黄埔区社区卫生服务信息云系统

黄埔区社区卫生服务信息云系统2020年安全等级保护三级复评及相关服务采购需求项目概况、目标为贯彻落实国家网络安全等级保护制度有关要求，进一步增强“黄埔区社区卫生服务信息云系统”的安全防护能力，确保系统安全稳定运行，黄埔区卫生健康局组织开展该系统2020年度的安全等级保护三级测评工作。“黄埔区社区卫生服务信息云系统”由黄埔区卫生健康局牵头于2018年建设，系统承建开发单位为东软集团股份有限公司，整个系统包含多个业务应用子系统，各子系统使用统一的数据库。该系统整体部署于广州市政府信息化云服务平台（市政务云），并于2019年实施并通过了安全等级保护三级测评。本次为开展该系统的年度复评工作。依据参考《中华人民共和国网络安全法》；《中华人民共和国计算机信息系统安全保护条例》；《信息安全等级保护管理办法》；GB/T22239-2019《信息安全技术网络安全等级保护基本要求》GBT28448-2019《信息安全技术网络安全等级保护测评要求》GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》业务应用软件清单“黄埔区社区卫生服务信息云系统”包含的各业务应用软件子系统及其相关外部接口是本次测评的软件范围，具体如下：系统名称子系统定级情况黄埔区社区卫生服务信息云系统1社区卫生云HIS系统三级2社区卫生云EMR系统3社区卫生云LIS系统4社区卫生云PACS系统5社区卫生云公共卫生系统6家庭医生签约服务系统7社区卫生绩效考核系统8社区卫生云体检系统9领导查询系统10移动预约医疗及查询服务项目具体服务内容（一）等级保护流程辅助服务：协助采购人完成项目范围内各业务应用软件系统的等保测评资产收集、资料准备、项目整体协调等工作。（二）风险梳理服务：为采购人提供项目范围内各业务应用软件系统的资产核查、风险识别服务。判定各系统安全防护能力是否能达到安全保护等级第三级的要求，并提交《整改问题清单》。（三）等级保护整改、加固服务：根据风险梳理后生成的《整改问题清单》，向采购人给出完整、可操作的安全整改建议；为采购人提供操作系统、网络安全设备、数据库方面的技术整改加固服务；协助指导采购人开展管理整改加固，建立及完善网络信息安全各项管理制度。整改加固直至满足通过等级保护三级测评的要求。本整改加固服务不涉及：应用软件程序整改及硬件设备采购。（四）等级保护测评服务：委托广东省内的具有国家网络安全等级保护协调小组办公室所颁发网络安全等级保护测评机构推荐证书的机构实施“黄埔区社区卫生服务信息云系统”的具体等级保护测评服务。并提交《网络安全等级测评报告》，按要求向广州市网监部门备案，最终获取备案证书。（五）测评期间安全事件分析服务：测评工作开展期间，如出现针对被测系统的安全事件，服务单位须使用专业调查处置工具对安全事件进行调查处置，建立安全事件知识库，对安全事件进行溯源及分析，并出具《安全事件调查报告》。（六）源代码审计服务：提供针对被测系统的源代码审计服务，通过专业设备进行源代码审计，利用特有的软件安全漏洞规则集全面匹配、查找，排查源代码中存在的安全漏洞，并整理提交相关报告。项目配套要求测评工具要求本项目在实施过程中应包含如下可用工具：1、网络安全事件调查处置系统，2、网络边界完整性检查工具，3、网络回溯分析系统网络通信审计工具。且可能用到的所有测评工具和软件（包括但不限于上述3种）均不需采购人再额外购买，均由中标人提供。投标人在保证所有测评工具和软件可用性、可靠性的同时，必须承诺其工具和软件不会产生所有权和知识产权纠纷，如由此产生的一切责任由投标人负完全责任。相关工具详细要求如下：工具名称工具要求网络安全事件调查处置系统工具支持将攻击者攻击行为进行回溯，包括扫描网站、发现漏洞、发起攻击、入侵主机、高危后果、清除痕迹共6个过程（需提供产品功能截图）。支持知识库管理，主要包括：漏洞库、恶意程序样本库、网络安全事件处置知识库、调查处置工具库4个功能。工具厂家的信息安全等级保护综合管理系统通过公安部的检测(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章)。网络边界完整性检查系统工具具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》及具有国家版权局颁发的软件著作权登记证书。应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断；应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。