自贡市第一人民医院关于2024年度网络安全等级保护测评服务采购项目进行采购的公告（第二次）

正文内容

　　 　　我院拟对****年度网络安全等级保护测评服务项目进行采购，现面向社会公示，诚邀符合条件的供应商参加，请于****年**月**日**:**之前报名。 　　一、采购项目：****年度网络安全等级保护测评服务 　　二、采购项目简介： 　　（一）拟采购方式：以价格作为授予合同的主要考虑因素。 　　（二）技术参数及性能要求： 　　*、服务提供方应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： 　　（*）《信息安全等级保护管理办法》（公通字[****]**号） 　　（*）《信息安全技术信息系统安全等级保护基本要求》GB/T*****-**** 　　（*）《信息安全技术信息系统安全等级保护定级指南》GB/T*****-**** 　　（*）《信息安全技术信息系统安全等级保护实施指南》GB/T*****-**** 　　（*）《信息安全技术信息安全风险评估规范》GB/T *****-****    （*）《信息安全技术信息系统安全等级保护测评要求》GB/T*****-**** 　　（*）《信息安全技术信息系统安全等级保护测评过程指南》GB/T*****-**** 　　*、服务提供方开展信息系统安全等级保护测评相关工作必须符合但不限于如下文件的要求： 　　（*）《中华人民**国网络安全法》 　　（*）《信息安全等级保护管理办法》（公通字[****]**号） 　　（*）《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔****〕**号） 　　（*）《**省卫生健康行业网络安全等级保护工作实施方案》（川卫函〔****〕**号） 　　*、测评应满足的原则：本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则： 　　（*）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害院方的行为，否则院方有权追究服务提供方的责任。 　　（*）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。 　　（*）规范性原则：服务提供方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。 　　（*）可控性原则：测评服务的进度要跟上进度表的安排，保证院方对于测评工作的可控性。 　　（*）整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。 　　（*）最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。服务提供方应严格依照上述原则和国家等级保护相关标准开展项目实施工作。 　　*、本次等级保护测评的整体要求 　　（*）服务提供方必须拥有kubernetes(K*S)容器集群架构的等保测评能力。 　　（*）服务提供方应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。服务提供方应独立于信息安全产品制造方和使用方，提供公正、合理、独立的信息安全测评服务和系统整改建议，不得限制医院信息安全整改中购置设备或软件的选型。 　　（*）对项目实行总测评工程师负责制。执行本项目实施服务的主要人员不得少于*人，必须具备从事等级保护测评工作资格，具有参加等级保护测评服务项目的经验、案例。服务提供方应详细描述测评人员的组成、资质及各自职责的划分。服务提供方应配置有经验的测评人员进行本次等级保护测评工作。 　　（*）测评服务提供单位应拥有很好的专业测评工具和测评平台，可以构造各种测评环境对各种信息系统、软硬件产品和网络进行测评。本次等级保护测评实施过程中所使用到的各种工具软件由服务提供方推荐，经院方确认后由服务提供方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境**台的要求以及使用可能对系统造成的风险等。 　　（*）安全测评工具软件运行可能需要的硬件平台（如笔记本电脑PC、工作站等）和操作系统软件等由服务提供方推荐，经院方确认后由服务提供方提供并在测评中使用。 　　（*）安全测评需要的运行环境（如场地、网络环境等）由院方提供，服务提供方应详细描述需要的运行环境的具体要求。 项目名称 科室技术参数、功能、性能等需求（硬件或软件需具体细化） 三级系统：HIS系统、LIS系统、PACS系统、电子病历系统 二级系统：OA系统、HRP系统 等保测评服务内容 *、测评服务提供单位为医院信息系统三级等保提供定级备案、等级测评、系统整改指导、 应急响应、安全巡检、漏洞扫描及渗透测试等工作。 *、依据相关信息系统安全等级保护的标准要求，本次信息安全等级保护测评涵盖安全技 术：物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理：安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理十个方面。 *、依据相关的测评准则，结合系统的构成特点，确定具体的测评对象，制定测评方案，、 通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求，找出信息系统中存在的安全隐患，对安全性进行整体评估，制定相关的信息安全整体安全策略和中长期的安全规划，以便对被测系统进行安全方面的调整和改进，确保其安全防护水平达到信息系统安全等级保护相应能力的要求。 *、定级备案：测评服务提供单位编写医院信息系统的定级报告、备案表,向当地**局 网监支队提交备案资料。 *、等级测评：测评服务提供单位对医院信息系统进行等级测评，编写测评报告、问题总 结及整改建议。 *、系统整改：测评服务提供单位根据等级测评结果及问题总结编制整改建议方案。若医 院要对系统进行整改，测评服务提供单位应安排经验丰富的信息安全等级测评师协助医院系统完成整改工作，协助医院建立完整的技术体系、运维体系和管理体系。 *、应急响应服务：测评服务提供单位对医院的信息系统提供一年内安全应急响应服务。 *、安全巡检服务：测评服务提供单位安全运维服务工程师每季度对医院机房、网络设备、 安全设备、应用系统等进行巡检，查看运行状况，并对安全日志进行分析。 *漏洞扫描及渗透测试服务：测评过程中对医院信息系统进行全面的系统漏洞扫描，另 外，一年内进行*次漏洞扫描,每季度对院方的核心业务信息系统进行漏洞扫描，提交漏扫报告、漏洞修复建议，协助医院采取应对措施。 三级系统： HIS系统、LIS系统、PACS系统、电子病历系统 二级系统： OA系统、HRP系统 等保测评服务内容 安全测评报告 服务提供方应对院方的各个信息系统进行等级保护测评，形成相应的报告。 *、服务提供方在测评后出具符合*****局要求的系统安全保护等级测评报告一式两份及电子版； *、服务提供方协助院方办理信息系统安全保护等级备案手续。 　　（三）商务要求： 　　*、服务能力： 　　（*）除《中华人民**国政府采购法》第二十二条规定的供应商应具备的条件外，采购人可以根据采购项目的特殊要求，规定供应商的特定资格条件，如国家或行业强制性标准等。 　　（*）必须具有**部第三研究所颁发的《网络安全等级测评与检测评估机构服务证书》（DJCP）。有资格和能力对我单位进行等保评测响应和等保整改方案应对工作。（复印件加盖响应供应商公章（鲜章），原件备查） 　　（*）必须拥有kubernetes(K*S)容器集群架构的等保测评能力。 　　（*）经年检的税务登记证书（复印件加盖响应供应商公章（鲜章），原件备查）。 　　（*）经年检的税务登记证书（复印件加盖响应供应商公章（鲜章），原件备查）。 　　（*）法定代表人身份证明或附有法定代表人身份证明的授权委托书（原件）。 　　（*）三年内无违规记录，出具承诺函并加盖公章。 　　*、服务案例：供应商应对等保测评有成熟的解决方案,具有成功的实施案例。 　　*、人员要求：具备为测评服务提供专业技术团队的能力，提供至少*人**部《信息安全等级测评师》证书【其中须至少*名高级信息安全等级保护测评师（复印件加盖响应供应商公章（鲜章），原件备查）】。 　　*、培训要求：响应供应商应提供信息安全等级保护相关知识培训服务。 　　*、后续服务： 　　（*）项目验收 　　①本项目的目标是输出等级保护测评报告，并配合办理信息系统安 　　全保护等级备案手续，该项目将产生一定数量的文档。 　　②响应供应商应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。 　　③响应供应商应提交验收方案，供采购人参考。 　　④采购人将依据本项目的要求，组织相关部门或单位的技术专家对 　　响应供应商提交的项目成果进行验收。 　　（*）项目承诺： 　　①响应供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。 　　②保密性要求：响应供应商必须和采购人签订保密协议和非侵害性协议，响应供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给采购人。 　　③响应供应商具体测评工作和等级保护测评报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，响应供应商不得带离该地点。 　　④响应供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论响应供应商中标与否，其对上述内容的保密责任将长期存在。 　　⑤等级保护测评的品质保证：响应供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。 　　（*）其他： 　　①响应供应商投标书中需要对响应供应商等级保护测评的过往实施情况做相应说明，并附详细资料。 　　②响应供应商应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。 　　③响应供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力**的组织方式、项目实施的管理方式、项目成员的角色和责任。 　　④响应供应商应提出需要采购人配合的工作事项。 　　⑤响应供应商应提供信息安全等级保护相关知识培训服务。 　　⑥测评结束后响应供应商应提供整改后的网络拓扑图、安全设备配置信息等相关技术文档。 　　