北京-2026-06-22 00:00:00
****年北京天坛医院等保测评服务*招标公告
招标公告
一、项目基本情况
*.项目编号:*********
*.项目名称:****年北京天坛医院等保测评服务
*.项目预算金额:**.**万元
*.采购需求:
| 包号 |
标的名称 |
采购包最高限价 |
数量 |
简要服务要求 |
| ** |
等保测评服务 |
**.** 万元 |
*项 |
确定北京天坛医院信息系统的定级范围,组织专家对系统的定级情况进行评审,按照等级保护规定编制新版定级报告及备案表,协助北京天坛医院完成系统线上及线下备案修改工作, 若有重大变更需重新获得系统的备案证明 |
*.合同履行期限:测评周期不超过***个日历日。
*.本项目是否接受联合体投标:□是 ■否。
二、申请人的资格要求(须同时满足)
*.满足《中华人民共和国政府采购法》第二十二条规定;
*.* 中小企业政策
■本项目不专门面向中小企业预留采购份额。
□本项目专门面向中小微企业采购。即:提供的服务全部由符合政策要求的中小/小微企业承接。
□本项目预留部分采购项目预算专门面向中小企业采购。对于预留份额,提供的货物由符合政策要求的中小企业制造、服务由符合政策要求的中小企业承接。预留份额通过以下措施进行:***/****。
*.* 其它落实政府采购政策的资格要求(如有):***/**。
*.本项目的特定资格要求:
*.*本项目是否属于政府购买服务:
■否
□是,公益一类事业单位、使用事业编制且由财政拨款保障的群团组织,不得作为承接主体;
*.*其他特定资格要求:**/**。
三、获取招标文件
*.时间:****年*月**日至****年*月**日,每天上午*:**至**:**,下午*:**至*:**(北京时间,法定节假日除外)。
*.地点:****://***.********.***.**
*.方式:本项目支持网上发售、下载电子版招标文件。
*.售价:***.**元。
四、提交投标文件截止时间、开标时间和地点
投标截止时间、开标时间:****年*月**日**点**分(北京时间)。
地点:中关村资本大厦(北京市海淀区学院南路**号)六层会议室。
五、公告期限
自本公告发布之日起*个工作日。
六、其他补充事宜
*.本项目需要落实的政府采购政策:
*.*中小企业、监狱企业及残疾人福利性单位;
*.*政府采购节能产品、环境标志产品;
*.* 《国务院办公厅关于在政府采购中实施本国产品标准及相关政策的通知》(国办发〔****〕**号)及相关规定。
七、对本次招标提出询问,请按以下方式联系。
*.采购人信息
地 址:北京市丰台区南四环西路***号
联系方式:************刘聃
*.采购代理机构信息
地 址:北京市海淀区学院南路**号院*号楼*层(*******室)、*层(*******室)
联系方式:************
*.项目联系方式
项目联系人:曹武宁、卢燕、梅建伟、王昀炜、任伟
电 话:************
电子 邮箱:*****@*******.***.**
采购需求
一、 采购标的
- 采购标的(货物需求一览表或简要服务内容及数量)
| 包号 |
标的名称 |
采购包最高限价 |
数量 |
简要服务要求 |
| ** |
等保测评服务 |
**.**万元 |
*项 |
确定北京天坛医院信息系统的定级范围,组织专家对系统的定级情况进行评审,按照等级保护规定编制新版定级报告及备案表,协助北京天坛医院完成系统线上及线下备案修改工作, 若有重大变更需重新获得系统的备案证明 |
- 项目背景/项目概述(如有)
确定北京天坛医院信息系统的定级范围,组织专家对系统的定级情况进行评审,按照等级保护规定编制新版定级报告及备案表,协助北京天坛医院完成系统线上及线下备案修改工作, 若有重大变更需重新获得系统的备案证明。
二、 商务要求
*. 交付(实施)的时间(期限)和地点(范围)
