廣安市第三人民醫(yī)院

信息系統(tǒng)等保測評(píng)服務(wù)項(xiàng)目

采購公告

廣安市第三人民醫(yī)院根據(jù)工作需要擬通過競爭性談判采購方式采購廣安市第三人民醫(yī)院 信息系統(tǒng)等保測評(píng)服務(wù) 項(xiàng)目，現(xiàn)面向社會(huì)邀請(qǐng)符合本次競爭性談判采購要求的供應(yīng)商前來參與。

一、項(xiàng)目概況duX岳池縣人民醫(yī)院
本采購項(xiàng)目為廣安市第三人民醫(yī)院信息系統(tǒng)等保測評(píng)服務(wù)項(xiàng)目，資金來源（財(cái)政性資金），預(yù)算金額：**萬元。

二、資格證明文件

1.具有獨(dú)立承擔(dān)民事責(zé)任的能力（承諾函）

2.具有良好的商業(yè)信譽(yù)（承諾函）

3.具有健全的財(cái)務(wù)會(huì)計(jì)制度。（承諾函）

4.具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力。（承諾函）

5.有依法繳納稅收和社會(huì)保障資金的良好記錄。（承諾函）

6.參加政府采購活動(dòng)前三年內(nèi)，在經(jīng)營活動(dòng)中沒有重大違法記錄。（承諾函）

7.不存在與單位負(fù)責(zé)人為同一人或者存在直接控股、管理關(guān)系的其他供應(yīng)商參與同一合同項(xiàng)下的政府采購活動(dòng)的行為。（承諾函）

8.營業(yè)執(zhí)照、稅務(wù)登記證和組織機(jī)構(gòu)代碼證或三證（多證）合一的營業(yè)執(zhí)照（正本或副本復(fù)印件）。

9.法定代表人及被授權(quán)代表身份證明。（復(fù)印件）

**.特定要求：具備公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全服務(wù)認(rèn)證證書等級(jí)保護(hù)測評(píng)服務(wù)認(rèn)證》。（復(fù)印件）

備注：資格證明文件為復(fù)印件的必須加蓋投標(biāo)人公章（鮮章）。

三、采購需求/清單

★（一）項(xiàng)目需求

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以及《信息安全等級(jí)保護(hù)管理辦法》等相關(guān)要求，采購網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)服務(wù)供應(yīng)商，對(duì)采購人相關(guān)信息系統(tǒng)提供網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)服務(wù)，協(xié)助采購人對(duì)系統(tǒng)進(jìn)行定級(jí)備案，并通過測評(píng)查找安全隱患，提供差距分析指導(dǎo)安全建設(shè)，最終出具等級(jí)保護(hù)測評(píng)報(bào)告。

1．技術(shù)安全性測評(píng)包括但不限于：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。

2．管理安全測評(píng)包括但不限于：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理。

3.等級(jí)測評(píng)至少包括：按照等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)對(duì)系統(tǒng)從技術(shù)、管理等方面進(jìn)行安全等級(jí)測評(píng)工作。編制測評(píng)報(bào)告，制定并提交《系統(tǒng)信息安全等級(jí)測評(píng)報(bào)告》。

（二）依據(jù)標(biāo)準(zhǔn)

①《中華人民共和國網(wǎng)絡(luò)安全法》

②GB/T ****9-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》

③GB/T****8-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)要求》

④GB/T****9-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)過程指南》

⑤GB/T****7-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測試評(píng)估技術(shù)指南》

⑥GB/T ****0-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》

⑦《信息安全等級(jí)保護(hù)管理辦法》公通字 [****] **號(hào)

⑧《網(wǎng)絡(luò)安全等級(jí)保護(hù)測評(píng)機(jī)構(gòu)管理辦法》公信安 [****] **5號(hào)

★（三）完成項(xiàng)目所需提交的文檔清單

在本項(xiàng)目完成后，服務(wù)方須提供以下文檔資料：

ü《信息系統(tǒng)安全問題匯總及整改建議》

ü《信息系統(tǒng)等保測評(píng)報(bào)告》及過程資料

（四）項(xiàng)目具體要求

1.對(duì)信息系統(tǒng)安全等級(jí)保護(hù)狀況進(jìn)行測試評(píng)估，應(yīng)包括兩個(gè)方面的內(nèi)容：一是安全控制測評(píng)，主要測評(píng)信息安全等級(jí)保護(hù)要求的基本安全控制在信息系統(tǒng)中的實(shí)施配置情況；二是系統(tǒng)整體測評(píng)，主要測評(píng)分析信息系統(tǒng)的整體安全性。其中，安全控制測評(píng)是信息系統(tǒng)整體安全測評(píng)的基礎(chǔ)。

