酒泉市中醫(yī)醫(yī)院管理信息系統(tǒng)等級(jí)保護(hù)三級(jí)測(cè)評(píng)項(xiàng)目

招標(biāo)公告

根據(jù)《甘肅省人民政府辦公廳轉(zhuǎn)發(fā)省發(fā)展和改革委員會(huì)省公共資源交易局關(guān)于進(jìn)一步加強(qiáng)和規(guī)范市縣公共資源交易工作意見的通知》（甘政辦發(fā)〔2018〕6號(hào)）、甘肅省財(cái)政廳關(guān)于印發(fā)《甘肅省政府集中采購(gòu)日錄及標(biāo)準(zhǔn)(2025年版)》的通知(甘財(cái)采〔2024〕10號(hào))、《酒泉市人民政府辦公室印發(fā)<關(guān)于進(jìn)一步深化“放管服”改革提高政府采購(gòu)效率的意見>的通知》(酒政辦發(fā)〔2018〕301號(hào))等文件要求。甘肅啟晨項(xiàng)目咨詢管理有限公司受酒泉市中醫(yī)醫(yī)院的委托，對(duì)“酒泉市中醫(yī)醫(yī)院管理信息系統(tǒng)等級(jí)保護(hù)三級(jí)測(cè)評(píng)項(xiàng)目”以詢價(jià)邀請(qǐng)的方式進(jìn)行采購(gòu)。現(xiàn)確定邀請(qǐng)陜西思安信息網(wǎng)絡(luò)安全有限公司、甘肅安信信息安全技術(shù)有限公司、蘭州大學(xué)應(yīng)用技術(shù)研究院有限責(zé)任公司三家單位參與本項(xiàng)目競(jìng)價(jià)。現(xiàn)將相關(guān)事宜公告如下：

一、項(xiàng)目編號(hào)：QCYC[2025]006號(hào)

二、采購(gòu)內(nèi)容及技術(shù)要求：

1.項(xiàng)目要求

檢測(cè)對(duì)象：酒泉市中醫(yī)院醫(yī)院信息管理系統(tǒng)一個(gè)（三級(jí)）。

根據(jù)等級(jí)保護(hù)測(cè)評(píng)的總體要求，酒泉市中醫(yī)院采購(gòu)風(fēng)險(xiǎn)可控的信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)。檢測(cè)和發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞和安全隱患，提出安全整改建議，從而有效降低系統(tǒng)遭受具有政治目的、經(jīng)濟(jì)目的等惡意攻擊的可能性，以提高安全保障能力和防護(hù)水平；同時(shí)，測(cè)評(píng)結(jié)論作為進(jìn)一步完善系統(tǒng)安全防護(hù)措施的依據(jù)。

2.項(xiàng)目?jī)?nèi)容

本次等級(jí)保護(hù)測(cè)評(píng)主要是基于《GB/T 22240-2020 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》、《GB 17859-1999 計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》、《GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》、《GB/T28448-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》、《GB/T 28449-2018 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》、《GA/T 390-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)通用技術(shù)要求》和《GA/T 391-2002 計(jì)算機(jī)信息系統(tǒng)安全等級(jí)保護(hù)管理要求》、中的相關(guān)內(nèi)容和要求進(jìn)行評(píng)估，并參考其它等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)。

2.1測(cè)評(píng)內(nèi)容

測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容：

2.1.1安全物理環(huán)境

根據(jù)項(xiàng)目范圍內(nèi)信息系統(tǒng)機(jī)房和現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)機(jī)房和現(xiàn)場(chǎng)在“物理位置選擇”、“物理訪問(wèn)控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護(hù)” 等物理安全方面所采取的措施進(jìn)行，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

2.1.2安全通信網(wǎng)絡(luò)

根據(jù)重要信息系統(tǒng)網(wǎng)絡(luò)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)網(wǎng)絡(luò)方面在“網(wǎng)絡(luò)架構(gòu)”、“通信傳輸”、“可信驗(yàn)證”等網(wǎng)絡(luò)安全方面所采取的措施進(jìn)行檢查，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

