网络安全等级保护测评服务项目
招标规范
第一章：投标人资格要求
1、应符合《中华人民共和国政府采购法》第二十二条规定；
2、投标人具有国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书（非安徽省本地测评机构需要在安徽省信息安全等级保护领导小组办公室进行备案），且自2016年1月1日以来未受到监督管理全国测评机构的国家网络安全等级保护工作协调小组办公室通报责令限期整改处罚； 
注：提供测评推荐证书扫描件及入围中国网络安全等级保护网（www.djbh.net）全国等级保护测评机构推荐目录截图（截图需完整显示投标人名称），非安徽省本地测评机构需另外提供安徽省信息安全等级保护领导小组办公室备案证明，否则不予认定。
3、本项目不接受联合体投标。
第二章：采购需求
前注：
1、本说明中提出的技术方案仅为参考，如无明确限制，供应商可以进行优化，提供满足用户实际需要的更优（或者性能实质上不低于的）服务方案，且此方案须经磋商小组评审认可； 2、成交供应商必须确保整体通过用户方及有关主管部门验收,所发生的验收费用由成交供应商承担；供应商应自行勘察项目现场，如供应商因未及时勘察现场而导致的报价缺项漏项废标、或成交后无法完工，供应商自行承担一切后果；
3、如对本磋商文件有任何疑问或澄清要求，请按本磋商文件“供应商须知前附表”中约定方式联系采购中心，或在接受答疑截止时间前联系采购人，否则视同理解和接受，供应商对磋商文件、采购过程、成交结果的质疑，应当在法定质疑期内一次性提出针对同一采购程序环节的质疑。
一、项目概况
依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求，对省芜湖市第二人民医院重要信息系统进行等级测评，包括：安全技术测评、安全管理测评等，形成差距分析报告，编制系统安全整改方案，编制和完善安全管理制度等。
二、服务需求
（一）服务内容
序号 名 称 服务内容 数量
1 面向患者系统测评 1、按国家信息安全等级保护测评要求，对芜湖市第二人民医院面向患者系统进行信息安全等级测评。
2测评等级:三级系统。 1套
2 基础支撑系统测评 1、按国家信息安全等级保护测评要求，对芜湖市第二人民医院基础支撑系统进行信息安全等级测评。
2测评等级:三级系统。 1套

（二）指导思想和基本准则
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2007〕43号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2004〕66号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）、国家发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号），以及安徽省发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]967号）等文件精神，按照《医疗署办公厅关于地方医疗机关信息系统安全等级保护工作有关问题的通知》（审办计发[2012]105号）要求，结合芜湖市第二人民医院工作实际，现拟对芜湖市第二人民医院重要信息系统实施等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力，为医疗信息化建设的健康有序发展提供可靠保障。
（三）等级保护测评主要包括以下几个方面：
1．安全技术测评。包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。
2．安全管理测评。包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。
3．形成差距分析报告。依据测评结果和《信息系统安全等级保护基本要求》（GB /T 22239），对各信息系统进行安全现状分析，形成相应的差距分析报告。
4．编制系统安全整改方案。依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，结合差距分析结果，编制针对各信息系统的安全整改建设方案。
5．编制和完善安全管理制度。依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，协助芜湖市第二人民医院制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。
完成上述测评工作和实施整改后，最后成交供应商出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。
6.工作要求。
（1）实施原则
规范性原则：成交供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；
可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；
整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；
最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；
保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。
（2）检测要求
2.1访谈
访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。
在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，获取与安全管理有关的测评证据用于判断特定的安全管理措施是否符合国家相关标准以及委托方的实际需求。
在安全功能检查任务中，测评人员依据定制的测评指导书（访谈问题列表）对相关人员进行访谈，为后续的检查和测试收集必要的系统基本信息并提供参考数据。
2.2检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。
在物理安全测评任务中，测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。
在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。
在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。
2.3测试
测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描等测评任务中。
在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工验证和工具测试方法对特定安全技术措施的有效性进行测试，测试结果用于判断目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。
三、报价要求
本项目报总价，报价包含完成本项目服务期间所产生的一切费用（含验收费用），采购人后期不再另行追加费用。
四、人员配备
供应商拟派的安全服务团队不得少于4人。（除评分项要求提供的证明材料外，以上人证明材料响应文件中无须提供，但为确保各方面安全服务工作的有序开幕，服务实施前成交供应商向采购人提供人员社保证明供采购人核实。）
五、验收标准
  成交供应商按等保要求，完成规定工作内容，提供相关过程文档和系统测评报告。