2.對(duì)安全控制測評(píng)的描述，使用工作單元方式組織。工作單元分為安全技術(shù)和安全管理兩大類。安全技術(shù)測評(píng)包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心五個(gè)方面；安全管理測評(píng)包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理五個(gè)方面。

3.系統(tǒng)整體測評(píng)涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個(gè)性。因此，全面地給出系統(tǒng)整體測評(píng)要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。測評(píng)人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合本標(biāo)準(zhǔn)要求，確定系統(tǒng)整體測評(píng)的具體內(nèi)容，在安全控制測評(píng)的基礎(chǔ)上，重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，測評(píng)安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。

4.投標(biāo)方根據(jù)國家對(duì)信息安全等級(jí)保護(hù)工作的相關(guān)法律和技術(shù)標(biāo)準(zhǔn)要求，結(jié)合本項(xiàng)目的系統(tǒng)保護(hù)等級(jí)開展實(shí)施與之相應(yīng)的檢查、訪談、測試工作。

★（五）：測評(píng)內(nèi)容具體要求

（1）安全物理環(huán)境

序號(hào)	工作單元名稱	工作單元描述
1	物理位置選擇	通過訪談、檢查機(jī)房等信息系統(tǒng)物理場所在位置上是否具有防雷、防風(fēng)和防雨等多方面的安全防范能力。
2	物理訪問控制	通過訪談、檢查主機(jī)房出入口、機(jī)房分區(qū)域情況等過程，測評(píng)信息系統(tǒng)在物理訪問控制方面的安全防范能力。
3	防盜竊和防破壞	通過訪談、檢查機(jī)房的主要設(shè)備、介質(zhì)和防盜報(bào)警系統(tǒng)等過程，測評(píng)信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。
4	防雷擊	通過訪談、檢查機(jī)房的設(shè)計(jì)/驗(yàn)收文檔，測評(píng)信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。
5	防火	通過訪談、檢查機(jī)房的設(shè)計(jì)/驗(yàn)收文檔，檢查機(jī)房防火設(shè)備等過程，測評(píng)信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。
6	防水和防潮	通過訪談、檢查機(jī)房的除潮設(shè)備等過程，測評(píng)信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。
7	防靜電	通過訪談、檢查機(jī)房是否采取必要措施防止靜電的產(chǎn)生。
8	溫濕度控制	通過訪談、檢查機(jī)房溫、濕度情況，是否采取必要措施對(duì)機(jī)房內(nèi)的溫濕度進(jìn)行控制。
9	電力供應(yīng)	通過訪談、檢查機(jī)房供電線路、設(shè)備等過程，是否具備提供一定的電力供應(yīng)的能力。
**	電磁防護(hù)	通過訪談、檢查是否具備一定的電磁防護(hù)能力。

（2）安全通信網(wǎng)絡(luò)

序號(hào)	工作單元名稱	工作單元描述
1	網(wǎng)絡(luò)架構(gòu)	通過訪談、檢查、測試網(wǎng)絡(luò)拓?fù)淝闆r、抽查核心交換機(jī)、接入交換機(jī)和接入路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備，測試系統(tǒng)訪問路徑和網(wǎng)絡(luò)寬帶分配情況等過程，測評(píng)分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性，以及通信線路、關(guān)鍵設(shè)備硬件冗余，系統(tǒng)可用性保證情況。
2	通信傳輸	通過訪談、檢查、測試通信傳輸過程的數(shù)據(jù)完整性和保密性保護(hù)情況。
3	可信驗(yàn)證	通過訪談、檢查通信設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證的保護(hù)情況。

