酒泉市中醫(yī)醫(yī)院管理信息系統(tǒng)等級保護三級測評項目

招標公告

根據《甘肅省人民政府辦公廳轉發(fā)省發(fā)展和改革委員會省公共資源交易局關于進一步加強和規(guī)范市縣公共資源交易工作意見的通知》（甘政辦發(fā)〔2018〕6號）、甘肅省財政廳關于印發(fā)《甘肅省政府集中采購日錄及標準(2025年版)》的通知(甘財采〔2024〕10號)、《酒泉市人民政府辦公室印發(fā)<關于進一步深化“放管服”改革提高政府采購效率的意見>的通知》(酒政辦發(fā)〔2018〕301號)等文件要求。甘肅啟晨項目咨詢管理有限公司受酒泉市中醫(yī)醫(yī)院的委托，對“酒泉市中醫(yī)醫(yī)院管理信息系統(tǒng)等級保護三級測評項目”以詢價邀請的方式進行采購。現確定邀請陜西思安信息網絡安全有限公司、甘肅安信信息安全技術有限公司、蘭州大學應用技術研究院有限責任公司三家單位參與本項目競價。現將相關事宜公告如下：

一、項目編號：QCYC[2025]006號

二、采購內容及技術要求：

1.項目要求

檢測對象：酒泉市中醫(yī)院醫(yī)院信息管理系統(tǒng)一個（三級）。

根據等級保護測評的總體要求，酒泉市中醫(yī)院采購風險可控的信息安全等級保護測評服務。檢測和發(fā)現系統(tǒng)中存在的安全漏洞和安全隱患，提出安全整改建議，從而有效降低系統(tǒng)遭受具有政治目的、經濟目的等惡意攻擊的可能性，以提高安全保障能力和防護水平；同時，測評結論作為進一步完善系統(tǒng)安全防護措施的依據。

2.項目內容

本次等級保護測評主要是基于《GB/T 22240-2020 信息安全技術網絡安全等級保護定級指南》、《GB 17859-1999 計算機信息系統(tǒng)安全保護等級劃分準則》、《GB/T 22239-2019 信息安全技術網絡安全等級保護基本要求》、《GB/T28448-2019 信息安全技術網絡安全等級保護測評要求》、《GB/T 28449-2018 信息安全技術網絡安全等級保護測評過程指南》、《GA/T 390-2002 計算機信息系統(tǒng)安全等級保護通用技術要求》和《GA/T 391-2002 計算機信息系統(tǒng)安全等級保護管理要求》、中的相關內容和要求進行評估，并參考其它等級保護的相關標準。

2.1測評內容

測評的內容包括但不限于以下內容：

2.1.1安全物理環(huán)境

根據項目范圍內信息系統(tǒng)機房和現場安全測評記錄，針對機房和現場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應”和“電磁防護” 等物理安全方面所采取的措施進行，判斷出與其相對應的各測評項的測評結果。

2.1.2安全通信網絡

根據重要信息系統(tǒng)網絡安全測評記錄，針對項目范圍內網絡方面在“網絡架構”、“通信傳輸”、“可信驗證”等網絡安全方面所采取的措施進行檢查，判斷出與其相對應的各測評項的測評結果。

2.1.3安全區(qū)域邊界

安全區(qū)域邊界現場測評包括對項目范圍內信息系統(tǒng)的測評，測評內容包括“邊界防護”、“訪問控制”、“入侵防護”、“惡意代碼防范和垃圾郵件防范”、“安全審計”、“可信驗證”。

2.1.4安全計算環(huán)境

安全計算環(huán)境現場測評包括對項目范圍內信息系統(tǒng)的測評，測評內容包括“身份鑒別”、“訪問控制”、“安全審計”、“入侵防范”、“惡意代碼防范”、“可信驗證”、“數據完整性”、“數據保密性”、“數據備份恢復”、“剩余信息保護”、“個人信息保護”方面。

2.1.5安全管理中心

針對項目范圍內信息系統(tǒng)數據安全及備份恢復現場測評包括“系統(tǒng)管理”、“審計管理”、“安全管理”和“集中管控”幾個方面的測評。

2.1.6安全管理制度

2.1.7根據現場安全測評記錄，針對項目范圍內信息系統(tǒng)在安全管理制度方面的“安全策略”、“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標，判斷出與其相對應的各測評項的測評結果。

2.1.8安全管理機構根據現場安全測評記錄，針對項目范圍內信息系統(tǒng)在安全管理機構方面的“崗位設置”、“人員配備”、“授權和審批”、“溝通和合作”、“審核和檢查”等測評指標，判斷出與其相對應的各測評項的測評結果。