实施时间:测评周期不超过***个日历日。
实施地点:采购人指定地点
*. 付款条件(进度和方式):按合同约定执行
*. 包装和运输(如适用,须满足《关于印发〈商品包装政府采购需求标准(试行)〉、〈快递包装政府采购需求标准(试行)〉的通知》(财办库﹝****﹞***号))
*. 售后服务(质保期):
*. 保险(如适用):详见合同条款
三、 技术要求
*. 基本要求
*.* 采购标的需实现的功能或者目标
本次招标为****年北京天坛医院等保测评服务选择供应商,投标人应根据招标文件所提出的采购需求,制定具体服务方案,确保质量符合要求,以优良的服务和优惠的价格,充分显示自己的竞争实力
*.* 需执行的国家相关标准、行业标准、地方标准或者其他标准、规范:符合已颁布的现行中华人民共和国认可的国家标准、地方标准和行业标准。
*.*. 为落实政府采购政策需满足的要求:
*.*.* 中小企业、监狱企业及残疾人福利性单位。
(二)采购标的需满足的服务标准、效率要求:详见(五)服务内容及要求
(三)验收标准:(五)服务内容及要求
(四)采购标的的其他技术、服务等要求:
*、投标人在响应采购需求时,应就“采购需求”进行逐条响应,并注明响内容或证明材料查询页码。如投标人未就“服务内容和要求”进行逐条响应或未提供的证明材料或提供的技术支持资料与所投项目不一致或不能体现招标文件的技术要求的,评标委员会可不予承认,并可认为该应答不符合招标文件要求。由此产生的评标风险,由投标人自行承担。
*、对于需求要求中标注“★”“▲”号或“#”号(如有)的参数,如需要提供支持资料,请在应答采购需求偏离表时具体到支持资料页码及条目号。
(五)服务内容及要求
- 技术服务内容
- 定级备案咨询服务
(*)服务目标
按照国家标准**/* **********《信息安全技术 网络安全等级保护定级指南》,根据北京天坛医院要求完成院内七个等级保护信息系统(包括但不限于现有**个子系统以及后续上线的信息系统)的定级与备案修改工作。
(*)服务内容
确定北京天坛医院信息系统的定级范围,组织专家对系统的定级情况进行评审,按照等级保护规定编制新版定级报告及备案表,协助北京天坛医院完成系统线上及线下备案修改工作, 若有重大变更需重新获得系统的备案证明。
*.*. 等级保护测评辅助服务
*.*.*. 等级保护预测评咨询服务
(*)服务目标
等级保护预测评咨询服务的主要目标是分析北京天坛医院三个等级保护三级系统,两个等级保护二级系统(以下简称“五个等级保护系统”)的安全现状,基于**/* **********《信息安全技术 网络安全等级保护基本要求》、**/* **********《信息安全技术 网络安全等级保护安全设计技术要求》、**/* **********《信息安全技术 网络安全等级保护测评要求》、**/* **********《信息安全技术 信息安全风险评估方法》等国家标准,识别并评估五个等级保护系统所面临的差异性安全风险,提出对应的风险控制措施。
(*)服务内容
具体工作内容包括:
*)安全现状分析
通过访谈调研、漏洞扫描及渗透测试了解医院五个等级保护系统的安全现状,针对收集到的信息进行综合分析,并将安全现状与标准中的安全控制措施进行差距分析。
*.*)访谈调研的主要内容
调研**组织情况;
调研信息系统基础设施基本情况;
调研安全管理措施及弱点;
调研物理安全控制措施及弱点;
调研网络架构安全控制措施及弱点;
调研网络设备安全控制措施及弱点;
调研操作系统安全控制措施及弱点;
调研系统软件安全控制措施及弱点;
调研数据库系统安全控制措施及弱点;
调研应用系统安全控制措施及弱点。
*.*)漏洞扫描
通过手工检查及工具扫描,检查五个等级保护系统涉及的各种网络设备、安全设备、操作系统、系统软件、数据库、应用系统、中间件等安全控制及弱点情况。
*)风险分析
