首頁
為滿足醫療臨床需要,更好地為患者提供醫療服務,現對下列項目進行院內采購,歡迎符合資格條件的單位積極參與投標。
******醫院等級保護測評服務
二、 參數要求:
為落實《網絡安全法》及相關部門法律法規和政策要求,計劃對招標方的信息系統開展等級保護相關工作,依據信息安全相關法規、標準及行業管理規范,通過訪談******管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等方面進行單元測評,并從安全控制間安全、層面間安全、區域間安全、系統結構安全等方面進行整體測評,給出初次測評結論,提出安全建設整改方案。待招標方按照安全建設整改方案完成信息系統加固后,再對信息系統進行復評,出具最終測評報告。進而提高招標方的安全意識,增強網絡的安全保障能力,保證系統的正常運轉,使被測系統滿足我國關于等級保護相應級別的具體要求。
中標人應依據國家等級保護相關標準開展工作,依據標準包括但不限于如下國家標準:
《網絡安全等級保護條例》(征求意見稿)
《計算機信息系統安全保護等級劃分準則》(gb17859-1999)
《網絡安全等級保護定級指南》(gb/t 22240-2020)
《網絡安全等級保護實施指南》(gb/t 25058-2019 )
《網絡安全等級保護基本要求》(gb/t 22239-2019)
《網絡安全等級保護測評要求》(gb/t 28448-2019)
《網絡安全等級保護設計技術要求》(gb/t 25070-2019 )
《網絡安全等級保護測評過程指南》(gb/t 28449-2018)
《信息技術安全技術信息安全管理體系要求》(gb/t 22080-2016)
《信息安全技術信息系統安全管理要求》(gb/t 20269-2006)
《信息系統安全工程管理要求》(gb/t 20282-2006)
《信息安全技術信息安全風險評估規范》(gb/t 20984-2022)
測評內容
(1)信息系統備案
協助招標方,按照《信息安全等級保護備案實施細則》(公信安[2007]1360號)文件要求,完成定級、備案材料的整理及在公安機關相關部門備案工作。
(2)初次測評
檢查被測系統現狀,參照《網絡安全等級保護基本要求》(******管理中心和安全管理等層面對系統進行初次安全評估,通過對系統現狀的分析和梳理,發現系統現有安全措施與等級保護基本要求的差距,形成差距分析;基于差距提出安全整改建議,以指導后續安全整改工作。
該階段的測評內容包括:
安全物理環境測評:包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等內容。
安全通信網絡測評:包括網絡架構、通信傳輸、可信驗證等內容。
安全區域邊界測評:包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等內容。
安全計算環境測評:身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等內容。
******管理中心測評:系統管理、審計管理、安全管理、集中管控等內容。
安全管理制度測評:涵蓋安全策略、管理制度、制定和發布、評審和修訂。安全管理機構測評:崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。
安全管理人員測評:人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理。
安全建設管理測評:定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇。
安全運維管理測評:環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理。
(3)信息系統等保整改方案及建議
協助招標方按照《信息安全等級保護管理辦法》(公通字[2007]43號)、《關于開展信息系統等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)等有關管理規范和技術標準,制定安全管理制度、落實安全責任,建設安全技術設施,落實安全技術措施。
