<tt id="mmoo2"></tt>
<cite id="mmoo2"><tbody id="mmoo2"></tbody></cite>

  • <tt id="mmoo2"></tt>
      <b id="mmoo2"></b><font id="mmoo2"><noscript id="mmoo2"></noscript></font>
        

          <cite id="mmoo2"><form id="mmoo2"></form></cite>
          <rt id="mmoo2"><menuitem id="mmoo2"></menuitem></rt>
        2. 

          
    
          
        
          
            
          
                
          歡迎訪問上饒市醫療投資集團網站
          
            
          
            
          
                
          站內搜索
          
				
          
					
					
			    
          
            
          
        
          
    
          
    
          
        
        
          
			 
			
        
          
    
          

          

          

          
    
          
        
          
            
          新聞動態
          
        
          
        
    
          
    
          
        
          
            
          公示公告
          
            
          
                主頁 >
                                新聞動態
                 >                                 公示公告
                                            
          
        
          
        
          
			
          上饒市醫學影像共享平臺三級等保測評詢價公告
          
			
          
				 
				來源:admin	
				【 字體:
					
					
			
          
            
          
				
          
	 詢 價 公 告
          
	 
          
我單位近期擬以政府采購方式采購一項等保測評服務,現將公告內容公示如下,望符合資質條件且有意向參與本次采購項目的單位進行協助報價(后附報價格式),歡迎后期參與我方項目采購投標,采購需求及技術要求如下:
          

          
	采購項目需求
          
本測評項目包括1個信息系統兩年等保測評,具體內容如下:
          

          
	
		
          
			
				序號
			
				系統名稱
			
				安全保護級別
			
				服務期限
		
          
		
          
			
				1
			
				上饒市醫學影像共享平臺
			
				三級
			
				兩年
		
          
	          

          

          
	 
          
 
          

          
	技術要求:
          
(一)本詢價文件提出的是最低限度的要求,響應供應商的方案應達到或優于本詢價文件要求,且符合國家有關標準和規范要求。
          
(二)采購單位:上饒市醫投醫學影像有限公司
          
(三)服務內容及要求:
          
1、等保測評標準和規范
          
需滿足國家信息安全等級保護工作要求和標書中的要求,提供安全建設整改方案;在等保測評中,清晰的闡述了測試對象、測試內容、測試工具、實施方案制定了詳細風險管理方案和保密措施,具備充足的網絡測試、軟件滲透測試、主機測試能力保障;提供《網絡安全等級保護測評機構推薦證書》。(提供復印件加蓋公章)
          
2、等保測評服務內容
          
1)需通過本省公安機關網安部門蓋章的系統等級保護定級備案證明;
          
2)開展等級測評,管理檢查和技術檢查;
          
3)信息系統安全風險分析;
          
4)信息系統的安全建設整改;
          
5)提供安全加固服務
          
通過使用公安部一所網防G01安全防護系統,實現威脅感知、自動資產識別、虛擬機安全隔離、數據流可視化、主機內核加固、威脅情報等功能,幫助用戶自定義業務系統的安全邊界,從而減少風險面的暴露。響應供應商需為公安部一所網防G01授權服務站(提供復印件加蓋公章佐證)
          
3、測評計劃:制定詳細測評工作計劃,說明評估范圍、評估對象、工作方法、人員組成和時間計劃。
          
4、交付成果:在測評結束時必須針對被測系統提供《信息系統安全等級保護測評報告》。
          
5、項目建設要求及說明
          
a.在安全測評過程中,安全評估等不得影響用戶網絡的正常運行。
          
b.安全測評服務單位作為獨立的第三方權威的技術機構,應遵循“守法、公正、公平、獨立”的原則,依據國家和有關主管部門標準進行,能出具合格的評估報告,并給出相應的整改建議,并協助完成上述安全加固和整改工作。
          
c.安全測評服務單位必須履行對業主單位的相關信息進行保密的義務。
          
d.安全測評服務機構應當及時報告項目的進展與匯總情況。
          

          
	四、商務要求:
          
