遂寧市民康醫(yī)院

2024年信息系統(tǒng)等級保護測評項目的采購公告

一、項目名稱及控制價

1.項目名稱：遂寧市民康醫(yī)院2024年信息系統(tǒng)等級保護測評項目

2.預算控制價：14.72萬元

3.資金來源：自籌資金

二、項目采購需求：詳見附件1

三、供應商需具備的條件

（一）一般資格條件

1.具有獨立承擔民事責任的能力，證明材料：提供營業(yè)執(zhí)照副本復印件并加蓋單位鮮章；

2.具有良好的商業(yè)信譽和健全的財務會計制度，證明材料：提供2022年或者2023年經(jīng)審計的財務報告復印件；

3.具有履行合同所必需的設備和專業(yè)技術能力，證明材料：提供供應商辦公場地及器材設備圖片資料；提供公司技術人員、工作人員配備。

4.具有依法繳納稅收和社會保障資金的良好記錄，證明材料：提供近三月的繳納稅收和社保證明。

5.參加本次采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄（提供承諾函）。

6.法律、行政法規(guī)規(guī)定的其他條件（提供承諾函）。

（二）特定資格條件

供應商需具有公安部第三研究所認證發(fā)放的《網(wǎng)絡安全等級測評與檢測評估機構(gòu)服務認證證書》或《網(wǎng)絡安全服務認證證書等級保護測評服務認證》。

備注：以上所需提供的材料原件或復印件及報價單必須加蓋投標人鮮章，未提供或提供不全作無效投標處理。

四、采購方式及其它要求

1.醫(yī)院采用院內(nèi)比選的采購方式進行綜合評分采購活動，需進行兩輪報價。

2.本項目不接受聯(lián)合體。

五、資料的準備

（一）供應商需遞交的資料

1.響應函(響應項目);

2.廉潔承諾函（自擬）;

3.報價單（參照附件1里面的項目需求表）;

4.本公司的證件，包括社會信用代碼等相關資質(zhì);

5.本公司法人對業(yè)務代表的授權(quán)委托書(包含授權(quán)內(nèi)容、授權(quán)期限、業(yè)務員聯(lián)系電話)、業(yè)務代表的身份證復印件;

6.國家法律法規(guī)要求應當具備的其他相關資質(zhì)證明文件。

(二)資料要求及其它事項提醒：請參與者根據(jù)本項目的特點，制作采購投標文件并裝訂成冊，共壹份，封面為響應文件;資料內(nèi)含第一次報價。以上資料均需加蓋鮮章并密封。

六、采購會議時間： 2024年11月12日下午15點。

會議地點：遂寧市經(jīng)開區(qū)西寧大道199號（遂寧市民康醫(yī)院精神醫(yī)學門診樓五樓會議室）。

聯(lián)系人 :熊老師 曾老師 電話: 0825-2623203。

參加人員請于2024年11月12日14：30之前遞交相應資料到精神醫(yī)學門診樓五樓采購辦并簽到，逾期未簽到不予受理。

附件：1.遂寧市民康醫(yī)院2024年信息系統(tǒng)等級保護測評項目的采購需求；2.評分細則

附件1：

遂寧市民康醫(yī)院2024年信息系統(tǒng)等級保護測評項目的采購需求

一、項目概況

遂寧市民康醫(yī)院按照國家、行業(yè)相關的安全要求，需要對其信息系統(tǒng)進行安全等級保護測評。安全技術測評：包括安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等五個方面的安全測評。安全管理測評：包括安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理和安全運維管理等五個方面的安全測評。依據(jù)相關的測評準則，結(jié)合系統(tǒng)的構(gòu)成特點，確定具體的測評對象，制定測評方案，通過訪談、檢查、測評和系統(tǒng)分析等方式判斷其安全技術和安全管理的各方面是否達到了相應等級的國家信息系統(tǒng)等級保護要求，找出信息系統(tǒng)中存在的安全隱患，對安全性進行整體評估，制定相關的信息安全整體安全策略和中長期的安全規(guī)劃，以便對被測系統(tǒng)進行安全方面的調(diào)整和改進，確保其安全防護水平達到信息系統(tǒng)安全等級保護相應能力的要求

二、項目需求表

三、項目要求

1、項目檢測依據(jù)

《中華人民共和國網(wǎng)絡安全法》

《信息安全技術 信息安全風險評估規(guī)范（GB/T 20984-2007）》；

《網(wǎng)絡安全等級保護基本要求（GB/T 22239-2019）》

《信息安全等級保護管理辦法（公通字﹝2007﹞43 號）》；

《信息安全技術網(wǎng)絡安全等級保護定級指南（GBT 22240—2020）》；

《網(wǎng)絡安全等級保護設計技術要求（GB/T25070-2019）》；

《網(wǎng)絡安全等級保護測評要求（GB/T28448-2019）》；

《信息系統(tǒng)安全等級保護基本要求（GB/T 22239-2019）》；

《信息安全技術 網(wǎng)絡安全等級保護實施指南（GB/T 25058-2019）》；

《信息安全技術信息安全風險評估規(guī)范（GB/T 20984-2007）》

2、項目測評內(nèi)容

2.1 信息系統(tǒng)技術安全性測評

2.1.1 安全物理環(huán)境

安全物理環(huán)境針對物理機房的安全控制要求，主要對象為物理環(huán)境、物理設備和物理設施等；涉及的安全控制點包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、安全等級保和電磁防護。

