太原市卫生健康委员会等级保护测试（三级）招标公告

关于等级保护测试(三级)采购的公开招标公告

依据《中华人民共和国政府采购法》《中华人民共和国政府采购法实施条例》《政府采购货物和服务招标投标管理办法》和有关法律法规及规章规定，太原市公共资源交易中心受太原市卫生健康委员会委托，对等级保护测试(三级)组织国内公开招标采购，欢迎承认并履行招标文件各项规定的供应商参加投标。

1.项目名称：等级保护测试(三级)公开招标采购

2.招标编号：2020JFG507

3.项目概况：根据国家相关法律、政策要求，太原市卫生健康委员会对五个评定为三级的信息系统进行等级保护测评，本次测评是识别信息系统安全保护能力，及时发现系统内、外部存在的安全风险和脆弱性，提高信息系统的信息安全防护能力，降低系统被攻击的风险。

4.资金来源：财政资金

5.预算金额：630000元，最高限价：450000元

招标内容：共一包，详见招标文件“第五部分采购需求”。

(一)等级保护测评服务

★1、项目实施遵循的技术标准

(1)《信息安全等级保护管理办法》(公通字〔2007〕43号)

(2)《网络安全等级保护基本要求》(GB/T22239—2019)

(3)《信息系统安全等级保护定级指南》(GB/T22240-2008)(修订中)

(4)《信息系统安全等级保护实施指南》(GB/T25058-2010)(修订中)

(5)《网络安全等级保护安全设计技术要求》(GB/T25070-2019)

(6)《信息系统安全等级保护体系框架》(GA/T708-2007)

(7)《信息系统安全等级保护基本模型》(GA/T709-2007)

(8)《信息系统安全等级保护基本配置》(GA/T710-2007)

(9)《网络安全等级保护测评要求》(GB/T28448-2019)

(10)《网络安全等级保护测评过程指南》(GB/T28449-2018)

(11)《信息系统安全等级测评报告模版》(2015版)

(12)《网络安全等级保护安全管理中心技术要求》(GB/T36958-2018)

(13)《网络安全等级保护测评机构能力要求和评估规范》(GB/T36959-2018)

(14)《网络安全等级保护测试评估技术指南》(GB/T36627-2018)

2、信息系统测评对象

(1)太原市全民健康信息平台(三级)

(2)太原市公共卫生服务信息系统(三级)

(3)太原妇幼保健管理平台(三级)

(4)太原市基层医疗卫生机构管理信息系统(三级)

(5)太原市分级诊疗信息系统(三级)

★3、信息系统测评内容

(1)安全技术测评

安全物理环境：物理位置的选择、物理访问控制、防盗窃和防破环、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

安全通信网络：网络架构、通信传输、可信验证。

安全区域边界：边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

安全计算环境：网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等的身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

安全管理中心：系统管理、审计管理、安全管理、集中管控。

(2)安全管理测评

安全管理制度：安全策略、管理制度、制定和发布、评审和修订。

安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

安全管理人员：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。

安全建设管理：系统定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、安全服务商选择。

安全运维管理：环境管理、资产管理、介质管理、设备维护管理、网络和系统安全管理、漏洞和风险管理、恶意代码防范管理、密码管理、配置管理、变更管理、备份与恢复管理、安全事件处理、应急预案管理、外包运维管理。

★4、《信息系统测评报告》

信息系统测评报告需包括以下内容：

(1)信息系统等级测评基本信息表

(2)声明

(3)等级测评结论

(4)总体评价

(5)主要安全问题

(6)问题处置建议

(7)测评项目概述：测评目的、测评依据、测评过程、报告分发范围。

(8)被测信息系统情况：承载的业务情况、网络结构、系统资产(机房、网络设备、安全设备、服务器/存储设备、终端、业务应用软件、关键数据类别、安全相关人员、安全管理文档)、安全服务、安全环境威胁评估、前次测评情况。

(9)等级测评范围与方法：测评指标(基本指标、不适用指标)、测评对象(测评对象选择方法、测评对象选择结果)、测评方法(测评方式、测评工具)。

(10)单元测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理、单元测评小结(控制点符合情况汇总、安全问题汇总)。