(一)履行地點:采購人指定地點。
          
(二)履行時間:合同生效后60個工作日內完成測評、測試、備案工作(不包含安全建設整改時間),采購人需提供測評環境和條件。
          
(三)履行期限:除采購人有其他要求外,該項目服務期為自合同簽訂生效后15個工作日內開始測評服務。
          
(四)付款方式:遞交《信息系統測評報告》后付款100%;
          
(五)服務期限:合同簽訂后2年;
          
(1)服務期內,成交供應商根據我單位實際情況,負責對交付成果中的文檔進行免費修正、優化、補充和完善。
          
(2)售后服務響應時間要求:接到甲方通知后2小時內進行響應
          
(3)成交供應商交付成果時,需提交采購人信息系統的定級備案、等級測評及安全建設整改相關資料。
          

          
	技術標準:
          

          
	1、基礎類法規與標準
          
(1)《信息安全等級保護管理辦法》 (公通字[2007]43號)
          
(2)《中華人民共和國計算機信息系統安全保護條例》 (國務院147號令)
          
(3) 《國家信息化領導小組關于加強信息安全保障工作的意見》 (中辦發[2003]27號)
          
(4) 《計算機信息系統安全保護等級劃分準則》 (GB17859-1999)
          
(5)《關于開展信息安全等級保護安全建設整改工作的指導意見》 (公信安[2009]1429號)
          
 
          

          
	2、測評技術標準
          
(1) 《信息安全技術信息系統安全保護等級定級指南》 (GB/T 22240-2008)
          
(2) 《網絡安全等級保護實施指南》 (GB/T 25058-2019)
          
(3) 《信息安全技術網絡安全等級保護基本要求》 (GB/T 22239-2019)
          
(4) 《網絡安全等級保護測評要求》 (GB/T 22448-2019)
          
(5) 《網絡安全等級保護測評過程指南》 (GB/T 22449-2018)
          
(6) 《信息安全技術網絡安全等級保護安全設計技術要求》 (GB/T 24856-2008)
          
 
          

          
	3、其他參考標準
          
(1) 《信息安全技術 信息安全風險評估規范》 (GB/T 20984-2007)
          
(2) 《信息安全事件管理指南》 (GB/Z 20985-2007)
          
(3) 《信息安全事件分類分級指南》 (GB/Z 20986-2007)
          
(4) 《信息系統安全工程管理要求》 (GB/T 20282-2006)
          
(5) 《信息化工程安全監理規范》 (GB T 19668[1].6-2007)
          

          
	4、項目實施流程及交付成果
          
本項目過程分為六個階段:
          
◆項目受理階段
          
◆系統定級備案階段
          
◆等級測評階段
          
◆安全整改方案設計階段
          
本項目等級測評階段的工作流程如下圖所示:(見下頁)
          

          

          
	(1)項目受理
          
測評機構需在測評受理階段任務中主要是組建等級測評項目組,與被測方進行洽談,達成初步測評意向,被測方通過招標程序對測評機構需進行公開招標,測評機構需充分考慮項目特殊性編制內容豐富、準確應答、科學合理的《項目投標方案》,并從資料、人員、計劃安排等方面為整個等級測評項目的啟動做好準備。如項目中標,通過雙方審核,簽署保密協議、合同、測評協議。測評機構將在兩個星期內提供詳盡的技術標準、技術文件、培訓計劃和安全服務進度計劃表,召開設計聯絡會議。
          
