嘉峪關(guān)市第一人民醫(yī)院2025年等保測(cè)評(píng)密評(píng)服務(wù)項(xiàng)目采購(gòu)公告

點(diǎn)擊登錄查看2025年等保測(cè)評(píng)密評(píng)服務(wù)項(xiàng)目采購(gòu)公告

點(diǎn)擊登錄查看擬對(duì)以下項(xiàng)目進(jìn)行院內(nèi)競(jìng)爭(zhēng)性磋商方式采購(gòu)，歡迎符合資格條件的供應(yīng)商前來(lái)報(bào)名。

一、項(xiàng)目基本情況：

項(xiàng)目編號(hào)：****

項(xiàng)目名稱：點(diǎn)擊登錄查看2025年等保測(cè)評(píng)密評(píng)服務(wù)項(xiàng)目

評(píng)標(biāo)辦法：綜合評(píng)分法（評(píng)標(biāo)辦法見(jiàn)附件）

合同期限：自合同簽訂起1年

招標(biāo)內(nèi)容：詳見(jiàn)附件

二、供應(yīng)商資格要求：

1.供應(yīng)商須符合《中華人民共和國(guó)政府采購(gòu)法》第二十二條規(guī)定，并提供《中華人民共和國(guó)政府采購(gòu)法實(shí)施條例》第十七條所要求的材料；提供有效的營(yíng)業(yè)執(zhí)照，或事業(yè)單位法人證書，或自然人身份證明，或其他非企業(yè)組織證明獨(dú)立承擔(dān)民事責(zé)任能力的文件；

2.供應(yīng)商須為未被列入“信用中國(guó)”網(wǎng)站(www.creditchina.gov.cn)記錄失信被執(zhí)行人或重大稅收違法案件當(dāng)事人名單或政府采購(gòu)嚴(yán)重違法失信行為”記錄名單；不處于中國(guó)政府采購(gòu)網(wǎng)(www.ccgp.gov.cn)政府采購(gòu)嚴(yán)重違法失信行為信息記錄”中的禁止參加政府采購(gòu)活動(dòng)期間;未被列入“信用甘肅”網(wǎng)站（www.gscredit.gov.cn）記錄失信被執(zhí)行人或財(cái)政性資金管理使用領(lǐng)域相關(guān)失信責(zé)任主體、統(tǒng)計(jì)領(lǐng)域嚴(yán)重失信企業(yè)及其有關(guān)人員等的方可參加本項(xiàng)目的投標(biāo)。（查詢時(shí)間為本項(xiàng)目磋商公告發(fā)布之日起至投標(biāo)截止時(shí)間前）；

3.提供財(cái)務(wù)狀況報(bào)告等相關(guān)材料：提供2024年度經(jīng)第三方會(huì)計(jì)師事務(wù)所審計(jì)的企業(yè)財(cái)務(wù)報(bào)告掃描件或提交投標(biāo)文件截止時(shí)間期前近3個(gè)月內(nèi)銀行出具的資信證明復(fù)印件并加蓋公章；

4.參加政府采購(gòu)活動(dòng)前三年內(nèi)在經(jīng)營(yíng)活動(dòng)中沒(méi)有重大違法記錄的書面聲明（格式自擬）；

5.提供近6個(gè)月中任意1個(gè)月的依法繳納稅收和社會(huì)保障資金（專用收據(jù)或社會(huì)保險(xiǎn)繳納清單等）的相關(guān)證明材料復(fù)印件并加蓋公章；依法免稅或不需要繳納社會(huì)保障資金的供應(yīng)商，應(yīng)提供稅務(wù)機(jī)關(guān)出具的依法免稅的證明文件或社會(huì)保險(xiǎn)基金管理部門出具的不需要繳納社會(huì)保障資金的證明文件；

6.具有履行合同所必須的設(shè)備和專業(yè)技術(shù)能力；

7.等保測(cè)評(píng)服務(wù)供應(yīng)商須具有公安部頒發(fā)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書加蓋公章復(fù)印件；

8.密碼測(cè)評(píng)服務(wù)供應(yīng)商須為國(guó)家密碼管理局公告（第49號(hào)）《商用密碼檢測(cè)機(jī)構(gòu)（商用密碼應(yīng)用安全性評(píng)估業(yè)務(wù)）目錄》之內(nèi)的商用密碼檢測(cè)機(jī)構(gòu)，須提供商用密碼檢測(cè)機(jī)構(gòu)資質(zhì)證書加蓋公章復(fù)印件；