通過安全建設整改,確保信息系統通過相應級別的安全等級評測。
(4)二次測評
此階段是等級測評完整實施階段,通過對整改后的系統進行分析和梳理,再次實施等級測評,記錄訪談核查結果,進行綜合分析,梳理安全風險,提出安全整改建議,測評結束后,按照《信息系統安全等級測評報告模版(試行)》(公信安[2009]1487)編寫等級測評報告。
測評對象
本系統測評的測評范圍及對象包括以下幾類:
(1)主機房(包括其環境、設備和設施等)和部分輔機房,應將放置了服務于信息系統的局部(包括整體)或對信息系統的局部(包括整體)安全性起重要作用的設備、設施的輔機房選取作為測評對象;
(2)辦公場地:招標方核心機房、各分校區機房;
(3)整個系統的網絡拓撲結構;
(4)安全設備,包括防火墻、入侵檢測設備和防病毒網關等;
(5)邊界網絡設(可能會包含安全設備),包括路由器、防火墻、認證網關和邊界接入設備(如樓層交換機)等;
(6)對整個信息系統或其局部的安全性起作用的網絡互聯設備,如核心交換機、匯聚層交換機、路由器等;
(7)存儲被測系統重要數據的介質的存放環境;
(8)承載被測系統主要業務或數據的服務器(包括其操作系統和數據庫);
(9)管理終端和主要業務應用系統終端;
(10)對新建信息系統及關聯信息系統;
(11)業務備份系統;
(12)管理方面:信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人;
(13)產品方面:信息系統使用、運行的第三方軟件產品;
(14)涉及到信息系統安全的所有管理制度設計和記錄要求。
測評應遵循的標準和原則
本次安全保護等級保護測評實施方案設計與具體實施應滿足以下原則:
1、保密原則:對測評的過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據進行任何侵害招標人的行為,否則招標人有權追究投標人的責任。
2、規范性原則:投標人的工作中的過程和文檔,具有很好的規范性,可以便于項目的跟蹤和控制。
3、可控性原則:測評服務的進度要跟上進度表的安排,保證招標人對于測評工作的可控性。
4、整體性原則:測評的范圍和內容應當整體全面,包括國家等級保護相關要求涉及的各個層面。
5、最小影響原則:測評工作應盡可能小的影響系統和網絡,并在可控范圍內;測評工作不能對現有信息系統的正常運行、業務的正常開展產生任何影響,保證現有系統24小時的不間斷、穩定、安全運行。
6、非高峰期原則:漏洞掃描及滲透測試時間,應盡量安排在夜間或法定節假日期間,制定切實可行的測試實施細則;對意外導致的宕機等,應提供技術保障方案,切實保證關鍵系統能正常工作。
投標人應嚴格按照上述原則和國家等級保護相關標準開展項目實施工作。
7、為驗證服務商綜合實力,投標人能夠提供國際管理體系認證證書iso20000證書,iso27000證書,ccrc信息安全服務資質認證證書,其中ccrc證書一級數量最多的,可視為優選條件。(備注:ccrc資質認證證書級別由高到低:一級、二級、三級,)
8、為保證項目實施過程中的質量,項目團隊服務人員應滿足以下基本要求,安排項目經驗充足的人員為本項目服務,擬投入本項目的總測評師人數不得少于5人,投標文件里需附信息安全測評師證書及網絡安全等級保護網(******)截圖。其中信息安全高級測評師不少于2人。項目組成員具備注冊滲透測試工程師(cisp-pte)證書;項目組成員具備信息安全等級保護評估中心頒發的 ciip-i(重要信息系統保護人員)證書;項目組成員具備信息安全等級保護評估中心頒發的ciip-a(可信計算、云計算、移動互聯)證書;項目組滲透測試人員具備注冊網絡安全滲透評估專業人員(nsatp-a)證書。以上人員證書都能夠提供的,可視為優選條件。
項目交付物
(1)測評方案;
(2)安全等級建設整改建議;
(3)等級測評報告
(4)交付時間≤1個月(不包括整改時間)
其他要求:
1、投標人必須符合《政府采購法》第二十二條規定的基本條件,具備承擔和實施本項目的相應營業范圍和能力。
2、投標人應具備公安部第三研究所頒發的《網絡安全等級測評與檢測評估機構服務認證證書》。