（3）安全區(qū)域邊界

序號(hào)	工作單元名稱	工作單元描述
1	邊界防護(hù)	通過訪談、檢查、測試邊界完整性檢查設(shè)備，測評(píng)分析跨域邊界的訪問控制和數(shù)據(jù)流通過邊界設(shè)備的控制措施，非法內(nèi)聯(lián)、外聯(lián)、無線準(zhǔn)入控制的監(jiān)測、阻斷等能力。
2	訪問控制	通過訪談、檢查、測試網(wǎng)絡(luò)訪問控制設(shè)備策略部署，測試系統(tǒng)對(duì)外暴露安全漏洞情況等過程，測評(píng)分析對(duì)進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量控制以及基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制能力。
3	入侵防范	通過訪談、檢查、測試網(wǎng)絡(luò)邊界處、關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)檢測、防止或限制從內(nèi)部和外部發(fā)起網(wǎng)絡(luò)攻擊行為的防護(hù)能力，以及網(wǎng)絡(luò)行為分析、監(jiān)測、報(bào)警能力，特別是新型網(wǎng)絡(luò)攻擊行為的分析，對(duì)攻擊行為的檢測是否涉及攻擊源、攻擊類型、攻擊目標(biāo)、攻擊事件、入侵報(bào)警等方面的防范能力。
4	惡意代碼和防垃圾郵件	通過訪談、檢查、測試關(guān)鍵網(wǎng)絡(luò)節(jié)點(diǎn)處對(duì)惡意代碼、垃圾郵件進(jìn)行檢測、防護(hù)和清除、惡意代碼防護(hù)機(jī)制的升級(jí)和更新維護(hù)等情況，
5	安全審計(jì)	通過訪談、檢查網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點(diǎn)安全審計(jì)情況等，測評(píng)分析信息系統(tǒng)審計(jì)配置和審計(jì)記錄保護(hù)，審計(jì)內(nèi)容等情況。
6	可信驗(yàn)證	通過訪談、檢查邊界設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗(yàn)證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證的保護(hù)情況。

（4）安全計(jì)算環(huán)境

序號(hào)	工作單元名稱	工作單元描述
1	身份鑒別	通過訪談、檢查、測試對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒別，是否具有不易被冒用的特點(diǎn)，口令應(yīng)有復(fù)雜度要求并定期更換，以及遠(yuǎn)程管理安全、雙因素鑒別等內(nèi)容。
2	訪問控制	通過訪談、檢查、測試是否啟用訪問控制功能，依據(jù)安全策略控制用戶對(duì)資源的訪問；是否根據(jù)管理用戶的角色分配權(quán)限，實(shí)現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限等內(nèi)容。
3	安全審計(jì)	通過訪談、檢查安全審計(jì)范圍及內(nèi)容。
4	入侵防范	通過訪談、檢查、測試是否能夠檢測到對(duì)重要節(jié)點(diǎn)進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時(shí)間，并在發(fā)生嚴(yán)重入侵事件時(shí)提供報(bào)警，是否遵循最小化安全裝原則、系統(tǒng)服務(wù)、默認(rèn)共享和高危端口、終端接入限制、數(shù)據(jù)有效性檢驗(yàn)、已知漏洞防護(hù)等內(nèi)容。
5	惡意代碼防范	通過訪談、檢查、測試是否具有防惡意代碼攻擊的技術(shù)措施或主動(dòng)免疫可信驗(yàn)證機(jī)制，能否及時(shí)識(shí)別入侵和病毒行為并將其有效阻斷等內(nèi)容。
6	可信驗(yàn)證	通過訪談、通過訪談安全員，檢查計(jì)算設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗(yàn)證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動(dòng)態(tài)可信驗(yàn)證的保護(hù)情況。
7	數(shù)據(jù)完整性	通過訪談、檢查、測試重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的完整性保護(hù)情況，包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
8	數(shù)據(jù)保密性	通過訪談、檢查、測試重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中的保密性保護(hù)情況，包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計(jì)數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個(gè)人信息等。
9	數(shù)據(jù)備份恢復(fù)	通過訪談、檢查、測試重要數(shù)據(jù)本地備份與恢復(fù)功能，異地實(shí)時(shí)備份功能，以及重要數(shù)據(jù)處理系統(tǒng)的熱冗余和高可用性保證等。
**	剩余信息保護(hù)	通過訪談、檢查、測試邊界信息在存儲(chǔ)空間被釋放或重新分配前是否有效清除，存有敏感數(shù)據(jù)的存儲(chǔ)空間被釋放或重新分配前是否有效清除等。
**	個(gè)人信息保護(hù)	通過訪談、檢查、測試是否僅采集和保存業(yè)務(wù)必須的用戶個(gè)人信息，對(duì)用戶個(gè)人信息的訪問和使用等。

