采购需求

1、采购技术要求（对不允许偏离的实质性要求和条件，以黑体加斜体方式提示）

2、本次采购范围为信息系统等级保护测评

3、本项目采购预算金额：人民币贰拾捌万元整（￥：280000.00元），最后响应报价高于采购预算的，将被判定为无效响应文件。

一、主要技术及服务要求

(一)     项目背景

根据《信息安全等级保护管理办法》及GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》，对兴化市人民医院信息系统相关软硬件进行等级保护测评。

(二)     测评系统级别：

序号	系统名称	测评级别
1	HIS系统	三级
2	LIS系统	三级
3	PACS系统	三级
4	EMR系统	三级
5	信息集成平台	三级
6	门户网站	二级

 (三)     测评时间要求

本次测评项目签订合同后 120天内完成，具体项目流程分为前期准备、现场实施、报告分析与编制、检查验收、总结验收五个阶段。

(四)     等保测评内容

根据国家对网络安全等级保护工作的最新相关法律和技术标准要求，结合系统保护等级开展实施与之相应的测评工作，等保测评主要包括以下内容：

1、安全物理环境

安全物理环境具体包括10个控制点：

物理位置的选择、 物理访问控制、防盗窃和防破坏、 防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护

2、安全通信网络

安全通信网络具体包括3个控制点：

网络结构、通信传输、可信验证

3、安全区域边界

安全区域边界具体包括6个控制点：

边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证

4、安全计算环境

安全计算环境具体包括11个控制点：

身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信计算、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护

5、安全管理中心

安全管理中心具体包括4个控制点：

系统管理、审计管理、安全管理、集中管控

6、安全管理制度

安全管理制度具体包括3个控制点：

管理制度、制定和发布、评审和修订

7、安全管理机构

安全管理机构具体包括5个控制点：

岗位设置、人员配备、授权和审批、沟通和合作、审核和检查

8、安全管理人员

安全管理人员具体包括4个控制点：

人员录用、人员离岗、安全意识教育及培训、外部人员访问管理

9、安全建设管理

安全建设管理具体包括10个控制点：

系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择

10、安全运维管理

安全运维管理具体包括14个控制点：

环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理

(五)     等保测评服务

对信息系统进行等级保护差距测评，测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理物十大层面。客观的分析信息系统保护现状和网络安全等级保护基本要求之间的差距。

完成网络安全等级保护的测评，提交信息系统的测评报告至本地公安等保办，完成等级保护测评工作。

(六)     测评实施原则

客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案开展。

保密原则：在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购方利益。

最小影响原则：测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

规范性原则：网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

质量保障原则：在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项

系统安全原则：项目工作人员需遵守等保检测规定，采用符合标准的检测工具和检测方法实施检测，如因违规操作造成对检测系统的破坏，则应承担相应责任。

测评师规范原则：检测实施方工作人员必须通过公安部的等级保护等级测评师认证，持证上岗，经项目委托方确认资格后方可实施检测。

(七)     其它说明

报价要求：本项目采用总价包干的方式。包括收集资料费、调查费、会议费、评审费、人员费、培训费、交通费、办公设备费、食宿费、风险费、保险费、税金、利润等政策性文件规定及合同包含的所有风险、责任等各项应有费用。合同价格不因服务期延长、物价变动及规范性、指导性、政策性文件等发生变化等因素而调整。

供应商必须说明其是否响应采购文件中提出的全部服务内容与要求，如果以其中某些条款不响应时，应在文件中逐条列出，未列出的视同响应。

二、项目工期及地点

项目工期：合同签订后二周内进场实施，120天全部完成。

地点：兴化市人民医院

三、付款方式

合同生效后7个工作日内，采购人向供应商支付合同总金额的50％款项，合同服务履行内容结束并交付等保测评报告后，采购人向供应商支付合同余款，即总金额的50%款项。