您的位置:宜宾卫生计生网 - 文章正文
宜宾市卫生和计划生育委员会

关于公开比选宜宾市全民健康信息平台信息安全等保测评服务机构的公告
2018-12-6 来源:宜宾市卫生和计划生育委员会

为了保障宜宾市全民健康信息平台安全稳定运行,根据国家、行业信息安全相关法律、政策要求,宜宾市卫生和计划生育委员会决定面向社会公开比选宜宾市全民健康信息平台信息安全等保测评服务机构。现将有关事项公告如下:

一、委托单位

宜宾市卫生和计划生育委员会。

二、申请单位资质要求

具有信息安全等级保护测评机构推荐证书的测评服务机构。

三、服务内容

(一)项目概况

宜宾市全民健康信息平台作为宜宾市卫生计生行业内各业务信息系统的数据存储中心和信息交换平台,是辖区内各级各类卫生计生机构实现互联互通、信息共享和业务协同的核心。平台以服务群众为中心,实现电子居民健康档案的动态管理,为居民提供统一预约挂号、健康信息查询和个性化健康服务;整合卫计资源,支撑公共卫生、计划生育、医疗服务、医疗保障、药品管理、综合管理等方面业务协同;加强卫生计生综合监管,助推医药体制改革,落实分级诊疗,实现精细化管理、健康大数据分析和决策支持。

宜宾市全民健康信息平台于2017年开始建设并投入启用,硬件设备全部安装部署在宜宾市云计算中心,中心端网络采用双链路冗余设计,基于宜宾市人口健康信息专网,整合打通政务外网,初步构建起了覆盖市、县、乡三级卫生计生机构的宜宾市人口健康信息专用网络体系。目前平台已成功接入了省级平台和10个县区级平台,并累计接入医疗机构326家,其中市、县级公立医疗机构37家,乡镇级医疗机构191家,民营医疗机构98家。

(二)参考测评依据

GB17859-1999计算机信息系统安全保护等级划分准则

GB/T22239—2008信息系统安全等级保护基本要求

GB/T22240—2008信息系统安全等级保护定级指南

GB/T25058-2010信息系统安全等级保护实施指南

GB/T25070-2010信息系统等级保护安全设计技术要求

GB/T 20984-2007 信息安全风险评估规范。

《卫生行业信息安全等级保护工作的指导意见》(卫办发〔2011〕85号)

(三)服务内容及要求

1. 在项目实施前,应根据差距分析的结果及招标人实际情况,编制信息安全等级保护测评方案。

2. 系统定级与备案。对业务信息开展调研,依据《信息系统安全等级保护定级指南》(GB/T 22240-2008)要求,遵循规范的流程确定定级对象并确定受侵害的客体和侵害程度,形成定级建议书,为委托方的系统定级和备案工作提供参考。

3.投标人按照项目服务范围,依据等级保护测评相关标准、规程对信息系统进行等级保护测评工作,提供测评的内容包括但不限于以下内容:

安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;

安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析和整体分析,出具差距分析报告。

4. 投标人根据招标人临时或计划的要求,响应等保整改方案中的所有内容,投标方提供符合信息安全等保要求的相关制度、规定、技术文档等模版,指导招标方进行信息安全整改工作。

5. 在系统整改完成以后,投标人应对招标人重要信息系统提供正式测评,测评范围包括但不限于如下内容:

安全技术测评:物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

投标人须出具符合国家要求的等级保护测评报告。

6. 投标人完成对招标人信息系统等级保护系统测评工作后,应并协助招标人完成宜宾市网监部门的等保备案工作,以保证信息系统可以顺利通过信息系统等级保护测评。

7. 渗透测试服务

对项目中所涉及的业务系统,提供一次安全渗透服务。具体包括:

基础测试。主要有:(1)弱口令帐号,(2)目标设备是否存在测试页面或者后台管理页面没有做访问地址限制,(3)目标设备对互联网接口是否开放telnet、ssh、远程桌面、等常用维护端口,(4)目标设备是否存在安全漏洞,并对漏洞进行修复。

全面测试。对本应用系统所涉及的相关网络、主机、数据库等各况进行深入测试,查找系统的脆弱性。对发现的安全问题进行全面测试,验证是否可以获取信息系统主机控制权、应用系统控制权、数据库数据、重点关注客户信息、内容信息泄露、篡改、非法传播的风险。

8. 安全加固咨询。根据等级保护测评结果和客户需求提供一年内2次的安全加固咨询服务。

9. 应急支援与安全培训服务。针对被测系统在合同有效期内,提供7×24安全事件小时应急响应和支援服务,确保信息系统安全。

10. 安全技术培训。根据招标人的需求,投标人须提供至少一次信息安全方面的现场培训服务。

四、申请时间安排

(一)申请单位可登录宜宾市卫生和计划生育委员会网站(http://www.ybws.gov.cn/),下载申请书。

(二)申请单位如实填写《申请书》,通过邮寄(一式5份)并连同电子邮件发送至宜宾市卫生和计划生育委员会规划财务科(以收到时间为准),邮件地址ybswsjjck@163.com,请在信封上和电子邮件主题处注明“宜宾市全民健康信息平台信息安全等保测评服务机构申请”,我委接件截止日期为2018年12月12日下午18:00。

(三)组织评审。宜宾市卫生和计划生育委员会组织专家组成评审小组。评审小组按照我委相应评审工作方案中确定的评审办法开展评估,从资质、案例、方案、人员配备、报价等方面进行评审(评审办法详见附件),确定项目承担单位。录选结果于2018年12月14日前在宜宾市卫生和计划生育委员会网站(http://www.ybws.gov.cn/)进行公示。

五、项目年限和进度要求

本项目服务有效期半年,自合同签订之日起开始计算。

(一)中标单位应在录选结果公示之日起7个工作日内与四川省宜宾市卫生和计划生育委员会签订项目服务合同,过期视为自动放弃。

(二)自签订服务合同之日起20个工作日内,中标单位负责完成市级平台信息呢安全等级测评工作,并出具合格的测评报告。

(三)自签订服务合同之日起30个工作日内,中标单位配合业主方完成公安网监部门的等保备案工作,并获得系统等保备案证书。

(四)自签订服务合同之日起6个月内,中标单位完成渗透测试、安全加固咨询、应急支援与安全培训、安全技术培训等规定的服务内容。

六、项目最高限额

项目最高限额:9万元。

、付款方式

本项目采取分期支付方式。合同生效之日起20个工作日内,招标方支付合同金额的50%;中标方提交最终测评报告,配合业主方完成公安机关网监部门等保备案工作且获得备案证书,完成相关中标方提交付款申请,招标方收到付款申请的20个工作日内向中标方支付合同金额的50%。

、申请方所提供资料要求

1.针对本项目的单位承诺函和项目负责人授权书(原件)。

2.项目负责人身份证(复印件盖单位公章)。

3.有效的企业营业执照副(复印件盖单位公章)。

4.税务登记证(复印件盖单位公章)。

5.组织机构代码证或者是统一社会信用代码证(复印件盖单位公章)。

6.信息安全等级保护测评机构推荐证书(复印件盖单位公章)

7.报价表(原件)

8.综合评分表中所需要得分的相关资质证明(复印件盖单位公章)。

、联系方式

地址:宜宾市南岸商贸路105号(沃尔玛斜对面),邮编:644002。

联系人:袁先生

联系电话:0831-2325795

电子邮箱:ybswsjjck@163.com

十、其他

附件:综合评分表