滦平县中医院等级保护测评服务采购公告

为满足医疗临床需要，更好地为患者提供医疗服务************内采购，欢迎符合资格条件的单位积极参与。

*、项目基本情况：

项目******等级保护测评服务

项目编号：XX登录解锁        

最高限价：**元

*、投标人资格要求

*.具有独立承担民事责任的能力；

*.具有良好的商业信誉和健全的财务会计制度；

******合同所必需的设备和专业技术能力；

*.有依法缴纳税收和社会保障资金的良好记录；

*.未被“信用中国”网站（***********人、重大税收违法案件当事人名单、******为记录名单。（请提供网页截图及前*年内在经营活动中没有重大违法记录的书面声明）；

*.本项目不接受联合体投标；

*、参数及要求

   本项目的宗旨在于通过对本单位LIS系统（第*级）、PACS系统（第*级）开展等级测评服务，通过等级测评，明确该系统的安全建设现状，找出存在的安全风险，分析安全建设差距，提出安全整改建议，并以此为基础，进*步制定安全建设整改方案，完善保护措施，使该系统满足我国关于等级保护相应级别的具体要求，增加信息系统安全的规范性和有效性，提高本单位的安全意识，增强网络的抗攻击的能力，保证被测系统正常运转。

*.*、服务内容

*.*.*信息系统备案

按照《信息安全等级保护备案实施细则》（公信安[****]****号）文件要求，完成定级、备案材料的整理******门备案工作******门出具的信息系统安全等级保护备案证明。

*.*.*初次测评

参照《信息安全技术网络安全等级保护基本要求》（GB/T *****-****）检查被测系统，从安全物理环境、安全通信网络、安全区域边界、安全计******等*个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理******差******初次安全评估。通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。

安全物理环境测评：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。

安全通信网络测评：包括网络架构、通信传输、可信验证等内容。

安全区域边界测评：包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等内容。

安全计算环境测评：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

******测评：系统管理、审计管理、安全管理、集中管控等内容。

安全管理制度：涵盖管理制度、制定和发布、评审和修订。

安全管理机构：涵盖岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

安全管理人员：涵盖人员录用、人员离岗、人员考核、安全意******人员访问管理。

安全建设管理：涵盖系统定级、安全方案设计、产******软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择。

安全运维管理：涵盖环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码管理、密码管理、测评实施、备份与恢******置、应急预案管理。

*.*.*信息系统等保整改方案及建议

中标方应协助招标人按照《信息安全等级保护管理办法》（公通字[****]**号）等有关管理规范和技术标准，全程协助采购人制定并落实安全管理制度、落实安全责任，建设安全设施，落实安全技术措施。针对测评发现的问题，形成问题清单，出具整改建议，协助采购人按照销号制度开展相关整改工作，******整改，直至问题整改完毕，对应暂时不能整改的问题，要提出临时解决建议方案，采取临时防护手段确保安全。通过安全建设整改，确保信息系统通过相应级别的安全等级评测。

*.*.**次测评

   通过******分析和梳理，再次实施安全测评，记录******综合分析，梳理安全风险，再次提出安全整改建议，测评******有关要求及《网络安全等级测评报告》（****年版）完成安全测评报告的编写。

*.*.*咨询服务

提供信息系统的安全咨询和整改建议等技术支持服务，涵盖系统建设、运维、管理、技术等相关安全问题******网络与信息安全检查工作。

*.*.*安全意识和技能培训

针对技术人员、管理层提供不同类型的信息安全培训，包括管理培训和网络安全技术培训。

*.*工作原则

本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，************为，否则招标人有权追究投标人的责任。

规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有******、业务的正常开展产生任何影响，保证现有系统**小时的不间******。

非高峰期原则：漏洞扫描及渗透测试时间，应尽量安排在夜间或法定节假日******的测试实施细则；对意外导致的停机等，应提供应急保障方案，切实保证关键系统能正常工作。