⑦测评结束后期服务承诺：应标人在采购人现有信息系统等级不变的情况下，对采购人现有信息系统扩建的网络，提供安全性分析服务，并对发现的相关问题提出合理化建议。 　　*、质保及售后服务： 　　（*）应急响应服务：测评服务提供单位对医院的信息系统提供一年内安全应急响应服务。 　　（*）安全巡检服务：测评服务提供单位安全运维服务工程师每季度对医院机房、网络设备、安全设备、应用系统等进行巡检，查看运行状况，并对安全日志进行分析。 　　（*）漏洞扫描及渗透测试服务：测评过程中对医院信息系统进行全面的系统漏洞扫描，另外，一年内进行*次漏洞扫描,每季度对院方的核心业务信息系统进行漏洞扫描，提交漏扫报告、漏洞修复建议，协助医院采取应对措施。 　　*、本项目实施工期及服务方案： 　　（*）项目要求在合同签订后**个日历日内完成等保评测要求的所有工作和资料交付。 　　（*）响应供应商应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准： 　　①《信息安全等级保护管理办法》（公通字[****]**号） 　　②《信息安全技术信息系统安全等级保护基本要求》GB/T *****-**** 　　③《信息安全技术信息系统安全等级保护定级指南》GB/T *****-**** 　　④《信息安全技术信息系统安全等级保护实施指南》GB/T *****-**** 　　⑤《信息安全技术信息安全风险评估规范》GB/T *****-**** 　　⑥《信息安全技术信息系统安全等级保护测评要求》GB/T *****-**** 　　⑦《信息安全技术信息系统安全等级保护测评过程指南》GB/T *****-**** 　　（*）响应供应商开展信息系统安全等级保护测评相关工作必须符合但不限于如下文件的要求： 　　①《中华人民**国网络安全法》 　　②信息安全等级保护管理办法（公通字[****]**号） 　　③《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔****〕**号） 　　④《**省卫生健康行业网络安全等级保护工作实施方案》（川卫函〔****〕**号） 　　*、知识产权：医院在中华人民**国境内使用供应商提供的系统及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控，供应商应承担由此而引起的一切法律责任和费用。未经医院同意，供应商不得以任何单位或个人名义，对外泄露或公开报告内容及相关文件资料、数据信息、重要结论等。 　　三、供应商应具备的条件及需要递交的资料： 　　（一）供应商应具备的条件 　　*.具有独立承担民事责任的能力（提供承诺函）； 　　*.具有良好的商业信誉和健全的财务会计制度（提供承诺函）； 　　*.具有履行合同所必需的设备和专业技术能力（提供承诺函）； 　　*.有依法缴纳税收和社会保障资金的良好记录（提供承诺函）； 　　*.参加采购活动前三年内，在经营活动中没有重大违法记录（提供承诺函）； 　　*.法律、行政法规规定的其他条件（提供承诺函）； 　　*.遵守国家法律法规，具有良好的信誉和诚实的商业道德，供应商在参加本次采购活动前的信用记录未列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信等行为（提供证明材料）； 　　*.所供的产品及服务符合国家相关法律法规及行业标准（提供承诺函）。 　　（二）供应商需递交的资料 　　*.承诺函、报名函、授权书、报价单、相关产业发展情况及*场供给情况、同类采购项目历史成交信息情况（见附件）； 　　*.中小企业承诺函（见附件）(非中小企业则不填）； 　　*.廉洁承诺书+防止利益冲突报备表（见附件）； 　　*.资质证明文件：营业执照等。按生产厂家及各级代理商资质证件和各公司层级授权委托书、产品资质证件的顺序，明确体现证件齐全及各层级授权关系，包括营业执照、生产/经营许可证、医疗器械注册证/备案信息、彩页、产品使用说明书等，以上资质不涉及不提供； 　　*.采购项目技术参数、功能需求及商务要求响应情况（见附件）； 　　*.提交的所有资料须合法、真实、有效、清晰，并加盖鲜章，按以上顺序编订成册（一正两副共三份），并在首页编制目录，提交资料未按要求提供，医院有权拒绝签收。资料提交不完整的，视为报名不成功。 　　四、报名方式 　　方式一：报名截止时间前现场递交报名资料（备注：若报名截止时间处于非工作日，可先发送电子档至邮箱，纸质档资料顺延至工作日第一天现场递交）。 　　方式二：报名截止时间之前邮寄出报名资料并发送电子版至邮箱：***********后再电话联系通知，在邮寄的情况下未在截止时间内发送电子版视为未报名成功。 　　采购方式：线下采购，具体时间另行电话通知。未按通知时间到达现场签到视为放弃本项目。（参加采购活动的供应商请在医院外自行停车，院区内停车主要为病人及家属提供） 　　五、联系方式 　　如有其他疑问，请及时联系，联系人：陶老师，电话：****-*******（上班时间：**:**-**:**,**:**-**:**），邮寄地址：*****灏一支路**号*********采购科。*.采购封面.doc*.中小企业声明函.doc*.采购-服务类承诺函+报价单.doc*.*********廉洁承诺书+防止利益冲突报备表（供应商）.doc*、采购项目技术参数、功能需求及商务要求响应情况.doc 　　*********采购科 　　****年**月**日