（5）安全管理中心

序號(hào)	工作單元名稱	工作單元描述
1	系統(tǒng)管理	通過訪談、檢查、測試對(duì)系統(tǒng)管理員身份鑒別、命令或操作管理、操作審計(jì)，以及是否通過系統(tǒng)管理對(duì)系統(tǒng)資源和運(yùn)行進(jìn)行配置、控制和管理等。
2	審計(jì)管理	通過訪談、檢查、測試對(duì)審計(jì)管理員身份鑒別、命令或操作管理、操作審計(jì)，以及是否通過審計(jì)管理員對(duì)審計(jì)策略、審計(jì)記錄進(jìn)行分析、處理等。
3	安全管理	通過訪談、檢查、測試對(duì)安全管理員身份鑒別、命令或操作管理、操作審計(jì)，以及是否通過安全管理員對(duì)安全策略、參數(shù)進(jìn)行配置等。
4	集中管控	通過訪談、檢查、測試是否具有特定的管理區(qū)域，對(duì)分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控，對(duì)網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)的運(yùn)行進(jìn)行集中監(jiān)測，對(duì)分散在各設(shè)備上的審計(jì)數(shù)據(jù)進(jìn)行收集匯總和集中分析，并確保記錄留存符合法律法規(guī)要求，對(duì)安全策略、惡意代碼、升級(jí)補(bǔ)丁等安全相關(guān)事項(xiàng)進(jìn)行集中管理，對(duì)網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識(shí)別、報(bào)警和分析等。

（6）安全管理制度

序號(hào)	工作單元名稱	工作單元描述
1	安全策略	通過訪談、檢查網(wǎng)絡(luò)安全工作的總體方針我安全策略是否全面、完善。
2	管理制度	通過訪談、檢查管理制度的制定和發(fā)布過程是否遵循一定的流程。
3	制度和發(fā)布	通過訪談、檢查管理制度定期評(píng)審和修訂情況。
4	評(píng)審和修訂	通過訪談、檢查管理制度在內(nèi)容覆蓋上是否全面、完善。

（7）安全管理機(jī)構(gòu)

序號(hào)	工作單元名稱	工作單元描述
1	崗位設(shè)置	通過訪談、檢查安全主管部門設(shè)置情況以及各崗位設(shè)置和崗位職責(zé)情況。
2	人員配備	通過訪談、檢查各個(gè)崗位人員配備情況。
3	授權(quán)和審批	通過訪談、檢查對(duì)關(guān)鍵活動(dòng)的授權(quán)和審批情況。
4	溝通和合作	通過訪談、檢查內(nèi)部部門間、與外部單位間的溝通與合作情況。
5	審核和檢查	通過訪談、檢查安全工作的審核和檢查情況。

（8）安全管理人員

序號(hào)	工作單元名稱	工作單元描述
1	人員錄用	通過訪談、檢查錄用人員時(shí)是否對(duì)人員提出要求以及是否對(duì)其進(jìn)行各種審查和考核。
2	人員離崗	通過訪談、檢查人員離崗時(shí)是否按照一定的手續(xù)辦理。
3	安全意識(shí)教育和培訓(xùn)	通過訪談、檢查是否對(duì)人員進(jìn)行安全方面的教育和培訓(xùn)。
4	外部人員訪問管理	通過訪談、檢查對(duì)第三方人員訪問（物理、邏輯）系統(tǒng)是否采取必要控制措施。

（9）安全建設(shè)管理

序號(hào)	工作單元名稱	工作單元描述
1	定級(jí)和備案	通過訪談、檢查是否按照一定要求確定系統(tǒng)的安全等級(jí)。
2	安全方案設(shè)計(jì)	通過訪談、檢查整體的安全規(guī)劃設(shè)計(jì)是否按照一定流程進(jìn)行。
3	產(chǎn)品采購和使用	通過訪談、檢查是否按照一定的要求進(jìn)行系統(tǒng)的產(chǎn)品采購。
4	自行軟件開發(fā)	通過訪談、檢查自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性。
5	外包軟件開發(fā)	通過訪談、檢查外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護(hù)工作能夠正常開展。
6	工程實(shí)施	通過訪談、檢查建設(shè)的實(shí)施過程是否采取必要的措施使其在機(jī)構(gòu)可控的范圍內(nèi)進(jìn)行。
7	測試驗(yàn)收	通過訪談、檢查系統(tǒng)運(yùn)行前是否對(duì)其進(jìn)行測試驗(yàn)收工作。
8	系統(tǒng)交付	通過訪談、檢查是否采取必要的措施對(duì)系統(tǒng)交付過程進(jìn)行有效控制。
9	等級(jí)測評(píng)	通過訪談、檢查等級(jí)測評(píng)、整改情況。
**	服務(wù)商選擇	通過訪談、檢查是否選擇符合國家有關(guān)規(guī)定的安全服務(wù)單位進(jìn)行相關(guān)的安全服務(wù)工作。

