临沂北城医院康复设备集中竞价-临沂中医院.DOCVIP

临沂市中医医院信息安全等级保护测评项目 集中竞价采购须知 为了公开、公平、公正地集中竞价采购，本着合理、竞争、经济的原则，我院拟对本次采购活动参照招标形式进行集中竞价，相关事项如下： 第一部分 项目要求 一、项目背景 为了提高信息系统的安全保护水平，按照国家法律法规和有关部门相关要求，聘请第三方专业机构，在全面了解临沂市中医院现有信息化现况的基础上，开展信息系统安全等级保护测评工作。通过本次工作，发现信息系统中存在的安全风险，分析信息系统安全现状与相关政策文件、技术标准内容要求的符合性情况，完善工作制度，提出安全建设加固建议。切实加强信息安全防范水平，提高系统抵御风险的能力。 二、项目目标、内容 按照国家等级保护相关标准和要求，对其HIS、电子病历系统（三级）、PACS和网站（二级）安全等级保护测评工作，找出系统现状与相关标准要求之间的差距，遵循适度原则，提出切实可行的整改建议，完成等级保护测评报告，并提供后续检测服务。 三、项目实施参照法律法规及标准 《网络安全法》 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）； 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 [2007]43号）。 《信息安全技术 信息系统安全等级保护基本要求》（ GB/T22239-2008） 《信息安全技术 信息系统安全等级保护定级指南》（GB/T 22240-2008） 《信息安全技术 信息系统安全等级保护实施指南》 《信息安全技术 信息系统安全等级保护测评要求》 《信息安全技术 信息系统安全等级保护测评过程指南》 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006） 《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006） 《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006） 《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006） 《信息安全技术 服务器技术要求》（GB/T 21028-2007） 《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006） 《信息安全技术 信息系统安全管理要求》（GB/T20269-2006） 《信息安全技术 信息系统安全工程管理要求》（GB/T20282-2006） GB/T 18336-2001 信息技术 安全技术 信息技术 安全性评估准则 四、项目内容 1. 等级测评 通过详细的系统调研，开展对其HIS、LIS系统（三级）、PACS和网站（二级）的等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作。最终完成等级保护测评报告。 测评的内容包括但不限于以下内容： 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评； 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。 （1）、物理安全 根据临沂市中医院信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。中标人出具加盖CNAS章的机房检测报告。 （2）、网络安全 根据临沂市中医院信息系统网络安全测评记录，针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。 （3）、主机安全 主机安全现场测评包括对临沂市中医院信息系统服务器的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。 （4）、应用安全 应用安全现场测评包括对临沂市中医院信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。 （5）、数据安全及备份恢复 临沂市中医院信息系统数据安全及备份恢复现场测评包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。 （6）、安全管理制度 根据现场安全测评记录，针对临沂市中医院信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测