网络回溯分析系统网络通信审计工具工具商为中国境内注册，产品拥有自主知识产权，并且为国内研发和生产，具有公安部颁发的《计算机信息系统安全专用产品销售许可证》；具有《计算机软件著作权登记证书》；具有软件能力成熟度集成模型（CMMI）3级或者3级以上认证证书；工具具有专业检测能力，提供工具原厂商自2018年连续2年进入GratnerNPMD领域魔力象限报告。需提供截图和Gartner网站链接。网络回溯分析系统支持数据包秒级解码分析（提供盖章截图）。进度要求项目启动会后5个工作日内，提交详细实施计划。实施计划经采购人确定后15个工作日内完成风险梳理，提交《整改问题清单》。提交《整改问题清单》后20个工作日内完成本次项目要求的整改加固工作，提交符合等级保护要求的管理制度及相关整改加固截图。待采购人完成全部整改后40个工作日内完成等保测评、《网络安全等级测评报告》及向广州市网监部门的备案。资金计划及验收要求本项目最高限价为：人民币14.438万元。合同签订后，采购人向中标人支付项目合同总金额的50%；完成测评工作，获得广州市网监部门出具的备案证书或回执后，采购人进行项目验收，向中标人支付项目合同总金额的50%尾款。安全保密要求投标人应当提供与采购人的保密协议草拟本，并在中标后与采购人签署保密协议，对于因实施安全服务所获取的相关信息进行严格保密，未经采购人授权不得泄露给任何单位和个人，不得利用此数据、信息进行任何侵害投标人信息系统的行为。服务中产生的全部档案资料版权归采购人所有，未经采购人允许，不得以任何形式向第三方提供安全技术文档的全部或部分内容。评标规则评审方法：综合评分法评审小组在投标人满足采购文件实质性要求前提下，对其技术服务、商务、价格三部分进行综合评审评分，以综合总得分从高到低的排名顺序，综合总得分排第1名的投标人为中标候选人。当综合评价总得分相同时，依次序分别以投标人报价、技术服务评价、商务评价的优劣，从中择优确定中标候选人。评分比重如下：评分内容技术服务部分商务部分价格部分权重50%30%20%量化评审内容如下：1、技术服务部分（权重50%）:分项内容分值项目工具可使用情况评价针对投标人就本次项目所提供的工具，综合评价其科学、合理、符合本次项目服务需求书情况。横向比较：优16-20分；良11-15分；一般6-10分，差0-5分20分投标方案综合评价针对投标人就本次项目所提供技术方案，综合评价其对需开展等保测评、等保整改内容的理解情况，方案的详细、完整、计划性、所用流程方法的可操作性等情况。横向比较：优16-20分；良11-15分；一般6-10分，差0-5分20分本地化服务评价综合评价投标人对服务质量、到场服务响应时间、售后服务等情况的承诺和设计：优得8-10分；良得5-7分；一般2-4分，差得0-1分10分2、商务部分（权重30%）:分项内容分值投标人企业资质投标人企业资质，最高10分，最低0分1）公安部门或省级协会颁发的计算机信息系统安全服务等级证书2）ISO9001质量管理体系认证证书3）省级或以上电子政务协会颁发的电子政务服务能力等级证书4）广东省内测评机构合作伙伴5）中国网络安全审查技术与认证中心颁发的“信息系统安全运维”服务资质三级6）中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质三级7）中国网络安全审查技术与认证中心颁发的“信息系统安全集成”服务资质三级8）税务局颁发的纳税信用A级及以上9）广东省“守合同重信用”企业说明：1、以上9项须提供证书复印件，全部满足得10分，满足任意7项得5分，满足任意4项得3分，满足任意2项得1分，其余不得分。2、以上证书均须在有效期范围内，如证书没有设置有效期要求的，则视为长期有效。10分等保整改测评服务业绩情况评价对投标人2016年1月1日至今的同类网络安全等级保护整改及测评服务相关案例进行评分；横向比较：优得10分；良得8分；一般5分，差得0分。说明：提供项目合同主要页复印件。10分投标人拟派本项目现场负责人资质投标人拟派本项目现场负责人资质，最高10分，最低0分。1）注册信息安全专业人员证书（CISP）2）公安部信息安全等级保护评估中心颁发的国家重要信息系统人员保护证书3）工业互联网安全评估师初级或以上证书（CIISA）4）信息网络安全专业技术人员继续教育证书5）公安部信息安全等级保护测评中心颁发的信息安全等级测评师证书说明：1、以上5项全部满足得10分，满足任意4项得7分，满足任意3项得5分，满足2项得2分，其余不得分。2、以上证书均须在有效期范围内，如证书没有设置有效期要求的，则视为长期有效。3