一、基本项目情况

项目名称：兴安盟人民医院网络安全等级保护测评服务项目

服务地点：兴安盟人民医院

项目预算： 200000元。

采购方式：比选

服务期限：一年

测评系统：HIS、LIS、PACS、电子病历和互联网医院做等保3.0测评。OA系统做等保2.0测评。

二、申请人的资格要求

1.具有独立承担民事责任的能力及本项目相应资质。

2.具有良好的商业信誉和健全的财务会计制度。

3.具有履行合同所必需的的设备和专业技术能力。

4.投标人不允许存在挂靠、转包、违法分包的行为。

5.需要有投标产品厂家授权书。

6.不接受联合体形式的投标。

7.供应商需具备《网络安全等级测评与检测评估机构服务认证证书》；

8.异地测评机构（安全服务机构）需按照《内蒙古自治区计算机信息系统安全保护办法》要求完成项目所在地盟市级以上公安机关本项目备案并提供相关证明；

9.供应商需具备国家信息安全测评信息安全服务资质证书安全工程一级资质及以上（范围内包含风险评估）

三、服务内容及要求

本项目测评内容包括：等级保护测评服务、渗透测试服务。以上服务内容按照《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术—网络安全等级保护测评要求》（GB/T 28448-2019）进行检测，且当甲方信息系统发生变更时，可在限定数量内与规模相当的信息系统调整。供应商必须根据采购人需求，提供合理可行的整体设计方案和具体实现方式，设计方案优劣将作为评标重要依据。

供应商为本项目服务所需的软硬件工具，由供应商根据服务要求自行采购，免费提供本项目服务，产权归属不变。

采购需求

采购人通过综合比选，选择一家咨询机构为采购人单位提供专项管理咨询服务，咨询工作服务要求和服务范围如下：

一、采购项目与需求

项目名称：兴安盟人民医院网络安全等级保护测评服务项目

需求说明：

根据《内蒙古自治区计算机信息系统安全保护办法》（内蒙古自治区人民政府令第183号）的要求，信息系统使用单位应选择符合法定条件的安全等级测评机构对等级保护二级及以上的信息系统进行测评，其中三级系统每年至少测评一次，二级系统每两年至少测评一次。根据（内蒙古自治区人民政府令第183号）的要求，每年度应对兴安盟人民医院信息系统开展一次网络安全等级保护测评和安全防护整改加固工作。

随着网络安全日益严重，兴安盟人民医院部署了多个信息系统，为降低信息系统方面的安全缺陷，为检验信息系统防御能力、发现安全隐患、降低信息泄露风险，增强应对信息系统突发和紧急事件，降低信息安全紧急事件的影响，应开展信息安全等级保护、渗透测试。

供应商资格条件要求：

1、供应商需具备《网络安全等级测评与检测评估机构服务认证证书》；

2、异地测评机构（安全服务机构）需按照《内蒙古自治区计算机信息系统安全保护办法》要求完成项目所在地盟市级以上公安机关本项目备案并提供相关证明；

3、供应商需具备国家信息安全测评信息安全服务资质证书安全工程一级资质及以上（范围内包含风险评估）

服务方式

技术测评

l  安全物理和环境

    物理安全测评通过访谈和检查的方式评测物理环境安全保障情况。主要涉及对象为信息系统机房。

    具体测评内容包括：

   （1）物理位置的选择；（2）物理访问控制；（3）防盗窃和防破坏；（4）防雷击；（5）防火；（6）防水和防潮；（7）防静电；（8）温湿度控制；（9）电力供应；（10）电磁防护

l  安全通信网络

    安全通信网络测评通过访谈、检查和测试的方式评测信息系统的网络安全保障情况。主要涉及对象为信息系统的网络拓扑结构、网络设备以及网络安全设备等三大类。

    具体的测评内容如下所示：

   （1）网络架构；（2）通信传输；（3）可信验证

l  安全区域边界

   （1）边界防护；（2）访问控制；（3）恶意代码防范；（4）安全审计；（5）入侵防范；（6）可信验证

l  安全计算环境

    主机系统安全测评通过访谈、检查和测试的方式，测评信息系统主要服务器操作系统和主要数据库管理系统安全保障情况。

    具体测评内容包括：

   （1）身份鉴别；（2）访问控制；（3）安全审计；（4）入侵防范；（5）恶意代码防范；（6）可信验证；（7）数据完整性；（8）数据保密性；（9）数据备份恢复；（10）剩余信息保护；（11）个人信息保护

l  安全管理中心

（1）     系统管理；（2）审计管理；（3）安全管理；（4）集中监控

l  安全管理制度

    安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。

    具体测评内容包括：

   （1）管理制度；（2）安全策略；（3）制定和发布；（4）评审和修订

l  安全管理机构

    安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。

    具体测评内容包括：

   （1）岗位设置；（2）人员配备；（3）授权和审批；（4）沟通和合作；（5）审核和检查

l  安全管理人员

   （1）人员录用；（2）人员离岗；（3）安全意识教育和培训；（4）外部人员访问管理

l  安全建设管理

    系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。

    具体测评内容包括：

   （1）定级和备案；（2）安全方案设计；（3）产品采购和使用；（4）自行软件开发；（5）外包软件开发；（6）工程实施；（7）测试验收；（8）系统交付；（9）等级测评；（10）服务供应商选择  

l  安全运维管理

    通过访谈和检查的形式评测系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、各类运维人员，涉及内容有开发方的运维管理制度、信息中心关于运维服务团队的各类管理制度、操作规程文件、执行过程记录等对象。

    具体测评内容包括：

   （1）环境管理；（2）资产管理；（3）介质管理；（4）设备维护管理；（5）漏洞和风险管理；

   （6）网络和系统安全管理；（7）恶意代码防范管理；（8）配置管理；（9）密码管理；（10）变更管理；（11）备份与恢复管理；（12）安全事件处置；（13）应急预案管理；（14）外包运维管理

2.2渗透测试服务

通过多种方法，每季度对信息系统主机、数据库、应用、网络和安全设施开展一次全方位的渗透测试，编制渗透测试报告，针对发现的问题制定加固方案。渗透测试内容应至少包括以下测试：弱口令测试、身份认证测试、SQL Injection 测试、Cross Site Script 测试、Web Services 测试、SSL 测试、文件操作测试等

四、报名材料要求

1.目录清晰。

2.报名企业的企业资质。

3.法人授权委托书、身份证复印件。

4.公司简介、项目服务简介、企业征信证明、企业业绩、响应招标要求、产品参数对照表、投标项目方案、报价单、产品数据等相关材料装订成册且密封，一正三副，加盖企业公章。

五、违规责任

    如发生串标行为，串标公司三年内禁止再参加我院任何招投标项目。串标法律依据与责任详见《中华人民共和国招标投标法》。

六、公告期限及响应文件提交

自本公告发布之日起5个工作日。

截止时间：2024年04月03日。

七、报名地点

兴安盟人民医院门诊楼344办公室

联系人：赵伟  电话：15048255533

发布日期：2024年03月28日