廣安市第三人民醫(yī)院

信息系統(tǒng)等保測評服務(wù)項目

采購公告

廣安市第三人民醫(yī)院根據(jù)工作需要擬通過競爭性談判采購方式采購廣安市第三人民醫(yī)院 信息系統(tǒng)等保測評服務(wù) 項目，現(xiàn)面向社會邀請符合本次競爭性談判采購要求的供應(yīng)商前來參與。

一、項目概況duX岳池縣人民醫(yī)院
本采購項目為廣安市第三人民醫(yī)院信息系統(tǒng)等保測評服務(wù)項目，資金來源（財政性資金），預(yù)算金額：**萬元。

二、資格證明文件

1.具有獨立承擔(dān)民事責(zé)任的能力（承諾函）

2.具有良好的商業(yè)信譽（承諾函）

3.具有健全的財務(wù)會計制度。（承諾函）

4.具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力。（承諾函）

5.有依法繳納稅收和社會保障資金的良好記錄。（承諾函）

6.參加政府采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄。（承諾函）

7.不存在與單位負(fù)責(zé)人為同一人或者存在直接控股、管理關(guān)系的其他供應(yīng)商參與同一合同項下的政府采購活動的行為。（承諾函）

8.營業(yè)執(zhí)照、稅務(wù)登記證和組織機(jī)構(gòu)代碼證或三證（多證）合一的營業(yè)執(zhí)照（正本或副本復(fù)印件）。

9.法定代表人及被授權(quán)代表身份證明。（復(fù)印件）

**.特定要求：具備公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全服務(wù)認(rèn)證證書等級保護(hù)測評服務(wù)認(rèn)證》。（復(fù)印件）

備注：資格證明文件為復(fù)印件的必須加蓋投標(biāo)人公章（鮮章）。

三、采購需求/清單

★（一）項目需求

根據(jù)《中華人民共和國網(wǎng)絡(luò)安全法》以及《信息安全等級保護(hù)管理辦法》等相關(guān)要求，采購網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)供應(yīng)商，對采購人相關(guān)信息系統(tǒng)提供網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)，協(xié)助采購人對系統(tǒng)進(jìn)行定級備案，并通過測評查找安全隱患，提供差距分析指導(dǎo)安全建設(shè)，最終出具等級保護(hù)測評報告。

1．技術(shù)安全性測評包括但不限于：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心。

2．管理安全測評包括但不限于：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理。

3.等級測評至少包括：按照等級保護(hù)相關(guān)標(biāo)準(zhǔn)對系統(tǒng)從技術(shù)、管理等方面進(jìn)行安全等級測評工作。編制測評報告，制定并提交《系統(tǒng)信息安全等級測評報告》。

（二）依據(jù)標(biāo)準(zhǔn)

①《中華人民共和國網(wǎng)絡(luò)安全法》

②GB/T ****9-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》

③GB/T****8-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》

④GB/T****9-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》

⑤GB/T****7-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測試評估技術(shù)指南》

⑥GB/T ****0-****《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》

⑦《信息安全等級保護(hù)管理辦法》公通字 [****] **號

⑧《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)管理辦法》公信安 [****] **5號

★（三）完成項目所需提交的文檔清單

在本項目完成后，服務(wù)方須提供以下文檔資料：

ü《信息系統(tǒng)安全問題匯總及整改建議》

ü《信息系統(tǒng)等保測評報告》及過程資料

（四）項目具體要求

1.對信息系統(tǒng)安全等級保護(hù)狀況進(jìn)行測試評估，應(yīng)包括兩個方面的內(nèi)容：一是安全控制測評，主要測評信息安全等級保護(hù)要求的基本安全控制在信息系統(tǒng)中的實施配置情況；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。其中，安全控制測評是信息系統(tǒng)整體安全測評的基礎(chǔ)。

2.對安全控制測評的描述，使用工作單元方式組織。工作單元分為安全技術(shù)和安全管理兩大類。安全技術(shù)測評包括：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心五個方面；安全管理測評包括：安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理五個方面。

3.系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)洹⒕植拷Y(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個性。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很困難的。測評人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合本標(biāo)準(zhǔn)要求，確定系統(tǒng)整體測評的具體內(nèi)容，在安全控制測評的基礎(chǔ)上，重點考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。