2.1.9安全管理人員

根據現場安全測評記錄，針對項目范圍內信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“安全意識教育和培訓”、“外部人員訪問管理” 等測評指標，判斷出與其相對應的各測評項的測評結果。

2.1.10安全建設管理

根據現場安全測評記錄，針對項目范圍內信息系統(tǒng)在系統(tǒng)建設管理方面的“系統(tǒng)定級”、“安全方案設計”、“產品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務商選擇”等測評指標，判斷出與其相對應的各測評項的測評結果。

2.1.11安全運維管理

根據現場安全測評記錄，針對項目范圍內信息系統(tǒng)在系統(tǒng)運維管理方面的“環(huán)境管理”、“資產管理”、“介質管理”、“設備維護管理”、“漏洞和風險管理”、“網絡和系統(tǒng)安全管理”、“惡意代碼防范管理”、“配置管理”、“密碼管理”、“變更管理”、“備份與恢復管理”、“安全事件處置”、“應急預案管理”、“外包運維管理”等測評指標，判斷出與其相對應的各測評項的測評結果。2.1.12滲透測試

根據項目范圍內應用系統(tǒng)實際部署情況從互聯(lián)網和內網對所測評應用系統(tǒng)進行滲透測試,并根據測試結果提出整改建議和加固方法。

2.2項目實施要求

2.2.1保密要求

在項目實施過程中，供應商承諾對所獲得的數據及文檔等保密信息，承擔以下保密義務：

（1）供應商應按要求與采購人簽署保密協(xié)議。

主動采取加密措施對上述所列及保密信息進行保護，防止不承擔同等保密義務的任何第三者知悉及使用。

（2）不得刺探或者以其他不正當手段（包括利用計算機進行檢索、瀏覽、復制等）獲取與本職工作或本身業(yè)務無關的關于該項目的商業(yè)秘密。

（3）不得向不承擔同等保密義務的任何第三人披露關于該項目的商業(yè)秘密。

（4）不得允許（包括出借、贈與、出租、轉讓等行為）或協(xié)助不承擔同等保密義務的任何第三人使用關于該項目的商業(yè)秘密。

（5）不論何種原因終止參與采購人關于該項目的工作后，都不得利用該項目之商業(yè)秘密為其他與采購人有競爭關系的企業(yè)（包括自辦企業(yè)）服務。

（6）該項目的商業(yè)秘密所有權始終全部歸屬采購人，供應商不得利用自身對項目不同程度的了解申請對于該項目的商業(yè)秘密所有權，在本協(xié)議簽訂前供應商已依法具有某些所有權者除外。

（7）如發(fā)現采購人關于該項目的商業(yè)秘密被泄露或者自己過失泄露秘密，應當采取有效措施防止泄密進一步擴大，并及時向采購人報告。

2.2.2實施要求

（1）在項目實施過程中，供應商應做好計劃與安排，不影響采購人正常業(yè)務的開展。供應商要給予承諾，并承擔由此引起的損失。

（2）在等保測評過程中，每周五下午實施方需提交工作周報，內容應包括本周工作內容和下周工作安排等內容。

（3）等保測評工作應嚴格按照雙方確認的工作方案開展，如遇任何變動，須在工作周報中及時提出，經采購人批準后方可變更。

（4）測評過程中實施測評人員須記錄在途經路徑上涉及的可被利用存在漏洞的相關主機等設備的信息，以便于被測單位對相關漏洞進行全面修補。

（5）測評工作全部結束后實施測評人員須卸載安裝在目標機器或途徑機器上的各類工具、腳本、文件等，還原各機器和系統(tǒng)的原始狀態(tài)。

（6）測評結果中應包括測評過程中發(fā)現的所有漏洞，不能遺漏。

（7）在測評過程中若發(fā)現重大安全問題（如已被控制或存在嚴重安全隱患等），測評機構應在24 小時之內以書面形式通知采購人，以便第一時間做出處理。

（8）測評過程中，實施測評人員在進入被測單位辦公網絡后若發(fā)現測評范圍之外的未知信息系統(tǒng)，須列出系統(tǒng)名稱、服務器IP 地址、操作系統(tǒng)類型、數據庫系統(tǒng)類型等信息，并與采購人協(xié)商是否繼續(xù)進行測評。

（9）測評過程中不得獲取測評范圍以外的數據，獲取的數據不得用于本次測評以外的其他用途。

（10）測評過程中應控制風險，防止測試對網絡及系統(tǒng)運行造成影響，因測試造成系統(tǒng)運行問題應及時報告。

（11）測評過程中，測評機構應該針對被測系統(tǒng)發(fā)現的漏洞提交可行性的解決方案。

（1）需對被測系統(tǒng)進行全面、專業(yè)的滲透測試，發(fā)現應用系統(tǒng)存在的安全隱患，并出具滲透測試報告。

（12）測評機構在測評過程中必須保證系統(tǒng)穩(wěn)定運行，由于測評機構人員能力、不當操作等造成系統(tǒng)、網絡或者服務宕機的，評測機構應承擔相應責任。