9.本項(xiàng)目不接受聯(lián)合體投標(biāo)。

三、資格審查方式：

本項(xiàng)目資格審查采用資格后審的方式，各投標(biāo)人根據(jù)公告內(nèi)投標(biāo)人資格條件，自行確定是否符合要求。

資格審查的內(nèi)容若有一項(xiàng)未提供或達(dá)不到審查標(biāo)準(zhǔn)，將導(dǎo)致其不具備投標(biāo)資格，且不允許在開標(biāo)后補(bǔ)正。

四、投標(biāo)響應(yīng)文件的構(gòu)成：

1.投標(biāo)函；

2.法定代表人資格證明書；

3.法定代表人授權(quán)委托書；

4.供應(yīng)商自覺(jué)抵制政府采購(gòu)領(lǐng)域商業(yè)賄賂行為承諾書；

5.投標(biāo)人資格聲明；

6.提供有效的營(yíng)業(yè)執(zhí)照、稅務(wù)登記證、組織機(jī)構(gòu)代碼證等證件的副本或具有統(tǒng)一社會(huì)信用代碼的營(yíng)業(yè)執(zhí)照副本或事業(yè)單位法人證書，或自然人身份證明。（復(fù)印件加蓋公章）；

7.無(wú)聯(lián)合體投標(biāo)聲明；

8.一次報(bào)價(jià)單和二次報(bào)價(jià)單（格式自擬）；

9.技術(shù)投標(biāo)人認(rèn)為有必要提供的其他資料；

以上內(nèi)容需裝訂成冊(cè)（膠裝），要求一正兩副，投標(biāo)人需將一正兩副的響應(yīng)文件封裝，封口處加蓋密封章，并于公告指定的時(shí)間及地點(diǎn)遞交文件。

五、報(bào)名時(shí)間、資料和方式：

1.報(bào)名時(shí)間：****至****（上午8:30—12:00、下午14:30—18:00，節(jié)假日除外）；

2.報(bào)名資料：提供有效的法人營(yíng)業(yè)執(zhí)照副本、機(jī)構(gòu)代碼證副本、稅務(wù)登記證（三證合一的則需提供具有統(tǒng)一社會(huì)信用代碼的營(yíng)業(yè)執(zhí)照副本），（掃描件加蓋公章）、法定代表人授權(quán)書（掃描件）、授權(quán)人身份證（正反面掃描件）；

3.報(bào)名方式：以上報(bào)名資料加蓋公章后掃描成PDF文件發(fā)送至****@qq.com 郵箱，郵件主題和附件資料均命名為“采購(gòu)文件編號(hào)+供應(yīng)商名稱”，要求發(fā)送資料清晰可見(jiàn)，報(bào)名資料需留有報(bào)名人的聯(lián)系方式，開標(biāo)同時(shí)提供復(fù)印件一套，投標(biāo)人也可進(jìn)行現(xiàn)場(chǎng)報(bào)名，攜帶以上資料加蓋公章，報(bào)名地址：點(diǎn)擊登錄查看南院區(qū)招標(biāo)采購(gòu)辦公室。

六、提交響應(yīng)文件截止時(shí)間和競(jìng)爭(zhēng)性磋商時(shí)間和地點(diǎn)：

1.提交響應(yīng)文件及競(jìng)爭(zhēng)性磋商時(shí)間：****15:00時(shí)

2.提交響應(yīng)文件及競(jìng)爭(zhēng)性磋商地點(diǎn)：點(diǎn)擊登錄查看南院區(qū)門診樓三樓行政二區(qū)會(huì)議室，逾期送達(dá)的或者未送達(dá)指定地點(diǎn)的投標(biāo)文件，招標(biāo)人不予受理。

七、發(fā)布公告的媒介：

點(diǎn)擊登錄查看訂閱號(hào)