4.投標(biāo)方根據(jù)國家對信息安全等級保護(hù)工作的相關(guān)法律和技術(shù)標(biāo)準(zhǔn)要求，結(jié)合本項目的系統(tǒng)保護(hù)等級開展實施與之相應(yīng)的檢查、訪談、測試工作。

★（五）：測評內(nèi)容具體要求

（1）安全物理環(huán)境

序號	工作單元名稱	工作單元描述
1	物理位置選擇	通過訪談、檢查機(jī)房等信息系統(tǒng)物理場所在位置上是否具有防雷、防風(fēng)和防雨等多方面的安全防范能力。
2	物理訪問控制	通過訪談、檢查主機(jī)房出入口、機(jī)房分區(qū)域情況等過程，測評信息系統(tǒng)在物理訪問控制方面的安全防范能力。
3	防盜竊和防破壞	通過訪談、檢查機(jī)房的主要設(shè)備、介質(zhì)和防盜報警系統(tǒng)等過程，測評信息系統(tǒng)是否采取必要的措施預(yù)防設(shè)備、介質(zhì)等丟失和被破壞。
4	防雷擊	通過訪談、檢查機(jī)房的設(shè)計/驗收文檔，測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。
5	防火	通過訪談、檢查機(jī)房的設(shè)計/驗收文檔，檢查機(jī)房防火設(shè)備等過程，測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。
6	防水和防潮	通過訪談、檢查機(jī)房的除潮設(shè)備等過程，測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。
7	防靜電	通過訪談、檢查機(jī)房是否采取必要措施防止靜電的產(chǎn)生。
8	溫濕度控制	通過訪談、檢查機(jī)房溫、濕度情況，是否采取必要措施對機(jī)房內(nèi)的溫濕度進(jìn)行控制。
9	電力供應(yīng)	通過訪談、檢查機(jī)房供電線路、設(shè)備等過程，是否具備提供一定的電力供應(yīng)的能力。
**	電磁防護(hù)	通過訪談、檢查是否具備一定的電磁防護(hù)能力。

（2）安全通信網(wǎng)絡(luò)

序號	工作單元名稱	工作單元描述
1	網(wǎng)絡(luò)架構(gòu)	通過訪談、檢查、測試網(wǎng)絡(luò)拓?fù)淝闆r、抽查核心交換機(jī)、接入交換機(jī)和接入路由器等網(wǎng)絡(luò)互聯(lián)設(shè)備，測試系統(tǒng)訪問路徑和網(wǎng)絡(luò)寬帶分配情況等過程，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)段劃分、隔離等情況的合理性和有效性，以及通信線路、關(guān)鍵設(shè)備硬件冗余，系統(tǒng)可用性保證情況。
2	通信傳輸	通過訪談、檢查、測試通信傳輸過程的數(shù)據(jù)完整性和保密性保護(hù)情況。
3	可信驗證	通過訪談、檢查通信設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證的保護(hù)情況。

（3）安全區(qū)域邊界

序號	工作單元名稱	工作單元描述
1	邊界防護(hù)	通過訪談、檢查、測試邊界完整性檢查設(shè)備，測評分析跨域邊界的訪問控制和數(shù)據(jù)流通過邊界設(shè)備的控制措施，非法內(nèi)聯(lián)、外聯(lián)、無線準(zhǔn)入控制的監(jiān)測、阻斷等能力。
2	訪問控制	通過訪談、檢查、測試網(wǎng)絡(luò)訪問控制設(shè)備策略部署，測試系統(tǒng)對外暴露安全漏洞情況等過程，測評分析對進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流量控制以及基于應(yīng)用協(xié)議和應(yīng)用內(nèi)容的訪問控制能力。
3	入侵防范	通過訪談、檢查、測試網(wǎng)絡(luò)邊界處、關(guān)鍵網(wǎng)絡(luò)節(jié)點檢測、防止或限制從內(nèi)部和外部發(fā)起網(wǎng)絡(luò)攻擊行為的防護(hù)能力，以及網(wǎng)絡(luò)行為分析、監(jiān)測、報警能力，特別是新型網(wǎng)絡(luò)攻擊行為的分析，對攻擊行為的檢測是否涉及攻擊源、攻擊類型、攻擊目標(biāo)、攻擊事件、入侵報警等方面的防范能力。
4	惡意代碼和防垃圾郵件	通過訪談、檢查、測試關(guān)鍵網(wǎng)絡(luò)節(jié)點處對惡意代碼、垃圾郵件進(jìn)行檢測、防護(hù)和清除、惡意代碼防護(hù)機(jī)制的升級和更新維護(hù)等情況，
5	安全審計	通過訪談、檢查網(wǎng)絡(luò)邊界、重要網(wǎng)絡(luò)節(jié)點安全審計情況等，測評分析信息系統(tǒng)審計配置和審計記錄保護(hù)，審計內(nèi)容等情況。
6	可信驗證	通過訪談、檢查邊界設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)和邊界防護(hù)應(yīng)用程序等進(jìn)行可信驗證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證的保護(hù)情況。

