南昌市第一医院信息系统网络安全等级保护测评服务市场调研公告

发表时间：*开通会员可解锁* 16:52

依据我院临床需要，拟对下列货/服务进行市场调研，欢迎合格的供应商参加。

一、采购项目内容：

参数要求：（详见附件1）

二、报名要求及报名需提供的相关材料：

（1）近3年参与南昌市第一医院投标的产品制造商或授权的代理商有不诚信行为或不良记录或不严格履行合同的，医院不接受报名；

（2）产品有售后服务问题的供应商，医院不接受报名；

（3）法定代表人身份证明书或法人授权委托书、身份证的原件及复印件加盖单位公章；

（4）供应商需提供 “信用中国”失信被执行人（https://zxgk.court.gov.cn/shixin/）和重大税收违法案件当事人名单（https://www.creditchina.gov.cn/xinyongfuwu/zhongdashuishouweifaanjian/）的查询结果截图打印及“信用中国”下载的信用报告（https://www.creditchina.gov.cn/xybgxzzn/）打印，加盖单位公章；

（5）供应商需提供中国政府采购网政府采购严重违法失信行为记录名单（http://www.ccgp.gov.cn/search/cr/）查询结果截图打印，加盖单位公章；

（6）供应商《营业执照》副本复印件加盖单位公章,加盖单位公章；

（7）供应商如是中小型企业，需提供中小企业声明函，加盖单位公章；

（8）具有独立承担民事责任的能力，加盖单位公章；

（9）具有良好的商业信誉和健全的财务会计制度，加盖单位公章；

（10）具有履行合同所必需的设备和专业技术能力，加盖单位公章；

（11）有依法缴纳税收和社会保障资金的良好记录，加盖单位公章；

（12）近三年无重大违法违纪记录、无安全事故证明，加盖单位公章；

（13）符合法律、行政法规规定的其他条件声明函，加盖单位公章；

（14）报名结束后将对报名单位资质进行综合审查，通过资格审核合格后，方可进行市场调研。

（根据《江西省财政厅关于推行政府采购供应商资格信用承诺制的通知》（赣财购〔2023〕8号），决定在我院政府采购领域推行供应商信用承诺制，对参加我院政府采购项目的供应商可以选择承诺制的方式代替以上8-13项资格材料。模版详见附件2。）

报名时要求提供以上所有资料正本一份（装订成册）至报名地点。

三、市场调研时需提供的相关材料：

（1）以上第二项报名需要的所有资料（为方便审核，请把报价表附在标书第一页，其他报名材料按顺序依次附在报价表之后。）需要加盖单位公章；

（2）根据服务需求提供初步服务方案、基本实施方案、工作思路等，制作成汇报PPT用U盘拷贝至谈判现场（切勿密封在谈判文件内）；

（3）公司同类业绩用户名单；

（4）报名供应商廉洁承诺书，加盖单位公章；（模版详见附件3）；

（5）该服务售后联系方式及售后服务承诺；

市场调研时谈判文件要求一正四副（正本需胶装），密封; 谈判文件正本的扫描件（PDF版本）用U盘拷贝至谈判现场（切勿密封在谈判文件内）。

四、报名时间：*开通会员可解锁*至*开通会员可解锁*17：00止，过期不予受理。

五、咨询（报名）地点：南昌市第一医院东湖院区(南昌市东湖区象山北路128号)营养食堂八楼采购科805间

六、谈判时间：另行通知

七、联系电话：*开通会员可解锁*（李老师、孙老师） ，联系时间：上午8：00-12:00，下午14:30-17:30（工作日）。

南昌市第一医院

附件1：

信息系统网络安全等级保护测评服务项目

市场调研需求

一、项目背景

近年来，《中华人民共和国网络安全法》、《网络安全等级保护条例》相继颁布和实施，我国第一次以法律形式进一步明确国家实行网络安全等级保护制度和密码管理制度。网络运营者应当按照网络安全等级保护制度的要求，履行等级保护、风险评估、安全监测、应急响应、安全加固等工作，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改文件要求。

南昌市第一医院高度重视网络安全工作，落实网络安全风险控制和服务管理，贯彻《关于加强省级重要信息系统安全保障工作的通知》（赣公字[2015]55 号）、《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27 号）、《关于信息安全等级保护工作的实施意见》（公通字[2004]66 号）和《信息安全等级保护管理办法》（公通字[2007]43 号）等文件要求，结合自身信息化建设需求，按照技术要求开展等级保护等网络安全服务工作，解决所面临的最主要的安全问题，将有限的资源投入到最有效的地方，不断加强信息系统安全保护能力。

