赣州市第五人民医院网络安全等级保护测评项目咨询公告

因医院信息化发展要求，赣州市第五人民医院就医院信息安全等级保护测评项目面向社会咨询，本次咨询只确定技术方案及预算，不确定供应商，欢迎符合资格的供应商报名参加。现将咨询事宜公示如下：一、项目内容

网络安全等级保护测评服务

二、投标商资格要求

1、具有独立承担民事责任的能力。

2、具有良好的商业信誉和健全的财务会计制度。

3、具有履行合同所必需的设备和专业技术能力。

4、有依法缴纳税收和社会保障资金的良好记录。

5、参加政府采购活动前三年内，在经营活动中没有重大违法记录。

三、项目需求

根据我院网络安全规划，拟启动网络安全等级保护测评项目服务，服务期限为一年。具体项目需求见附件1。

四、咨询文件要求

1、需附有资质材料、报价配置清单、产品方案等相关资料。

2、所有资料胶装成册。

3、需要额外提供一份报价单和营业执照的复印件。（格式见附件2报价单）

五、咨询会报名时间及方式

1、报名方式：本次咨询会采用邮箱报名，不需要到现场报名，供应商须填好报名表（附件二报价单）并发送到邮箱:gzwyyxxk@126.com；

2、报名时间：2023年1月1日-1月10日14:00时截止。

六、响应文件递交截止时间和地点

1、提交响应文件一式三份胶装成册并装袋密封，封口处加盖单位骑缝公章；

2、递交响应文件截止时间：2023年1月10日14:00（北京时间），超过该时间我单位不再接收响应文件；

3、咨询开始时间:2023年1月10日14:00（北京时间）；

4、咨询形式：腾讯会议；

5、咨询顺序：按邮件报名先后。

6、联系人：刘老师 联系方式：0797-8089520。

7、文件邮寄地址（不接收到付）：江西省赣州市章贡区水西镇

105国道旁赣州市第五人民医院福利院大楼三楼信息科。

注意事项

1、请注意本次咨询为线上咨询；

2、请持咨询当日手机通畅。

3、提前准备好腾讯会议软件，建议使用电脑端入会。

附件一

网络安全等级保护测评服务项目需求

为使贯彻落实上国家和省市的文件精神，我院拟对医院重要信息系统开展网络安全等级保护测评工作，通过等级测评使我院重要信息系统符合等保规定要求，落实信息安全责任，建立信息安全等级保护工作长效机制，从而切实提高本单位信息安全防护能力、隐患发现能力、应急处置能力，为我院信息化发展提供可靠保障。

1. 本项目技术依据

《中华人民共和国网络安全法》

《网络安全等级保护实施指南》（GB/T 25058-2019）

《网络安全等级保护基本要求》（GB/T 22239-2019）

《信息系统安全保护等级定级指南》（GB/T 22240-2008）

《网络安全等级保护测评过程指南》（GB/T 28449-2018）

《网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术网络安全等级保护安全设计技术要求》（GBT25070-2019）

2、项目内容

要求提供根据医院实际情况定制设计的方案和预算清单，清单需对应模块分项报价。

3、项目服务期以及服务范围

3.1服务期：本项目服务期为12个月（一年测评）。

3.2服务范围：本次安全等级测评分为技术安全测评和管理安全测评，技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全，管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面的测评。

4、服务内容与要求

4.1、协助信息系统的定级与备案工作

具体要求：根据国家和行业信息安全要求，结合采购人实际安全需求，严格遵循《信息安全技术信息系统安全等级保护定级指南》，成交服务商应深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析，准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。

交付要求：按照国家信息系统安全等级保护工作要求提供。工作过程文件及项目交付成果包括但不限于：系统定级报告、备案材料。

4.2、开展信息系统等级保护测评

按照《信息安全等级保护管理办法》、《信息系统安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T22239-2019））等技术标准，从每个信息系统的物理安全、网络安全、主机安全、应用安全、数据和备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等 10 个层面（二级系统 175 个要求项，三级系统 290 个要求项）进行测评，并参考被测单位自身信息安全管理要求，从安全控制间、层面间、区域间和系统结构间的综合分析进行整体测评。

