山东阳光正大建设项目管理有限公司受济宁市中西医结合医院 委托,根据《中华人民共和国政府采购法》等有关规定,现对济宁市中西医结合医院信息系统安全保障建设项目进行其他招标,欢迎合格的供应商前来投标。
项目名称:济宁市中西医结合医院信息系统安全保障建设项目
项目编号:YGZD-2023-W088
项目联系方式:
项目联系人:张主任
项目联系电话:0537-7023076、0537-7909669
采购单位联系方式:
采购单位:济宁市中西医结合医院
采购单位地址:济宁市王母阁路127号
采购单位联系方式:张主任 0537-7023076、0537-7909669
代理机构联系方式:
代理机构:山东阳光正大建设项目管理有限公司
代理机构联系人:刘平 15092753377
代理机构地址: 济宁市任城区中德广场D座
一、采购项目内容
一、项目概况及预算情况
本项目为济宁市中西医结合医院信息系统安全保障建设项目,分为两个包组,A包:信息系统安全等保测评服务,B包:数据库运维服务,预算金额30万元,其中A包:20万元;B包:10万元。
二、采购标的具体情况
A包:等保测评功能参数
一、测评服务要求
1、按照网络安全等级保护定级标准和工作要求,开展信息系统安全等级保护系统梳理和定级工作,协助完成系统的定级报告,并协助完成到公安机关的备案工作。
2、按照国家等级保护2.0相关标准和要求,开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,最终完成等级保护测评报告。
3、针对测评中发现的信息安全管理漏洞和薄弱环节,并深入分析下一步信息系统建设和管理的实际安全需求,协助开展相关的安全整改工作,确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。
二、服务内容
1、按照网络安全等级保护定级标准和工作要求,开展信息系统安全等级保护系统梳理和定级工作,协助完成系统的定级报告,并协助完成到公安机关的备案工作。
2、按照国家等级保护2.0相关标准和要求,开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,最终完成等级保护测评报告。
3、针对测评中发现的信息安全管理漏洞和薄弱环节,并深入分析下一步信息系统建设和管理的实际安全需求,协助开展相关的安全整改工作,确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。
服务内容
1、测评服务
(一)本项目为济宁市中西医结合医院等级保护测评服务, 按照公安部等相关部门信息安全等级保护工作要求,开展网络安全等级保护测评工作。
(二)项目的系统情况如下表:
序号 | 应用系统名称 | 安全保护等级 | 备注 |
---|---|---|---|
1 | 以电子病历为核心的医院信息系统 | 第三级 |
|
2 | 互联互通集成平台 | 第三级 |
|
3 | 医院网站 | 第二级 |
|
2、测评依据
《中华人民共和国网络安全法》
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 信息系统安全等级保护实施指南》(GBT 25058-2010)
《信息安全技术 数据库管理系统安全评估准则》(GB/T 20009-2019)
《信息安全技术 路由器安全技术要求》(GB/T 18018-2019)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2019)
《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2019)
《信息安全技术 网络交换机安全技术要求》(GB/T 21050-2019)
《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》(GB/T 37931-2019)
《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)
《信息安全技术 可信计算规范》(GB/T 37935-2019)
《信息安全技术 网络存储安全技术要求》(GB/T 37939-2019)
《信息安全技术 桌面云安全技术要求》(GB/T 37950-2019)
《信息安全技术 移动终端安全管理平台技术要求》(GB/T 37952-2019)
《信息安全技术 数控网络安全技术要求》(GB/T 37955-2019)
《信息安全技术 网站安全云防护平台技术要求》(GB/T 37956-2019)
《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)
《信息安全技术 云计算服务运行监管框架》(GB/T 37972-2019)
《信息安全技术 大数据安全管理指南》(GB/T 37973-2019)
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
《信息技术 安全技术 消息鉴别码 第3部分:采用泛杂凑函数的机制》(GB/T 15852.3-2019)
《信息安全技术 云计算服务安全指南》(GB/T 31167-2014 )
《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
《信息安全技术 网络安全等级保护定级指南》(GA_T 1389-2017)
项目涉及的其它相关国际、国内标准或规范。
3、测评内容
测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。
安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
1)安全物理环境