（**）安全運(yùn)維管理

序號(hào)	工作單元名稱	工作單元描述
1	環(huán)境管理	通過訪談、檢查是否采取必要的措施對(duì)機(jī)房的出入控制以及辦公環(huán)境的人員行為等方面進(jìn)行安全管理。
2	資產(chǎn)管理	通過訪談、檢查是否采取必要的措施對(duì)系統(tǒng)的資產(chǎn)進(jìn)行分類標(biāo)識(shí)管理。
3	介質(zhì)管理	通過訪談、檢查是否采取必要的措施對(duì)介質(zhì)存放環(huán)境、使用、維護(hù)和銷毀等方面進(jìn)行管理。
4	設(shè)備維護(hù)管理	通過訪談、檢查是否采取必要的措施確保設(shè)備在使用、維護(hù)和銷毀等過程安全。
5	漏洞和風(fēng)險(xiǎn)管理	通過訪談、檢查安全漏洞和隱患識(shí)別、處理情況，以及是否定期開展安全測評(píng)以及安全問題的應(yīng)對(duì)措施。
6	網(wǎng)絡(luò)和系統(tǒng)安全管理	通過訪談、檢查是否采取必要的措施對(duì)系統(tǒng)的安全配置、系統(tǒng)賬戶、漏洞掃描和審計(jì)日志等方面進(jìn)行有效的管理。是否采取必要的措施對(duì)網(wǎng)絡(luò)的安全配置、網(wǎng)絡(luò)用戶權(quán)限和審計(jì)日志等方面進(jìn)行有效的管理，確保網(wǎng)絡(luò)安全運(yùn)行。
7	惡意代碼防范管理	通過訪談、檢查是否采取必要的措施對(duì)惡意代碼進(jìn)行有效管理，確保系統(tǒng)具有惡意代碼防范能力。
8	配置管理	通過訪談、檢查基本配置信息管理情況
9	密碼管理	通過訪談、檢查是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。
**	變更管理	通過訪談、檢查是否采取必要的措施對(duì)系統(tǒng)發(fā)生的變更進(jìn)行有效管理。
**	備份與恢復(fù)管理	通過訪談、檢查是否采取必要的措施對(duì)重要業(yè)務(wù)信息，系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進(jìn)行備份，并確保必要時(shí)能夠?qū)@些數(shù)據(jù)有效地恢復(fù)。
**	安全事件處置	通過訪談、檢查是否采取必要的措施對(duì)安全事件進(jìn)行等級(jí)劃分和對(duì)安全事件的報(bào)告、處理過程進(jìn)行有效的管理。
**	應(yīng)急預(yù)案管理	通過訪談、檢查是否針對(duì)不同安全事件制定相應(yīng)的應(yīng)急預(yù)案，是否對(duì)應(yīng)急預(yù)案展開培訓(xùn)、演練和審查等。
**	外包運(yùn)維管理	通過訪談、檢查外包運(yùn)維服務(wù)商選擇是否符合國家要求，外包運(yùn)維保密、服務(wù)內(nèi)容管理等。

（**）安全擴(kuò)展要求

按照所測評(píng)系統(tǒng)的具體情況選用云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

（**）驗(yàn)證測試相關(guān)要求

按照等級(jí)保護(hù)測評(píng)要求，測評(píng)過程中應(yīng)配備必要的工具、儀器/設(shè)備對(duì)信息系統(tǒng)進(jìn)行驗(yàn)證測試，采用的測評(píng)工具的生產(chǎn)商應(yīng)為正規(guī)廠商，具有一定的研發(fā)和服務(wù)能力，能夠?qū)Ξa(chǎn)品進(jìn)行持續(xù)更新并提供質(zhì)量和安全保障。

驗(yàn)證測試內(nèi)容包括但不限于以下內(nèi)：

1）滲透測試

驗(yàn)證安全策略正確性；保證用戶登錄窗體身份驗(yàn)證的安全性；非授權(quán)用戶不能瀏覽到未授權(quán)內(nèi)容；不存在跨站點(diǎn)腳本攻擊漏洞；腳本不存在SQL、Cookie注入漏洞；安全的處理異常，沒有出錯(cuò)頁面泄露系統(tǒng)信息；應(yīng)用和系統(tǒng)漏洞及其他，并提出整改建議。驗(yàn)證內(nèi)容包括（但不限于）以下幾個(gè)方面：

注入	失效的身份認(rèn)證
敏感信息泄露	XML外部實(shí)體（XXE）
失效的訪問控制	安全配置錯(cuò)誤
跨站腳本（XSS）	不安全的反序列化
使用含有已知漏洞的組件	不足的日志記錄和監(jiān)控

