采购需求

邵阳市中心医院信息系统安全等级保护评测采购项目采购需求

一、项目概况：

（一）项目数量：1套.预算价：440000元

（二）招标项目内容与数量

序号	采购内容名称	数量	备注
1	HIS系统等级保护测评	一次	三级
2	LIS系统等级保护测评	一次	三级
3	EMR系统等级保护测评	一次	三级
4	PACS系统等级保护测评	一次	三级
5	集成平台系统等级保护测评	一次	三级
6	互联网医院系统等级保护测评	一次	三级
7	食堂管理系统测评	一次	二级
8	门禁管理系统测评	一次	二级
9	漏洞扫描服务及官网暴露面检测服务	一次	/

二、技术要求

（一）测评技术要求

（1）信息系统定级备案

协助各系统业务主管部门，根据其系统中业务数据的重要性，提出定级建议，并与甲方共同确定定级级别。

负责邀请网络安全等保测评专家组成专家组，对定级情况进行评审，并承担评审相关准备与费用。

将已完成定级的信息系统向公安部门备案，取得公安部门统一监制的备案证明。

（2）等级保护测评（服务范围：所有的二级和三级系统）：

供应商依据最新的国家网络安全等级保护制度规定，按照有关管理规范和技术标准，对采购人招标文件中的信息系统的信息系统安全等级保护状况进行检测评估，并给出测评报告。

a）等级测评：依据国家等级保护最新标准（以下简称“等保2.0”）的相关要求，对照采购人的网络安全保障体系的等级保护建设程度，对参加测评的信息系统开展等级测评工作并出具《等级保护测评报告》。

b）差距分析：根据网络和信息系统的安全保护等级，按照国家等级保护相应等级的技术和管理要求，分析评价参加测评的信息系统所依托的网络和信息系统当前的安全防护水平和措施与相应等级要求之间的差距。最终出具《安全整改建议》。

c）漏洞扫描：依据网络安全等级保护相关标准，对被测系统涉及的网络设备、安全设备、操作系统、应用软件、中间件和服务等进行安全漏洞扫发现系统中存在的脆弱环节，漏洞扫描结果将作为等级测评综合分析和测评结论的数据支撑之一，形成《漏洞扫描报告》。

d）渗透测试：供应商依据已经掌握的安全漏洞信息，模拟黑客的真实攻击方法对采购人定为三级的信息系统和网络进行非破坏性质的攻击性测试。渗透测试内容应该主要包含外部测试、内部测试，黑盒测试和白盒测试。所有的渗透测试行为需在供应商的书面明确授权和监督下进行。

e）安全整改和加固：依据差距分析报告及发现的问题及风险隐患，对被测系统提出整改和加固建议，编制《等级保护整改建议方案》，并为安全整改和加固工作提供指导。

f）相关制度、流程梳理和咨询：依据网络安全等级保护相关标准，梳理被测系统现有相关安全管理制度和文档，协助制订网络安全等级保护相关的制度、规定和流程等。

g）等级保护工作支持：为甲方在信息安全等级保护相关工作中提供技术和咨询支持。

测评依据

依据如下标准实施测评服务：

《关于信息安全等级保护工作的实施意见》(公通字[2004]66);

《信息安全等级保护管理办法》(公通字[2007]43号);

《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号);

《信息安全技术信息系统安全等级保护基本要求》GB/T22239-2019;

《信息安全技术网络安全等级保护定级指南》GB/T 22240-2020

《信息安全技术网络安全等级保护测评过程指南》GB/T 28449-2018;

《信息安全技术网络安全等级保护测评要求》GB/T28448-2019;

《计算机信息系统安全保护等级划分准则》GB 17859-1999;

