滨州医学院附属医院信息系统等级保护项目招标技术要求

1、滨州医学院附属医院信息系统等级保护项目招标技术要求一、项目背景卫生信息安全工作是国家信息安全和卫生事业发展的重要组成部分。近日，为贯彻落实国家信息安全等级保护制度，满足三级甲等医院复审任务对医院信息安全等级保护的要求，按照卫生部关于印发卫生行业信息安全等级保护工作的指导意见的通知要求，山东省卫生厅研究决定，在全省卫生系统开展卫生行业信息安全等级保护工作。随着滨州医学院附属医院业务信息系统的大规模部署，对信息系统的依赖性越来越强，信息安全事件的影响范围随之扩大。为了提高信息系统的安全等级，做好卫生行业信息安全等级保护工作，滨州医学院附属医院积极开展等级测评工作，按照卫生部、山东省卫生厅的指导意见

2、，按照公安部的相关要求，聘请第三方专业机构，在全面了解滨州医学院附属医院系统信息化现况的基础上，开展信息系统等级保护定级和安全测评工作，提前发现信息系统中存在的安全风险和漏洞，据此提出信息系统安全等级保护整改和解决方案，避免安全事件对业务工作带来损失；完善信息系统安全管理制度，提升信息系统安全管理水平。二、项目目标和内容1.项目目标（1）按照信息安全等级保护定级标准和工作要求，开展信息系统安全等级专家评审和定级，协助完成所有业务系统等保定级与备案工作。（2）按照国家和医疗卫生等级保护相关标准和要求，开展信息系统安全等级保护现状测评和等级测评工作，查找安全差距，提交差距分析报告、安全整改建议和等

3、级测评报告；遵循适度安全原则，综合考量成本与效益因素，制定信息系统安全等级保护整改方案，指导整改工作。（3）按照信息系统安全等级保护的相关要求，梳理和完善滨州医学院附属医院系统信息安全管理制度和标准，健全和完善信息安全管理体系和技术保障体系。2.项目内容（1）信息系统梳理，并初步确定信息系统的等级，共约20个系统（2）对所有信息系统进行现状评估，确定和相应等级之间的技术差距和管理制度差距，提交现状评估报告和安全建设整改方案，报院领导审批（3）信息安全建设整改，含安全管理制度整改和协助安全技术整改（4）信息系统定级备案，并到公安机关备案（5）信息安全等级测评，并将测评报告到公安机关备案投标方须详

4、细在方案中注明以上内容所需要的时间周期。三、项目实施参照标准及依据主要依据标准Ø 省公安厅山东省信息安全等级保护测评工作规范（试行)Ø 卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）Ø 山东省卫生厅关于开展卫生行业信息安全等级保护工作的通知Ø 公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的关于信息安全等级保护工作的实施意见（公通字200466号）；Ø 公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的信息安全等级保护管理办法（公通字 200743号）。Ø 信

5、息安全技术 信息系统安全等级保护基本要求（ GB/T22239-2008） Ø 信息安全技术 信息系统安全等级保护定级指南（GB/T 22240-2008）Ø 信息安全技术 信息系统安全等级保护实施指南Ø 信息安全技术 信息系统安全等级保护测评要求Ø 信息安全技术 信息系统安全等级保护测评过程指南Ø 国家信息化领导小组关于加强信息安全保障工作的意见(中办发200327号）Ø 计算机信息系统安全保护等级划分准则（GB 17859-1999）Ø 信息安全技术 信息系统通用安全技术要求（GB/T20271-2006）Ø

6、信息安全技术 网络基础安全技术要求（GB/T 20270-2006）Ø 信息安全技术 操作系统安全技术要求（GB/T 20272-2006）Ø 信息安全技术 数据库管理系统安全技术要求（GB/T20273-2006）Ø 信息安全技术 服务器技术要求（GB/T 21028-2007）Ø 信息安全技术 终端计算机系统安全等级技术要求（GA/T 671-2006）Ø 信息安全技术 信息系统安全管理要求（GB/T20269-2006）Ø 信息安全技术 信息系统安全工程管理要求（GB/T20282-2006）Ø GB/T 18336-

7、2001 信息技术 安全技术 信息技术 安全性评估准则四、项目内容按照卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知（卫办综函20111126号）和山东省卫生厅关于开展卫生行业信息安全等级保护工作的通知要求，开展等保测评与整改工作，重点完成以下工作内容：1、系统调研与定级梳理对滨州医学院附属医院现有的各类信息系统开展调研，依据信息系统安全等级保护定级指南（GB/T 22240-2008）和医疗卫生行业要求，遵循规范的流程确定定级对象并确定受侵害的客体和侵害程度，组织专家评审，形成定级报告，为委托方的系统定级和备案工作提供参考。滨州医学院附属医院现有信息系统如下：序号应用系统名称安全

8、保护等级备案情况备注1HIS，CIS(核心业务）三级二级一级未定级是 否2电子病历（核心业务）三级二级一级未定级是 否3LIS（核心业务）三级二级一级未定级是 否4移动护理（核心业务）三级二级一级未定级是 否5手术麻醉三级二级一级未定级是 否6体检三级二级一级未定级是 否7排队叫号三级二级一级未定级是 否8绩效考核三级二级一级未定级是 否9财务成本三级二级一级未定级是 否10医保新农合三级二级一级未定级是 否11移动门诊输液三级二级一级未定级是 否12PACS三级二级一级未定级是 否13手术消毒供应管理三级二级一级未定级是 否14输血管理三级二级一级未定级是 否15固定资产管理三级二级一级未定