（4）安全計算環(huán)境

序號	工作單元名稱	工作單元描述
1	身份鑒別	通過訪談、檢查、測試對登錄的用戶進(jìn)行身份標(biāo)識和鑒別，是否具有不易被冒用的特點，口令應(yīng)有復(fù)雜度要求并定期更換，以及遠(yuǎn)程管理安全、雙因素鑒別等內(nèi)容。
2	訪問控制	通過訪談、檢查、測試是否啟用訪問控制功能，依據(jù)安全策略控制用戶對資源的訪問；是否根據(jù)管理用戶的角色分配權(quán)限，實現(xiàn)管理用戶的權(quán)限分離，僅授予管理用戶所需的最小權(quán)限等內(nèi)容。
3	安全審計	通過訪談、檢查安全審計范圍及內(nèi)容。
4	入侵防范	通過訪談、檢查、測試是否能夠檢測到對重要節(jié)點進(jìn)行入侵的行為，能夠記錄入侵的源IP、攻擊的類型、攻擊的目的、攻擊的時間，并在發(fā)生嚴(yán)重入侵事件時提供報警，是否遵循最小化安全裝原則、系統(tǒng)服務(wù)、默認(rèn)共享和高危端口、終端接入限制、數(shù)據(jù)有效性檢驗、已知漏洞防護(hù)等內(nèi)容。
5	惡意代碼防范	通過訪談、檢查、測試是否具有防惡意代碼攻擊的技術(shù)措施或主動免疫可信驗證機(jī)制，能否及時識別入侵和病毒行為并將其有效阻斷等內(nèi)容。
6	可信驗證	通過訪談、通過訪談安全員，檢查計算設(shè)備的系統(tǒng)引導(dǎo)、系統(tǒng)程序、重要配置參數(shù)和應(yīng)用程序等進(jìn)行可信驗證及應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗證的保護(hù)情況。
7	數(shù)據(jù)完整性	通過訪談、檢查、測試重要數(shù)據(jù)在傳輸和存儲過程中的完整性保護(hù)情況，包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
8	數(shù)據(jù)保密性	通過訪談、檢查、測試重要數(shù)據(jù)在傳輸和存儲過程中的保密性保護(hù)情況，包括鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)、重要審計數(shù)據(jù)、重要配置數(shù)據(jù)、重要視頻數(shù)據(jù)和重要個人信息等。
9	數(shù)據(jù)備份恢復(fù)	通過訪談、檢查、測試重要數(shù)據(jù)本地備份與恢復(fù)功能，異地實時備份功能，以及重要數(shù)據(jù)處理系統(tǒng)的熱冗余和高可用性保證等。
**	剩余信息保護(hù)	通過訪談、檢查、測試邊界信息在存儲空間被釋放或重新分配前是否有效清除，存有敏感數(shù)據(jù)的存儲空間被釋放或重新分配前是否有效清除等。
**	個人信息保護(hù)	通過訪談、檢查、測試是否僅采集和保存業(yè)務(wù)必須的用戶個人信息，對用戶個人信息的訪問和使用等。

