泸县人民医院信息安全三级等级保护测评服务项目招标公告-比地招标网

您当前为:【游客状态】，文中****为隐藏内容，仅对会员开放，后查看完整商机。全国免费咨询热线：400-999-4928

您当前为:【游客状态】，免费信息为7天前的招标信息，后可查看商机。全国免费咨询热线：400-999-4928

公告内容：

****人民医院****招标公告

项目概况

****的潜在投标人应在****省*****体化平台项目电子化交易系统（以下简称“项目电子化交易系统”）获取招标文件，并于 ****年**月**日 **时**分（北京时间）前递交投标文件。

*、项目基本情况

项目编号：*****************

项目名称：****

采购方式：****

预算金额：***,***.**元

采购需求：详见采购需求附件

合同履行期限：

采购包*：自合同签订之日起***日

本项目是否接受联合体投标：

采购包*：不接受联合体投标

*、申请人的资格要求：

*.满足《中华人民共和国****法》第***条规定;

*.落实****政策需满足的资格要求：

采购包*：

本项目专门面向中小企业采购(监狱企业、残疾人福利性单位均视同小微企业)，非中小企业参与的将视为无效投标文件。

*.本项目的特定资格要求：

采购包*：

(*)投标人须具有有效的《****等级测评与检测评估机构服务认证证书》。

*、获取招标文件

时间：****年**月**日至****年**月**日，每天上午**:**:**至**:**:**，下午**:**:**至**:**:**（北京时间）

途径：项目电子化交易系统-投标（响应）管理-未获取采购文件中选择本项目获取招标文件

方式：在线获取

售价：*元

*、提交投标文件截止时间、开标时间和地点

时间：****年**月**日 **时**分**秒（北京时间）

提交投标文件地点：****市江阳区佳乐世纪城（金融商业中心）*号楼***号

开标地点：****市江阳区佳乐世纪城（金融商业中心）*号楼***号

*、公告期限

自本公告发布之日起*个工作日。

*、其他补充事宜

*、根据《****省财政厅关于推进****省****供应商信用融资工作的通知》（川财采〔****〕***号）文件要求，为助力解决****中标、成交供应商资金不足、融资难、融资贵的困难，促进供应商依法诚信参加****活动，有融资需求的供应商可根据********网公示的银行及其“政采贷”产品，自行选择符合自身情况的“政采贷”银行及其产品，凭中标（成交）通知书向银行提出贷款意向申请（具体内容详见招标文件附件“川财采〔****〕***号”）。

