|
各潜在测评机构:
我医院近期拟采购单位重要信息系统网络安全等级保护测评服务,现对该项目相关需求开展市场需求调查工作,欢迎符合条件的潜在供应商提供宝贵信息和报价。
一、采购需求概况
|
服务类型
|
服务对象
|
等级要求
|
工作内容
|
|
网络安全等级保护测评服务
|
****医院信息管理系统
|
三级
|
根据《信息安全等级保护管理办法》、《信息安全技术网络安全等级保护基本要求》等法规和标准的要求,在充分了解被测系统的情况下从实际出发,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。
|
|
网络安全等级保护测评服务
|
****医院信息系统
|
三级
|
根据《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本要求》等法规和标准的要求,在充分了解被测系统的情况下从实际出发,结合该系统的构成特点,确定具体的测评对象,建立测评方案和测评指导书,通过访谈、检查和工具测试等方式判断该系统安全管理和安全技术的各个方面相对于测评指标的符合程度。
|
二、技术要求
等保测评范围主要包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面。测评指标和对象。
1.技术测评:
(1)安全物理环境测评(物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护);
(2)安全通信网络测评(网络架构、通信传输、可信验证);
(3)安全区域边界测评(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证);
(4)安全计算环境测评(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护);
(5****中心测评(系统管理、审计管理、安全管理、集中管控)。
2.管理测评:
(1)安全管理制度测评(安全策略、管理制度、制定和发布、评审和修订);
(2)安全管理机构测评(岗位设置、人员配备、授权和审批、沟通和**、审核和检查);
(3)安全管理人员测评(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理);
(4)安全建设管理测评(定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统支付、等级测评、服务测评方选择);
(5)安全运维管理测评(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理)。
3.云计算扩展测评:
(1)安全物理环境测评(基础设施位置);
(2)安全通信网络测评(网络架构);
(3)安全区域边界测评(访问控制、入侵防范、安全审计);
(4)安全计算环境测评(身份鉴别、访问控制、入侵防范、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护);
(5****中心测评(集中管控);
(6)安全建设管理测评(云服务商选择、供应链管理);
(7)安全运维管理测评(云计算环境管理)。
4.移动互联扩展测评:
(1)安全物理环境测评(无线接入点的物理位置);
(2)安全区域边界测评(边界防护、访问控制、入侵防范);
(3)安全计算环境测评(移动终端管控、移动应用管控);
(4)安全建设管理测评(移动应用软件采购、移动应用软件开发);
(5)安全运维管理测评(配置管理)。
5.物联网扩展测评:
(1)安全物理环境测评(感知节点设备物理防护);
(2)安全区域边界测评(接入控制、入侵防范);
(3)安全计算环境测评(感知节点设备安全、网关节点设备安全、抗数据重放、数据融合处理);
(4)安全运维管理测评(感知节点管理)。
6.工业控制系统扩展测评:
(1)安全物理环境测评(室外控制设备物理防护);
(2)安全通信网络(网络架构、通信传输)
(3)安全区域边界测评(访问控制、拨号使用控制、无线使用控制);
(4)安全计算环境测评(控制设备安全);
(5)安全建设管理测评(产品采购和使用、外包软件开发)。
7.实施要求:
(1)供应商应根据项目实际情况制定项目实施计划,严格按照项目实施计划推动项目实施,确保项目进度。供应商应组织应急技术支撑队伍,在服务期限内加强与业主单位的联防、联动,积极配合处理网络安全事件,提升业主单位应对网络安全事件的应急处理能力。
(2)供应商应加强本项目资料的保密管控,与采购人签订《保密协议》。
(3)在项目实施过程中,为保障测评工作的顺利推进,供应商应指定一名专职服务人员,通过现场或远程支撑的方式为测评过程中的技术问题(包含但不限于需整改的问题)提供技术支撑服务。
(4)测评过程中应结合国家法律法规**策方针为采购人提供网络安全规划和管理制度体系咨询服务,同时对被测系统涉及的配置调整、漏洞修复、安全加固等工作提供技术指导。
(5)供应商必须为本项目****小组,******部认证的测评
师证书,持证上岗。测评小组至少5人构成,为保证项目实施质量,测评服务提供方应为本项目指定一名高级测评师为该项目负责人现场主持测评工作。供应商需具有应急服务团队(团队成员必须为供应商单位正式员工并具备信息安全相关专业资质和测评师资质),当发生突发网络安全公共事件时,能在1小时内派出技术团队到达现场协助处置突发事件,事件处置要求高级测评师现场参与。
(6)依据《网络安全等级保护测评机构管理办法》相关规定,供应商须持有有效期内的《网络安全等级保护测评机构推荐证书》,并提供证书复印件,“属于异地测评项目的,测评机构应从项目管理系统中生成测评项目基本情况表,并于测评项目实施前报送或传至被****机关”。属于异地测评项目的,成交供应商应在合同签订前提交审核通过的《测评项目基本情况表》。如出现不能按时提交或备案不通过的,视为成交供应商不具备提供服务能力的基本条件。
(7)在项目服务周期内,为采购人提供数据安全相关咨询服务,以满足采购人下一步数据安全合规工作开展,以及落实国家数据安全协调机制相关工作要求和采购人数据安全保护义务。供应商须具有相关服务能力并提供相应的证明材料(国家/省级****办公室认定的第三方评估机构或相关国家或部委认可的数据安全服务机构)。
(8)供应商应协助采购人对相关网络安全制度进行修改调整和完善。
三、服务期限:自合同签订日期起60天内完成。
四、资质要求
(1)供应商应为国家网络安全等级测评与检测评估机构(提供网络安全服务认证证书等级保护测评服务认证),并在**部网络安全等级保护网(www.****.net)最新发布的**网络安全等级测评与检测评估机构目录中在列。
(2)供应商具备中国****委员会颁发的检验机构认可证书(CNAS)或具备带(CNAS)标的IS027001认证证书且检验项目包含网络(信息)安全等级测评,认可的检验能力范围为“网络安全等级保护测评”。
五、****公司鲜章)
1.提供满足项目各项要求的总价格及明细价格。(格式自拟)
2.报价表须注明报价人和报价人联系方式;项目明细表中未注明技术要求的,须在报价表中填报详细技术参数。
3.若对本项目具体要求有不同意见的,可提出修改意见。(格式自拟)若以电子件送达,须将以上资料扫描形成一个PDF文档发送至指定邮箱。
4.单位或法人授权书原件、法人及授权代表身份证复印件;
5.公司营业执照副本(年检合格)、组织机构代码证副本(年检合格)、税务登记证复印件;实行三证合一的地区仅需提供带有统一社会信用代码的营业执照复印件;
6.无重大违法违规记录及依法缴纳税收和社会保障资金的良好记录,有良好的商业信誉和健全的财务会计制度,参加本次采购活动前三年内,在经营活动中没有重大违法违规记录(需提供供应商承诺函)。
7.其他需要提供的材料。
六、资料报送起止时间:2025年7月2日发布时起-2025年7月9日18:00
七、资料报送方式:在本公告公示截止时间前在公告下方将响应文件扫描在一个PDF****公司鲜章上传,上传文件包括价格信息收集表、报价公司资质,历史成交信息(提供合同、中标通知书、中标公告截图等)其他有关服务推介资料供应商可自行增加。 标书代写
1.现场或邮寄(非到付方式)纸质资料及电子邮件各一份。
2.现场或邮寄地址:**市**区站北路888号****办公室(********办公室)。
3.联系方式:程老师 023-****0854
****
发布时间:2025年7月2日
|