任務描述:
          
a)向被測單位介紹等級測評的意義和作用。
          
b)向本次測評工作的詳細流程和工作方法。
          
c)向被測單位揭示測評風險。說明測評過程中可能帶來的風險,并說明測評機構采用怎樣的措施規避風險的發生等。
          
d)向被測單位指出本次安全服務項目過程中可能產生的文件和表單,怎樣通過各種質量保障措施達到安全服務工作的效果。包括:《等級測評方案》、《技術測評作業指導書》、《管理測評作業指導書》、《工具測評作業指導書》、《等級測評現場記錄》、《會議記錄》等。
          
e)向被測單位介紹測評機構技術思路及優勢等。
          
f ) 如項目中標,通過雙方審核,簽署保密協議、合同、測評協議。
          
g) 測評機構在15日內提供詳盡的技術標準、技術文件、培訓計劃和安全服務進度計劃表。
          
h) 召開設計聯絡會議,確定測評機構提交的有關標準及規范,討論澄清合同文件中的技術條款及相應的配置方案,審查并確定初步的測評和等級測評方案,形成安全服務凍結清單。
          

          
	(2)等級保護測評
          
在信息系統定級備案后,測評機構對被測單位信息系統進行等級測評,以確定所定等級信息系統的當前安全防護現狀,找出與國家等級保護要求間的差距,確定安全需求,從而完成安全整改方案設計,設計合理的、滿足等級保護要求的《安全整改方案》,以指導信息系統安全建設工程實施。以便順利的通過等級測評,從而準確、科學的利用資源,避免測評不準和資源浪費。
          
等級測評覆蓋:物理安全、網絡安全、主機安全、應用安全、數據安全及備份恢復、安全管理制度、安全管理機構、人員安全管理、系統建設管理和系統運維管理共10個層面,內容如下:
          

          
等級測評將逐項對照《網絡安全等級保護基本要求》(GB/T 22239-2019)各安全要求項,通過人員訪談、配置檢查、文檔檢查、工具測試、滲透測試等方式確定系統當前安全防護現狀,判斷目前所采取的安全技術措施與等級保護標準要求之間的差距。并由測評機構單位最終形成《等級測評報告》。
          
“等級測評階段”又分為測評準備、方案編制、測評實施、測評分析與報告編制等過程。
          
(1)測評準備過程
          
本過程是開展現場測評工作的前提和基礎,是整個等級測評過程有效性的保證。測評準備工作是否充分直接關系到后續工作能否順利開展。本過程的主要任務是掌握被測系統的詳細情況,為實施測評做好文檔及測試工具等方面的準備。
          
(2)方案編制過程
          
本過程是開展測評實施的關鍵過程,為測評實施提供最基本的文檔和指導方案。本過程的主要任務是開發與被測信息系統相適應的測評內容及實施方法等。
          
(3)測評實施過程
          
本過程是開展等級測評工作的核心過程。本過程的主要任務是按照測評方案的總體要求,嚴格執行測評實施手冊,分步實施所有測評項目,包括單項測評和系統整體測評兩個方面,以了解系統的真實保護情況,獲取足夠證據,發現系統存在的安全問題。
          
(4)分析與報告編制過程
          
本過程是總結被測系統整體安全保護能力的綜合評價過程。本過程的主要任務是根據現場測評結果和《信息安全等級保護測評要求》的有關要求,通過單項測評結果判定和系統整體測評分析等方法,分析整個系統的安全保護現狀與相應等級的保護要求之間的差距,綜合評價被測信息系統保護狀況,并形成測評報告文本。
          
在完成等級保護安全建設整改后,開展等級測評工作,該工作評是依據《網絡安全等級保護測評要求》等技術標準,確定信息系統安全保護能力是否達到相應等級基本要求的過程,是落實信息安全等級保護制度的重要環節,測評機構保證將客觀的進行等級測評。
          
各單位在安全實施建設完成后,測評機構按照《信息安全等級保護管理辦法》、《信息系統安全保護等級實施指南》,遵循《基本要求》以其他相關標準,對各信息系統的現狀進行等級測評,找出信息系統當中存在的不足,并進行風險評估分析,以最終判定該信息系統安全保護能力是否達到相應信息系統等級保護要求,給出等級測評結論。
          
