招标详情

下文中**为隐藏内容，登录且认证用户后可见

立即登录

中标结果广安市精神病院信息系统等保测评服务项目采购公告（第二次）

四川广安

2024-06-25

***万

收藏标讯

基本信息

招标单位：

岳池县人民医院

公告正文

广安市精神病院

信息系统等保测评服务项目

采购公告（第二次）

广安市精神病院根据工作需要拟通过竞争性谈判采购方式采购广安市精神病院信息系统等保测评服务项目，现面向社会邀请符合本次竞争性谈判采购要求的供应商前来参与。

一、项目概况 duX 岳池县人民医院

本采购项目为广安市精神病院信息系统等保测评服务项目，资金来源（财政性资金），预算金额： 2*** 万元。

二、资格证明文件

*** 具有独立承担民事责任的能力（承诺函）

*** 具有良好的商业信誉（承诺函）

*** 具有健全的财务会计制度。（承诺函）

*** 具有履行合同所必需的设备和专业技术能力。（承诺函）

*** 有依法缴纳税收和社会保障资金的良好记录。（承诺函） *** 参加政府采购活动前三年内，在经营活动中没有重大违法记录。（承诺函）

*** 不存在与单位负责人为同一人或者存在直接控股、管理关系的其他供应商参与同一合同项下的政府采购活动的行为。（承诺函）

*** 营业执照、税务登记证和组织机构代码证或三证（多证）合一的营业执照（正本或副本复印件）。

*** 法定代表人及被授权代表身份证明。（复印件）

1***. 特定要求：具有《网络安全等级测评与检测评估机构服务认证证书》

备注：资格证明文件为复印件的必须加盖投标人公章（鲜章）。

采购需求 / 清单

★（一）项目需求

根据《中华人民共和国网络安全法》以及《信息安全等级保护管理办法》等相关要求，采购网络安全等级保护测评服务供应商，对采购人相关信息系统提供网络安全等级保护测评服务，协助采购人对系统进行定级备案，并通过测评查找安全隐患，提供差距分析指导安全建设，最终出具等级保护测评报告。具体服务内容包括：

*** 协助业主单位进行信息系统的信息安全等级定级和备案工作。

*** 差距测评，至少包括：

安全技术测评。包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。

安全管理测评。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

形成问题汇总及整改意见报告。依据测评结果，对等级测评结果进行汇总统计；通过对信息系统基本安全保护状态的分析给出初步测评结论。根据测评结果制定《系统等级保护测评问题汇总及整改意见报告》，列出被测信息系统中存在的主要问题以及整改意见。

*** 协助完成整改工作。依据整改方案，为安全整改的各项工作提供技术咨询服务。

*** 等级测评，至少包括：

按照等级保护相关标准对系统从技术、管理等方面进行安全等级测评工作。

编制测评报告，制定并提交《系统信息安全等级测评报告》。

（二）依据标准

①《中华人民共和国网络安全法》

② GB/T 22239-2***19 《信息安全技术网络安全等级保护基本要求》

③ GB/T 28448-2***19 《信息安全技术网络安全等级保护测评要求》

④ GB/T 28449-2***18 《信息安全技术网络安全等级保护测评过程指南》

⑤ GB/T 36627-2***18 《信息安全技术网络安全等级保护测试评估技术指南》

⑥ GB/T 2224***-2***2*** 《信息安全技术网络安全等级保护定级指南》

⑦ 《信息安全等级保护管理办法》公通字 [2******7] 43 号

⑧ 《网络安全等级保护测评机构管理办法》公信安 [2***18] 765 号

★（三）完成项目所需提交的文档清单

在本项目完成后，服务方须提供以下文档资料：

《信息系统安全问题汇总及整改建议》
《信息系统等保测评报告》及过程资料

（四）安全要求

成交供应商在项目实施过程中，必须遵守以下技术原则：

*** 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购方的行为，否则采购方有权追究供应商的责任。

2 . 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

3 . 规范性原则：供应商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制，测评出具的报告须符合公安部颁布的《信息系统安全等级测评报告模板》。