2.1.3安全區(qū)域邊界

安全區(qū)域邊界現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“邊界防護(hù)”、“訪問(wèn)控制”、“入侵防護(hù)”、“惡意代碼防范和垃圾郵件防范”、“安全審計(jì)”、“可信驗(yàn)證”。

2.1.4安全計(jì)算環(huán)境

安全計(jì)算環(huán)境現(xiàn)場(chǎng)測(cè)評(píng)包括對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)的測(cè)評(píng)，測(cè)評(píng)內(nèi)容包括“身份鑒別”、“訪問(wèn)控制”、“安全審計(jì)”、“入侵防范”、“惡意代碼防范”、“可信驗(yàn)證”、“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“數(shù)據(jù)備份恢復(fù)”、“剩余信息保護(hù)”、“個(gè)人信息保護(hù)”方面。

2.1.5安全管理中心

針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場(chǎng)測(cè)評(píng)包括“系統(tǒng)管理”、“審計(jì)管理”、“安全管理”和“集中管控”幾個(gè)方面的測(cè)評(píng)。

2.1.6安全管理制度

2.1.7根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在安全管理制度方面的“安全策略”、“管理制度”、“制定和發(fā)布”以及“評(píng)審和修訂”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

2.1.8安全管理機(jī)構(gòu)根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在安全管理機(jī)構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”、“審核和檢查”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

2.1.9安全管理人員

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“安全意識(shí)教育和培訓(xùn)”、“外部人員訪問(wèn)管理” 等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

2.1.10安全建設(shè)管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級(jí)”、“安全方案設(shè)計(jì)”、“產(chǎn)品采購(gòu)和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實(shí)施”、“測(cè)試驗(yàn)收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級(jí)測(cè)評(píng)”以及“安全服務(wù)商選擇”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。

2.1.11安全運(yùn)維管理

根據(jù)現(xiàn)場(chǎng)安全測(cè)評(píng)記錄，針對(duì)項(xiàng)目范圍內(nèi)信息系統(tǒng)在系統(tǒng)運(yùn)維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備維護(hù)管理”、“漏洞和風(fēng)險(xiǎn)管理”、“網(wǎng)絡(luò)和系統(tǒng)安全管理”、“惡意代碼防范管理”、“配置管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”、“應(yīng)急預(yù)案管理”、“外包運(yùn)維管理”等測(cè)評(píng)指標(biāo)，判斷出與其相對(duì)應(yīng)的各測(cè)評(píng)項(xiàng)的測(cè)評(píng)結(jié)果。2.1.12滲透測(cè)試

根據(jù)項(xiàng)目范圍內(nèi)應(yīng)用系統(tǒng)實(shí)際部署情況從互聯(lián)網(wǎng)和內(nèi)網(wǎng)對(duì)所測(cè)評(píng)應(yīng)用系統(tǒng)進(jìn)行滲透測(cè)試,并根據(jù)測(cè)試結(jié)果提出整改建議和加固方法。

2.2項(xiàng)目實(shí)施要求

2.2.1保密要求

在項(xiàng)目實(shí)施過(guò)程中，供應(yīng)商承諾對(duì)所獲得的數(shù)據(jù)及文檔等保密信息，承擔(dān)以下保密義務(wù)：

（1）供應(yīng)商應(yīng)按要求與采購(gòu)人簽署保密協(xié)議。

主動(dòng)采取加密措施對(duì)上述所列及保密信息進(jìn)行保護(hù)，防止不承擔(dān)同等保密義務(wù)的任何第三者知悉及使用。

（2）不得刺探或者以其他不正當(dāng)手段（包括利用計(jì)算機(jī)進(jìn)行檢索、瀏覽、復(fù)制等）獲取與本職工作或本身業(yè)務(wù)無(wú)關(guān)的關(guān)于該項(xiàng)目的商業(yè)秘密。

（3）不得向不承擔(dān)同等保密義務(wù)的任何第三人披露關(guān)于該項(xiàng)目的商業(yè)秘密。

（4）不得允許（包括出借、贈(zèng)與、出租、轉(zhuǎn)讓等行為）或協(xié)助不承擔(dān)同等保密義務(wù)的任何第三人使用關(guān)于該項(xiàng)目的商業(yè)秘密。

