周口市中醫(yī)院2023年網(wǎng)絡安全等級保護測評服務項目，將采用院內(nèi)競談方式進行招標，歡迎符合條件的供應商前來參加。

一、項目基本情況

1.項目編號：202300059

2.項目名稱：周口市中醫(yī)院2023年網(wǎng)絡安全等級保護測評服務項目

3.采購方式：院內(nèi)競談

4.采購內(nèi)容：(詳情見招標文件，招標文件報名時領取)

5.預算金額：29萬元

6.質(zhì)量要求：符合國家或行業(yè)現(xiàn)行標準規(guī)定

7.服務要求：1年

二、投標人資格要求

1.具有稅務登記證、營業(yè)執(zhí)照、組織機構代碼或三證合一的營業(yè)執(zhí)照

2.擬任委托代理人必須為本單位人員，需提供勞動合同

3.具備公安部第三研究所頒發(fā)的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》

4.具有河南省網(wǎng)絡與數(shù)據(jù)安全工程研究中心頒發(fā)的計算機信息系統(tǒng)安全評估體系建設技術支撐單位

三、報名時需攜帶材料

1.稅務登記證、營業(yè)執(zhí)照、組織機構代碼或三證合一的營業(yè)執(zhí)照

2.法人授權書及法人、被授權人身份證復印件及勞動合同

3.公安部第三研究所頒發(fā)的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》

4.具有河南省網(wǎng)絡與數(shù)據(jù)安全工程研究中心頒發(fā)的計算機信息系統(tǒng)安全評估體系建設技術支撐單位

5.失信被執(zhí)行人、重大稅收違法失信主體、政府采購嚴重違法失信行為記錄名單查詢記錄（“信用中國”及“中國政府采購網(wǎng)”查詢記錄）；

注：以上資料缺一不可，提交時需攜帶原件及加蓋紅章的復印件，只攜帶復印件的不予受理。

四、投標保證金

1.各投標單位于報名時需繳納投標保證金6000元，中標單位將投標保證金轉(zhuǎn)為履約保證金，不中標單位無息退回。

2.凡報名成功的供應商無故不來參與投標的，不退還投標保證金。

3.投標保證金請以貴公司對公賬戶存入我院賬戶，不能以個人名義存入。

請將投標保證金存入我院以下賬戶：

賬戶名：周口市中醫(yī)院

開戶行：中原銀行周口荷花支行

賬號：01500060104015000412

轉(zhuǎn)賬時請在用途一欄標明項目名稱

五、報名時間及地點：

1.報名時間：2023年10月16日-2023年10月20日（上午8:30-11:30下午15:00 -17:00節(jié)假日除外）

2.報名地點：周口市中醫(yī)院行政樓（6號樓）三樓招標辦

聯(lián)系人：徐老師電話：0394—8282792

六、具體開標、評標時間及地點：另行通知

七、發(fā)布公告媒體

1.本次招標公告僅在《周口市中醫(yī)院官網(wǎng)》上發(fā)布，其他網(wǎng)站轉(zhuǎn)載采購人不承擔任何責任

2.項目公告時間：2023年10月16日-2023年10月20日（上午8:30-11:30下午15:00 -17:00節(jié)假日除外）

八、項目要求

1.項目背景

為認真貫徹和落實《中華人民共和國網(wǎng)絡安全法》、《貫徹落實網(wǎng)絡安全等級保護制度和關鍵信息基礎設施安全保護制度的知道意見》公安網(wǎng)[2020]1960、《中華人民共和國數(shù)據(jù)安全法》、中央27號文件《國家信息化領導小組關于加強信息安全保障工作的意見》、國務院《關于大力推進信息化發(fā)展和切實保障信息安全的若干意見》文件要求，切實提高周口市中醫(yī)院信息系統(tǒng)安全保護能力和信息安全管理水平，我院擇優(yōu)選取具有級測評資質(zhì)的第三方安全等級測評公司，按照國家相關要求開展信息安全等級保護測評，依據(jù)信息安全技術網(wǎng)絡安全等級保護實施指南【GB/T 25058-2019】、信息安全技術網(wǎng)絡安全等級保護定級指南【GB/T 22240-2020】、信息安全技術網(wǎng)絡安全等級保護基本要求【GB/T 22239-2019】等相關文件要求，對本單位系統(tǒng)進行全面的安全等級測評并協(xié)助完成整改工作，為全面提升周口市中醫(yī)院信息系統(tǒng)的安全保障能力和防護水平

