收藏
联投项目管理(集团)有限公司(以下简称"比选代理机构")受简阳市妇幼保健院(以下简称"比选人")的委托,拟对"简阳市妇幼保健院2026年网络安全等级保护第三级测评服务项目 "进行国内公开比选,兹邀请符合本次比选要求的比选申请人参加比选.
一、项目名称
简阳市妇幼保健院2026年网络安全等级保护第三级测评服务项目
二、项目编号
LTJT2026040024
三、项目简介
采购预算及最高限价:人民币:19万元
具体比选详情见第四章.
四、比选申请人应具备的资格条件
(一)具有独立承担民事责任的能力;
(二)具有良好的商业信誉和健全的财务会计制度;
(三)具有履行合同所必需的设备和专业技术能力;
(四)有依法缴纳税收和社会保障资金的良好记录;
(五)参加比选活动前三年内,在经营活动中没有重大违法记录;
(六)法律、行政法规规定的其他条件;
(七)比选项目的特定资格要求:供应商必须具备经"公安部第三研究所"认证颁发的有效的<<网络安全等级测评与检测评估机构服务认证证书>>或<<网络安全服务认证证书等级保护测评服务认证>>证书
五、比选公告发布的媒体
本次比选公告在中国招标投标公共服务平台(www.cebpubservice.com)发布.
六、比选文件获取的方式
1.获取时间:*开通会员可解锁*至*开通会员可解锁*;
上午9:00:00-12:00:00;下午12:00:00-17:00:00(北京时间)法定节假日除外
2.获取方式:供应商请登录我司官方网站(http://www.scltzb.com),点击页面上方"登录 报名",选择"供应商登录",点击"我要报名",搜索完整的项目编号后即可办理.
具体操作详见"联投E采在线交易平台""办事指南"中的"标书售卖操作指南".
3.账号注册及审核请联系:*开通会员可解锁*;
4.比选文件售价300元/份,比选文件售后不退,比选资格不能转让.
注:获取比选文件主体格式包括PDF、Word两种格式版本,其中以PDF格式为准.
七、禁止参加本次比选活动的供应商
参照<<关于在政府采购活动中查询及使用信用记录有关问题的通知>>(财库〔2016〕125号)的要求,采购人或采购代理机构将通过"信用中国"网站(www.creditchina.gov.cn)、"中国政府采购网"网站(www.ccgp.gov.cn)等渠道查询供应商在提交比选申请文件截止之日前的信用记录并保存信用记录结果网页截图,拒绝列入失信被执行人名单、重大税收违法案件当事人名单(重大税收违法失信主体)、政府采购严重违法失信行为记录名单中的供应商报名参加本项目的比选活动(以联合体形式参加本项目采购活动,联合体成员存在不良信用记录的,视同联合体存在不良信用记录).
八、提交比选申请文件截止时间(参加比选的时间)
*开通会员可解锁*10时30分(北京时间)
1.比选申请文件应在提交比选申请文件截止时间前送达比选地点;
2.逾期送达或没有密封的比选申请文件恕不接收.
九、提交比选申请文件地点和比选地点
成都市高新区天府大道北段1700号环球中心N5区20楼2015号
注:本项目为线下开标、评审项目,供应商须提交比选申请文件(含比选申请文件电子档U盘)至上述地点.
十、联系方式
比选人:简阳市妇幼保健院
地址:简阳市雄州大道868号
联系人:肖老师
联系电话:*开通会员可解锁*
比选代理机构:联投项目管理(集团)有限公司
地址:成都市高新区天府大道北段1700号环球中心N5区20楼2015号
请在微信服务号搜索"联投招标"点击"在线客服"选择以下对应进行咨询:
时间:上午 9时00分至12时00分;下午 13时30分至17时30分
1.项目咨询;
2.保证金咨询;
3.中标(成交)通知书及发票咨询;
4.意见建议:陈女士 联系电话:*开通会员可解锁*转1、*开通会员可解锁*
第四章 比选内容及要求
前提:本章中标注"★"的条款为实质性要求,不满足按无效响应处理;
一、项目概述
按照<<中华人民共和国网络安全法>>要求"国家实行网络安全等级保护制度.网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改."以及<<信息安全等级保护管理办法>>"信息系统建设完成后,运营、使用单位或者其主管部门应当选择符合本办法规定条件的测评机构,依据<<信息系统安全等级保护测评要求>>等技术标准,定期对信息系统安全等级状况开展等级测评 ".我院现为三级妇幼保健院,按要求医院重要信息系统应达安全等级保护三级.
