******医院
关于三级等保测评工作的市场调研公告
我院因工作需要,现征集三级等保测评工作的相关资料。请有相关产品及信息且具有合法合格资质的供应商与我院采购办联系。
我院参与三级等保测评的信息系统包括:his、lis、pacs、集成平台、hrp、emr 共6个系统,具体服务要求详见附件1。
一、供应商提供的三级等保测评服务需包括:
1.对以上信息系统进行第一次测评
******医院开展整改工作
3.整改完成后,进行第二次测评
4.最终测评完成后,提供合法有效的三级等保测评报告
二、各供应商提供的资料应包括以下内容:
1.报价表
2.公司资质复印件
3.具备等保测评资质的测评机构
4.经相关部门认可的等保测评资质证明材料
5.在省内其他机构进行三级等保测评的过往案例(如合同等)
三、报名时间:2024年10月25日至2024年11月1日,
8:00-12:00 14:30-17:30(周末除外)
******医院),请邮寄纸质版。
五、联系方式:张老师 ******
附件1:三级等保测评技术及服务要求
三级等保测评技术及服务要求
一、测评对象:
根据******管理中心等方面。
二、具体服务内容包括:
(1)乙方需协助甲方进行信息系统的信息安全等级定级和备案工作。
(2)差距测评,至少包括:
******管理中心等五个方面的安全测评。
安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计;通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以及整改意见。
(3)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务。
(4)等级测评,至少包括:按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。
编制测评报告,制定并提交《系统信息安全等级测评报告》。
三、其他要求
1.验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内容:
(1)渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在 sql、cookie 注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
(2)漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
(3)攻防演练
针对其中一个测评系统,开展攻防演练,并提供攻防演练报告,报告中体现通过攻防演练发现的系统中存在的问题,并提供整改建议。
2.安全要求
乙方在项目实施过程中,必须遵守以下技术原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购方的行为,否则甲方有权追究乙方的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:乙方的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评出具的报告须符合公安部颁布的《信息系统安全等级测评报告模板》。
(4)可控性原则:等保测评服务的进度要按照招标文件的要求,保证采购方对于测评工作的可控性。
(5)整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求测评要求涉及的各个层面。
(6)安全性原则:等保测评服务工作应不得影响系统和网络的正常运行;测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。
(7)测评机构资质及人员要求:
从事信息系统检测评估相关工作人员无违法记录。
工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
关于三级等保测评工作的市场调研公告
我院因工作需要,现征集三级等保测评工作的相关资料。请有相关产品及信息且具有合法合格资质的供应商与我院采购办联系。
我院参与三级等保测评的信息系统包括:his、lis、pacs、集成平台、hrp、emr 共6个系统,具体服务要求详见附件1。
一、供应商提供的三级等保测评服务需包括:
1.对以上信息系统进行第一次测评
******医院开展整改工作
3.整改完成后,进行第二次测评
4.最终测评完成后,提供合法有效的三级等保测评报告
二、各供应商提供的资料应包括以下内容:
1.报价表
2.公司资质复印件
3.具备等保测评资质的测评机构
4.经相关部门认可的等保测评资质证明材料
5.在省内其他机构进行三级等保测评的过往案例(如合同等)
三、报名时间:2024年10月25日至2024年11月1日,
8:00-12:00 14:30-17:30(周末除外)
******医院),请邮寄纸质版。
五、联系方式:张老师 ******
附件1:三级等保测评技术及服务要求
三级等保测评技术及服务要求
一、测评对象:
| 序号 | 系统名称 | 等级 |
| 1 | his系统 | 三级 |
| 2 | lis系统 | 三级 |
| 3 | pacs系统 | 三级 |
| 4 | emr | 三级 |
| 5 | 集成平台 | 三级 |
| 6 | hrp | 三级 |
| 7 |
根据******管理中心等方面。
二、具体服务内容包括:
(1)乙方需协助甲方进行信息系统的信息安全等级定级和备案工作。
(2)差距测评,至少包括:
******管理中心等五个方面的安全测评。
安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
形成问题汇总及整改意见报告。依据测评结果,对等级测评结果进行汇总统计;通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》,列出被测信息系统中存在的主要问题以及整改意见。
(3)协助完成整改工作。依据整改方案,为安全整改的各项工作提供技术咨询服务。
(4)等级测评,至少包括:按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。
编制测评报告,制定并提交《系统信息安全等级测评报告》。
三、其他要求
1.验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内容:
(1)渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在 sql、cookie 注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
| 注入 | 失效的身份认证 |
| 敏感信息泄露 | xml 外部实体(xxe) |
| 失效的访问控制 | 安全配置错误 |
| 跨站脚本(xss) | 不安全的反序列化 |
| 使用含有已知漏洞的组件 | 不足的日志记录和监控 |
(2)漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
(3)攻防演练
针对其中一个测评系统,开展攻防演练,并提供攻防演练报告,报告中体现通过攻防演练发现的系统中存在的问题,并提供整改建议。
2.安全要求
乙方在项目实施过程中,必须遵守以下技术原则:
(1)保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购方的行为,否则甲方有权追究乙方的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:乙方的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制,测评出具的报告须符合公安部颁布的《信息系统安全等级测评报告模板》。
(4)可控性原则:等保测评服务的进度要按照招标文件的要求,保证采购方对于测评工作的可控性。
(5)整体性原则:等保测评服务的范围和内容应当整体全面,包括国家等级保护相关要求测评要求涉及的各个层面。
(6)安全性原则:等保测评服务工作应不得影响系统和网络的正常运行;测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。
(7)测评机构资质及人员要求:
从事信息系统检测评估相关工作人员无违法记录。
工作人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
测评期间需遵守被测单位相关管理规定,禁止利用测评工作从事危害被测单位利益、安全的活动。
