无锡市医保局2022年度信息安全等级保护和密码应用安全性评估服务项目服务单位遴选公告
发布时间:2022-09-30 14:18 浏览次数:【字号:默认 大 特大】
一、项目信息
1. 项目名称:无锡市医保局2022年度信息安全等级保护和密码应用安全性评估服务项目服务单位遴选
2. 采购单位:无锡市医疗保障局
3. 最高限价:24万元
二、项目内容
1. 服务期限:30天内完成等级保护测评和密码应用安全性评估服务。
2. 无锡医药招采服务与监管信息系统、无锡医保专网信息安全等级保护测评,测评服务内容和要求:
根据各信息系统的安全保护等级需求,依据国家及行业等级保护标准,通过信息安全等级保护测评的方法,查找信息系统各安全层面与相应安全保护等级标准的差距,明确存在的安全问题及现有安全措施的有效性,并针对安全问题关联的资产、威胁、脆弱性,综合分析信息系统面临的安全风险,寻求风险降低或规避的方法、提出建设整改建议、编制建设整改方案、提供整改实施技术支持。并在整改实施完成后,通过开展等级测评工作,验证建设整改的效果及与标准的符合度,明确信息系统是否达到了相应安全保护等级的防护能力。编制提交《信息系统安全等级测评报告》,同时为以后的安全决策、安全管理、安全运维、持续整改提供依据。
具体工作内容及要求如下:
①、开展信息系统安全等级保护现状测评工作
依据相关标准,结合行业特点和自身安全需求,为信息系统开展信息系统安全等级保护现状测评工作,提供包括但不限于以下服务内容:
1)信息收集:对项目涉及的所有信息系统开展调研工作,明确所有系统的物理环境及机房基础设施情况,网络架构,网络设备、安全设备部署情况,服务器分布及操作系统、数据库系统使用情况,应用系统业务流程、数据流向、用户群体情况,数据传输及存储备份情况,系统的高可用性需求情况,安全管理制度建设及执行情况。并根据收集的信息建立基础台账。
2)方案编制:根据收集的基础信息,识别各信息系统网络结构及其网络覆盖范围,系统构成、资产识别与赋值、威胁识别与赋值,明确检测评估目的及流程、明确检测评估对象及指标、明确检测评估方法及工具扫描接入点、明确检测评估实施步骤及配合需求、明确检测评估的实施计划。并据此编制实施方案、开发实施指导书。
3)现场检测评估实施:依据测评方案、参照实施指导书,通过访谈、检查、测试、实地查看等方法开展现场检测评估活动,详细记录每个检测评估对象的安全现状。形成现场检测评估记录表。
4)数据汇总分析:根据现场检测评估记录,按照安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心几个安全层面,汇总各安全层面测评对象的安全现状,明确已有安全措施的有效性,识别测评对象关联资产的脆弱性。形成安全措施汇总表、安全问题汇总表。
5)安全问题交流:通过交流会的形式,对安全措施汇总表、安全问题汇总表中的内容进行沟通交流,明确安全问题是否真实存在,如有遗漏或不确定项需进行补充检测并详细记录结果;并针对存在的问题,结合威胁被利用的可能性、威胁被利用后的后果严重性,交流降低或规避风险的方法,提出初步的建设整改建议。
6)建设整改方案设计:在明确安全问题的基础上,依据交流的建设整改建议,结合各信息系统实际情况,编制建设整改方案,为下一步建设整改实施提供依据。
②、开展信息系统安全等级保护符合性测评工作
采购方建设整改工作完成后,针对现状测评过程中存在的安全差距开展符合性测评工作,确认之前存在的问题是否已经解决,验证整改活动是否已经切实有效的执行。若未完成,需配合采购方继续进行安全建设整改工作;当整改工作中的主要安全问题已基本解决,则编制提交《信息系统安全等级测评报告》。
③、项目实施方案,技术支持和服务保障
(1)针对本项目所描述项目需求进行业务分析并提出项目总体实施方案、测评方案。
(2)实施方案,包括项目进度表和组织机构。
(3)技术支持和服务,要求制定详细的支持和服务保障方案,提供服务项目清单及自身服务承诺 (包括服务周期时间、费用)。
(4)为完成本项目,投标方应组建工作小组、明确组成人员职责。
(5)在项目现场实施周期内,投标人须为本项目成立等级保护测评小组,安排包括项目经理和核心技术人员在内现场驻场服务;驻场人员未经采购方同意项目实施途中不得随意更换;成员均须具有信息安全等级测评师资格,必须符合投标时投标文件中明确的人员。
3.无锡医药招采服务与监管信息系统密码应用安全性评估:
①、提供密码方案评估服务
根据被测系统的定级情况,依据相关政策法规,结合各业务应用系统的密码应用实际需求,从系统现状分析、安全风险及控制需求分析、密码应用需求分析、密码应用总体方案设计、密码应用详细设计(包括密码产品、算法、技术、服务在物理和环境、网络和通信、设备和计算、应用和数据安全的详细实现)、设计符合性检查等层面对密码应用解决方案进行评审和技术审核,提出针对性的建议,以确保各单位人员、各业务信息系统更好地规划设计密码应用。
②、提供密码应用安全性评估