（5）安全管理中心

序號	工作單元名稱	工作單元描述
1	系統(tǒng)管理	通過訪談、檢查、測試對系統(tǒng)管理員身份鑒別、命令或操作管理、操作審計，以及是否通過系統(tǒng)管理對系統(tǒng)資源和運行進(jìn)行配置、控制和管理等。
2	審計管理	通過訪談、檢查、測試對審計管理員身份鑒別、命令或操作管理、操作審計，以及是否通過審計管理員對審計策略、審計記錄進(jìn)行分析、處理等。
3	安全管理	通過訪談、檢查、測試對安全管理員身份鑒別、命令或操作管理、操作審計，以及是否通過安全管理員對安全策略、參數(shù)進(jìn)行配置等。
4	集中管控	通過訪談、檢查、測試是否具有特定的管理區(qū)域，對分布在網(wǎng)絡(luò)中的安全設(shè)備或安全組件進(jìn)行集中管控，對網(wǎng)絡(luò)鏈路、安全設(shè)備、網(wǎng)絡(luò)設(shè)備和服務(wù)的運行進(jìn)行集中監(jiān)測，對分散在各設(shè)備上的審計數(shù)據(jù)進(jìn)行收集匯總和集中分析，并確保記錄留存符合法律法規(guī)要求，對安全策略、惡意代碼、升級補丁等安全相關(guān)事項進(jìn)行集中管理，對網(wǎng)絡(luò)中發(fā)生的各類安全事件進(jìn)行識別、報警和分析等。

（6）安全管理制度

序號	工作單元名稱	工作單元描述
1	安全策略	通過訪談、檢查網(wǎng)絡(luò)安全工作的總體方針我安全策略是否全面、完善。
2	管理制度	通過訪談、檢查管理制度的制定和發(fā)布過程是否遵循一定的流程。
3	制度和發(fā)布	通過訪談、檢查管理制度定期評審和修訂情況。
4	評審和修訂	通過訪談、檢查管理制度在內(nèi)容覆蓋上是否全面、完善。

（7）安全管理機(jī)構(gòu)

序號	工作單元名稱	工作單元描述
1	崗位設(shè)置	通過訪談、檢查安全主管部門設(shè)置情況以及各崗位設(shè)置和崗位職責(zé)情況。
2	人員配備	通過訪談、檢查各個崗位人員配備情況。
3	授權(quán)和審批	通過訪談、檢查對關(guān)鍵活動的授權(quán)和審批情況。
4	溝通和合作	通過訪談、檢查內(nèi)部部門間、與外部單位間的溝通與合作情況。
5	審核和檢查	通過訪談、檢查安全工作的審核和檢查情況。

（8）安全管理人員

序號	工作單元名稱	工作單元描述
1	人員錄用	通過訪談、檢查錄用人員時是否對人員提出要求以及是否對其進(jìn)行各種審查和考核。
2	人員離崗	通過訪談、檢查人員離崗時是否按照一定的手續(xù)辦理。
3	安全意識教育和培訓(xùn)	通過訪談、檢查是否對人員進(jìn)行安全方面的教育和培訓(xùn)。
4	外部人員訪問管理	通過訪談、檢查對第三方人員訪問（物理、邏輯）系統(tǒng)是否采取必要控制措施。

（9）安全建設(shè)管理

序號	工作單元名稱	工作單元描述
1	定級和備案	通過訪談、檢查是否按照一定要求確定系統(tǒng)的安全等級。
2	安全方案設(shè)計	通過訪談、檢查整體的安全規(guī)劃設(shè)計是否按照一定流程進(jìn)行。
3	產(chǎn)品采購和使用	通過訪談、檢查是否按照一定的要求進(jìn)行系統(tǒng)的產(chǎn)品采購。
4	自行軟件開發(fā)	通過訪談、檢查自行開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性。
5	外包軟件開發(fā)	通過訪談、檢查外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程的安全性和日后的維護(hù)工作能夠正常開展。
6	工程實施	通過訪談、檢查建設(shè)的實施過程是否采取必要的措施使其在機(jī)構(gòu)可控的范圍內(nèi)進(jìn)行。
7	測試驗收	通過訪談、檢查系統(tǒng)運行前是否對其進(jìn)行測試驗收工作。
8	系統(tǒng)交付	通過訪談、檢查是否采取必要的措施對系統(tǒng)交付過程進(jìn)行有效控制。
9	等級測評	通過訪談、檢查等級測評、整改情況。
**	服務(wù)商選擇	通過訪談、檢查是否選擇符合國家有關(guān)規(guī)定的安全服務(wù)單位進(jìn)行相關(guān)的安全服務(wù)工作。

