周口市中醫(yī)院2023年網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)項(xiàng)目，將采用院內(nèi)競談方式進(jìn)行招標(biāo)，歡迎符合條件的供應(yīng)商前來參加。

一、項(xiàng)目基本情況

1.項(xiàng)目編號：202300059

2.項(xiàng)目名稱：周口市中醫(yī)院2023年網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)項(xiàng)目

3.采購方式：院內(nèi)競談

4.采購內(nèi)容：(詳情見招標(biāo)文件，招標(biāo)文件報(bào)名時(shí)領(lǐng)取)

5.預(yù)算金額：29萬元

6.質(zhì)量要求：符合國家或行業(yè)現(xiàn)行標(biāo)準(zhǔn)規(guī)定

7.服務(wù)要求：1年

二、投標(biāo)人資格要求

1.具有稅務(wù)登記證、營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼或三證合一的營業(yè)執(zhí)照

2.擬任委托代理人必須為本單位人員，需提供勞動(dòng)合同

3.具備公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證證書》

4.具有河南省網(wǎng)絡(luò)與數(shù)據(jù)安全工程研究中心頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全評估體系建設(shè)技術(shù)支撐單位

三、報(bào)名時(shí)需攜帶材料

1.稅務(wù)登記證、營業(yè)執(zhí)照、組織機(jī)構(gòu)代碼或三證合一的營業(yè)執(zhí)照

2.法人授權(quán)書及法人、被授權(quán)人身份證復(fù)印件及勞動(dòng)合同

3.公安部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證證書》

4.具有河南省網(wǎng)絡(luò)與數(shù)據(jù)安全工程研究中心頒發(fā)的計(jì)算機(jī)信息系統(tǒng)安全評估體系建設(shè)技術(shù)支撐單位

5.失信被執(zhí)行人、重大稅收違法失信主體、政府采購嚴(yán)重違法失信行為記錄名單查詢記錄（“信用中國”及“中國政府采購網(wǎng)”查詢記錄）；

注：以上資料缺一不可，提交時(shí)需攜帶原件及加蓋紅章的復(fù)印件，只攜帶復(fù)印件的不予受理。

四、投標(biāo)保證金

1.各投標(biāo)單位于報(bào)名時(shí)需繳納投標(biāo)保證金6000元，中標(biāo)單位將投標(biāo)保證金轉(zhuǎn)為履約保證金，不中標(biāo)單位無息退回。

2.凡報(bào)名成功的供應(yīng)商無故不來參與投標(biāo)的，不退還投標(biāo)保證金。

3.投標(biāo)保證金請以貴公司對公賬戶存入我院賬戶，不能以個(gè)人名義存入。

請將投標(biāo)保證金存入我院以下賬戶：

賬戶名：周口市中醫(yī)院

開戶行：中原銀行周口荷花支行

賬號：01500060104015000412

轉(zhuǎn)賬時(shí)請?jiān)谟猛疽粰跇?biāo)明項(xiàng)目名稱

五、報(bào)名時(shí)間及地點(diǎn)：

1.報(bào)名時(shí)間：2023年10月16日-2023年10月20日（上午8:30-11:30下午15:00 -17:00節(jié)假日除外）

2.報(bào)名地點(diǎn)：周口市中醫(yī)院行政樓（6號樓）三樓招標(biāo)辦

聯(lián)系人：徐老師電話：0394—8282792

六、具體開標(biāo)、評標(biāo)時(shí)間及地點(diǎn)：另行通知

七、發(fā)布公告媒體

1.本次招標(biāo)公告僅在《周口市中醫(yī)院官網(wǎng)》上發(fā)布，其他網(wǎng)站轉(zhuǎn)載采購人不承擔(dān)任何責(zé)任

2.項(xiàng)目公告時(shí)間：2023年10月16日-2023年10月20日（上午8:30-11:30下午15:00 -17:00節(jié)假日除外）

八、項(xiàng)目要求

1.項(xiàng)目背景

為認(rèn)真貫徹和落實(shí)《中華人民共和國網(wǎng)絡(luò)安全法》、《貫徹落實(shí)網(wǎng)絡(luò)安全等級保護(hù)制度和關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)制度的知道意見》公安網(wǎng)[2020]1960、《中華人民共和國數(shù)據(jù)安全法》、中央27號文件《國家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》、國務(wù)院《關(guān)于大力推進(jìn)信息化發(fā)展和切實(shí)保障信息安全的若干意見》文件要求，切實(shí)提高周口市中醫(yī)院信息系統(tǒng)安全保護(hù)能力和信息安全管理水平，我院擇優(yōu)選取具有級測評資質(zhì)的第三方安全等級測評公司，按照國家相關(guān)要求開展信息安全等級保護(hù)測評，依據(jù)信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南【GB/T 25058-2019】、信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)定級指南【GB/T 22240-2020】、信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)基本要求【GB/T 22239-2019】等相關(guān)文件要求，對本單位系統(tǒng)進(jìn)行全面的安全等級測評并協(xié)助完成整改工作，為全面提升周口市中醫(yī)院信息系統(tǒng)的安全保障能力和防護(hù)水平