2.1.2 安全通信網(wǎng)絡

安全通信網(wǎng)絡針對網(wǎng)絡架構(gòu)和通信傳輸安全控制要求。主要對象為廣域網(wǎng)、城域網(wǎng)、局域網(wǎng)的通信傳輸以及網(wǎng)絡架構(gòu)等；涉及的安全控制點包括網(wǎng)絡架構(gòu)、通信傳輸和可信驗證。

2.1.3 安全區(qū)域邊界

安全區(qū)域邊界針對網(wǎng)絡邊界安全控制要求，主要對象為系統(tǒng)邊界和區(qū)域邊界等；涉及的安全控制點包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計和可信驗證。

2.1.4 安全計算環(huán)境

安全計算環(huán)境針對邊界內(nèi)部安全控制要求，主要對象為邊界內(nèi)部的所有對象，包括網(wǎng)絡設備、安全設備、服務器設備、終端設備、應用系統(tǒng)、數(shù)據(jù)對象和其他設備等；涉及的安全控制點包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證。

2.1.5 安全管理中心

安全管理中心針對整個系統(tǒng)安全管理方面的技術控制要求，通過技術手段實現(xiàn)集中管理；涉及的安全控制點包括系統(tǒng)管理、審計管理、安全管理和集全等級。

2.1.6 安全管理制度

安全管理制度測評是對信息系統(tǒng)的安全管理制度體系和制度內(nèi)容、制定和發(fā)布流程、評審和修訂機制等情況進行測評。

2.1.7 安全管理機構(gòu)

安全管理機構(gòu)測評對信息系統(tǒng)的安全管理組織和崗位設置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查等情況進行測評。

2.1.8 安全管理人員

人員安全管理測評對信息系統(tǒng)相關內(nèi)部人員的人員錄用、人員離崗、人員考核、安全意識教育和培訓，以及外部人員訪問管理等情況進行測評。

2.1.9 安全建設管理

系統(tǒng)建設管理測評對信息系統(tǒng)建設過程中的系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自主軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、系統(tǒng)定級備案、等級測評、安全服務商選擇等情況進行測評。

2.1.10 安全運維管理

系統(tǒng)運維管理測評對信息系統(tǒng)運行維護過程中的環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備管理、監(jiān)控管理和安全管理中心、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼防范管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理等情況進行測評。

2.2 等級保護要求的相關內(nèi)容

3、項目測評要求

3.1 按照國家相關標準要求，完成在公安局完成信息安全等級保護定級備案所有工作。

3.2 對遂寧市民康醫(yī)院信息系統(tǒng)的安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心、安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設管理和安全運維管理共 10 個層面通過訪談、檢查、測評等方法進行初測評，找出差距、安全漏洞和隱患并分析其風險，制訂出整改建議報告。

3.3 根據(jù)相關要求及測評的整改意見，協(xié)助被測信息系統(tǒng)的安全修復、系統(tǒng)加固等工作。

4、項目測評交付資料

項目測評后需提交《遂寧市民康醫(yī)院HIS應用等級測評報告》、《遂寧市民康醫(yī)院LIS應用等級測評報告》、《系統(tǒng)整改建議報告》、HIS應用系統(tǒng)信息安全等級保護備案證明、LIS應用系統(tǒng)信息安全等級保護備案證明等資料。

四、商務要求

1．服務要求

1.1.項目現(xiàn)場實施配備人員不得少于 5 名，其中網(wǎng)絡安全等級測評師（高級）不少于 1 名，網(wǎng)絡安全等級測評師（中級）不少于 2 名，網(wǎng)絡安全等級測評師（初級）不少于 2 名，提供上述人員的近一年社保證明材料加蓋公章，要求上述人員在項目過程中務必到場實施。

1.2.服務期限：1 年

1.3.服務地點：遂寧市民康醫(yī)院指定地點

1.4.免費提供一次全院級別的信息安全培訓會議。

2．服務保障與承諾

2.1.服務提供商應嚴格按照測評人員執(zhí)業(yè)守則，按照國家相關法規(guī)、規(guī)范、標準及制定的測評方案、項目計劃書、實施細則進行測評，在保證質(zhì)量、安全的前提下，確保在項目規(guī)定的期限內(nèi)按期完成。

2.2.服務提供商應協(xié)助、配合與上級監(jiān)管部門、公安機關的溝通協(xié)調(diào)。在測評過程中和測評完成后，協(xié)助、配合進行相關的信息系統(tǒng)安全整改。

2.3.服務提供商應在項目期內(nèi)向提供 7*24 小時電話咨詢服務，必要時上門服務。跟蹤信息安全等級保護的最新發(fā)展情況，及時告之，提供相應解決方案及建議，協(xié)助其持續(xù)符合信息系統(tǒng)信息安全等級保護工作的要求。

2.4.服務提供商應在項目實施過程中，對相關人員進行安全方面的技術培訓，明確項目實施的思路、方案、技術路線，提升技術人員的安全意識，可以獨立的對信息安全等級保護的國家安全政策和法規(guī)進行把握，了解測評整改手段，掌握測評整改方法。

2.5.服務提供商應在項目開始前，簽訂保密協(xié)議，嚴格遵守法律法規(guī)，對商業(yè)秘密、系統(tǒng)風險信息、項目實施內(nèi)容及成果信息進行嚴格保密，未經(jīng)同意，嚴禁將上述內(nèi)容與任何第三方透露或用于其他商業(yè)用途，并承擔由此產(chǎn)生的一切法律后果。

附件2：

評分細則

說明：投標供應商提供的佐證資料應清晰并完整，若存在模糊不清、缺頁缺項等情況可視為無效依據(jù)。