我院拟对信息系统三级等保测评服务进行调研及采购，现面向社会公示，诚邀符合条件的供应商参加，请于2023年11月22日17:30之前报名。

一、调研及采购项目：信息系统三级等保测评服务

二、调研及采购项目简介：

（一）功能需求：对我院HIS系统、LIS系统、PACS系统进行信息系统等级保护测评。

（二）需求方案

1.供应商应依据国家等级保护相关标准开展工作，依据标准包括但不限于以下国家标准：

(1)《信息安全等级保护管理办法》（公通字[2007]43号）

(2)《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2019

(3)《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2020

(4)《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2019

(5)《信息安全技术信息安全风险评估规范》GB/T 20984-2007

(6)《信息安全技术信息系统安全等级保护测评要求》GB/T 28448-2019

(7)《信息安全技术信息系统安全等级保护测评过程指南》GB/T 28449-2018

2.供应商开展信息系统安全等级保护测评相关工作必须符合但不限于如下文件的要求：

(1)《中华人民共和国网络安全法》

(2)《信息安全等级保护管理办法》（公通字[2007]43号）

(3)《卫生行业信息安全等级保护工作的指导意见》的通知（卫办发〔2011〕85号）

(4)《四川省卫生健康行业网络安全等级保护工作实施方案》（川卫函〔2019〕11号）

3.测评应满足的原则：本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

(1)保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害院方的行为，否则院方有权追究服务提供方的责任。

(2)标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

(3)规范性原则：供应商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

(4)可控性原则：测评服务的进度要跟上进度表的安排，保证院方对于测评工作的可控性。

(5)整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

(6)最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

供应商应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

4.本次等级保护测评的整体要求

(1)供应商必须拥有kubernetes(K8S)容器集群架构的等保测评能力。

(2)供应商应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。供应商应独立于信息安全产品制造方和使用方，提供公正、合理、独立的信息安全测评服务和系统整改建议，不得限制医院信息安全整改中购置设备或软件的选型。

(3)对项目实行总测评工程师负责制。执行本项目实施服务的主要人员不得少于5人，必须具备从事等级保护测评工作资格，具有参加等级保护测评服务项目的经验、案例。供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有经验的测评人员进行本次等级保护测评工作。

(4)供应商应拥有很好的专业测评工具和测评平台，可以构造各种测评环境对各种信息系统、软硬件产品和网络进行测评。本次等级保护测评实施过程中所使用到的各种工具软件由供应商推荐，经院方确认后由供应商提供并在测评中使用。在响应文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

(5)安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由供应商推荐，经院方确认后由供应商提供并在测评中使用。

安全测评需要的运行环境（如场地、网络环境等）由院方提供，供应商应详细描述需要的运行环境的具体要求。

（三）医院HIS系统、LIS系统、PACS系统等级保护（三级）测评服务内容：

1.供应商为医院信息系统三级等保提供定级备案、等级测评、系统整改指导、应急响应、安全巡检、漏洞扫描及渗透测试等工作。

2.依据相关信息系统安全等级保护的标准要求，本次信息安全等级保护测评涵盖安全技术：物理安全、网络安全、主机安全、应用安全、数据安全以及安全管理：安全管理制度、安全管理机构、人员安全管理、系统建设安全管理和系统运维安全管理十个方面。

3.依据相关的测评准则，结合系统的构成特点，确定具体的测评对象，制定测评方案，通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求，找出信息系统中存在的安全隐患，对安全性进行整体评估，制定相关的信息安全整体安全策略和中长期的安全规划，以便对被测系统进行安全方面的调整和改进，确保其安全防护水平达到信息系统安全等级保护相应能力的要求。

4.定级备案：供应商编写医院信息系统的定级报告、备案表,向当地公安局网监支队提交备案资料。

5.等级测评：供应商对医院信息系统进行等级测评，编写测评报告、问题总结及整改建议。

6.系统整改：供应商根据等级测评结果及问题总结编制整改建议方案。若医院要对系统进行整改，供应商应安排经验丰富的信息安全等级测评师协助医院系统完成整改工作，协助医院建立完整的技术体系、运维体系和管理体系。

7.供应商应对院方的各个信息系统进行等级保护测评，形成相应的报告。

（1）供应商在测评后出具符合自贡市公安局要求的系统安全保护等级测评报告；

（2）供应商协助院方办理信息系统安全保护等级备案手续。

（四）后续服务要求：

1.项目验收：

（1）本项目的目标是输出等级保护测评报告，并配合办理信息系统安全保护等级备案手续，该项目将产生一定数量的文档。

（2）供应商应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

（3）供应商应提交验收方案，供院方参考。

（4）供应商应依据本项目的要求，组织相关部门或单位的技术专家对提交的项目成果进行验收。

2.项目承诺：

（1）供应商应满足院方提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。

（2）保密性要求：供应商必须和院方签订保密协议和非侵害性协议，供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给院方。