基于**/* **********《信息安全技术 网络安全等级保护基本要求》、**/* **********《信息安全技术 网络安全等级保护安全设计技术要求》、**/* **********《信息安全技术 网络安全等级保护测评要求》、**/* **********《信息安全技术 信息安全风险评估方法》等国家标准,对五个等级保护系统现状分析阶段所识别的威胁及弱点进行安全风险差异性评估,形成安全风险分析及合规差异性评估报告。
*.*.*. 安全整改咨询服务
基于五个等级保护系统安全风险分析及合规差异性评估报告、漏洞扫描报告、安全性测试报告,为北京天坛医院提供安全整改咨询服务,确定各类风险处置方式选择安全控制措施,制定风险处置计划。
(*)确定风险处置方式
确定风险接受准则,并依据准则选择风险处置方式,对于确定为控制的风险,选择具体安全控制措施。
(*)制定风险处置计划
对确定为控制的风险,制定相应的风险处置计划,包括任务、人员、时间安排。
*.*. 等级保护测评服务
配合北京天坛医院完成由第三方等级保护测评机构实施的五个等级保护系统的等级测评工作,委托具有国家网络安全等级测评资质的第三方测评机构进行等保测评,中标人配合采购人完成等保测评工作,并代采购人向第三方测评机构支付测评款(该款应含在本次投标总价中),并获得由第三方等级保护测评机构出具的符合等级保护测评要求的测评报告。
★等级保护测评机构需具有由公安部第三研究所签发的《网络安全服务认证证书等级保护测评服务认证》。
(*)服务内容
中标人配合采购人以及第三方测评机构完成等保测评工作,第三方测评机构实施的等保测评工作涉及以下事项:
基于**/* **********《信息安全技术 网络安全等级保护基本要求》、**/* **********《信息安全技术 网络安全等级保护测评要求》等国家标准,完成安全技术和安全管理测评。
*)安全技术测评
完成包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的安全测评。
*)安全管理测评
完成包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。
在等级保护测评过程中,中标人应配合北京天坛医院完成相关等保测评工作,并确保北京天坛医院五个信息系统分别通过对应等级的测评。
*.*. 安全性测试服务
针对北京天坛医院五个等级保护系统(包括但不限于其中的子系统、管理后台、***、小程序等)中的重要模块及系统,从输入验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等几个方面,通过自动化工具及人工的形式,在本项目服务周期内完成一次安全测试服务,形成安全测试报告,并基于测试报告提供整改咨询服务。
通过手工检查及工具扫描,检查现有信息系统的安全管理及涉及的各种网络设备、安全设备、操作系统、系统软件、数据库、应用系统、中间件等安全控制及弱点情况,在本项目服务周期内完成一次漏洞扫描,形成漏洞扫描报告,并基于报告提供整改咨询及复测服务。
*.*. 小程序/***安全检测
基于《**∕* ********** 信息安全技术 移动智能终端个人信息保护技术要求》、《**∕* ********** 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》和《*** ****.****** 信息安全技术 网络安全等级保护基本要求 第*部分:移动互联安全扩展要求》等移动端应用安全要求,从源文件安全、数据存储风险、内部数据交互风险、通信传输风险、身份认证风险、组件风险、*****风险、安全防护能力、内容风险等几个方面,通过自动化工具及人工的形式,在本项目周期内完成北京天坛医院现有的*个小程序/***的安全检测,形成检测报告,并基于检测报告提供优化建议。
*.*. 网站评级认证