3、投標人未被列入國家信息中心“信用中國”網站“失信被執行人”、“企業經營異常名錄”、“重大稅收違法案件當事人名單”和“政府采購嚴重違法失信名單”。
4、企業注冊地或者項目所在地檢察機關開具的行賄犯罪檔案查詢結果告知函或中國裁判文書網刑事案件查詢未發現行賄犯罪記錄的網上截圖。
5、單位負責人為同一人或者存在直接控股、管理關系的不同供應商,不得參加本次采購活動。
******辦公室處罰的機構不得參與(以******)。
三、采購編號:采購辦2025-11
四、最高限價:6萬
五、資質要求:
報名單位必須具備如下條件:
1、在國內工商管理部門注冊,具有獨立的法人資格;
2、本項目內容在其經許可的經營范圍內;
3、未被“信用中國”網站(******)列入失信被執行人、重大稅收違法案件當事人名單、政府采購嚴重失信行為記錄名單。(請提供網頁截圖及前3年內在經營活動中沒有重大違法記錄的書面聲明);
4、本項目不接受聯合體投標。
六、報名需提交材料:
1、投標函加蓋單位公章(見招標管理--流程表單--附件1)
2、招標采購項目報名表;(見招標管理--流程表單--附件2)
3、投標公司資質:法人營業執照(三證合一)、稅務登記證、組織機構代碼證、經營許可證等的復印件。
4、法定代表人身份證明和授權委托書格式要求(見招標管理--流程表單--附件3)
5、未被“信用中國”網站(******)列入失信被執行人、重大稅收違法案件當事人名單、政府采購嚴重失信行為記錄名單。(請提供網頁截圖及前3年內在經營活動中沒有重大違法記錄的)
6、提供服務承諾函,承諾內容包含但不僅限于規格要求及資質要求的相關內容
7、與此項目相關的其他資料。
要求:投標公司將招標采購項目報名表于 2025年5月8日 17:******。其他材料請加蓋單位公章按要求裝訂成冊(格式要求見招標管理-流程表單-附件3),一正本,兩副本,密封后于2025年5月8日 17:00之前送達。
標書封面注明投標項目、聯系人及聯系電話,開標時間另行通知(所有標書概不退還)
七、報名截止日期:2025年5月8日
八、聯系方式:
******醫院門診四樓419室采購辦
聯系人:張朝
聯系電話:******
******醫院等級保護測評服務
二、 參數要求:
為落實《網絡安全法》及相關部門法律法規和政策要求,計劃對招標方的信息系統開展等級保護相關工作,依據信息安全相關法規、標準及行業管理規范,通過訪談******管理中心、安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理等方面進行單元測評,并從安全控制間安全、層面間安全、區域間安全、系統結構安全等方面進行整體測評,給出初次測評結論,提出安全建設整改方案。待招標方按照安全建設整改方案完成信息系統加固后,再對信息系統進行復評,出具最終測評報告。進而提高招標方的安全意識,增強網絡的安全保障能力,保證系統的正常運轉,使被測系統滿足我國關于等級保護相應級別的具體要求。
中標人應依據國家等級保護相關標準開展工作,依據標準包括但不限于如下國家標準:
《網絡安全等級保護條例》(征求意見稿)
《計算機信息系統安全保護等級劃分準則》(gb17859-1999)
《網絡安全等級保護定級指南》(gb/t 22240-2020)
《網絡安全等級保護實施指南》(gb/t 25058-2019 )
《網絡安全等級保護基本要求》(gb/t 22239-2019)
《網絡安全等級保護測評要求》(gb/t 28448-2019)
《網絡安全等級保護設計技術要求》(gb/t 25070-2019 )
《網絡安全等級保護測評過程指南》(gb/t 28449-2018)
《信息技術安全技術信息安全管理體系要求》(gb/t 22080-2016)
《信息安全技術信息系統安全管理要求》(gb/t 20269-2006)
《信息系統安全工程管理要求》(gb/t 20282-2006)
《信息安全技術信息安全風險評估規范》(gb/t 20984-2022)
測評內容
(1)信息系統備案
協助招標方,按照《信息安全等級保護備案實施細則》(公信安[2007]1360號)文件要求,完成定級、備案材料的整理及在公安機關相關部門備案工作。