*、最高限价：人民币**.***元，超过最高限价的报价为无效投标。

*、对本次招标提出询问，请按以下方式联系。

*.采购人信息

名称：****人民医院

地址：****省****市****龙脑大道***号

联系方式：****-*******

*.采购代理机构信息

名称：****

地址：****市江阳区佳乐世纪城（金融商业中心）*号楼***号

联系方式：****-*******（项目咨询）

*.项目联系方式

项目联系人：聂华友、邓彬、****

电话：****-*******（项目咨询）

****

****年**月**日

相关附件：

采购需求.***

采购需求

*、项目概述

本项目*个包，根据《信息安全技术****等级保护基本要求》(**/*

*****-****)、《信息安全等级保护管理办法》(公通字[****]**号)和《中华人

民共和国****法》等相关标准，对我院重要系统，在技术和管理方面的**

个大项内容进行逐*的检查和测试，其内容涉及信息系统的安全物理环境、安全

通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全

管理机构、安全管理人员、安全建设管理和安全运维管理等，结合系统的构成特

点，确定具体的测评对象，制定测评方案，通过访谈、检查、测评等方式判断其

安全技术和安全管理的各方面是否达到了相应等级的国家****等级保护要

求，找出信息系统中存在的安全隐患，对安全性进行整体评估，以便对被测系统

进行安全方面的调整和改进。

*、技术、服务要求（实质性要求）

（*）测评系统清单

互联网医院系统等保测评	*级
集成平台等保测评	*级
****系统等保测评	*级
***系统等保测评	*级
***系统等保测评	*级
系统名称	安全保护等级

（*）测评要求

本次测评的主要是根据《信息安全技术****等级保护基本要求》(**/*

*****-****)、《信息安全等级保护管理办法》(公通字[****]**号)和《中华人

民共和国****法》等相关标准，对我院重要系统，在技术和管理方面的**

个大项内容进行逐*的检查和测试，其内容涉及信息系统的安全物理环境、安全

通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全

管理机构、安全管理人员、安全建设管理和安全运维管理等，结合系统的构成特

点，确定具体的测评对象，制定测评方案，通过访谈、检查、测评等方式判断其

安全技术和安全管理的各方面是否达到了相应等级的国家****等级保护要

求，找出信息系统中存在的安全隐患，对安全性进行整体评估，以便对被测系统

进行安全方面的调整和改进。

*.安全物理环境

*	温湿度控制	通过访谈、检查机房温、湿度情况，是否采取必要措施对机房内的温湿度进行控制。
*	防静电	通过访谈、检查机房是否采取必要措施防止静电的产生。
*	防水和防潮	通过访谈、检查机房的除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。
*	防火	通过访谈、检查机房的设计/验收文档，检查机房防火设备等过程，测评信息系统是否采取必要的措施防止火灾的发生。
*	防雷击	通过访谈、检查机房的设计/验收文档，测评信息系统是否采取相应的措施预防雷击。
*	防盗窃和防破坏	通过访谈、检查机房的主要设备、介质和防盗报警系统等过程，测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
*	物理访问控制	通过访谈、检查主机房出入口、机房分区域情况等过程，测评信息系统在物理访问控制方面的安全防范能力。
*	物理位置选择	通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。
序号	工作单元名称	工作单元描述
**	电磁防护	通过访谈、检查是否具备*定的电磁防护能力。
*	电力供应	通过访谈、检查机房供电线路、设备等过程，是否具备提供*定的电力供应的能力。
序号	工作单元名称	工作单元描述

*.安全通信网络

*	可信验证	通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
*	通信传输	通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。
*	网络架构	通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备，测试系统访问路径和网络宽带分配情况等过程，测评分析网络架构与网段划分、隔离等情况的合理性和有效性，以及通信线路、关键设备硬件冗余，系统可用性保证情况。
序号	工作单元名称	工作单元描述

*.安全区域边界

*	访问控制	通过访谈、检查、测试网络访问控制设备策略部署，测试系统对外暴露安全漏洞情况等过程，测评分析对进出网络的数据流量控制以及基于应用协议和应用内
*	边界防护	通过访谈、检查、测试边界完整性检查设备，测评分析跨域边界的访问控制和数据流通过边界设备的控制措施，非法内联、外联、无线准入控制的监测、阻断等能力。
序号	工作单元名称	工作单元描述
*	可信验证	通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
*	安全审计	通过访谈、检查网络边界、重要网络节点安全审计情况等，测评分析信息系统审计配置和审计记录保护，审计内容等情况。
*	恶意代码和防垃圾邮件	通过访谈、检查、测试关键网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况，
*	入侵防范	通过访谈、检查、测试网络边界处、关键网络节点检测、防止或限制从内部和外部发起网络攻击行为的防护能力，以及网络行为分析、监测、报警能力，特别是新型网络攻击行为的分析，对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。
		容的访问控制能力。
序号	工作单元名称	工作单元描述

