医院医疗网络安全等级保护测评服务项目

 

根据《甘肃省人民政府办公厅转发省发展和改革委员会省公共资源交易局关于进一步加强和规范市县公共资源交易工作意见的通知》（甘政办发〔2018〕6号）、《政府集中采购目录和采购限额标准》、《酒泉市人民政府办公室印发的通知》(酒政办发〔2018〕301号)等文件要求，对“医院医疗网络安全等级保护测评服务项目”以公开招标方式进行采购。现将相关事宜公告如下：

一、采购单位：某部

二、项目编号：2025-JYAFDA-FC0001

三、项目名称：某医院医疗网络安全等级保护测评服务项目

四、项目依据：

1、法律法规及相关政策依据

1)《中华人民共和国网络安全法》

2)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

3)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)

4)《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)

5)《信息安全等级保护管理办法》(公通字〔2007〕43号)

6)关于开展信息安全等级保护安全建设整改工作的指导意见(公信安〔2009〕1429号)

7)《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》（公信安〔2010〕303号）

2、技术标准

1)《信息安全技术信息系统安全等级保护实施指南》(GB/T 25058-2010)

2)《计算机信息系统安全保护等级划分准则》(GB 17859-1999 )

3)《信息安全技术信息系统安全等级保护定级指南》(GBT 22240—2020)

4)《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

5)《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)

6)《信息安全技术 网络安全等级保护过程指南》（GB/T28449-2018）

7)《信息安全技术信息安全风险评估规范》（GB/T 20984—2007）

8)《信息安全技术信息技术安全性评估准则》（GB/T 18336）

9)《信息安全技术信息系统通用安全技术要求》（GB/T20271-2006）

10)《信息安全技术网络基础安全技术要求》（GB/T20270-2006）

11)《信息安全技术操作系统安全技术要求》（GB/T20272-2006）

12)《信息安全技术数据库管理系统安全技术要求》（GB/T20273-2006）

13)《信息安全技术终端计算机系统安全等级技术要求》（GA/T671-2006）

14)《信息安全技术信息系统安全管理要求》（GB/T 20269—2006）

15)《信息安全技术信息系统安全管理测评》（GA/T 713-2007）

16)《信息技术安全技术信息安全管理体系要求》（GB/T22080-2008）

17)《信息技术安全技术信息安全管理实用规则》（GB/T22081-2008）

《信息安全技术信息系统安全保障评估框架》（GB/T 20274）

五、项目概况：

为贯彻落实《国家信息化领导小组关于加强信息安全保障工作的意见》、《关于信息安全等级保护工作的实施意见》和《信息安全等级保护管理办法》的精神；同时，根据《中华人民共和国网络安全法》的要求，将对网络信息系统开展信息安全等级保护测评。

六、总体要求：

通过等级保护测评、漏洞扫描和渗透测试等测评手段，准确反映平台的安全防护能力现状，对发现的问题进行深入分析，并按照信息系统等级保护三级的要求给出整改建议，配合医院进行整改，最终出具信息系统等级保护三级的测评报告,同时针对全院信息系统定期进行渗透性测试、漏洞扫描服务，对于发现的隐患及安全问题出具整改建议，协助进行修复。

（1）等级保护测评

测评的内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。

（2） 渗透性测试服务

对全院信息系统开展渗透性测试服务，针对发现的安全隐患协助整改修复。

（3） 漏洞扫描服务

对全院信息系统开展漏洞扫描服务，针对发现的安全隐患协助整改修复。

1、项目实施原则

（1）客观性和公正性原则：

测评人员在项目实施过程中应无偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。

（2）可重复性和可再现性原则：

依照同一要求，使用同一测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。

（3）连续性原则：

确保在高速变化的信息安全环境中，在有效的服务期间内，保证等级测评结论的准确性和及时性，对于新投产的信息系统和服务，或新建立的信息化项目，进行局部系统的重新测评。

（4）扩展性原则：

在测评过程结束后，信息安全等级保护测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。

（5）保密原则：

在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

（6）互动原则：

在整个测评过程中，强调采购方的互动参与，每个阶段都能够及时根据行内要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行等级测评工作。

