当前位置:
点击登录查看拟对以下项目进行院内竞争性磋商方式采购,欢迎符合资格条件的供应商前来报名。
一、项目基本情况:
项目编号:****
项目名称:点击登录查看2025年等保测评密评服务项目
评标办法:综合评分法(评标办法见附件)
合同期限:自合同签订起1年
招标内容:详见附件
二、供应商资格要求:
1.供应商须符合《中华人民共和国政府采购法》第二十二条规定,并提供《中华人民共和国政府采购法实施条例》第十七条所要求的材料;提供有效的营业执照,或事业单位法人证书,或自然人身份证明,或其他非企业组织证明独立承担民事责任能力的文件;
2.供应商须为未被列入“信用中国”网站(www.creditchina.gov.cn)记录失信被执行人或重大税收违法案件当事人名单或政府采购严重违法失信行为”记录名单;不处于中国政府采购网(www.ccgp.gov.cn)政府采购严重违法失信行为信息记录”中的禁止参加政府采购活动期间;未被列入“信用甘肃”网站(www.gscredit.gov.cn)记录失信被执行人或财政性资金管理使用领域相关失信责任主体、统计领域严重失信企业及其有关人员等的方可参加本项目的投标。(查询时间为本项目磋商公告发布之日起至投标截止时间前);
3.提供财务状况报告等相关材料:提供2024年度经第三方会计师事务所审计的企业财务报告扫描件或提交投标文件截止时间期前近3个月内银行出具的资信证明复印件并加盖公章;
4.参加政府采购活动前三年内在经营活动中没有重大违法记录的书面声明(格式自拟);
5.提供近6个月中任意1个月的依法缴纳税收和社会保障资金(专用收据或社会保险缴纳清单等)的相关证明材料复印件并加盖公章;依法免税或不需要缴纳社会保障资金的供应商,应提供税务机关出具的依法免税的证明文件或社会保险基金管理部门出具的不需要缴纳社会保障资金的证明文件;
6.具有履行合同所必须的设备和专业技术能力;
7.等保测评服务供应商须具有公安部颁发的网络安全等级测评与检测评估机构服务认证证书加盖公章复印件;
8.密码测评服务供应商须为国家密码管理局公告(第49号)《商用密码检测机构(商用密码应用安全性评估业务)目录》之内的商用密码检测机构,须提供商用密码检测机构资质证书加盖公章复印件;
9.本项目不接受联合体投标。
三、资格审查方式:
本项目资格审查采用资格后审的方式,各投标人根据公告内投标人资格条件,自行确定是否符合要求。
资格审查的内容若有一项未提供或达不到审查标准,将导致其不具备投标资格,且不允许在开标后补正。
四、投标响应文件的构成:
1.投标函;
2.法定代表人资格证明书;
3.法定代表人授权委托书;
4.供应商自觉抵制政府采购领域商业贿赂行为承诺书;
5.投标人资格声明;
6.提供有效的营业执照、税务登记证、组织机构代码证等证件的副本或具有统一社会信用代码的营业执照副本或事业单位法人证书,或自然人身份证明。(复印件加盖公章);
7.无联合体投标声明;
8.一次报价单和二次报价单(格式自拟);
9.技术投标人认为有必要提供的其他资料;
以上内容需装订成册(胶装),要求一正两副,投标人需将一正两副的响应文件封装,封口处加盖密封章,并于公告指定的时间及地点递交文件。
五、报名时间、资料和方式:
1.报名时间:****至****(上午8:30—12:00、下午14:30—18:00,节假日除外);
2.报名资料:提供有效的法人营业执照副本、机构代码证副本、税务登记证(三证合一的则需提供具有统一社会信用代码的营业执照副本),(扫描件加盖公章)、法定代表人授权书(扫描件)、授权人身份证(正反面扫描件);
3.报名方式:以上报名资料加盖公章后扫描成PDF文件发送至****@qq.com 邮箱,邮件主题和附件资料均命名为“采购文件编号+供应商名称”,要求发送资料清晰可见,报名资料需留有报名人的联系方式,开标同时提供复印件一套,投标人也可进行现场报名,携带以上资料加盖公章,报名地址:点击登录查看南院区招标采购办公室。
六、提交响应文件截止时间和竞争性磋商时间和地点:
1.提交响应文件及竞争性磋商时间:****15:00时
2.提交响应文件及竞争性磋商地点:点击登录查看南院区门诊楼三楼行政二区会议室,逾期送达的或者未送达指定地点的投标文件,招标人不予受理。
七、发布公告的媒介:
点击登录查看订阅号
八、联系方式:
招标单位:点击登录查看
联系人:点击登录查看
联系电话:****
联系地址:嘉峪关市****
****
附件:
一、总体服务要求:
1、服务内容:
(1)对点击登录查看电子病历(EMR)、医院信息管理(HIS)系统进行三级等保测评;协助院方完成缺项整改,如网络安全制度建设、机房环境进行改造、网络设备进行调试配置、院内终端进行整改、合理化网络安全建议等;为院方开展全院级、科室级网络安全培训,时间地点由院方安排;根据要求完成网安部门登记备案、三级等保测评并出具报告。
