测评360云安全中心

第五章采购需求一、第三方软件测评服务1.
软件测评服务总体目标根据该项目的总体建设目标,投标人应为该项目建设完成的信息集成平台及数据中心、综合业务应用系统及相关应用软件开发,提供软件功能、效率(性能)和信息安全性方面的第三方测评服务,最终使建设完成的软件系统达到预期功能、性能和安全性要求,实现总体项目目标.
其中,信息集成平台及数据中心包括信息集成平台、数据中心、员工360档案系统、患者360度视图系统、综合管理决策分析系统,在线学习和考试系统、婴儿防盗系统、智能随访平台、治疗管理系统、e-HR人力资源管理系统、门户集成平台、单点登录系统、集成平台综合管理系统、集成平台运行监控系统、数据中心管理系统等10个软件系统;相关业务系统包括PACS系统、无线查房信息系统、急诊临床信息系统、临床决策支持系统、新生儿重症临床信息系统、医保智能管理系统等6个业务软件系统;相关应用软件测试内容可能包括HIS、LIS、EMR、输血、手麻、病理、超声、成本、绩效、重症、OA、食堂、透析、智能语音、综合运营、心电、内镜等系统二次开发新增加的内容(具体明细以实际情况为准).
2.
依据标准本次测试参考标准为:GB/T25000.
51-2016《系统与软件工程系统与软件质量要求和评价(SQuaRE)第51部分:就绪可用软件产品(RUSP)的质量要求和测试细则》3.
软件测评工作要求3.
1.
总体原则为保障测试工作的顺利实施,在测试项目的实施过程中应遵循如下原则:1)公平原则:投标人应遵循"面向系统、保证质量、客观公正、诚信守诺"的原则开展测试工作;2)规范性原则:投标人应根据项目实施的需要及采购人的要求,在人员、质量和时间进度等方面进行严格管控;3)标准性原则:投标人应依据相关国家标准、行业标准开展测试工作;4)保密原则:投标人应切实加强对人员、技术等方面的组织管理,签署保密协议,确保对测试服务过程中接触到的各种信息,不得泄漏给任何其他单位和个人,未经允许不得利用这些信息从事与服务无关的活动;5)影响最小原则:投标人在项目实施的过程中,应充分考虑到相关活动对系统正常运行的不利影响,采取必要的措施将相关风险降到最低.
3.
2.
测试服务要求1)投标人安排测试人员到系统部署地现场进行测试,自带测试所必需的测试设备和工具等设备;如有特殊要求,需要采购人提供的,投标人需提前和采购人协商,并提供测试环境的技术要求和配置方案.
2)投标人测试计划安排和各阶段内容应合理、可行,并提交给采购人报备同意.
3)投标人应在采购人要求时间内完成测试,并通过验收.
4)服务期限:自软件测试服务项目合同生效之日起,至该项目验收通过.
3.
3.
测试内容3.
3.
1.
功能测试功能测试主要针对本项目完成的软件系统进行功能测试,逐项验证系统提供的功能是否符合《软件需求规格说明书》、《用户手册》等能够说明用户需求的文件要求,发现系统存在的功能问题,并提出合理的整改建议.
功能测试要求:根据系统需求规格说明书设计相应的测试用例;执行功能测试,并做好测试记录;分析各个模块的功能缺陷,形成功能测试问题清单;整改后对功能进行回归复测.
3.
3.
2.
性能测试依据《软件需求规格说明书》中对应用系统性能效率的描述,考查应用系统关键业务在正常工作量、预期的峰值工作量下的效率情况,主要考虑系统容量特性、时间特性及资源利用状况等效率指标是否符合用户需求,并据此对系统的性能做出全面的评价.
3.
3.
3.
应用安全性测试应用安全性测试,需要测试服务提供商查找发现软件自身程序设计中存在的安全隐患,并检查应用程序对非法侵入的防范能力.
在获得采购人授权的情况下,测试人员可以进行非破坏性质的安全性测试,分析系统的安全性,发现系统中是否存在SQL注入、XSS等常见高危漏洞.
二、网络安全等级保护测评服务投标人应按照最新国家网络安全等级保护相关政策标准,完成招标人运营的各信息系统的定级备案咨询、差距分析、整改咨询和等级保护测评服务,信息系统情况如下表所示,查找距离等级保护相应级别安全要求之间的差距问题,并提供整改建议和咨询服务,最终根据测评结果出具正式测评报告.
1.
涉及系统本次等级保护测评服务涉及的系统包括:1.
信息集成平台及数据中心(暂定第三级)2.
大兴区人民医院HIS信息系统(暂定第三级)3.
综合业务应用系统(暂定第二级).
包括本项目中新建信息系统及院内原有且需和集成平台及数据中心进行数据通信的系统:新建系统包含PACS系统、无线查房信息系统、急诊临床信息系统、临床决策支持系统、新生儿重症临床信息系统、医保智能管理系统、成本核算系统、绩效管理系统等系统.
原有系统包含但不限于LIS、EMR、输血、手麻、病理、超声、重症、OA、食堂、透析、智能语音、综合运营、心电、内镜等.
(具体系统明细以实际情况为准)2.
依据标准《GB/T22239-2019信息安全技术网络安全等级保护基本要求》《GB/T28448-2019信息安全技术网络安全等级保护测评要求》《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》3.
测评内容投标人应按照招标人要求完成涉及系统的网络安全等级保护测评工作.