(11)整体测评：安全控制间安全测评、层面间安全测评、区域间安全测评、验证测试、整体测评结果汇总。

(12)总体安全状况分析：系统安全防护评估、安全问题风险评估、等级测评结论。

(13)问题处置建议

(14)等级测评结果记录

(二)安全服务

1、安全咨询服务

中标人须从合同签订之日起进行为期一年的咨询服务。

服务内容如下：

(1)为实施等级保护的系统提供服务，主要服务内容是结合信息系统承载业务安全需求具体实际情况，制定符合系统业务安全要求的等级保护规划，使用户能够建立起符合国家要求的等级保护安全体系。

(2)落实信息安全等级保护制度的相关工作，协助单位建立健全信息安全等级保护相关制度的制定。主要是根据等级保护安全管理基本要求，协助建立起信息安全策略、方针、各项安全管理制度、安全操作规范以及各类操作记录文档体系。

(3)需要交付符合太原市卫生健康委员会系统现状的《系统建设方案安全评审报告》

(4)提供应急预案、演练、处置等全套咨询服务，协助太原市卫生健康委员会完成应急工作。

2、安全整改服务

等级保护安全整改服务参与到太原市卫生健康委员会整改建设中，中标人应提供相应的整改方案，对卫生健康委员会安全整改工作提供指导。其中包括信息系统相关的网络结构化设计整改，安全防护加固整改，主机安全加固，应用服务漏洞检测与补丁服务等整改工作。

指导工作包含以下方面：

(1)网络设备安全加固整改：完善VLAN划分和ACL策略;在交换、路由设备上开启安全特性;对网络设备进行加固和优化;

(2)服务器操作系统安全加固整改：对服务器操作系统进行安全加固整改;

(3)数据库系统安全加固整改：对数据库系统进行安全加固整改;

(4)安全系统的加固整改及优化：完善防火墙、网络入侵防御系统、网络入侵检测系统、网络安全审计系统、网络防病毒系统、安全运维管理平台等的策略配置，并对安全系统自身进行加固优化;

(5)应用系统的安全整改设计：对于已开发完毕的应用系统，和应用系统开发商协商，制定系统的改进和完善设计方案;对于正在开发中的系统，与和应用系统开发商协商，在后续开发工作中实现安全相关内容。

(6)工作完成后交付(包括但不限于)：《XXX系统等级保护安全建设整改方案》

3、安全培训服务

(1)培训主要目的

通过培训让系统管理和运维人员了解等级测评方面的政策和基本要求，通过提供信息安全意识教育、信息安全技能培训、信息安全管理制度及标准培训等全方位的安全培训，全面提升用户人员的信息安全技能及意识水平，为制度建设和安全运维打下结实的基础。

培训内容

包括但不限于：目前国内外安全现状、安全意识、安全管理制度的重要性、安全制度执行、国家关于安全的相关规定、安全事件分析。

培训要求

应对需求方技术人员进行培训，并提供具体的培训方案。培训次数由太原市卫生健康委员会根据实际情况确定，至少应进行一次面向全系统的大型培训，以及对其他技术人员的小型培训。培训地点和培训方式由双方协商确定，安排具备相关认证的安全技术专家进行授课，授课内容必须为简体中文。

培训结束之后，中标人应向采购人提供《XXXX培训大纲》、《XXXX培训课件》、《XXXX培训签到表》等与培训相关的文档。

4、渗透测试服务

使用安全监测工具，每个季度对太原市卫生健康育委员会内外网系统进行整体渗透测试，测试完成后出具渗透测试报告。

应急响应服务

应急响应服务是在太原市卫生健康委员会发生安全事件时，服务提供商对安全事件进行响应、抑制、解决的安全服务。当太原市卫生健康委员会发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，派出专家须要在第一时间赶到事件现场，最短时间内使网络信息系统恢复正常工作，帮助查找入侵来源，进行入侵分析，给出入侵事故过程报告，同时给出解决方案与防范报告。