（5）不論何種原因終止參與采購(gòu)人關(guān)于該項(xiàng)目的工作后，都不得利用該項(xiàng)目之商業(yè)秘密為其他與采購(gòu)人有競(jìng)爭(zhēng)關(guān)系的企業(yè)（包括自辦企業(yè)）服務(wù)。

（6）該項(xiàng)目的商業(yè)秘密所有權(quán)始終全部歸屬采購(gòu)人，供應(yīng)商不得利用自身對(duì)項(xiàng)目不同程度的了解申請(qǐng)對(duì)于該項(xiàng)目的商業(yè)秘密所有權(quán)，在本協(xié)議簽訂前供應(yīng)商已依法具有某些所有權(quán)者除外。

（7）如發(fā)現(xiàn)采購(gòu)人關(guān)于該項(xiàng)目的商業(yè)秘密被泄露或者自己過(guò)失泄露秘密，應(yīng)當(dāng)采取有效措施防止泄密進(jìn)一步擴(kuò)大，并及時(shí)向采購(gòu)人報(bào)告。

2.2.2實(shí)施要求

（1）在項(xiàng)目實(shí)施過(guò)程中，供應(yīng)商應(yīng)做好計(jì)劃與安排，不影響采購(gòu)人正常業(yè)務(wù)的開展。供應(yīng)商要給予承諾，并承擔(dān)由此引起的損失。

（2）在等保測(cè)評(píng)過(guò)程中，每周五下午實(shí)施方需提交工作周報(bào)，內(nèi)容應(yīng)包括本周工作內(nèi)容和下周工作安排等內(nèi)容。

（3）等保測(cè)評(píng)工作應(yīng)嚴(yán)格按照雙方確認(rèn)的工作方案開展，如遇任何變動(dòng)，須在工作周報(bào)中及時(shí)提出，經(jīng)采購(gòu)人批準(zhǔn)后方可變更。

（4）測(cè)評(píng)過(guò)程中實(shí)施測(cè)評(píng)人員須記錄在途經(jīng)路徑上涉及的可被利用存在漏洞的相關(guān)主機(jī)等設(shè)備的信息，以便于被測(cè)單位對(duì)相關(guān)漏洞進(jìn)行全面修補(bǔ)。

（5）測(cè)評(píng)工作全部結(jié)束后實(shí)施測(cè)評(píng)人員須卸載安裝在目標(biāo)機(jī)器或途徑機(jī)器上的各類工具、腳本、文件等，還原各機(jī)器和系統(tǒng)的原始狀態(tài)。

（6）測(cè)評(píng)結(jié)果中應(yīng)包括測(cè)評(píng)過(guò)程中發(fā)現(xiàn)的所有漏洞，不能遺漏。

（7）在測(cè)評(píng)過(guò)程中若發(fā)現(xiàn)重大安全問(wèn)題（如已被控制或存在嚴(yán)重安全隱患等），測(cè)評(píng)機(jī)構(gòu)應(yīng)在24 小時(shí)之內(nèi)以書面形式通知采購(gòu)人，以便第一時(shí)間做出處理。

（8）測(cè)評(píng)過(guò)程中，實(shí)施測(cè)評(píng)人員在進(jìn)入被測(cè)單位辦公網(wǎng)絡(luò)后若發(fā)現(xiàn)測(cè)評(píng)范圍之外的未知信息系統(tǒng)，須列出系統(tǒng)名稱、服務(wù)器IP 地址、操作系統(tǒng)類型、數(shù)據(jù)庫(kù)系統(tǒng)類型等信息，并與采購(gòu)人協(xié)商是否繼續(xù)進(jìn)行測(cè)評(píng)。

（9）測(cè)評(píng)過(guò)程中不得獲取測(cè)評(píng)范圍以外的數(shù)據(jù)，獲取的數(shù)據(jù)不得用于本次測(cè)評(píng)以外的其他用途。

（10）測(cè)評(píng)過(guò)程中應(yīng)控制風(fēng)險(xiǎn)，防止測(cè)試對(duì)網(wǎng)絡(luò)及系統(tǒng)運(yùn)行造成影響，因測(cè)試造成系統(tǒng)運(yùn)行問(wèn)題應(yīng)及時(shí)報(bào)告。