本项目共计1个包,拟确定中选人1名.
二、比选内容
| 序号 |
(比选内容)标的名称 |
| 1 |
网络安全等级保护第三级测评服务 |
★三、技术服务要求
1、测评内容包括技术和管理测评
1.1 技术安全性测评包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心.
1.2 管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理.
2、测评对象及范围
本次等级保护测评系统包括:
| 序号 |
系统名称 |
安全保护等级 |
单项限价(万元) |
| 1 |
HIS系统(包括婚检孕优两癌管理系统、孕产妇儿童保健管理系统、HIS系统) |
第三级 |
3.8 |
| 2 |
LIS系统 |
第三级 |
3.8 |
| 3 |
PACS系统 |
第三级 |
3.8 |
| 4 |
电子病历系统 |
第三级 |
3.8 |
| 5 |
对外服务系统(包括门户网站、OA系统、微信就医服务公众平台) |
第三级 |
3.8 |
| 单项合计:19万元 |
|||
注:本项目按 5个系统单独报价,各系统报价不得再行拆分.若项目无法以上表所列 5个系统名称统一备案,则按本表所有系统名称单独备案,费用仍按上述 5个系统整体报价执行,不予拆分计价.
3、依据标准
①<<中华人民共和国网络安全法>>
②GB/T 22239-2019<<信息安全技术 网络安全等级保护基本要求>>
③GB/T28448-2019<<信息安全技术 网络安全等级保护测评要求>>
④GB/T28449-2018<<信息安全技术 网络安全等级保护测评过程指南>>
⑤GB/T36627-2018<<信息安全技术 网络安全等级保护测试评估技术指南>>
⑥<<信息安全等级保护管理办法>>公通字 〔2007〕43 号
⑦<<网络安全等级保护测评机构管理办法>>公信安〔2018〕765号
4、测评原则
4.1 客观性和公正性原则:虽然测评工作不能完全摆脱个人主张或判断,但 测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动.
4.2 经济性和可重用性原则:基于测评成本和工作复杂性考虑,鼓励测评工 作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评 结果.所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上.
4.3 可重复性和可再现性原则:不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果.可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关.
4.4 结果完善性原则:测评所产生的结果应当证明是良好的判断和对测评项 的正确理解.测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求.
4.5 项目具体要求
①对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性.其中,安全控制测评是信息系统整体安全测评的基础.
②对安全控制测评的描述,使用工作单元方式组织.工作单元分为安全技术和安全管理两大类.安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面.
③系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统 的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内 容复杂且充满系统个性.因此,全面地给出系统整体测评要求的完整内容、具体 实施方法和明确的结果判定方法是很困难的.测评人员应根据特定信息系统的具 体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基 础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制 间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统
整体结构安全性、不同信息系统之间整体安全性等.
④供应商根据国家对信息安全等级保护工作的相关法律和技术标准要求,结
合本项目的系统保护等级开展实施与之相应的检查、访谈、测试工作.