2.2.3項目服務需求

（1）服務范圍和期限：（最終交付報告視為完成服務，具體服務要求見采購人基本需求）。

（2）本技術要求提出的是最低限度的技術需求，并未對一切技術細節(jié)做出規(guī)定，供應商應保證提供符合采購人要求的技術服務規(guī)范。

（3）采購人保留對本要求提出補充要求和修改的權利，供應商應允諾予以配合。如提出修改，具體項目和條件由雙方商定。

（4）供應商對采購人實施環(huán)境進行實地考察，并制定出技術服務方案和應急服務方案。

（5）方案確定后，供應商應嚴格按照方案要求進行項目實施、技術服務和應急響應服務，并按合同規(guī)定時間進行技術實施和服務。

（6）雙方應在簽訂合同的同時簽訂保密協(xié)議書，保密協(xié)議書作為合同不可分割的一部分。

（7）采購人將在項目實施過程中提供項目實施所需的場地及實施條件，積極協(xié)調各部門配合供應商實施工作。

3.測評成果物交付

提供安全咨詢服務

按照測評作業(yè)指導書完成信息系統(tǒng)現場測評

《XX信息系統(tǒng)網絡安全等保護測評報告》（每個系統(tǒng)一份）

4.履約期限：

總服務期限三年。

成交供應商必須在合同簽訂后45個工作日內完成本項目首年的相關工作，次年到期后按照采購人要求時間完成。未按要求時間完成的，采購人有權終止合同，應此產生的后果由供應商自行承擔。

5.驗收條件

驗收標準：按國家標準、質量標準規(guī)定及磋商文件的采購內容及技術要求進行驗收。質量達到合格標準。

驗收程序：由甲、乙雙方共同組織相關人員驗收，合格后乙方憑甲、乙雙方簽署的《驗收報告單》提供財務需要的發(fā)票及相關資料，進行結算付款。

三、采購預算：小寫：￥110000.00元，大寫：人民幣壹拾壹萬元整。

四、競價辦法：最低評標價法（在完全滿足采購人要求的資質及采購內容的前提下，選擇合理低價競標人），若酒泉市公共資源交易中心網陽光招標采購平臺系統(tǒng)自動推薦的成交供應商不符合采購人采購需求及資格要求，采購人將不予采納。

五、競標人資格要求：

（一）供應商具有獨立承擔民事責任的能力，應提供有效的營業(yè)執(zhí)照或三證合一證件；

（二）供應商須具有《網絡安全服務認證證書等級保護測評服務認證》；

（三）供應商需提供法定代表人身份證復印件或法定代表人授權委托書；

（四）供應商須提供2024年以來任意一期依法繳納稅收的有效證明材料及依法繳納社會保障資金的有效憑證；（備注：依法免稅或不需要繳納社會保障資金的供應商，應提供相應文件證明其依法免稅或不需要繳納社會保障資金）

備注：1.以上要求的資格審查文件需以掃描件形式（加蓋企業(yè)鮮章）上傳至酒泉市公共資源交易中心網政府采購限額以下項目陽光交易系統(tǒng)（http://www.ggzyjypt.com.cn/），對于上傳的資料文件無法辨認、模糊的，不予認可，視為無效。

六、競標無效說明：

（一）惡意低價謀取中標的，低于市場均價惡意競標，有可能影響產品質量或者不能誠信履約的競標人不予采納；

（二）資格性審查未通過，及不符合采購人采購需求的；

七、注冊須知：

凡是擬參與酒泉市公共資源交易中心網陽光招標采購平臺交易活動的競價人需先在酒泉市公共資源交易中心網站（http://www.ggzyjypt.com.cn/）上注冊后，方可投標競價。

八、上傳資質證明文件截止時間及競價截止時間：

上傳截止時間：2025年03月03日11：00時。

競價開始時間：2025年03月03日12：00時

競價截止時間：2025年03月03日17：00時。

九、采購項目聯(lián)系人姓名、電話及地址：

采購人：酒泉市中醫(yī)醫(yī)院

聯(lián)系人：鄧老師???????聯(lián)系電話：17793759537

地 ?址：甘肅省酒泉市肅州區(qū)盤旋西路6號

采購代理機構：甘肅啟晨項目咨詢管理有限公司

聯(lián)系人：鄧亞萍????????聯(lián)系電話：19993652915

地 ?址：甘肅省酒泉市肅州區(qū)中天國際403室?