酒泉市中医院医院管理信息系统等级保护三级测评项目

招标公告

根据《甘肃省人民政府办公厅转发省发展和改革委员会省公共资源交易局关于进一步加强和规范市县公共资源交易工作意见的通知》（甘政办发〔2018〕6号）、《2020年-2022年政府集中采购目录和采购限额标准》、《酒泉市人民政府办公室印发<关于进一步深化“放管服”改革提高政府采购效率的意见>的通知》(酒政办发〔2018〕301号)等文件要求。甘肃启晨项目咨询管理有限公司受酒泉市中医院的委托，对“酒泉市中医院医院管理信息系统等级保护三级测评项目”以询价邀请的方式进行采购。现确定邀请甘肃睿讯信息安全科技有限公司、甘肃安信信息安全技术有限公司、兰州大学应用技术研究院有限责任公司三家单位参与本项目竞价。现将相关事宜公告如下：

一、项目编号：QCYC[2022]040号

二、采购内容及技术要求：

1.项目要求

检测对象：酒泉市中医院医院信息管理系统一个（三级）。

根据等级保护测评的总体要求，酒泉市中医院采购风险可控的信息安全等级保护测评服务。检测和发现系统中存在的安全漏洞和安全隐患，提出安全整改建议，从而有效降低系统遭受具有政治目的、经济目的等恶意攻击的可能性，以提高安全保障能力和防护水平；同时，测评结论作为进一步完善系统安全防护措施的依据。

2.项目内容

本次等级保护测评主要是基于《GB/T *****-2020 信息安全技术网络安全等级保护定级指南》、《GB *****-1999 计算机信息系统安全保护等级划分准则》、《GB/T *****-2019 信息安全技术网络安全等级保护基本要求》、《GB/T*****-2019 信息安全技术网络安全等级保护测评要求》、《GB/T *****-2018 信息安全技术网络安全等级保护测评过程指南》、《GA/T 390-2002 计算机信息系统安全等级保护通用技术要求》和《GA/T 391-2002 计算机信息系统安全等级保护管理要求》、中的相关内容和要求进行评估，并参考其它等级保护的相关标准。

2.1测评内容

测评的内容包括但不限于以下内容：

2.1.1安全物理环境

根据项目范围内信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护” 等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。

2.1.2安全通信网络

根据重要信息系统网络安全测评记录，针对项目范围内网络方面在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

2.1.3安全区域边界

安全区域边界现场测评包括对项目范围内信息系统的测评，测评内容包括“边界防护”、“访问控制”、“入侵防护”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”。

2.1.4安全计算环境

安全计算环境现场测评包括对项目范围内信息系统的测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”方面。

2.1.5安全管理中心

针对项目范围内信息系统数据安全及备份恢复现场测评包括“系统管理”、“审计管理”、“安全管理”和“集中管控”几个方面的测评。

2.1.6安全管理制度

2.1.7根据现场安全测评记录，针对项目范围内信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.8安全管理机构根据现场安全测评记录，针对项目范围内信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.9安全管理人员

根据现场安全测评记录，针对项目范围内信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理” 等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.10安全建设管理

根据现场安全测评记录，针对项目范围内信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

2.1.11安全运维管理

根据现场安全测评记录，针对项目范围内信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。2.1.12渗透测试

根据项目范围内应用系统实际部署情况从互联网和内网对所测评应用系统进行渗透测试,并根据测试结果提出整改建议和加固方法。

2.2项目实施要求

2.2.1保密要求

在项目实施过程中，供应商承诺对所获得的数据及文档等保密信息，承担以下保密义务：

（1）供应商应按要求与采购人签署保密协议。

主动采取加密措施对上述所列及保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。

（2）不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的关于该项目的商业秘密。

（3）不得向不承担同等保密义务的任何第三人披露关于该项目的商业秘密。

（4）不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用关于该项目的商业秘密。

（5）不论何种原因终止参与采购人关于该项目的工作后，都不得利用该项目之商业秘密为其他与采购人有竞争关系的企业（包括自办企业）服务。

（6）该项目的商业秘密所有权始终全部归属采购人，供应商不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前供应商已依法具有某些所有权者除外。

（7）如发现采购人关于该项目的商业秘密被泄露或者自己过失泄露秘密， 应当采取有效措施防止泄密进一步扩大，并及时向采购人报告。

2.2.2实施要求

（1）在项目实施过程中，供应商应做好计划与安排，不影响采购人正常业务的开展。供应商要给予承诺，并承担由此引起的损失。

（2）在等保测评过程中，每周五下午实施方需提交工作周报，内容应包括本周工作内容和下周工作安排等内容。

（3）等保测评工作应严格按照双方确认的工作方案开展，如遇任何变动， 须在工作周报中及时提出，经采购人批准后方可变更。

（4）测评过程中实施测评人员须记录在途经路径上涉及的可被利用存在漏洞的相关主机等设备的信息，以便于被测单位对相关漏洞进行全面修补。

（5）测评工作全部结束后实施测评人员须卸载安装在目标机器或途径机器上的各类工具、脚本、文件等，还原各机器和系统的原始状态。

（6）测评结果中应包括测评过程中发现的所有漏洞，不能遗漏。

（7）在测评过程中若发现重大安全问题（如已被控制或存在严重安全隐患等），测评机构应在 24 小时之内以书面形式通知采购人，以便第一时间做出处理。

（8）测评过程中，实施测评人员在进入被测单位办公网络后若发现测评范围之外的未知信息系统，须列出系统名称、服务器 IP 地址、操作系统类型、数据库系统类型等信息，并与采购人协商是否继续进行测评。