5、测评要求
(1)安全物理环境
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
物理位置选择 |
通过访谈、检查机房等信息系统物理场所在位置 上是否具有防雷、防风和防雨等多方面的安全防范能力. |
| 2 |
物理访问控制 |
通过访谈、检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力. |
| 3 |
防盗窃和防破坏 |
通过访谈、检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏. |
| 4 |
防雷击 |
通过访谈、检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击. |
| 5 |
防火 |
通过访谈、检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生. |
| 6 |
防水和防潮 |
通过访谈、检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿. |
| 7 |
防静电 |
通过访谈、检查机房是否采取必要措施防止静电的产生. |
| 8 |
温湿度控制 |
通过访谈、检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制. |
| 9 |
电力供应 |
通过访谈、检查机房供电线路、设备等过程,是否具备提供一定的电力供应的能力. |
| 10 |
电磁防护 |
通过访谈、检查是否具备一定的电磁防护能力. |
(2)安全通信网络
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
网络架构 |
通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络宽带分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性,以及通信线路、关键设备硬 件冗余,系统可用性保证情况. |
| 2 |
通信传输 |
通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况. |
| 3 |
可信验证 |
通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况. |
(3)安全区域边界
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
边界防护 |
通过访谈、检查、测试边界完整性检查设备,测评 分析跨域边界的访问控制和数据流通过边界设备 的控制措施,非法内联、外联、无线准入控制的监测、阻断等能力. |
| 2 |
访问控制 |
通过访谈、检查、测试网络访问控制设备策略部署, 测试系统对外暴露安全漏洞情况等过程,测评分析 对进出网络的数据流量控制以及基于应用协议和应用内容的访问控制能力. |
| 3 |
入侵防范 |
通过访谈、检查、测试网络边界处、关键网络节点 检测、防止或限制从内部和外部发起网络攻击行为 的防护能力,以及网络行为分析、监测、报警能力, 特别是新型网络攻击行为的分析,对攻击行为的检 测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力. |
| 4 |
恶意代码和防垃 圾邮件 |
通过访谈、检查、测试关键网络节点处对恶意代码、 垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况, |
| 5 |
安全审计 |
通过访谈、检查网络边界、重要网络节点安全审计 情况等,测评分析信息系统审计配置和审计记录保护,审计内容等情况. |
| 6 |
可信验证 |
通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况. |
(4)安全计算环境
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
身份鉴别 |
通过访谈、检查、测试对登录的用户进行身份标识 和鉴别,是否具有不易被冒用的特点,口令应有复 杂度要求并定期更换,以及远程管理安全、双因素鉴别等内容. |
| 2 |
访问控制 |
通过访谈、检查、测试是否启用访问控制功能,依 据安全策略控制用户对资源的访问;是否根据管理 用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限等内容. |
| 3 |
安全审计 |
通过访谈、检查安全审计范围及内容. |
| 4 |
入侵防范 |
通过访谈、检查、测试是否能够检测到对重要节点 进行入侵的行为,能够记录入侵的源IP、攻击的类 型、攻击的目的、攻击的时间,并在发生严重入侵 事件时提供报警,是否遵循最小化安全装原则、系 统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容. |
| 5 |
恶意代码防范 |
通过访谈、检查、测试是否具有防恶意代码攻击的 技术措施或主动免疫可信验证机制,能否及时识别入侵和病毒行为并将其有效阻断等内容. |
| 6 |
可信验证 |
通过访谈、通过访谈安全员,检查计算设备的系统 引导、系统程序、重要配置参数和应用程序等进行 可信验证及应用程序的关键执行环节进行动态可信验证的保护情况. |
| 7 |
数据完整性 |
通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况,包括鉴别数据、重要业务数 据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等. |
| 8 |
数据保密性 |