（**）安全運維管理

序號	工作單元名稱	工作單元描述
1	環(huán)境管理	通過訪談、檢查是否采取必要的措施對機(jī)房的出入控制以及辦公環(huán)境的人員行為等方面進(jìn)行安全管理。
2	資產(chǎn)管理	通過訪談、檢查是否采取必要的措施對系統(tǒng)的資產(chǎn)進(jìn)行分類標(biāo)識管理。
3	介質(zhì)管理	通過訪談、檢查是否采取必要的措施對介質(zhì)存放環(huán)境、使用、維護(hù)和銷毀等方面進(jìn)行管理。
4	設(shè)備維護(hù)管理	通過訪談、檢查是否采取必要的措施確保設(shè)備在使用、維護(hù)和銷毀等過程安全。
5	漏洞和風(fēng)險管理	通過訪談、檢查安全漏洞和隱患識別、處理情況，以及是否定期開展安全測評以及安全問題的應(yīng)對措施。
6	網(wǎng)絡(luò)和系統(tǒng)安全管理	通過訪談、檢查是否采取必要的措施對系統(tǒng)的安全配置、系統(tǒng)賬戶、漏洞掃描和審計日志等方面進(jìn)行有效的管理。是否采取必要的措施對網(wǎng)絡(luò)的安全配置、網(wǎng)絡(luò)用戶權(quán)限和審計日志等方面進(jìn)行有效的管理，確保網(wǎng)絡(luò)安全運行。
7	惡意代碼防范管理	通過訪談、檢查是否采取必要的措施對惡意代碼進(jìn)行有效管理，確保系統(tǒng)具有惡意代碼防范能力。
8	配置管理	通過訪談、檢查基本配置信息管理情況
9	密碼管理	通過訪談、檢查是否能夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。
**	變更管理	通過訪談、檢查是否采取必要的措施對系統(tǒng)發(fā)生的變更進(jìn)行有效管理。
**	備份與恢復(fù)管理	通過訪談、檢查是否采取必要的措施對重要業(yè)務(wù)信息，系統(tǒng)數(shù)據(jù)和系統(tǒng)軟件進(jìn)行備份，并確保必要時能夠?qū)@些數(shù)據(jù)有效地恢復(fù)。
**	安全事件處置	通過訪談、檢查是否采取必要的措施對安全事件進(jìn)行等級劃分和對安全事件的報告、處理過程進(jìn)行有效的管理。
**	應(yīng)急預(yù)案管理	通過訪談、檢查是否針對不同安全事件制定相應(yīng)的應(yīng)急預(yù)案，是否對應(yīng)急預(yù)案展開培訓(xùn)、演練和審查等。
**	外包運維管理	通過訪談、檢查外包運維服務(wù)商選擇是否符合國家要求，外包運維保密、服務(wù)內(nèi)容管理等。

（**）安全擴(kuò)展要求

按照所測評系統(tǒng)的具體情況選用云計算安全擴(kuò)展要求、移動互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全擴(kuò)展要求。

（**）驗證測試相關(guān)要求

按照等級保護(hù)測評要求，測評過程中應(yīng)配備必要的工具、儀器/設(shè)備對信息系統(tǒng)進(jìn)行驗證測試，采用的測評工具的生產(chǎn)商應(yīng)為正規(guī)廠商，具有一定的研發(fā)和服務(wù)能力，能夠?qū)Ξa(chǎn)品進(jìn)行持續(xù)更新并提供質(zhì)量和安全保障。

驗證測試內(nèi)容包括但不限于以下內(nèi)：

1）滲透測試

驗證安全策略正確性；保證用戶登錄窗體身份驗證的安全性；非授權(quán)用戶不能瀏覽到未授權(quán)內(nèi)容；不存在跨站點腳本攻擊漏洞；腳本不存在SQL、Cookie注入漏洞；安全的處理異常，沒有出錯頁面泄露系統(tǒng)信息；應(yīng)用和系統(tǒng)漏洞及其他，并提出整改建議。驗證內(nèi)容包括（但不限于）以下幾個方面：