二、技术依据

Ø 《中华人民共和国网络安全法》（主席令第53 号）

Ø 关于印发《信息安全等级保护工作的实施意见》的通知（公通字[2004]66 号文件）

Ø 关于印发《信息安全等级保护管理办法》的通知（公通字[2007]43 号文件）

Ø 《网络安全等级保护测评过程指南》（GB/T28449-2018）

Ø 《网络安全等级保护实施指南》（GB/T25058-2019）

Ø 《网络安全等级保护基本要求》（GB/T22239-2019）

Ø 《网络安全等级保护测评要求》（GB∕T28448-2019）

Ø 《网络安全等级保护定级指南》（GB/T 22240-2020）

Ø 《信息安全风险评估方法》（GB/T 20984-2022）

三、项目范围与内容

1.等级保护测评服务

南昌市第一医院根据等级保护测评相关要求，列入2026年度等级保护测评清单如下：

《信息系统清单》

具体要求：

针对《信息系统清单》中的所有系统开展测评工作，测评机构工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T 28448-2019)、《网络安全等级保护测评过程指南》（GB/T 28449-2018）和《信息安全技术 网络安全等级保护基本要求》（等保 2.0）文件。本项目测评系统复杂规模大、部署广、测评时间集中，应按照项目组开展工作，并根据系统等级开展相应级别的开展单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版，符合公安部门定级和备案要求。

按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T 22239-2019）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评。

应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁。

技术方面，物理安全方面应在采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

管理安全方面应对采购人信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。

应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析。

采购单位根据整改意见对系统进行安全整改，整改完成后，测评机构需进行复测。在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。

工作过程文件及项目交付成果（包括但不限于）：《网络安全等级保护等级测评报告》。

2.应急响应服务

在2026年度服务周期范围内，一旦发生突发/重大信息安全事件，按需提供现场应急响应服务，响应人员到场时间不超过6小时。安排信息系统专业应急人员完成实施工作，根据每次应急响应的情况，必要时提供应急工具参与应急响应工作，并进行分析，出具《安全事件分析报告》。同时，尽可能地减少和控制住网络安全事件的损失， 提供有效的响应和恢复指导，并努力防止安全事件的发生。

供应商所使用的应急响应工具支持以下功能点：

（1）支持正向攻击类情报源，并支持行业分类，至少覆盖金融(银行、证券、保险)、电力、能源、教育等30个行业；

（2）系统内置第三方互联网公司情报源(腾讯、360、奇安信、华为情报源)，提供受控外联类情报源,受控外联情报类型至少包含 IP类、URL 类和域名类情报；

（3）支持情报源的基础属性画像，至少包含归属地、经纬度、运营商等属性；

（4）支持最近三个月的攻击轨迹溯源，至少包含历史攻击单位、攻击类型、被攻击单位所属行业等属性；

（响应文件中提供具有CMA和CNAS标识的第三方检测机构出具的测评工具功能检测报告原件扫描件，以上材料加盖投标供应商公章。注:功能点需通过醒目标识标记出对应功能点在报告中的检测情况，未提供或提供不符合要求视为无效响应。）

四、项目实施要求

1.实施要求

（1） 供应商必须具备独立完成本项目的能力；

（2） 供应商必须具备公安部第三研究所认证发放的《网络安全服务认证证书等级保护测评服务认证》；

（3） 供应商应对了解到的信息保密，并提供保密承诺；

（4） 供应商在项目现场实施周期内，必须为本项目成立等级保护测评项目部，安排包括项目经理和各测评实施小组进场调研、测评工作；

（5） 在采购人进行整改过程中提供必要的技术支持。

（6） 供应商须保证对本项目实施中所获得任何资料和信息严格保密，并与南昌市第一医院签订保密责任书。

2.人员安排要求

本项目的技术服务人员需具有信息安全服务工作经验，提供项目团队人员配备方案，并确保人员的稳定。如更换技术服务人员，须由采购人同意并签字确认。

（二）商务条件

1.服务周期

合同签订后30个工作日内完成信息系统等级测评，并出具测评报告和建设整改方案。

2.付款条件

合同签订后，采购人向成交供应商支付30%合同金额，项目所有服务完成后采购人向成交供应商支付70%合同金额。采购人付款前，成交供应商应先向采购人开具合同相应金额的税务发票。

3.验收及标准

3.1供应商在交付及验收活动中必须遵守采购人的有关规定， 并承担所有费用。

3.2最终验收： 在收到成交单位的书面验收申请后， 由采购人组织相关人员依照相关标准、规范、要求、合同及有关附件要求进行验收。

附件2：

江西省政府采购供应商资格信用承诺函

致(采购人或政府采购代理机构):

单位名称(自然人姓名):

统一社会信用代码(身份证号码):

法定代表人(负责人):

联系地址和电话:

我单位(本人)自愿参加本次政府采购活动，严格遵守《中华人民共和国政府采购法》及相关法律法规，坚守公开、公平、公正和诚实信用等原则，依法诚信经营，并郑重承诺:

