大邑县妇幼保健院网络安全等级保护测评服务项目采购市场调研公示
大邑县妇幼保健院网络安全等级保护测评服务项目采购市场调研公示
一、项目名称:网络安全等级保护测评服务项目
二、我院因科室业务发展需要,为了更进一步的了解产品的价格、功能配置、市场使用情况和技术性能,经院长办公会、党总支会决定,拟对该产品进行院内前期咨询,本市场调研项目在我院官网:http://dybjy120.com/index.aspx 上公开发布(提供免费下载),供符合条件的生产企业、经营企业以及潜在供应商前来参加产品市场调研。
三、项目需求:
二、项目建设方案
依据《GBT 28448-2019信息安全技术 网络安全等级保护测评要求》,按照《信息安全技术 网络安全等级保护测评过程指南》GB-T 28449-2018要求,采取相应的测评方法(包括:访谈、检查、测试),按照相应的测评规程对测评对象(包括:制度文档、各类设备、安全配置、相关人员)进行相应力度(包括:广度、深度)的单元测评、整体测评,对测评发现的风险项进行分析评估,提出合理化整改建议,最终得到相应的信息系统等级测评报告。
4.2 测评要求
4.3 测评内容
4.3.1安全物理环境
4.3.2安全通信网络
安全通信网络检查主要是了解系统的网络架构和通信传输等,涉及对象为防火墙、核心路由器、核心交换机等设备和网络架构。在内容上,安全通信网络层面测评过程涉及的工作单元,具体如下表:
表2 安全通信网络测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 网络架构 | 检查核心设备的CPU和内存使用率,整个网络带宽是否满足现状,VLAN划分是否合理,网络架构是否做到设备冗余、链路。 |
2 | 通信传输 | 检查数据在传输过程中的的完整性和保密性措施。 |
3 | 可信计算 | 检查设备是否进行可信验证。 |
4.3.4安全计算环境
安全计算环境检查主要是了解系统的运行环境是否采取了相关安全措施,涉及对象为网络设备、安全设备、操作系统、数据库、中间件等。在内容上,安全计算环境层面测评实施过程涉及的工作单元,具体如下表:
表4应用系统安全测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 身份鉴别 | 检查所有设备的登录用户是否有身份鉴别措施,是否有复杂度、唯一性等检查。 |
2 | 访问控制 | 检查用户的权限分配情况,默认用户和默认口令使用情况等。 |
3 | 安全审计 | 检查是否开启安全审计功能,是否能审计到每个用户,审计记录是否有保护措施。 |
4 | 入侵防范 | 检查设备在运行过程中的入侵防范措施,如关闭不需要的端口和服务、最小化安装、部署入侵防范产品等。 |
5 | 恶意代码防范 | 检查设备的恶意代码防范情况。 |
6 | 可信验证 | 检查设备是否进行可信验证。 |
7 | 数据完整性 | 检查系统数据的传输完整性和存储完整性措施。 |
8 | 数据保密性 | 检查系统数据的传输保密性和存储保密性措施。 |
9 | 数据备份恢复 | 检查系统的安全备份情况,如重要信息的备份、硬件和线路的冗余等。 |
10 | 剩余信息保护 | 检查系统的剩余信息保护情况,如将用户鉴别信息以及文件、目录和数据库记录等资源所在的存储空间再分配时的处理情况。 |
11 | 个人信息保护 | 检查系统对个人信息的采集和使用情况。 |
4.3.6安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况,主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上,安全管理制度测评实施过程涉及的工作单元,具体如下表:
表6安全管理制度测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 安全策略 | 核查网络安全工作的总体方针和安全策略文件是否明确机构安全工作的总体目 标、范围、原则和各类安全策略 |
2 | 管理制度 | 检查有关管理制度文档和重要操作规程等过程,测评信息系统管理制度在内容覆盖上是否全面、完善。 |
3 | 制定和发布 | 检查有关制度制定要求文档等过程,测评信息系统管理制度的制定和发布过程是否遵循一定的流程。 |
4 | 评审和修订 | 检查管理制度评审记录等过程,测评信息系统管理制度定期评审和修订情况。 |
4.3.8人员安全管理
安全管理人员测评是为了了解单位人员安全方面的情况,主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上,安全管理人员测评实施过程涉及的工作单元,具体如下表:
表8安全管理人员测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 人员录用 | 检查人员录用文档等过程,测评信息系统录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。 |
2 | 人员离岗 | 检查人员离岗安全处理记录等过程,测评信息系统人员离岗时是否按照一定的手续办理。 |
3 | 安全意识教育和培训 | 检查培训计划和执行记录等文档,测评是否对人员进行安全方面的教育和培训。 |
4 | 外部人员访问管理 | 检查有关文档等过程,测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。 |
4.3.10、安全运维管理
安全运维管理测评是为了了解系统运维管理过程中的安全控制情况,主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上,安全运维管理测评实施过程涉及的工作单元,具体如下表:
表10安全运维管理测评内容
序号 | 工作单元名称 | 工作单元描述 |
1 | 环境管理 | 检查机房安全管理制度,机房和办公环境等过程,测评是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。 |
2 | 资产管理 | 检查资产清单,检查系统、网络设备等过程,测评是否采取必要的措施对系统的资产进行分类标识管理。 |
3 | 介质管理 | 检查介质管理记录和各类介质等过程,测评是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。 |
4 | 设备维护管理 | 检查设备使用管理文档和设备操作规程等过程,测评是否采取必要的措施确保设备在使用、维护和销毁等过程安全。 |
5 | 漏洞和风险管理 | 检查系统对于漏洞和安全隐患风险的管理,是否有报告、记录等文档,是否定期开展安全测评等。 |
6 | 网络和系统安全管理 | 检查系统和网络的安全管理文档,是否明确了角色划分、权限划分,是否覆盖安全策略、账户管理、配置文件的生成及备份、变更审批等内容;检查运维操作日志是否覆盖网络和系统的日常巡检、运行维护、参数的设置和修 改等内容;核查是否具有对日志、监测和报警数据等进行分析统计的报告;核查开通远程运维的审批记录,核查针对远程运维的审计日志是否不可以更改等。 |
7 | 恶意代码防范管理 | 检查恶意代码防范管理文档和恶意代码检测记录等过程,测评是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。 |
8 | 配置管理 | 检查是否对基本配置信息进行记录和保存,基本配置信息改变后是否及时更新基本配置信息库等。 |
9 | 密码管理 | 测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。 |
10 | 变更管理 | 检查变更方案和变更管理制度等过程,测评是否采取必要的措施对系统发生的变更进行有效管理。 |
11 | 备份与恢复管理 | 检查系统备份管理文档和记录等过程,测评是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。 |
12 | 资产管理 | 检查是否有资产清单,清单是否包括资产类别、资产责任部门、 重要程度和所处位置等内容;是否依据资产的重要程度对资产进行标识,不同类别的资产在管理措施 的选取上是否不同;核查资产管理制度是否明确资产的标识方法以及不同资产的管理措施要求。 |
13 | 应急预案管理 | 检查应急响应预案文档等过程,测评是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。 |
14 | 外包运维管理 | 检查外包运维服务情况,单位是否符合国家有关规定,协议是否明确约定外包运维的范围和工作内容等。 |
4.4交付产物
五、特殊证明材料
★特殊条件证明材料:供应商具有网络安全等级保护测评机构推荐证书。
注:以上打“★”项的为本次采购项目的实质性要求,供应商须全部满足,若不满足或不响应,做无效响应文件处理。
四、市场调研期限:2021年7月13日-2021年7月19日。
市场调研期间,请各潜在供应商到我院招标采购办公室递交相关资料。
五、提供真实齐全的资质证明文件一份(保证所提供的各种材料和证明材料的真实性,承担相应的法律责任,并请按照下面的顺序装订):
1、封面(注明品目、公司名称、联系人、联系电话、加盖公司印章)
2、有效的营业执照、税务登记证、组织机构代码证或三证合一营业执照(副本);
3、公司执业证书;
4、法人授权委托书,法人、委托代理人身份证复印件。
5、国家规定的其它相关资质证明文件或其它涉及特许经营许可的须提供经营许可证书的复印件。
6、报价一览表(格式见附件1)
7、业绩证明文件(提供近三年内,所推荐产品在国内、川内同类项目中标一览表,含主要客户名单、联系方式、中标价格以及合同复印件或近三个月内送货复印件<需有客户签名>或银行进账联复印件;(格式见附件2)
8、封底
六、报价要求
1.以人民币报价(格式见附件1)。
2.报价表中的价格应包括伴随服务等所有费用。
七、其他说明:
1、根据要求及自身实际用A4纸编制市场调研书,严格按上述第五条的装订顺序进行编制市场调研书。
2、提供的所有资料须加盖鲜章。
3、特别申明:现公示的需求能因市场了解的局限性,仅作为医院市场调研参考使用,无任何针对性,如有不全之处,敬请理解,并请参与单位详实介绍推荐产品,最终配置和技术参数以购买时为准。对未公示的需求,请各潜在供应商自行提供。
八、市场调研书的递交:于2021年7月19日12:00时以前一式一份送交大邑妇幼保健院招标采购办(综合楼2楼)。
地址:大邑县内蒙古大道539号
联系人:文老师
电 话:028-88228338
附件1:报价一览表
序号 | 数量 | 单价 | 备注 |
|
|
|
|
|
|
|
|
注:1. 报价应是最终用户验收合格后的总价。
2.“报价一览表”为多页的,每页均需由法定代表人或授权代表签字并盖投标人印章。
公司名称:
代表签字:
联系方式:
日期:
附件2:用户情况表
省外省级以上单位用户 | 用户名称 | 合同价格或中标价格 | 中标时间 | 联系人及联系方式 | 备注 |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
省内省级单位用户 |
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
省内其他用户 |
|
|
|
|
|
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
| |
|
|
|
|
|
扫一扫 手机端浏览