（9）测评过程中不得获取测评范围以外的数据，获取的数据不得用于本次测评以外的其他用途。

（10）测评过程中应控制风险，防止测试对网络及系统运行造成影响，因测试造成系统运行问题应及时报告。

（11）测评过程中，测评机构应该针对被测系统发现的漏洞提交可行性的解决方案。

（1）需对被测系统进行全面、专业的渗透测试，发现应用系统存在的安全隐患，并出具渗透测试报告。

（12）测评机构在测评过程中必须保证系统稳定运行，由于测评机构人员能力、不当操作等造成系统、网络或者服务宕机的，评测机构应承担相应责任。

2.2.3项目服务需求

（1）服务范围和期限：（最终交付报告视为完成服务，具体服务要求见采购人基本需求）。

（2）本技术要求提出的是最低限度的技术需求，并未对一切技术细节做出规定，供应商应保证提供符合采购人要求的技术服务规范。

（3）采购人保留对本要求提出补充要求和修改的权利，供应商应允诺予以配合。如提出修改，具体项目和条件由双方商定。

（4）供应商对采购人实施环境进行实地考察，并制定出技术服务方案和应急服务方案。

（5）方案确定后，供应商应严格按照方案要求进行项目实施、技术服务和应急响应服务，并按合同规定时间进行技术实施和服务。

（6）双方应在签订合同的同时签订保密协议书，保密协议书作为合同不可分割的一部分。

（7）采购人将在项目实施过程中提供项目实施所需的场地及实施条件，积极协调各部门配合供应商实施工作。

3.测评成果物交付

提供安全咨询服务

按照测评作业指导书完成信息系统现场测评

《XX信息系统网络安全等保护测评报告》（每个系统一份）

4.履约期限：

成交供应商必须在合同签订后 45 个工作日内完成本项目的服务及验收等工作。未按要求时间完成的，采购人有权终止合同，应此产生的后果由供应商自行承担。

5.验收条件

验收标准：按国家标准、质量标准规定及磋商文件的采购内容及技术要求进行验收。质量达到合格标准。

验收程序：由甲、乙双方共同组织相关人员验收，合格后乙方凭甲、乙双方签署的《验收报告单》提供财务需要的发票及相关资料，进行结算付款。

三、采购预算及服务期限：

采购预算：小写：￥******.00元，大写：人民币壹拾壹万元整。

服务期限：成交后自合同签订之日起三年

四、竞价办法：最低评标价法（在完全满足采购人要求的资质及采购内容的前提下，选择合理低价竞标人），若酒泉市公共资源交易中网阳光招标采购平台系统自动推荐的成交供应商不符合采购人采购需求及资格要求，采购人将不予采纳。

五、竞标人资格要求：

（一）供应商需提供合法有效的营业执照三证合一证件，且经营范围具有符合本项目需求特征的相关服务；

（二）供应商须具有网络安全等级测评与检测评估机构服务认证证书；

（三）供应商需提供法定代表人身份证复印件或法定代表人授权委托书；

备注：1.请竞标人按上述要求填写附件“资格条件审查对照表”并附相关证明材料，以上要求的资格审查文件需以扫描件形式（加盖企业鲜章或电子章）同资格条件审查对照表上传至酒泉市公共资源交易中心网政府采购限额以下项目阳光交易系统（http://www.ggzyjypt.com.cn/），对于上传的资料文件无法辨认、模糊的，不予认可，视为无效。

2.为确保公平，所有核查资料一次性提交，统一由招标代理公司及采购人审查，所有核查资料超过截止时间上传或一次性提交不全的竞价单位将被拒绝。

六、竞标无效说明：

（一）恶意低价谋取中标的，低于市场均价恶意竞标，有可能影响产品质量或者不能诚信履约的竞标人不予采纳；

（二）资格性审查未通过，及不符合采购人采购需求的；

七、注册须知：

凡是拟参与酒泉市公共资源交易中心网阳光招标采购平台交易活动的竞价人需先在酒泉市公共资源交易中心网站（http://www.ggzyjypt.com.cn/）上注册后，方可投标竞价。

八、上传资质证明文件截止时间及竞价截止时间：

上传截止时间：2022年10月20日15：00时。

竞价截止时间：2022年10月20日17：00时。

九、采购项目联系人姓名、电话及地址：

采购人：酒泉市中医院

联系人：秦浩琰联系电话：180*****529

地 址：酒泉市肃州区盘旋西路6号

采购代理机构：甘肃启晨项目咨询管理有限公司

联系人：王涛联系电话：186*****685

地 址：甘肃省酒泉市肃州区中天国际403室

甘肃启晨项目咨询管理有限公司

2022年10月20日