根据 信息系统机房和现场安全测评记录,针对机房和现场在物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等安全物理环境方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
2)安全通信网络
根据信息系统安全通信网络测评记录,针对通信网络方面在网络架构、通信传输、可信验证 等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
3)安全区域边界
安全区域边界现场测评包括 边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等边界区域防范措施进行检查。
4)安全计算环境
安全计算环境现场测评包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等几个方面的测评。
5)安全管理中心
安全管理中心现场测评包括系统管理、审计管理、安全管理、集中控制等方面。
6)安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的安全策略、管理制度、制定和发布以及评审和修订等测评指标,判断出与其相对应的各测评项的测评结果。
7)安全管理机构
根据现场安全测评记录,针对 信息系统在安全管理机构方面的岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查等测评指标,判断出与其相对应的各测评项的测评结果。
8)安全管理人员
根据现场安全测评记录,针对 信息系统在安全管理人员方面的人员录用、人员离岗、安全意识教育和培训以及外部人员访问管理等测评指标,判断出与其相对应的各测评项的测评结果。
9)安全建设管理
根据现场安全测评记录,针对 信息系统在安全建设管理方面的定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评以及服务供应商选择等测评指标,判断出与其相对应的各测评项的测评结果。
10)安全运维管理
根据现场安全测评记录,针对 信息系统在安全运维管理方面的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理以及外包运维管理等测评指标,判断出与其相对应的各测评项的测评结果。通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。
待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案。
三、成果交付
项目实施完成后,要求投标人提供包括但不限于交付物如下:
1.《网络安全等级保护测评方案》
2.《网络安全等级保护测评计划》
3.《网络安全等级保护测评报告》
项目相关的各项管理文档以及生成的阶段性报告或资料等过程文档,等级保护测评报告。
四、服务原则
1、保密性原则:双方签订信息保密协议,要求服务提供商采取必要的控制措施避免用户信息的泄漏。
2、规范性原则:服务提供商在项目实施过程中应按照国家标准规定的标准和流程进行测评,保证测评结果安全服务的有效、可靠。
3、适度安全原则:遵循适度安全原则,综合考量成本与效益因素,提出信息系统安全等级保护整改方案,指导整改工作。
4、最小影响原则:信息系统安全测评过程需要对在线的主机、网络设备、数据库、信息系统等进行审计、扫描和调研,需要对有关员工进行抽样访谈,因此难免会影响到相关人员和系统的正常工作。服务提供商应采取必要措施减少实际影响,尽可能地保障评估工作不会影响到用户的日常工作和系统运行。
5、整体性原则:服务提供商应从信息系统整体性考虑,避免对设备的孤立评估,避免出现偏颇的测评效果。
6、客观公正原则:服务提供商应在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
五、其他要求
1、供应商项目团队人员不少于3人,项目成员不得随意变动,确需变动,必须提前征得采购人同意。
2、工期要求:合同签订后30日内出具报告(不含整改时间)。
3、★项目实施过程中所收集、产生的所有与本项目相关文档、资料,包括文字、图片、表格、数字等各种形式所属权均归属 ,成交供应商有义务对所涉及到的内容保密,并在签定合同时签署保密协议。
B包:数据库运维服务内容及需求
1、项目内容
本项目建设旨在充分保障济宁市中西医结合医院现有数据库的安全稳定运行,及时处理出现的各类故障,应对灾难发生,保障核心数据的安全,同时针对数据库存在或未来可能出现的问题,进行维护服务,以保证整个系统的平稳发展。
维保范围:医院现有数据库
维保时间要求:一年
响应时间要求:7*24小时响应。
序号 | 技术服务内容 | 服务期限 |
(一) | 医院现有数据库应急响应支持 | 一年 |
1.1 | 硬件错误/性能 7*24小时 |
|
1.2 | 数据库启动故障 7*24小时 |
|
1.3 | 数据库运行错误 7*24小时 |
|
1.4 | 数据库登录故障 7*24小时 |
|
1.5 | 数据库性能故障 7*24小时 |
|
| 数据库远程支持 7*24小时 |
|
(二) | 数据库日常运维服务 | 一年 |
2.1 | 现场应急支持服务 |
|
2.2 | 数据库优化服务(根据实际需要提供) |
|
2.3 | 数据库深度健康检查服务/每季度 |
|
2.4 | 小版本升级及补丁修服务 |
|
2.5 | 技术资料提供及专家咨询服务/按需 |
|
2.6 | 容灾备份恢复演练服务/一年一次 |
|
(三) | 数据库自动化运维平台租赁服务(软件部署,根据用户实际需求配置数据库实例) | 一年 |
2、技术服务内容
1)医院现有数据库运维及服务