*.安全计算环境

*	访问控制	通过访谈、检查、测试是否启用访问控制功能，依据
*	身份鉴别	通过访谈、检查、测试对登录的用户进行身份标识和鉴别，是否具有不易被冒用的特点，口令应有复杂度要求并定期更换，以及远程管理安全、双因素鉴别等内容。
序号	工作单元名称	工作单元描述
*	数据保密性	通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要
*	数据完整性	通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况，包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
*	可信验证	通过访谈、通过访谈安全员，检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
*	恶意代码防范	通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制，能否及时识别入侵和病毒行为并将其有效阻断等内容。
*	入侵防范	通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为，能够记录入侵的源**、攻击的类型、攻击的目的、攻击的时间，并在发生严重入侵事件时提供报警，是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。
*	安全审计	通过访谈、检查安全审计范围及内容。
		安全策略控制用户对资源的访问；是否根据管理用户的角色分配权限，实现管理用户的权限分离，仅授予管理用户所需的最小权限等内容。
序号	工作单元名称	工作单元描述
**	个人信息保护	通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息，对用户个人信息的访问和使用等。
**	剩余信息保护	通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除，存有敏感数据的存储空间被释放或重新分配前是否有效清除等。
*	数据备份恢复	通过访谈、检查、测试重要数据本地备份与恢复功能，异地实时备份功能，以及重要数据处理系统的热冗余和高可用性保证等。
		个人信息等。
序号	工作单元名称	工作单元描述

*.安全管理中心

*	集中管控	通过访谈、检查、测试是否具有特定的管理区域，对分布在网络中的安全设备或安全组件进行集中管控，对网络链路、安全设备、网络设备和服务的运行进行集中监测，对分散在各设备上的审计数据进行收集汇
*	安全管理	通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计，以及是否通过安全管理员对安全策略、参数进行配置等。
*	审计管理	通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计，以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。
*	系统管理	通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计，以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。
序号	工作单元名称	工作单元描述总和集中分析，并确保记录留存符合法律法规要求，对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理，对网络中发生的各类安全事件进行识别、报警和分析等。
序号	工作单元名称	工作单元描述

*.安全管理制度

*	评审和修订	通过访谈、检查管理制度在内容覆盖上是否全面、完善。
*	制度和发布	通过访谈、检查管理制度定期评审和修订情况。
*	管理制度	通过访谈、检查管理制度的制定和发布过程是否遵循*定的流程。
*	安全策略	通过访谈、检查****工作的总体方针我安全策略是否全面、完善。
序号	工作单元名称	工作单元描述

*.安全管理机构

*	审核和检查	通过访谈、检查安全工作的审核和检查情况。
*	沟通和合作	通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。
*	授权和审批	通过访谈、检查对关键活动的授权和审批情况。
*	人员配备	通过访谈、检查各个岗位人员配备情况。
*	岗位设置	通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。
序号	工作单元名称	工作单元描述
*	外部人员访问管理	通过访谈、检查对第*方人员访问（物理、逻辑）系统是否采取必要控制措施。
*	安全意识教育和培训	通过访谈、检查是否对人员进行安全方面的教育和培训。
*	人员离岗	通过访谈、检查人员离岗时是否按照*定的手续办理。
*	人员录用	通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
序号	工作单元名称	工作单元描述

*.安全建设管理

*	系统交付	通过访谈、检查是否采取必要的措施对系统交付过程进
*	测试验收	通过访谈、检查系统运行前是否对其进行测试验收工作。
*	工程实施	通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
*	外包软件开发	通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
*	自行软件开发	通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。
*	产品采购和使用	通过访谈、检查是否按照*定的要求进行系统的产品采购。
*	安全方案设计	通过访谈、检查整体的安全规划设计是否按照*定流程进行。
*	定级和备案	通过访谈、检查是否按照*定要求确定系统的安全等级。
序号	工作单元名称	工作单元描述
**	服务商选择	通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。
*	等级测评	通过访谈、检查等级测评、整改情况。
		行有效控制。