根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,从物理和环境、网络和通信、设备和计算、应用和数据安全、管理制度、人员管理、建设运行、应急处置等方面进行测评,并根据评估情况,给出完善上述系统密码应用安全的合理化建议, 结合量化评估准则,输出测评结果,出具《商用密码应用安全性评估报告》。
③、协助密码应用安全性评估结果备案
协助被测单位填写密码应用安全性评估备案表,配合被测单位到属地密码管理部门完成备案工作。
4、政策依据:
《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)
2) 《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)
3) 《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
4) 《信息安全等级保护管理办法》(公通字[2007]43号)
5) 关于开展信息安全等级保护安全建设整改工作的指导意见(公信安[2009]1429号)
6) 《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)
7) 《计算机信息系统安全保护等级划分准则》(GB 17859-1999 )
8) 《信息安全技术信息系统安全等级保护定级指南》(GBT 22240—2020)
9) 《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)
11)《中华人民共和国网络安全法》
12)《商用密码管理条例》
三、项目需求
为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》、《信息安全等级保护管理办法》的精神,同时根据《中华人民共和国网络安全法》的要求,对无锡医药招采服务与监管信息系统、无锡医保专网开展信息安全等级保护测评;依照有关标准和法律法规以及采购人的需求,利用系统、全面、科学的应用评估设计有效地组织实施,独立、客观、公正地分析评估和报告无锡医药招采服务与监管信息系统密码应用安全性的整体状况,对各子模块的密码技术应用、密钥管理、安全管理等方面进行全面评估,验证系统是否满足国家和省委、省政府关于政务信息系统密码应用安全性的要求。
四、申报条件
1.申报人须是在中华人民共和国境内依法注册,具有独立法人资格的法人或其他组织,提供营业执照或相关部门的登记证明文件复印件并加盖公章。
2.申报人需具备具有网络安全等级测评与检测评估机构服务认证证书,提供相关资质的复印件并加盖公章。
3.申报人需须符合《政府采购法》第二十二条规定,且为法人或组织:
①.具有独立承担民事责任的能力;
②.具有良好的商业信誉和健全的财务会计制度;
③.有依法缴纳税收和社会保障资金的良好记录;
④.参加政府采购活动前三年内,在经营活动中没有重大违法记录,提供合同关键页复印件并加盖公章等证明材料。
4.申报人需提供近三个月中任意一个月份(不含报价当月) 的财务状况报告(资产负债表和利润表)或由会计师事务所出具的近两年中任意一个年度的审计报告和所附已审财务报告复印件并加盖公章。
5.申 报 人 须 提 供 通 过 “ 信 用 中 国 ” 网 站(www.creditchina.gov.cn)渠道查询的信用记录报告的网上打印件并加盖公章,未提供上述信用记录或被列入失信执行人,资格审查不予通过。
6.请申报单位于10月12日下午17时前将申报表(见附件)(一式三份)及相关材料的加盖单位公章扫描版和电子版发送至邮箱wxybgcc@163.com。
五、组织评审
由无锡市医疗保障局组织评审会,确定中选单位。
六、联系方式
部门:无锡市医疗保障局规划财务和法规处(信息管理处)
地址:无锡市观山路 199 号市民中心 8 号楼 206室
电话:(0510)81828446 联系人:江先生
信箱: wxybgcc@163.com 邮编:214000
附件:
无锡市医保局2022年度信息安全等级保护
和密码应用安全性评估服务项目
服务单位申报表
申报时间:2022 年 月 日
|
承担单位 |
|
||||||||||||||||||||||||||||||||
|
单位地址 |
|
||||||||||||||||||||||||||||||||
|
项目负责人 |
|
联系电话 |
|
职务/职称 |
|
||||||||||||||||||||||||||||
|
经办人 |
|
联系电话 |
|
职务/职称 |
|
||||||||||||||||||||||||||||
|
(格式自拟) 一、服务内容和方案
二、对照申报条件的相关承诺
三、服务组织措施、质量保证措施
四、报价及构成
五、项目组成员名单
|
|||||||||||||||||||||||||||||||||