八、聯(lián)系方式：

招標(biāo)單位：點(diǎn)擊登錄查看

聯(lián)系人：點(diǎn)擊登錄查看

聯(lián)系電話：****

聯(lián)系地址：嘉峪關(guān)市****

點(diǎn)擊登錄查看

****

附件：

一、總體服務(wù)要求：

1、服務(wù)內(nèi)容：

（1）對(duì)點(diǎn)擊登錄查看電子病歷（EMR）、醫(yī)院信息管理（HIS）系統(tǒng)進(jìn)行三級(jí)等保測(cè)評(píng)；協(xié)助院方完成缺項(xiàng)整改，如網(wǎng)絡(luò)安全制度建設(shè)、機(jī)房環(huán)境進(jìn)行改造、網(wǎng)絡(luò)設(shè)備進(jìn)行調(diào)試配置、院內(nèi)終端進(jìn)行整改、合理化網(wǎng)絡(luò)安全建議等；為院方開展全院級(jí)、科室級(jí)網(wǎng)絡(luò)安全培訓(xùn)，時(shí)間地點(diǎn)由院方安排；根據(jù)要求完成網(wǎng)安部門登記備案、三級(jí)等保測(cè)評(píng)并出具報(bào)告。

（2）徹落實(shí)《中華人民共和國(guó)密碼法》、《商用密碼管理?xiàng)l例》與《商用密碼應(yīng)用安全性評(píng)估管理辦法》中對(duì)密碼應(yīng)用與安全性評(píng)估要求，對(duì)電子病歷（EMR）和醫(yī)院信息管理（HIS）系統(tǒng)開展商用密碼應(yīng)用安全性評(píng)估工作。對(duì)系統(tǒng)實(shí)際情況及系統(tǒng)使用的密碼資源情況選擇并確定測(cè)評(píng)對(duì)象，在系統(tǒng)真實(shí)環(huán)境下進(jìn)行測(cè)評(píng)，以評(píng)估系統(tǒng)的密碼應(yīng)用是否合規(guī)、正確、有效；對(duì)系統(tǒng)密碼應(yīng)用方案提供咨詢服務(wù)，針對(duì)評(píng)估系統(tǒng)編制密碼應(yīng)用安全性評(píng)估報(bào)告，報(bào)告按照國(guó)家密碼管理局要求包含的內(nèi)容編制或參考模板編制，協(xié)助用戶認(rèn)清風(fēng)險(xiǎn)，查找漏洞，找出差距，提出有針對(duì)性的加強(qiáng)完善密碼安全管理和防護(hù)建議，充分發(fā)揮密碼保障網(wǎng)絡(luò)安全核心支撐作用，增強(qiáng)信息系統(tǒng)網(wǎng)絡(luò)安全防護(hù)能力。

二、等保測(cè)評(píng)技術(shù)要求：

1、項(xiàng)目要求

根據(jù)等級(jí)保護(hù)測(cè)評(píng)的總體要求，對(duì)點(diǎn)擊登錄查看電子病歷（EMR）、醫(yī)院信息管理（HIS）共2個(gè)系統(tǒng)采購(gòu)信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)。檢測(cè)和發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞和安全隱患，提出安全整改建議，從而有效降低系統(tǒng)遭受具有政治目的、經(jīng)濟(jì)目的等惡意攻擊的可能性，以提高安全保障能力和防護(hù)水平；同時(shí)，測(cè)評(píng)結(jié)論作為進(jìn)一步完善系統(tǒng)安全防護(hù)措施的依據(jù)。

2、項(xiàng)目?jī)?nèi)容

本次等級(jí)保護(hù)測(cè)評(píng)主要是基于《GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》、《GB17859-1999計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》、《GA/T390-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》和《GA/T391-2002計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》、中的相關(guān)內(nèi)容和要求進(jìn)行評(píng)估，并參考其它等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)。測(cè)評(píng)主要包括技術(shù)和管理兩個(gè)方面的內(nèi)容：技術(shù)方面主要涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面；管理方面主要涉及安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等。

3、測(cè)評(píng)內(nèi)容

測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容：

安全技術(shù)測(cè)評(píng)：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面的安全測(cè)評(píng)；安全管理測(cè)評(píng)：安全管理機(jī)構(gòu)、安全管理制度、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測(cè)評(píng)。

（1）安全物理環(huán)境

針對(duì)機(jī)房和現(xiàn)場(chǎng)在“物理位置選擇”、“物理訪問(wèn)控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)”等物理安全方面所采取的措施進(jìn)行，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（2）安全通信網(wǎng)絡(luò)

根據(jù)重要信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)網(wǎng)絡(luò)方面在“網(wǎng)絡(luò)架構(gòu)”、“通信傳輸”、“可信驗(yàn)證”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（3）安全區(qū)域邊界

