一、建设项目简介
( 一 ) 建设目标
为 落 实《中华人民共和国网络安全法》《中华人民共和国密码法》的相关要求, 须对重要信息系统开展网络安全等级保 护测 评及商用密码安全性评估工作。本项目的工作内容主要为两个方面,一是网络安全等 级保 护测评,使信息系统在技术安全、系统管理、应急保障等方面达到了国家安全等级标 准; 二是商用密码安全性评估,确保商用密码在网络和信息系统中有效使用,切实构建起 坚实可靠的网络安全密码屏障。
( 二 ) 建设内容
结合全民智慧健康医疗系统项目开展信 息 系统网络安全等级保护测评、商用密码安全性评估,共包含 3 个信息系统。
| | 系统名称 | 等 保级别 |
| 1 | 全民健康信息平台 | 3 级 |
| 2 | 基层医疗机构综合信息系统 | 3 级 |
| 3 | 丹东互联网医院平台 | 3 级 |
( 三 ) 安全测评目标
本次安全 测评的总体工作目标是:完成丹东 市卫生健康委员会全民智慧健康医疗系统项目子系统包括:全民健康信息平台、基层医疗机构综合信息系统、丹东互联网医院平台 的网络安全等级保护测评和商用密码安全性评估工作,了解和掌握信息系统的安全总体状况,发现存在的主要问题和薄弱环节,完善信息系统安全防护体系 ,全面 提升 信息系统的安全防护水平,更好地保障信息系统的正常运行,达到国家信息安全对等 级保护、密码应用等相关政策、文件与标准的要求。
( 四 ) 安全评测服务期
自合同签订之日起,根据项目各子系统上线试运行时间节点要求,完成信息系统网络安全等级保护测评和商用密码安全性评估测评服务,出具相关测评报告。
二 、网络安全等级保护测评内容
( 一 ) 测评内容
根据《信息 安全技术网络安全等级保护基本要求》 (GB/T22239-2019) 、《信息安全技 术网络安全等级保护测评要求》 ( GB / T 28448-2019) 、 《信息安全技术网络安全等级保护 测评过程指南》 ( GB / T 22449-2018) 等标准,对丹东市 全民智慧健康医疗系统项目 进行网络 安全等级 保 护测评。
根据等级保护 2.0 标准的要求,测评内容包括安全物理环境、安全通信网络、安 全 区 域边界、安全 计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、 安 全建设管理、云计算安全扩展要求等,具体安全测评技术要求包括:
1. 安全物理环境测评。主要包括物理位置选择、物理 访问控制、防盗和防破坏、防雷 击 、防火、电力供应等方面。
2 . 安全计算环境测评。主要包括身份鉴别、访问控制、安全审计、入侵防范、恶意代 码防范、可信验证、数据完整性、数据保 密性等方面。
3. 安全区域边界测评。主要包括边界防护、访问控制、入侵防范、恶意代码和垃圾 邮 件防范 、 安全审计、可信验证等方面。
4. 安全通信网络测 评。主要包括网络架构、通信传输、可信验证等方面。
5. 安全管理中心测评 。主要包括系统管理、审计管理、安全管理、集中管控等方面。
6. 安全管理制度测评。主要包括安全策略、管理制度、制定与发布、评审与修订等方 面 。
7. 安全管理机构测评。主要包括 岗位设置、人员配备、授权和审批等方面。
8. 安全管理 人员测评。主要包括人员录用、人员离岗、安全意识教育和培训等方面。
9. 安 全建设管理测评。主要包括定级和备案、安全方案设计、产品采购使用、自行软 件开发、外包软件开发、测试验收、等级 测评等方面。
10. 安全运维管理 测评。主要包括环境管理、资产管理、介质管理、设备维护管理、漏 洞和 风险管理、网络和系统安全管理、恶意代码管理、密码管理、备份与恢复管理、应急 预 案管理等方面。
11. 云计算安全测 评。主要包括安全物理环境、安全通信网络、安全区域边界、安全计 算 环境、安全管理中心等方面。
( 二 ) 服务频率
在服务期内,针对全民健康信息平台、基层医疗机构综合信息系统、丹东互联网医院平台各开展 1 次信息系统网络安全等级保护测评工作。
( 三 ) 主要流程及交付成 果
《 网络安全等级保护测评报告》。
三 、商用密码应用安全性评估
( 一 ) 评估内容
依据 GB / T 9786-2021 《信息安全技术 信息系 统密码应用基本要求》、 GM/T0115- 2021 《信息系统密码应用测评要求》、 G M / T 0116-2021 《信息系统密码应用测评过程指 南》、 《 商用密码应用安全性评估量化规则》和系统自身的安全需求,对 3 个等保三级系统 进行商 用 密码应用安全性评估。具体安全测评技术要求包括:
( 1) 密码应用方案咨询
密码应用 方案是信息系统密码部署和建设、信息系统开展密评工作、建立信息系统密 码管理策 略和制度的重要依据。要求服务方从技术角度结合密码应用安全需求,对密码应 用方案涉 及的总体方案设计、技术方案设计、管理体系设计、运维体系设计、安全与合规 性方面进行分析,提供咨询 建议,并协助招标人开展方案评审工作。
( 2) 商用密码应用安全性评估要求
根据被评估 对象的实际情况、所属行业及系统使用的密码产品情况,选择并确定测评依据。在系 统真实环境下进行测评,以评估密码保障是否安全有效,密码使用是否合规、 正 确、有效,发现系统密码应用存在的问题,并提供问题清单和整改加固建议,出具《商 用 密码应用安全性评估报告》。