2）性能測試

通過模擬手段對(duì)網(wǎng)絡(luò)（包括丟包、時(shí)延、帶寬等）、軟件系統(tǒng)（包括負(fù)載、響應(yīng)）、負(fù)載下硬件占用（包含CPU、內(nèi)存）等進(jìn)行全面的測評(píng)評(píng)估驗(yàn)證系統(tǒng)的可靠性、可用性，通過對(duì)測試結(jié)果的分析，給出相應(yīng)的整改建議。

3）漏洞掃描

據(jù)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求對(duì)重要信息系統(tǒng)的安全漏洞進(jìn)行測評(píng)。分析總結(jié)系統(tǒng)中存在的主要安全漏洞，指出系統(tǒng)中可能被利用的安全漏洞、系統(tǒng)配置錯(cuò)誤等缺陷以及相應(yīng)的安全加固意見、建議。

（六）測評(píng)工作步驟

等級(jí)保護(hù)測評(píng)工作流程，受委托測評(píng)機(jī)構(gòu)實(shí)施的等級(jí)測評(píng)工作活動(dòng)及流程與運(yùn)營、使用單位的自查活動(dòng)及流程會(huì)有所差異，初次等級(jí)測評(píng)和再次等級(jí)測評(píng)的工作活動(dòng)及流程也不完全相同，而且針對(duì)不同等級(jí)信息系統(tǒng)實(shí)施的等級(jí)測評(píng)工作活動(dòng)及流程也不相同。受委托測評(píng)機(jī)構(gòu)對(duì)信息系統(tǒng)的初次等級(jí)測評(píng)可以分為四項(xiàng)活動(dòng)：測評(píng)準(zhǔn)備活動(dòng)、方案編制活動(dòng)、現(xiàn)場測評(píng)活動(dòng)、分析與報(bào)告編制活動(dòng)。投標(biāo)方應(yīng)對(duì)等級(jí)保護(hù)測評(píng)各階段具體工作內(nèi)容進(jìn)行描述。

（1）準(zhǔn)備活動(dòng)階段：對(duì)被測系統(tǒng)進(jìn)行調(diào)研分析，明確測評(píng)對(duì)象、測評(píng)方法等工作。

（2）方案編制階段：制定信息安全等級(jí)保護(hù)測評(píng)項(xiàng)目計(jì)劃書、測評(píng)實(shí)施方案，并提交委托方確認(rèn)。

（3）現(xiàn)場測評(píng)階段：按照等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范要求從訪談、檢查、測試幾方面進(jìn)行測試評(píng)估并出具《整改意見》，并在整改過程中提供技術(shù)咨詢服務(wù)。

（4）分析與報(bào)告編制：向委托方提交被測信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)報(bào)告以及相應(yīng)文檔。

（七）實(shí)施要求

（1）系統(tǒng)梳理

協(xié)助完成待測信息系統(tǒng)梳理工作。

（2）初測

對(duì)本項(xiàng)目所涉及信息系統(tǒng)進(jìn)行現(xiàn)場測評(píng)，初次測評(píng)完成后提交初評(píng)的整改意見報(bào)告。

（3）整改加固協(xié)助

協(xié)助對(duì)測評(píng)過程中發(fā)現(xiàn)的安全問題進(jìn)行技術(shù)整改加固工作，并進(jìn)行整改后的回歸測評(píng)。

（4）成果遞交

整理測評(píng)結(jié)果，提交被測信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)報(bào)告以及相應(yīng)文檔。

（八）項(xiàng)目管理與實(shí)施保障

對(duì)項(xiàng)目進(jìn)行科學(xué)嚴(yán)格的管理，通過系統(tǒng)計(jì)劃、有序組織、科學(xué)指導(dǎo)和有效控制，促進(jìn)項(xiàng)目全面順利實(shí)施，供應(yīng)商必須提供完整的項(xiàng)目管理方案，并符合以下要求：

（1）供應(yīng)商及其測評(píng)人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)國家信息安全等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)和有關(guān)規(guī)定，提供客觀、公平、公正、有效的等級(jí)保護(hù)測評(píng)服務(wù)，并承擔(dān)相應(yīng)的法律責(zé)任。

（2）應(yīng)具備能夠保證其公正性、獨(dú)立性的質(zhì)量體系，確保測評(píng)活動(dòng)不受任何可能影響測評(píng)結(jié)果的商業(yè)、財(cái)務(wù)、健康、環(huán)境等方面的壓力。

（3）供應(yīng)商在對(duì)被測評(píng)單位開展等級(jí)保護(hù)測評(píng)服務(wù)之前需與被測評(píng)單位簽訂保密協(xié)議，測評(píng)過程中向被測評(píng)單位借閱的文檔資料應(yīng)在測評(píng)工作結(jié)束后全部歸還被測評(píng)單位，未經(jīng)被測評(píng)單位允許，不得擅自復(fù)制、保留。

