况：

为深入贯彻习近平总书记关于建设网络强国战略的重要论述，全面落实《网络安全法》，提升大同市第三人民医院医院信息管理系统（三级）、影像归档系统（PACS）（三级）、门户网站（二级）网络和信息安全防护能力，保障业务安全平稳运行。通过实施网络安全等级保护自测评，能够准确把握网络安全状况，帮助信息系统运营使用单位和主管部门按照标准进行安全建设、整改和管理运行。

（2）项目实施遵循的技术标准：

《信息安全等级保护管理办法》（公通字（2007）43号）

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息安全技术网络安全等级保护定级指南》（GA/T 1389-2017）

《中华人民共和国网络安全法》

（3）测评目标

测评工作将依据《网络安全法》、《信息安全等级保护管理办法》的相关规定进行。

本次测评的系统是：信息管理系统（三级）、影像归档系统（PACS）（三级）、门户网站（二级）

最终目标是使信息管理系统（三级）、影像归档系统（PACS）（三级）、门户网站（二级）通过国家规定的网络安全等级保护定级测评。按照被测系统的重要程度制定出相应保护措施，使该系统满足我国关于等级保护2.0的具体要求，增加信息系统安全的规范性和有效性，提高客户的安全意识，增强网络抗攻击的能力，以保证信息系统的正常运转，对社会的正常和谐发展起到促进作用。

（4）测评工作内容及方法

（A）通过本次测评，完成信息系统的测评前的所有文档的建立及系统完善工作，以使上述系统能满足国家规定的信息系统定级的测评基本要求。

（B）对在上述信息系统等级保护测评中发现的各种问题提出安全整改建议，并协助做好整改工作，包括软件系统的安全设置、安全设备的搭建以及相关制度的完善等，最终达到定级标准要求。

（C）确保等保测评工作的安全、规范，确保被测系统的安全。所使用的工具、方法和过程要在双方认可的情况下使用。等级保护测评工具应经过严格测试和检验，确保不对被测评系统造成损失，工作结束后不驻留任何程序并销毁不需要的文档和资料；在对我单位信息系统进行测评中发现的漏洞及安全问题等情况严格执行相关保密制度；对测评设备、介质进行严格的保密管理；测评项目组进场人员必须遵守我单位相关管理规定。

（D）在工作过程中对涉及的各类数据严格保密，在测评工作结束后，不可将工作中的数据用于任何有损我单位利益的用途，双方签署保密协议。

（E）测评工作中，测评人员应当在没有偏见和最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方法和过程，实施测评活动。

（5）项目实施要求

（A）实施人员要求

应提供全面的组织管理方案和保证措施，以保证项目的顺利实施。同时，应安排有丰富实施经验的人员参加项目的实施，成员组成应包括：项目技术总监、项目经理、资深项目实施顾问、测评工程师。

项目实施过程中，项目人员应全程参与本项目的开发、实施过程，项目验收前无故不得更换。若有特殊原因需调整，应与我单位协商后进行。

（B）实施过程要求

1、记录系统运行现状及安全状况

记录被测信息系统的基本情况，完成信息系统备案文档的编写并协助完成等保定级备案工作。

主要技术规范、要求

1、项目实施遵循的技术标准

《信息安全等级保护管理办法》（公通字（2007）43号）

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术网络安全等级保护安全设计技术要求》（GB/T 25070-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息安全技术网络安全等级保护定级指南》（GA/T 1389-2017）

《中华人民共和国网络安全法》

2、信息系统测评对象

本项目测评对象为信息管理系统（三级）、影像归档系统（PACS）（三级）、门户网站（二级），检测系统管理、使用、运维制度制定及落实情况，检测网络设备、服务器，安全设备、应用软件、数据库用户终端等安全技术保护情况。

3、信息系统具体测评内容

（一）安全技术测评

安全物理环境测评：物理位置的选择、物理访问控制、防盗窃和防破环、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护；

安全通信网络测评：结构安全、访问控制、安全审计、边界完整性检查、入侵防范、网络设备主机安全：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、资源控制；

安全区域边界测评：身份鉴别、访问控制、安全审计、通信完整性、通信保密性、软件容错、资源控制；

安全计算环境测评：数据完整性、数据保密性、备份和恢复；

安全管理中心测评：管理中心

（二）安全管理测评

包括安全管理制度测评、安全管理机构测评、安全管理人员测评、安全建设管理测评、安全运维管理测评等内容

2、等级测评结果

对等级测评结果进行汇总统计（测评项符合情况及比例、单元测评结果符合情况比例以及整体测评结果）；通过对信息系统基本安全保护状态的分析给出等级测评结论（结论为符合、基本符合、不符合）。

3、制定《系统等级测评报告》

列出被测信息系统中存在的主要问题以及可能造成的后果，制订《系统等级测评报告》。

4、制定《系统安全建设、整改方案》

针对我系统存在的主要问题提出安全建设、整改建议，制订符合我单位信息系统的《系统安全建设方案和整改方案》。

5、协助等保整改工作

针对系统存在的主要问题提出安全建设、整改建议，协助完成系统整改工作。

（C）合同签定后提供一年的网络安全和信息化相关的技术支持。

5、厂商或经销商需提供的资料
（1）针对此项目的法人授权书或法定代表人资格证明；
（2）营业执照、组织机构代码证、税务登记证；开户许可证；
（3）法人代表及被授权人身份证；
（4）报价截止日期前三个月报价人纳税凭证；
（5）报价截至日前报价人最后一次交纳社保金凭证；
（6）同类型产品或项目销售的业绩证明材料（须附合同等相关证明）；