采购内容

一、项目概况（采购标的）

1.项目名称：福州市中医院五四北分院智慧医院项目系统测试、安全测评和密码应用安全性测评服务项目。

2.技术服务范围和内容：

本项目为福州市中医院五四北分院智慧医院项目系统测试、安全测评和密码应用安全性测评服务项目技术服务项目采购，根据相关文件规定，对本项目的系统测试、安全测评、密码测评等内容整体委托技术服务商进行服务，受委托的技术服务商须为福州市中医院五四北分院智慧医院项目提供系统测试服务、安全测评服务及密码测评服务等信息技术管理和咨询服务。中标人受采购人委托，根据项目的实际需要，主要提供以下服务：

（1）按照国家《软件工程软件产品质量要求与评价（SQuaRE）商业现货（COTS）软件产品的质量要求和测试细则》等标准，提供系统测试的咨询服务，确保项目通过并取得具备市场监管部门颁发的检验检测机构资质认定证书（CMA）的专业测试机构提供的《信息系统验收测试报告》；

（2）按照公安部《信息系统安全等级保护基本要求》、《信息安全风险评估规范》的要求，提供安全等级保护测评的预测评、评估、定级、备案等咨询服务，确保项目通过并取得网络安全等级保护测评机构提供的《信息系统安全等级测评报告》；

（3）依据《信息安全技术信息系统密码应用基本要求》 GB/T 39786-2021、《信息系统密码测评要求（试行）》、《商用密码应用安全性评估测评过程指南（试行）》、《商用密码应用安全性评估测评作业指导书（试行）》提供商用密码应用安全性评估的咨询服务，确保项目通过并取得商用密码应用安全性评估资质的机构出具的《商用密码应用安全性评估报告》；

（4）信息化总服务商在统筹组织完成项目委托服务后，按照国家、省、市相关信息化管理办法的规定出具或提供《信息系统验收测试报告》、《信息系统安全等级测评报告》、《商用密码应用评估报告》，并确保项目通过上级机构或项目单位组织（监督）的项目验收。

3. 福州市中医院五四北分院智慧医院项目建设内容：

（1）智慧医疗

建设以电子病历为核心的“智慧医疗”相关信息系统，为医护人员提供流程化、信息化、结构化、智能化的临床业务信息综合处理平台，主要包括医疗服务、医技辅助、医疗管理三大类系统。

（2）智慧服务

建设以患者为核心的医疗服务体系，为患者提供“诊前、诊中、诊后、全程诊疗”等便民、惠民服务，主要包括便民服务、就诊服务、互联网医院建设。

（3）智慧管理

以信息集成平台为基础支撑平台，建设医院协同办公、运营管理、后勤管理三大类系统，为医院实现“人财物”管理科学化、规范化、精细化、可持续发展和战略转型提供科学的管理支撑环境。

（4）智慧院区

通过构建医疗物联网基础架构平台，开展基于物联网平台的创新应用，有效提高临床效率、医疗质量、医疗服务水平，从而实现医院管理精细化的目标。

（5）支撑应用

建设业务数据中心、信息集成平台、电子病历及互联互通测评支持服务、业务数据中心、系统迁移服务。

（6）基础设施

①5G网络覆盖

②一体化机房运维

③服务器及存储

④容灾中心

⑤安全系统设计：医院信息系统的安全保护等级要求达到GB/T22239-2019《信息安全技术信息系统安全等级保护基本要求》三级水平。

二、技术和服务要求（以“★”标示的内容为不允许负偏离的实质性要求）

本项目为福州市中医院五四北分院智慧医院项目系统测试、安全测评和密码应用安全性测评服务项目采购，根据国家及福建省、福州市信息化项目相关管理文件规定，对本项目的系统测试、安全测评、密码测评等服务内容整体委托技术服务商进行服务，中标技术服务商须为福州市中医院五四北分院智慧医院项目提供信息化系统测试、安全测评和密码应用安全性测评服务。中标人的服务要求及服务内容如下：

（一）技术服务基本要求

指标项1：1.中标人应具备完善的信息技术服务能力，能够通过标准化服务来管理信息技术服务问题，识别问题的内在联系，然后依据服务标准进行计划、推行和监控信息技术服务。

