临检中心官网等保复测项目采购公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
为了保证国家卫生健康委临床检验中心网站、新冠病毒核酸检测信息平台以及新冠病毒采样和检测人力资源信息库三个系统运行稳定和应用数据安全,按照《网络安全法》和《网络安全等级保护2.0》的相关要求,临检中心拟对以上3个三级系统开展网络安全等级保护测评进行采购。现对该项目采购要求公示如下:
项目名称:临检中心官网等保复测项目采购
项目预算:48万
评标方法:综合评分法
一、公司资质
1、测评服务提供商应为中华人民共和国境内(不含香港、澳门、台湾地区)法律上和财务上独立的法人,合法运作并独立于招标人和招标代理机构。具备工商行政管理等部门颁发的营业执照,经营范围涵盖此次采购项目。
2、在“信用中国”、中国政府采购网(www.ccgp.gov.cn)、等网站中未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合《中华人民共和国政府采购法》第二十二条规定条件的供应商。
3、符合《中华人民共和国政府采购法》第二十二条规定、《中华人民共和国政府采购法实施条例》第十七条的规定。
4、法定代表人为同一人或者存在直接控股、管理关系的不同供应商,不得共同参加本项目的磋商。为本项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加本项目。
5、具有公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”。
6、具有卫生健康行业等保测评相关案例。
7、超过采购预算金额的投标文件将被拒绝。
二、功能需求
(一)总体需求
本项目的等级保护测评机构需对临检中心3个三级信息系统(国家卫生健康委临床检验中心网站、新冠病毒核酸检测信息平台以及新冠病毒采样和检测人力资源信息库)进行全面系统的调研,根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》、《中华人民共和国计算机信息系统安全保护条例》、《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)等文件的要求,针对本次需测评信息系统的等级选取相应的检查项,进行合规性检测,并采用安全分析的方法,评估系统的安全性、发现潜在的漏洞和弱点、明确不符合项及差距,协助中心完成不符合项的整改加固,完成信息系统等级保护测评报告,并对系统开展升级工作。
(二)详细功能需求
1、漏洞扫描与评估:
使用专业的工具进行全面的漏洞扫描,对系统中的潜在漏洞进行检测和评估。如端口扫描、服务识别、弱密码检测、web漏洞以及系统漏洞等。
2、渗透测试:
使用专业的方法进行渗透测试,模拟黑客攻击的行为,测试系统的安全性和防御能力。包括应用的渗透测试、系统服务器服务的渗透测试等。
3、安全策略审查:
对现有的安全策略和措施进行审查和评估,确保其符合最佳实践和标准要求。
提供改进建议,帮助本中心优化安全策略和加强防护层次。
4、报告生成与展示:
生成详尽的测评报告,包括测试结果、潜在风险、发现的弱点和建议的改进措施等。
三、服务要求
1、测评方法和标准:
描述所需的测评方法和标准,应选择符合国家或行业相关标准的测评方法,包括不限于以下法律法规和技术标准:
1) 《中华人民共和国网络安全法》
2) 《中华人民共和国数据安全法》
3) 《中华人民共和国计算机信息系统安全保护条例》 (国务院147号令)
4) 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)
5) 《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)
6) 《信息安全等级保护管理办法》(公通字〔2007〕43号)
7) 《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861号)
8) 《信息安全等级保护备案实施细则》(公信安[2007]1360号)
9) 《计算机信息系统安全保护等级划分准则》(GB17859—1999)
10) 《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449—2018)