4 . 可控性原则：等保测评服务的进度要按照招标文件的要求，保证采购方对于测评工作的可控性。

5 . 整体性原则：等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求测评要求涉及的各个层面。

6 . 安全性原则：等保测评服务工作应不得影响系统和网络的正常运行；测评工作不得对现有信息系统的正常运行、业务的正常开展产生任何影响。

★ *** 人员要求：

1) 从事信息系统检测评估相关工作人员无违法记录。

2 ) 工作人员仅限于中华人民共和国境内的中国公民，且无犯罪记录。

3) 测评期间需遵守被测单位相关管理规定，禁止利用测评工作从事危害被测单位利益、安全的活动。

4) 项目负责人同时具有网络安全等级测评师（高级）证书或者信息安全等级测评师（高级）证书、互联网安全评估师证书（ C IISA 证书）。

5) 项目技术负责人同时具有网络安全等级测评师（中级）证书或者信息安全等级测评师（中级）证书、商用密码应用安全性评估人员测评能力合格证书。

★（五）：测评内容具体要求

（ 1）安全物理环境

序号	工作单元名称	工作单元描述
1	物理位置选择	通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。
2	物理访问控制	通过访谈、检查主机房出入口、机房分区域情况等过程，测评信息系统在物理访问控制方面的安全防范能力。
3	防盗窃和防破坏	通过访谈、检查机房的主要设备、介质和防盗报警系统等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
4	防雷击	通过访谈、检查机房的设计 /验收文档，测评信息系统是否采取相应的措施预防雷击。
5	防火	通过访谈、检查机房的设计 /验收文档，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。
6	防水和防潮	通过访谈、检查机房的除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7	防静电	通过访谈、检查机房是否采取必要措施防止静电的产生。
8	温湿度控制	通过访谈、检查机房温、湿度情况，是否采取必要措施对机房内的温湿度进行控制。
9	电力供应	通过访谈、检查机房供电线路、设备等过程，是否具备提供一定的电力供应的能力。
1***	电磁防护	通过访谈、检查是否具备一定的电磁防护能力。

（ 2）安全通信网络

序号	工作单元名称	工作单元描述
1	网络架构	通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备，测试系统访问路径和网络宽带分配情况等过程，测评分析网络架构与网段划分、隔离等情况的合理性和有效性，以及通信线路、关键设备硬件冗余，系统可用性保证情况。
2	通信传输	通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。
3	可信验证	通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。

（ 3）安全区域边界

序号	工作单元名称	工作单元描述
1	边界防护	通过访谈、检查、测试边界完整性检查设备，测评分析跨域边界的访问控制和数据流通过边界设备的控制措施，非法内联、外联、无线准入控制的监测、阻断等能力。
2	访问控制	通过访谈、检查、测试网络访问控制设备策略部署，测试系统对外暴露安全漏洞情况等过程，测评分析对进出网络的数据流量控制以及基于应用协议和应用内容的访问控制能力。
3	入侵防范	通过访谈、检查、测试网络边界处、关键网络节点检测、防止或限制从内部和外部发起网络攻击行为的防护能力，以及网络行为分析、监测、报警能力，特别是新型网络攻击行为的分析，对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。
4	恶意代码和防垃圾邮件	通过访谈、检查、测试关键网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况，
5	安全审计	通过访谈、检查网络边界、重要网络节点安全审计情况等，测评分析信息系统审计配置和审计记录保护，审计内容等情况。
6	可信验证	通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。

（ 4）安全计算环境

序号	工作单元名称	工作单元描述
1	身份鉴别	通过访谈、检查、测试对登录的用户进行身份标识和鉴别，是否具有不易被冒用的特点，口令应有复杂度要求并定期更换，以及远程管理安全、双因素鉴别等内容。
2	访问控制	通过访谈、检查、测试是否启用访问控制功能，依据安全策略控制用户对资源的访问；是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限等内容。
3	安全审计	通过访谈、检查安全审计范围及内容。
4	入侵防范	通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为，能够记录入侵的源 IP、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警，是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。
5	恶意代码防范	通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制，能否及时识别入侵和病毒行为并将其有效阻断等内容。
6	可信验证	通过访谈、通过访谈安全员，检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
7	数据完整性	通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8	数据保密性	通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
9	数据备份恢复	通过访谈、检查、测试重要数据本地备份与恢复功能，异地实时备份功能，以及重要数据处理系统的热冗余和高可用性保证等。
1***	剩余信息保护	通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除，存有敏感数据的存储空间被释放或重新分配前是否有效清除等。
11	个人信息保护	通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息，对用户个人信息的访问和使用等。

（ 5）安全管理中心

序号	工作单元名称	工作单元描述
1	系统管理	通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计，以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。
2	审计管理	通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计，以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。
3	安全管理	通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计，以及是否通过安全管理员对安全策略、参数进行配置等。
4	集中管控	通过访谈、检查、测试是否具有特定的管理区域，对分布在网络中的安全设备或安全组件进行集中管控，对网络链路、安全设备、网络设备和服务的运行进行集中监测，对分散在各设备上的审计数据进行收集汇总和集中分析，并确保记录留存符合法律法规要求，对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理，对网络中发生的各类安全事件进行识别、报警和分析等。

（ 6）安全管理制度

序号	工作单元名称	工作单元描述
1	安全策略	通过访谈、检查网络安全工作的总体方针我安全策略是否全面、完善。
2	管理制度	通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。
3	制度和发布	通过访谈、检查管理制度定期评审和修订情况。
4	评审和修订	通过访谈、检查管理制度在内容覆盖上是否全面、完善。

（ 7）安全管理机构

序号	工作单元名称	工作单元描述
1	岗位设置	通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。
2	人员配备	通过访谈、检查各个岗位人员配备情况。
3	授权和审批	通过访谈、检查对关键活动的授权和审批情况。
4	沟通和合作	通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。
5	审核和检查	通过访谈、检查安全工作的审核和检查情况。