**.安全运维管理

*	密码管理	通过访谈、检查是否能够确保信息系统中密码算法和密钥的
*	配置管理	通过访谈、检查基本配置信息管理情况
*	恶意代码防范管理	通过访谈、检查是否采取必要的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。
*	网络和系统安全管理	通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理，确保****运行。
*	漏洞和风险管理	通过访谈、检查安全漏洞和隐患识别、处理情况，以及是否定期开展安全测评以及安全问题的应对措施。
*	设备维护管理	通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
*	介质管理	通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
*	资产管理	通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理。
*	环境管理	通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
序号	工作单元名称	工作单元描述
**	外包运维管理	通过访谈、检查外包运维服务商选择是否符合国家要求，外包运维保密、服务内容管理等。
**	应急预案管理	通过访谈、检查是否针对不同安全事件制定相应的应急预案，是否对应急预案展开培训、演练和审查等。
**	安全事件处置	通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
**	备份与恢复管理	通过访谈、检查是否采取必要的措施对重要业务信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地恢复。
**	变更管理	通过访谈、检查是否采取必要的措施对系统发生的变更进行有效管理。
		使用符合国家密码管理规定。

（*）交付产物

包括但不仅限于以下资料：

*	信息系统安全等级保护备案表
*	信息安全评估报告
*	其他未列入的应交资料
*	****培训资料
*	信息系统安全等级测评报告(包含整改建议)、系统渗透报告

注：以上技术、服务要求为实质性要求，不允许负偏离，须在技术、服务

应答表中如实响应。如有负偏离视为无效投标处理。

*、商务要求（实质性要求）

*.服务时间、地点及年限要求

*.*服务时间：出具入场通知之日起**日完工。

*.*服务地点：****人民医院。

*.*服务年限：*年。

*.付款方法和条件

按服务年度付款，第*个服务年度内，收到完整有效的交付资料后**天内，

支付合同金额的**%；第*个服务年度内，收到完整有效的交付资料后**天内，

支付合同剩余金额。

*.服务要求

*.*根据医院要求每年对医院组织进行*次全员的****培训，*次网络

安全管理人员技术培训。

*.*团队配置：总测评师*人，项目经理*人，其余测评人员不少于*人。

测评人员进场时提供派遣函、员工安全审查表、保密协议。

*.*中标人在实施过程中，因设施需要，调整或影响现有系统、网络、设备

架构或需要暂停业务的，需经采购人授权（签字确认），如未得到授权私自实施

所造成的*切责任与经济损失由中标人承担。(提供承诺函）

*.*等级保护测评完后，协助采购人整理备案材料和进行主管部门备案。

*.验收要求：

*.*验收主体：采购人。

*.*验收时间：供应商提出验收申请之日起**日内组织验收。

*.*验收组织方式：自行验收。

*.*履约验收程序：分期验收。

*.*技术履约验收内容：按照本项目招标文件中采购需求及中标人投标文件

进行验收。

*.*商务履约验收内容：按照本项目招标文件中采购需求及中标人投标文件

进行验收

*.*验收标准：验收严格按照《****需求管理办法》（财库〔****〕**

号）、《财政部关于进*步加强****需求和履约验收管理的指导意见》（财库

〔****〕***号）执行验收，以采购文件技术、服务要求及投标文件技术、服务

响应为准。如出现未在采购文件中明确规定的，以行业相关标准为准。如采购双

方如对技术、服务要求和指标的约定标准有相互抵触或异议的事项，由采购人在