根据障济宁市中西医结合医院的实际情况,通过数据库年度运维服务借助服务商的专业力量,通过专业的主动式预防性维护,专业和深层次的技术支持,及时发现和消除数据库系统的安全隐患,在设备或系统发生故障时得到充分的资源保障和技术支持,及时排除各种故障,优化系统性能,同时帮助我院形成有效的数据库运维体系,最大限度减小设备的非计划停机的可能性和时间,稳步提升我院数据库运维水平,有效保障我院各项生产业务的安全、稳定和高效运行。同时通过数据库运行安全平台监控主要数据库,辅助完成数据库技术服务和问题解决。
2)7*24小时远程响应支持服务
对数据库系统故障或与数据库系统相关联的系统故障,提供7*24小时不间断非现场(可以是400电话、e-mail、VPN、QQ等形式)支持服务,通过以上方式直接联络服务商的技术工程师,寻求问题的解决方案、技术文档以及技术指导,提供故障处理案例。
在接到济宁中西医结合医院故障申告后应于5分钟内响应,如故障未能在15分钟内通过远程支持得到解决,承诺根据济宁中西医结合医院要求派指定服务工程师在1小时内赶到招标方现场,提供不间断故障处理服务。
3) 7*24小时应急现场响应支持服务
当遇到复杂性问题,需要到现场进行综合诊断或者济宁中西医结合医院要求现场支持服务的时候,要求服务团队人员乃至专家后援服务团队人员在2小时内到达支持现场,同时要求在路途中不中断电话支持以求快速解决问题。
4) 数据库日常巡检服务
日常检查至少包括以下内容:
①检查相关软硬件、数据库配置情况;
②检查数据库、备份结果集、各表空间的变化情况等,并对数据变化情况作评估;
③统计当前表空间、文件系统和数据文件的使用情况;
④检查数据库alert.log日志文件和相关trace文件;
⑤检查操作系统用户、数据库用户、系统本身的安全性;
⑥收集数据库运行期间的负载情况和Instance各性能指标;
⑦检查数据库备份是否正常;
⑧提供一年不少于四次的日常巡检服务。
5) 协助完善数据库系统日常运维服务
根据济宁中西医结合医院的实际情况,制定合理的运维计划和运维操作手册,完善日常运维文档,并根据日常运维内容提供及时告警。
3、数据库性能优化
结合系统定期巡检和济宁中西医结合医院重大事件等实际需要,根据检查的内容和用户提出的具体需求,制定数据库性能调优方案。
在济宁中西医结合医院的同意下进行数据库性能优化或 SQL优化。
服务团队极为擅长性能优化和SQL语句优化,具有丰富的性能优化案例和性能优化相关培训课程,能结合实际案例自行编著培训课程(即数据库厂家官方教材不计在内)者可作为优选。
提供一年不少于4次的健康检查优化服务。
4、数据库在线升级
服务期内,济宁中西医结合医院有可能出现升级及打补丁的需要。
通过升级评估规划,制定在线升级方案,使数据库升级后运行效率更高,包括:
(1)评估数据库升级带来的优点和可能产生的问题;
(2)保证产品升级的过程中数据的安全性;
(3)顺利、快速地从一个软件版本升级到另一个版本,减少业务的停机时间;
服务团队精通主流数据库各种升级方法,精通各种在线维护和在线割接技术。
5、技术培训
持续培训有利于提高济宁中西医结合医院DBA团队的技术水平,服务团队制定一年的培训计划,提供至少每年2次进行现场培训。具有丰富的培训课程选择,避免培训课程重复。
6、数据管理服务
提供高性能、高可靠的数据管理服务,为数据分析、报表展示,乃至于机器学习、人工智能等数据应用端提供支持。
7、服务团队能力
1)具有丰富的数据库经验
具有强有力的远程支持能力以快速解决问题。具有丰富的数据库运行维护支持经验和性能优化经验,特别对于主流数据库具有丰富的运行维护支持经验和性能优化经验。具有丰富的重大故障和灾难性故障处理经验。具有丰富的数据库安全管理经验。
2)具有丰富的维护经验
济宁中西医结合医院的核心系统架构在LINUX上,服务团队需要具有丰富的主机操作系统知识,更好的保障数据库的稳定运行。
3)本地化服务团队+二线数据库DBA支撑专家组
配备4人以上的OCM认证技术服务团队,组成济宁中西医结合医院数据库支撑专家组,设置济宁市中西医结合医院的主责工程师以更好的协调济宁中西医结合医院维保工作,项目组人员一经确定不可更换。
4)主责工程师要求
主责工程师负责管理服务团队,并且提供主要客户管理服务。主责工程师要求满足服务团队基本要求,并且从事主流数据库支持服务5年以上。
8、其他要求
1)技术支持服务:对于用户单位因本项目涉及设备出现技术上的问题或其他项目涉及本项目设备需要配合时,提供远程电话或现场技术支持服务。第三方服务配合:当用户问题涉及第三方服务商时,承担协调工作。当用户问题需要配合时, 承担配合工作。
2)系统安装、升级和优化服务
对本项目涉及设备的版本进行及时更新;根据巡检结果,对系统结构进行优化,同时对于不涉及系统的整体构架变更和功能增加提供支持服务。
3)服务总结:向用户提供详细的年度服务总结报告。
三、公示时间
本项目采购需求公示期限为3天:自2023年12月28日起,至2023年12月31日止。
四、意见反馈方式
本项目采购需求方案公示期间接受社会公众及潜在供应商的监督。
请遵循客观、公正的原则,对本项目需求方案提出意见或者建议,并请于2024年1月1日前将书面意见反馈至采购人或者采购代理机构,采购人或者采购代理机构应当于公示期满5个工作日内予以处理。
采购人或者采购代理机构未在规定时间内处理或者对处理意见不满意的,异议供应商可就有关问题通过采购文件向采购人或者采购代理机构提出质疑。
五、项目联系方式
1) 采购人:济宁市中西医结合医院
地址:济宁市王母阁路127号
联系人:张主任
2)采购代理机构:山东阳光正大建设项目管理有限公司
地址:济宁市任城区中德广场D座
联系人:刘平
联系电话: 15092753377
二、开标时间:
三、其它补充事宜
四、预算金额:
预算金额:30.000000 万元(人民币)
文章推荐:
福建省立医院物流与固定资产管理系统升级改造采购项目结果公告(采购包1)