（3）供应商具体测评工作和等级保护测评报告的编写，必须在院方的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，供应商不得带离该地点。

（4）供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论供应商中标与否，其对上述内容的保密责任将长期存在。

（5）等级保护测评的品质保证：供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为院方作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对院方的资料严格保密。

3.其他：

（1）供应商响应文件中需要对供应商等级保护测评的过往实施情况做相应说明，并附详细资料。

（2）供应商应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。

（3）供应商应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。

（4）供应商应提出需要院方配合的工作事项。

（5）供应商应提供信息安全等级保护相关知识培训服务。

（6）测评结束后供应商应提供整改后的网络拓扑图、安全设备配置信息等相关技术文档。

（7）测评结束后期服务承诺：供应商在院方现有信息系统等级不变的情况下，对院方现有信息系统扩建的网络，提供安全性分析服务，并对发现的相关问题提出合理化建议。

（五）质保及售后服务要求：

1.应急响应服务：供应商对医院的信息系统提供一年内7*24小时安全应急响应服务。

2.安全巡检服务：供应商安全运维服务工程师每季度对医院机房、网络设备、安全设备、应用系统等进行巡检，查看运行状况，并对安全日志进行分析。

3.漏洞扫描及渗透测试服务：测评过程中对医院信息系统进行全面的系统漏洞扫描，另外，一年内进行4次漏洞扫描,每季度对院方的核心业务信息系统进行漏洞扫描，提交漏扫报告、漏洞修复建议，协助医院采取应对措施。

（六）实施工期及服务方案要求：

本项目要求在合同签订后90个日历日内完成等保评测要求的所有工作和资料交付。

（七）院方在中华人民共和国境内使用供应商提供的系统及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控，供应商应承担由此而引起的一切法律责任和费用。未经院方同意，供应商不得以任何单位或个人名义，对外泄露或公开报告内容及相关文件资料、数据信息、重要结论等。

三、供应商应具备的条件及需要递交的资料：

（一）供应商应具备的条件

1.具有独立承担民事责任的能力；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有履行合同所必需的设备和专业技术能力；

4.有依法缴纳税收和社会保障资金的良好记录；

5.参加本次调研及采购活动前三年内，在经营活动中没有重大违法记录（出具承诺函并加盖鲜章）；

6.遵守国家法律法规，具有良好的信誉和诚实的商业道德，供应商在参加本次调研及采购活动前的信用记录未列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信等行为，保存信用记录结果网页截图做为响应采购调研文件的部分；

7.所供的产品及服务符合国家相关法律法规及行业标准；

    8.必须具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务证书》（DJCP）。有资格和能力对我院进行等保评测响应和等保整改方案应对工作（复印件加盖鲜章，原件备查）；

    9.必须拥有kubernetes(K8S)容器集群架构的等保测评能力；

    10.经年检的税务登记证书（复印件加盖鲜章，原件备查）

（二）供应商需递交的资料

1.承诺函、报名函、授权书、调研及采购情况、相关产业发展情况及市场供给情况、同类采购项目历史成交信息情况（见附件）；

2.中小企业承诺函（见附件）(非中小企业则不填）；

3.资质证明文件：营业执照等。按生产厂家及各级代理商资质证件和各公司层级授权委托书、产品资质证件的顺序，明确体现证件齐全及各层级授权关系，包括营业执照、生产/经营许可证、医疗器械注册证/备案信息、彩页、产品使用说明书等，以上资质不涉及不提供。

4.服务案例：供应商应对等保测评有成熟的解决方案,具有成功的实施案例。

5.具备为测评服务提供专业技术团队的能力，提供至少5人公安部《信息安全等级测评师》证书，其中须至少1名高级信息安全等级保护测评师（复印件加盖鲜章，原件备查）。

    6.服务需求中要求提供的其他资料。

    7.提交的所有资料须合法、真实、有效、清晰，并加盖鲜章，按以上顺序编订成册（一正两副共三份），并在首页编制目录，资料的规范性作为比选的依据之一。

    四、报名方式

    方式一：报名截止时间前现场递交报名资料；

    方式二：报名截止时间之前邮寄出报名资料并发送电子版至邮箱：546016530@qq.com后再电话联系通知，在邮寄的情况下未在截止时间内发送电子版视为未报名成功。

调研方式：线下调研，具体调研时间另行电话通知。（参加调研的供应商请在医院外自行停车，院区内停车主要为病人及家属提供）

五、联系方式

如有其他疑问，请及时联系，联系人：邓老师，电话：0813-2121029（上班时间：08:00-12:00,14:30-17:30），邮寄地址：自贡市尚义灏一支路42号自贡市第一人民医院采购科。

调研及采购封面.doc1.中小企业声明函.doc4-1调研及采购-服务类承诺函+报价单.doc

自贡市第一人民医院采购科

2023年11月20日