采购与投标文件中按技术、服务要求和指标、行业标准比较优胜的原则确定该项

的约定标准进行验收。

*.*验收程序和内容：

*.*.*首先对商务条款进行履约验收，其次对已涉及的服务内容进行逐条验

收。存在争议的，以第*方检测机构出具的检测报告为准。

*.*.*验收时如发现供应商提供的服务不符合采购要求或标准，以及本项目

约定的情形时，采购人应做出详尽的现场记录，或由双方签署备忘录，由此产生

的时间延误与有关费用由供应商承担，验收期限相应顺延。

*.*.*验收结果不合格且拒不整改的，采购人也将不予支付合同应付款项，

采购人有权上报本项目同级财政部门请示按照****法律法规等有关规定进

行处理。

*.*风险处置措施和替代方案：

*.*.*风险处置措施：除不可抗力或者合同履行将损害国家利益和社会公共

利益导致合同无法履行或者履行没有意义外，中标供应商不得放弃中标，供应商

无故放弃中标的将通报同级财政部门。

*.*.*替代方案：本项目无替代方案。

*.**违约责任与解决争议的方法：

*.**.*采购人与中标人双方必须遵守合同并执行合同中的各项规定，保证

合同的正常履行。

*.**.*如因中标人工作人员在履行职务过程中的疏忽、失职、过错等故意

或者过失原因给采购人造成损失或侵害，包括但不限于采购人本身的财产损失、

由此而导致的采购人对任何第*方的法律责任等，中标人应配合采购人事故调查，

确由中标人导致的，中标人应承担相应的赔偿及法律责任。

*.**.*采购人向中标人下达整改通知书后，中标人拒不整改或整改不符合

要求超过*次的，采购人有权要求中标人支付违约金。

*.**.*解决争议的方法：①因服务的质量问题发生争议，由具有法定资格

条件的质量技术监督（检测）机构进行质量鉴定。服务符合标准的，鉴定费由采

购人承担；服务不符合质量标准的，鉴定费由中标人承担。②合同履行期间,若

双方发生争议，双方本着友好合作的态度，对合同履行过程中发生的违约行为进

行及时的协商解决或由有关部门调解解决，如不能协商解决可向合同签约地法院

通过法律诉讼解决。

*.**知识产权

*.**.*供应商应保证在本项目使用的任何产品和服务（包括部分使用）时，

不会产生因第*方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经

济纠纷，如因专利权、商标权或其它知识产权而引起法律和经济纠纷，由供应商

承担所有相关责任。

*.**.*如采用供应商所不拥有的知识产权，则在投标报价中必须包括合法

获取该知识产权的相关费用。

*.**在服务过程中，所有的安全生产责任和法律风险均由中标人承担，采

购人有权动用未支付的服务费进行先行垫付，中标人不得有异议。

*.**采购人在与中标人签署合同前，如发现中标人有虚假应标的行为，将

上报同级财政部门，追究中标人的相关法律和经济责任。

注：以上商务要求为实质性要求，不允许负偏离，须在商务应答表中如实

响应。招标文件明确需要提供证明材料按要求提供，未提供视为负偏离处理。

如有负偏离视为无效投标处理。

*、其他要求（评分要求）

*、投标人根据本项目实际情况提供详细的技术方案

*.*安全技术测评：①包括安全物理环境②安全通信网络③安全区域边界④

安全计算环境⑤安全管理中心*个方面。

*.*安全管理测评：①包括安全管理制度②安全管理机构③安全管理人员④

安全系统建设⑤安全系统运维管理等*个方面。

*、投标人根据本项目实际情况提供详细的服务方案方案内容包括但不限于：

①项目实施计划、②协调沟通机制、③文档管理措施、④质量保障措施。

您当前为:【游客状态】，文中****为隐藏内容，仅对会员开放，后查看完整商机。全国免费咨询热线：400-999-4928

您当前为:【游客状态】，免费信息为7天前的招标信息，后可查看商机。全国免费咨询热线：400-999-4928

项目编号	-	资质要求	点击查看
招标/采购内容	点击查看	预算金额	点击查看
获取标书截止时间	点击查看	投标截止时间	点击查看
招标单位	点击查看	招标联系人/电话	点击查看
代理机构	点击查看	代理联系人/电话	点击查看
潜在投标单位	点击查看	潜在中标单位	点击查看

创建订单中...

企业分析报告是什么？

创建订单中...

泸县人民医院信息安全三级等级保护测评服务项目招标公告

公告内容：