溫州市中西醫(yī)結(jié)合醫(yī)院詢價單
按照省市衛(wèi)計委��、市公安局等保檢測相關文件精神�����,我院計劃對三級(面向患者的綜合服務系統(tǒng))一個系統(tǒng)進行系統(tǒng)信息安全等級保護測評�,現(xiàn)向貴公司進行詢價(具體詢價要求見表格及附件)�。如貴公司有意競標���,請評估我方需求�,在詢價截止時間(2018年11月16日14時)前將報價文件密封好送到(或郵寄)院信息中心周先生收���,醫(yī)院信息中心將在 2018年11月16日14 時召開詢價會議拆封詢價文件���,以最低價報價為評定標準。郵編:325000�����,聯(lián)系電話:88914220地址:溫州市錦繡路75號(溫州市中西醫(yī)結(jié)合醫(yī)院門診六樓信息中心)
|
信息安全測評項目
|
|
項目
|
具體要求
|
|
系統(tǒng)信息安全等級保護測評
|
面向患者的服務系統(tǒng)(三級)����,要求醫(yī)院制定日期內(nèi)出具報告(詳細需求見附件)
|
|
報 價
|
面向患者的服務系統(tǒng): 元
|
注意事項:
1、投標報價為一次性最低報價��,修改無效�;
2、投標人應在報價單上加蓋公章��。
3���、其他技術方面的問題請聯(lián)系:13605775220
詢價人: 報價公司: (蓋章)
聯(lián)系人:
聯(lián)系電話: 聯(lián)系電話:
地址: 報價時間:
附件:
信息安全測評項目詢價要求
一�、項目一覽表
本次項目共1個標段,具體內(nèi)容如下表:
|
序號
|
頂目名稱
|
備注
|
|
1
|
系統(tǒng)信息安全等級保護測評
|
面向患者服務系統(tǒng)(三級)��,要求醫(yī)院制定日期內(nèi)出具報告(詳細需求見附件)(其他指標詳見具體技術需求)
|
二�、具體技術需求
1����、定級測評內(nèi)容
根據(jù)國家等級保護相關標準,測評機構(gòu)對溫州市中西醫(yī)結(jié)合醫(yī)院的信息系統(tǒng)完成定級����、測評、協(xié)助整改��、報備等工作�����。要求對以上業(yè)務信息系統(tǒng)進行摸底�����、分析和梳理���,提出測評方案��,并逐一對信息系統(tǒng)進行安全等級保護測評:
(1) 安全技術測評:包括物理安全�����、網(wǎng)絡安全��、主機系統(tǒng)安全�����、應用安全和數(shù)據(jù)安全等五個方面的安全測評�;
(2) 安全管理測評:安全管理機構(gòu)、安全管理制度����、人員安全管理、系統(tǒng)建設管理和系統(tǒng)運維管理等五個方面的安全控制測評�;完成測評工作后,提出整改方案并實施整改��,最后出具符合公安機關要求的信息系統(tǒng)安全保護等級測評報告���,并協(xié)助溫州市中西醫(yī)結(jié)合醫(yī)院完成信息系統(tǒng)安全保護等級備案工作�。
2、測評依據(jù)標準
測評機構(gòu)應依據(jù)國家等級保護相關標準開展工作���,依據(jù)標準包括但不限于如下國家標準:
GB/T 22239-2008《信息安全技術信息系統(tǒng)安全等級保護基本要求》
GB/T 22240-2008《信息安全技術信息系統(tǒng)安全等級保護定級指南》
GB/T 25058-2010《信息安全技術信息系統(tǒng)安全等級保護實施指南》
GB/T 24363-2009《信息安全技術信息安全應急響應計劃規(guī)范》
GB/T 28448-2012《信息安全技術信息系統(tǒng)安全等級保護測評要求》
GB/T 28449-2012《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》
3����、技術服務
(1)安全保護等級保護測評實施方案設計與具體實施應滿足以下原則:
a�����、 保密原則:對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密�����,未經(jīng)授權不得泄露給任何單位和個人�����,不得利用此數(shù)據(jù)進行任何侵害溫州市中西醫(yī)結(jié)合醫(yī)院的行為����,否則溫州市中西醫(yī)結(jié)合醫(yī)院有權追究測評機構(gòu)的責任���。