（4）供應(yīng)商的崗位配置要至少配置項(xiàng)目經(jīng)理（或總測評(píng)工程師）、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人、保密安全員和檔案管理員，其中項(xiàng)目經(jīng)理（或總測評(píng)師）、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人、保密安全員和檔案管理員應(yīng)獨(dú)立配置，不能有兼任的情況。

★（5）測評(píng)人員要求

參與此次等級(jí)保護(hù)測評(píng)的供應(yīng)商其測評(píng)人員應(yīng)具備并符合以下要求：

1）開展此次等級(jí)保護(hù)測評(píng)工作的人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄。

2）測評(píng)項(xiàng)目組人員在對(duì)開展等級(jí)保護(hù)測評(píng)工作之前需簽訂保密協(xié)議。

3）總測評(píng)工程師具有網(wǎng)絡(luò)（或信息）安全等級(jí)測評(píng)師高級(jí)證書的基礎(chǔ)上具有軟件評(píng)測師證書。

4）技術(shù)負(fù)責(zé)人具有網(wǎng)絡(luò)（或信息）安全等級(jí)測評(píng)師證書(中級(jí)及以上）的基礎(chǔ)上具有信息系統(tǒng)審計(jì)師或注冊信息系統(tǒng)審計(jì)師。

5）質(zhì)量負(fù)責(zé)人需具有網(wǎng)絡(luò)（或信息）安全等級(jí)測評(píng)師中級(jí)證書

6）測評(píng)工程師（包含保密安全員和檔案管理員）具有網(wǎng)絡(luò)（或信息）安全等級(jí)測評(píng)師證書

(注：須提供總測評(píng)師、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人及測評(píng)工程師相應(yīng)證書復(fù)印件及本單位社保證明)。復(fù)印件加蓋公章）。

（九）本次項(xiàng)目測評(píng)對(duì)象及范圍

序號(hào)	系統(tǒng)名稱	安全保護(hù)等級(jí)
1	HIS系統(tǒng)	第三級(jí)
2	LIS系統(tǒng)	第三級(jí)
3	PACS系統(tǒng)	第三級(jí)
4	EMR系統(tǒng)	第三級(jí)

四、商務(wù)要求

1.交貨期限：合同簽訂后**天內(nèi)。

2.交貨地點(diǎn)：廣安市第三人民醫(yī)院。

3.貨物驗(yàn)收：按合同約定驗(yàn)收。

4.付款方式：簽訂合同后，甲方接收到乙方通知與票據(jù)憑證資料**日內(nèi)向乙方支付合同總金額的**%，完成所有系統(tǒng)測評(píng)工作并出具測評(píng)報(bào)告后，甲方接收到乙方通知與票據(jù)憑證資料**日內(nèi)向乙方支付合同總金額**%。

★5.售后服務(wù)：

（1）供應(yīng)商在測評(píng)期間對(duì)系統(tǒng)進(jìn)行檢查、診斷，及時(shí)發(fā)現(xiàn)問題隱患，通過系統(tǒng)調(diào)整等手段，保持系統(tǒng)穩(wěn)定、高效地運(yùn)行。

（2）在項(xiàng)目結(jié)束后，安排專人對(duì)被測單位相關(guān)人員進(jìn)行至少一次網(wǎng)絡(luò)安全知識(shí)培訓(xùn)。

（3）提供至少兩次漏洞掃描和至少一次滲透測評(píng)服務(wù)。

（4）供應(yīng)商將提供7***小時(shí)電話咨詢響應(yīng)服務(wù)，及時(shí)告之被測評(píng)單位，提供相應(yīng)解決方案及建議等。

五、響應(yīng)文件組成

1.響應(yīng)文件封面

2.投標(biāo)（響應(yīng)）函

3.供應(yīng)商應(yīng)提交的相關(guān)資格證明材料

4.產(chǎn)品技術(shù)參數(shù)響應(yīng)表

5.商務(wù)應(yīng)答表

6.報(bào)價(jià)表

7.分項(xiàng)報(bào)價(jià)表

六、響應(yīng)文件的印制和簽署

1.響應(yīng)文件的正本和副本應(yīng)在其封面右上角清楚地標(biāo)明“正本”或“副本”字樣。若正本和副本有不一致的內(nèi)容，以正本書面響應(yīng)文件為準(zhǔn)。