安全區(qū)域邊界現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“邊界防護(hù)”、“訪問(wèn)控制”、“入侵防護(hù)”、“惡意代碼防范和垃圾郵件防范”、“安全審計(jì)”、“可信驗(yàn)證”。

（4）安全計(jì)算環(huán)境

安全計(jì)算環(huán)境現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、“入侵防范”、“惡意代碼防范”、“可信驗(yàn)證”、“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“數(shù)據(jù)備份恢復(fù)”、“剩余信息保護(hù)”、“個(gè)人信息保護(hù)”方面。

（4）安全管理中心

針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場(chǎng)測(cè)評(píng)包括“系統(tǒng)管理”、“審計(jì)管理”、“安全管理”和“集中管控”幾個(gè)方面的測(cè)評(píng)。

（6）安全管理制度

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在安全管理制度方面的“安全策略”、“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（7）安全管理機(jī)構(gòu)

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”、“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（8）安全管理人員

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“安全意識(shí)教育和培訓(xùn)”、“外部人員訪問(wèn)管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（9）安全建設(shè)管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購(gòu)和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級(jí)測(cè)評(píng)”以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（10）安全運(yùn)維管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備維護(hù)管理”、“漏洞和風(fēng)險(xiǎn)管理”、“網(wǎng)絡(luò)和系統(tǒng)安全管理”、“惡意代碼防范管理”、“配置管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”、“應(yīng)急預(yù)案管理”、“外包運(yùn)維管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

（11）滲透測(cè)試

根據(jù)項(xiàng)目范圍內(nèi)應(yīng)用系統(tǒng)實(shí)際部署情況從互聯(lián)網(wǎng)和內(nèi)網(wǎng)對(duì)所測(cè)評(píng)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試，并根據(jù)測(cè)試結(jié)果提出整改建議和加固方法，由甲方整改完成后進(jìn)行滲透測(cè)試復(fù)測(cè)。

（12）提供三級(jí)等保整改，每月度互聯(lián)網(wǎng)安全檢查方案。

4、項(xiàng)目實(shí)施要求

4.1 保密要求

在項(xiàng)目實(shí)施過(guò)程中，供應(yīng)商承諾對(duì)所獲得的數(shù)據(jù)及文檔等保密信息，承擔(dān)以下保密義務(wù)：

（1）供應(yīng)商應(yīng)按要求與采購(gòu)人簽署保密協(xié)議。

（2）主動(dòng)采取加密措施對(duì)上述所列及保密信息進(jìn)行保護(hù)，防止不承擔(dān)同等保密義務(wù)的任何第三者知悉及使用。

（3）不得刺探或者以其他不正當(dāng)手段（包括利用計(jì)算機(jī)進(jìn)行檢索、瀏覽、復(fù)制等）獲取與本職工作或本身業(yè)務(wù)無(wú)關(guān)的關(guān)于該項(xiàng)目的商業(yè)秘密。

（4）不得向不承擔(dān)同等保密義務(wù)的任何第三人披露關(guān)于該項(xiàng)目的商業(yè)秘密。

（5）不得允許（包括出借、贈(zèng)與、出租、轉(zhuǎn)讓等行為）或協(xié)助不承擔(dān)同等保密義務(wù)的任何第三人使用關(guān)于該項(xiàng)目的商業(yè)秘密。

（6）不論何種原因終止參與采購(gòu)人關(guān)于該項(xiàng)目的工作后，都不得利用該項(xiàng)目之商業(yè)秘密為其他與采購(gòu)人有競(jìng)爭(zhēng)關(guān)系的企業(yè)（包括自辦企業(yè)）服務(wù)。

（7）該項(xiàng)目的商業(yè)秘密所有權(quán)始終全部歸屬采購(gòu)人，供應(yīng)商不得利用自身對(duì)項(xiàng)目不同程度的了解申請(qǐng)對(duì)于該項(xiàng)目的商業(yè)秘密所有權(quán)，在本協(xié)議簽訂前供應(yīng)商已依法具有某些所有權(quán)者除外。

（8）如發(fā)現(xiàn)采購(gòu)人關(guān)于該項(xiàng)目的商業(yè)秘密被泄露或者自己過(guò)失泄露秘密，應(yīng)當(dāng)采取有效措施防止泄密進(jìn)一步擴(kuò)大，并及時(shí)向采購(gòu)人報(bào)告。

