项目说明和采购需求

一、商务部分

1.实施期限：自项目合同签订之日起，60个工作日内完成系统梳理和测评工作并出具测评相关报告。

2.实施地点：宁夏回族自治区人民医院。

3.付款条件：按采购人要求付款。

二、技术部分

1、标的清单(服务类）

第一标段详见招标文件

2、服务标准及要求;标的详细参数：

技术要求：一、服务内容

1.测评的服务包括但不限于以下内容：

(1)安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

(2)安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

2.安全物理环境

根据采购人信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

3.安全通信网络

安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

4.安全区域边界

安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括但不限于“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。

5.安全计算环境

安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括但不限于“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。

6.安全管理中心

安全管理中心现场测评包括但不限于“系统管理”、“审计管理”等方面的测评。

7.安全管理制度

根据现场安全测评记录，针对采购人信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标进行检查，判断出与其相对应的各测评项的测评结果。

8.安全管理机构

根据现场安全测评记录，针对采购人信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标进行检查，判断出与其相对应的各测评项的测评结果。

9.安全管理人员

根据现场安全测评记录，针对采购人信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标进行检查，判断出与其相对应的各测评项的测评结果。

10.安全建设管理

根据现场安全测评记录，针对采购人信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标进行检查，判断出与其相对应的各测评项的测评结果。

11.安全运维管理

根据现场安全测评记录，针对采购人信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标进行检查，判断出与其相对应的各测评项的测评结果。

二、实施流程及工作要求

网络安全等级保护测评工作的流程如下图所示，在开展网络安全等级保护测评工作过程中须严格遵循如下流程：详见附件。

①测评准备活动：是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。主要任务是掌握被测评系统的详细情况，准备测评工具，为编制测评方案做好准备。

②方案编制活动：是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。主要任务是确定与被测评信息系统相适应的测评对象、测评指标及测评内容等，并根据需要开发测评指导书，形成测评方案。

③现场测评活动：是开展等级测评工作的核心活动。主要任务是按照测评方案的总体要求，严格执行测评指导书，分步实施所有测评项目，包括单位测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。

④分析与报告编制活动：是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。主要任务是根据现场测评结果和行标的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测评系统面临的风险，提出整改意见并配合被测评单位完成整改，从而给出等级测评结论，形成测评报告文本。

三、项目实施要求

（一）保密要求

对项目实施过程中所获得数据及文档等保密信息，须承担以下保密义务：

1.按要求与采购人签署保密协议。

2.主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。

3.不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的关于该项目的商业秘密。

4.不得向不承担同等保密义务的任何第三人披露采购人关于该项目的商业秘密。

5.不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用采购人关于该项目的商业秘密。

6.不论何种原因终止参与采购人关于该项目的工作后，都不得利用该项目之商业秘密为其他与采购人有竞争关系的单位服务。

7.该项目的商业秘密所有权始终全部归属采购人，中标人不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权。

8.如发现采购人关于该项目的商业秘密被泄露或者采购人过失泄露秘密，须采取有效措施防止泄密进一步扩大，并及时向采购人报告。

（二）服务要求

1.提供给采购人与项目相关的技术文档。

2.一旦收到采购人的服务请求，中标人项目组成员应立即给予响应。双方确认需要到现场服务时，从确认时间开始，中标人工程师在24小时内到达采购人现场，提供服务。

3.提供技术服务热线，并安排专业人员为采购人解答本项目有关技术问题，接收到采购人要求服务的通知后，有关技术人员应立即做出响应。

四、交付物

1.所登记备案的信息系统出具由中标人法人审签的正式纸质测评报告2套。

2.所登记备案的信息系统出具纸质安全整改建议方案2套。

3.测评活动原始记录材料1份。

五、质量保证

1.为保证网络安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。

2.参与等级测评的每个人都须具有等级测评师安全服务资质。

3.等级测评结果须通过采购人组织的评审和审批。

4.现场测评活动中，必须使用漏洞扫描、渗透测试等验证性测试方法，对采购人的信息系统进行全面的工具测试，确保全面的找出系统的漏洞薄弱点，并协助建设方完成漏洞修复或风险降低工作。

六、项目内容

测评内容包括：对以下已完成定级备案的信息系统按照等保2.0相关要求开展信息系统网络安全等级保护测评工作，并对差距项提出整改建议。

序号系统名称系统级别

1医院信息系统三级

2医院OA系统二级

七、项目依据

参考：

《中华人民共和国网络安全法》

《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

《信息安全技术网络安全等级保护实施指南》(GB/T 25058-2019)

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全等级保护备案实施细则》（公信安[2007]1360号）

《信息安全技术网络安全等级保护安全设计技术要求》（GBT 25070-2019）

《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息安全技术网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

《网络安全等级保护测评报告模板（2021版）》委托测评协议书等