注入	失效的身份認(rèn)證
敏感信息泄露	XML外部實體（XXE）
失效的訪問控制	安全配置錯誤
跨站腳本（XSS）	不安全的反序列化
使用含有已知漏洞的組件	不足的日志記錄和監(jiān)控

2）性能測試

通過模擬手段對網(wǎng)絡(luò)（包括丟包、時延、帶寬等）、軟件系統(tǒng)（包括負(fù)載、響應(yīng)）、負(fù)載下硬件占用（包含CPU、內(nèi)存）等進(jìn)行全面的測評評估驗證系統(tǒng)的可靠性、可用性，通過對測試結(jié)果的分析，給出相應(yīng)的整改建議。

3）漏洞掃描

據(jù)相關(guān)標(biāo)準(zhǔn)、規(guī)范要求對重要信息系統(tǒng)的安全漏洞進(jìn)行測評。分析總結(jié)系統(tǒng)中存在的主要安全漏洞，指出系統(tǒng)中可能被利用的安全漏洞、系統(tǒng)配置錯誤等缺陷以及相應(yīng)的安全加固意見、建議。

（六）測評工作步驟

等級保護(hù)測評工作流程，受委托測評機(jī)構(gòu)實施的等級測評工作活動及流程與運營、使用單位的自查活動及流程會有所差異，初次等級測評和再次等級測評的工作活動及流程也不完全相同，而且針對不同等級信息系統(tǒng)實施的等級測評工作活動及流程也不相同。受委托測評機(jī)構(gòu)對信息系統(tǒng)的初次等級測評可以分為四項活動：測評準(zhǔn)備活動、方案編制活動、現(xiàn)場測評活動、分析與報告編制活動。投標(biāo)方應(yīng)對等級保護(hù)測評各階段具體工作內(nèi)容進(jìn)行描述。

（1）準(zhǔn)備活動階段：對被測系統(tǒng)進(jìn)行調(diào)研分析，明確測評對象、測評方法等工作。

（2）方案編制階段：制定信息安全等級保護(hù)測評項目計劃書、測評實施方案，并提交委托方確認(rèn)。

（3）現(xiàn)場測評階段：按照等級保護(hù)相關(guān)標(biāo)準(zhǔn)規(guī)范要求從訪談、檢查、測試幾方面進(jìn)行測試評估并出具《整改意見》，并在整改過程中提供技術(shù)咨詢服務(wù)。

（4）分析與報告編制：向委托方提交被測信息系統(tǒng)安全等級保護(hù)測評報告以及相應(yīng)文檔。

（七）實施要求

（1）系統(tǒng)梳理

協(xié)助完成待測信息系統(tǒng)梳理工作。

（2）初測

對本項目所涉及信息系統(tǒng)進(jìn)行現(xiàn)場測評，初次測評完成后提交初評的整改意見報告。

（3）整改加固協(xié)助

協(xié)助對測評過程中發(fā)現(xiàn)的安全問題進(jìn)行技術(shù)整改加固工作，并進(jìn)行整改后的回歸測評。

（4）成果遞交

整理測評結(jié)果，提交被測信息系統(tǒng)安全等級保護(hù)測評報告以及相應(yīng)文檔。

（八）項目管理與實施保障

對項目進(jìn)行科學(xué)嚴(yán)格的管理，通過系統(tǒng)計劃、有序組織、科學(xué)指導(dǎo)和有效控制，促進(jìn)項目全面順利實施，供應(yīng)商必須提供完整的項目管理方案，并符合以下要求：

（1）供應(yīng)商及其測評人員應(yīng)當(dāng)嚴(yán)格執(zhí)行有關(guān)國家信息安全等級保護(hù)相關(guān)標(biāo)準(zhǔn)和有關(guān)規(guī)定，提供客觀、公平、公正、有效的等級保護(hù)測評服務(wù)，并承擔(dān)相應(yīng)的法律責(zé)任。

