2026年北京天坛医院等保测评服务-招标公告

1.项目编号：****

2.项目名称：2026****医院等保测评服务

3.项目预算金额：68.20万元

4.采购需求：

5.合同履行期限：测评周期不超过150个日历日。

6.本项目是否接受联合体投标：□是 ◆否。

1.满足《****政府采购法》第二十二条规定；

2.落实政府采购政策需满足的资格要求：

2.1 中小企业政策

◆本项目不专门面向中小企业预留采购份额。

□本项目专门面向中小微企业采购。即：提供的服务全部由符合政策要求的中小/小微企业承接。

□本项目预留部分采购项目预算专门面向中小企业采购。对于预留份额，提供的货物由符合政策要求的中小企业制造、服务由符合政策要求的中小企业承接。预留份额通过以下措施进行：___/____。

2.2 ****政府采购政策的资格要求（如有）：___/__。

3.本项目的特定资格要求：

3.1****政府购买服务：

◆否

□是，****事业单位、使用事业编制且由财政拨款保障的群团组织，不得作为承接主体；

3.2其他特定资格要求：__/__。

1.时间：2026年6月22日至2026年6月29日，每天上午9:00至11:00，下午1:30至5:00（**时间，法定节假日除外）。

2.地点：http://www.****.cn

3.方式：本项目支持网上发售、下载电子版招标文件。

4.售价：300.00元。

投标截止时间、开标时间：2026年7月14日14点00分（**时间）。标书代写

地点：中关村资本大****学院南路62号）六层会议室。

自本公告发布之日起5个工作日。

1.****政府采购政策：

1.1 中小企业、监狱企业及残疾人福利性单位；

1.2 政府采购节能产品、环境标志产品；

1.3 《****办公厅****政府采购中实施本国产品标准及相关政策的通知》（国办发〔2025〕34号）及相关规定。

1.采购人信息

名 称：****

地 址：**市**区南四环西路119号

联系方式：010-****8239刘聃

2.采购代理机构信息

名 称：****

地 址：****学院南路62号院1号楼6层(601-615室)、9层(903-915室)

联系方式：010-****8007

3.项目联系方式

项目联系人：曹**、卢燕、梅建伟、王昀炜、任伟

电 话：010-****8007

电子 邮箱：luyan@cntcitc.****.cn

采购需求

一、 采购标的

****医院信息系统的定级范围，组织专家对系统的定级情况进行评审，按照等级保护规定编制新版定级报告及备案表，****医院完成系统线上及线下备案修改工作， 若有重大变更需重新获得系统的备案证明。

二、 商务要求

1. 交付（实施）的时间（期限）和地点（范围）

实施时间：测评周期不超过150个日历日。

实施地点：采购人指定地点

2. 付款条件（进度和方式）：按合同约定执行

3. 包装和运输（如适用，须满足《关于印发〈****政府采购需求标准（试行）〉、〈****政府采购需求标准（试行）〉的通知》（财办库﹝2020﹞123号））

4. 售后服务（质保期）：

5. 保险（如适用）：详见合同条款

三、 技术要求

1. 基本要求

1.1 采购标的需实现的功能或者目标

本次招标为2026****医院等保测评服务选择供应商，投标人应根据招标文件所提出的采购需求，制定具体服务方案，确保质量符合要求，以优良的服务和优惠的价格，充分显示自己的竞争实力

1.2 需执行的国家相关标准、行业标准、地方标准或者其他标准、规范：符合已颁布的现行中华人民**国认可的国家标准、地方标准和行业标准。

1.3. ****政府采购政策需满足的要求：

1.3.1 中小企业、监狱企业及残疾人福利性单位。

（二）采购标的需满足的服务标准、效率要求：详见（五）服务内容及要求

（三）验收标准：（五）服务内容及要求

（四）采购标的的其他技术、服务等要求：

1、投标人在响应采购需求时，应就“采购需求”进行逐条响应，并注明响内容或证明材料查询页码。如投标人未就“服务内容和要求”进行逐条响应或未提供的证明材料或提供的技术支持资料与所投项目不一致或不能体现招标文件的技术要求的，评标委员会可不予承认，并可认为该应答不符合招标文件要求。由此产生的评标风险，由投标人自行承担。

2、对于需求要求中标注“★”“▲”号或“#”号（如有）的参数，如需要提供支持资料，请在应答采购需求偏离表时具体到支持资料页码及条目号。

（五）服务内容及要求

（1）服务目标

按照国家标准GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》，****医院要求完成院内七个等级保护信息系统（包括但不限于现有60个子系统以及后续上线的信息系统）的定级与备案修改工作。

（2）服务内容

****医院信息系统的定级范围，组织专家对系统的定级情况进行评审，按照等级保护规定编制新版定级报告及备案表，****医院完成系统线上及线下备案修改工作， 若有重大变更需重新获得系统的备案证明。

1.2. 等级保护测评辅助服务

1.2.1. 等级保护预测评咨询服务

（1）服务目标

等级保护预测评咨询服务的主要目****医院三个等级保护三级系统，两个等级保护二级系统（以下简称“五个等级保护系统”）的安全现状，基于GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等国家标准，识别并评估五个等级保护系统所面临的差异性安全风险，提出对应的风险控制措施。

