贵州/黔东南-2026-05-13 00:00:00
天柱县人民医院***、***、****三个系统网络安全测评服务采购项目需求公示
天柱县人民医院***、***、****三个系统网络安全测评服务采购项目采购需求公示
一、项目基本信息
项目名称:天柱县人民医院***、***、****三个系统网络安全测评服务采购项目
项目编号:************
采购预算:*****.**元
最高限价:*****.**元
二、公示期限(不少于*个工作日):
时间:********* 至*********
三、其他补充事宜
采购预算确定依据:市场询价
四、项目联系人(公示期限内,优先反馈意见给代理机构)
*.采购人信息
名称:天柱县人民医院
联系地址:天柱县联山街道牛豆冲
项目联系人:龙向葵
联系方式:***********
*.代理机构
代理全称:贵州数峰项目管理咨询有限公司
地址:凯里市风情西路七号众诚原著小区* 栋 * 单元 ***
联系人:龙建武
联系方式:***********
五、附件
采购需求附件
天柱县人民医院***、***、****三个系统网络安全测评服务采购项目
一、资格要求:
符合《中华人民共和国政府采购法》第二十二条之投标供应商资格条件要求,并按照《中华人民共和国政府采购法实施条例》第十七条的规定提供以下材料:
*.具有独立承担民事责任的能力:提供有效的营业执照等证明文件;
*.具有良好的商业信誉和健全的财务会计制度:提供****年度财务审计报告(新成立未满一年的公司提供基本开户银行出具的资信证明)或提供承诺函;
*.具有依法缴纳税收和社会保障资金的良好记录:提供****年*月至今任意一个月的依法缴纳税收和社会保障资金的相关材料(依法免税或不需要缴纳社会保障资金的,应提供相关证明材料)或提供承诺函;
*.具有履行合同所必需的设备和专业技术能力:提供相关证明材料或承诺书(格式自拟);
*.参加本次采购活动前三年内,在经营活动中没有重大违法记录:提供声明函(格式自拟);
*.法律、行政法规规定的其他条件:供应商须承诺:在“信用中国”网站(***.***********.***.**)、中国政府采购网(***.****.***.**)等渠道查询中未被列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中,如被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的供应商取消其投标资格,并承担由此造成的一切法律责任及后果。查询渠道:信用中国网站(***.***********.***.**)、中国政府采购网(***.****.***.**)。(提供网站截图,查询时间为公告发布之日起至投标截止时间止)。
*.投标供应商法定代表人身份证原件或法人授权书及授权代表身份证原件;
*.特殊资格要求:投标供应商须具备有效的《网络安全服务认证证书等级保护测评服务认证》证书或在公安部等保测评机构名录之内。
注:具体资格条件以本项目采购公告及招标文件要求为准
二、采购清单:
***、***、****三个系统安全等级保护测评技术需求清单
序号 | 项目内容 | 需求描述 | 备注 | |
* | 测评内容 | 测评系统 | *.***系统(三级) *.***系统(三级) *.****系统(三级) | |
* | 测评要求 | 针对三级信息系统的测评指标应包括《信息安全技术网络安全保护等级基本要求》(**/***********)中的安全通用要求指标:安全通用要求**项,测评项***项;云计算扩展项要求**项,测评项**项,移动互联扩展项要求*项,测评项**项。 | ||
* | 测评对象种类 | 测评对象种类主要考虑以下几个方面: (*)机房环境、配套设施; (*)整体网路拓扑结构; (*)网络设备:包括路由器、核心交换机、汇聚层交换机等; (*)安全设备,包括防火墙、***/***、防病毒网关; (*)安全管理中心:数据库审计系统、综合安全审计系统等; (*)数据库、中间件、终端设施(包括移动终端)、服务器等; (*)业务应用软件、系统管理软件、***; (*)系统管理员、审计管理员、业务管理员和安全管理员; (*)涉及系统安全的所有管理制度和记录。 | ||
* | 安全技术测评 | 安全物理环境:通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在测评实施过程中涉及**个测评单元,包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。安全通信网络:通过人员访谈、配置检查和工具测试的方式测评网络系统的通信安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。 | ||
* | 安全区域边界:通过人员访谈、配置检查和工具测试的方式测评网络系统的区域边界安全保障情况。主要涉及对象为网络互联设备、网络安全设备、无线网络设备和网络拓扑结构。在测评实施过程中涉及*个测评单元,包 括:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 | |||
* | 安全计算环境:通过人员访谈、配置检查和工具测试的方式测评网络系统的整体运行安全保障情况,主要涉及对象为网络互联设备、网络安全设备、无线网络设备、服务器、数据库、中间件、应用系统等。在测评实施过程中涉及**个测评单元,包括:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据保密性、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。 | |||