（2）應(yīng)具備能夠保證其公正性、獨立性的質(zhì)量體系，確保測評活動不受任何可能影響測評結(jié)果的商業(yè)、財務(wù)、健康、環(huán)境等方面的壓力。

（3）供應(yīng)商在對被測評單位開展等級保護(hù)測評服務(wù)之前需與被測評單位簽訂保密協(xié)議，測評過程中向被測評單位借閱的文檔資料應(yīng)在測評工作結(jié)束后全部歸還被測評單位，未經(jīng)被測評單位允許，不得擅自復(fù)制、保留。

（4）供應(yīng)商的崗位配置要至少配置項目經(jīng)理（或總測評工程師）、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人、保密安全員和檔案管理員，其中項目經(jīng)理（或總測評師）、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人、保密安全員和檔案管理員應(yīng)獨立配置，不能有兼任的情況。

★（5）測評人員要求

參與此次等級保護(hù)測評的供應(yīng)商其測評人員應(yīng)具備并符合以下要求：

1）開展此次等級保護(hù)測評工作的人員僅限于中華人民共和國境內(nèi)的中國公民，且無犯罪記錄。

2）測評項目組人員在對開展等級保護(hù)測評工作之前需簽訂保密協(xié)議。

3）總測評工程師具有網(wǎng)絡(luò)（或信息）安全等級測評師高級證書的基礎(chǔ)上具有軟件評測師證書。

4）技術(shù)負(fù)責(zé)人具有網(wǎng)絡(luò)（或信息）安全等級測評師證書(中級及以上）的基礎(chǔ)上具有信息系統(tǒng)審計師或注冊信息系統(tǒng)審計師。

5）質(zhì)量負(fù)責(zé)人需具有網(wǎng)絡(luò)（或信息）安全等級測評師中級證書

6）測評工程師（包含保密安全員和檔案管理員）具有網(wǎng)絡(luò)（或信息）安全等級測評師證書

(注：須提供總測評師、技術(shù)負(fù)責(zé)人、質(zhì)量負(fù)責(zé)人及測評工程師相應(yīng)證書復(fù)印件及本單位社保證明)。復(fù)印件加蓋公章）。

（九）本次項目測評對象及范圍

序號	系統(tǒng)名稱	安全保護(hù)等級
1	HIS系統(tǒng)	第三級
2	LIS系統(tǒng)	第三級
3	PACS系統(tǒng)	第三級
4	EMR系統(tǒng)	第三級

四、商務(wù)要求

1.交貨期限：合同簽訂后**天內(nèi)。

2.交貨地點：廣安市第三人民醫(yī)院。

3.貨物驗收：按合同約定驗收。

4.付款方式：簽訂合同后，甲方接收到乙方通知與票據(jù)憑證資料**日內(nèi)向乙方支付合同總金額的**%，完成所有系統(tǒng)測評工作并出具測評報告后，甲方接收到乙方通知與票據(jù)憑證資料**日內(nèi)向乙方支付合同總金額**%。

★5.售后服務(wù)：

（1）供應(yīng)商在測評期間對系統(tǒng)進(jìn)行檢查、診斷，及時發(fā)現(xiàn)問題隱患，通過系統(tǒng)調(diào)整等手段，保持系統(tǒng)穩(wěn)定、高效地運行。

（2）在項目結(jié)束后，安排專人對被測單位相關(guān)人員進(jìn)行至少一次網(wǎng)絡(luò)安全知識培訓(xùn)。

（3）提供至少兩次漏洞掃描和至少一次滲透測評服務(wù)。

（4）供應(yīng)商將提供7***小時電話咨詢響應(yīng)服務(wù)，及時告之被測評單位，提供相應(yīng)解決方案及建議等。

五、響應(yīng)文件組成

1.響應(yīng)文件封面

2.投標(biāo)（響應(yīng)）函

3.供應(yīng)商應(yīng)提交的相關(guān)資格證明材料

4.產(chǎn)品技術(shù)參數(shù)響應(yīng)表

5.商務(wù)應(yīng)答表

6.報價表

7.分項報價表

六、響應(yīng)文件的印制和簽署

1.響應(yīng)文件的正本和副本應(yīng)在其封面右上角清楚地標(biāo)明“正本”或“副本”字樣。若正本和副本有不一致的內(nèi)容，以正本書面響應(yīng)文件為準(zhǔn)。

