收藏
第一部分 项目要求
一、项目概况
项目名称:杨凌示范区医院2026年网络安全等级保护测评项目。
采购需求:完成杨凌示范区医院2026年度网络安全等级保护测评服务工作。
项目预算:15万。
二、供应商资格要求
提供供应商营业执照副本、税务登记证副本、组织机构代码证副本或者统一社会信用代码证(三证合一);
供应商是法定代表人投标提供法人代表证明书及身份证复印件;授权代表投标需提供法人代表人授权委托书及授权代表身份证复印件;
具有公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》;
本项目不接受联合体投标。
备注:以上资质文件现场提供复印件加盖公章查验。
第二部分 技术内容与要求
一、项目目标
根据《中华人民共和国网络安全法》《信息安全等级保护管理办法》(公通字[2007]43 号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》等相关文件要求,对杨凌示范区医院信息系统实施网络安全等级保护测评服务工作,找出信息系统存在的安全漏洞及隐患,为后续建设和整改工作提供建议和决策依据,进一步提高单位信息系统整体安全防护水平。
按照国标《信息安全技术 网络安全等级保护基本要求》《信息安全技术 网络安全等级保护测评要求》等相关等级保护测评要求,结合杨凌示范区医院的实际情况,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心测评,以及安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个方面开展测评。具体服务内容如下:
① 定级备案:协助整理初次备案的信息系统相关备案材料,并提交属地网安部门,协助取得《信息系统安全等级备案证明》。
② 系统调研:在系统相关人员的协助下,对信息系统进行调研和梳理,了解系统当前信息系统资产现状。
③ 现场测评:根据国家等级测评的相关标准及已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。
④ 分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,提供差异化测评服务,并进行风险分析,可根据现场情况出具科学合理的整改建议及整改方案,配合采购单位安全整改工作。
⑤ 结论报告:根据前述工作内容,分析当前信息系统安全保护能力是否符合相应等级的安全要求,针对整改项进行再次测评,提供安全等级符合性测评服务,出具相关系统《网络安全等级保护测评报告》。
⑥ 配合验收:整理项目过程中所有相关的过程文档,提交系统相关人员。
2、项目范围
根据国家及地方相关网络安全等级保护管理法律法规要求,本次对以下信息系统开展网络安全等级保护测评工作。
| 序号 |
系统名称 |
拟定级 |
| HIS 系统 |
第三级 |
|
| 电子病例系统 |
第三级 |
|
| LIS/PACS系统 |
第三级 |
3、工作依据
① 《中华人民共和国网络安全法》
② 《中华人民共和国数据安全法》
③ 《信息安全等级保护管理办法》(公通字[2007]43号)
④ 《关于进一步做好全省网络安全等级保护有关工作的函》公网安【2025】1001号
⑤ 《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》(公网安〔2020〕)
⑥ 《中华人民共和国计算机信息系统安全保护条例》(国务院令第147号)
⑦ 《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
⑧ 《信息安全技术网络安全等级保护定级指南》(GB/T 22240-2020)
⑨ 《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)
⑩ 《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)
⑪ 《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018)
⑫ 《信息安全技术网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
⑬ 《信息安全技术网络安全等级保护安全管理中心技术要求》(GB/T 36958-2018)
⑭ 《信息安全技术 信息安全风险评估方法》(GB/T 20984—2022 )
⑮ 《网络安全等级保护测评高风险判定实施指引(试行)》公网安【2025】2391号
4、测评指标
三级系统测评指标
| 安全层面 |
安全控制点 |
测评项数 |
| 安全物理环境 |
物理位置的选择 |
2 |
| 物理访问控制 |
1 |
|
| 防盗窃和防破坏 |
3 |
|
| 防雷击 |
2 |
|
| 防火 |
3 |
|
| 防水防潮 |
3 |
|
| 防静电 |
2 |
|
| 温湿度控制 |
1 |
|
| 电力供应 |
3 |
|
| 电磁防护 |
2 |
|
| 安全通信网络 |
网络架构 |
5 |
| 通信传输 |
2 |
|
| 可信验证 |
1 |
|
| 安全区域边界 |