指标项2：2.中标人应具备完善的信息技术管理能力，制定管理方针和策略，采用质量管控、风险管理的方法进行信息技术管理计划、实施等。

指标项3：3.中标人应具备协调服务各方的能力，对检测服务过程中遇到的问题提供整改咨询，对项目的整改进度进行把控，协助建设单位配合完成项目的测试测评及密评，为保障项目的进度计划、服务质量，项目检测服务过程、整改过程需上门服务，对服务要求、服务计划、拟派现场服务人员配置等须能够确保项目验收工作顺利进行。

指标项4：★4.中标人作为本项目的总服务商，在完成本项目的所有服务时，须按照国家、省、市相关信息化管理办法的规定出具或提供《信息系统测试报告》、《信息系统安全等级测评报告》及《商用密码应用安全性评估报告》，并确保项目通过上级机构或采购单位组织（监督）的项目验收。

（二）系统测试服务具体要求

指标项5：★1.中标人需按照GB/T 25000.51-2016：《系统与软件工程 系统与软件质量要求和评价（SQuaRE） 第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》的标准要求对本系统的功能性、安全性、可靠性、易用性、效率、兼容性、可扩充性等特性进行测试，在收到所需的技术资料和具备工作环境后的3个月内（不包括整改时间）完成福州市中医院五四北分院智慧医院项目的系统测试服务，取得《信息系统测试报告》。提供的《信息系统测试报告》必须由本单位出具，且《检验检测机构资质认定证书》（CMA）证书在有效期内。

2.根据系统测试的标准和要求，中标人需提供系统测试的前期准备、咨询等服务，包含但不仅限以下内容：

指标项6：①功能测试：通过进行适合性、准确性、互操作性、一致性、安全保密性等测试，验证已完成开发的应用系统是否达到设计的要求。

指标项7：②效率测试：通过对已完成的应用系统，监控并发数、响应时间、资源利用率、吞吐量、成功率等参数进行测试，验证被测项目是否得到良好的数据传输、应用访问性能要求。

指标项8：③测试方式包括：稳定性测试、负载测试、压力测试。

指标项9：④其它测试内容：包括本项目相关的计算机网络、综合布线、计算机场地的建设内容的验证检测。

（三）安全测评服务具体要求

指标项10：★中标人中标后按照《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019），对福州市中医院五四北分院智慧医院项目进行信息系统安全测评服务。中标人在报送福州市中医院五四北分院智慧医院项目安全测评前，需按照《信息系统安全等级保护基本要求》，从物理安全、网络安全、主机安全、应用安全、数据安全、制度管理等角度。按照相应安全保护的标准和要求，提供安全测评的前期准备、咨询等服务（含安全等级测评所需资料、文档的提供）。在收到所需的技术资料和具备工作环境后的3个月内（不含系统整改时间）完成安全等级测评。

指标项11：1.服务成果：

在收到所需的技术资料和具备工作环境后的3个月内（不含系统整改时间）完成等级测评与风险评估，根据项目验收要求，并依据《信息安全技术—网络安全等级保护基本要求》（GB/T 22239-2019）、《信息安全风险评估规范》，取得并提交网络安全等级保护测评机构出具的信息系统安全等级保护测评报告，该报告需满足本项目相关信息系统安全等级保护的要求。

指标项12：2.安全等级测评服务主要内容：

信息系统等级保护测评是指依据被测系统的定级备案情况和《网络安全等级保护测评申请书》，并依据《网络安全等级保护基本要求》（GB/T 22239-2019）进行测评。