交付要求：工作过程文件及项目交付成果包括但不限于：《信息安全等级保护等级测评报告》。输出文档要求：纸质版 2 份（加盖服务机构公章）。

工作阶段、流程、内容、及成果交付严格遵循《信息安全技术信息系统安全等级保护测评要求》）和《信息安全技术信息系统安全等级保护测评过程指南》文件，根据系统等级开展相应级别的单项测评和整体测评。测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》。

4.3、协助完善信息安全管理制度

依据《信息安全管理体系规范》、《信息安全管理实施细则》，结合《信息系统安全等级保护基本要求》内容，同时参照《信息系统安全管理要求》等标准，对信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等；对未覆盖的安全管理域，制定其相关管理制度和文件。

交付要求：输出文档包括但不限于《信息安全管理制度汇编》等

4.4、协助安全整改工作

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429 号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统测评工作的基础上，对被测单位信息安全管理和技术方面现状进行全面的分析，制订信息安全等级保护安全整改方案，方案内容包含但不限于：信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全整改技术方案设计、安全整改管理体系设计、信息系统安全产品选型及技术指标建议、安全整改项目实施计划、项目预算，整改后可能存在的其他问题； 出具方案后，需以此方案为基础，开展安全整改咨询和系统加固工作，最终使我院安全管理和技术两方面达到相应等级的保护要求。

交付要求：工作过程文件及交付成果包括但不限于：《信息安全等级保护安全整改方案》，方案可根据整改和规划内容的重要性和复杂程度编写。输出文档《信息安全等级保护安全整改方案》等纸质版 2 份（加盖服务机构公章）

4.5、攻防演练保障服务

（1）提供安全攻防演练方案规划服务。 

（2）对赣州市第五人民医院指定平台系统开展内部攻防实战演练服务，并且提供演练前培训、演练实施以及演练后的总结回顾服务。

（3）配合我院参加省公安厅、市公安局举行的网络安全攻防演练前的各项咨询与支持服务，攻防演练期间的网络信息系统加固服务，攻防演练过程中的现场提供值守服务，演练期间应安排不少于一名工程师在我院指定地点值守。

4.6、应急响应技术服务

具体服务内容：采购人单位发生安全事件时，服务供应商对安全事件进行响应、抑制、解决的安全服务。当采购人单位发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时，服务商第一时间赶到事件现场，安排具有网络安全资深人员和应急响应工作经验丰富技术人员完成实施工作，最短时间内使网络信息系统恢复正常工作，帮助查找入侵来源，进行入侵分析，必要时提供软、硬件设备参与应急响应工作，分析出具《安全事件应急响应分析报告》。应急响应服务包含大规模病毒爆发响应、系统入侵事件响应、主机、网络异常响应、拒绝服务攻击响应。有两名指定的服务响应人，提供联系方式。

4.7、网络安全培训服务

具体要求：开展信息安全技术和等级保护政策培训，分析最前沿的信息安全形势，了解信息安全技术、等级保护流程和指导标准的有效使用，提升全员安全意识，建立长效机制促使信息安全管理措施的落实到位。培训课程应包括但不限于“网络安全等级保护工作解析、网络安全等级保护基本要求、信息安全管理体系、网络安全整改实施、网络安全入侵常见手法及加固方法”等内容。工作过程文件及项目交付成果（包括但不限于）:《网络安全培训纪要》、培训课件。

5、服务保密要求

要求投标人有较好的保密管理及风险管理，必须保证对本项目实施中所获得任何资料和信息严格保密，并与赣州市第五人民医院签订保密协议。

附件二

关于赣州市第五人民医院网络安全等级保护测评服务项目报价

赣州市第五人民医院：

我公司对贵单位网络安全等级保护测评服务项目报价为 元。联系人： ，联系电话： 详细报价清单见附件。

公司名称（盖章）：

年 月 日