边界防护 |
4 |
| 访问控制 |
5 |
|
| 入侵防范 |
4 |
|
| 恶意代码防范 |
2 |
|
| 安全审计 |
4 |
|
| 可信验证 |
1 |
|
| 安全计算环境 |
身份鉴别 |
4 |
| 访问控制 |
7 |
|
| 安全审计 |
4 |
|
| 入侵防范 |
6 |
|
| 恶意代码防范 |
1 |
|
| 可信验证 |
1 |
|
| 数据完整性 |
2 |
|
| 数据保密性 |
2 |
|
| 数据备份恢复 |
3 |
|
| 剩余信息保护 |
2 |
|
| 个人信息保护 |
2 |
|
| 安全管理中心 |
系统管理 |
2 |
| 审计管理 |
2 |
|
| 安全管理 |
2 |
|
| 集中管控 |
6 |
|
| 安全管理制度 |
安全策略 |
1 |
| 管理制度 |
3 |
|
| 制定和发布 |
2 |
|
| 评审和修订 |
1 |
|
| 安全管理机构 |
岗位设置 |
3 |
| 人员配备 |
2 |
|
| 授权和审批 |
3 |
|
| 沟通和合作 |
3 |
|
| 审核和检查 |
3 |
|
| 安全管理人员 |
人员录用 |
3 |
| 人员离岗 |
2 |
|
| 安全意识和教育培训 |
3 |
|
| 外部人员访问管理 |
4 |
|
| 安全建设管理 |
定级和备案 |
4 |
| 安全方案设计 |
3 |
|
| 产品采购和使用 |
3 |
|
| 自行软件开发 |
7 |
|
| 外包软件开发 |
3 |
|
| 工程实施 |
3 |
|
| 测试验收 |
2 |
|
| 系统交付 |
3 |
|
| 等级测评 |
3 |
|
| 服务供应商管理 |
3 |
|
| 安全运维管理 |
环境管理 |
3 |
| 资产管理 |
3 |
|
| 介质管理 |
2 |
|
| 设备维护管理 |
4 |
|
| 漏洞和风险管理 |
2 |
|
| 网络和系统安全管理 |
10 |
|
| 恶意代码防范管理 |
2 |
|
| 配置管理 |
2 |
|
| 密码管理 |
2 |
|
| 变更管理 |
3 |
|
| 备份与恢复管理 |
3 |
|
| 安全事件处置 |
4 |
|
| 应急预案管理 |
4 |
|
| 外包运维管理 |
4 |
|
| 总计 |
211 |
|
5、测评流程
在开展网络安全等级保护测评工作过程中要求严格遵循如下流程:
(1)测评准备活动:是开展等级测评工作的前提和基础,是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测系统的详细情况,准备测试工具,为编制测评方案做好准备。
(2)方案编制活动:是开展等级测评工作的关键活动,为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测信息系统相适应的测评对象、测评指标及测评内容等,并根据需要重用或开发测评指导书,形成测评方案。
(3)现场测评活动:是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求,严格按照测评指导书执行,分步实施所有测评项目,以了解系统的真实保护情况,获取足够证据,发现系统存在的安全问题。
(4)分析与报告编制活动:是给出等级测评工作结果的活动,是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和《等级测评过程指南》的有关要求,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出整个系统的安全保护现状与相应等级的保护要求之间的差距,并分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成《网络安全等级保护测评报告》。
6、实施要求
本项目测评驻场人员要求:承担本次测评工作的供应商至少安排2名高级测评师,3名中级测评师;其中包含1名项目经理和1名质量负责人。所有驻场测评师必须持证上岗,响应文件中应提供项目组驻场人员名单以及社保主管部门出具的响应单位为其缴纳社保的证明、驻场人员网络安全等级测评师证书复印件,未经采购方同意,项目组成员不得更改。
实施原则要求:
① 规范性原则:成交服务商工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
② 整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
③ 最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
④ 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购人有权追究责任。
7、项目验收与交付
在本次等级保护测评项目中,服务商须提交的主要成果文档包含如下:
① 《网络安全等级保护测评报告》;
② 《网络安全等级测评整改建议报告》。
第三部分 评分办法
| 评分项目 |
评分因素 |
分值 |
评分标准 |
| 报价 (10分) |
报价 (10分) |
10分 |
