黄埔区社区卫生服务信息云系统.docVIP

PAGE PAGE 1 黄埔区社区卫生服务信息云系统 2020年安全等级保护三级复评及相关服务采购需求 项目概况、目标 为贯彻落实国家网络安全等级保护制度有关要求，进一步增强“黄埔区社区卫生服务信息云系统”的安全防护能力，确保系统安全稳定运行，黄埔区卫生健康局组织开展该系统2020年度的安全等级保护三级测评工作。 “黄埔区社区卫生服务信息云系统”由黄埔区卫生健康局牵头于2018年建设，系统承建开发单位为东软集团股份有限公司，整个系统包含多个业务应用子系统，各子系统使用统一的数据库。该系统整体部署于广州市政府信息化云服务平台（市政务云），并于2019年实施并通过了安全等级保护三级测评。本次为开展该系统的年度复评工作。 依据参考 《中华人民共和国网络安全法》； 《中华人民共和国计算机信息系统安全保护条例》； 《信息安全等级保护管理办法》； GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》 GBT 28448-2019《信息安全技术网络安全等级保护测评要求》 GBT 25070-2019《信息安全技术网络安全等级保护安全设计技术要求》 业务应用软件清单 “黄埔区社区卫生服务信息云系统”包含的各业务应用软件子系统及其相关外部接口是本次测评的软件范围，具体如下： 系统名称 子系统 定级情况 黄埔区社区卫生服务信息云系统 1社区卫生云HIS系统 三级 2社区卫生云EMR系统 3社区卫生云LIS系统 4社区卫生云PACS系统 5社区卫生云公共卫生系统 6家庭医生签约服务系统 7社区卫生绩效考核系统 8社区卫生云体检系统 9领导查询系统 10移动预约医疗及查询服务 项目具体服务内容 （一）等级保护流程辅助服务：协助采购人完成项目范围内各业务应用软件系统的等保测评资产收集、资料准备、项目整体协调等工作。 （二）风险梳理服务：为采购人提供项目范围内各业务应用软件系统的资产核查、风险识别服务。判定各系统安全防护能力是否能达到安全保护等级第三级的要求，并提交《整改问题清单》。 （三）等级保护整改、加固服务：根据风险梳理后生成的《整改问题清单》，向采购人给出完整、可操作的安全整改建议；为采购人提供操作系统、网络安全设备、数据库方面的技术整改加固服务；协助指导采购人开展管理整改加固，建立及完善网络信息安全各项管理制度。整改加固直至满足通过等级保护三级测评的要求。 本整改加固服务不涉及：应用软件程序整改及硬件设备采购。 （四）等级保护测评服务：委托广东省内的具有国家网络安全等级保护协调小组办公室所颁发网络安全等级保护测评机构推荐证书的机构实施“黄埔区社区卫生服务信息云系统”的具体等级保护测评服务。并提交《网络安全等级测评报告》，按要求向广州市网监部门备案，最终获取备案证书。 （五）测评期间安全事件分析服务：测评工作开展期间，如出现针对被测系统的安全事件，服务单位须使用专业调查处置工具对安全事件进行调查处置，建立安全事件知识库，对安全事件进行溯源及分析，并出具《安全事件调查报告》。 （六）源代码审计服务：提供针对被测系统的源代码审计服务，通过专业设备进行源代码审计，利用特有的软件安全漏洞规则集全面匹配、查找，排查源代码中存在的安全漏洞，并整理提交相关报告。 项目配套要求 测评工具要求 本项目在实施过程中应包含如下可用工具：1、网络安全事件调查处置系统，2、网络边界完整性检查工具，3、网络回溯分析系统网络通信审计工具。且可能用到的所有测评工具和软件（包括但不限于上述3种）均不需采购人再额外购买，均由中标人提供。 投标人在保证所有测评工具和软件可用性、可靠性的同时，必须承诺其工具和软件不会产生所有权和知识产权纠纷，如由此产生的一切责任由投标人负完全责任。 相关工具详细要求如下： 工具名称 工具要求 网络安全事件调查处置系统 工具支持将攻击者攻击行为进行回溯，包括扫描网站、发现漏洞、发起攻击、入侵主机、高危后果、清除痕迹共6个过程（需提供产品功能截图）。 支持知识库管理，主要包括：漏洞库、恶意程序样本库、网络安全事件处置知识库、调查处置工具库4个功能。 工具厂家的信息安全等级保护综合管理系统通过公安部的检测(需提供公安部信息安全产品检测中心的检测报告的关键页并加盖厂家公章)。 网络边界完整性检查系统 工具具备中华人民共和国公安部颁发的《计算机信息系统安全专用产品销售许可证》及具有国家版权局颁发的软件著作权登记证书。 应能够对非授权设备私自联到内部网络的行为进行检查，准确定出位置，并对其进行有效阻断； 应能够对内部网络用户私自联到外部网络的行为进行检查，准确定出位置，并对其进行有效阻断。 网络回溯分析系统网络通信审计工具 工具商为中国境内注册，产品拥有自主知识产权，并且为国内研发和生产，具有公安部颁发的《计算机信息系统安全专用产品