(2)彻落实《中华人民共和国密码法》、《商用密码管理条例》与《商用密码应用安全性评估管理办法》中对密码应用与安全性评估要求,对电子病历(EMR)和医院信息管理(HIS)系统开展商用密码应用安全性评估工作。对系统实际情况及系统使用的密码资源情况选择并确定测评对象,在系统真实环境下进行测评,以评估系统的密码应用是否合规、正确、有效;对系统密码应用方案提供咨询服务,针对评估系统编制密码应用安全性评估报告,报告按照国家密码管理局要求包含的内容编制或参考模板编制,协助用户认清风险,查找漏洞,找出差距,提出有针对性的加强完善密码安全管理和防护建议,充分发挥密码保障网络安全核心支撑作用,增强信息系统网络安全防护能力。
二、等保测评技术要求:
1、项目要求
根据等级保护测评的总体要求,对点击登录查看电子病历(EMR)、医院信息管理(HIS)共2个系统采购信息安全等级保护测评服务。检测和发现系统中存在的安全漏洞和安全隐患,提出安全整改建议,从而有效降低系统遭受具有政治目的、经济目的等恶意攻击的可能性,以提高安全保障能力和防护水平;同时,测评结论作为进一步完善系统安全防护措施的依据。
2、项目内容
本次等级保护测评主要是基于《GB/T22240-2020信息安全技术网络安全等级保护定级指南》、《GB17859-1999计算机信息系统安全保护等级划分准则》、《GB/T22239-2019信息安全技术网络安全等级保护基本要求》、《GB/T28448-2019信息安全技术网络安全等级保护测评要求》、《GB/T28449-2018信息安全技术网络安全等级保护测评过程指南》、《GA/T390-2002计算机信息系统安全等级保护通用技术要求》和《GA/T391-2002计算机信息系统安全等级保护管理要求》、中的相关内容和要求进行评估,并参考其它等级保护的相关标准。测评主要包括技术和管理两个方面的内容:技术方面主要涉及安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面;管理方面主要涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等。
3、测评内容
测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;安全管理测评:安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
(1)安全物理环境
针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
(2)安全通信网络
根据重要信息系统网络安全测评记录,针对项目范围内网络方面在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
(3)安全区域边界
安全区域边界现场测评包括对项目范围内信息系统的测评,测评内容包括“边界防护”、“访问控制”、“入侵防护”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”。
(4)安全计算环境
安全计算环境现场测评包括对项目范围内信息系统的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”方面。
(4)安全管理中心
针对项目范围内信息系统数据安全及备份恢复现场测评包括“系统管理”、“审计管理”、“安全管理”和“集中管控”几个方面的测评。
(6)安全管理制度
根据现场安全测评记录,针对项目范围内信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
(7)安全管理机构
根据现场安全测评记录,针对项目范围内信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”、“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
(8)安全管理人员
根据现场安全测评记录,针对项目范围内信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”、“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(9)安全建设管理
根据现场安全测评记录,针对项目范围内信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
(10)安全运维管理
根据现场安全测评记录,针对项目范围内信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”、“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。
(11)渗透测试
根据项目范围内应用系统实际部署情况从互联网和内网对所测评应用系统进行渗透测试,并根据测试结果提出整改建议和加固方法,由甲方整改完成后进行渗透测试复测。
(12)提供三级等保整改,每月度互联网安全检查方案。
4、项目实施要求
4.1 保密要求
在项目实施过程中,供应商承诺对所获得的数据及文档等保密信息,承担以下保密义务:
(1)供应商应按要求与采购人签署保密协议。
(2)主动采取加密措施对上述所列及保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。
(3)不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的关于该项目的商业秘密。
(4)不得向不承担同等保密义务的任何第三人披露关于该项目的商业秘密。
(5)不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用关于该项目的商业秘密。
(6)不论何种原因终止参与采购人关于该项目的工作后,都不得利用该项目之商业秘密为其他与采购人有竞争关系的企业(包括自办企业)服务。
(7)该项目的商业秘密所有权始终全部归属采购人,供应商不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前供应商已依法具有某些所有权者除外。
(8)如发现采购人关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向采购人报告。
4.2 实施要求
(1)在项目实施过程中,供应商应做好计划与安排,不影响采购人正常业务的开展。供应商要给予承诺,并承担由此引起的损失。
(2)在等保测评过程中,每周五下午实施方需提交工作周报,内容应包括本周工作内容和下周工作安排等内容。
(3)等保测评工作应严格按照双方确认的工作方案开展,如遇任何变动,须在工作周报中及时提出,经采购人批准后方可变更。
(4)测评过程中实施测评人员须记录在途经路径上涉及的可被利用存在漏洞的相关主机等设备的信息,以便于被测单位对相关漏洞进行全面修补。
(5)测评工作全部结束后实施测评人员须卸载安装在目标机器或途径机器上的各类工具、脚本、文件等,还原各机器和系统的原始状态。
(6)测评结果中应包括测评过程中发现的所有漏洞,不能遗漏。
(7)在测评过程中若发现重大安全问题(如已被控制或存在严重安全隐患等),测评机构应在24小时之内以书面形式通知采购人,以便第一时间做出处理。
(8)测评过程中,实施测评人员在进入被测单位办公网络后若发现测评范围之外的未知信息系统,须列出系统名称、服务器IP地址、操作系统类型、数据库系统类型等信息,并与采购人协商是否继续进行测评。
(9)测评过程中不得获取测评范围以外的数据,获取的数据不得用于本次测评以外的其他用途。
(10)测评过程中应控制风险,防止测试对网络及系统运行造成影响,因测试造成系统运行问题应及时报告。
(11)测评过程中,测评机构应该针对被测系统发现的漏洞提交可行性的解决方案。
(12)需对被测系统进行全面、专业的渗透测试,发现应用系统存在的安全隐患,并出具渗透测试报告。
(13)测评机构在测评过程中必须保证系统稳定运行,由于测评机构人员能力、不当操作等造成系统、网络或者服务宕机的,评测机构应承担相应责任。
4.3 项目服务需求
(1)服务范围和期限:(最终交付报告视为完成服务,具体服务要求见采购人基本需求)。
(2)本技术要求提出的是最低限度的技术需求,并未对一切技术细节做出规定,供应商应保证提供符合采购人要求的技术服务规范。
(3)采购人保留对本要求提出补充要求和修改的权利,供应商应允诺予以配合。如提出修改,具体项目和条件由双方商定。
(4)供应商对采购人实施环境进行实地考察,并制定出技术服务方案和应急服务方案。
(5)方案确定后,供应商应严格按照方案要求进行项目实施、技术服务和应急响应服务,并按合同规定时间进行技术实施和服务。
(6)双方应在签订合同的同时签订保密协议书,保密协议书作为合同不可分割的一部分。
(7)采购人将在项目实施过程中提供项目实施所需的场地及实施条件,积极协调各部门配合供应商实施工作。
5、服务清单列表
6、测评服务要求
6.1 测评工作应遵循原则
本次安全保护等级保护测评工作方案设计与具体实施应遵循以下原则:
(1)保密性原则:对测评的过程数据和结果数据要严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则采购人有权追究投标人的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3)规范性原则:供应商工作过程和文档整理,应具有很好的规范性,便于项目的跟踪。
(4)可控性原则:测评工作进度要按照计划安排进行,保证采购人对于测评工作的可控。测评工作应尽可能减小对现有信息系统和网络的正常运行,不能影响正常业务的开展。
(5)整体性原则:测评工作范围和内容应当全面完整,包括国家等级保护相关要求涉及的各个层面。
6.2 测评工作总体要求
(1)供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。在测评准备、方案制定、现场测评、分析与报告编制等各个阶段都严格把关,杜绝走过场。在测评工作期间,实施单位应具有应急响应预案,妥善处理突发事件。测评工作完成后,应提出相应的整改意见建议。
