一、供应商须知

采购内容：攀枝花市学院附属医院信息系统（LIS系统、HRP系统、PACS系统）安全等级保护（三级）测评服务

采购方式：比选采购

采购单位：攀枝花学院附属医院

采购预算：24万元

参选报名时间：2023年07月04日08:00至2023年07月07日18:00（北京时间）

参选报名地址：攀枝花学院附属医院信息科

此次报名不接受电话及邮件报名。

比选时间和地址：届时电话通知

二、项目说明

项目名称：攀枝花学院附属医院信息系统安全等级保护（三级）测评服务

三、参选条件

（一）具有独立承担民事责任的能力；

（二）具有良好的商业信誉和健全的财务会计制度；

（三）具有履行合同所必需的设备和专业技术能力；

（四）有依法缴纳税收和社会保障资金的良好记录；

（五）参加政府采购活动前三年内，在经营活动中没有重大违法记录；

（六）法律、行政法规规定的其他条件。

（七）具有网络安全等级测评与检测评估机构服务认证证书。

四、本项目资质能力要求

1.拟派本项目的项目负责人同时具有技术测评相关的信息安全等级测评师（高级）证书、信息系统项目管理师证书（高级）、在信息咨询方面具有咨询师等证书的优先考虑。

2.拟派本项目的项目经理同时具有信息安全等级测评师（中级）证书、CISA注册信息系统审计师证书、COBIT Foundation信息系统审计认证证书、重要信息系统保护人员CIIP-A（可信计算）证书、ISO***** Foundation信息安全管理体系认证证书、计算机技术与软件专业技术人员资格证书（信息安全工程师）、信息技术应用创新考试评价证书（信息安全工程师）等证书的优先先考虑。

3.拟派本项目的现场测评工程师同时具有信息安全等级测评师（中级）证书、CISAW信息安全保障人员证书、ITILFoundation管理认证证书、信息技术应用创新考试评价证书（信息安全工程师）、CCSC网络安全能力认证证书等证书的优先先考虑。

4.拟派本项目的渗透测试工程师，同时具有信息安全等级测评师（中级）证书、渗透测试高级工程师证书、CISP-PTE注册渗透测试工程师证书、信息技术应用创新考试评价证书（数据库工程师中级）等证书的优先先考虑。

五、参选文件

（一）参选文件编写

参选文件应包括报价函、资格证明材料、技术方案三部分内容，具体格式自拟。

报价函应包括项目名称、项目内容、规格要求、服务期限以及报价。

资格证明材料应包括：

1、营业执照复印件、税务登记证复印件及组织机构代码证复印件（或三证合一后的营业执照复印件）；

2、法定代表人授权书原件，附授权代表身份证复印件；

3、技术部分要求供应商提供的证明文件，具备参选条件的承诺函。

技术方案要求根据附件技术要求自行拟定；

所有材料均应加盖供应商鲜章；

（二）参选文件的装订

参选文件封面应标明参选项目名称、供应商名称，所有文件应装订成册；

参选文件应严格密封，并在密封袋上标明参选项目名称（项目编号）、供应商名称，密封袋封口处必须加盖供应商公章。

在比选公告规定的文件递交时间截止日期前，任何人不得拆封比选资料。

未按以上要求进行密封和标注的比选文件将拒绝接收。

（三）参选文件的递交

递交截止日期：比选开标日；

文件递交地址：攀枝花学院附属医院

六、其它事项

1、各供应商应认真核实比选文件中确定的要求，若发现某些条款无法达到要求等问题，供应商应以书面形式在比选公告规定截止日期将材料前送至指定地点。

2、本项目为一次性报价，如因供应商自身对项目和质量技术标准理解不当造成的报价与实际差距过大，视为废标。

联系人：郑军

联系电话：0812-*******

攀枝花学院附属医院

2023年07月04 日

附件：技术要求

附件：

技术服务要求

一、 参考标准要求

下列文件中的条款通过本规范的引用而成为本规范的条款，除本技术规范书特别规定外，所提供的测评标准均应遵循公安部相关文件要求和的相关文件要求，所用的标准必须是其最新版本；如果这些标准内容矛盾时，应按最高标准的条款执行或按双方商定的标准执行。

《中华人民共和国网络安全法》

《信息安全等级保护管理办法》（公通字[2007]43号）

《GB/T*****-2019信息安全技术 网络安全等级保护基本要求》

《GB/T*****-2019信息安全技术 网络安全等级保护定级指南》

《GB/T*****-2010信息安全技术 信息系统安全等级保护实施指南》

《GB/T*****-2019信息安全技术 网络安全等级保护测评要求》

《GB/T*****-2018信息安全技术 网络安全等级保护测评过程指南》

二、测评应满足的原则

本次信息系统安全等级保护测评服务方案设计，以及具体实施内容应满足以下原则：

（1）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。

（2）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

（3）规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（4）可控性原则：等保测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

（5）整体性原则：等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

（6）最小影响原则：等保测评服务工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

三、本次安全等级保护测评的整体要求

（1）投标人应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

（2）投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

（3）本次服务项目实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

（4）安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。

（5）安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

四、总体进度要求

信息系统安全等级保护测评整个工作应在合同签定后30天内完成。

五、测评项目

从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面对本次项目所含系统进行测评。（测评须涵盖本项目所列系统涉及的所有硬件及软件）

物理安全测评包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

网络安全测评包括：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护

主机安全测评包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防护、恶意代码防范、资源控制。

应用安全测评包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

数据安全包括：数据完整性、数据保密性、数据备份与恢复。

安全管理制度测评包括：管理制度、制定和发布、评审和修订。

安全管理机构测评包括：岗位设置、人员配备、授权和审批、沟通与合作、审核与检查。

人员安全管理测评包括：人员录用、人员考核、人员离岗、安全意识教育和培训、外部人员访问管理。

系统建设管理测评包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。

系统运维管理测评包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。

六、安全资产服务要求

1.基于梳理好的互联网资产，提供一年不少于2次的检测服务，包含WEB漏洞、主机漏洞、安全事件、文件泄露、可用性、弱口令、高危服务等。供应商将检测结果形成纸质的检测报告，加盖供应商公章后递交给采购人。同时将梳理好的互联网资产根据算法自动评估出互联网资产风险值，在每次检测服务完成后，通过平台展示资产风险情况，提供风险值变化趋势分析及资产风险值TOP排名，服务单位可通过微信公众号进行安全事件、域名有效期、证书有效期的推送。（供应商提供推送服务的功能截图，加盖供应商公章。）

2.支持展示当前最新的检测结果中新增WEB/主机漏洞和本次被修复的WEB/主机漏洞、新增弱口令和本次被修复的弱口令；支持展示客户当前环境的主机中存在的高危端口服务的检测结果；支持展示用户安全事件发现的变化趋势。（提供此项功能性截图证明文件并加盖供应商公章）