2.項目服務范圍

本次安全等級測評項目涉及以下信息系統(tǒng)：

對招標的信息系統(tǒng)按照等級保護級別2.0標準，進行網(wǎng)絡安全等級保護測評，發(fā)現(xiàn)可能存在的問題，并提出可行性整改方案，出具公安部門認定的測評報告，協(xié)助完成備案工作。

3.項目整體要求

對采購清單信息系統(tǒng)按照等級保護三級標準進行安全測評工作，發(fā)現(xiàn)可能存在的問題，并提出可行性整改方案，出具公安部門認定的網(wǎng)絡安全保護等級測評報告，協(xié)助醫(yī)院完成整改方案中的整改，以達到等級保護相關文件的要求，確保完成信息系統(tǒng)安全保護等級備案工作，并按單位要求在公安部門取得備案證明。

3.1在安全等級測評過程中，每個工作階段、流程、內(nèi)容、及成果交付嚴格遵循《信息安全技術 網(wǎng)絡安全等級保護測評要求》（GB/T28448-2019）和《信息安全技術 網(wǎng)絡安全等級保護測評過程指南》（GB/T28449-2018）文件的要求，根據(jù)本項目信息系統(tǒng)情況協(xié)助完成信息系統(tǒng)定級備案工作，并開展相應級別的安全等級測評工作，測評結(jié)果需得到招標人的確認，測評報告的編制嚴格遵照《網(wǎng)絡安全等級保護測評報告》（最新模版）。

3.2針對測評中不足提出改進建議并協(xié)助我單位進行改進以達到相關標準要求。不得非授權占有、使用我單位測評相關資料及數(shù)據(jù)文件。

3.3實施人員要求：符合《網(wǎng)絡安全等級保護測評機構管理辦法》對測評機構和測評人員的要求，由公安部信息安全等級保護評估中心或中關村信息安全測評聯(lián)盟頒發(fā)的信息安全等級測評師證書。

4.需遵循的政策法規(guī)及規(guī)范

? 《中華人民共和國網(wǎng)絡安全法》

?《信息安全等級保護管理辦法》(公通字[2007]43號)；

?《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429號)；

?《網(wǎng)絡安全等級保護實施指南》(GB/T 25058-2020)；

?《網(wǎng)絡安全等級保護定級指南》(GB/T 22240-2020)；

?《網(wǎng)絡安全等級保護基本要求》(GB/T 22239-2019)；

?《網(wǎng)絡安全等級保護設計技術要求》(GB/T 25070-2019)；

?《網(wǎng)絡安全等級保護測評要求》(GB/T28448-2019)；

?《網(wǎng)絡安全等級保護測評過程指南》(GB/T28449-2018)；

? 《衛(wèi)生部辦公廳關于全面開展衛(wèi)生行業(yè)信息安全等級保護工作的通知》；

? 《衛(wèi)生部關于衛(wèi)生行業(yè)信息安全等級保護工作的指導意見》；

? 《河南省醫(yī)院信息化建設指南》。

包括但不限于以上法律規(guī)范。

5.項目實施內(nèi)容要求

5.1測評內(nèi)容

測評內(nèi)容主要包括兩個方面：一是單元測評，測評指標與GB/T2239-2019相應等級的基本要求完全一致；二是系統(tǒng)整體測評，主要測評分析信息系統(tǒng)的整體安全性。

單元測評包括安全技術測評和安全管理測評兩大部分，其中安全技術測評層面主要包含：安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心。安全管理測評層面主要包含：安全管理制度、安全管理人員、安全管理機構、安全建設管理、安全運維管理。