通过访谈、检查、测试重要数据在传输和存储过程 中的保密性保护情况,包括鉴别数据、重要业务数 据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等. |
| 9 |
数据备份恢复 |
通过访谈、检查、测试重要数据本地备份与恢复功 能,异地实时备份功能,以及重要数据处理系统的热冗余和高可用性保证等. |
| 10 |
剩余信息保护 |
通过访谈、检查、测试边界信息在存储空间被释放 或重新分配前是否有效清除,存有敏感数据的存储空间被释放或重新分配前是否有效清除等. |
| 11 |
个人信息保护 |
通过访谈、检查、测试是否仅采集和保存业务必须 的用户个人信息,对用户个人信息的访问和使用等. |
(5)安全管理中心
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
系统管理 |
通过访谈、检查、测试对系统管理员身份鉴别、命令 或操作管理、操作审计,以及是否通过系统管理对系统资源和运行进行配置、控制和管理等. |
| 2 |
审计管理 |
通过访谈、检查、测试对审计管理员身份鉴别、命令 或操作管理、操作审计,以及是否通过审计管理员对审计策略、审计记录进行分析、处理等. |
| 3 |
安全管理 |
通过访谈、检查、测试对安全管理员身份鉴别、命令 或操作管理、操作审计,以及是否通过安全管理员对安全策略、参数进行配置等. |
| 4 |
集中管控 |
通过访谈、检查、测试是否具有特定的管理区域,对 分布在网络中的安全设备或安全组件进行集中管控, 对网络链路、安全设备、网络设备和服务的运行进行 集中监测,对分散在各设备上的审计数据进行收集汇 总和集中分析,并确保记录留存符合法律法规要求, 对安全策略、恶意代码、升级补丁等安全相关事项进 行集中管理,对网络中发生的各类安全事件进行识别、报警和分析等. |
(6)安全管理制度
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
安全策略 |
通过访谈、检查网络安全工作的总体方针我安全策略是否全面、完善. |
| 2 |
管理制度 |
通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程. |
| 3 |
制度和发布 |
通过访谈、检查管理制度定期评审和修订情况. |
| 4 |
评审和修订 |
通过访谈、检查管理制度在内容覆盖上是否全面、完善. |
(7)安全管理机构
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
岗位设置 |
通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况. |
| 2 |
人员配备 |
通过访谈、检查各个岗位人员配备情况. |
| 3 |
授权和审批 |
通过访谈、检查对关键活动的授权和审批情况. |
| 4 |
沟通和合作 |
通过访谈、检查内部部门间、与外部单位间的沟通与合作情况. |
| 5 |
审核和检查 |
通过访谈、检查安全工作的审核和检查情况. |
(8)安全管理人员
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
人员录用 |
通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核. |
| 2 |
人员离岗 |
通过访谈、检查人员离岗时是否按照一定的手续办理. |
| 3 |
安全意识教育和培训 |
通过访谈、检查是否对人员进行安全方面的教育和培训. |
| 4 |
外部人员访问管理 |
通过访谈、检查对第三方人员访问(物理、逻辑)系统是否采取必要控制措施. |
(9)安全建设管理
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
定级和备案 |
通过访谈、检查是否按照一定要求确定系统的安全等级. |
| 2 |
安全方案设计 |
通过访谈、检查整体的安全规划设计是否按照一定流程进行. |
| 3 |
产品采购和使用 |
通过访谈、检查是否按照一定的要求进行系统的产品采购. |
| 4 |
自行软件开发 |
通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性. |
| 5 |
外包软件开发 |
通过访谈、检查外包开发的软件是否采取必要的 措施保证开发过程的安全性和日后的维护工作能够正常开展. |
| 6 |
工程实施 |
通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行. |
| 7 |
测试验收 |
通过访谈、检查系统运行前是否对其进行测试验收工作. |
| 8 |
系统交付 |
通过访谈、检查是否采取必要的措施对系统交付过程进行有效控制. |
| 9 |
等级测评 |
通过访谈、检查等级测评、整改情况. |
| 10 |
服务商选择 |
通过访谈、检查是否选择符合国家有关规定的安 全服务单位进行相关的安全服务工作. |
(10)安全运维管理
| 序号 |
工作单元名称 |
工作单元描述 |
| 1 |
环境管理 |
通过访谈、检查是否采取必要的措施对机房的出 入控制以及办公环境的人员行为等方面进行安全管理. |
| 2 |
资产管理 |
通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理. |
| 3 |
介质管理 |
通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理. |
| 4 |
设备维护管理 |
通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全. |
| 5 |
漏洞和风险管理 |
通过访谈、检查安全漏洞和隐患识别、处理情况, 以及是否定期开展安全测评以及安全问题的应对措施. |
| 6 |
网络和系统安全 管理 |