* | 安全管理中心:通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况,主要涉及对象为信息系统的管理数据及业务数据等。在测评实施过程中涉及*个测评单元,包括:系统管理、审计管理、安全管理、集中管控。 | |||
* | 安全管理测评 | 安全管理制度:通过人员访谈、文档审查和实地察看的方式测评网络系统的安全管理制度情况。在内容上,安全管理制度方面测评实施过程涉及*个测评单元,包括:安全策略、管理制度、制定和发布、评审和修订。 | ||
* | 安全管理机构:通过人员访谈、文档审查的方式测评网络系统的安全管理机构情况。在内容上,安全管理机构方面测评实施过程涉及*个测评单元,包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。 | |||
** | 安全人员管理:通过人员访谈、文档审查的方式测评网络系统的人员安全管理情况。在内容上,安全人员管理方面测评实施过程涉及*个测评单元,包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 | |||
** | 安全建设管理:通过人员访谈、文档审查的方式测评网络系统的系统建设管理情况。在内容上,安全建设管理方面测评实施过程涉及**个测评单元,包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。 | |||
** | 安全运维管理:通过人员访谈、文档审查的方式测评网络系统的安全运维管理情况。在内容上,安全运维管理方面测评实施过程涉及**个测评单元,包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理;此句无错误。 | |||
** | 整体测评分析 | 依据等级保护标准要求,完成安全技术测评和安全管理测评后,需要对信息系统的安全情况开展整体测评分析。主要从安全控制点间、区域间/层面间、系统结构安全进行整体评估,总结关键风险点。单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。 | ||
** | 系统安全整改分析及报告 | 依据系统测评结果,针对不符合项、系统漏洞和系统风险点,提出安全整改建议,并形成安全整改分析及报告。 | ||
** | 资质要求 | 服务团队人员不少于*人,均需具备等保测评师资质。项目负责人应具有等级保护高级测评师,且具备软考中级及以上信息安全工程师、注册信息安全工程师(*********)、注册信息系统安全师(*****)、注册数据安全治理专业人员(********)及网络安全能力认证(****)等证书。 | ||
** | 安全服务 | 商用密码应用安全性评估咨询 | 资质要求:供应商近*年内有不少于*个密码测评服务案例,需提供案例合同复印件。服务人员应通过商用密码应用安全性评估人员测试能力考核,且具有密码技术应用员资质。 | |
** | 服务内容:服务期内投标人依据《中华人民共和国密码法》《商用密码管理条例》及**/* **********标准等国家行业标准要求,为采购人提供商用密码应用安全性评估咨询服务。服务应覆盖采购人全部已建、在建、规划信息系统,核心开展现状摸排、合规评估咨询、方案编制咨询、整改指导、备案协助及专项培训咨询。 | |||
** | 数据安全风险评估咨询 | 服务内容:依据《数据安全技术数据安全风险评估方法》(**/* **********)《数据安全技术数据分类分级规则》(**/* **********)等标准,对数据安全制度体系、数据资产管理、数据分类分级保护、数据采集、数据存储、数据传输、数据使用和加工、数据提供、个人信息处理基本原则等内容提供数据安全风险评估咨询服务。 | ||
** | 个人信息保护合规审计咨询 | 服务内容:依据《个人信息保护合规审计管理办法》及《数据安全技术个人信息保护合规审计要求》(**/* **********)等相关标准,提供个人信息处理活动的合规性进行核查与评价咨询服务,以了解数据合规体系。 | ||
** | 重保期间安全防护 | 服务内容:重要会议及节假日期间,将天柱县人民医院(*****://***.*****.**/)接入云防护平台,对接入云防护的网站抵挡 *** 注入、命令注入、跨站脚本、文件包含、信息探测等常见攻击,防止网站因为漏洞导致被篡改,被拖库,被入侵;可精准识别多种自动化扫描和攻击软件,深度解析编码过的、畸形的恶意代码,并阻断其请求,减少**%以上的恶意攻击;可防止黑客上传、访问********(网站后门)等。 | ||
** | 安全巡检 | 服务内容:服务期内开展一次安全巡检服务;采用工具扫描与人工核查相结合的方式,对信息系统开展周期性安全检查。重点核查网络设备、服务器、安全设备、应用系统及数据库的运行状态、账户权限、策略配置、漏洞隐患、日志审计等内容,排查弱口令、高危漏洞、违规外联、配置不合规等安全风险。巡检后形成巡检报告,提出整改建议,对存在的问题进行整改及时消除安全隐患,保障信息系统持续稳定、合规安全运行。 | ||
服务成果:提供安全巡检报告、漏洞扫描报告。形成风险问题清单及整改优先级建议,全面呈现系统安全态势,为后续安全加固与合规整改提供依据。 | ||||
** | 应急响应 | 响应时限:服务期内,当发生网络安全事件时,工作日在**分钟内响应、*小时到达;非工作日在**分钟内响应、*小时到达。 | ||
三、商务要求:
(一)交货期及交货地点
*.服务期:一年。
*.服务地点:采购人指定地点。
(二)验收标准、规范
验收标准、规范:达到国家现行相关行业质量验收合格标准及采购方有关质量技术要求。
四、评分方法:综合评分法。
五、特别说明:本公示内容仅为采购人对本项目的需求公示,具体内容以最终采购文件发售稿为准。