应急响应服务包含大规模病毒爆发响应、系统入侵事件响应、主机、网络异常响应、拒绝服务攻击响应。当时间发生时，须在1小时现场响应，按照准备预防、检测、遏制、根除、恢复、跟踪总结的流程进行，提供《应急响应报告》(事故发生时提供)、《应急响应预案》。

注：1.所有招标内容除特别标注为“进口产品”外，均采购国产产品，即非“通过中国海关报关验放进入中国境内且产自关的产品”，投标货物及服务各项技术标准应当符合国家强制性标准。

2.招标内容标注为“进口产品”的，满足需求的国产产品和进口产品按照公平竞争原则实施采购。

6.服务时间：中标后两个月内完成对所有系统的等级保护测试，并出具相应测试报告

服务地点：太原市望景路5号

7.投标人资格要求

(1)具有独立承担民事责任的能力;

(2)具有良好的商业信誉和健全的财务会计制度;

(3)具有履行合同所必需的设备和专业技术能力;

(4)有依法缴纳税收和社会保障资金的良好记录;

(5)参加政府采购活动前三年内，在经营活动中没有重大违法记录;

(6)特定条件：具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》，投标人须在中国山西政府采购网等级测评机构公示名单内，外省测评机构如在山西开展业务，须在山西省网络安全等级保护工作协调小组办公室备案后方可参与本项目。

(7)所属行业相关法律、法规等对投标人生产或经营该投标产品有特殊资格、证照等规定的，须提供其相关证明材料。

8.联合体投标

本项目不接受联合体投标。

9.招标文件获取

(1)获取时间：2020年9月4日上午9:00至2020年9月11日下午17:00

(2)获取方式：登录太原市行政审批服务管理局官网(xzspglj.taiyuan.gov.cn)首页【太原市公共资源交易平台】，凭机构数字证书通过【政府采购】-【投标人/供应商】入口登录后获取采购文件及相关资料。

10.现场考察及答疑会

无

11.投标样品提交

无

12.投标文件提交

(1)提交电子投标文件截止时间(投标截止时间)及开标时间：2020年9月30日上午09:30

(2)提交电子投标文件方式：登录太原市行政审批服务管理局官网(xzspglj.taiyuan.gov.cn)首页【太原市公共资源交易平台】，凭机构数字证书通过【政府采购】-【投标人/供应商】入口登录后上传投标文件并打印“网上递交投标文件回执”。投标截止时间前未完成投标文件网上提交的，将拒收投标文件。

(3)提交纸质投标文件时间：2020年9月30日上午09:00—09:30

(4)提交纸质投标文件地点(即开标地点)：太原市公共资源交易中心二号开标厅

13.参加本次投标的投标人下载采购文件前须办理数字证书。投标人参与项目遇到系统操作问题，请及时联系太原市公共资源交易中心。

联系电话：****-*******

14.参加本次投标的投标人应于开标前在中国山西政府采购网(http://www.ccgp-shanxi.gov.cn)免费注册。

中国山西政府采购网联系人：九鼎客服联系电话：400-8341-789

15.采购单位联系人及联系方式

采购单位名称：太原市卫生健康委员会

地址：太原市望景路5号邮编：030024

联系人：李女士联系电话：****-*******

16.集中采购机构联系人及联系方式

集中采购机构：太原市公共资源交易中心

地址：太原市万柏林区南屯路1号太原市为民服务中心四层C区

邮编：030021

联系人：刘勇联系电话：****-*******

史凯联系电话：****-*******

17.信息发布

本项目相关的招标文件澄清、修改以及终止公告、中标公告等信息均通过财政部门指定的政府采购信息发布媒体、太原市公共资源交易中心网站(ggzy.xzspglj.taiyuan.gov.cn)公布。

集中采购机构通过财政部门指定的政府采购信息发布媒体、太原市公共资源交易中心网站公布的信息视为已送达各投标人，投标人有义务在招标活动期间浏览相关网站。

18.公告期限

本招标公告的公告期限为5个工作日。

太原市公共资源交易中心

2020年9月3日

太原市公共资源交易中心

2020年09月03日