駐馬店市中醫院信息系統安全等級保護采購項目招標公告
駐馬店市中醫院項目建設資金來自自籌,項目已具備自主招標條件,現對該項目進行公開招標,歡迎符合相關條件的企業參加投標。
一、 項目概況和招標范圍
1、項目名稱:信息系統安全等級保護采購項目
2、招標編號:【2021】Z-007
3、招標方式:公開招標
4、項目概況:根據國家網絡安全法和衛生部、公安廳相關文件要求,我院擬對醫院信息系統進行安全等級保護測評
二、投標申請人資格要求:
1、具有獨立的法人資格,能提供有效的企業法人營業執照(營業執照的經驗范圍必須涵蓋計算機設備),稅務登記證、組織機構代碼證或三證合一證明文件,有能力提供招標貨物及服務的生產商或代理商。
2、具有有效的營業執照,且經營范圍覆蓋等保測評業務。具有國家網絡安全等級保護協調小組頒發的《網絡安全等級保護測評機構推薦證書》,并在有效期內。屬于《全國信息安全等級保護測評機構推薦目錄》推薦單位,并在中國信息安全等級保護網可查。
3、本項目測評人員必須具有信息安全保護測評人員、信息安全專業人員(CISP)要有從業資格證書。具備河南本地化服務能力,在河南本地有辦事機構,提供證明。近3年有類似的業績合同。
4、投標人及法定代表人等商業信譽良好,未被列入“信用中國”網站(www.creditchina.gov.cn)記錄失信被執行人或重大稅收違法案件當事人名單或政府采購嚴重違法失信行為”記錄名單;不處于中國政府采購網(www.ccgp.gov.cn)政府采購嚴重違法失信行為信息記錄”中的禁止參加政府采購活動期間(以在“信用中國”網站(www.creditchina.gov.cn)、中國政府采購網(www.ccgp.gov.cn)查詢結果為準,(投標人出具網頁截圖加蓋企業公章)。
5、本次招標不接受聯合體投標,不允許轉包和分包。
三、項目目標和內容
1、項目目標
按照信息安全等級保護定級標準和工作要求,開展信息系統安全等級專家評審和定級,針對現有信息系統進行評審定級,協助組織定級評審材料,重點對醫院信息系統(HIS)、電子病歷(EMR)、實驗室信息管理系統(LIS)、醫學影像系統(PACS)及醫院綜合管理系統(輸血系統、心電網絡系統、重癥手術麻醉系統、體檢系統、院感系統、臨床急診系統、規培系統、HERP系統、智能分診系統、預約系統、隨訪系統、無紙化系統等醫院現有系統)的信息系統的等級保護定級與備案工作。
按照國家和醫療衛生等級保護相關標準和要求,開展信息系統安全等級保護現狀測評和等級測評工作,查找安全差距,提交差距分析報告、安全整改建議和等級測評報告;遵循適度安全原則,綜合考量成本與效益因素,制定信息系統安全等級保護整改方案,指導整改工作。
按照信息系統安全等級保護的相關要求,梳理和完善。
信息安全管理制度和標準,健全和完善信息安全管理體系和技術保障體系。
通過等保測評對目標系統的安全狀況作深入探測,發現系統脆弱的環節,反映網絡所面臨的問題與真實的安全現狀,為醫院關鍵信息業務系統的安全配置與管理提供指導建議。
2、項目內容
對醫院重點信息系統(HIS)、電子病歷(EMR)、實驗室信息管理系統(LIS)、醫學影像系統(PACS)及醫院綜合管理系統(輸血系統、心電網絡系統、重癥手術麻醉系統、體檢系統、院感系統、臨床急診系統、規培系統、HERP系統、智能分診系統、預約系統、隨訪系統、無紙化系統等醫院現有系統)進行現狀評估,確定和相應等級之間的技術差距和管理制度差距,提交現狀評估報告和安全建設整改方案;
信息安全建設整改,含安全管理制度整改和協助安全技術整改;
信息系統定級,并到公安機關備案,取得備案證明;
信息安全等級測評,并將測評報告到公安機關備案;
響應人須詳細在方案中注明以上內容所需要的時間周期。
四、需遵循的政策法規及行業規范:
本項目實施過程中包括的所有設備、技術手段應遵照下列組織的適用標準和規范進行測評。所采用的標準和規范應為合同期間的最新有效版本。當參照的規范和標準與本規范書存在明顯沖突時,響應人應向采購人指出沖突之處并取得采購人的書面意見。
1.《中華人民共和國保守國家秘密法》(1988年9月5日中華人民共和國主席令第6號公布)
2.《中華人民共和國保守國家秘密法實施辦法》(國家保密局文件國保發[1990]1號)
3.《中華人民共和國國家安全法》(主席令68號,1993年2月22日第七屆全國人民代表大會常務委員會第三十次會議通過)
4.《中華人民共和國計算機信息系統安全保護條例》(國務院令147號)
5.《計算機信息系統保密管理暫行規定》(國家保密局文件國保發[1998]1號)
6.《計算機信息系統國際聯網保密管理規定》(國家保密局文件國保發[1999]1號)
7.《中華人民共和國計算機信息網絡國際聯網管理暫行規定》(國務院令195號)
8.《中華人民共和國計算機信息網絡國際聯網管理暫行規定實施辦法》(1997年12月8日國務院信息化工作領導小組審定)
9.《計算機病毒防治管理辦法》(2000年4月26日中華人民共和國公安部第51號令)
10.《計算機信息網絡國際聯網安全保護管理辦法》(1997年12月11日國務院批準,1997年12月30日公安部發布)
11.《計算機信息系統安全專用產品分類原則》(1997年4月公安部發布)
12.《計算機信息系統安全保護等級劃分準則》(1999年9月國家技術監督局發布)
13.《互聯網站從事登載新聞業務管理暫行規定》(國務院新聞辦公室和信息產業部11月7日聯合發布)
14.《計算機信息系統安全等級保護劃分準則》(GB/T17859-1999)
15.《計算機信息系統安全等級保護網絡技術要求》(GA/T387-2002)
16.《計算機信息系統安全等級保護操作系統技術要求》(GA/T388-2002)
17.《計算機信息系統安全等級保護數據庫管理系統技術要求》(GA/T389-2002)
18.《計算機信息系統安全等級保護通用技術要求》(GA/T390-2002)
19.《計算機信息系統安全等級保護管理要求》(GA/T391-2002)
20.《計算機機房場地安全要求》(GB9361-88)
21.《信息安全等級保護管理辦法》(公通字[2007]43號)
22.《信息安全技術 信息系統安全等級保護實施指南》(GB/T25058-2010)
23.《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429號)(含附件)
24.《信息安全技術 信息系統安全保護等級保護基本要求》(GB/T 22239-2019)
25.《信息安全技術網絡安全等級保護測評要求》(GBT28448-2019)
26.《信息安全技術 網絡安全等級保護測評過程指南》(GB-T 28449-2018)
27.《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》
28.《衛生部關于衛生行業信息安全等級保護工作的指導意見》
29.《醫院信息系統基本功能規范》(衛生部)
30.《河南省醫院信息化建設指南》
31.《河南省數字化醫院建設指南》
32.《中華人民共和國網絡安全法》(2017年6月1日正式施行)
33.《信息安全技術網絡安全等級保護基本要求》2.0版本。(2019年12月1日正式實施)
五、項目建設內容
根據信息系統安全建設現狀以及信息系統的重要程度,本次等級保護測評工作可為安全技術測評和安全管理測評兩大類。安全技術測評包括:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境和安全管理中心等五個層面上的安全控制測評;安全管理制度、安全管理機構、安全管理人員、安全建設管理和安全運維管理等五個方面的安全控制測評。詳細內容包括但不限于以下內容:
1)安全物理環境
安全物理環境測評應評測信息系統的物理安全保障情況。主要涉及對象為機房。在內容上,物理安全層面測評實施過程應涉及10個工作單元,具體工作單元應包括:物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護。
2)安全通信網絡
安全通信網絡測評應通過訪談、檢查和測試的方式評測信息系統的網絡安全保障情況。主要涉及對象為機房的網絡設備、網絡安全設備以及網絡拓撲結構等三大類對象。在內容上,測評過程應涉及網絡架構、通信傳輸、可信驗證3個工作單元的測評。
3)安全區域邊界
安全區域邊界的測評對象包括:網閘、防火墻、路由器、交換機和無線接入網關設備等提供訪問控制功能的設備或相關組件、終端管理系統或相關設備、網絡拓撲和無線網絡設備、抗APT攻擊系統、網絡回溯系統、威脅情報檢測系統、抗DDoS攻擊系統和入侵保護系統或相關組件、綜合安全審計系統等。在內容上,測評師實施過程涉及邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等6個工作單元的測評。
4)安全計算環境
安全計算環境測評應通過訪談、檢查和測試的方式評測信息系統的主機安全保障情況。在內容上,主機系統安全層面測評實施過程應涉及身份鑒別、訪問控制、安全審計、安全防范、剩余信息保護、惡意代碼防范和資源控制身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等11個工作單元的測評。
5)安全管理中心
安全管理中心應通過訪談、檢查和測試的方式評測信息系統的綜合安全管理情況。在內容上,安全管理中心實施過程應涉及系統管理、審計管理、安全管理、集中管控4個工作單元的測評。
6)安全管理機構
安全管理機構測評應通過訪談和檢查的形式評測安全管理機構的組成情況和機構工作組織情況。主要涉及安全主管人員、安全管理人員、相關的文件資料和工作記錄等對象。在內容上,安全管理機構測評實施過程應涉及崗位設置、人員配備、授權和審批、溝通與合作和審核與檢查5個工作單元的測評。
7)安全管理制度
安全管理制度測評應通過訪談和檢查的形式評測安全管理制度的制定、發布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規程文件等對象。在內容上,安全管理制度測評實施過程應涉及安全策略、管理制度、制定和發布、評審和修訂4個工作單元的測評。
8)人員安全管理
人員安全管理測評應通過訪談和檢查的形式評測機構人員安全控制方面的情況。主要涉及安全主管人員、人事管理人員、相關管理制度、相關工作記錄等對象。在內容上,人員安全管理測評實施過程應涉及人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理4個工作單元的測評。
9)安全建設管理
安全建設管理測評應通過訪談和檢查的形式評測系統建設管理過程中的安全控制情況。主要涉及安全主管人員、系統建設負責人、各類管理制度、操作規程文件、執行過程記錄等對象。 在內容上,系統建設管理測評實施過程應涉及系統定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務響應人管理10個工作單元的測評。
10)安全運維管理
安全運維管理測評應通過訪談和檢查的形式評測系統運維管理過程中的安全控制情況。主要涉及安全主管人員、安全管理人員、各類運維人員、各類管理制度、操作規程文件、執行過程記錄等對象。 在內容上,系統運維管理測評實施過程應涉及環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防護管理、配置管理、密碼管理、變更管理、備份和恢復管理、安全事件處置、應急預案管理、外包運維管理15個工作單元的測評。