网络安全等级保护测评内容主要包括单项测评和整体测评工作.
(一)单项测评单项测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构、安全管理制度、安全人员管理、安全建设管理和安全运维管理十大类.
1)安全物理环境测评内容包括:物理位置的选择物理访问控制防盗窃和防破坏防雷击防火防水和防潮防静电温湿度控制电力供应电磁防护2)安全通信网络测评内容包括:网络架构通信传输可信验证3)安全区域边界测评内容包括:边界防护访问控制入侵防范恶意代码和垃圾邮件防范安全审计可信验证4)安全计算环境测评内容包括:身份鉴别访问控制安全审计入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护5)安全管理中心测评内容包括:系统管理审计管理安全管理集中管控6)安全管理制度测评内容包括:安全策略管理制度制定和发布评审和修订7)安全管理机构测评内容包括:岗位设置人员配备授权和审批沟通和合作审核和检查8)安全管理人员测评内容包括:人员录用人员离岗安全意识教育和培训外部人员访问管9)安全建设管理测评内容包括:定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付等级测评服务供应商管理10)安全运维管理测评内容包括:环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理恶意代码防范管理配置管理密码管理变更管理备份与恢复管理安全事件处置应急预案管理外包运维管理(二)整体测评整体测评内容包括安全控制点测评、安全控制点间测评和区域间测评.

1)安全控制点测评主要是对单个控制点中所有要求项的符合程度进行分析和判定.
2)安全控制点间测评主要是对同一区域同一类内的两个或者两个以上不同安全控制点间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响.
3)区域间测评主要是对互连互通的不同区域之间的关联进行测评分析,其目的是确定这些关联对等级保护对象整体安全保护能力的影响.
三、其他服务1.
安全培训服务投标人提供针对集成商、软件开发服务商的等级保护2.
0合规培训服务,其中重点讲解系统接入院集成平台和数据中心的安全合规要求,规避厂商在开发和集成阶段可能产生的安全风险.
2.
系统接入安全管控策略设计咨询服务为提高软件开发质量、消除软件先天缺陷、保证上线后安全稳定运行,投标人协助招标人设计系统接入安全管控策略,服务内容包括如下:1)依据国家网络安全等级保护及相关信息安全标准规范,设计新系统上线前安全自查表单,为规范软件开发商开展安全接入自检测提供依据.
2)协助制定系统接入安全管理要求,从流程和管理上规范新系统上线、安全接入等行为.
3.
基础网络安全建设优化咨询服务依据国家网络安全等级保护及相关信息安全标准规范,并采用风险分析的方法,分析招标人当前基础网络环境存在的安全风险,提出安全建设优化需求建议,并在基础网络安全建设优化过程中提供咨询服务.
四、服务质量与安全保密条款1.
服务质量要求及考核条款(1)招标人有权依据服务质量标准,对中标人提供的服务进行考核.
(2)如果中标人没有满足服务质量考核标准,除了应采用补救措施外,招标人有权要求中标人给与一定的赔偿(不局限于经济赔偿).
中标人应当每三个月向招标人提供书面季度服务工作总结报告,接受招标人的评审;招标人应当在收到季度服务工作总结报告后七日内对报告进行评审或提出质疑.
对招标人提出的质疑,中标人应在七日内进行回复或改正,否则,视为中标人违约并同意招标人的意见,招标人有权按照支付条款的有关内容要求中标人承担违约责任.