一、项目名称及控制价

1.项目名称：2023年信息系统安全等级保护测评服务采购项目

2.预算控制价：18.4万元

3.资金来源：自筹资金

二、项目采购要求：详见附件1（实施方案）

三、投标供应商需具备的条件

（一）一般资格条件

1.具有独立承担民事责任的能力，证明材料：提供营业执照副本复印件并加盖单位鲜章；

2.具有良好的商业信誉和健全的财务会计制度，证明材料：提供2021年或者2022年经审计的财务报告复印件；

3.具有履行合同所必需的设备和专业技术能力，证明材料：提供供应商办公场地及器材设备图片资料；提供公司技术人员、工作人员配备。

4.具有依法缴纳税收和社会保障资金的良好记录，证明材料：提供近三月的缴纳税收和社保证明。

（二）特定资格条件

******部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》

备注：以上所需提供的材料原件或复印件及报价单必须加盖投标人鲜章，未提供或提供不全作无效投标处理。

四、采购方式及其它要求：

1.医院采用院内比选的采购方式进行综合评分采购活动，需进行两轮报价。

2.参会人员需提供投标企业委托书等相关证明文件。

3.本项目不接受联合体。

五、资料的准备

（一）供应商需递交的资料

1.响应函(响应项目);

2.廉洁承诺函（自拟）;

3.报价单（格式自拟）;

4.本公司的证件，包括社会信用代码等相关资质;

5.本公司法人对业务代表的授权委托书(包含授权内容、授权期限、业务员联系电话)、业务代表的身份证复印件;

6.国家法律法规要求应当具备的其他相关资质证明文件。

(二)资料要求及其它事项提醒：请参与者根据本项目的特点，制作采购投标文件并装订成册，共壹份，封面为响应文件;资料内含第一次报价。以上资料均需加盖鲜章并密封。

六、采购会议时间： 2023年11月8日下午15点。

会议地点：**市经开区**大道199号（****精神医学门诊楼五楼会议室）

联系人 :熊老师 曾老师 电话: 082****3203；业务咨询：刘老师，电话：082****0971。

参加人员请于采购会议前30分钟递交相应资料到精****采购办并签到，逾期未签到不予受理。

七、附件资料：1、****2023年信息系统安全等级保护测评服务实施方案；2、评分细则

附件1：

****2023年信息系统安全等级保护

测评服务实施方案

****按照国家、行业相关的安全要求，需要对其信息系统进行安全等级保护测评。安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安****管理中心等五个方面的安全测评。安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。依据相关的测评准则，结合系统的构成特点，确定具体的测评对象，制定测评方案，通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求，找出信息系统中存在的安全隐患，对安全性进行整体评估，制定相关的信息安全整体安全策略和中长期的安全规划，以便对被测系统进行安全方面的调整和改进，确保其安全防护水平达到信息系统安全等级保护相应能力的要求。

一、采购需求

二、项目要求

1.项目检测依据

《中华人民**国网络安全法》

《信息安全技术 信息安全风险评估规范（GB/T ****42007）》；

《网络安全等级保护基本要求（GB/T ****92019）》

《信息安全等级保护管理办法（公通字﹝2007﹞43 号）》；

《信息安全技术网络安全等级保护定级指南（GBT 22240—2020）》；

《网络安全等级保护设计技术要求（GB/T****02019）》；

《网络安全等级保护测评要求（GB/T****82019）》；

《信息系统安全等级保护基本要求（GB/T ****92019）》；

《信息安全技术 网络安全等级保护实施指南（GB/T ****82019）》；

《信息安全技术信息安全风险评估规范（GB/T ****42007）》

2.项目测评内容

2.1 信息系统技术安全性测评

2.1.1 安全物理环境

安全物理环境针对物理机房提出了安全控制要求，主要对象为物理环境、物理设备和物理设施等；涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、安全等级保和电磁防护。

2.1.2 安全通信网络

安全通信网络针对网络架构和通信传输提岀了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等；涉及的安全控制点包括网络架构、通信传输和可信验证。

2.1.3 安全区域边界

安全区域边界针对网络边界提出了安全控制要求，主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

2.1.4 安全计算环境

安全计算环境针对边界内部提出了安全控制要求，主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。

2.1.5 ****中心

****中心针对整个系统提出了安全管理方面的技术控制要求，通过技术手段实现集中管理；涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。

2.1.6 安全管理制度

安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。

2.1.7 安全管理机构

安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和**、审核和检查等情况进行测评。

2.1.8 安全管理人员

人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训，以及外部人员访问管理等情况进行测评。

2.1.9 安全建设管理

系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。

2.1.10 安全运维管理

系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、****管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。

2.2 等级保护要求的相关内容

3.项目测评要求

3.1 按照国家相关标准要求，******局完成信息安全等级保护定级备案所有工作。

3.2 对****信息系统的安全物理环境、安全通信网络、安全区域边界、安****管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理共 10 个层面通过访谈、检查、测评等方法进行初测评，找出差距、安全漏洞和隐患并分析其风险，制订出整改建议报告。

3.3 根据相关要求及测评的整改意见，协助被测信息系统的安全修复、系统加固等工作。

4.项目测评交付资料

项目测评后需提交《****HIS应用等级测评报告》、《****LIS应用等级测评报告》、《****OA应用等级测评报告》《系统整改建议报告》、HIS应用系统信息安全等级保护备案证明、LIS应用系统信息安全等级保护备案证明、OA应用系统信息安全等级保护备案证明等资料。

三、商务要求

1.服务要求

1.1.项目现场实施配备人员不得少于 5 名，其中信息安全等级测评师（高级）不少于 1 名，信息安全等级测评师（中级）不少于 2 名，信息安全等级测评师（初级）不少于 2 名，提供上述人员的近一年社保证明材料加盖公章，要求上述人员在项目过程中务必到场实施。

1.2.服务期限：1 年

1.3.服务地点：****指定地点

1.4.免费提供一次全院级别的信息安全培训会议。

2．服务保障与承诺

2.1.服务提供商应严格按照测评人员执业守则，按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评，在保证质量、安全的前提下，确保在项目规定的期限内按期完成。

2.2.服务提供商应协助、配合与上级监管部门、**机关的沟通协调。在测评过程中和测评完成后，协助、配合进行相关的信息系统安全整改。

2.3.服务提供商应在项目期内向提供 7*24 小时电话咨询服务，必要时上门服务。跟踪信息安全等级保护的最新发展情况，及时告之，提供相应解决方案及建议，协助其持续符合信息系统信息安全等级保护工作的要求。

2.4.服务提供商应在项目实施过程中，对相关人员进行安全方面的技术培训，明确项目实施的思路、方案、技术路线，提升技术人员的安全意识，可以独立的对信息安全等级保护的国家安全政策和法规进行把握，了解测评整改手段，掌握测评整改方法。

2.5.服务提供商应在项目开始前，与签订保密协议，严格遵守法律法规，对商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密，未经同意，严禁将上述内容与任何第三方透露或用于其他商业用途，并承担由此产生的一切损失。

四、供应商邀请方式

公告方式：本次邀请在****官网上以公告形式发布。

附件2：

评分细则