2.項(xiàng)目服務(wù)范圍

本次安全等級測評項(xiàng)目涉及以下信息系統(tǒng)：

對招標(biāo)的信息系統(tǒng)按照等級保護(hù)級別2.0標(biāo)準(zhǔn)，進(jìn)行網(wǎng)絡(luò)安全等級保護(hù)測評，發(fā)現(xiàn)可能存在的問題，并提出可行性整改方案，出具公安部門認(rèn)定的測評報(bào)告，協(xié)助完成備案工作。

3.項(xiàng)目整體要求

對采購清單信息系統(tǒng)按照等級保護(hù)三級標(biāo)準(zhǔn)進(jìn)行安全測評工作，發(fā)現(xiàn)可能存在的問題，并提出可行性整改方案，出具公安部門認(rèn)定的網(wǎng)絡(luò)安全保護(hù)等級測評報(bào)告，協(xié)助醫(yī)院完成整改方案中的整改，以達(dá)到等級保護(hù)相關(guān)文件的要求，確保完成信息系統(tǒng)安全保護(hù)等級備案工作，并按單位要求在公安部門取得備案證明。

3.1在安全等級測評過程中，每個(gè)工作階段、流程、內(nèi)容、及成果交付嚴(yán)格遵循《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》（GB/T28448-2019）和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》（GB/T28449-2018）文件的要求，根據(jù)本項(xiàng)目信息系統(tǒng)情況協(xié)助完成信息系統(tǒng)定級備案工作，并開展相應(yīng)級別的安全等級測評工作，測評結(jié)果需得到招標(biāo)人的確認(rèn)，測評報(bào)告的編制嚴(yán)格遵照《網(wǎng)絡(luò)安全等級保護(hù)測評報(bào)告》（最新模版）。

3.2針對測評中不足提出改進(jìn)建議并協(xié)助我單位進(jìn)行改進(jìn)以達(dá)到相關(guān)標(biāo)準(zhǔn)要求。不得非授權(quán)占有、使用我單位測評相關(guān)資料及數(shù)據(jù)文件。

3.3實(shí)施人員要求：符合《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)管理辦法》對測評機(jī)構(gòu)和測評人員的要求，由公安部信息安全等級保護(hù)評估中心或中關(guān)村信息安全測評聯(lián)盟頒發(fā)的信息安全等級測評師證書。

4.需遵循的政策法規(guī)及規(guī)范

? 《中華人民共和國網(wǎng)絡(luò)安全法》

?《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)；

?《信息安全等級保護(hù)安全建設(shè)整改工作指導(dǎo)意見》(公信安[2009]1429號)；

?《網(wǎng)絡(luò)安全等級保護(hù)實(shí)施指南》(GB/T 25058-2020)；

?《網(wǎng)絡(luò)安全等級保護(hù)定級指南》(GB/T 22240-2020)；

?《網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)；

?《網(wǎng)絡(luò)安全等級保護(hù)設(shè)計(jì)技術(shù)要求》(GB/T 25070-2019)；

?《網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T28448-2019)；

?《網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》(GB/T28449-2018)；

? 《衛(wèi)生部辦公廳關(guān)于全面開展衛(wèi)生行業(yè)信息安全等級保護(hù)工作的通知》；

? 《衛(wèi)生部關(guān)于衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》；

? 《河南省醫(yī)院信息化建設(shè)指南》。

包括但不限于以上法律規(guī)范。

5.項(xiàng)目實(shí)施內(nèi)容要求

5.1測評內(nèi)容

測評內(nèi)容主要包括兩個(gè)方面：一是單元測評，測評指標(biāo)與GB/T2239-2019相應(yīng)等級的基本要求完全一致；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。

單元測評包括安全技術(shù)測評和安全管理測評兩大部分，其中安全技術(shù)測評層面主要包含：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心。安全管理測評層面主要包含：安全管理制度、安全管理人員、安全管理機(jī)構(gòu)、安全建設(shè)管理、安全運(yùn)維管理。

