我院拟紧急采购医院信息系统(集成平台)三级等保测评工作，特邀请符合条件的供应商前来参加比选。有关事宜如下：

一、招标单位：成都市第四人民医院

二、项目名称：医院信息系统(集成平台)三级等保测评工作紧急采购项目

三、报名时间：2020年11月20日-2020年11月23日

(上午：09:00-11:30，下午：14:30-17:00)逾期不予受理。

四、报名地点：成都市第四人民医院综合采购办

五、项目基本情况：

预算金额：12万元

六、商务要求：

1.服务时间：合同签订后3日内项目启动，2020年12月6日前进行集成平台信息系统三级等级保护测评备案，直至乙方出具测评报告后服务结束；

2.付款方式：甲方应于本合同生效且收到乙方提供的初次测评分析报告和开具的等额发票后15日内，甲方向乙方支付合同总金额50%的款项。测评工作完成，乙方出具测评报告经甲方认可，且甲方收到乙方开具的等额发票后15日内，甲方向乙方无息支付合同金额余下50%的款项。

3.售后服务：在项目期内向成都市第四人民医院提供7*24小时电话咨询服务，必要时上门服务。对成都市第四人民医院相关人员进行安全方面的技术培训，跟踪信息安全等级保护的最新发展情况，及时告之成都市第四人民医院，提供相应解决方案及建议，协助其持续符合信息系统信息安全等级保护工作的要求。

七、参数要求：

(一)标准和规范

下列文件中的条款通过本规范的引用而成为本规范的条款，除本技术规范书特别规定外，所提供的测评标准均应遵循公安部相关文件要求和的相关文件要求，所用的标准必须是其最新版本；如果这些标准内容矛盾时，应按最高标准的条款执行或按双方商定的标准执行。

《中华人民共和国网络安全法》

《信息安全等级保护管理办法》(公通字[2007]43号)

《GB/T22239-2019信息安全技术 网络安全等级保护基本要求》

《GB/T22240-2019信息安全技术 网络安全等级保护定级指南》

《GB/T25058-2010信息安全技术 信息系统安全等级保护实施指南》

《GB/T28448-2019信息安全技术 网络安全等级保护测评要求》

《GB/T28449-2018信息安全技术 网络安全等级保护测评过程指南》

(二)测评范围

(三)测评及评估原则

1.保密性原则：项目实施方应与签订保密协议，对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据侵害的权益，否则有权追究的责任。

2.标准性原则：测评及评估方案的设计与实施应依据国家的相关标准进行。

3.规范性原则：项目实施方工作中的过程和文档，应具有规范性，便于项目跟踪和控制。

4.可控性原则：项目的进度应符合进度安排，保证对测评工作的可控性。

整体性原则：测评及评估的范围和内容应系统、全面、规范，满足等级保护的相关基本要求。

5.最小影响原则：技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行，不能对现有运行系统造成影响。在线测评及评估应在许可的条件下进行。

(四)要求

应详细描述信息系统安全等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。应详细描述测评及评估人员的组成、资质及各自职责的划分。应配置经验丰富的测评及评估人员进行信息系统安全等级保护测评工作。

(五)测评及评估方法

测评及评估方法包括访谈、检查和测试三种方法，可细化为文档审查、配置检查、工具测试和实地察看等多种方法。

如需对系统安全等级保护测评实施过程中采用在线测评工具，各种工具软件由项目实施方推荐，经确认后由项目实施方提供并在工作中使用。

安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由项目实施方推荐，经确认后由项目实施方提供并 在测评中使用。

(六)安全物理环境

安全物理环境针对物理机房提出了安全控制要求，主要对象为物理环境、物理设备和物理设施等；涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、安全等级保和电磁防护。

(七)安全通信网络

安全通信网络针对网络架构和通信传输提岀了安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等；涉及的安全控制点包括网络架构、通信传输和可信验证。

(八)安全区域边界

安全区域边界针对网络边界提出了安全控制要求，主要对象为系统边界和区域边界等；涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。

(九)安全计算环境

安全计算环境针对边界内部提出了安全控制要求，主要对象为边界内部的所有对象，包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。

(十)安全管理中心

安全管理中心针对整个系统提出了安全管理方面的技术控制要求，通过技术手段实现集中管理；涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。

(十一)安全管理制度

安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。

(十二)安全管理机构

安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。

(十三)安全管理人员

人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训，以及外部人员访问管理等情况进行测评。

(十四)安全建设管理

系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。

(十五)安全运维管理

系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。

(十六)进行网络安全分析并提供正式报告(实质性要求)

项目实施方应为招标方每季度进行一次网络安全分析，并提供正式的网络安全分析报告。报告内容包括防攻击、容灾、数据安全的内容。

(十七)进行渗透测试并提供正式报告(实质性要求)

项目实施方应为招标方每年度进行一次渗透测试，并提供正式的渗透测试报告。

八、报名条件：

参加本次招标活动的投标人除应当符合《中华人民共和国政府采购法》第二十二条的规定外，还必须具备以下条件：

1.经国家工商行政管理机关注册的企业法人营业执照、法人与被委托人身份证复印件、法定代表人授权委托书。

2.本项目不接受联合体参加。

注：以上所有资质审原件留复印件，复印件必须加盖单位鲜章，资质不齐的单位不予受理。

九、与我院合作中的供应商将接受我院诚信度月考核，考核不合格者我院有权终止合作，并列入黑名单。

十、凡愿意报名参加我院比选项目的商家，均视为无条件认同我院提出所有比选要求。

十一、联系方式：

地址：成都市营门口互利西一巷8号

联系人：陈女士

电话：028－69515784

成都市第四人民医院综合采购办

2020年11月20号