4.2 實(shí)施要求

（1）在項(xiàng)目實(shí)施過(guò)程中，供應(yīng)商應(yīng)做好計(jì)劃與安排，不影響采購(gòu)人正常業(yè)務(wù)的開展。供應(yīng)商要給予承諾，并承擔(dān)由此引起的損失。

（2）在等保測(cè)評(píng)過(guò)程中，每周五下午實(shí)施方需提交工作周報(bào)，內(nèi)容應(yīng)包括本周工作內(nèi)容和下周工作安排等內(nèi)容。

（3）等保測(cè)評(píng)工作應(yīng)嚴(yán)格按照雙方確認(rèn)的工作方案開展，如遇任何變動(dòng)，須在工作周報(bào)中及時(shí)提出，經(jīng)采購(gòu)人批準(zhǔn)后方可變更。

（4）測(cè)評(píng)過(guò)程中實(shí)施測(cè)評(píng)人員須記錄在途經(jīng)路徑上涉及的可被利用存在漏洞的相關(guān)主機(jī)等設(shè)備的信息，以便于被測(cè)單位對(duì)相關(guān)漏洞進(jìn)行全面修補(bǔ)。

（5）測(cè)評(píng)工作全部結(jié)束后實(shí)施測(cè)評(píng)人員須卸載安裝在目標(biāo)機(jī)器或途徑機(jī)器上的各類工具、腳本、文件等，還原各機(jī)器和系統(tǒng)的原始狀態(tài)。

（6）測(cè)評(píng)結(jié)果中應(yīng)包括測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的所有漏洞，不能遺漏。

（7）在測(cè)評(píng)過(guò)程中若發(fā)現(xiàn)重大安全問(wèn)題（如已被控制或存在嚴(yán)重安全隱患等），測(cè)評(píng)機(jī)構(gòu)應(yīng)在24小時(shí)之內(nèi)以書面形式通知采購(gòu)人，以便第一時(shí)間做出處理。

（8）測(cè)評(píng)過(guò)程中，實(shí)施測(cè)評(píng)人員在進(jìn)入被測(cè)單位辦公網(wǎng)絡(luò)后若發(fā)現(xiàn)測(cè)評(píng)范圍之外的未知信息系統(tǒng)，須列出系統(tǒng)名稱、服務(wù)器IP地址、操作系統(tǒng)類型、數(shù)據(jù)庫(kù)系統(tǒng)類型等信息，并與采購(gòu)人協(xié)商是否繼續(xù)進(jìn)行測(cè)評(píng)。

（9）測(cè)評(píng)過(guò)程中不得獲取測(cè)評(píng)范圍以外的數(shù)據(jù)，獲取的數(shù)據(jù)不得用于本次測(cè)評(píng)以外的其他用途。

（10）測(cè)評(píng)過(guò)程中應(yīng)控制風(fēng)險(xiǎn)，防止測(cè)試對(duì)網(wǎng)絡(luò)及系統(tǒng)運(yùn)行造成影響，因測(cè)試造成系統(tǒng)運(yùn)行問(wèn)題應(yīng)及時(shí)報(bào)告。

（11）測(cè)評(píng)過(guò)程中，測(cè)評(píng)機(jī)構(gòu)應(yīng)該針對(duì)被測(cè)系統(tǒng)發(fā)現(xiàn)的漏洞提交可行性的解決方案。

（12）需對(duì)被測(cè)系統(tǒng)進(jìn)行全面、專業(yè)的滲透測(cè)試，發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全隱患，并出具滲透測(cè)試報(bào)告。

（13）測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)過(guò)程中必須保證系統(tǒng)穩(wěn)定運(yùn)行，由于測(cè)評(píng)機(jī)構(gòu)人員能力、不當(dāng)操作等造成系統(tǒng)、網(wǎng)絡(luò)或者服務(wù)宕機(jī)的，評(píng)測(cè)機(jī)構(gòu)應(yīng)承擔(dān)相應(yīng)責(zé)任。

4.3 項(xiàng)目服務(wù)需求

(1)服務(wù)范圍和期限：（最終交付報(bào)告視為完成服務(wù)，具體服務(wù)要求見(jiàn)采購(gòu)人基本需求）。

(2)本技術(shù)要求提出的是最低限度的技術(shù)需求，并未對(duì)一切技術(shù)細(xì)節(jié)做出規(guī)定，供應(yīng)商應(yīng)保證提供符合采購(gòu)人要求的技術(shù)服務(wù)規(guī)范。

