苏州市吴江区第五人民医院
信息系统安全等级保护评测服务采购公告
资格条件
1、具有独立承担民事责任的能力;
2、具有良好的商业信誉和健全的财务会计制度;
3、具有履行合同所必须的设备和专业技术能力;
4、有依法缴纳税收和社会保障资金的良好记录;
5、参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6、具有公安部第三研究所(国家认证认可委员会批准的认证机构)认证发放的《网络安全等级测评与检测评估机构服务认证证书》;
7、法律、行政法规规定的其他条件;
招标需求:
一、项目背景
为更好的贯彻落实《中华人民共和国网络安全法》和网络安全等级保护制度,有效应对当前网络安全面临的严峻威胁与挑战,全力做好重要信息系统网络安全保卫工作,亟需对重要信息系统展开等保评测工作,通过该评测工作及时发现系统安全隐患并迅速进行整改,从而全面提升重要信息系统的网络安全防护水平,保障系统的安全、高效、稳定运行。
二、项目内容
|
序号 |
系统名称 |
等保测评等级 |
预算(万元) |
|
1 |
医院综合管理系统平台 |
二级 |
5 |
|
2 |
门户网站及对外服务网络系统 |
二级 |
5 |
三、服务期限
本次测评项目签订合同后2个月内完成并通过验收,具体项目流程分为前期准备、现场实施、报告分析与编制、检查验收、总结验收五个阶段。
四、项目依据
Ø 《中华人民共和国网络安全法》
Ø 网络安全等级保护条例(总要求/上位文件)
Ø 《关于加强党政机关计算机信息系统安全和保密管理的若干规定》
Ø 《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
Ø 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
Ø 《信息安全等级保护管理办法》(公通字[2007]43号)
Ø 《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)
Ø 《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)
Ø 《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)
Ø 《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
Ø 《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)
Ø 《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
五、服务内容
1、等级保护测评
按照用户现状参照所定等级对应的技术要求进行测评分析,对评估对象的现状作记录,包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心;按照用户系统现状对应的管理要求进行测评分析,对评估对象的现状作记录,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理。
1)识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析,发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距,并进行风险分析,出具差距分析报告,明确信息系统面临的风险。
2)增强安全防护能力。依据差距分析报告的结果,并结合实际情况,区分轻重缓急,制定针对性的安全整改计划,通过安全整改不断提高信息系统的整体安全保护水平。
3)测评结果分析
(1)单项测评结果判定
(2)单元测评结果判定
(3)整体测评分析
(4)形成测评分析报告
(5)针对测评分析报告的整改建议
2、渗透测试
选取可能发起攻击的测试点,使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节,找出可能发生的恶意攻击事件和违规行为。
1)渗透测试的内容
Ø 工作内容包括渗透测试及提供漏洞修复方案。
Ø 本次渗透测试工作为黑盒测试。
2)需要包含如下阶段
Ø 前期交互阶段:与用户组织进行讨论,确定渗透测试范围和目标。
Ø 信息搜集阶段:采用各种方法搜集用户方的所有相关信息。
Ø 威胁建模阶段:使用在信息搜集阶段所获取到的信息,标识出目标系统上可能存在的安全漏洞与弱点。
Ø 漏洞分析阶段:综合前面几个环节获取到的信息,从中分析和理解,找出攻击途径和攻击方法。
Ø 渗透攻击阶段:针对确定好的攻击途径和攻击方法实施渗透攻击,获取系统相关权限。
Ø 后渗透攻击阶段:以特定的业务系统作为目标,识别出关键的基础设施,找出用户组织最具价值和尝试进行安全保护的信息和资产,找出能够对用户组织造成重要业务影响的攻击途径。
Ø 报告阶段:将渗透测试结果编制成文档提交给用户,提供安全解决方案。并将在渗透测试阶段产生的垃圾数据进行清理。
3)渗透测试工作要求
本次渗透攻击测试工作应当以不破坏用户应用系统为前提条件,不做危害用户应用系统的工作行为,遵守职业道德,遵守行业规则,严格遵守保密制度,保密要求,不得擅自修改、拷贝用户数据,不得泄露、传播用户的敏感信息,如有违反将负法律责任。
六、服务成果
本次安全服务应提交以下成果:
1)《网络安全等级测评报告》,包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。
2)《信息系统渗透测试报告》,包含但不限于如下方面的内容:渗透测试的方法、目标、范围。测试的人员、时间、策略。测试的工具、风险规避措施。测试的过程、漏洞利用截图,测试的结果等。
七、服务人员要求
1、项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。项目组成员不少于3人(含项目负责人1名)。
2、项目组人员必须熟练掌握网络安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
八、工具配备要求
1、响应供应商必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web漏洞扫描系统。
2、响应供应商必须在技术方案内明确专项检查所需要的所有技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。
九、质量与验收
1、成交人应在双方约定的时间内提供并完成等保测评服务工作;
2、未因项目实施产生信息系统(软硬件)毁损等重大安全责任事故;
3、如数据出现错误,成交人需无条件更正;
4、验收合格标准:
1)根据采购需求、项目合同及相关规范文件进行验收;
2)未违反保密协议书(保密协议书见合同附件)
十、数据保密要求
成交供应商对本项目所有信息负有保密义务,不得侵害、外泄或以任何直接或间接的方法使任何第三人知悉或使用。
十一、综合说明:
1、成交人对服务缺陷不予更正,采购人有权另请其他单位更正,所发生的费用在合同金额中扣除,不够扣除的还需补足。
2、成交人有责任配合采购人接受上级领导部门的监督、检查,提供必须的资料。
3、知识产权
双方确定,采购人有权利用成交人按照本合同约定提供的研究开发成果,进行后续改进。由此产生的具有实质性或创造性技术进步特征的新的技术成果及其权属,由采购人享有。具体相关利益的分配办法如下:归采购人所有。成交人有权在完成本合同约定的研究开发工作后,利用该项研究开发成果进行后续改进。由此产生的具有实质性或创造性技术进步特征的新的技术成果,归双方所有,具体相关利益的分配办法由双方协商处理。
4、响应总报价一次报定,包括所有人员工资、管理费、分析、设计、测评、调试、系统维护、配套费用、保险、税费及服务相关等所发生的全部费用以及供应商企业利润、税金和政策性文件规定及合同包含的所有风险、责任等各项应有费用。
5、付款方式:合同签订并收到发票后六十个工作日内,一次性全额付清。
十二、报名时间和联系人:
2022年8月4日10:00- 8月11日10:00
报名联系人:黄寨荣,联系电话:0512-63957117,QQ:724170247
十三、其他联系事项:
监察室:0512-63957008
请服务商在报名截止时间前,关注院网站有关本项目有无变更公告。