整體測評在單元測評的基礎(chǔ)上進(jìn)行進(jìn)一步測評分析，在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構(gòu)的安全測評等。

（1）安全物理環(huán)境

主要包含物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)10個(gè)方面的內(nèi)容。

（2）安全通信網(wǎng)絡(luò)

主要包含網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證3方面的內(nèi)容。

（3）安全區(qū)域邊界

主要包含邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)、可信驗(yàn)證等6個(gè)方面的內(nèi)容。

（4）安全計(jì)算環(huán)境

主要包含身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)11方面的內(nèi)容。

（5）安全管理中心

主要包含系統(tǒng)管理、審計(jì)管理、安全管理、集中管控4個(gè)方面的內(nèi)容。

（6）安全管理制度

安全管理制度測評主要涉及安全策略、管理制度、制定和發(fā)布、評審和修訂4個(gè)方面的安全保護(hù)能力。

（7）安全管理人員

主要包含人員錄用、人員離崗、安全意識教育和培訓(xùn)、外部人員訪問管理4個(gè)方面的內(nèi)容。

（8）安全管理機(jī)構(gòu)

主要包含崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查5個(gè)方面的內(nèi)容。

（9）安全建設(shè)管理

主要包含定級和備案、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測試驗(yàn)收、系統(tǒng)交付、等級測評、服務(wù)供應(yīng)商選擇10個(gè)方面的內(nèi)容。

（10）安全運(yùn)維管理

主要包含環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護(hù)管理、漏洞和風(fēng)險(xiǎn)管理、網(wǎng)絡(luò)和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理、外包運(yùn)維管理14個(gè)方面的內(nèi)容。

系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓?fù)?、局部結(jié)構(gòu)，也關(guān)系到信息系統(tǒng)的具體安全功能實(shí)現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實(shí)際情況緊密相關(guān)，內(nèi)容復(fù)雜且充滿系統(tǒng)個(gè)性。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實(shí)施方法和明確的結(jié)果判定方法是很困難的。測評人員應(yīng)根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合本標(biāo)準(zhǔn)要求，確定系統(tǒng)整體測評的具體內(nèi)容，在安全控制測評的基礎(chǔ)上，重點(diǎn)考慮安全控制間、層面間以及區(qū)域間的相互關(guān)聯(lián)關(guān)系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強(qiáng)、補(bǔ)充和削弱作用以及信息系統(tǒng)整體結(jié)構(gòu)安全性、不同信息系統(tǒng)之間整體安全性等。

5.2項(xiàng)目交付成果

項(xiàng)目階段各階段的測評過程文檔（參照《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》）編制。相見下表（包括但不限于）

6.整改建議要求

依據(jù)信息系統(tǒng)安全等級測評的相關(guān)報(bào)告，編制并提交相關(guān)的信息安全整改建議方案，并全程協(xié)助完成整改工作。

1）具體要求

依照《信息安全等級保護(hù)安全建設(shè)整改工作指導(dǎo)意見》（公信安[2009]1429號），嚴(yán)格遵循《信息安全等級保護(hù)安全建設(shè)整改工作指南》、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 25070-2019）各項(xiàng)要求，在系統(tǒng)測評工作的基礎(chǔ)上，對信息系統(tǒng)總體信息安全管理和技術(shù)方面現(xiàn)狀進(jìn)行全面的分析，制訂信息安全等級保護(hù)安全建設(shè)整改方案，方案內(nèi)容包含但不限于：信息安全背景、政策與技術(shù)標(biāo)準(zhǔn)依據(jù)、當(dāng)前風(fēng)險(xiǎn)分析、安全需求分析、總體安全策略、安全建設(shè)整改技術(shù)方案設(shè)計(jì)、安全建設(shè)整改管理體系設(shè)計(jì)、信息系統(tǒng)安全產(chǎn)品選型及技術(shù)指標(biāo)建議、安全建設(shè)整改項(xiàng)目實(shí)施計(jì)劃、項(xiàng)目預(yù)算，整改后可能存在的其他問題。

2）工作過程文件及項(xiàng)目交付成果（包括但不限于）

安全等級測評整改技術(shù)方案，方案可根據(jù)整改和規(guī)劃內(nèi)容的重要性和復(fù)雜程度采用分冊方式編寫。

7.項(xiàng)目成果

7.1《網(wǎng)絡(luò)安全等級測評報(bào)告》

7.2《網(wǎng)絡(luò)安全等級測評整改建議》

                             周口市中醫(yī)院招標(biāo)辦

                             2023年10月13日