各潜在投标人：

为体现公平、公正的原则，避免采购设备及技术参数出现倾向性、歧视性，现就东台市人民医院等保测评参数进行公示，广泛征询潜在投标人意见。若潜在投标人对公示的具体技术参数存有异议，欢迎提出修改意见或建议，修改建议请于2024年 10 月 21日17时前，以书面形式（加盖单位公章）提交至东台市人民医院纪检办（门诊九楼），逾期不予受理。

联系电话：纪检办：0515－********，联系人：王主任

一、采购内容

二、 技术及功能要求

1、项目背景

根据公安部关于开展重要信息系统和重点网站安全执法检查的工作要求，为更好的贯彻落实中央领导同志关于网络安全的重要指示精神，有效应对当前东台市人民医院网络安全面临的严峻威胁与挑战，全力做好东台市人民医院重要信息系统网络安全保卫工作，亟需对东台市人民医院的核心系统展开等保评测工作，通过该评测工作及时发现系统安全隐患并迅速进行整改，从而全面提升东台市人民医院重要信息系统的网络安全防护水平，保障系统的安全、高效、稳定运行。

2、 项目原则

（1）客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案开展。

（2）保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

（3）最小影响原则：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

（4）规范性原则：信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

（5）质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。

（6）系统安全原则：项目工作人员需遵守等保检测规定，采用符合标准的检测工具和检测方法实施检测，如因违规操作造成对检测系统的破坏，则应承担相应责任。

（7）测评师规范原则：检测实施方工作人员必须通过公安部的等级保护等级测评师认证，持证上岗，经项目委托方确认资格后方可实施检测。

3、 项目内容及要求

（1）等保测评具体系统名称

（2）项目依据

《中华人民共和国网络安全法》

《关于加强党政机关计算机信息系统安全和保密管理的若干规定》

《计算机信息系统安全保护等级划分准则》（GB *****-1999）

《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)

《信息安全等级保护管理办法》(公通字[2007]43号)

《信息系统安全保护等级定级指南》（GB/T *****-2008）

《网络安全等级保护基本要求》（GB/T *****-2019）

《网络安全等级保护安全设计技术要求》（GB/T *****-2019）

《网络安全等级保护测评要求》（GB/T *****-2019）

《网络安全等级保护测评过程指南》（GB/T *****-2018）

《信息系统安全管理测评》（GA/T 713-2007）

《信息安全等级保护等级测评实施细则》

《信息安全风险评估规范》（GB/T *****-2007）

《信息安全风险管理指南》（GB/Z *****-2009）

《信息安全管理体系要求》（GB/T *****-2008）

《信息安全管理实用规则》（GB/T *****-2008）

《信息系统安全管理要求》（GB/T *****-2006）

《信息安全事件分类分级指南》（GB/Z *****-2007）

《信息安全事件管理指南》（GB/Z *****-2007）

《信息系统灾难恢复规范》（GB/T *****-2007）

《信息安全应急响应计划规范》（GB/T *****-2009）

（3）项目工作内容

根据等保2.0标准要求，对系统进行等级保护测评分析，对评估对象的现状作记录，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；按照用户系统现状对应的管理要求进行测评分析，对评估对象的现状作记录，包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。根据测评分析结果，编制服务报告。

a、识别信息安全风险。通过对信息系统在安全技术和安全管理方面的分析，发现信息系统在安全技术和安全管理方面与相应安全等级保护要求之间的差距，并进行风险分析，出具差距分析报告，明确信息系统面临的风险。

b、增强安全防护能力。依据差距分析报告的结果，并结合实际情况，区分轻重缓急，制定针对性的安全整改计划，通过安全整改不断提高信息系统的整体安全保护水平。

c、测评结果分析

（1）单项测评结果判定

（2）单元测评结果判定

（3）整体测评分析

（4）形成测评分析报告

（5）针对测评分析报告的整改建议四、服务成果

4、本次安全服务应提交以下成果：

（1）《网络安全等级测评报告》，包括单元测评分析结果、整改测评分析结果、测评结论和安全整改建议等。

（2）《信息系统渗透测试报告》，包含但不限于如下方面的内容：渗透测试的方法、目标、范围。测试的人员、时间、策略。测试的工具、风险规避措施。测试的过程、漏洞利用截图，测试的结果等。

（3）提供培训服务，对业主单位信息安全管理相关人员进行安全意识教育，针对最新网络安全现状进行培训；指导信息安全管理制度的落实，并针对信息安全事故进行应急处置培训。

（4）提供安全技术支持服务，在服务期内，若业主单位发生网络安全问题，应半小时到场及时提供现场网络安全技术支持，帮助排查解决相关问题。

5、服务人员要求

（1）项目实施过程中实行专人专职原则，保证各安全层面的测评全面有效，能够发现实际存在安全风险。

（2）项目组人员必须熟练掌握信息安全相关标准与规范，具备丰富的信息安全测评工作经验，具有成熟的信息安全技术和项目管理能力，能够应对可能的突发性安全事件应急工作。

（3）供应商应在项目开始前，应签订保密协议，严格遵守法律法规，对委托单位的商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密，未经同意，严禁将上述内容与任何第三方透露或用于其他商业用途，并承担由此产生的一切损失。