（11）測(cè)評(píng)過(guò)程中，測(cè)評(píng)機(jī)構(gòu)應(yīng)該針對(duì)被測(cè)系統(tǒng)發(fā)現(xiàn)的漏洞提交可行性的解決方案。

（1）需對(duì)被測(cè)系統(tǒng)進(jìn)行全面、專業(yè)的滲透測(cè)試，發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全隱患，并出具滲透測(cè)試報(bào)告。

（12）測(cè)評(píng)機(jī)構(gòu)在測(cè)評(píng)過(guò)程中必須保證系統(tǒng)穩(wěn)定運(yùn)行，由于測(cè)評(píng)機(jī)構(gòu)人員能力、不當(dāng)操作等造成系統(tǒng)、網(wǎng)絡(luò)或者服務(wù)宕機(jī)的，評(píng)測(cè)機(jī)構(gòu)應(yīng)承擔(dān)相應(yīng)責(zé)任。

2.2.3項(xiàng)目服務(wù)需求

（1）服務(wù)范圍和期限：（最終交付報(bào)告視為完成服務(wù)，具體服務(wù)要求見采購(gòu)人基本需求）。

（2）本技術(shù)要求提出的是最低限度的技術(shù)需求，并未對(duì)一切技術(shù)細(xì)節(jié)做出規(guī)定，供應(yīng)商應(yīng)保證提供符合采購(gòu)人要求的技術(shù)服務(wù)規(guī)范。

（3）采購(gòu)人保留對(duì)本要求提出補(bǔ)充要求和修改的權(quán)利，供應(yīng)商應(yīng)允諾予以配合。如提出修改，具體項(xiàng)目和條件由雙方商定。

（4）供應(yīng)商對(duì)采購(gòu)人實(shí)施環(huán)境進(jìn)行實(shí)地考察，并制定出技術(shù)服務(wù)方案和應(yīng)急服務(wù)方案。

（5）方案確定后，供應(yīng)商應(yīng)嚴(yán)格按照方案要求進(jìn)行項(xiàng)目實(shí)施、技術(shù)服務(wù)和應(yīng)急響應(yīng)服務(wù)，并按合同規(guī)定時(shí)間進(jìn)行技術(shù)實(shí)施和服務(wù)。

（6）雙方應(yīng)在簽訂合同的同時(shí)簽訂保密協(xié)議書，保密協(xié)議書作為合同不可分割的一部分。

（7）采購(gòu)人將在項(xiàng)目實(shí)施過(guò)程中提供項(xiàng)目實(shí)施所需的場(chǎng)地及實(shí)施條件，積極協(xié)調(diào)各部門配合供應(yīng)商實(shí)施工作。

3.測(cè)評(píng)成果物交付

提供安全咨詢服務(wù)

按照測(cè)評(píng)作業(yè)指導(dǎo)書完成信息系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)

《XX信息系統(tǒng)網(wǎng)絡(luò)安全等保護(hù)測(cè)評(píng)報(bào)告》（每個(gè)系統(tǒng)一份）

4.履約期限：

總服務(wù)期限三年。

成交供應(yīng)商必須在合同簽訂后45個(gè)工作日內(nèi)完成本項(xiàng)目首年的相關(guān)工作，次年到期后按照采購(gòu)人要求時(shí)間完成。未按要求時(shí)間完成的，采購(gòu)人有權(quán)終止合同，應(yīng)此產(chǎn)生的后果由供應(yīng)商自行承擔(dān)。

5.驗(yàn)收條件

驗(yàn)收標(biāo)準(zhǔn)：按國(guó)家標(biāo)準(zhǔn)、質(zhì)量標(biāo)準(zhǔn)規(guī)定及磋商文件的采購(gòu)內(nèi)容及技術(shù)要求進(jìn)行驗(yàn)收。質(zhì)量達(dá)到合格標(biāo)準(zhǔn)。