本次等級測評階段過程中采集與分析得到的數據結果,“等級測評結果”中不符合的測評內容將在等級測評中進行重點測評。如為發生變更,則根據變更后的關聯測評項進行重點測評。
          
 (3)等級保護測評完成后,開展安全建設整改之前,測評機構需依據信息系統的《信息系統等級保護測評報告》結果情況,按照《信息系統等級保護基本要求》、《網絡安全等級保護安全設計技術要求》、《關于開展信息安全等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)以及其他相關標準,分析明確信息系統安全需求,針對每一個被測系統設計合理的、滿足等級保護要求的《安全整改方案》,制定《安全實施計劃》,以指導信息系統安全建設工程實施。安全方案設計由測評機構在開展等級測評的基礎上按以下步驟完成:
          
a)信息系統現狀分析
          
了解掌握信息系統的數量和等級、所處的網絡區域以及信息系統所承載的業務應用情況,分析信息系統的邊界、構成和相互關聯情況,分析網絡結構、內部區域、區域邊界以及軟、硬件資源等。具體可參照《信息系統安全等級保護實施指南》中“信息系統分析”的內容。
          
b)信息系統安全保護技術現狀需求分析
          
根據《等級保護測評報告》結果情況,分析目前所采取的安全技術措施與等級保護標準要求之間的差距,分析系統已發生的事件或事故,分析安全技術方面存在的問題,形成安全技術建設整改的基本安全需求。在滿足網絡安全等級保護基本要求基礎上,可以結合行業特點和信息系統安全保護的特殊要求,提出特殊安全需求。具體可參照《信息系統等級保護基本要求》、《網絡安全等級保護測評要求》和《網絡安全等級保護測評過程指南》等標準。
          
c)安全建設整改技術方案設計
          
在進行信息系統安全建設整改技術方案設計時,測評機構需以《信息系統等級保護基本要求》,為基本目標,可以針對安全現狀分析發現的問題進行加固改造,缺什么補什么;也可以進行總體的安全技術設計,將不同區域、不同層面的安全保護措施形成有機的安全保護體系,落實物理安全、網絡安全、主機安全、應用安全和數據安全等方面基本要求,最大程度發揮安全措施的保護能力。在進行安全技術設計時,將參考《網絡安全等級保護安全設計技術要求》,從安全計算環境、安全區域邊界、安全通信網絡和安全管理中心等方面落實安全保護技術要求。
          
d)安全建設整改管理體系設計
          
在進行安全建設整改管理體系設計時,測評機構需依據《信息安全管理體系規范》(BS77992:2002)、《信息安全管理實施細則》(ISO/IEC 17799:2000)的思想,結合《網絡安全等級保護基本要求》(GB/T 22239-2019)內容,同時參照《信息系統安全管理要求》(GB/T 20269-2006)等標準,對貴單位信息安全管理現狀進行需求分析,確定安全管理目標和安全策略,針對信息系統的各類管理活動,梳理已存在的人員安全管理制度、系統建設管理制度、系統運維管理制度、定期檢查制度等,規范安全管理人員或操作人員的操作規程等;對未覆蓋的安全管理域,制定其相關管理制度和文件。為信息安全管理制度的持續改進提供框架,形成安全管理體系,提高整體的信息安全管理水平。
          

          
	5、項目實施原則
          

          
	(1)客觀性和公正性原則
          
雖然測評工作不能完全擺脫個人主張或判斷,但測評機構全體測評人員鄭重承諾:在任何情況下測評過程完全沒有偏見,在最小主觀判斷情形下,按照測評雙方相互認可的測評方案,基于明確定義的測評方式和解釋,實施測評活動。
          