依据相关技术标准，安全等级测评服务必须包括并不限于以下内容：

①安全通用要求：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

②云计算安全扩展要求：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理、安全运维管理。

③移动互联安全扩展要求：安全物理环境、安全区域边界、安全计算环境、安全建设管理。

指标项13：3.定级备案

根据《GBT 22240-2020 信息安全技术 网络安全等级保护定级指南》文中对于信息系统定级已给出指导性意见。

中标人需对福州市中医院五四北分院智慧医院项目进行备案工作，提交材料如下：

二级：

①编写《信息系统安全等级保护备案表》表一、表二、表三

②编写《信息系统安全等级保护定级报告》；

③邀请本地3-4名等级保护专家进行定级评审，最终产出信息系统安全保护等级专家评审意见让专家签字确认；

④编写主管部门审核批准信息系统安全保护等级的意见，由该单位上级领导进行签字盖章，确认所定等级。

三级：除以下材料，还需包含二级的所有材料

①编写系统拓扑结构及说明（简要拓扑图）；

②编写系统安全组织机构和管理制度；

③编写系统安全保护设施设 计实施方案或者改建实施方案；

④编写系统使用的信息安全产品清单及其安全认证或销售许可证明；

最终提交给当地网安部门，获得信息系统获批定级成功的二级或三级的备案证明。

指标项14：4.测评工具：测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面内容，需要符合相关标准和网络安全等级保护主管部门要求，包括但不限于网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。

指标项15：5.测评方式：等级测评的主要方式有：访谈、核查和测试及综合风险分析。

①访谈：测评采取访谈方式涉及对象为物理安全、网络安全、系统安全、应用安全、数据安全、安全管理等方面内容。其中物理安全、安全管理重点采取访谈方式。在访谈的广度上，访谈覆盖不同类型的系统运维管理人员，包括系统负责人、机房管理员、系统管理员、网络管理员、开发人员、应用业务人员、文档管理员等。

②核查：包括文档核查及配置核查。测评采取检查方式主要涉及对象为物理安全、网络安全、主机系统安全、应用安全、数据安全及安全管理等方面的内容。除物理安全、安全管理主要采取文档核查方式外，其它方面主要采取系统配置核查方式。

③测试：包括案例验证测试、漏洞扫描测试、渗透性测试。测评采取测试方式主要涉及对象为网络安全、主机系统安全、应用安全、数据安全等方面的内容。其中，案例验证测试主要通过测试工具或案例验证网络安全、应用安全、数据安全的安全功能是否有效。漏洞扫描测试主要分析网络设备、操作系统、数据库等安全漏洞。

④综合风险分析方法：依据安全事件可能性和安全事件后果对信息系统面临的风险进行分析。

6.采购人为安全等级测评单位工作提供的条件（本项不参与评分）

（1）提供技术资料

①系统建设调研报告、系统建设验收报告、系统使用安全产品说明书等。

②机房管理制度、系统人员管理制度等系统相关制度文档。

③其他系统相关资料。

（2）提供工作条件

①配合测评的工作人员至少一名。

②被评估系统所在网络环境接口。

③系统备份：采购人在安全测评单位开始工作前应自行做好信息系统的备份工作。

指标项16：★7.根据公安部、国家保密局、国家密码管理局、国务院信息化工作办公室联合文件《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）、《信息安全等级保护管理办法》（公通字〔2007〕43号）文件精神，投标人服务本项目时，应是福建省发改委、福建省公安厅、福建省保密局联合文件《转发关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（闽发改高技【2008】675号）文件要求的安全等级测评服务机构，或该机构出具的服务本项目的相关承诺证明，投标人需提交相关证明，未提交证明材料的按无效标处理。

（四）密码测评服务具体要求

指标项17：★1.依据《中华人民共和国密码法》、《信息安全技术 信息系统密码应用基本要求》（GB/T 39786-2021）、《信息系统密码应用测评要求》（GM/T 0115-2021）、《信息系统密码应用测评过程指南》（GM/T 0116-2021）、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》和信息系统自身的安全需求分析，对被评估系统进行商用密码应用安全性评估。

指标项18：★2.投标人需承诺出具《商用密码应用安全性评估报告》的密评机构在国家密码管理局公告（第42号）公布的关于更新《商用密码应用安全性评估试点机构目录》中，投标人提供专项承诺函。

指标项19：3.采用系统评估方式，及时发现被测系统脆弱性，识别风险，了解被测系统安全状况。对照密码应用方案对被测系统开展评估。根据被评估对象的实际情况、被测系统使用的密码产品情况，选择并确定测评依据。在被测系统真实环境下进行测评，以评估密码应用及保障是否安全有效，密码使用和管理是否合规、正确、有效。

