****信息系统网络安全三等级保护测评服务小额采购公告
一、基本情况
1.项目名称:****信息系统网络安全三等级保护测评服务
2.项目编号:****。
3.项目所在地区:**省**市**区湖东路4号****
4.预算:38500元,供应商报价高于预算的响应将被否决。
5.本招标项目为1个标段,不接受联合体投标。
6.付款方式:获得测评报告并提供有效增值税发票,30天内全额支付。
7.项目服务期:合同签订后60天内完成
二、服务内容
(一)测评范围
本次等级保护测评分为技术安全测评和管理安全测评,技术安全测评包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、管理安全测评包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的测评。
(二)项目工作内容
本项****医院项目建设需求,开展等级保护咨询项目服务,解决所面临的最主要的安全问题,将有限的**投入到最有效的地方,不断加强信息系统安全保护能力。本项目主要工作内容:
1.网络安全等级保护定级和备案服务
2.网络安全等级保护测评服务
(三)网络安全等级保护定级和备案服务
1.服务对象:****医院(三级)
| 序号 |
货物名称 |
计量 单位 |
数量 |
等级 要求 |
交货 时间 |
交货 地点 |
备注 |
| 1 |
********医院 |
项 |
1 |
三级 |
合同签订后60天内完成 |
** |
信息系 统网络 安全等 级保护 测评服 务项目 |
2.具体要求:
信息系统的定级是开展网络安全等级保护工作的首要环节和基础,******部****中心或中关村测评联盟认证的中级测评师(或以上)协助用户单位完成等级保护定级和**备案工作。为了准确、科学地开展信息系统定级工作,进行摸底调查,摸清信息系统底数,掌握信息系统(包括信息网络)的业务类型、应用或服务范围、系统结构等基本情况,为进一步明确要求、落实责任奠定基础。
定级工作将严格遵循《网络安全等级保护定级指南》(GB/T 22240-2019 征求意见稿),深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求, 细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析,准确判定信息系统安全等级,编制《定级报告》和《备案表》,并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,****机关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):****机关颁发的《信息系统安全等级保护备案证明》;
具体要求:根据国家行业信息安全要求,结合实际需求,严格遵循《网络安全等级保护条例》《信息安全技术网络安全等级保护基本要求》《信息安全技术网络安全等级保护测评要求》《信息安全技术网络安全等级保护安全设计技术要求》等,并应深入调研掌握信息系统的应用部署实际情况,按照国家有关管理规范和标准要求,细致分析各信息系统安全域及管理边界,合理划分信息系统范围,科学开展信息系统重要性程度分析, 召开定级专家咨询会议,准确判定信息系统安全等级,编制《定级报告》和《备案表》, 并按照定级备案流程,向主管部门、监管机关就信息系统定级进行审批备案,保证采****机关颁发的《信息系统安全等级保护备案证明》。
(四)网络安全等级保护测评服务
服务对象:****医院(三级)
1.具体要求:
测评机构必须具备《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书-等级保护测评服务认证》,工作阶段、流程、内容及成果交付严格遵循《网络安全等级保护测评要求》(GB/T 28448-2019)、《网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护定级指南》(GB/T22240-2020)文件。本项目测评系统复杂规模大、部署广、测评时间集中,应按照项目组开展工作,******部****中心或中关村测评联盟颁发的高级测评师负责项目组管理,并根据系统等级开展相应级别的单项测评和整体测评分析;测评报告内容及格式严格遵照网络安全等级保护测评报告最新模板,符合**部门定级和备案要求。
按照《信息安全等级保护管理办法》和《网络安全保护等级实施指南》,遵循《网络安全等级保护基本要求》(GB/T 22239-2019)等技术标准,从安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评,并参考采购人自身信息安全管理要求,进行综合分析和整体测评。
应依据信息系统的业务应用和内外部环境,深入调研分析各信息系统资产状况和重要性程度, 以及面临的信息安全威胁。
技术方面,物理安全方面应采用专用测试工具测试和人工现场复核方式;对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证,以发现身份鉴别、访问控制、安全审计、软件容错、**控制等措施的安全隐患。
管理安全方面应对采购人信息安全管理现状进行需求分析,确**全管理目标和安全策略,针对信息系统的各类管理活动,梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。
应采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB 应用漏洞分析工具等对网络、主机等进行渗透测试分析。应采取等级测评、安全审计、风险评估等方法,逐项对照《网络安全等级保护基本要求》的各安全要求项,评估确定系统当前安全防护现状以及与标准要求的差距,判断安全保护建设需求并进行分析。
1)单项判断风险评估。依据《基本要求》的内容,参考各测评目标的优势证据,进行逐项安全风险分析,并判断出各安全控制项的符合情况;
2)整体判断风险评估。依据各安全控制项的符合情况,参考行业特殊指标、被测单位管理系统的特殊要求,以及系统整体业务应用情况,进行整体测评(安全控制间、层面间、区域间、系统结构间)和“风险计算与分析”。
3)实验室模拟风险评估。依据整体测评和风险计算分析结果,****中心提出系统模拟申请,并协助部署类似于客户信息系统运行环境的模拟系统,以利用安全隐患造成灾难的方式,呈现灾难发生全过程,分析安全隐患的危害性,客观评价其影响程度,为评估和安全建设整改提供参考数据。