（2）服务内容

具体工作内容包括：

1）安全现状分析

通过访谈调研、漏洞扫****医院五个等级保护系统的安全现状，针对收集到的信息进行综合分析，并将安全现状与标准中的安全控制措施进行差距分析。

1.1）访谈调研的主要内容

□ 调研IT组织情况；

□ 调研信息系统基础设施基本情况；

□ 调研安全管理措施及弱点；

□ 调研物理安全控制措施及弱点；

□ 调研网络架构安全控制措施及弱点；

□ 调研网络设备安全控制措施及弱点；

□ 调研操作系统安全控制措施及弱点；

□ 调研系统软件安全控制措施及弱点；

□ 调研数据库系统安全控制措施及弱点；

□ 调研应用系统安全控制措施及弱点。

1.2）漏洞扫描

通过手工检查及工具扫描，检查五个等级保护系统涉及的各种网络设备、安全设备、操作系统、系统软件、数据库、应用系统、中间件等安全控制及弱点情况。

2）风险分析

基于GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等国家标准，对五个等级保护系统现状分析阶段所识别的威胁及弱点进行安全风险差异性评估，形**全风险分析及合规差异性评估报告。

1.2.2. 安全整改咨询服务

基于五个等级保护系统安全风险分析及合规差异性评估报告、漏洞扫描报告、安全性测试报告，****医院提供安全整改咨询服务，确定各类风险处置方式选择安全控制措施，制定风险处置计划。

（1）确定风险处置方式

确定风险接受准则，并依据准则选择风险处置方式，对于确定为控制的风险，选择具体安全控制措施。

（2）制定风险处置计划

对确定为控制的风险，制定相应的风险处置计划，包括任务、人员、时间安排。

1.3. 等级保护测评服务

****医院完成由第三方等级保护测评机构实施的五个等级保护系统的等级测评工作，委托具有国家网络安全等级测评资质的第三方测评机构进行等保测评，中标人配合采购人完成等保测评工作，并代采购人向第三方测评机构支付测评款（该款应含在本次投标总价中），并获得由第三方等级保护测评机构出具的符合等级保护测评要求的测评报告。

★等级保护******部第三研究所签发的《网络安全服务认证证书等级保护测评服务认证》。

（2）服务内容

中标人配合采购人以及第三方测评机构完成等保测评工作，第三方测评机构实施的等保测评工作涉及以下事项：

基于GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等国家标准，完**全技术和安全管理测评。

1）安全技术测评

完成包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心五个方面的安全测评。

2）安全管理测评

完成包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。

在等级保护测评过程中，中标****医院完成相关等保测评工作，****医院五个信息系统分别通过对应等级的测评。

1.4. 安全性测试服务

****医院五个等级保护系统（包括但不限于其中的子系统、管理后台、APP、小程序等）中的重要模块及系统，从输入验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等几个方面，通过自动化工具及人工的形式，在本项目服务周期内完成一次安全测试服务，形**全测试报告，并基于测试报告提供整改咨询服务。

通过手工检查及工具扫描，检查现有信息系统的安全管理及涉及的各种网络设备、安全设备、操作系统、系统软件、数据库、应用系统、中间件等安全控制及弱点情况，在本项目服务周期内完成一次漏洞扫描，形成漏洞扫描报告，并基于报告提供整改咨询及复测服务。

1.5. 小程序/APP安全检测

基于《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》、《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》和《GAT 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》等移动端应用安全要求，从源文件安全、数据存储风险、内部数据交互风险、通信传输风险、身份认证风险、组件风险、HTML5风险、安全防护能力、内容风险等几个方面，通过自动化工具及人工的形式，在本项目周****医院现有的4个小程序/App的安全检测，形成检测报告，并基于检测报告提供优化建议。

1.6. 网站评级认证

针对医院网站系统，****医院******部计算机信息系统****检测中心、****研究所、国家网络与信息系统****检验中心联合推出的网站安全分级认证。上述三家机构通过与相关安全规范标准和体系进行对比和认证后，****研究所为官方网站系统发放相应安全等级的电子认证标识来完成网站级别验证，并将电子认证标识悬挂于网站的醒目位置，以构建官方网站的安全信用并公示相关的安全信用信息。

1.7. 网络安全方案咨询与评审服务

****医院的网络安全现状以及后续建设计划，完成2026****医院网络安全整体方案与规划设计，形成年度网络安全建设方案，并组织专家进行评审。

1.8. 互联网暴露面分析

****医院互联网侧资产进行梳理，发现其中存在的未知资产以及安全风险，在风险应用披露后，****医院掌握其影响范围、影响目标、影响周期，并完成风险整改，以免被非法人员渗透利用。

针对医院网站系统，对网站访问、端口访问、敏感词、恶意链接、死链、疑似篡改行为、关键词、DNS劫持等内容，服务期内开展7*24小时安全监测，做到事故重现、精准定位、预警前置，****医院官方网站系统应急响应速度和安全防护能力。

1.9. 网络安全意识提升培训

****医院网络安全实际情况及现阶段医疗行业发生的网络安全事件，进行一次全院范围的网络安全意识提升培训。以网络安全培训及考试相结合的方式，使每名员工都能够增强网络安全意识，让信息安全管理意识、个人信息保护深入到每个医护人员的心中。

★在项目服务过程中，中标人咨询顾问需以现场形式完成所有服务项目，服务周期不少于90个日历日，累计工作量不少于250人天，定期输出项目服务周报/月报，取得采购人认可并签字。（需提供承诺函并加盖投标人单位公章）

投标人应具有完成本项目的技术力量、财务能力，并且信誉良好。

参与人员不少于6人，其中高级安全专家1人、项目经理1人、安全咨询顾问2人、安全测试工程师2人。

项目经理须具有****保障部颁发的信息系统项目管理师证书；以及8年以上信息安全行业经验。

★安全专家及安全咨询工程师需具有CISP或CISAW证书，并具有5年以上网络安全咨询服务项目经验。（需提供相关证明材料并加盖投标人单位公章）

★第三方等级保护测评机构参与人员不少于5名等级保护测评师（提供国家认可的等级保护测评师证书并加盖投标人单位公章），且等级保护测评师应具有等级保护测评师认证证书，并具有3年以上等级保护测评经验。