【公告】舟山市中医院信息系统等级保护测评项目询价公告（二次公告）

经医院研究决定，就****信息系统等级保护测评项目采取院内询价确定供应商，现欢迎合格供应商报名参加。本次采购公告为二次公告，若合格供应商报名仍不足三家将自动转为竞争性磋商或单一来源采购（首次公告于2024年7月19日在我院官网发布，因报名供应商不足三家流标。

一、项目编号：****

二、项目名称：信息系统等级保护测评服务

三、项目内容：

★供应商必须具有信息系统等级测评与检测评估机构服务认证证书。

四、服务要求：

1、依据标准

投标供应商应依据国家等级保护相关标准开展工作，依据标准（包括但不限于）如下国家标准：

（1）GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》

（2）GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》

（3）GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》

（4）GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》

2、测评内容

根据本项目中等级保护对象的安全保护等级，并依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》的条款要求，投标人对****信息系统及基础网络等级保护测评服务，测评的内容包括但不限于以下内容：

1、安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安****管理中心等五个方面的安全测评。

2、安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

五、信息系统等级保护测评的具体要求

1、信息系统技术安全测评

（1）、安全物理环境测评：物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。

（2）、安全通信网络测评：安全通信网络测评应当包含：网络架构、通信传输、可信验证等。

（3）、安全区域边界主机安全测评：安全区域边界测评应当包含：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。

（4）、安全计算环境测评：安全计算环境测评应当包含：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

（5）、****中心测评：系统管理、审计管理、安全管理、集中管控。

2、信息系统管理安全测评

（1）、安全管理制度测评：安全管理制度测评应当包含：安全策略、管理制度、制定与发布、审批和修订。

（2）、安全管理机构测评：安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和**、审核和检查。

（3）、安全管理人员测评：安全管理人员测评应当包含：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

（4）、安全建设管理测评：安全建设管理测评应当包含：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务。

（5）、安全运维管理测评：安全运维管理测评应当包含：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

3、本次等级保护测评的整体要求

(1) 投标供应商应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

(2) 投标供应商应详细描述测评人员的组成、资质及各自职责的划分。投标供应商应配置有经验的测评人员进行本次等级保护测评工作。

(3) 本次等级保护测评实施过程中所使用到的各种工具软件由投标供应商推荐，经采购人确认后由投标供应商提供并在测评中使用。在报价文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境**台的要求以及使用可能对系统造成的风险等。

(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。

(5) 安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标供应商推荐，经采购人确认后由投标供应商提供并在测评中使用。

(6) 安全测评需要的运行环境（如场地、网络环境等）由采购人提供，投标供应商应详细描述需要的运行环境的具体要求。

(7) 项目完成后必须提交完整的技术文档、测评报告、整改建议等。

4、项目验收

(1) 本项目的目标是输出等级保护测评报告，并配合办理信息系统安全保护定级、备案、测评手续，该项目将产生一定数量的文档。

(2) 投标供应商应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

(3) 投标供应商应提交验收方案，供采购人参考。

(4)采购人将依据本项目的要求，组织相关部门或单位的技术专家对投标供应商提交的项目成果进行验收。

5、项目承诺

（1）投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。

（2）保密性要求：投标供应商必须和采购人签订保密协议和非侵害性协议，投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签订时一并提供给采购人。

（3）投标供应商具体测评工作和等级保护测评报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标供应商不得带离该地点。

（4）投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标供应商中标与否，其对上述内容的保密责任将长期存在。

（5）等级保护测评的品质保证：投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。

6、其它要求

（1）投标供应商在测评方案书中，对能提供的信息系统安全等级保护测评进行详细说明，可根据具体情况在项目方案中提出建议，并附详细资料和说明。

（2）投标供应商应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权，并对所涉及的专利、知识产权等法律条款承担义务，采购人以上问题不承担任何法律责任。

（3）若投标供应商的设备和系统包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。

六、要求项目交付文档

项目实施过程及完成后，应向采购人提交包含但不限于以下的文档：

《网络安全等级测评方案》

《网络安全等级测评整改建议》

《网络安全等级测评报告》

《**部门备案证明》

《渗透测试报告》

注：《网络安全等级测评方案》应在正式测评前提交，《网络安全等级测评整改建议》应在测评中提交，《网络安全等级测评报告》及《渗透测试报告》应在正式测评结束后15个工作日后提交。

七、项目实施要求：

1、实施方应保证在确定中标供应商以后立即开展实施，协助采购方办理定级备案。

2、保证本项目实施，项目负责人需具有3年以上等保+密评测评工作经验，具备以下任一证书：商用密码应用安全性评估人员培训合格证书且为高级测评师、信息安全保障人员认证证书(CISAW)、信息技术（信息安全）高级工程师职称、渗透测试高级工程师证书、数据治理工程师证书。

3、项目验收完成后，要求提供为期一年的安全咨询服务，以保证项目正常运行。

八、评分标准：

注：1、****小组成员自行按以上参考分值评分，技术商务评分保留小数点后一位数，价格分保留小数点后二位。

九、供应商资格条件：

1、供应商必须是中华人****管理部门批准成立的独立法人机构或个体营业户；

2、供应商营业执照经营范围必须包含本项目采购内容；

3、本项目不允许转包，不允许分包，不接受联合体响应报价。

4、供应商须提供近三年内无重大违法记录的证明。

5、投标文件一式伍份（一正四副）。

十、投标文件内容包括：

（一）资格证明文件

1、投标函；

2、提供投标企业营业执照、组织代码证、税务登记证等相关资质证明；复印件加盖公章并携带相关证件原件备查；（三证合一只提供营业执照）；

3、独立法人机构需提供法人授权委托书及法人身份证复印件与被授权人身份证复印件；（若投标人系法定代表人，投标文件无须提供授权委托书）；个体营业户需提供经营者委托书及经营者身份证复印件与被授权人身份证复印件；（若投标人系经营者本人，投标文件无须提供授权委托书）；

4、《法定代表人授权函》原件，非法定代表人参加投标时用；

注：以上相关资料及证书证明复印件均需加盖公章。

十一、报名时间及地点：

报名时间：2024年7月26日—2024年8月1日 17：30。

报名地点：****信息科（**区新桥路355号食堂4楼402室）。

联系人：张先生 联系电话：135****2069 邮箱：****@qq.com

报名方式：现场报名或电话报名，选择电话报名，请将报名材料发送至邮箱。

备注：如报名成功后无故缺席开标，****医院征信名单，****医院信息类招标。

十二、询价时间及地点：

询价时间：2024年8月2日 15:00

询价地点：**市**区新桥路136****酒店）六楼****行政区评标室