(3)采購(gòu)人保留對(duì)本要求提出補(bǔ)充要求和修改的權(quán)利，供應(yīng)商應(yīng)允諾予以配合。如提出修改，具體項(xiàng)目和條件由雙方商定。

(4)供應(yīng)商對(duì)采購(gòu)人實(shí)施環(huán)境進(jìn)行實(shí)地考察，并制定出技術(shù)服務(wù)方案和應(yīng)急服務(wù)方案。

(5)方案確定后，供應(yīng)商應(yīng)嚴(yán)格按照方案要求進(jìn)行項(xiàng)目實(shí)施、技術(shù)服務(wù)和應(yīng)急響應(yīng)服務(wù)，并按合同規(guī)定時(shí)間進(jìn)行技術(shù)實(shí)施和服務(wù)。

(6)雙方應(yīng)在簽訂合同的同時(shí)簽訂保密協(xié)議書，保密協(xié)議書作為合同不可分割的一部分。

(7)采購(gòu)人將在項(xiàng)目實(shí)施過(guò)程中提供項(xiàng)目實(shí)施所需的場(chǎng)地及實(shí)施條件，積極協(xié)調(diào)各部門配合供應(yīng)商實(shí)施工作。

5、服務(wù)清單列表

6、測(cè)評(píng)服務(wù)要求

6.1 測(cè)評(píng)工作應(yīng)遵循原則

本次安全保護(hù)等級(jí)保護(hù)測(cè)評(píng)工作方案設(shè)計(jì)與具體實(shí)施應(yīng)遵循以下原則：

（1）保密性原則：對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)要嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害招標(biāo)人的行為，否則采購(gòu)人有權(quán)追究投標(biāo)人的責(zé)任。

（2）標(biāo)準(zhǔn)性原則：測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。

（3）規(guī)范性原則：供應(yīng)商工作過(guò)程和文檔整理，應(yīng)具有很好的規(guī)范性，便于項(xiàng)目的跟蹤。

（4）可控性原則：測(cè)評(píng)工作進(jìn)度要按照計(jì)劃安排進(jìn)行，保證采購(gòu)人對(duì)于測(cè)評(píng)工作的可控。測(cè)評(píng)工作應(yīng)盡可能減小對(duì)現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能影響正常業(yè)務(wù)的開展。

（5）整體性原則：測(cè)評(píng)工作范圍和內(nèi)容應(yīng)當(dāng)全面完整，包括國(guó)家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。

6.2 測(cè)評(píng)工作總體要求

（1）供應(yīng)商應(yīng)嚴(yán)格依照上述原則和國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展項(xiàng)目實(shí)施工作。在測(cè)評(píng)準(zhǔn)備、方案制定、現(xiàn)場(chǎng)測(cè)評(píng)、分析與報(bào)告編制等各個(gè)階段都嚴(yán)格把關(guān)，杜絕走過(guò)場(chǎng)。在測(cè)評(píng)工作期間，實(shí)施單位應(yīng)具有應(yīng)急響應(yīng)預(yù)案，妥善處理突發(fā)事件。測(cè)評(píng)工作完成后，應(yīng)提出相應(yīng)的整改意見(jiàn)建議。

（2）供應(yīng)商應(yīng)提交本次等級(jí)保護(hù)測(cè)評(píng)工作的整體方案，包括項(xiàng)目概述、測(cè)評(píng)技術(shù)方案、項(xiàng)目實(shí)施方案、測(cè)試過(guò)程中需使用測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。

（3）執(zhí)行本項(xiàng)目實(shí)施服務(wù)的主要人員不得少于3人，且必須具備從事等級(jí)保護(hù)測(cè)評(píng)工作資格，具有參加等級(jí)保護(hù)測(cè)評(píng)服務(wù)項(xiàng)目的經(jīng)驗(yàn)。供應(yīng)商應(yīng)提交測(cè)評(píng)組成人員情況、資質(zhì)及各自職責(zé)的劃分，應(yīng)配置相對(duì)固定的測(cè)評(píng)團(tuán)隊(duì)進(jìn)行本次等級(jí)保護(hù)測(cè)評(píng)工作，不能臨時(shí)替補(bǔ)或經(jīng)常更換。