测评内容 包括从密码算法、密码技术、密码产品、密码服务、物理和环境安全、网络 和 通 信安全、设备和计算安全、应用和数据安全、密钥管理和安全管理 ( 制度、人员、实施、应急 ) 等方面进行密码应用安全性评估 。
(3) 协助完成备案工 作
协助招标人完成系统的商用密码应用安全 性评估备案工作。
( 二 ) 服务频率
在服务期内,针对全民健康信息平台、基层医疗机构综合信息系统、丹东互联网医院平台各开展 1 次商用密码应用安全性评估工作。
( 三 ) 密评成果
《密码应用安全性评估报告》。
四 、实施要求
( 一 ) 组织人员要求
投标人负责 提出项目实施的项目人员配置方案,主要要求如下:
1. 项目实施由投标人安 排项目经理,组织项目专家,配合项目单位,负责项目管理、 项目质量控制、项目进度控制、项目测试验收等工作 。
2. 投标人应提供 至 少 1 人担任项目经理,要求具有 5 年及以上相关测评工作经验,具 有网 络安全等级测评师高级证书、商用密码应用安全性评估人员测评能力考核,并同时具 备较强的沟通协调能力;具有预见和应对项 目风险能力。
3. 投标人在项目建设中,应选派工作责任心强、技术水平高、业务熟练、具备相关 测 评实施 经 验的人员参加该项目的建设。
4. 招标人 如认为投标人的项目组成员达不到要求,有权要求投标人更换,投标人必须 负责在一周之内调换符合招 标人要求的项目成员。投标人应按阶段提交项目参与人员名单, 经招 标人确认。投标人应保证项目组成员的稳定性,如特殊情况需要调整项目组成员的, 应提前一个月书面通知招标 人,并获得招标人的确认后才能安排调整。
5. 为确保项目顺利实施,项目实施队伍应保持适当的规模,项目组组织结构需分工 合 理、层次清晰,且分工要为适应项目实施需要。配备人员数量应满足项目需要,原则上每 一现场实施人员不得少于 5 人, 不允许职责交叉,不得因为人员离职影响项目的正常开展。
6. 项目经理、实施人员应满足项目需要,如果人员不能胜任,招标人有权要求投标人更换人员。投标人原则上不允许更换人员,若更换人员必须书面征得招标人同意,且更换 的人员必须具有同等级别和实施经验,并且做好项目交接和资料回收工作;人员搭配应合 理 , 并满足项目实施的要求。
( 二 ) 服务质量要求
投标 人是本包件技术服务与质量保障的主要承担者和责任人。投标人必须能依据招标 书中各项需求 提供及时、高效的技术保障与服务,协助招标人方实现系统的长期稳定运行。 技术 与质量保障的范围包括本包件所涉及的所有服务。在合同规定的技术服务范围及期限 内,不得另行收费 。 具体服务与质量保障要求如下:
1. 投标人必须拥有完善的技术保障服务体系,能够为 本包件的所有招标人提供统一快 捷的 技 术保障服务。投标人必须向招标人免费提供电话、 E-Mail 技术支撑等方式。
2. 现场实施过程中,在进行渗透检测或其他安全评估时务必做到对生产系统、业务连续性造成任何负面影响的风险实行规避策略。例如系统、应用异常,产生垃圾数据,数据紊乱等。整改过程中,应提供整改需求说明及整改内容,并协助完成整改。
3. 投标人参与项目的所有人员应严格遵守招标人的保密要求签订保密协议和保密承 诺 书 , 并由投标人担保。投标人对于招标人提供的资料,以及本包件实施过程中所涉及的所 有 文 档、数据、介质和相关信息保密,未经许可,不得以任何形式向第三方传播。保密期限 不 受本包件期限的限制,在本包件履行完毕后,保密信息接受方仍应承担保密义务。如因 投标人一方的原因造成泄密,招标 人将保留追究其法律责任的权利。
4. 投标人 应保证在本包件中所有预装和为本包件安装的软件为在中国境内具有合法版 权或使用 权的正版软件且无质量瑕疵。投标人应保证其所提供的产品及服务不侵犯第三方 的知识产 权,否则,由此给招标人造成的一切损失由投标人承担。投标人为本包件提供的 产品 ( 设备及软件 ) 均为终身授权产品,使用范围为项目的相关系统且无任何限制。
5. 在项目实施过程的各阶段,相关技术人员适当参与,以工作中的配合关系和传帮 带 的工作模 式进行知识与技能的转移。在此过程中,投标人须将网络安全等级测评和商用密 码应用安全性评估方 法和经验等通过集中培训和文档提交等形式进行转移。
( 三 ) 服务期限要求
随项目主体开工同步启动至项目所有测评报告出具完成截止。
( 四 ) 实施方案要求
投标人必 须 在投标文件中提交详细的项目实施方案 ( 具体包括技术方案、实施方案、 知识转移方案等 ) ,投标人对招标文件中不予满足的部分必须注明, 其余部分则默认为投 标 人 均予以满足。对于满足的部分,如果投标人的应答不够充分,招标人有权按照招标文件 的要求,请投标 人对项目实施方案中应答不充分部分进行补充完善,并纳入合同内容。
( 五 ) 验收要求
需提交的验收文件资料主要包括 :
全民健康信息平台、基层医疗机构综合信息系统、丹东互联网医院平台,三个系统的《网络安全等级保护测评报告》各 1 份;
全民健康信息平台、基层医疗机构综合信息系统、丹东互联网医院平台,三个系统的《密码应用安全性评估报告》各 1 份。
