為滿足醫(yī)療臨床需要，更好地為患者提供醫(yī)療服務(wù)，現(xiàn)對(duì)下列項(xiàng)目進(jìn)行院內(nèi)采購，歡迎符合資格條件的單位積極參與投標(biāo)。

一、采購項(xiàng)目內(nèi)容：LIS系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)服務(wù)，

二、參數(shù)要求：

參數(shù)要求：

本項(xiàng)目的宗旨在于通過對(duì)本單位LIS系統(tǒng)開展等級(jí)測(cè)評(píng)服務(wù)，通過等級(jí)測(cè)評(píng)，明確該系統(tǒng)的安全建設(shè)現(xiàn)狀，找出存在的安全風(fēng)險(xiǎn)，分析安全建設(shè)差距，提出安全整改建議，并以此為基礎(chǔ)，進(jìn)一步制**全建設(shè)整改方案，完善保護(hù)措施，使該系統(tǒng)滿足我國關(guān)于等級(jí)保護(hù)相應(yīng)級(jí)別的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高本單位的安全意識(shí)，增強(qiáng)網(wǎng)絡(luò)的抗攻擊的能力，保證被測(cè)系統(tǒng)正常運(yùn)轉(zhuǎn)。

一、服務(wù)內(nèi)容

1.信息系統(tǒng)備案

按照《信息安全等級(jí)保護(hù)備案實(shí)施細(xì)則》（公信安[2007]1360號(hào)）文件要求，完成定級(jí)、備案材****機(jī)關(guān)網(wǎng)安部門備案工作，并取得**相關(guān)部門出具的信息系統(tǒng)安全等級(jí)保護(hù)備案證明。

2.初次測(cè)評(píng)

參照《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）檢查被測(cè)系統(tǒng)，從安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、****中心等五個(gè)層面和管理上的安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理進(jìn)行差距分析，對(duì)系統(tǒng)進(jìn)行初次安全評(píng)估。通過對(duì)系統(tǒng)現(xiàn)狀的分析和梳理，發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全措施與等級(jí)保護(hù)基本要求的差距，提出安全整改建議，以指導(dǎo)后續(xù)安全整改工作。

（1）安全物理環(huán)境測(cè)評(píng)：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應(yīng)、電磁防護(hù)等內(nèi)容。

（2）安全通信網(wǎng)絡(luò)測(cè)評(píng)：包括網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證等內(nèi)容。

（3）安全區(qū)域邊界測(cè)評(píng)：包括邊界防護(hù)、訪問控制、入侵防范、惡意代碼防范、安全審計(jì)、可信驗(yàn)證等內(nèi)容。

（4）安全計(jì)算環(huán)境測(cè)評(píng)：包括身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可信驗(yàn)證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)、個(gè)人信息保護(hù)等內(nèi)容。

（5****中心測(cè)評(píng)：系統(tǒng)管理、審計(jì)管理、安全管理、集中管控等內(nèi)容。

（6）安全管理制度：涵蓋管理制度、制定和發(fā)布、評(píng)審和修訂。

（7）安全管理機(jī)構(gòu)：涵蓋崗位設(shè)置、人員配備、授權(quán)和審批、溝通和**、審核和檢查。

（8）安全管理人員：涵蓋人員錄用、人員離崗、人員考核、安全意識(shí)教育和培訓(xùn)、外部人員訪問管理。

（9）安全建設(shè)管理：涵蓋系統(tǒng)定級(jí)、安全方案設(shè)計(jì)、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實(shí)施、測(cè)試驗(yàn)收、系統(tǒng)交付、安全服務(wù)商選擇。

（10）安全運(yùn)維管理：涵蓋環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備管理、網(wǎng)絡(luò)安全管理、系統(tǒng)安全管理、惡意代碼管理、密碼管理、測(cè)評(píng)實(shí)施、備份與恢復(fù)管理、安全事件處置、應(yīng)急預(yù)案管理。