(2)初次測評
檢查被測系統現狀,參照《網絡安全等級保護基本要求》(******管理中心和安全管理等層面對系統進行初次安全評估,通過對系統現狀的分析和梳理,發現系統現有安全措施與等級保護基本要求的差距,形成差距分析;基于差距提出安全整改建議,以指導后續安全整改工作。
該階段的測評內容包括:
安全物理環境測評:包括物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等內容。
安全通信網絡測評:包括網絡架構、通信傳輸、可信驗證等內容。
安全區域邊界測評:包括邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等內容。
安全計算環境測評:身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護等內容。
******管理中心測評:系統管理、審計管理、安全管理、集中管控等內容。
安全管理制度測評:涵蓋安全策略、管理制度、制定和發布、評審和修訂。安全管理機構測評:崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。
安全管理人員測評:人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理。
安全建設管理測評:定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇。
安全運維管理測評:環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理。
(3)信息系統等保整改方案及建議
協助招標方按照《信息安全等級保護管理辦法》(公通字[2007]43號)、《關于開展信息系統等級保護安全建設整改工作的指導意見》(公信安[2009]1429號)等有關管理規范和技術標準,制定安全管理制度、落實安全責任,建設安全技術設施,落實安全技術措施。
通過安全建設整改,確保信息系統通過相應級別的安全等級評測。
(4)二次測評
此階段是等級測評完整實施階段,通過對整改后的系統進行分析和梳理,再次實施等級測評,記錄訪談核查結果,進行綜合分析,梳理安全風險,提出安全整改建議,測評結束后,按照《信息系統安全等級測評報告模版(試行)》(公信安[2009]1487)編寫等級測評報告。
測評對象
本系統測評的測評范圍及對象包括以下幾類:
(1)主機房(包括其環境、設備和設施等)和部分輔機房,應將放置了服務于信息系統的局部(包括整體)或對信息系統的局部(包括整體)安全性起重要作用的設備、設施的輔機房選取作為測評對象;
(2)辦公場地:招標方核心機房、各分校區機房;
(3)整個系統的網絡拓撲結構;
(4)安全設備,包括防火墻、入侵檢測設備和防病毒網關等;
(5)邊界網絡設(可能會包含安全設備),包括路由器、防火墻、認證網關和邊界接入設備(如樓層交換機)等;
(6)對整個信息系統或其局部的安全性起作用的網絡互聯設備,如核心交換機、匯聚層交換機、路由器等;
(7)存儲被測系統重要數據的介質的存放環境;
(8)承載被測系統主要業務或數據的服務器(包括其操作系統和數據庫);
(9)管理終端和主要業務應用系統終端;
(10)對新建信息系統及關聯信息系統;
(11)業務備份系統;
(12)管理方面:信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業務負責人;
(13)產品方面:信息系統使用、運行的第三方軟件產品;
(14)涉及到信息系統安全的所有管理制度設計和記錄要求。
測評應遵循的標準和原則
本次安全保護等級保護測評實施方案設計與具體實施應滿足以下原則:
1、保密原則:對測評的過程數據和結果數據嚴格保密,未經授權不得泄露給任何單位和個人,不得利用此數據進行任何侵害招標人的行為,否則招標人有權追究投標人的責任。
2、規范性原則:投標人的工作中的過程和文檔,具有很好的規范性,可以便于項目的跟蹤和控制。
3、可控性原則:測評服務的進度要跟上進度表的安排,保證招標人對于測評工作的可控性。
