手机站
公众号
各潜在投标供应商:
为体现公平、公正的原则,避免采购设备及技术参数出现倾向性、歧视性,现就永利69193com2023年度信息系统网络安全等级保护测评及安全服务项目参数进行公示,广泛征询潜在投标人意见。若潜在投标人对公示的具体技术参数存有异议,欢迎提出修改意见或建议,修改建议请于2023年7月21日17时前,以书面形式(加盖单位公章)提交至永利69193com监察室,逾期不予受理。
联系电话:监察室:0515-85212329,联系人:林主任
采购内容及要求
一、项目概述
根据(《信息安全等级保护管理办法》公通字【2007】43号)文件规定进行网络安全等级保护测评,为提高系统安全、业务安全、数据安全,计划针对永利69193com信息系统开展2023年度信息系统网络安全等级保护测评及安全服务工作,以期发现信息系统和等级保护标准的差距以及存在的安全隐患,为后续的安全整改工作提供参考依据,从而实现信息系统有效保障相关业务的顺利开展。
二、网络安全等级保护及安全服务清单
|
序号 |
系统名称 |
等级保护级别 |
|
1 |
医院HIS系统 |
三级 |
|
2 |
永利69193com互联网医院 |
三级 |
三、项目依据:
Ø 《中华人民共和国网络安全法》
Ø 《信息安全技术 信息系统安全等级保护测评要求》
Ø 《信息安全技术 信息系统安全等级保护测评过程指南》
Ø 《网络安全等级保护基本要求》(GB/T22239-2019)
Ø 《网络安全等级保护设计技术要求》(GB/T25070-2019)
Ø 《网络安全等级保护测评要求》(GB/T28448-2019)
四、服务要求:
中标人需针对以上2个信息系统提供网络安全等级保护测评及安全服务,查找与分析现有系统的安全防护能力的不足,编制等级保护测评报告,并协助甲方完成测评报告的备案。根据等级测评和安全服务成果,由测评机构提出合理可行的安全整改建议,协助甲方进行安全管理与安全技术两方面的整改工作。
五、技术要求(参数)
1、等保测评服务
依据国家《信息安全技术 信息系统安全等级保护基本要求》,对以上2个信息系统开展信息安全等级保护测评,分析信息系统安全保护现状与《信息安全技术信息系统安全等级保护基本要求》信息系统的安全保护要求之间的差距,对其提出整改建议与信息系统整改方案,为完成信息安全等级保护整改工作提供依据,最终获得《医院HIS系统网络安全等级测评报告》、《永利69193com互联网医院网络安全等级测评报告》。
测评工作将从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个层面分别进行。
1、安全物理环境
安全物理环境将通过现场机房查看的方式评估信息系统的物理机房环境情况。在内容上,层面测评实施过程涉及测评单元:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
2、安全通信网络
安全通信网络安全测评将通过访谈、配置检查和工具测试的方式评估信息系统的安全通信网络安全保障情况。在内容上,安全通信网络安全层面测评实施过程涉及测评单元:网络架构、通信传输、可信验证等。
3、安全区域边界
安全区域边界测评将通过访谈、配置检查和工具测试的方式评估信息系统的安全区域边界保障情况。在内容上,安全区域边界安全层面测评实施过程涉及测评单元:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
4、安全计算环境
安全计算环境测评将通过访谈、配置检查的方式评估信息系统的数据安全保障情况。在内容上,安全计算环境测评实施过程涉及测评单元:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
5、安全管理中心
安全管理中心测评将通过访谈、配置检查的方式评估信息系统的安全管理中心保障情况。在内容上,安全管理中心
测评实施过程涉及测评单元:系统管理、审计管理、安全管理、集中管理等。
6、安全管理
安全管理制度:
测评内容主要包括:安全策略、管理制度、制定和发布、评审和修订等。
安全管理机构:
测评内容主要包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。
安全管理人员:
测评内容主要包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
安全建设管理:
测评内容主要包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
安全运维管理:
测评内容主要包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
2、安全服务
服务期内针对以上2个信息系统提供漏洞扫描、渗透测试、敏感数据泄露检测、安全修复各一次。出具《安全合规检测及修复报告》1份。提供详细的漏洞修补建议与协助修复,增强或补充相应的安全防护措施;全面检测敏感数据在互联网上的暴露分布情况和数据安全状况,及时告警并协助处理;切实提升系统的安全防护能力,修复方式包括但不限于安全配置调试、补丁升级、网络与安全设备层策略修改;能够在不增加的硬件设备的条件下协助甲方对网络系统、主机系统、应用系统提供全面的防入侵功能设计和安全策略优化。