3.信息系統(tǒng)等保整改方案及建議

中標(biāo)方應(yīng)協(xié)助招標(biāo)人按照《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）等有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)，全程協(xié)助采購人制定并落實(shí)安全管理制度、落實(shí)安全責(zé)任，建設(shè)安全設(shè)施，落實(shí)安全技術(shù)措施。針對(duì)測(cè)評(píng)發(fā)現(xiàn)的問題，形成問題清單，出具整改建議，協(xié)助采購人按照銷號(hào)制度開展相關(guān)整改工作，針對(duì)問題項(xiàng)逐一進(jìn)行整改，直至問題整改完畢，對(duì)應(yīng)暫時(shí)不能整改的問題，要提出臨時(shí)解決建議方案，采取臨時(shí)防護(hù)手段確保安全。通過安全建設(shè)整改，確保信息系統(tǒng)通過相應(yīng)級(jí)別的安全等級(jí)評(píng)測(cè)。

4.二次測(cè)評(píng)

通過對(duì)整改后的系統(tǒng)進(jìn)行分析和梳理，再次實(shí)施安全測(cè)評(píng)，記錄訪談檢查結(jié)果，進(jìn)行綜合分析，梳理安全風(fēng)險(xiǎn)，再次提出安全整改建議，測(cè)評(píng)結(jié)束后，按照**部有關(guān)要求及《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告》（2021年版）完**全測(cè)評(píng)報(bào)告的編寫。

6.咨詢服務(wù)

提供信息系統(tǒng)的安全咨詢和整改建議等技術(shù)支持服務(wù)，涵蓋系統(tǒng)建設(shè)、運(yùn)維、管理、技術(shù)等相關(guān)安全問題；協(xié)助開展單位內(nèi)部網(wǎng)絡(luò)與信息安全檢查工作。

7.安全意識(shí)和技能培訓(xùn)

針對(duì)技術(shù)人員、管理層提供不同類型的信息安全培訓(xùn)，包括管理培訓(xùn)和網(wǎng)絡(luò)安全技術(shù)培訓(xùn)。

2.2工作原則

本次安全保護(hù)等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案設(shè)計(jì)與具體實(shí)施應(yīng)滿足以下原則：

1、保密原則：對(duì)測(cè)評(píng)的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害招標(biāo)人的行為，否則招標(biāo)人有權(quán)追究投標(biāo)人的責(zé)任。

2、規(guī)范性原則：投標(biāo)人的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制。

3、可控性原則：測(cè)評(píng)服務(wù)的進(jìn)度要跟上進(jìn)度表的安排，保證招標(biāo)人對(duì)于測(cè)評(píng)工作的可控性。

4、整體性原則：測(cè)評(píng)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括國家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。

5、最小影響原則：測(cè)評(píng)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)，并在可控范圍內(nèi)；測(cè)評(píng)工作不能對(duì)現(xiàn)有信息系統(tǒng)的的正常運(yùn)行、業(yè)務(wù)的正常開展產(chǎn)生任何影響，保證現(xiàn)有系統(tǒng)24小時(shí)的不間斷、穩(wěn)定、安全運(yùn)行。

6、非高峰期原則：漏洞掃描及滲透測(cè)試時(shí)間，應(yīng)盡量安排在夜間或法定節(jié)假日期間，制定切實(shí)可行的測(cè)試實(shí)施細(xì)則；對(duì)意外導(dǎo)致的宕機(jī)等，應(yīng)提供應(yīng)急保障方案，切實(shí)保證關(guān)鍵系統(tǒng)能正常工作。

投標(biāo)人應(yīng)嚴(yán)格按照上述原則和國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展項(xiàng)目實(shí)施工作。

二、服務(wù)對(duì)象及范圍

本系統(tǒng)測(cè)評(píng)的測(cè)評(píng)范圍及對(duì)象包括以下幾類：

1、主機(jī)房（包括其環(huán)境、設(shè)備和設(shè)施等）和部分輔機(jī)房，應(yīng)將放置了服務(wù)于信息系統(tǒng)的局部（包括整體）或?qū)π畔⑾到y(tǒng)的局部（包括整體）安全性起重要作用的設(shè)備、設(shè)施的輔機(jī)房選取作為測(cè)評(píng)對(duì)象；

2、辦公場(chǎng)地：信息系統(tǒng)機(jī)房；

3、整個(gè)系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)；

4、安全設(shè)備，包括防火墻、入侵檢測(cè)設(shè)備和防病毒網(wǎng)關(guān)等；

5、邊界網(wǎng)絡(luò)設(shè)（可能會(huì)包含安全設(shè)備），包括路由器、防火墻、認(rèn)證網(wǎng)關(guān)和邊界接入設(shè)備（如樓層交換機(jī)）等；