          
	(2)保密性原則
          
在參與本項目之前,確保測評機構與被測評信息系統單位已經書面簽定《測評保密協議》,全體項目組成員已經與所屬單位書面簽定《員工保密項目保密協議》,并鄭重承諾:服務組全體成員在測評過程中所接觸到的一切有關貴單位的信息,有責任有義務保守秘密,在沒有得到貴單位的書面許可之前,不得向任何第三方泄密,不得利用它們進行任何侵害被測評信息系統單位安全利益的行為。
          

          
	(3)可控性原則
          
測評機構在開展項目現場實施之前,將嚴格按照項目管理規范,詳細制訂《項目實施方案》,精挑項目組成員,并進行嚴格的資格審查和備案,明確職責分工,并對人員工作崗位的變更執行嚴格的審批手續,確保人員可控。擬訂的《測評方案》(包括測評內容、測評方法、測評工具、測評步驟)均需嚴格審核,經被測評信息系統單位認可后,項目組嚴格按照即定方案執行,涉及變更需要嚴格履行變更控制流程,確保項目可控。
          

          
	(4)標準性和規范性原則
          
信息安全等級保護標準體系已經包含了近70個標準規范或配套標準,對測評過程中任何測評項、任何測評對象均具有對應技術要求、評價方法、規范或指南,測評機構需嚴格按照標準規范操作實施。
          
測評過程具有統一的流程,使用的方法和文檔,需要具有良好的規范性,便于測評工作的質量保證,并保證測評結果一致性。
          
a)整體性原則
          
根據《招標文件》相關材料及可能簽訂的《測評合同》,在與被測評信息系統單位充分溝通,雙方充分理解的基礎上,基于明確定義的測評范圍和內容,進行全面、系統的測評活動。
          
測評過程應覆蓋信息系統安全所涉及各個層面,并考慮系統各控制間、層面間、系統間的相互關系(相互補充、相互抵消),并詳細檢測和分析。
          
b)最小影響性原則
          
在正式開展現場實施之前,確保測評機構與被測評信息系統單位已經書面簽定《測評安全責任書》及有效認可《項目實施方案》,對測評過程可能的影響性應充分預見,并通過有效措施保證盡可能小的影響網絡和系統的正常運行。對滲透測試工具應事先取得有關專家安全性論證,并明確定義和解釋被測評信息系統單位后方可進行。
          
c)經濟性和可重用性原則
          
基于測評成本和工作復雜性考慮,鼓勵測評工作重用以前的測評結果,包括商業安全產品測評結果和信息系統先前的安全測評結果。所有重用的結果,都應基于結果適用于目前的系統,并且能夠反映出目前系統的安全狀態基礎之上。
          
d)可重復性和可再現性原則
          
不論誰執行測評,依照同樣的要求,使用同樣的測評方式,對每個測評實施過程的重復執行應該得到同樣的結果??稍佻F性和可重復性的區別在于,前者與不同測評者測評結果的一致性有關,后者與同一測評者測評結果的一致性有關。
          
e)結果完善性原則
          
測評所產生的結果應當證明是良好的判斷和對測評項的正確理解。測評過程和結果應當服從正確的測評方法以確保其滿足了測評項的要求。
          
f)果重用原則
          
在信息系統所有安全控制中,有一些安全控制是不依賴于其所在的地點便可測評,即在其部署到運行環境之前便可以接受安全測評。如果一個信息系統部署和安裝在多個地點,且系統具有一組共同的軟件、硬件、固件組成部分,對于此類安全控制的測評可以集中在一個集成測試環境中實施,如果沒有這種環境,則可以在其中一個預定的運行地點實施,在其他運行地點的安全測評便可重用此測評結果。
          
在信息系統所有安全控制中,有一些安全控制與它所處于的運行環境緊密相關(如與人員或物理有關的某些安全控制),對其測評必須在信息系統分發到運行環境中才能進行。如果多個信息系統處在地域臨近的封閉場地內,系統所屬的機構同在一個領導層管理之下。對這些安全控制在多個信息系統中進行重復測評對有效資源可能是一種浪費,因此,可以在一個選定的信息系統中進行測評,而在此場地的其他信息系統直接重用這些測評結果。
          