項目范圍包括數據庫系統、服務器、網絡設備和安全設備,詳見下表。
序號 | 系統名稱 | 系統級別 | 數量 |
1 | 醫院信息系統(HIS) | 三級 | 1 |
2 | 電子病歷(EMR) | 三級 | 1 |
3 | 實驗室信息管理系統(LIS) | 三級 | 1 |
4 | 醫學影像管理系統(PACS) | 三級 | 1 |
5 | 醫院綜合管理系統 (包含的現有系統) | 二級 | 1 |
對駐馬店市中醫院的現有系統信息系統進行安全等級保護測評和驗收測評工作。包括但不限于以下工作:
(1)記錄各系統運行現狀及安全狀況
記錄被測信息系統的基本情況(可參考信息系統安全等級保護備案表),包括但不限于:系統的運營使用單位、投入運行時間、承載的業務情況、系統服務情況以及定級情況。
(2)等級測評結果
對等級測評結果進行匯總統計(測評項符合情況及比例、單元測評結果符合情況比例以及整體測評結果);通過對信息系統基本安全保護狀態的分析給出等級測評結論
(3)制定《系統等級測評報告》
列出被測信息系統中存在的主要問題以及可能造成的后果,制訂《系統等級測評報告》。
(4)制定《系統安全建設、整改方案》
依照《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429號),嚴格遵循《信息安全等級保護安全建設整改工作指南》各項要求,在系統測評工作的基礎上,對信息系統總體信息安全管理和技術方面現狀進行全面的分析,制訂信息安全等級保護安全建設整改方案,方案內容包含但不限于:企業信息安全背景、政策與技術標準依據、當前風險分析、安全需求分析、總體安全策略、安全建設整改技術方案設計、安全建設整改管理體系設計、信息系統安全產品選型及技術指標建議、安全建設整改項目實施計劃、項目預算,整改后可能存在的其他問題。
(5)協助等保整改工作
針對系統存在的主要問題提出安全建設、整改建議,協助完成系統整改工作。
(6)制定《信息系統驗收測評報告》
提交《信息系統驗收測評報告》,報告須提交公安機關有關部門報備,協助辦理備案證明。
六、項目要求
在安全等級測評過程中,每個工作階段、流程、內容、及成果交付嚴格遵循《信息安全技術 信息系統安全等級保護測評要求》(國標報批稿)和《信息安全技術 信息系統安全等級保護測評過程指南》(國標報批稿)文件,根據本項目信息系統已完成的定級備案安全等級,開展相應級別的安全等級測評和風險評估工作,根據測評結果出具相應的單項和整體測評報告,測評報告需得到項目單位的確認,并報請省公安廳主管部門審核、批復。測評報告編制的內容及格式嚴格遵照《信息系統安全等級測評報告模版》(2019版)進行。
七、工作過程文件及項目交付成果(包括但不限于):
(1)不同測評階段對應的各項文檔(參照《信息安全技術 信息系統安全等級保護測評過程指南》),詳見下表(包括但不限于):
項目階段 | 交付成果 |
測評準備活動 | 項目計劃書 被測系統基本情況分析報告 |
方案編制活動 | 測評指導書 信息系統安全測評方案 |
現場測評活動 | 測評結果記錄 測評中發現的問題匯總 |
分析與報告編制活動 | 單項測評結果匯總分析 整體測評結果匯總分析 風險分析和評估 等級測評結論 信息系統安全等級測評報告 |
(2)安全等級測評整改技術方案。
安全等級測評整改技術方案,方案可根據整改和規劃內容的重要性和復雜程度采用分冊方式編寫。涉及所有被測評系統的安全整改方案,需包含如下內容:
方案分項 | 詳細內容及要求 |
等級化安全保障建議方案 | 內容應包括但不限于以下方面: 1.安全區域和等級劃分; 2.安全體系框架設計; 3.等級化安全指標體系報告。 |