6、對(duì)整個(gè)信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡(luò)互聯(lián)設(shè)備，如核心交換機(jī)、匯聚層交換機(jī)、路由器等；

7、存儲(chǔ)被測(cè)系統(tǒng)重要數(shù)據(jù)的介質(zhì)的存放環(huán)境；

8、承載被測(cè)系統(tǒng)主要業(yè)務(wù)或數(shù)據(jù)的服務(wù)器（包括其操作系統(tǒng)和數(shù)據(jù)庫）；

9、管理終端和主要業(yè)務(wù)應(yīng)用系統(tǒng)終端；

10、對(duì)**信息系統(tǒng)及關(guān)聯(lián)信息系統(tǒng)；

11、業(yè)務(wù)備份系統(tǒng)；

12、管理方面：信息安全主管人員、各方面的負(fù)責(zé)人員、具體負(fù)責(zé)安全管理的當(dāng)事人、業(yè)務(wù)負(fù)責(zé)人；

13、涉及到信息系統(tǒng)安全的所有管理制度設(shè)計(jì)和記錄要求。

三、安全服務(wù)依據(jù)要求

中標(biāo)人應(yīng)依據(jù)國家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展工作，依據(jù)標(biāo)準(zhǔn)包括但不限于如下國家標(biāo)準(zhǔn)：

（1）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）

（2）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求》（GB/T 25070-2019）

（3）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2019）

（4）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過程指南》（GB/T 28449-2018）

（5）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》（GB/T 36627-2018）

（6）《信息安全技術(shù)網(wǎng)絡(luò)****管理中心技術(shù)要求》 （GB/T 36958-2018）

（7）（GB/T 36959-2018）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)機(jī)構(gòu)能力要求和評(píng)估規(guī)范 》

（8）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）

（9）《信息系統(tǒng)安全保護(hù)等級(jí)定級(jí)指南》（GB/T 22240-2020）

（10）《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2019 ）

（11）《信息技術(shù)安全技術(shù)信息安全管理體系要求》（GB/T22080-2016）

（12）《計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》（GAT 390-2002）

（13）《信息安全技術(shù)信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

（14）《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

（15）《信息安全技術(shù)信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范》（GB/T 20984-2007）

（16）《重要信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)報(bào)告》

（17）《信息系統(tǒng)安全等級(jí)測(cè)評(píng)服務(wù)合同》

（18）其它國家法律、法規(guī)要求

四、交付物

（1）測(cè)評(píng)方案；

（2）安全等級(jí)建設(shè)整改建議；

（3）等級(jí)測(cè)評(píng)報(bào)告。

五、投標(biāo)報(bào)價(jià)

六、實(shí)施或完工時(shí)間：

七、項(xiàng)目驗(yàn)收要求：項(xiàng)目交付后由招標(biāo)人根據(jù)合同、招標(biāo)文件、投標(biāo)文件組織驗(yàn)收。

八、服務(wù)及售后服務(wù)基本要求

（1）免費(fèi)售后服務(wù)期限：自合同簽訂之日一年。

（2）測(cè)評(píng)機(jī)構(gòu)資質(zhì)和人員能力要求：

1******部第三研究所頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書》及中國網(wǎng)****認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評(píng)估資質(zhì)（二級(jí)），投標(biāo)時(shí)提供上述證件掃描件加蓋公章。

