招标公告 宿州市医疗保障信息平台等级保护测评采购项目询价公告

宿州市医疗保障信息平台等级保护测评采购项目进行询价采购，欢迎符合条件的供应商参加报价。

一、采购项目名称

1、项目名称：宿州市医疗保障信息平台等级保护测评采购项目

2、采购方式：询价方式。

二、招标内容

（一）项目概况

依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求，对宿州市医疗保障信息平台进行网络安全等级保护测评，包括：安全技术测评，安全管理测评，工具测试，编制系统安全整改方案，编制测评报告等。进一步落实网络安全等级保护制度，进一步提高宿州市医疗保障局整体安全防护水平，找出网络中存在的安全漏洞及隐患，为医保系统的后续整改、加固工作提供建议和决策依据。从而进一步完善安全管理体系和技术防护体系，切实提高安全防护能力，达到网络安全等级保护2.***的相关技术标准，保障医保系统安全、稳定地运行。

（二）项目实施要求

1、本次参与网络安全等级保护测评的系统如下：

***服务要求：提供一年4次漏洞扫描服务，按每季度一次，以及网络安全相关培训。

***工期要求：9***天。招标人根据项目进度提前1***天通知中标人开展测评工作，中标人进场测评后，2***天出具整改建议，招标人整改完成后2***天向中标人出具《测评报告》

（三）指导思想和基本准则

根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2******7〕43号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2******4〕66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2******7〕861号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2******9]1429号）等文件精神，结合宿州市医疗保障局工作实际，现拟对宿州市医疗保障局重要信息系统实施网络安全等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力。

（四）等级保护测评主要包括以下几个方面：

1、等保测评：完成包括安全物理环境、安全计算环境、安全区域边界、安全通信网络、安全管理中心和安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理方面的测评工作；

2、工具测试：针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作；

3、整改建议：投标人应根据现场测评中发现的问题，分析与GB/T22239-2***19、ISO/IEC27******1、ISO/IEC2************、ISO223***1、ITIL和ITSS等行业最佳实践之间的差距，按照网络安全等级保护标准要求提出安全整改建议；

4、编制测评报告：完成上述测评工作和整改加固实施后，投标人最后出具符合标准要求的各信息系统网络安全等级保护测评报告。

（五）工作要求：

1、实施原则

（1）规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

（2）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

（3）可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

（4）整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

（5）最小影响原则：测评工作应尽可能小地影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

（6）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

2、测评依据

（1）《信息安全技术网络安全等级保护基本要求》（GB/T22239-2***19）

（2）《信息安全技术网络安全等级保护定级指南》（GB/T2224***-2***2***）

（3）《信息安全技术网络安全等级保护测评要求》（GB/T28448-2***19）

（4）《信息安全技术网络安全等级保护测评过程指南》（GB∕T28449-2***18）

3、等级保护测评内容

（1）等级保护测评内容

根据国家等级保护相关标准，本次项目的网络安全等级保护测评应包括以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

安全管理测评：包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

（2）安全物理环境

安全物理环境是对机房和办公场所的物理环境安全防护情况进行测评，包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护等方面的安全状况。

（3）安全通信网络

安全通信网络测评是对市云数据中心以及各县区网络系统安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。

（4）安全区域边界

安全区域边界是对边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等方面的测评。

（5）安全计算环境

安全计算环境是对身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等方面的测评。

（6）安全管理中心

安全管理中心是对系统管理、审计管理、安全管理、集中管控等方面的测评。

（7）安全管理制度

安全管理制度测评是对安全策略、管理制度、制定和发布、评审和修订进行测评。

（8）安全管理机构

安全管理机构测评是对岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。

（9）安全管理人员

安全管理人员测评是对人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等情况进行测评。

（1***）安全建设管理

安全建设管理测评是对建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等情况进行测评。

（11）安全运维管理

安全运维管理测评是对环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等情况进行测评。

（六）人员配备

供应商拟派的安全服务团队不得少于5人（至少包括1名高级测评师、2名中级测评师）。安全服务团队在合同约定期内派驻采购人到指定地点办公；成交供应商需保证在实施阶段主要技术人员必须是全职。

（七）验收标准

(1)成交供应商按等保要求，完成规定工作内容，提供相关过程文档，能够按照等保******标准出具符合标准要求的测评报告。

(2)成交供应商按招标文件要求，完成安全服务规定的工作内容，提供相关过程文档，能够出具宿州市医疗保障局认可的结果报告。

（3）本项目服务的验收将以成交供应商提交《测评报告》并在公安部登记管理系统填报结果为准。

三、投标单位资质要求

1、满足《中华人民共和国政府采购法》第二十二条规定；

①具有独立承担民事责任的能力；

②具有良好的商业信誉和健全的财务会计制度；

③具有履行合同所必需的设备和专业技术能力；

④有依法缴纳税收和社会保障资金的良好记录；

⑤参加政府采购活动前三年内，在经营活动中没有重大违法记录；

2、投标人须具有有效的营业执照；

3、具有公安部第三研究所颁发的网络安全等级测评与检测评估服务资质证书；

注：提供测评机构资质证书扫描件，否则不予认定。

4、本项目不允许联合投标。

四、递交材料

1、正本1份，副本1份，正副本单独密封在一个档案袋，密封袋注明项目名称、询价人名称、报价人名称、请勿在“年月日时分之前启封”，骑缝处加盖报价人公章。递交时提供供应商的法定代表人提供身份证明书或其委托的代理人应提供有效的法定代表人的授权委托书

2、格式详见附件

五、具体要求

1、以上所有项目均含符合甲方要求的发票（增值税普通发票、增值税专用发票）；

2、项目最高限价：9万元，总价包含完成本包项目期间所产生的一切费用。

六、报价材料提交期限

1、报价材料提交截止时间：2***23年11月16日17时******分；

2、地点：宿州市埇桥区银河一路53***号市医疗保障局6***5室；

七、中标方式

本次询价以最低中标，如满足招标文件要求的投标人最低报价相同时，已采购人摇号选取为准。

八、联系方式

单位名称：宿州市医疗保障局

联系人：王茂；联系方式：3***6***369。

2***23年11月13日