综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格分为满分10分。 投标报价每偏离基准价5%扣1分,计算公式如下:投标得分=10-【(投标报价-基准价)】/(基准价*5%)。 |
| 技术部分 (45分) |
具体服务方案的完整性、合理性 (33分) |
10分 |
服务方案思路清晰、对测评准备、方案编制、现场测评、报告编制等内容进行了详细描述,方案完整、思路清晰、完全符合本项目的实际且具有可操作性计7.1-10分;方案较完整、思路较清晰、能满足本次采购需求计3.1-7分;服务内容不详细、服务方案思路不清晰计1-3分;未提供不计分。 |
| 8分 |
有明确合理的项目实施周期进度计划表,并有相应的进度保障措施,根据其合理程度经横向比较,项目周期及进度计划安排合理、保障措施完善计4.1-8分;项目周期及进度计划安排不合理、保障措施不明确计1-4分;未提供不计分。 |
||
| 6分 |
依据供应商的服务质量目标及保障措施开展综合评审。若供应商具备详尽的质量过程控制与监控手段、质量管控措施,且能够通过网络安全等级保护测评项目管理系统对项目进度与质量实施有效跟踪和管理的,计3.1- 6分;若仅具备基本的质量控制措施,但细节描述不够充分或系统性欠佳的,计 1-3 分;若未提供相关内容或所提措施不具可行性的,则不予计分。 |
||
| 5分 |
对整个测评项目实施过程中的风险有相应的防范及规避措施,有完善的信息安全保密管理措施,保证客户信息资料的安全性,并明确保密责任与赔偿承诺,根据本项目实际需求及切实可行程度横向比较,防范及保密措施完善可行,保密责任与承诺明确计3.1-5分;防范及保密措施不完善可行,保密责任与承诺不明确计1-3分;未提供不计分。 |
||
| 3分 |
针对本项目提出合理化建议,合理化建议切实可行、贴合实际易操作计2.1-3分;合理化建议不切实际不具有可行性计1-2分;未提供不计分。 |
||
| 拟投入人员(12分) |
12分 |
针对本项目的测评团队中至少包含2名高级测评师,3名中级测评师,满足条件的计2分;不满足不计分。 拟派项目经理至少具备五年的网络安全项目管理经验,在具备高级网络安全等级测评师证书基础上,还需具备:中国电子技术标准化研究院颁发的IT服务项目经理证书、风险管理专业人士资格认证(PMI-RMP)证书、人力资源和社会保障厅颁发的网络工程师职称资格证书、注册网络安全渗透评估专业人员NSATP-A证书、注册信息系统审计师CISA证书。每缺一项 扣1分,缺两项及以上不得分,满分5分。 拟派渗透测试团队需具有5人及以上的成员,且人员均需具备CISP-PTE证书。满足条件的计3分;不满足不计分。渗透组长需具有较强的渗透组织能力,需具有PMP证书且具有CISP-PTE证书。满足条件的计2分;不满足不计分。 备注:供应商须提供以上人员开标前连续6个月社保证明材料,未提供或提供不全不计分。 |
|
| 商务部分(25分) |
能力证书(25分) |
12分 |
供应商提供《信息安全风险评估服务资质》、《信息安全应急处理服务资质》、《国家信息安全漏洞库(CNNVD)技术支撑单位等级证书》,每提供1个证书计2分,最高计6分。 为保证网络安全检测流程规范,质量控制严谨,供应商需具备三体系认证证书,包含“ISO 9001质量管理体系认证证书、ISO 45001职业健康安全管理体系认证证书、ISO 14001环境管理体系认证证书”。每提供1个证书计1分,最高计3分。 为保证项目服务过程中管理可靠、检测服务的连续性,供应商需提供ISO 22301业务连续性管理体系认证证书、ISO 20000-1服务管理体系认证证书,ISO 27001信息安全管理体系认证证书。每提供1个证书计1分,最高计3分。 |
| 8分 |
信息对抗与网络攻防是等级保护测评的核心能力,供应商具有“网络安全技术联合实验室”,能够针对本项目涉及的信息系统以安全攻防技术为核心,提供网络空间创新实验环境及网络攻防对抗实战环境得3分; 供应商提供10个中国互联网协会网络与信息安全工作委员会国家互联网应急中心颁发的CNVD国家信息安全漏洞共享平台原创漏洞证明得5分,其他不得分。 |
||
| 5分 |
为体现供应商在网络安全等级保护测评方面的综合技术能力,若供应商网络安全相关软件著作权,具备40项及以上得5分,30项及以上得3分,20项及以上得2分,其他不得分。 |
||
| 售后服务 (10 分) |
售后服务(10 分) |
10分 |
供应商对本项目的整体安排及策划作出承诺,服务承为保障采购人在测评项目结束后的网络安全工作正常运行,要求供应商提供完善的售后服务,包括安全咨询服务、配合检查、安全培训、应急响应等,根据响应程度计1-8分;若供应商应具备中国电子工业标准化技术协会信息技术服务分会颁发的ITSS运行维护证书得2分。 |
| 同类业绩 (10分) |
同类业绩(10分) |
10分 |
供应商每提供一份自*开通会员可解锁*(以合同签订时间为准) 至今,签订的网络安全等级保护测评类项目业绩合同,得2分,最多得10分。 |
本项目评审使用综合评分法,评审小组将按照客观、公正、科学、择优的原则,结合项目实际情况,依据评审办法,进行分项评审,评审得分计入总得分。
400-888-7022
APP下载
小程序
公众号