（ 8）安全管理人员

序号	工作单元名称	工作单元描述
1	人员录用	通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
2	人员离岗	通过访谈、检查人员离岗时是否按照一定的手续办理。
3	安全意识教育和培训	通过访谈、检查是否对人员进行安全方面的教育和培训。
4	外部人员访问管理	通过访谈、检查对第三方人员访问（物理、逻辑）系统是否采取必要控制措施。

（ 9）安全建设管理

序号	工作单元名称	工作单元描述
1	定级和备案	通过访谈、检查是否按照一定要求确定系统的安全等级。
2	安全方案设计	通过访谈、检查整体的安全规划设计是否按照一定流程进行。
3	产品采购和使用	通过访谈、检查是否按照一定的要求进行系统的产品采购。
4	自行软件开发	通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。
5	外包软件开发	通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
6	工程实施	通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
7	测试验收	通过访谈、检查系统运行前是否对其进行测试验收工作。
8	系统交付	通过访谈、检查是否采取必要的措施对系统交付过程进行有效控制。
9	等级测评	通过访谈、检查等级测评、整改情况。
1***	服务商选择	通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

（ 1***）安全运维管理

序号	工作单元名称	工作单元描述
1	环境管理	通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
2	资产管理	通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理。
3	介质管理	通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
4	设备维护管理	通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
5	漏洞和风险管理	通过访谈、检查安全漏洞和隐患识别、处理情况，以及是否定期开展安全测评以及安全问题的应对措施。
6	网络和系统安全管理	通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理，确保网络安全运行。
7	恶意代码防范管理	通过访谈、检查是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。
8	配置管理	通过访谈、检查基本配置信息管理情况
9	密码管理	通过访谈、检查是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。
1***	变更管理	通过访谈、检查是否采取必要的措施对系统发生的变更进行有效管理。
11	备份与恢复管理	通过访谈、检查是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。
12	安全事件处置	通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
13	应急预案管理	通过访谈、检查是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。
14	外包运维管理	通过访谈、检查外包运维服务商选择是否符合国家要求，外包运维保密、服务内容管理等。

（六）本次项目测评对象及范围

序号	系统名称	安全保护等级
1	HIS 系统	第三级
2	LIS 系统	第三级
3	PACS 系统	第三级
4	EMR 系统	第三级

四、商务要求

*** 交货期限：合同签订后 9*** 天内。

*** 交货地点：广安市精神病院。

*** 货物验收：按合同约定验收。

*** 付款方式：签订合同后，甲方接收到乙方通知与票据凭证资料 15 日内向乙方支付合同总金额的 3***% ，完成所有系统测评工作并出具测评报告后，甲方接收到乙方通知与票据凭证资料 15 日内向乙方支付合同总金额 7***% 。

★ *** 售后服务：

1 ）供应商在测评期间对系统进行检查、诊断，及时发现问题隐患，通过系统调整等手段，保持系统稳定、高效地运行。

2 ）在项目结束后，安排专人对被测单位相关人员进行至少一次网络安全知识培训。

3 ）提供至少两次漏洞扫描和至少一次渗透测评服务。

4 ）供应商将提供 7*24 小时电话咨询响应服务，及时告之被测评单位，提供相应解决方案及建议等。

五、响应文件组成

*** 响应文件封面

*** 投标（响应）函

*** 供应商应提交的相关资格证明材料

*** 产品技术参数响应表

*** 商务应答表

*** 报价表

*** 分项报价表

六、响应文件的印制和签署

*** 响应文件的正本和副本应在其封面右上角清楚地标明“正本”或“副本”字样。若正本和副本有不一致的内容，以正本书面响应文件为准。

*** 响应文件份数：正本一份、副本两份

*** 响应文件正本和副本必须胶装成册，禁止活页装订，否则视为无效投标。

*** 响应文件应根据采购项目的要求制作，签署、盖章和内容应完整，所盖印章必须为投标人公章。

七、响应文件的密封和递交

资格性响应文件和技术、服务性响应文件应装订、密封，在规定的评审时间前送达评审地点，由各参与的供应商代表递交。

八、不正当竞争预防措施

*** 在评审过程中，评审小组认为供应商报价明显低于其他通过符合性审查供应商的报价，有可能影响产品质量或者不能诚信履约的，评审小组应当要求其在合理的时间内进行书面说明，必要时提交相关证明材料。

*** 供应商提交的书面说明，应当加盖供应商公章，在评审小组要求的时间内进行提交，否则视为不能证明其响应报价合理性。供应商不能证明其响应报价合理性的，评审小组应当将其响应文件作为无效处理。（注：供应商报价低于最高限价 5***% 或者低于其他有效供应商报价算术平均价 4***% 的，评审小组可以认为该供应商“报价明显低于其他实质性响应的供应商报价”。）