b��、 標準性原則:測評方案的設計與實施應依據(jù)國家等級保護的相關標準進行����。
c、 規(guī)范性原則:測評機構(gòu)的工作中的過程和文檔���,具有很好的規(guī)范性�����,可以便于項目的跟蹤和控制���。
d、 可控性原則:測評服務的進度要跟上進度表的安排����,保證溫州市中西醫(yī)結(jié)合醫(yī)院對于測評工作的可控性。
e�����、 整體性原則:測評的范圍和內(nèi)容應當整體全面��,包括國家等級保護相關要求涉及的各個層面。
f�、 最小影響原則:測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡,并在可控范圍內(nèi)��;測評工作不能對現(xiàn)有信息系統(tǒng)的正常運行��、業(yè)務的正常開展產(chǎn)生任何影響�����。
(2)本次等級保護測評的具體要求
a����、 測評機構(gòu)應詳細描述本次等級保護測評的具體實施方案���,包括項目概述���、等級保測評方案、項目實施方案����、測試過程中需使用測試設備清單、時間安排��、階段性文檔提交和驗收標準等。
b����、 測評機構(gòu)應詳細描述測評人員的組成、資質(zhì)及各自職責的劃分����。測評機構(gòu)應配置有經(jīng)驗且擁有行業(yè)認證的測評人員進行本次等級保護測評工作。
c�、 本次等級保護測評實施過程中所使用到的各種工具軟件由測評機構(gòu)推薦,經(jīng)溫州市中西醫(yī)結(jié)合醫(yī)院確認后由測評機構(gòu)提供并在測評中使用����。在投標文件中應詳細描述所使用的安全測評工具(軟硬件型號、功能和性能描述)�、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對測評系統(tǒng)造成的風險等����。
d、 安全測評工具軟件運行可能需要的硬件平臺(如筆記本電腦�、PC、工作站等)和操作系統(tǒng)軟件等由測評機構(gòu)推薦�,經(jīng)溫州市中西醫(yī)結(jié)合醫(yī)院確認后由測評機構(gòu)提供并在測評中使用。
e����、 安全測評需要的運行環(huán)境(如場地�����、網(wǎng)絡環(huán)境等)由溫州市中西醫(yī)結(jié)合醫(yī)院提供�����,測評機構(gòu)應詳細描述需要的運行環(huán)境的具體要求�。
f����、 測評公司在系統(tǒng)測評完成后應提供一年的技術咨詢服務及現(xiàn)場響應服務應在溫州設立服務網(wǎng)點和服務人員(中標后提供溫州本地社保證明)。
(3)信息系統(tǒng)安全測評報告
a�����、 測評機構(gòu)應對溫州市中西醫(yī)結(jié)合醫(yī)院的信息系統(tǒng)進行等級保護測評�����,形成相應的測評報告����。
b、 測評機構(gòu)在測評后出具符合浙江省公安廳要求的系統(tǒng)安全保護等級測評報告�;
c、 對上述系統(tǒng)不符合信息安全等級保護有關管理規(guī)范和技術標準的����,測評機構(gòu)出具可行整改方案并協(xié)助溫州市中西醫(yī)結(jié)合醫(yī)院整改和整改項的再次測評服務。
d�、 測評機構(gòu)協(xié)助溫州市中西醫(yī)結(jié)合醫(yī)院辦理信息系統(tǒng)安全保護等級備案手續(xù),直至備案完成���。
4����、其它要求
(1)測評機構(gòu)應對提供測評服務時所使用的設備及軟件保證擁有設備軟硬件的知識產(chǎn)權和所有權�,并對所涉及的專利、知識產(chǎn)權等法律條款承擔義務�,溫州市中西醫(yī)結(jié)合醫(yī)院以上問題不承擔任何法律責任。
(2)若測評機構(gòu)的設備和系統(tǒng)包含自己的專用標準�����,應在建議書中具體說明���,并附上相應的詳細技術資料����。
(3)測評機構(gòu)必須和溫州市中西醫(yī)結(jié)合醫(yī)院簽訂保密協(xié)議和風險告知書,在合同簽訂時一并提供給溫州市中西醫(yī)結(jié)合醫(yī)院����。
(4)測評機構(gòu)在協(xié)助溫州市中西醫(yī)結(jié)合醫(yī)院進行信息系統(tǒng)不達標項整改時,須提供相關的信息安全培訓���。
附件一