(2)供应商应提交本次等级保护测评工作的整体方案,包括项目概述、测评技术方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(3)执行本项目实施服务的主要人员不得少于3人,且必须具备从事等级保护测评工作资格,具有参加等级保护测评服务项目的经验。供应商应提交测评组成人员情况、资质及各自职责的划分,应配置相对固定的测评团队进行本次等级保护测评工作,不能临时替补或经常更换。
(4)本次等级保护测评实施过程中所使用到的各种工具软硬件均由供应商提供,经采购人确认后在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险分析等。
(5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等均由中标人提供,经采购人确认后在测评中使用。
6.3 安全测评报告
供应商在测评工作结束后,应出具符合信息安全等级保护管理部门要求的系统测评报告各两本。
三、密评技术要求:
1、测评内容和服务要求
(1)测评内容
被测系统的详细名称、等级如下表所示。
(2)测评依据标准
①GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》
②GM/T0115-2021《信息系统密码应用测评要求》
③GM/T0116-2021《信息系统密码应用测评过程指南》
④GB/T 43207-2023《信息安全技术 信息系统密码应用设计指南》
⑤信息系统密码应用高风险判定指引(2021)
⑥商用密码应用安全性评估量化评估规则(2023版)
(3)服务要求
供应商针对电子病历(EMR)和医院信息管理(HIS)系统密码应用要求和密码评估提供相关咨询、培训与保障,对系统密码应用与方案提供咨询服务。
在服务期内,供应商至少具备6名《商用密码应用安全性评估从业人员考核证书》(原商用密码应用安全性评估人员测评能力考核)的密评人员在1小时内作好服务应答和反馈,对出现的问题进行现场分析、记录、处置和归档。服务期间提供应急保障工作。
(1)项目负责人:对密评项目的实施进行全面负责。需具备商用密码应用安全性评估从业人员考核(原商用密码应用安全性评估人员测评能力考核)(成绩为优秀)和信息系统项目管理师证书。
(2)技术负责人:主持本次密评技术管理工作,解决密评工作执行过程中遇到的技术相关难题。
(3)项目团队成员(除项目负责人和技术负责人)不少于4人,负责现场密评实施工作和报告编制等工作。
2、技术要求
(1)供应商应依据国家密码法规、密码应用相关技术标准,采用科学的测评方法、流程和工作规范开展商用密码应用安全性评估工作。供应商应具备商用密码应用安全性技术测评实施、管理测评实施、系统整体评估能力。供应商为本项目配备能够依据测评结果做出专业判断以及出具测评报告的能力的测评人员,测评人员必须为通过国家密码管理部门(或其授权的机构)组织的考核(即商用密码应用安全性评估人员测评能力考核证书),遵守国家有关法律法规,按照相关标准,为用户提供安全、客观、公正的评估服务,保证评估的质量和效果。
(2)供应商应具有完善的测评方案,有计划、按步骤地开展测评工作,且测评方案应专业性强,对系统现状及需求理解应准确,方案应科学合理,内容应完整、可靠性强,实施方法和技术措施应可操作性和有效性强,在签订密评合同后供应商应立即成立密评工作小组,并严格按照合同履行密评责任。
(3)供应商应具有良好的质量控制的能力和质量管理体系,以保证测评工作的客观、公正、安全。供应商针对本项目测评过程中的质量管理方案内项目质量管理应完备,项目质量保障措施应科学、可行、完善,项目管理与风险应控制合理。
(4)供应商在现场测评工作中必须在不影响采购人信息系统正常运行的前提下进行。
(5)供应商应遵守相应的密评工作制度,包括会议制度、密评文件制度、密评记录制度、工作报告制度等,保证密评工作协调有序的进行。
(6)供应商应根据被测系统的具体情况,按合同约定,配备满足密评工作需要的人员、设备和工具。为保障密评实施与合同约定服务周期内的服务响应,供应商应具备一定的测评工具开发能力以及在测评服务地进行系统环境模拟实验能力。
(7)供应商应具有完善的应急流程,具有快速应急响应服务团队,以保证在整个项目过程中不影响委托单位信息系统的正常运行。
(8)为保障密评过程中可能涉及的重要数据和敏感信息的安全,供应商应配有相关能力支撑的保密办公区****
(9)供应商完成商用密码应用安全性评估工作后,应协助用户在30日内将评估结果报国家密码管理部门备案。
3、工作交付物
电子病历(EMR)和医院信息管理(HIS)系统商用密码应用安全性评估工作的成果包括:
《电子病历(EMR)系统商用密码应用安全性评估报告》
《电子病历(EMR)系统密码应用改进建议书》
《医院信息管理(HIS)系统商用密码应用安全性评估报告》
《医院信息管理(HIS)系统密码应用改进建议书》
四、评标参数
五、评标办法
640 (155).webp
640 (156).webp
640 (157).webp
