首页/ 采购公告/ C16000000信息技术服务/ C16060000测试评估认证服务/ C16060100Z测试评估认证服务/

公告中

同江市人民医院等级保护测评服务项目公告

预算金额：￥*开通会员可解锁* 元

采购方式：

浏览次数：3

公告中

报名中

评审中

审合同

待评价

已完成

项目需求详情

一、 等级测评服务技术要求

贯彻国家政策要求，落实网络安全等级保护制度，全面提升网络安全技术保护能力和安全管理水平，按照国家规范标准开展网络安全等级保护测评工作。

1. 测评机构需严格依据 GB∕T 28448-2019 《信息安全技术 网络安全等级保护测评要求》为 同江市人民医院 开展基于等保 2.0的等保测评工作；

2. 测 评机构需 具备公安部第三研究所认证中心 颁发的《网络安全等级测评与检测评估机构服务认证证书》 的等级保护测评机构;

3. 测评机构需从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等十个安全层面开展测评工作；

4. 安全物理环境测评需通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。测试过程中投标人必须使用高低频电磁辐射计、绝缘电阻测试仪、粉尘颗粒物计数器等检测设备开展工作，并在报告中体现具体物理数值；

5. 安全通信网络测评需通过核查和验证测试的方式验证通信网络安全性，主要验证对象为广域网、城域网和局域网等；涉及的安全控制点包括网络架构、通信传输和可信验证；

6. 安全区域边界测评需通过核查和验证测试的方式验证网络区域边界的安全性，主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证等；

7. 安全计算环境测评需通过核查和验证测试的方式验证计算环境安全性，主要对象为边界内部的所有对象。包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等；

8. 安全管理中心测评需通过核查和验证测试的方式验证安全管理中心的安全性，主要对象为集中管控平台、集中运维平台、日志审计系统等。涉及的安全控制点包括系统管理、审计管理、安全管理和集中管控等；

9. 安全管理制度测评将通过访谈和核查的方式测评信息系统的安全管理制度建立情况。主要涉及对象为：信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等；

10. 安全管理机构测评将通过访谈和核查的方式测评信息系统的安全管理机构建立情况。主要涉及对象为：安全管理机构设立文档、信息安全小组名单、岗位说明书、等文档及执行记录；

11. 安全管理人员测评将通过访谈和核查的方式测评信息系统的人员安全管理方面情况。主要涉及对象为：人事管理制度、外部人员访问要求等安全管理制度及执行记录；

12. 安全建设管理测评将通过访谈和核查的方式测评信息系统的系统建设管理方面情况。主要涉及对象为：系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录；

13. 安全运维管理测评将通过访谈和核查的方式测评信息系统的系统运维管理方面情况。主要涉及对象为：系统运维过程中涉及的安全管理制度及执行记录；

14. 测评机构需在测评工作结束后，依据《网络安全等级保护测评报告 202 5 版》为采购单位出具符合等保 2.0测评要求的测评报告；

15. 测评机构需严格依据《 GB/T28449-2018信息安全技术 网络安全等级保护测评过程指南》开展现场测评工作，测评方法包括但不限于访谈、核查、工具测试等内容；

16. 测评机构需制定严格的风险控制方案，确保工具测试环节不会对采购单位信息系统造成损害；

17. 测评机构需依据《网络安全等级保护测评机构管理办法》（公信安【 2018】765号）配置现场实施人员，且常驻在现场测评操作时不得少于四名测评师，分别为一名高级测评师、一名中级测评师和两名初级测评师。

18. 依据《网络安全等级测评与检测评估机构自律规范》（信安联【 2022】1号）要求，本次项目现场实施人员至少有2人具备国家注册渗透工程师（CISP-PTE）和商用密码应用安全性评估从业人员资质证书 。

19. 测评机构需协助采购单位编写《定级报告》、《备案表》等合规性文档，并完成上述系统在公安机关的备案工作。

二、 风险评估服务 技术要求

依据 GB/T 20984-2022《信息安全技术 信息安全风险评估方法》进行资产评估、威胁评估、脆弱性评估、现有安全措施评估、风险计算和分析、风险决策和安全建议等，提交风险评估报告。