（4）本次等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中所使用到的各種工具軟硬件均由供應(yīng)商提供，經(jīng)采購(gòu)人確認(rèn)后在測(cè)評(píng)中使用。在投標(biāo)文件中應(yīng)詳細(xì)描述所使用的安全測(cè)評(píng)工具（軟硬件型號(hào)、功能和性能描述）、使用的方式和時(shí)間、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)分析等。

（5）安全測(cè)評(píng)工具軟件運(yùn)行可能需要的硬件平臺(tái)（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等均由中標(biāo)人提供，經(jīng)采購(gòu)人確認(rèn)后在測(cè)評(píng)中使用。

6.3 安全測(cè)評(píng)報(bào)告

供應(yīng)商在測(cè)評(píng)工作結(jié)束后，應(yīng)出具符合信息安全等級(jí)保護(hù)管理部門要求的系統(tǒng)測(cè)評(píng)報(bào)告各兩本。

三、密評(píng)技術(shù)要求：

1、測(cè)評(píng)內(nèi)容和服務(wù)要求

（1）測(cè)評(píng)內(nèi)容

被測(cè)系統(tǒng)的詳細(xì)名稱、等級(jí)如下表所示。

（2）測(cè)評(píng)依據(jù)標(biāo)準(zhǔn)

①GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

②GM/T0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》

③GM/T0116-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)過(guò)程指南》

④GB/T 43207-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用設(shè)計(jì)指南》

⑤信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引（2021）

⑥商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2023版）

（3）服務(wù)要求

供應(yīng)商針對(duì)電子病歷（EMR）和醫(yī)院信息管理（HIS）系統(tǒng)密碼應(yīng)用要求和密碼評(píng)估提供相關(guān)咨詢、培訓(xùn)與保障，對(duì)系統(tǒng)密碼應(yīng)用與方案提供咨詢服務(wù)。

在服務(wù)期內(nèi)，供應(yīng)商至少具備6名《商用密碼應(yīng)用安全性評(píng)估從業(yè)人員考核證書》（原商用密碼應(yīng)用安全性評(píng)估人員測(cè)評(píng)能力考核）的密評(píng)人員在1小時(shí)內(nèi)作好服務(wù)應(yīng)答和反饋，對(duì)出現(xiàn)的問(wèn)題進(jìn)行現(xiàn)場(chǎng)分析、記錄、處置和歸檔。服務(wù)期間提供應(yīng)急保障工作。

（1）項(xiàng)目負(fù)責(zé)人：對(duì)密評(píng)項(xiàng)目的實(shí)施進(jìn)行全面負(fù)責(zé)。需具備商用密碼應(yīng)用安全性評(píng)估從業(yè)人員考核（原商用密碼應(yīng)用安全性評(píng)估人員測(cè)評(píng)能力考核）（成績(jī)?yōu)閮?yōu)秀）和信息系統(tǒng)項(xiàng)目管理師證書。

（2）技術(shù)負(fù)責(zé)人：主持本次密評(píng)技術(shù)管理工作，解決密評(píng)工作執(zhí)行過(guò)程中遇到的技術(shù)相關(guān)難題。

（3）項(xiàng)目團(tuán)隊(duì)成員（除項(xiàng)目負(fù)責(zé)人和技術(shù)負(fù)責(zé)人）不少于4人，負(fù)責(zé)現(xiàn)場(chǎng)密評(píng)實(shí)施工作和報(bào)告編制等工作。

2、技術(shù)要求

（1）供應(yīng)商應(yīng)依據(jù)國(guó)家密碼法規(guī)、密碼應(yīng)用相關(guān)技術(shù)標(biāo)準(zhǔn)，采用科學(xué)的測(cè)評(píng)方法、流程和工作規(guī)范開展商用密碼應(yīng)用安全性評(píng)估工作。供應(yīng)商應(yīng)具備商用密碼應(yīng)用安全性技術(shù)測(cè)評(píng)實(shí)施、管理測(cè)評(píng)實(shí)施、系統(tǒng)整體評(píng)估能力。供應(yīng)商為本項(xiàng)目配備能夠依據(jù)測(cè)評(píng)結(jié)果做出專業(yè)判斷以及出具測(cè)評(píng)報(bào)告的能力的測(cè)評(píng)人員，測(cè)評(píng)人員必須為通過(guò)國(guó)家密碼管理部門（或其授權(quán)的機(jī)構(gòu)）組織的考核（即商用密碼應(yīng)用安全性評(píng)估人員測(cè)評(píng)能力考核證書），遵守國(guó)家有關(guān)法律法規(guī)，按照相關(guān)標(biāo)準(zhǔn)，為用戶提供安全、客觀、公正的評(píng)估服務(wù)，保證評(píng)估的質(zhì)量和效果。