整體測評在單元測評的基礎上進行進一步測評分析，在內(nèi)容上主要包括安全控制間、層面間和區(qū)域間相互作用的安全測評以及系統(tǒng)結(jié)構的安全測評等。

（1）安全物理環(huán)境

主要包含物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護10個方面的內(nèi)容。

（2）安全通信網(wǎng)絡

主要包含網(wǎng)絡架構、通信傳輸、可信驗證3方面的內(nèi)容。

（3）安全區(qū)域邊界

主要包含邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等6個方面的內(nèi)容。

（4）安全計算環(huán)境

主要包含身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護11方面的內(nèi)容。

（5）安全管理中心

主要包含系統(tǒng)管理、審計管理、安全管理、集中管控4個方面的內(nèi)容。

（6）安全管理制度

安全管理制度測評主要涉及安全策略、管理制度、制定和發(fā)布、評審和修訂4個方面的安全保護能力。

（7）安全管理人員

主要包含人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理4個方面的內(nèi)容。

（8）安全管理機構

主要包含崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查5個方面的內(nèi)容。

（9）安全建設管理

主要包含定級和備案、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、等級測評、服務供應商選擇10個方面的內(nèi)容。

（10）安全運維管理

主要包含環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設備維護管理、漏洞和風險管理、網(wǎng)絡和系統(tǒng)安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理14個方面的內(nèi)容。

系統(tǒng)整體測評涉及到信息系統(tǒng)的整體拓撲、局部結(jié)構，也關系到信息系統(tǒng)的具體安全功能實現(xiàn)和安全控制配置，與特定信息系統(tǒng)的實際情況緊密相關，內(nèi)容復雜且充滿系統(tǒng)個性。因此，全面地給出系統(tǒng)整體測評要求的完整內(nèi)容、具體實施方法和明確的結(jié)果判定方法是很困難的。測評人員應根據(jù)特定信息系統(tǒng)的具體情況，結(jié)合本標準要求，確定系統(tǒng)整體測評的具體內(nèi)容，在安全控制測評的基礎上，重點考慮安全控制間、層面間以及區(qū)域間的相互關聯(lián)關系，測評安全控制間、層面間和區(qū)域間是否存在安全功能上的增強、補充和削弱作用以及信息系統(tǒng)整體結(jié)構安全性、不同信息系統(tǒng)之間整體安全性等。

5.2項目交付成果

項目階段各階段的測評過程文檔（參照《信息安全技術信息系統(tǒng)安全等級保護測評過程指南》）編制。相見下表（包括但不限于）

6.整改建議要求

依據(jù)信息系統(tǒng)安全等級測評的相關報告，編制并提交相關的信息安全整改建議方案，并全程協(xié)助完成整改工作。

1）具體要求

依照《信息安全等級保護安全建設整改工作指導意見》（公信安[2009]1429號），嚴格遵循《信息安全等級保護安全建設整改工作指南》、《信息安全技術 網(wǎng)絡安全等級保護安全設計技術要求》（GB/T 25070-2019）各項要求，在系統(tǒng)測評工作的基礎上，對信息系統(tǒng)總體信息安全管理和技術方面現(xiàn)狀進行全面的分析，制訂信息安全等級保護安全建設整改方案，方案內(nèi)容包含但不限于：信息安全背景、政策與技術標準依據(jù)、當前風險分析、安全需求分析、總體安全策略、安全建設整改技術方案設計、安全建設整改管理體系設計、信息系統(tǒng)安全產(chǎn)品選型及技術指標建議、安全建設整改項目實施計劃、項目預算，整改后可能存在的其他問題。

2）工作過程文件及項目交付成果（包括但不限于）

安全等級測評整改技術方案，方案可根據(jù)整改和規(guī)劃內(nèi)容的重要性和復雜程度采用分冊方式編寫。

7.項目成果

7.1《網(wǎng)絡安全等級測評報告》

7.2《網(wǎng)絡安全等級測評整改建議》

                             周口市中醫(yī)院招標辦

                             2023年10月13日