專業測評人員以其所掌握的信息安全等級保護測評及風險評估的知識和技能,依據《網絡安全等級保護測評過程指南》通過合理抽查方式選擇測評對象,采用現場訪談、文檔檢查、配置檢查、工具測試、實地驗證及脆弱性分析等測評方法,對被測信息系統安全保護現狀提出等級保護測評意見。
          
g)安全措施實施原則
          
依據《信息安全等級保護基本要求》標準分層面采取各種安全措施時,還應考慮以下總體性要求,保證信息系統的整體安全保護能力:
          
1)構建縱深的防御體系:應從通信網絡、局域網絡邊界、局域網絡內部、各種業務應用平臺等各層次測評和落實各種安全措施,形成縱深防御體系。
          
2)采取互補的安全措施:應充分考慮各個安全控制足見的互補性,關注各個安全控制組件在層面內、層面間和功能間產生的連接、交互、依賴、協調、協同等相互關聯關系,保證各個安全控制組件共同綜合作用于信息系統的安全功能上,使得信息系統的整體安全保護能力得以保證。
          
3)保證一致的安全強度:應將基本安全功能要求,如身份鑒別、訪問控制、安全審計、入侵防范、安全標記等內容,分解到信息系統中的各個層面,在實現各個層面安全功能時,應保證各個層面安全功能實現強度的一致性。
          
4)建立統一的支撐平臺:多數安全功能(如身份鑒別、訪問控制、數據完整性、數據保密性、抗抵賴等)為了獲得更高的強度,均要基于密碼技術,為了保證信息系統整體安全防護能力,應建立基于密碼技術的統一支撐平臺,支持高強度身份鑒別、訪問控制、數據完整性、數據保密性、抗抵賴等安全功能的實現。
          
5)進行集中的安全管理:為了保證分散于各個層面的安全功能在統一策略的指導下實現,各個安全控制組件在可控情況下發揮各自的作用,應建立安全管理中心,集中管理信息系統中的各個安全控制組件,支持統一安全管理。
          
 
          
 
          
請有意向的單位于2021年1月12日至2021年1月15日將報價單蓋章掃描件發送到以下郵箱或郵寄到以下地址。
          
 
          
聯系人:林先生
          
 
          
采購單位:上饒市醫投醫學影像有限公司
          
 
          
聯系電話:18107933535
          
 
          
Email:517750764@qq.com
          
 
          
聯系地址:江西省上饒市萬力時代寫字樓10樓
          

          

          
	
		
          
			
				
			
				醫學影像云平臺信息系統兩年等保測評詢價單
		
          
	          

          
 
          

          
			
          
        
          
		
          
			
          
			    			    上一篇:招商公告
			    			
          
			               
			
          
			    			    下一篇:江西恒達工程咨詢有限公司關于上饒市醫學影像共享平臺系統等級保護測評服務項目(項目編號:JXHD-SR-CG2012)競爭
			    			
          
		
          
    
          

          


          
    
          
        
          
            
          
                
                
                
                
            
          
            
          
               
            
                   
          • 
                       
                       
            公眾微信號
            
                   
            • 
                   
          • 
                       
                       
            官網手機版
            
                   
            • 
               
          
                
          全國服務熱線:+86 0793-820-1823
          
            
          
        
          
    
          
    
          
        
          
            
            
          
				贛ICP備18013413號-1????
				地址:江西省上饒市信州區濱江東路66號萬力時代10樓????上饒市醫療投資集團有限公司Copyright ? 2018 All Rights Reserved.
				技術維護:上饒萬網
          
        
          
    
          

          




国产在线看,日本亚洲国产一区二区三区,丰满白嫩尤物一区二区,国产福利一区二区在线精品