4)编制测评报告。依据最终风险评估和程度评价结果,编制《等级测评报告》,最终提****机关。
服务方依据等级保护要求,要求所使用的测评工具支持以下功能点:
(1)支持正向攻击类情报源,并支持行业分类,****银行、证券、保险)、电力、能源、教育等30个行业。
(2)系统****公司情报源(腾讯、360、奇安信、华为情报源),提供受控外联类情报源,受控外联情报类型至少包含 IP 类、URL 类和域名类情报
(3)支持情报源的基础属性画像,至少包含归属地、经纬度、运营商等属性
(4)支持最近三个月的攻击轨迹溯源,至少包含历史攻击单位、攻击类型、被攻击单位所属行业等属性
(供应商需提供具有 CMA 和 CNAS 标识的第三方检测机构出具的测评工具功能检测报告原件扫描件,以上材料加盖供应商公章。注:功能点需通过醒目标识标记出对应功能点在报告中的检测情况,未提供或提供不符合要求视为无效响应,且报告时间需早于本次采购时间)
交付成果(包括但不限于):《信息系统安全等级测评报告》等。工作过程文件及项目交付成果(包括但不限于):《网络安全等级保护等级测评报告》;
(五)应急响应支撑服务
在服务周期范围内,在突发/重大信息安全事件后,按需提供不少于 1 次现场应急响应服务,响应时间 1 小时内,人员到场时间不超过 2 小时。安排信息系统专业应急人员和网络安全等级保护测评服务认证技术专家完成实施工作,根据每次应急响应的情况,必要时提供应急工具参与应急响应工作,并进行分析,出具《安全事件分析报告》。同时,尽可能地减少和控制网络安全事件的损失, 提供有效的响应和恢复指导,并努力防止安全事件的发生。供应商必须****测评中心颁发的信息安全服务资质证书(安全工程类一级)或中国电****协会颁发的(ITSS)运维服务资质证书。
交付要求:输出文档包括但不限于。
(六)项目实施要求
1.供应商必须具备独立完成本项目的能力;
2.供应商必须提供《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书-等级保护测评服务认证》,在响应文件中提供证书复印件加盖公章佐证;
3.成交供应商应对了解到的信息保密,并提供保密承诺;
4.成交供应商在项目现场实施周期内,必须为本项目成立等级保护测评项目部,安排包括项目****小组进场调研、测评工作;
5.在采购人进行整改过程中提供必要的技术支持。
6.为保证供应商对采购人的系统规模、运行情况清晰了解,保证响应方案具有可操作性。供应商必须在开标前对采购人系统规模进行现场勘察,由采购人出具勘察证明,方可有效参与本项目。标书代写
(七)保密要求
成交供应商须保证对本项目实施中所获得任何资料和信息严格保密,并与我院签订保密责任书。
(八)项目验收条件
成交供应商按照“项目服务内容”规定的交付成果,经采购人完全确认后,完成验收。
三、供应商条件要求
1.供应商资格要求
(1)满足法律法规的要求包括:
在中华人民**国注册并合法经营,具有独立承担民事责任的能力;
具有良好的商业信誉和健全的财务会计制度;
具有依法缴纳税收和社会保障资金的良好记录;
具有履行合同所必需的设备和专业技术能力;
参加此采购活动前三年内,在经营活动中没有重大违法记录;
符合法律法规规定的其他条件。
(2)供应商无不良信用记录(供应商至应答截****政府采购网(www.****.cn****政府采购严重违法失信行为记录名单,未在中国融通电子商务平台(https://www.****.cn)和军队采购网(www.****.cn)列入军队采购暂停名单处罚范围内或军队采购失信名单禁入处罚期和处罚范围内,以及未被“信用中国”(www.****.cn)列入严重失信主体名单或国家企业信用信息公示系统(www.****.cn)列入严重违法失信名单(处罚期内)。
2.供应商不得存在下列情形之一
(1)与本项目其他供应商的单位负责人为同一人。
(2)与本项目其他供应商存在直接控股或管理关系。
(3)近三年内在经营活动中存在以下严重不良情形:
①被本项目所在地省级以上行业主管部门依法暂停、取消投标成绩并禁止参加采购活动的。
②处于被责令停产停业、暂扣或者吊销执照、暂扣或者吊销许可证、吊销资质证书状态。
③进入清算程序,或被宣告破产,或其他丧失履约能力情形的。
④根据公司供应商管理要求,被禁止参与采购活动且处于有效期内的。
⑤被列入****集团有限公司商业活动“黑名单”。
3.特殊资质要求:(1)具备《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书-等级保护测评服务认证》(在有效期内,且在中国网络安全等级保护网(https://www.****.net/)可查(提供查询结果截屏)),提供证书复印件(加盖公章)。(2)项目经理要求:为保证项目正常开展,供应商必须任命一名高级测评师为项目经理,全面负责项目实施及质监工作。提供对应证书及供应商近六个月为其缴纳的社保凭证复印件(加盖公章)。
4.本项目不接受联合体参加采购活动。
四、报名时间及地点
1.报名截止时间:2026年7月9日15时00分标书代写
2.报名资料:详见附件要求(需提供纸质版资料+电子版资料)
3.提交方式:
3.1纸质版资料:供应商请于报名截止时间前将报价文件纸质原件加盖公章密封邮寄或送至**省**市**区湖东路4号****采购中心毛老师(注:报名材料封面须写明联系人及联系方式);标书代写
3.2电子版资料:全套资料的扫描件(PDF格式、不含****采购中心邮箱****@163.com,文件命名为项目名称+公司名称+联系电话。
4.评审时间:2026年7月9日15时00分
(如有冲突另行安排)
5.报名供应商无需到场,经评审最终报价最低的确定为成交供应商。
6.本次询价公示及结果公示均在“**省招标投标网(http://www.****.cn/)和****官网(https://www.****.com/)”发布。
五、联系方式
采购人:****
地址:**省**市**区湖东路4号
联系人:****中心)、吴老师(需求科室)
电话:0701-****981(毛)、158****3320(吴)
投诉质疑电话:纪检工作部0701-****948
上级部门投诉监督:
电话028-****6325
邮箱****@126.com
上级部门信访举报:
电话028-****3821
邮箱****@163.com