通过访谈、检查是否采取必要的措施对系统的安 全配置、系统账户、漏洞扫描和审计日志等方面 进行有效的管理.是否采取必要的措施对网络的 安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行. |
| 7 |
恶意代码防范管 理 |
通过访谈、检查是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力. |
| 8 |
配置管理 |
通过访谈、检查基本配置信息管理情况 |
| 9 |
密码管理 |
通过访谈、检查是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定. |
| 10 |
变更管理 |
通过访谈、检查是否采取必要的措施对系统发生的变更进行有效管理. |
| 11 |
备份与恢复管理 |
通过访谈、检查是否采取必要的措施对重要业务 信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复. |
| 12 |
安全事件处置 |
通过访谈、检查是否采取必要的措施对安全事件 进行等级划分和对安全事件的报告、处理过程进行有效的管理. |
| 13 |
应急预案管理 |
通过访谈、检查是否针对不同安全事件制定相应 的应急预案,是否对应急预案展开培训、演练和审查等. |
| 14 |
外包运维管理 |
通过访谈、检查外包运维服务商选择是否符合国家要求,外包运维保密、服务内容管理等. |
(11)安全扩展要求
按照所测评系统的具体情况选用云计算安全扩展要求、移动互联安全扩展要
求、物联网安全扩展要求、工业控制系统安全扩展要求.
(12)验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息 系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和
服务能力,能够对产品进行持续更新并提供质量和安全保障.
验证测试内容包括但不限于以下内:
①渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不 能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在SQL、Cookie注 入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,
并提出整改建议.验证内容包括(但不限于)以下几个方面:
| 注入 |
失效的身份认证 |
| 敏感信息泄露 |
XML外部实体(XXE) |
| 失效的访问控制 |
安全配置错误 |
| 跨站脚本(XSS) |
不安全的反序列化 |
| 使用含有已知漏洞的组件 |
不足的日志记录和监控 |
② 漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评.分析总结系统 中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺
陷以及相应的安全加固意见、建议.
6、测评工作步骤
等级保护测评工作流程,受委托测评机构实施的等级测评工作活动及流程与 运营、使用单位的自查活动及流程会有所差异,初次等级测评和再次等级测评的 工作活动及流程也不完全相同,而且针对不同等级信息系统实施的等级测评工作 活动及流程也不相同.受委托测评机构对信息系统的初次等级测评可以分为四项 活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动.投
标方应对等级保护测评各阶段具体工作内容进行描述.
(1)准备活动阶段:对被测系统进行调研分析,明确测评对象、测评方法等工作.
(2)方案编制阶段:制定信息安全等级保护测评项目计划书、测评实施方案,并提交委托方确认.
(3)现场测评阶段:按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具<<整改意见>>,并在整改过程中提供技术咨询服务.
(4)分析与报告编制: 向委托方提交被测信息系统安全等级保护测评报告以及相应文档.
7、实施要求
(1)系统梳理
协助完成待测信息系统梳理工作.
(2)初测
对本项目所涉及信息系统进行现场测评,初次测评完成后提交初评的整改意见报告.
(3)整改加固协助
协助对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的回归测评.
(4)成果递交
整理测评结果,提交被测信息系统安全等级保护测评报告以及相应文档.
(5)项目管理与实施保障
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
①供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准 和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任.
②应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力.
③供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订 保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留.
④供应商的岗位配置要至少配置总测评师、现场技术负责人(项目经理)和其他测评人员,其中总测评师、技术负责人(项目经理)应独立配置,不能有兼任的情况.
⑤测评人员要求
参与此次等级保护测评的供应商其测评人员应具备并符合以下要求:
1)开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录.
2)开展此次等级保护测评工作的人员应具备从事信息系统安全测评相关工作三年以上工作经验,开展等级保护测评工作不少于一年,参与同类行业信息安全测评项目.