（7）最小影响原则：

测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

（8）规范性原则：

信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

（9）质量保障原则：

在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。

2、项目内容



序号

信息系统名称

安全保护等级

备注



1

医院网络安全测评

三级

/



根据各信息系统的安全保护等级需求，依据国家及行业等级保护标准，通过信息安全等级保护测评的方法，查找信息系统各安全层面与相应安全保护等级标准的差距，明确存在的安全问题及现有安全措施的有效性，并针对安全问题关联的资产、威胁、脆弱性，综合分析信息系统面临的安全风险，寻求风险降低或规避的方法、提出建设整改建议、编制建设整改方案、提供整改实施技术支持。并在整改实施完成后，通过开展等级测评工作，验证建设整改的效果及与标准的符合度，明确信息系统是否达到了相应安全保护等级的防护能力。编制提交《网络安全等级保护信息系统等级测评报告》，同时为以后的安全决策、安全管理、安全运维、持续整改提供依据。

具体工作内容及要求如下：

（1）开展信息系统安全等级保护现状测评工作

依据相关标准，结合行业特点和自身安全需求，为信息系统开展信息系统安全等级保护现状测评工作，提供包括但不限于以下服务内容：

1）信息收集：对项目涉及的所有信息系统开展调研工作，明确所有系统的物理环境及机房基础设施情况，网络架构，网络设备、安全设备部署情况，服务器分布及操作系统、数据库系统使用情况，应用系统业务流程、数据流向、用户群体情况，数据传输及存储备份情况，系统的高可用性需求情况，安全管理制度建设及执行情况。并根据收集的信息建立基础台账。

2）方案编制：根据收集的基础信息，识别各信息系统网络结构及其网络覆盖范围，系统构成、资产识别与赋值、威胁识别与赋值，明确检测评估目的及流程、明确检测评估对象及指标、明确检测评估方法及工具扫描接入点、明确检测评估实施步骤及配合需求、明确检测评估的实施计划。并据此编制实施方案、开发实施指导书。

3）现场检测评估实施：依据测评方案、参照实施指导书，通过访谈、检查、测试、实地查看等方法开展现场检测评估活动，详细记录每个检测评估对象的安全现状。形成现场检测评估记录表。

4）数据汇总分析：根据现场检测评估记录，按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理几个安全层面，汇总各安全层面测评对象的安全现状，明确已有安全措施的有效性，识别测评对象关联资产的脆弱性。形成安全措施汇总表、安全问题汇总表。

5）安全问题交流：通过交流会的形式，对安全措施汇总表、安全问题汇总表中的内容进行沟通交流，明确安全问题是否真实存在，如有遗漏或不确定项需进行补充检测并详细记录结果；并针对存在的问题，结合威胁被利用的可能性、威胁被利用后的后果严重性，交流降低或规避风险的方法，提出初步的建设整改建议。

6）建设整改方案设计：在明确安全问题的基础上，依据交流的建设整改建议，结合平台实际情况，编制建设整改方案，为整改实施提供依据。

（2）开展信息系统安全等级保护符合性测评工作

采购方建设整改工作完成后，针对现状测评过程中存在的安全差距开展符合性测评工作，确认之前存在的问题是否已经解决，验证整改活动是否已经切实有效的执行。若未完成，需配合采购方继续进行安全建设整改工作；当整改工作中的主要安全问题已基本解决，则编制提交《网络安全等级保护信息系统等级测评报告》。