2）投標(biāo)人應(yīng)當(dāng)具有滿足等級(jí)測(cè)評(píng)工作的專業(yè)技術(shù)人員和管理人員，投標(biāo)人投入本項(xiàng)目實(shí)施團(tuán)隊(duì)人員不得少于6人，均須具備從事等級(jí)保護(hù)測(cè)評(píng)工作的認(rèn)證資格，其中具備高級(jí)測(cè)評(píng)師資格的人員不少于1人，具備中級(jí)測(cè)評(píng)師資格的人員不少于2人****公司高級(jí)測(cè)評(píng)師、中級(jí)測(cè)評(píng)師在中國網(wǎng)絡(luò)安全等級(jí)保護(hù)網(wǎng)的查詢截圖和中、高級(jí)測(cè)評(píng)師證書復(fù)印件加蓋公章）。項(xiàng)目負(fù)責(zé)人應(yīng)同時(shí)具備：高級(jí)測(cè)評(píng)師證書、省級(jí)科技進(jìn)步獎(jiǎng)、注冊(cè)信息安全專業(yè)人員證書（CISP）證書、數(shù)據(jù)安全官證書、國家重要信息系統(tǒng)保護(hù)人員證書（CIIPT-D），其他主要人員中，中級(jí)測(cè)評(píng)師應(yīng)同時(shí)具有注冊(cè)網(wǎng)絡(luò)安全滲透評(píng)估專業(yè)人員證書（NSATP-A）、國家重要信息系統(tǒng)保護(hù)人員證書（CIIPT-A）及信息安全保障人員應(yīng)急服務(wù)認(rèn)證證書（提供相關(guān)證明材料）。

（3）售后服務(wù)：

售后服務(wù)響應(yīng)時(shí)間及維護(hù)承諾：在驗(yàn)收合格后一年內(nèi)為招標(biāo)方提供信息系統(tǒng)建設(shè)咨詢服務(wù)，涵蓋系統(tǒng)基礎(chǔ)設(shè)計(jì)、系統(tǒng)建設(shè)方案、運(yùn)維管理等相關(guān)的建設(shè)及安全問題，提供信息安全檢查咨詢和整改建議等技術(shù)支持服務(wù)。

三、采購編號(hào)：****

四、最高限價(jià):9萬元

四、資質(zhì)要求：

報(bào)名單位必須具備如下條件：

1、****管理部門注冊(cè)，具有獨(dú)立的法人資格；

2、本項(xiàng)目內(nèi)容在其經(jīng)許可的經(jīng)營范圍內(nèi)；

3、未被“信用中國”網(wǎng)站（www.****.cn）列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重失信行為記錄名單。（請(qǐng)?zhí)峁┚W(wǎng)頁截圖及前3年內(nèi)在經(jīng)營活動(dòng)中沒有重大違法記錄的書面聲明）；

4、本項(xiàng)目不接受聯(lián)合體投標(biāo)。

五、報(bào)名需提交材料：

1、投標(biāo)函加蓋單位公章（見招標(biāo)管理--流程表單--附件1）

2、招標(biāo)采購項(xiàng)目報(bào)名表；（見招標(biāo)管理--流程表單--附件2）

3、投標(biāo)公司資質(zhì)：法人營業(yè)執(zhí)照（三證合一）、稅務(wù)登記證、組織機(jī)構(gòu)代碼證、經(jīng)營許可證、經(jīng)營備案憑證等的復(fù)印件。

4、法定代表人身份證明和授權(quán)委托書格式要求（見招標(biāo)管理--流程表單--附件3）

5、未被“信用中國”網(wǎng)站（www.****.cn）列入失信被執(zhí)行人、重大稅收違法案件當(dāng)事人名單、政府采購嚴(yán)重失信行為記錄名單。（請(qǐng)?zhí)峁┚W(wǎng)頁截圖及前3年內(nèi)在經(jīng)營活動(dòng)中沒有重大違法記錄的）

6、提供服務(wù)承諾函，承諾內(nèi)容包含但不僅限于規(guī)格要求及資質(zhì)要求的相關(guān)內(nèi)容

要求:投標(biāo)公司將招標(biāo)采購項(xiàng)目報(bào)名表于 2024年8月19日 17：00之前將掃描件發(fā)送至****@163.com郵箱。其他材料請(qǐng)加蓋單位公章按要求裝訂成冊(cè)（格式要求見招標(biāo)管理-流程表單-附件3），一正本，兩副本，密封后于2024年8月19日 17：00之前郵寄或直接送達(dá)。

標(biāo)書封面注明投標(biāo)項(xiàng)目、聯(lián)系人及聯(lián)系電話，開標(biāo)時(shí)間另行通知（所有標(biāo)書概不退還）

六、報(bào)名截止日期：2024年8月19日

七、聯(lián)系方式：

聯(lián)系科室：**省**市****門診四樓419室采購辦

聯(lián)系人：張朝

聯(lián)系電話：0314-****208