3)测评项目组人员在对开展等级保护测评工作之前需签订保密协议.
⑥测评工具要求
1)采用的测评工具需获得正版授权,并在有效期内,不得使用盗版软件.
2)采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品.
3)采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障.
4)测评机构所使用的测评工具不会对系统产生破坏或负面影响.
⑦由于测评工作存在一定的风险,包括但不限于:数据丢失、配置参数丢失、网络中断、服务中断等隐患,供应商应当充分识别测评工作可能带来的风险并告 知委托方,委托方应当就测评工作存在潜在风险采取必要措施进行确认后方可开展测评.如因比选申请人测评实施导致的数据丢失、业务中断等事件,所造成的损失,由比选申请人承担.
四、评审要求
(1)供应商应针对本项目提供详细的项目整体实施方案,方案内容应包含: ①等保测评流程;②等保测评方法;③等保测评指标;④评测质量控制及保证措施;⑤项目应急保障方案;⑥项目实施计划;⑦安全技术测评;⑧安全管理测评等.
(2)为保障本次项目的专业性、合规性、准确性,供应商需具有等保测评、数据安全和网络/信息安全方面的相关资质.且需配备一定数量的网络安全方面的技术人员,测评团队不少于4人,其中项目总负责人1名,项目经理1名(总负责人和项目经理不得兼任)及其余测评人员.测评团队成员需具有相关从业经验和相关专业证书(包括不限于安全测评工程师、网络/信息安全工程师、渗透测评工程师、数据安全工程师等)开展此次等级保护测评工作的人员应由取得等级测评师证书(等级测评人员应由初级、中级和高级)的人员组成.针对软件、网络、安全等方面的测评技术人员除具有信息安全等级保护测评师证书以外,还应该持有相关技术资格证书.
(3)供应商提供自 2022年 1 月 1 日(含)至今具有与本项目类似的项目经验.
五、商务要求(实质性要求)
| 序号 |
内容 |
要求 |
| 1 |
服务期 |
采购合同签订之日起365日内完成所有履约内容 |
| 2 |
服务地点 |
采购人指定地点 |
| 3 |
报价 |
报价应是完成本项目所有采购内容和比选文件规定的其它全部费用,最终用户验收合格后的总价 |
| 4 |
合同价款支付 |
(1)采购合同签订生效之日起10个工作日内支付合同总金额的40.00%; (2)剩余款项据实支付,采购人在收到供应商提供的等额发票以及供应商出具的<<网络安全等级保护测评报告>>后10个工作日内,按已完成等级保护测评系统的金额支付费用,未做等级保护测评的系统,不支付该系统的等级保护测评费用; (3)本项目未支付的合同价款不计利息 |
| 5 |
验收标准和方法 |
(1)供应商为采购人的HIS系统(包括婚检孕优两癌管理系统、孕产妇儿童保健管理系统、HIS系统)、LIS系统、PACS系统、电子病历系统、对外服务系统(包括门户网站、OA系统、微信就医服务公众平台)开展三级等保测评服务,满足①<<中华人民共和国网络安全法>>、②GB/T 22239-2019<<信息安全技术 网络安全等级保护基本要求>>、③GB/T28448-2019<<信息安全技术 网络安全等级保护测评要求>>、④GB/T28449-2018<<信息安全技术 网络安全等级保护测评过程指南>>、⑤GB/T36627-2018<<信息安全技术 网络安全等级保护测试评估技术指南>>、⑥<<信息安全等级保护管理办法>>公通字 [2007] 43 号、⑦<<网络安全等级保护测评机构管理办法>>公信安 [2018] 765 号要求,提供<<网络安全等级保护测评报告>>. 2.采购人在收到供应商出具的<<网络安全等级保护测评报告>>后15日内组织验收.如采购人无正当理由拒绝验收或自采购人收到供应商出具的<<网络安全等级保护测评报告>>后15日内采购人未提出任何书面异议的视为验收合格. |
我要参与
400-888-7022
APP下载
小程序
公众号