（2）供應(yīng)商應(yīng)具有完善的測(cè)評(píng)方案，有計(jì)劃、按步驟地開展測(cè)評(píng)工作，且測(cè)評(píng)方案應(yīng)專業(yè)性強(qiáng)，對(duì)系統(tǒng)現(xiàn)狀及需求理解應(yīng)準(zhǔn)確，方案應(yīng)科學(xué)合理，內(nèi)容應(yīng)完整、可靠性強(qiáng)，實(shí)施方法和技術(shù)措施應(yīng)可操作性和有效性強(qiáng)，在簽訂密評(píng)合同后供應(yīng)商應(yīng)立即成立密評(píng)工作小組，并嚴(yán)格按照合同履行密評(píng)責(zé)任。

（3）供應(yīng)商應(yīng)具有良好的質(zhì)量控制的能力和質(zhì)量管理體系，以保證測(cè)評(píng)工作的客觀、公正、安全。供應(yīng)商針對(duì)本項(xiàng)目測(cè)評(píng)過(guò)程中的質(zhì)量管理方案內(nèi)項(xiàng)目質(zhì)量管理應(yīng)完備，項(xiàng)目質(zhì)量保障措施應(yīng)科學(xué)、可行、完善，項(xiàng)目管理與風(fēng)險(xiǎn)應(yīng)控制合理。

（4）供應(yīng)商在現(xiàn)場(chǎng)測(cè)評(píng)工作中必須在不影響采購(gòu)人信息系統(tǒng)正常運(yùn)行的前提下進(jìn)行。

（5）供應(yīng)商應(yīng)遵守相應(yīng)的密評(píng)工作制度，包括會(huì)議制度、密評(píng)文件制度、密評(píng)記錄制度、工作報(bào)告制度等，保證密評(píng)工作協(xié)調(diào)有序的進(jìn)行。

（6）供應(yīng)商應(yīng)根據(jù)被測(cè)系統(tǒng)的具體情況，按合同約定，配備滿足密評(píng)工作需要的人員、設(shè)備和工具。為保障密評(píng)實(shí)施與合同約定服務(wù)周期內(nèi)的服務(wù)響應(yīng)，供應(yīng)商應(yīng)具備一定的測(cè)評(píng)工具開發(fā)能力以及在測(cè)評(píng)服務(wù)地進(jìn)行系統(tǒng)環(huán)境模擬實(shí)驗(yàn)?zāi)芰Α?/p>

（7）供應(yīng)商應(yīng)具有完善的應(yīng)急流程，具有快速應(yīng)急響應(yīng)服務(wù)團(tuán)隊(duì)，以保證在整個(gè)項(xiàng)目過(guò)程中不影響委托單位信息系統(tǒng)的正常運(yùn)行。

（8）為保障密評(píng)過(guò)程中可能涉及的重要數(shù)據(jù)和敏感信息的安全，供應(yīng)商應(yīng)配有相關(guān)能力支撐的保密辦公區(qū)****

（9）供應(yīng)商完成商用密碼應(yīng)用安全性評(píng)估工作后，應(yīng)協(xié)助用戶在30日內(nèi)將評(píng)估結(jié)果報(bào)國(guó)家密碼管理部門備案。

3、工作交付物

電子病歷（EMR）和醫(yī)院信息管理（HIS）系統(tǒng)商用密碼應(yīng)用安全性評(píng)估工作的成果包括：

《電子病歷（EMR）系統(tǒng)商用密碼應(yīng)用安全性評(píng)估報(bào)告》

《電子病歷（EMR）系統(tǒng)密碼應(yīng)用改進(jìn)建議書》

《醫(yī)院信息管理（HIS）系統(tǒng)商用密碼應(yīng)用安全性評(píng)估報(bào)告》

《醫(yī)院信息管理（HIS）系統(tǒng)密碼應(yīng)用改進(jìn)建議書》

四、評(píng)標(biāo)參數(shù)

五、評(píng)標(biāo)辦法