指标项20：4.密码技术应用测评：物理和环境安全密码测评、网络和通信安全密码测评、设备和计算安全密码测评、应用和数据安全密码测评。测评验证自主可控被测系统的商用密码应用是否达到具有对应安全等级的安全保护能力，是否满足对应安全等级的保护要求。

指标项21：5.密钥管理测评：检测被测系统密钥管理各环节，包括对密钥的生成、存储、分发、导入、导出、使用、备份、恢复、归档与销毁等环节进行管理和策略制定的全过程是否符合要求。

指标项22：6.安全管理测评：从制度、人员、实施和应急四个方面，对被测系统的密码安全管理进行商用密码应用安全性管理测评。

指标项23：7.密码应用安全评估报告按照国家密码管理局要求包含的内容编制或参考模板编制密码应用安全评估报告。

指标项24：8.密码应用总体要求进行宣贯,对密码应用的合规性、正确性、有效性要求进行培训。

指标项25：★9.商用密码应用安全性评估依据：《中华人民共和国密码法》、《中华人民共和国网络安全法》、《金融和重要领域密码应用与创新发展工作规划(2018-2022年)》、《信息安全技术信息系统密码应用基本要求》（GB/T39786-2021）、《信息系统密码应用测评要求》（GM/T 0115-2021）、《信息系统密码应用测评过程指南》（GM/T 0116-2021）、《信息系统密码应用高风险判定指引》、《商用密码应用安全性评估量化评估规则》、《国家政务信息化项目建设管理办法》（国办发〔2019〕57号）。

指标项26：10.中标人的主要义务：按期提交国家密码管理局认可的，具备商用密码应用安全性评估资质的机构出具的商用密码应用安全性评估报告。

指标项27：★11.密码测评服务成果：中标人承诺按照商用密码应用安全性评估相关标准，收到所需的技术资料和具备工作环境后的3个月内（不含系统整改时间）完成委托的密码测评工作，并出具国家密码管理局认可的具备商用密码应用安全性评估资格的《商用密码应用安全性评估报告》。

指标项28：12.协助采购单位完成商用密码应用评估报告在所在地密码管理部门的备案工作。

三、商务要求（以“★”标示的内容为不允许负偏离的实质性要求）

采购包1：

序号	参数性质	类型	要求
1	★	交货地点	采购人指定地点
2	★	交货时间	自合同签订之日起180日
3	★	交货条件	满足采购人技术和服务要求
4	★	是否邀请投标人验收	不邀请投标人验收
5	★	履约验收方式	1、期次1，说明：按合同要求
6	★	合同支付方式	1、合同签订后30日内，采购人支付中标人技术服务费用30%作为技术服务费用预付款，财政资金到位后，达到付款条件起30日内，支付合同总金额的30.00% 2、中标人完成项目功（性）能测试、安全测评、密码应用安全性评估，提供系统测试机构出具的《信息系统测试报告》、安全测评机构出具的《安全等级测评报告》以及密码测评机构出具的《商用密码应用安全性评估报告》，并经采购人书面签收后30日内，采购人支付中标人技术服务费用70%，财政资金到位后，达到付款条件起30日内，支付合同总金额的70.00%
7	★	履约保证金	不缴纳
8	★	其他	“序号2：交货时间”为系统模板，具体内容按以下描述为准：合同签订之日起至项目验收合格

其他商务要求

1.本项目为福州市中医院五四北分院智慧医院项目测试、测评、密评部分，应确保福州市中医院五四北分院智慧医院项目中的HIS系统、电子病历系统、信息集成平台、影像管理系统、检验管理系统、互联网医院、医院门户（公众号、生活号、小程序）、信息门户按要求通过三级等保备案测评，确保财务管理系统按要求通过二级等保备案测评，确保微信小程序等通过密评，并根据《福州市政府投资信息化项目管理办法》要求，出具符合验收标准的项目功（性）能测试、安全测评或涉密项目分级保护测评；网络安全等级保护第三级及安排密码应用安全性评估等。

2.本招标文件未明确的其它约定事项或条款，待采购人与中标人签订合同时，由双方协商订立。

四、其他事项

1、除招标文件另有规定外，若出现有关法律、法规和规章有强制性规定但招标文件未列明的情形，则投标人应按照有关法律、法规和规章强制性规定执行。

2、其他：

无