上饶市广丰区中医院

HIS系统网络安全等保2.0第三级测评（复评）采购项目预算现场询价公告

上饶市广丰区中医院拟对HIS系统网络安全等保2.0第三级测评（复评）采购项目预算进行现场询价，特邀请有符合条件要求的供应商参加报价。

一、项目最高限价：

项目预算金额（最高限价）：93700元

二、项目内容及具体要求：

详见附件：上饶市广丰区中医院信息系统网络安全等级保护复评技术要求

二、参加询价供应商资格：

1、具有独立承担民事责任的能力。

2、具有良好的商业信誉和健全的财务会计制度。

3、具有履行合同所必须的设备和专业技术能力。

4、有依法缴纳税收和社会保障资金的良好记录。

5、供应商参加本次政府采购活动前三年内，在经营活动中没有重大违法记录。

6、法律、行政法规规定的其他条件。

三、参加询价供应商需要提交的响应文件内容。

1、响应文件封面（格式自拟）、报价单（附件）

2、提供有效的《营业执照》、《税务登记证》、《组织机构代码证》或三证合一的《营业执照》。

3、法人的授权书、法人和授权代表身份证复印件。

4、询价具体内容及要求中，若存在控标嫌疑或不当之处，一并报送清单说明。

注：以上资料必须加盖公章，现场询价结束后以PDF电子档形式发送至邮箱。                                                                          

三、公告时间

2023年10月07日-2023年10月11日

五、现场询价时间和地点

预算询价时间：2023年10月11日下午14时正

地点：上饶市广丰区中医院四楼会议室

六、联系人及电话

联系人：周先生   联系电话：18970319531

邮箱：13767385688@139.com

联系地址：上饶市广丰区中医院（广丰区铜钹山大道）

                                上饶市广丰区中医院

2023年10月07日

附件：

上饶市广丰区中医院信息系统网络安全

等级保护复评技术要求

一、供应商要求

1、符合政府采购法第二十二条：1）具有独立承担民事责任的能力；2）具有良好的商业信誉和健全的财务会计制度；3）具有履行合同所必需的设备和专业技术能力；4）有依法缴纳税收和社会保障资金的良好记录；5）参加政府采购活动前五年，在经营活动中没有重大违法记录及行业主管部门的处罚整改记录；6）法律、行政法规规定的其他条件。

2、已获得国家网络安全等级保护工作协调小组办公室推荐的测评机构。

3、具有政府部门认可的内网资产发现系统著作权证书、内网流量监控系统著作权证书、网站漏洞扫描系统著作权证书、服务器漏洞扫描系统著作权证书提供证书复印件优先考虑。

二、服务内容

依据相应等级信息系统的基本要求和安全目标，设计出等级化、符合系统特点、融管理和技术为一体的整体安全保障体系，以信息系统的实际情况和现实问题为基础，遵照国家的法律法规和标准规范，参照国家的安全标准，根据等级保护基本要求对当前信息系统网络安全作一次全面的检查，形成测评报告，使技术管理部门对系统在网络安全方面有一个全面的了解，及时发现风险、漏洞所在，从而进行有针对性的加强和完善网络安全等级保护建设工作，以增强单位信息系统抗风险能力。

根据国家等级保护相关标准，投标人对上述信息系统完成测评、整改、报备等工作。要求对以上业务信息系统进行摸底、分析和梳理，提出测评方案。逐一对信息系统进行安全等级保护测评，信息系统安全等级保护测评的内容包括但不限于以下内容：

(1) 安全技术测评：包括安全物理环境、安全区域边界、安全计算环境、安全通信网络、安全管理中心五个方面的安全测评；

(2) 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；

(3)完成测评工作后，提出整改方案并实施整改，最后出具符合公安机关要求的信息系统安全保护等级测评报告，并协助上述系统单位完成信息系统安全保护等级备案工作。

三、测评依据

开展重要信息系统等级测评等服务，需遵循以下要求及标准：

1）中华人民共和国计算机信息系统安全保护条例（国务院第147号令）；

2） 关于开展全国重要信息系统安全等级保护定级工作的通知（公信安〔2007〕861号）；

3）信息安全等级保护管理办法(公通字[2007]43号）

4）信息系统安全等级保护定级指南（GB/T 22240-2008）；

5）信息系统安全等级保护基本要求(GB/T 22239-2019）；

6）信息系统安全等级保护测评要求(GB/T 28448-2019）；

四、项目原则

在本次项目实施过程中，项目团队应遵循以下原则：

1.保密性原则

在体系优化工作开始前，与采购人签署保密协议，规定实施过程和实施结束后技术中心敏感信息的保密工作，如对数据加密存储、清除用户数据。

2.最小影响原则

通过管理和技术两个层面将工作所带来的影响降至最小，避免由于占用技术中心过多人力或资源而干扰其正常业务，避免实施过程对信息系统的正常运行产生不利的影响。

3.可操作性原则

通过详细定义每个阶段的任务和任务实践内容，明确定义参与人员的职责和每项工作开始前的必备条件和结束时的输出结果，从而规范实施的流程，保证实施过程的可操作性和可控性。

4.质量控制原则

通过项目管理的方法，从项目的组织、角色定义与培训、沟通与确认、进度控制、文档控制、汇报与验收等多个环节保证评估服务的总体质量。

5.风险规避原则

在体系优化工作开始前，充分考虑可能引入的多方面风险，告知用户可能存在的风险，并采取相应的控制措施加以规避。

6.符合性原则

体系优化工作应符合国家、行业、国际等相关的安全标准与规范。

7.整体性原则

体系优化的范围和内容应当系统性、全面，覆盖采购人安全所涉及的各个层面、业务条线、内部组织架构，力求建立全面、整体的安全防护体系。

五、测评要求

1.投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

2.投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

3.本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经采购人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

4.安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经采购人确认后由投标人提供并在测评中使用。

5.安全测评需要的运行环境（如场地、网络环境等）由采购人提供，投标人应详细描述需要的运行环境的具体要求。

6.为保障项目顺利完成，建议项目负责人具有8年以上的测评工作经验的高级测评师，并同时有注册信息安全专业人员(CISP)、信息安全保障人员证书(CISAW安全集成）、信息系统项目管理师（高级）、内审员证书、职业技能证书（网络攻防技术与信息安全应急响应-高级），如中标签合同前需提供证书原件备查。

7、为保障项目顺利完成，建议项目技术总监具有5年以上的测评工作经验的中级测评师，并同时具有注册信息安全专业人员(CISP)、云计算安全证书(CIIP-A)、信息系统项目管理师（高级）、国家专业技术人才知识更新工程培训证书，如中标签合同前需提供证书原件备查。

六、项目验收

本项目输出包括且不仅仅包括以下成果：

1.本项目输出包括且不仅仅包括以下成果：

u 《网络安全等级保护定级建议报告》

u 《等级保护备案表》

u 《网络安全等级保护测评报告》

u 《网络安全等级整改建议书》

测评工作结束后，协助委托方完成系统的备案工作。

2.投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

3.投标人应提交验收方案，供招标人参考。

4.招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。

七、保密要求

1、投标人必须和采购人签订保密协议和非侵害性协议，投标人必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签订时一并提供给采购人。

2、投标人具体测评工作和等级保护测评报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标人不得带离该地点。

3、投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。