1．战略识别与评估：了解组织的属性与职能定位、发展目标、业务规划和竞争关系；

2．业务识别与评估：了解业务信息系统承载的业务使命、业务功能、业务流程等；客观准确的把握业务信息系统的体系特征；

3．资产识别与评估：根据战略、业务和资产识别情况，明确被评估组织战略、业务和资产之间的关联性，对资产重要性进行识别；

4．威胁识别与评估：识别信息系统受到的威胁，并对威胁的属性、发生的可能性进行识别与赋值；

5．物理环境脆弱性识别与评估：识别机房场地、机房防火、机房供配电、机房防静电、机房接地与防雷、电磁防护、通信线路的保护、机房区域防护、机房设备管理等方面存在的脆弱性；

6．网络架构脆弱性识别与评估：明确被评估系统和其他业务系统的接口逻辑关系、和其他业务系统的访问关系、得出清晰的基础设施拓扑图；从网络的稳定性、安全性、扩展性、（易于）管理性、冗余性几个方面综合评定网络的安全状况；

7．主机识别脆弱性识别与评估：对评估范围内的主机操作系统、及其上运行的数据库/Web 服务器/中间件等系统软件的安全技术脆弱性，得到主机设备的安全现状，包含当前安全模块的性能、安全功能、稳定性以及在基础设施中的功能状态；

8．应用系统脆弱性识别与评估：识别系统应用软件中设计、配置中存在的安全隐患，得到应用软件的安全现状；

9．安全管理脆弱性识别与评估：识别和分析安全组织、安全管理制度、流程以及执行中存在的安全弱点；

10．现有安全措施识别与确认：识别并分析现有安全措施的部署位置、安全策略，确定其是否发挥了应用的作用。

三、 渗透测试服务 技术要求

通过人工黑盒的测试方式，发现系统中存在的安全缺陷，提供渗透测试报告和改进建议。渗透测试要求具备高技能和高素质的安全服务人员发起，模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。

1．渗透性测试将采用现场测试与远程测试相结合的方式，通过真实模拟黑客使用的攻击方法对系统进行非破坏性质的攻击性测试；

2．分析内容应包括信息收集类、配置管理类（HTTP方法测试、信息泄露等）、认证类（用户枚举、密码猜解、密码重置测试等）、会话类（cookie测试、会话固定测试等）、授权类（URL越权、路径遍历、业务逻辑、文件下载测试等）；

3．数据验证类（SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等）、系统应用漏洞等内容测试与分析；

4．充分发现信息系统在物理、应用、网络、系统、数据库、访问控制、操作、管理、业务逻辑等层面存在的薄弱环节；

5．分析信息系统的报文格式和业务逻辑，构造攻击报文验证联网应用系统是否存在安全缺陷；

6．对发现的安全问题在进行整改的过程中提供安全技术支持，并在整改完成后，对安全问题进行验证性测试，检查整改结果是否符合安全要求。

四、 网站监测服务 技术要求

对 被测 系统 进行 7*24小时网站安全监测，包括脆弱性监测、完整性监测、可用性监测。脆弱性监测主要定期扫描网站面临的安全风险，为其提供专业化的安全建议；完整性监测能够甄别出页面是否发生了恶意篡改，是否被恶意挂马，是否被嵌入敏感内容等信息；可用性监测能够了解网站此时的通断状况，延迟状况 。

展开

项目名称：等级保护测评服务项目

项目类型：非政府采购项目

项目标的所属行业：其他未列明行业

服务周期：730天

报价方式：价格

评选方式：价格最低

最低价相同评审办法： 按供应商报价的先后顺序确定

服务实施地：黑龙江省佳木斯市同江市大直路166号

：文件下载1预览1

联系人：***

报名开始时间：*开通会员可解锁* 13:29:26

报名结束时间：*开通会员可解锁* 00:00:00

发布时间：*开通会员可解锁* 10:29:26

采购编号：HLJGCYC16060100Z2*开通会员可解锁*

采购单位：同江市人民医院

供应商数量： 报名供应商不足三家。

允许1家中选

是否需要上传响应文件：是

供应商资格：一、符合《中华人民共和国政府采购法》第二十二条规定，且已在本系统注册的供应商。二、落实其他政府采购政策满足的需求：无。三、特定的资格要求：无。四、本项目不接受联合体参与

异议处理项：如有异议请电话咨询采购人，采购流程问题请咨询平台运营。