（3）渗透性测试服务

对全院信息系统定期开展渗透性测试服务，出具整改建议，针对发现的安全隐患协助整改修复。

（4）漏洞扫描服务

对全院信息系统定期开展漏洞扫描服务，针对发现的安全隐患协助整改修复。

（5）安全培训工作

向采购方提供一次网络安全等级保护相关安全培训；

（6）项目实施方案，技术支持和服务保障

1）针对本项目所描述项目需求进行业务分析并提出项目总体实施方案、测评方案。

2）实施方案，包括项目进度表和组织机构。

3）技术支持和服务,要求制定详细的支持和服务保障方案，提供服务项目清单及自身服务承诺 (包括服务周期时间、费用)。

4）为完成本项目，投标方应组建工作小组、明确组成人员职责。

5）在项目现场实施周期内，投标人须为本项目成立等级保护测评小组，安排包括项目经理和核心技术人员在内现场驻场服务；驻场人员未经采购方同意项目实施途中不得随意更换；成员均须具有网络安全等级测评师证书资格，必须符合投标时投标文件中明确的人员。项目实施小组中项目经理具有中级网络安全等级测评师证书和CISP-PTE证书，团队成员具有CISP证书、CCSS证书、CISAW-风险管理证书，提供证书复印件及本公司一年内三个月连续社保加盖单位公章。

6）制度完善：协助完善三级等保管理制度。

注：1.投标单位根据上述参数要求提供报价，投标报价不应高于该项目市场平均价格。

2.报价方式：本项目采用固定总价方式报价（含税），包括但不限于6%增值税、测评费、专家评审费、差旅费、食宿、培训等项目实施过程中不可预见的一切费用由投标人承担，此外招标人不再额外支付任何费用。

3.项目实施方案中的技术标准还需要参考甲方内部的建设指南。

4.再给出建设方案时，应区分紧急程度，及总体建议造价且设备必须是国产化。

七、采购项目控制价：

小写：¥100000.00元，大写：壹拾万圆整。

八、工期要求：

1.合同履约期限：合同签订后150日。

2.中标单位应按照甲方要求，对工作人员进行网络安全等级保护相关安全培训，并留存培训记录。

九、评标办法：最低价中标法

十、投标人资格要求：

（一） 符合《中华人民共和国政府采购法》第二十二条资格条件：

1.具有独立承担民事责任的能力；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有履行合同所必需的设备和专业技术能力；

4.有依法缴纳税收和社会保障资金的良好记录；

5.参加政府采购活动前3年内，在经营活动中没有重大违法记录；

6.法律、行政法规规定的其他条件。

（二）国有企业；事业单位；军队单位；成立三年以上的非外资控股企业。

（三）单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得同时参加同一包的采购活动。生产型企业的生产场经营地址或者注册登记地址为同一地址的，非国有销售型企业的股东和管理人员（法定代表人、董事、监事）之间存在近亲属、相互占股等关联的，也不得同时参加同一包的采购活动。近亲属指夫妻、直系血亲、三代以内旁系血亲或近姻亲关系。

（四）未被列入政府采购失信名单、军队供应商暂停名单，未在军队采购失信名单禁入处罚期内，未被“信用中国”网站列入失信被执行人、重大税收违法案件当事人。

（五）投标单位需针对本项目提供《项目承诺书》，内容必须包含“所提供服务不满足招标参数要求、或者不满足相关标准，采购方有权拒收，投标单位承担全部损失。”等字样，以及投标单位认为需要承诺的其它内容，承诺书需要加盖投标单位公章；

（六）投标单位须提供近三年内类似业绩，内容必须包含等级保护测评有关项目，提供相关证明材料复印件加盖公章；

（七）对恶意投标、中标后不按合同要求保证服务者，甲方保留通报批评、索赔、罚款、收取违约金和停止继续履行合同；

（八）投标人不得相互串通投标报价，不得排挤其他投标人的公平竞争；

（九）本项目不接受联合体投标；

（十）具有《信息安全管理体系认证证书》相关证书，提供证书复印件加盖单位公章；

（十一）具有由公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》或《网络安金等级测评与检测评估机构服务认证证书》相关证书，提供证书复印件加盖单位公章，提供网络安全等级保护网相关截图。

十一、公告发布网站：

甘肃省阳光招标采购平台、军队采购网

十二、报名及投标竞价网站：

甘肃省阳光招标采购平台

十三、采购项目联系人姓名、电话：

采购人：某部

联系人：王先生

联系电话：177 4588 7933

十四、纪检监督联系电话：

联系人：刘干事

联系电话：0937-2461517