4、整體性原則:測評的范圍和內容應當整體全面,包括國家等級保護相關要求涉及的各個層面。
5、最小影響原則:測評工作應盡可能小的影響系統和網絡,并在可控范圍內;測評工作不能對現有信息系統的正常運行、業務的正常開展產生任何影響,保證現有系統24小時的不間斷、穩定、安全運行。
6、非高峰期原則:漏洞掃描及滲透測試時間,應盡量安排在夜間或法定節假日期間,制定切實可行的測試實施細則;對意外導致的宕機等,應提供技術保障方案,切實保證關鍵系統能正常工作。
投標人應嚴格按照上述原則和國家等級保護相關標準開展項目實施工作。
7、為驗證服務商綜合實力,投標人能夠提供國際管理體系認證證書iso20000證書,iso27000證書,ccrc信息安全服務資質認證證書,其中ccrc證書一級數量最多的,可視為優選條件。(備注:ccrc資質認證證書級別由高到低:一級、二級、三級,)
8、為保證項目實施過程中的質量,項目團隊服務人員應滿足以下基本要求,安排項目經驗充足的人員為本項目服務,擬投入本項目的總測評師人數不得少于5人,投標文件里需附信息安全測評師證書及網絡安全等級保護網(******)截圖。其中信息安全高級測評師不少于2人。項目組成員具備注冊滲透測試工程師(cisp-pte)證書;項目組成員具備信息安全等級保護評估中心頒發的 ciip-i(重要信息系統保護人員)證書;項目組成員具備信息安全等級保護評估中心頒發的ciip-a(可信計算、云計算、移動互聯)證書;項目組滲透測試人員具備注冊網絡安全滲透評估專業人員(nsatp-a)證書。以上人員證書都能夠提供的,可視為優選條件。
項目交付物
(1)測評方案;
(2)安全等級建設整改建議;
(3)等級測評報告
(4)交付時間≤1個月(不包括整改時間)
其他要求:
1、投標人必須符合《政府采購法》第二十二條規定的基本條件,具備承擔和實施本項目的相應營業范圍和能力。
2、投標人應具備公安部第三研究所頒發的《網絡安全等級測評與檢測評估機構服務認證證書》。
3、投標人未被列入國家信息中心“信用中國”網站“失信被執行人”、“企業經營異常名錄”、“重大稅收違法案件當事人名單”和“政府采購嚴重違法失信名單”。
4、企業注冊地或者項目所在地檢察機關開具的行賄犯罪檔案查詢結果告知函或中國裁判文書網刑事案件查詢未發現行賄犯罪記錄的網上截圖。
5、單位負責人為同一人或者存在直接控股、管理關系的不同供應商,不得參加本次采購活動。
******辦公室處罰的機構不得參與(以******)。
三、采購編號:采購辦2025-11
四、最高限價:6萬
五、資質要求:
報名單位必須具備如下條件:
1、在國內工商管理部門注冊,具有獨立的法人資格;
2、本項目內容在其經許可的經營范圍內;
3、未被“信用中國”網站(******)列入失信被執行人、重大稅收違法案件當事人名單、政府采購嚴重失信行為記錄名單。(請提供網頁截圖及前3年內在經營活動中沒有重大違法記錄的書面聲明);
4、本項目不接受聯合體投標。
六、報名需提交材料:
1、投標函加蓋單位公章(見招標管理--流程表單--附件1)
2、招標采購項目報名表;(見招標管理--流程表單--附件2)
3、投標公司資質:法人營業執照(三證合一)、稅務登記證、組織機構代碼證、經營許可證等的復印件。
4、法定代表人身份證明和授權委托書格式要求(見招標管理--流程表單--附件3)
5、未被“信用中國”網站(******)列入失信被執行人、重大稅收違法案件當事人名單、政府采購嚴重失信行為記錄名單。(請提供網頁截圖及前3年內在經營活動中沒有重大違法記錄的)
6、提供服務承諾函,承諾內容包含但不僅限于規格要求及資質要求的相關內容
7、與此項目相關的其他資料。
要求:投標公司將招標采購項目報名表于 2025年5月8日 17:******。其他材料請加蓋單位公章按要求裝訂成冊(格式要求見招標管理-流程表單-附件3),一正本,兩副本,密封后于2025年5月8日 17:00之前送達。
標書封面注明投標項目、聯系人及聯系電話,開標時間另行通知(所有標書概不退還)
七、報名截止日期:2025年5月8日
八、聯系方式:
******醫院門診四樓419室采購辦
聯系人:張朝
聯系電話:******