《信息安全技术网络安全等级保护安全设计技术要求》GB/T 25070-2019

《信息安全技术网络安全等级保护测试评估技术指南》GB/T 36627-2018

（二）人员要求

1.成交人应当履行下列义务：

（一）遵守国家有关法律法规和技术标准，提供安全、客观、公正的检测评估服务，保证测评的质量和效果；

（二）保守在测评活动中知悉的国家秘密、商业秘密和个人隐私，防范测评风险；

（三）对测评人员进行安全保密教育，与其签订安全保密责任书，规定应当履行的安全保密义务和承担的法律责任，并负责检查落实。

2.人员配备：

成交人现场测评人员至少4人，由项目经理统一负责，必须包含一名质量监督员，供应商为采购人准备到现场的测评师中，应至少具备1名高级测评师（可兼任项目经理），并获得由公安部信息安全等级保护评估中心颁发的高级《信息安全等级保护测评师》资质，负责对测评报告、不符合项等做最终审核，并负责在相关测评材料中签字确认。至少有3名测评师，并获得由公安部信息安全等级保护评估中心颁发的中级《信息安全等级保护测评师》资质。如更换测评人员，须由采购人同意并签字确认。

3.本项目执行期间，服务团队成员应遵守采购人工作作息时间要求和工作规定。

4.供应商应按等级保护测评要求制定测评过程中产生的文档，满足科学、规范、详尽、统一等方面的要求。

质量要求

1.成交人必须按采购人确认的进度计划组织实施，接受采购人对研究进度的检查和监督。项目实际进度与经确认的进度计划不符合时，成交人应按采购人的要求提出改进措施，经采购人确认后执行。因成交人的原因导致项目实际进度与进度计划不符，成交人需实施改进措施且不得追加合同价款。

2.项目服务内容完成且提交相关报告，项目实施计划终止。

3.由于成交人原因项目验收达不到验收标准及约定要求，成交人应按采购人的要求进行补救或返工，并承担重新验收和返工的费用。

4.因成交人实施不力造成实施质量安全事故的责任，以及由此发生的费用和损失，由成交人承担。

服务要求

1.工具要求

在服务过程中，供应商使用的测评与评估工具应严格遵循可控性原则，使用的所有工具须符合信息安全等级保护测评与风险评估标准，已经过可靠的实际应用验证，且由供应商自行负责。供应商须承诺在项目实施过程中所使用的工具，供应商均具有合法使用权，免受第三方提出的侵犯知识产权的起诉。

2.文档要求

供应商应按照等级保护测评、风险评估规范要求制定服务过程中产生的文档及其管理制度，做到科学、规范、详尽、统一。

3.保密要求

对采购人信息保密，供应商不得在任何场合，以任何方式向第三方透漏采购人内部信息。

4.工作时间要求

根据采购人的要求，开展信息安全测评与评估服务，驻场人员按照采购人工作时间要求上班；现场服务成员按照采购人要求按时到现场开展工作。

5.应用标准要求

符合ISO质量管理标准体系，国家信息安全等级保护、风险评估要求。

服务期限

服务期限：从签订合同之日起90日内出具等级测评报告。

三、商务要求：

1)交付时间：从签订合同之日起90日内出具等级测评报告。

2)交付地点：邵阳中心医院

3)付款方式及条件：本项目无预付款。经采购人验收合格后，3个月内支付第一笔款即合同总额的90%，剩余10%作为第二笔款，一年后无质量履约问题，采购人将剩余款项一次性无息付清.（具体以甲方签订合同为准）

4)验收要求：系统评测完成并向甲方提供评测报告，由甲方和乙方共同对其评测结果进行验收。

5、售后服务要求

评测时间根据采购人通知要求，评测完成后10个工作日内须提供公安部门认可的评估报告。

6、报价说明

6.1报价应包含与本次采购项目有关的所有费用。包含但不限于人员、设备、安装调试、验收、售后服务、伴随配套服务等所有含税费用。同时，还应包含支付给员工的工资和国家强制缴纳的各种社会保障资金，以及供应商认为需要的其他费用等。

6.2供应商的任何错漏、优惠、竞争性报价不得作为减轻责任、减少服务、增加收费、降低服务质量的理由。

6.3供应商报价除包含采购文件中列明的项目外还应包括保障服务正常运行应当具有的物资和服务，对服务正常运行应当具有的物资和服务理解不一致的以采购人理解为准。