(一)我单位(本人)符合采购文件要求以及《中华人民共和国政府采购法》第二十二条规定的条件:

1.具有独立承担民事责任的能力;

2.具有良好的商业信誉和健全的财务会计制度;

3.具有履行合同所必需的设备和专业技术能力;

4.有依法缴纳税收和社会保障资金的良好记录;

5.参加政府采购活动前三年内，在经营活动中没有重大违法记录;

6.符合法律、行政法规规定的其他条件。

(二)我单位(本人)未被列入严重失信主体名单、失信被执行人、税收违法黑名单、政府采购严重违法失信行为记录名单。

我单位(本人)对本承诺函及所承诺事项的真实性、合法性及有效性负责，并已知晓如所作信用承诺不实，可能涉嫌《中华人民共和国政府采购法》第七十七条第一款第(一)项规定的“提供虚假材料谋取中标、成交”违法情形。经调查属实的，自觉接受政府采购行政监管部门按照《中华人民共和国政府采购法》第七十七条:“处以采购金额千分之五以上千分之十以下的罚款，列入不良行为记录名单，在一至三年内禁止参加政府采购活动，有违法所得的，并处没收违法所得，情节严重的，由市场监管部门吊销营业执照;构成犯罪的，依法追究刑事责任。”处理。

供应商名称(单位公章):

或自然人(签字):

年 月 日

注:1.我单位(本人)专指参加政府采购活动的供应商(含自然人)。

2.供应商须在投标(响应)文件中按此模板提供承诺函，既未提供前述承诺函又未提供对应事项证明材料的，视为未实质响应招标文件要求，按无效投标(响应)处理。

附件3：

公平交易诚实守信

南昌市第一医院投标供应商廉洁承诺书

为积极配合医院进一步加强医疗卫生行风建设，维护医院的医疗秩序和良好形象，营造公平交易、诚实守信的购销环境，坚决抵制商业贿赂等违法违纪问题的发生，本公司(含公司工作人员，下同)特作以下承诺：

一、在采购招投标活动及业务往来中，严格遵守国家有关的法律法规和廉洁从业规定，坚持公平、公开、公正、诚实守信的原则，决不损害国家和企业利益。

二、决不向医院工作人员(含工作人员的配偶、子女及亲属，下同)馈赠礼品(包括但不限于现金、有价证券、支付凭证及贵重物品等)。

三、决不向医院工作人员提供宴请、联谊活动、度假、旅游，以及到营业性娱乐场所消费。不得支付应由其个人自付的各种费用。

四、决不到医院办公场所推销医药产品，不得向医生或相关工作人员发放各种形式的回扣。

五、本公司如违反本承诺，经医院纪检监察部门认定事实后，愿意按照相关规定接受处罚。

投标公司：

投标人签名：

20 年 月 日

供应商在参加我院招标采购等经济活动中被发现下列行为之一的，由医院采购部门记入供应商诚信档案,两年内禁止参加我院的招标采购等经济活动。

（一）报名成功后，无正当理由不参与投标行为，导致项目无法正常开评标的；

（二）投标截止后，无正当理由撤销其投标行为，导致项目无法正常开评标的；

（三）未按相关规定签订、履行采购合同，影响采购人日常工作的；

（四）在投标文件中未说明或未经我院同意，将中标项目分包给他人；

（五）违反合同约定，擅自降低货物质量等次和售后服务，货物、工程或者服务存在质量问题的；

（六）违反合同约定，未能完成全部货物、服务或工程项目，中途停止配送或者变相增加费用的；

（七）假冒他人名义质疑的；

（八）捏造事实、提供虚假材料进行质疑的；

（九）无正当理由拒不配合进行质疑调查的；

（十）在招投标或物资采购过程中相互串通投标、非法以他人名义投标和以其他方式弄虚作假骗取中标的行为；

（十一）违反投标承诺或合同约定，提高价格、降低质量、拖延供货时间的不诚信行为；

（十二）不遵守采购法律法规，在招标采购过程中有恶意诽谤、诬告或陷害其他竞争对手的不良行为；

（十三）政府集中采购机构根据《政府采购合同履约评价规范》等规定，在履约抽检过程中对履约检查评价为差的，并被行政机关记入供应商诚信档案的；

（十四）法律法规相关规定及院方认定的其他情形。

（十五）向医院有关人员馈赠礼品、提供宴请等，违反医院廉政协议的；

（十六）利用商业贿赂手段获取中标的；

（十七）在履行投标承诺或合同过程中，出现质量问题或给医院造成重大经济损失、安全事故以及不良社会影响的；

（十八）未经我院同意，擅自修改合同内容的；

请各位投标供应商打印此页面至供应商廉洁承诺书反面（红体字无需打印）