2.響應(yīng)文件份數(shù)：正本一份、副本兩份

3.響應(yīng)文件正本和副本必須膠裝成冊，禁止活頁裝訂，否則視為無效投標(biāo)。

4.響應(yīng)文件應(yīng)根據(jù)采購項(xiàng)目的要求制作，簽署、蓋章和內(nèi)容應(yīng)完整，所蓋印章必須為投標(biāo)人公章。

七、響應(yīng)文件的密封和遞交

資格性響應(yīng)文件和技術(shù)、服務(wù)性響應(yīng)文件應(yīng)裝訂、密封，在規(guī)定的評(píng)審時(shí)間前送達(dá)評(píng)審地點(diǎn)，由各參與的供應(yīng)商代表遞交。

八、不正當(dāng)競爭預(yù)防措施

1.在評(píng)審過程中，評(píng)審小組認(rèn)為供應(yīng)商報(bào)價(jià)明顯低于其他通過符合性審查供應(yīng)商的報(bào)價(jià)，有可能影響產(chǎn)品質(zhì)量或者不能誠信履約的，評(píng)審小組應(yīng)當(dāng)要求其在合理的時(shí)間內(nèi)進(jìn)行書面說明，必要時(shí)提交相關(guān)證明材料。

2.供應(yīng)商提交的書面說明，應(yīng)當(dāng)加蓋供應(yīng)商公章，在評(píng)審小組要求的時(shí)間內(nèi)進(jìn)行提交，否則視為不能證明其響應(yīng)報(bào)價(jià)合理性。供應(yīng)商不能證明其響應(yīng)報(bào)價(jià)合理性的，評(píng)審小組應(yīng)當(dāng)將其響應(yīng)文件作為無效處理。（注：供應(yīng)商報(bào)價(jià)低于最高限價(jià)**%或者低于其他有效供應(yīng)商報(bào)價(jià)算術(shù)平均價(jià)**%的，評(píng)審小組可以認(rèn)為該供應(yīng)商“報(bào)價(jià)明顯低于其他實(shí)質(zhì)性響應(yīng)的供應(yīng)商報(bào)價(jià)”。）

九、供應(yīng)商邀請(qǐng)方式

在廣安公共資源交易網(wǎng)（http://ggzy.guang-an.gov.cn/）上以發(fā)布公告形式邀請(qǐng)供應(yīng)商。

十、采購結(jié)果公告

采購結(jié)果將在廣安公共資源交易網(wǎng)予以公告。

十一、評(píng)審情況公告

所有供應(yīng)商響應(yīng)文件資格性、符合性審查情況、評(píng)審結(jié)果、成交供應(yīng)商名單。

十二、成交通知書領(lǐng)取

成交公告在廣安公共資源交易網(wǎng)上公告后，成交供應(yīng)商根據(jù)公告通知和要求到廣安市第三人民醫(yī)院領(lǐng)取成交通知書。

十三、詢問和質(zhì)疑

對(duì)采購公告、采購過程和采購結(jié)果的詢問和質(zhì)疑向廣安市第三人民醫(yī)院提出。

注：根據(jù)《中華人民共和國政府采購法》的規(guī)定，供應(yīng)商質(zhì)疑不得超出采購文件、采購過程、采購結(jié)果的范圍。

十四、評(píng)審辦法

本項(xiàng)目采用最低評(píng)標(biāo)價(jià)法，在供應(yīng)商響應(yīng)文件全部符合采購需求前提下，以報(bào)價(jià)最低的供應(yīng)商作為成交供應(yīng)商。

十五、報(bào)名須知

1.報(bào)名時(shí)間：****年**月2 日至****年**月4 日（8:**-**:**）。

2.報(bào)名方式及地點(diǎn)

（1）報(bào)名方式：現(xiàn)場提交或郵寄方式

1）營業(yè)執(zhí)照、稅務(wù)登記證和組織機(jī)構(gòu)代碼或三證（多證）合一的營業(yè)執(zhí)照（正本或副本復(fù)印件）

2）法人代表身份證或授權(quán)代表身份證及授權(quán)委托書（復(fù)印件加蓋公章）

3）聯(lián)系人及聯(lián)系方式

（2）報(bào)名地點(diǎn)

廣安市第三人民醫(yī)院綜合樓**8辦公室。

十六、評(píng)審時(shí)間及地點(diǎn)

1.時(shí)間：本次評(píng)審擬定于****年**月5日**時(shí)進(jìn)行。

2.地點(diǎn)：廣安市第三人民醫(yī)院綜合樓2樓**9會(huì)議室

十七、項(xiàng)目聯(lián)系人及方式

1.聯(lián)系人：鄧培勇

2.聯(lián)系方式：**********0

廣安市第三人民醫(yī)院

****年**月1日