针对医院网站系统,协助北京天坛医院通过由公安部计算机信息系统安全产品质量监督检测中心、公安部第三研究所、国家网络与信息系统安全产品质量监督检验中心联合推出的网站安全分级认证。上述三家机构通过与相关安全规范标准和体系进行对比和认证后,由公安部第三研究所为官方网站系统发放相应安全等级的电子认证标识来完成网站级别验证,并将电子认证标识悬挂于网站的醒目位置,以构建官方网站的安全信用并公示相关的安全信用信息。
*.*. 网络安全方案咨询与评审服务
针对北京天坛医院的网络安全现状以及后续建设计划,完成****年度北京天坛医院网络安全整体方案与规划设计,形成年度网络安全建设方案,并组织专家进行评审。
*.*. 互联网暴露面分析
针对北京天坛医院互联网侧资产进行梳理,发现其中存在的未知资产以及安全风险,在风险应用披露后,协助北京天坛医院掌握其影响范围、影响目标、影响周期,并完成风险整改,以免被非法人员渗透利用。
针对医院网站系统,对网站访问、端口访问、敏感词、恶意链接、死链、疑似篡改行为、关键词、***劫持等内容,服务期内开展****小时安全监测,做到事故重现、精准定位、预警前置,切实提高北京天坛医院官方网站系统应急响应速度和安全防护能力。
*.*. 网络安全意识提升培训
结合北京天坛医院网络安全实际情况及现阶段医疗行业发生的网络安全事件,进行一次全院范围的网络安全意识提升培训。以网络安全培训及考试相结合的方式,使每名员工都能够增强网络安全意识,让信息安全管理意识、个人信息保护深入到每个医护人员的心中。
- 项目交付物
| 项目阶段 |
文档交付物 |
||
| 定级备案咨询服务 |
院内现有等级保护系统 《等级保护系统定级报告》 《等级保护系统备案表》 《等级保护系统备案证明》 以及过程中产出的其他辅助材料 |
||
| 等级保护测评辅助服务 |
等级保护预测评咨询服务 |
《等级保护测评咨询方案》 *个《等级保护系统信息系统风险分析及合规差异性评估报告》 |
|
| 安全整改咨询服务 |
《风险分析及合规差异性整改建议报告》 |
||
| 等级保护测评服务 |
*个等级保护三级系统《信息系统等级保护测评报告》 *个等级保护二级系统《信息系统等级保护测评报告》 (由第三方测评机构出具,中标人代为交付做为本项目交付物) |
||
|
|
|||
| 安全性测试服务 |
*个等级保护系统《安全性测试报告》及《漏洞扫描报告》 |
|
|
| 小程序/***安全检测 |
*个《***/小程序安全检测报告及优化建议》 |
|
|
| 网站评级认证 |
官网系统获得电子认证标识,并悬挂于网站的醒目位置。 |
|
|
| 网络安全方案咨询与评审服务 |
《北京天坛医院年度网络安全整体方案与规划设计》 |
|
|
| 互联网暴露面分析 |
《互联网暴露面分析报告》 《官方网站系统网络安全监测月度服务报告》 |
|
|
| 网络安全意识提升培训 |
《网络安全意识提升培训课件》 《网络安全意识提升培训记录》 |
|
|
- 服务方式
★在项目服务过程中,中标人咨询顾问需以现场形式完成所有服务项目,服务周期不少于**个日历日,累计工作量不少于***人天,定期输出项目服务周报/月报,取得采购人认可并签字。(需提供承诺函并加盖投标人单位公章)
- 对投标人的其他技术要求
投标人应具有完成本项目的技术力量、财务能力,并且信誉良好。
参与人员不少于*人,其中高级安全专家*人、项目经理*人、安全咨询顾问*人、安全测试工程师*人。
项目经理须具有由人力资源和社会保障部颁发的信息系统项目管理师证书;以及*年以上信息安全行业经验。
★安全专家及安全咨询工程师需具有****或*****证书,并具有*年以上网络安全咨询服务项目经验。(需提供相关证明材料并加盖投标人单位公章)
★第三方等级保护测评机构参与人员不少于*名等级保护测评师(提供国家认可的等级保护测评师证书并加盖投标人单位公章),且等级保护测评师应具有等级保护测评师认证证书,并具有*年以上等级保护测评经验。