安全體系建設建議方案 | 內容應包括但不限于以下方面: 1.網絡面臨風險分析; 2.針對性措施建議。 |
相關網絡安全管理制度 | 內容應包括但不限于以下方面: 1.機房安全管理制度; 2.網絡故障應急預案及應急方案流程制度; 3.客戶端管理制度; 4.數據備份及恢復制度; 5.災難恢復策略及制度。 |
(3)應當且可以向采購人提供不同測評階段對應的各項文檔,及最終的安全等級測評報告和風險評估報告,以及切實可行的安全防護整改建議書等。如:
1.信息安全等級測評報告;
2.測評過程中產生的各項文檔;
3.其它文檔;
交付要求:交付項目涉及的所有業務系統的安全等級測評整改技術方案對應的文檔,及其對應的安全等級測評報告原件,協助辦理完畢備案證明。
響應性文件必須實質性響應本項要求,編制詳盡列表說明。
1、項目進度要求:40個工作日出備案證明。
2、實施基本要求:鑒于測評工作是對我單位信息系統的全面深入測試,實施工作帶來安全性和可靠性要求,響應人必須逐條予以明確以下承諾:
(1)在測評過程中,當與其它應用系統(含硬件、集成平臺、應用系統、數據庫系統等)發生任何矛盾時(如協作沖突、技術分歧等),均應服從采購人的協調或裁決。
(2)響應人實行項目總負責人制,在項目驗收前,響應人不得隨意更換;如確需更換,需事先向采購人提交書面更換意見函,征得采購人同意答復后進行更換。
3、服務響應:響應人在本地設立服務單位和服務小組,必須對服務內容做出詳細的實質性承諾:售后服務免費技術支持期、服務響應速度、服務模式、售后服務質量控制、客戶培訓等。所有的售后費用,必須計入投標總價。
九、投標人報名時需攜帶資料:
1、有效的企業營業執照、有效的組織機構代碼證、有效的稅務登記證或三證合一證明文件;
2、法定代表人授權書及法人、被授權人身份證
3、各類資質證明文件及售后服務承諾函
4、類似的業績合同
注:以上證件資料報名時須攜帶復印件加蓋公章,原件備查(只提供復印件的不予受理)。
十、報名時間、地點:
1、報名時間:2021年05月07日-2021年05月14日,上午8:00-11:30 下午15:00 -17:00(節假日除外);
2、報名地點:駐馬店市中醫院西辦公區四樓招標辦(中醫院西邊502院內金悅有限公司旁四層小樓四樓第一間辦公室)
聯 系 人:黎女士 電話:0396——2816819
十一、投標保證金
1、各投標單位于報名時需繳納投標保證金3000元,中標單位將投標保證金轉為履約保證金,不中標單位無息退回。
2、不按照招標程序履約的投標單位保證金概不退還。
3、投標保證金請以貴公司對公賬戶存入我院賬戶,不能以個人名義存入。
請將投標保證金存入我院以下賬戶:
賬戶名:駐馬店市中醫院
開戶行:中原銀行廣場支行
賬號:4117 1501 0110 0148 01
十二、投標文件要求說明
本項目不另發放招標文件,投標人應自行編寫投標文件,投標文件應包括以下內容:
1、投標文件的組成
1.1、投標人須提供標書一正七副,如投標文件中正本與副本有不同之處,以正本為準
1.2、投標文件正本須由投標企業的法人代表或授權人簽字并加蓋公章,授權委托書(原件),副本可復印
1.3、投標文件正本與副本均應使用A4張打印并膠印裝訂,膠裝標書的封面應標明文件項目名稱,項目編號,企業名稱
2、投標文件的內容
2.1、投標書文件清單及頁碼索引、投標聲明、廉政承諾書。
2.2、報價表,提供完備的維保方案
2.3、營業執照,稅務登記、法定代表人有效身份證復印件、法定代表人委托書及有效身份證復印件
2.4、有關資質證書,優惠承諾書及售后服務承諾
2.5、提供近6個月以來依法繳納職工社會保障資金的證明材料(社會保險基金管理部門出具的繳款憑證或繳款證明原件,復印件需加蓋投標單位公章)。
2.6、近幾年的審計報告,商業信譽查詢結果
駐馬店市中醫院
2021年05月07日