投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。 

*.*服务对象及范围

系统测评的测评范围及对象包括以下几类：

主机房（包括其环境、******分辅机房，应将放置了服******（包括整体）******（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；

办公场地：信息系统机房；

整个系统的网络拓扑结构； 

安全设备，包括防火墙、入侵检测设备和防病毒网关等；

边界网络设（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

对整******的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；

存储被测系统重要数据的介质的存放环境；

承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

管理终端和主要业务应用系统终端；

对新建信息系统及关联信息系统；

业务备份系统；

管理方面：信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

涉及到信息系统安全的所有管理制度设计和记录要求。

*.*安全服务依据要求

中标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

（*）《信息安全技术网络安全等级保护基本要求》（GB/T *****-****）

（*）《信息安全技术网络安全等级保护安全设计技术要求》（GB/T *****-****）

（*）《信息安全技术网络安全等级保护测评要求》（GB/T *****-****）

（*）《信息安全技术网络安全等级保护测评过程指南》（GB/T *****-****）

（*）《信息安全技术网络安全等级保护测试评估技术指南》（GB/T *****-****）

（*）《信息安全技术网络安全******技术要求》 （GB/T *****-****）

（*）（GB/T *****-****）《信息安全技术网络安全等级保护测评机构能力要求和评估规范 》

（*）《计算机信息系统安全保护等级划分准则》（GB*****-****）

（*）《信息系统安全保护等级定级指南》（GB/T *****-****）

（**）《信息系统安全等级保护实施指南》（GB/T *****-**** ）

（**）《信息技术安全技术信息安全管理体系要求》（GB/T*****-****）

（**）《信息安全技术信息系统安全管理要求》（GB/T *****-****）

（**）《信息系统安全工程管理要求》（GB/T*****-****）

（**）《信息安全技术信息安全风险评估规范》（GB/T *****-****）

（**）《重要信息系统安全等级保护定级报告》

（**）《信息系统安全等级测评服务合同》

（**）其它国家法律、法规要求

*.*交付物

（*）测评方案；

（*）安全等级建设整改建议；

（*）等级测评报告。

*.*项目验收：项目交付后由招标人根据合同、招标文件、投标文件组织验收。

*.*服务及售后服务基本要求

免费售后服务期限：自合同签订之日*年。

售后服务：售后服务响应时间及维护承诺：在验收合格后*年内为招标方提供信息系统建设咨询服务，涵盖系统基础设计、系统建设方案、运维管理等相关的建设及安全问题，提供信息安全检查咨询和整改建议等技术支持服务。

*测评机构资质和人员能力要求：

*、******第*研究所颁发的《网络安全服务认证证书等级保护测评服务认证》及中国网络安******颁发的信息安全风险评估资质（*级）及以上，投标时提供上述证件扫描件加盖公章。

*、投标人应当具有满足等级测评工作的专业技术人员和管理人员，投标人投入本项目实施团队人员不得少于*人，均须具备从事等级保护测评工作的认证资格，其中具备高级测评师资格的人员不少于*人，其中高级测评师人员中具备高级职称的不少于*人；具备中级测评师资格的人员不少于*人******高级测评师、中******劳动合同、高级测评师证书复印件加盖公章）。

注：*项必须完全满足，对于不能完全满足的响应文件将被否决，不得进入下*步评审。

*、报名材料：

*、营业执照加盖单位公章。

************基本存款账户信息加盖单位公章。

******业人员资质加盖单位公章。

*、法定代表人身份证明书或法定代表人授权委托书加盖单位公章。

*、采购文件获取方式：现场获取或邮寄。

获取时间：****年*月**日- ****年*月**日， 上午 *：**—**:** ，下午*:**—*:**，

获取地点：******综合楼*楼信息科

比选时间：提前两日电话通知

比选************政*楼会议室

*、其他补充事宜

 本次采购******官网发布，其他媒体转载无效，因轻信其他组织、个人或媒体提供的信息而造成损失的，采购人概不负责。

*、联系方式

联系******综合楼*楼信息科

联系人：王*鸣

联系电话：****-*******