驗(yàn)收程序：由甲、乙雙方共同組織相關(guān)人員驗(yàn)收，合格后乙方憑甲、乙雙方簽署的《驗(yàn)收?qǐng)?bào)告單》提供財(cái)務(wù)需要的發(fā)票及相關(guān)資料，進(jìn)行結(jié)算付款。

三、采購(gòu)預(yù)算：小寫：￥110000.00元，大寫：人民幣壹拾壹萬(wàn)元整。

四、競(jìng)價(jià)辦法：最低評(píng)標(biāo)價(jià)法（在完全滿足采購(gòu)人要求的資質(zhì)及采購(gòu)內(nèi)容的前提下，選擇合理低價(jià)競(jìng)標(biāo)人），若酒泉市公共資源交易中心網(wǎng)陽(yáng)光招標(biāo)采購(gòu)平臺(tái)系統(tǒng)自動(dòng)推薦的成交供應(yīng)商不符合采購(gòu)人采購(gòu)需求及資格要求，采購(gòu)人將不予采納。

五、競(jìng)標(biāo)人資格要求：

（一）供應(yīng)商具有獨(dú)立承擔(dān)民事責(zé)任的能力，應(yīng)提供有效的營(yíng)業(yè)執(zhí)照或三證合一證件；

（二）供應(yīng)商須具有《網(wǎng)絡(luò)安全服務(wù)認(rèn)證證書等級(jí)保護(hù)測(cè)評(píng)服務(wù)認(rèn)證》；

（三）供應(yīng)商需提供法定代表人身份證復(fù)印件或法定代表人授權(quán)委托書；

（四）供應(yīng)商須提供2024年以來(lái)任意一期依法繳納稅收的有效證明材料及依法繳納社會(huì)保障資金的有效憑證；（備注：依法免稅或不需要繳納社會(huì)保障資金的供應(yīng)商，應(yīng)提供相應(yīng)文件證明其依法免稅或不需要繳納社會(huì)保障資金）

備注：1.以上要求的資格審查文件需以掃描件形式（加蓋企業(yè)鮮章）上傳至酒泉市公共資源交易中心網(wǎng)政府采購(gòu)限額以下項(xiàng)目陽(yáng)光交易系統(tǒng)（http://www.ggzyjypt.com.cn/），對(duì)于上傳的資料文件無(wú)法辨認(rèn)、模糊的，不予認(rèn)可，視為無(wú)效。

六、競(jìng)標(biāo)無(wú)效說(shuō)明：

（一）惡意低價(jià)謀取中標(biāo)的，低于市場(chǎng)均價(jià)惡意競(jìng)標(biāo)，有可能影響產(chǎn)品質(zhì)量或者不能誠(chéng)信履約的競(jìng)標(biāo)人不予采納；

（二）資格性審查未通過(guò)，及不符合采購(gòu)人采購(gòu)需求的；

七、注冊(cè)須知：

凡是擬參與酒泉市公共資源交易中心網(wǎng)陽(yáng)光招標(biāo)采購(gòu)平臺(tái)交易活動(dòng)的競(jìng)價(jià)人需先在酒泉市公共資源交易中心網(wǎng)站（http://www.ggzyjypt.com.cn/）上注冊(cè)后，方可投標(biāo)競(jìng)價(jià)。

八、上傳資質(zhì)證明文件截止時(shí)間及競(jìng)價(jià)截止時(shí)間：

上傳截止時(shí)間：2025年03月03日11：00時(shí)。

競(jìng)價(jià)開始時(shí)間：2025年03月03日12：00時(shí)

競(jìng)價(jià)截止時(shí)間：2025年03月03日17：00時(shí)。

九、采購(gòu)項(xiàng)目聯(lián)系人姓名、電話及地址：

采購(gòu)人：酒泉市中醫(yī)醫(yī)院

聯(lián)系人：鄧?yán)蠋?/span>???????聯(lián)系電話：17793759537

地 ?址：甘肅省酒泉市肅州區(qū)盤旋西路6號(hào)

采購(gòu)代理機(jī)構(gòu)：甘肅啟晨項(xiàng)目咨詢管理有限公司

聯(lián)系人：鄧亞萍????????聯(lián)系電話：19993652915

地 ?址：甘肅省酒泉市肅州區(qū)中天國(guó)際403室?