2.響應(yīng)文件份數(shù)：正本一份、副本兩份

3.響應(yīng)文件正本和副本必須膠裝成冊，禁止活頁裝訂，否則視為無效投標(biāo)。

4.響應(yīng)文件應(yīng)根據(jù)采購項目的要求制作，簽署、蓋章和內(nèi)容應(yīng)完整，所蓋印章必須為投標(biāo)人公章。

七、響應(yīng)文件的密封和遞交

資格性響應(yīng)文件和技術(shù)、服務(wù)性響應(yīng)文件應(yīng)裝訂、密封，在規(guī)定的評審時間前送達(dá)評審地點，由各參與的供應(yīng)商代表遞交。

八、不正當(dāng)競爭預(yù)防措施

1.在評審過程中，評審小組認(rèn)為供應(yīng)商報價明顯低于其他通過符合性審查供應(yīng)商的報價，有可能影響產(chǎn)品質(zhì)量或者不能誠信履約的，評審小組應(yīng)當(dāng)要求其在合理的時間內(nèi)進(jìn)行書面說明，必要時提交相關(guān)證明材料。

2.供應(yīng)商提交的書面說明，應(yīng)當(dāng)加蓋供應(yīng)商公章，在評審小組要求的時間內(nèi)進(jìn)行提交，否則視為不能證明其響應(yīng)報價合理性。供應(yīng)商不能證明其響應(yīng)報價合理性的，評審小組應(yīng)當(dāng)將其響應(yīng)文件作為無效處理。（注：供應(yīng)商報價低于最高限價**%或者低于其他有效供應(yīng)商報價算術(shù)平均價**%的，評審小組可以認(rèn)為該供應(yīng)商“報價明顯低于其他實質(zhì)性響應(yīng)的供應(yīng)商報價”。）

九、供應(yīng)商邀請方式

在廣安公共資源交易網(wǎng)（http://ggzy.guang-an.gov.cn/）上以發(fā)布公告形式邀請供應(yīng)商。

十、采購結(jié)果公告

采購結(jié)果將在廣安公共資源交易網(wǎng)予以公告。

十一、評審情況公告

所有供應(yīng)商響應(yīng)文件資格性、符合性審查情況、評審結(jié)果、成交供應(yīng)商名單。

十二、成交通知書領(lǐng)取

成交公告在廣安公共資源交易網(wǎng)上公告后，成交供應(yīng)商根據(jù)公告通知和要求到廣安市第三人民醫(yī)院領(lǐng)取成交通知書。

十三、詢問和質(zhì)疑

對采購公告、采購過程和采購結(jié)果的詢問和質(zhì)疑向廣安市第三人民醫(yī)院提出。

注：根據(jù)《中華人民共和國政府采購法》的規(guī)定，供應(yīng)商質(zhì)疑不得超出采購文件、采購過程、采購結(jié)果的范圍。

十四、評審辦法

本項目采用最低評標(biāo)價法，在供應(yīng)商響應(yīng)文件全部符合采購需求前提下，以報價最低的供應(yīng)商作為成交供應(yīng)商。

十五、報名須知

1.報名時間：****年**月2 日至****年**月4 日（8:**-**:**）。

2.報名方式及地點

（1）報名方式：現(xiàn)場提交或郵寄方式

1）營業(yè)執(zhí)照、稅務(wù)登記證和組織機(jī)構(gòu)代碼或三證（多證）合一的營業(yè)執(zhí)照（正本或副本復(fù)印件）

2）法人代表身份證或授權(quán)代表身份證及授權(quán)委托書（復(fù)印件加蓋公章）

3）聯(lián)系人及聯(lián)系方式

（2）報名地點

廣安市第三人民醫(yī)院綜合樓**8辦公室。

十六、評審時間及地點

1.時間：本次評審擬定于****年**月5日**時進(jìn)行。

2.地點：廣安市第三人民醫(yī)院綜合樓2樓**9會議室

十七、項目聯(lián)系人及方式

1.聯(lián)系人：鄧培勇

2.聯(lián)系方式：**********0

廣安市第三人民醫(yī)院

****年**月1日