禄丰市人民医院信息系统安全等级保护测评服务项目

采购方式：竞争性磋商

预算金额：5.000000万元（人民币）

最高限价（如有）：5.000000万元（人民币）

采购需求：

1.安全技术测评

按照等保2.0要求进行测评，主要包括安全物理环境、安全通信环境、安全区域边界、安全计算环境、安全管理中心等五个层面上的测评。

（1）安全物理环境

安全物理环境测评内容要求包含以下十个控制点：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护；

（2）安全通信环境

安全通信环境测评内容要求包含以下三个控制点：网络架构、通信传输、可信验证；

（3）安全区域边界

安全区域边界测评内容要求包含以下六个控制点：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证；

（4）安全计算环境

安全计算环境测评内容要求包含以下十一个控制点：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护；

（5）安全管理中心

安全管理中心测评内容要求包含以下四个控制点：系统管理、审计管理、安全管理、集中管控。

2.安全管理测评

按照等保2.0要求进行测评，主要包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个层面上的测评。

（1）安全管理制度

安全管理制度测评内容要求包含以下三个控制点：管理制度、制定和发布、评审和修订；

（2）安全管理机构

安全管理机构测评内容要求包含以下五个控制点：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查；

（3）安全管理人员

安全管理人员测评内容要求包含以下四个控制点：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理；

（4）安全建设管理

安全建设管理测评内容要求包含以下十个控制点：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择；

（5）安全运维管理

安全运维管理测评内容要求包含以下十四个控制点：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

3.整体测评

按照等保2.0要求进行测评。从安全控制点、安全控制点间和区域间等方面进行测评和综合安全分析，从而给出等级测评结论。整体测评包括安全控制点测评、安全控制点间测评和区域间测评。

4.测评服务提交成果要求

完成等保测评工作应按要求提供相应系统的测评报告、整改建议书及测评实施计划书等，包括但不限于以下材料。

（1）《信息系统等级保护测评方案》（纸版和电子版）

（2）《等级保护测评实施计划》（纸版和电子版）

（3）《等级保护测评过程记录文件》（电子版）

（4）《信息系统等级保护测评报告》（纸版和电子版）

（5）《网络与信息系统安全等级保护整改建议书》（纸版和电子版）

（6）《网络安全渗透测试报告》（纸版和电子版）

（7）其它应交付的文档（纸版和电子版）

5.安全整改要求

（1）依照测评结论和整改建议，结合针对业务方信息定级系统的实际情况，配合用户方设计系统整改方案，并由测评公司与用户方就方案内容进行沟通和协商，提交《整改方案》。

（2）测评公司支持开展整改工作，直至用户方完成测评信息系统的安全整改工作，具体工作如下：完成相关制度的制定和完善，如：信息安全保障制度、安全管理制度、人员安全管理办法等，通过用户审验；协助用户方完成测评信息系统的操作系统、数据库、中间件、网络设备及其他相关设备补丁的安装更新，用户账号与口令复杂度设置，日志与审核策略的配置，服务优化以及安全防护加固工作；为测评信息系统存在的漏洞在加固环节提供技术指导等直到招标人整改完成并提交通过备案；

6.测评人员要求

（1）投标方参与业务方项目组的成员至少3人，参与项目的人员必须具备网络安全等级保护测评师资质（提供资质证书复印件），并提供现场服务。

（2）投标方必须为业务方测评项目成立等级保护测评项目组，由项目经理统一负责，项目经理须具有一定的技术管理知识和经验，能够容易地与客户沟通，能够很好地执行并完成测评服务工作，并能根据一些特殊的情况可以适当增加服务人员，接受招标方的统一管理。

（3）投标方派驻的测评项目经理和测评服务人员必须固定，如有变更，必须经用户方同意并签字确认。投标方必须提供人员管理及配备方案，并确保其人员的稳定性。

7.其他要求

（1）投标方应按等级保护测评要求制定测评服务过程中产生的文档，做科学、规范、详尽、统一等方面的要求。

（2）保密要求:中标单位不得在任何场合向任何无关单位或个人透露被测评信息系统和被测评单位的内部信息，并与用户方签订保密协议。

（3）中标方须在规定时间内配合业务方顺利通过测评；在服务期内有责任提供技术支持，协助业务方对照《安全整改建议书》开展整改工作。

8.其他服务

（1）网络信息系统定级备案协助：协助医院完成到公安机关及网信办备案网络信息安全测评备案工作

（2）、安全顾问咨询：为保障医院信息系统安全、可靠，需要依托专业网络安全服务团队工作经验，对医院信息系统安全进行咨询指导。

（3）渗透测试：对医院应用提供完整地黑客攻击模拟，对目标系统实行全面的渗透测试，攻击时间不得低于3个工作日，验证在当前的安全防护措施下网络、系统抵抗黑客攻击的能力，在可控制范围内找出全部的安全隐患，并向医院提供正式的渗透测试报告和整改建议。

合同履行期限：采购有效期为1年。

本项目(不接受)联合体投标。

二、申请人的资格要求：

1.满足《中华人民共和国政府采购法》第二十二条规定；

2.落实政府采购政策需满足的资格要求：

（1）本项目非专门面向中小微企业采购；（2）本项目执行《关于进一步加大政府采购支持中小企业力度的通知（财库〔2022〕19号）》、《三部门联合发布关于促进残疾人就业政府采购政策的通知（财库〔2017〕141号）》、《关于政府采购支持监狱企业发展有关问题的通知（财库〔2014〕68号）》，以及国家或行业现行法律、法规、规范。供应商属于中小微企业并提供声明函的，符合国家法律法规规定，在评审时按照国家相关规定报价给予10%的价格折扣，用扣除后的价格参与评审，监狱企业及残疾人福利单位视同于中小微企业，不再另行减免。

3.本项目的特定资格要求：1>投标人须具备《网络安全等级测评与检测评估机构服务认证证书》，且应在有效期内；2>根据《中华人民共和国政府采购法实施条例》第十八条规定，单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的政府采购活动（提供声明书）；3>除单一来源采购项目外，为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得再参加该采购项目的其他采购活动（提供声明书）

三、获取采购文件

时间：2024年08月28日至2024年09月03日，每天上午8:00至11:30，下午14:30至17:30。（北京时间，法定节假日除外）

友情提醒：报名前与下方联系人索取投标登记表，以及办理后续事宜。
联系人：郝亮
手机：13146799092(微信同号)
邮箱：1094372637@qq.com