9、级是 否16商业智能BI三级二级一级未定级是 否17远程会诊三级二级一级未定级是 否18合理用药三级二级一级未定级是 否2、现状测评（差距测评）根据定级梳理结果，对滨州医学院附属医院的信息系统进行差距测评。差距测评主要分为单元测试和整体测试，其中单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评信息系统安全等级保护基本要求（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况；整体测评应主要测评分析信息系统的整体安全性，内容上应包括安全控制间、层面间和区域间相互

10、作用的安全测评以及系统结构的安全测评。差距测评的广度和深度应符合省公安厅山东省信息安全等级保护测评工作规范（试行)要求。投标人按照GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求的要求，结合滨州医学院附属医院系统的信息系统的状况和各信息系统的安全保护等级的相应等级指标，进行等级保护安全现状分析，并出具详细的滨州医学院附属医院信息系统等级保护差距分析报告和滨州医学院附属医院信息系统安全建设整改方案。要逐项明确不符合项及与安全要求之间的差距及可能造成的风险，以及如何逐步进行整改。3、信息安全建设规划（整改方案）依据标准信息系统安全等级保护基本要求（GB/T 22239-200

11、8）、信息安全技术 信息系统通用安全技术要求（GB/T20171-2006） 、信息安全技术 网络基础安全技术要求（GB/T20270-2006）等，进行安全技术体系的设计。依据安全现状测评的结果对网络结构及设备部署情况进行整体规划和调整，考虑物理设计、网络设计、主机设计、应用设计和其他设计等内容。依据标准信息系统安全等级保护基本要求（GB/T 22239-2008）、信息安全技术 信息系统安全管理要求（GBT20269-2006）等，完成安全管理体系的设计。制定等级保护整改方案，指导信息系统安全技术体系和安全管理体系的构建。4、信息安全保障体系建设按照信息系统安全等级保护的相关要求，协助建立

12、信息安全保护持续改进机制，梳理滨州医学院附属医院系统信息安全等级保护管理制度体系，健全和完善信息安全的管理体系、技术体系和运维体系，促进信息安全保障水平不断提升。5、等级测评根据定级梳理结果，对需要定级为二级和三级的信息系统进行等级测评。等级测评主要分为单元测试和整体测试，其中单元测评应从信息安全管理制度、信息安全管理机构、人员安全管理、信息系统建设管理、信息系统运维管理、物理安全、网络安全、主机安全、应用安全、数据安全等层面，测评信息系统安全等级保护基本要求（GB/T 22239-2008）所要求的基本安全控制在信息系统中的实施配置情况；整体测评应主要测评分析信息系统的整体安全性，内容上应包

13、括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评。等级测评的广度和深度应符合省公安厅山东省信息安全等级保护测评工作规范（试行)要求。投标人按照GB/T22239-2008信息安全技术 信息系统安全等级保护基本要求的要求，结合滨州医学院附属医院信息系统的状况和各信息系统的安全保护等级的相应等级指标，进行等级保护安全现状分析，并出具详细的滨州医学院附属医院信息系统等级保护测评报告。五、成果交付该项目提交的文档至少包括以下几类文件：1、 滨州医学院附属医院重要信息系统的定级报告2、 滨州医学院附属医院系统等级测评项目计划书3、 滨州医学院附属医院系统等级测评方案4、 滨州医学院附

14、属医院系统等级测评现场测评记录5、 滨州医学院附属医院系统重要信息系统差距分析报告6、 滨州医学院附属医院系统重要信息系统等级保护安全建设整改方案7、 滨州医学院附属医院系统等级测评报告8、 滨州医学院附属医院信息安全管理制度体系六、附加要求投标方须承诺中标后协助医院发表1到2篇高质量学术论文，并向院方提供两个原厂安全培训名额，培训内容由信息管理中心确定。七、评审标准表。评审项目权重比评审标准技术方案30%1.技术方案对项目需求的理解程度。2.服务内容明确，整体方案、具体技术方案具有合理性、可行性和先进性。3.技术方案的可阅读性（结构合理、语言表述清楚、运用图表）。4.符合项目的实施要求和进度

15、计划的可实施性。5.项目培训计划、技术支持方案的完备和可行性。测评能力30%1.投标人具有完善的项目管理体系，且具有专业技术手段保证测评项目规范化实施。2.投标人需提供测评成员的详细介绍及人员部署情况。3.专业设备情况。投标人所持有的测评设备应覆盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全及安全管理测评等方面。企业资质及行业影响力25%投标公司必须包含在山东省信息安全等级保护测评机构推荐目录之中。1.请提供相关安全资质证明材料：能力评估证书、测评机构推荐证书、担任项目实施的等保测评师资质证书以及其他相关安全资质证明材料。2.请投标方提供相关材料证明公司对安全行业及医疗卫生行业的影

16、响力，如是否参与起草相关等保标准或指南、是否有单位人员推荐为省卫生行业信息安全技术专家委员会成员等。相关业绩、15%投标人须提供近三年完成的信息安全等保测评安全服务项目（注明省级项目或地级市项目）：投标人拥有信息安全等级保护体系规划、安全评估、安全加固、等级保护建设整改、咨询等信息安全相关案例，并提供合同作为证明文件。八、报价表格请按照1个三级系统和1个二级系统分别报价，如果多个三级或二级系统可以进行累加。工作项目内容说明价格备注定级备案协助根据滨州医学院附属医院定级规划，协助用户制作定级报告，并到公安主管部门成功备案。输出文档：滨州医学院附属医院信息系统等级保护定级报告滨州医学院附属医院信息系统等级保护备案表差距测评根据信息系统等级保护相关标准，通过测距测评找出信息系统和等保要求之间的差距，形成下一步的安全建设整改方案。输出文档：滨州医学院附属医院系统等级测评项目计划书滨州医学院附