11) 《信息安全技术 网络安全等级保护定级指南》(GB/T22240-2020)
12) 《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)
13) 《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)
14) 《漏洞扫描系统通用技术要求》(YD∕T 3463-2019)
15) 《信息安全技术 信息安全风险评估规范》(GB/T 20984 -2007)
16) 《信息安全技术 网络脆弱性扫描产品安全技术要求》(GB/T 20278-2013)
要求测评服务提供商使用专业的工具和技术,包括漏洞扫描、渗透测试、源代码审计等,以查找系统中的潜在风险和漏洞。
2、安全策略优化建议:
在测评报告的基础上,提供具体的安全策略优化建议,帮助本中心改善网络安全措施和防御能力。
提供针对特定场景或需求的个性化安全策略定制支持。
3、咨询和技术支持:
提供专业的咨询服务,解答本中心在网络安全方面的问题,并提供技术支持和指导。
4、应急技术支持服务:
协助中心配合监管机构及相关单位的网络安全检查,包含但不限于技术支持、材料准备、人员支持等。
5、反馈和改进:
定期与中心进行沟通,了解需求变化和新的安全挑战,以适应中心的发展和变化。
6、计划和时间表:
服务期限为12个月,有服务商制定具体的计划和时间表,包括测评开始和结束的日期,以及提交报告和演示的时间节点。
7、培训要求
(1)培训内容:
在服务期限内完成不少于2次的培训服务,针对本中心员工的网络安全培训课程,涵盖基本的网络安全知识、最佳实践和应对策略。
强调与本中心系统和业务相关的安全问题,包括安全意识、法律法规、网络安全、数据安全等。
(2)培训形式:
提供多种培训形式,如面对面培训、远程培训、在线课程等,以满足不同部门和岗位员工的需求。
可结合案例分析、互动讨论等活动,提高培训的参与度和实效性。
(3)培训材料和资源:
提供详细的培训材料,包括幻灯片、教材、手册等,以便员工在培训后进行复习和参考。
(4)效果评估:
进行培训效果的评估,通过问卷调查、测试或实际操作评估员工在培训后的安全意识水平和知识掌握情况。
根据评估结果,提供进一步的支持和改进建议,确保培训的有效性和持续性。
8、工期要求
计划在合同中确定的进场实施之日起4个月内完成本中心三个三级信息系统的等保测评工作并提交相应等级测评报告。项目实施期间可协助完成对信息系统定级备案和整改加固工作。
从项目的实际情况出发,为了保证等级测评过程的合理、安全、可控,尽量提高工作效率,根据实际需要和现场情况尽量完善实施计划。项目开始时间以项目商务合同签订完成后为开始时间。
9、保密要求
(1)保密责任:
要求供应商以及与本项目有关员工签订相关保密协议,明确承诺遵守保密协议,并对其员工、代理商或关联方的保密责任进行约束。确保供应商能够建立相应的内部流程和控制措施,以防止敏感信息泄露。
(2)数据保护:
要求供应商采取适当的技术和组织措施,保护中心系统中存储的敏感信息和数据隐私。确保进行访问控制等操作,以防止未经授权的访问和意外数据损失。
(3)信息共享与披露:
要求供应商在未获得中心明确许可的情况下,不得将中心的机密信息和数据转让给第三方。如果在履行合同过程中需要共享相关信息,要求供应商采取必要的保护措施,并仅限于合同目的使用。
(4)终止后的数据处理:
要求供应商在合同终止或服务终止后,按照中心的要求进行数据清除、销毁或返还,并确保不再使用或披露中心的敏感信息。
四、公司在投标现场需提交以下资料(一式四份,一正三副本,加盖公章)
1、产品报价单,功能需求和服务要求满足情况(是否正负偏离)
2、公司资质(包括营业执照、产品认证以及法定代表人授权书、专业领域从业资质、法人与投标代表身份证复印件等)
3、公司财务报表(包括至少去年一年的资产负债表和利润表)
4、参考合同(提供与其他三甲医院签订的同类产品合同复印件,最好是北京的)
5、投标代表携带身份证原件备查。
五、公告截止时间: 2023年10月26日
请有意向参与投标的公司于2023年 10月20日至2023年 10月26日报名。请将报名信息(投标项目名称、公司名称、联系人、联系电话)发送至邮箱:bjyyxxzx@126.com。现场投标日期另行通知。
报名联系人:登录即可免费查看
联系电话:85133873
微信扫码关注
