服务

信息系统安全等级保护测评服务（第三级HIS系统）

1

序号

名称

详细技术及配置要求，实质性要求，必须满足的条款标注▲

数量

单位

1

信息系统安全等级保护测评服务（第三级HIS系统）

1、▲总体要求

依据《网络安全等级保护基本要求》（GB/T 22239-2019）对桂林市妇女儿童医院HIS系统开展网络安全等级保护测评工作，并出具网络安全等级保护测评报告。

2、标准依据

《计算机信息系统安全保护等级划分准则》（GB 17859-1999)

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018)

《信息安全技术 网络安全等级保护设计技术要求》（GB/T 25070-2019）

《网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

3、▲测评内容

（1）安全通用要求

安全通用要求测评内容应包括安全技术和安全管理两大类，其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。

（2）安全扩展要求

根据现场情况，保护对象可能涉及的安全扩展要求包括：

1）云计算

云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。

2）移动互联

移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。

3）物联网

物联网安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全运维管理等的测评。

4）工业控制系统

工业控制系统安全测评包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理方面的测评。

5)大数据

大数据安全测评包括对安全物理环境、安全通信网络、安全计算环境、安全运维管理等的测评。

4、▲测评方法

在测评实施过程中，应采用访谈、检查、测试和渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。

访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程；

检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程；

测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程；

渗透测试是指模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。

5、▲服务成果

测评完成后，出具符合《信息安全技术-网络安全等级保护基本要求》（GB/T 22239-2019）相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的网络安全等级保护测评报告。

四、测评服务资质

1、测评机构必须具备公安部第三研究所认证颁发的《网络安全等级测评与检测评估机构服务认证证书》。

2、投入本项目的测评人员必须具有公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的《信息/网络安全等级测评师证书》，项目组成人员至少五人，其中包括四名测评师（分别为一名高级测评师、一名中级测评师和两名初级测评师）和一名质量监督人员。

3、测评机构如在南宁市设有常驻的机构提供本地化服务，请提供相关证明文件。

4、投标人必须针对本项目提供技术、实施和售后服务方案。

5、▲投入本次测评项目负责人必须具有公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的《信息/网络安全等级中级测评师证书》或《信息/网络安全等级高级测评师证书》，再此基础上，还需具有合格的商用密码应用安全性评估人员测评能力考核证书,请提供证书复印件。

6、测评机构如具备ISO20000信息技术服务管理体系认证证书，请提供证书复印件

7、投标人在中标后必须签署相关保密协议，严格遵守协议要求。

1项

2

HIS系统

网络安全等级保护差距整改服务

一、差距整改服务

1、安全评估服务

包含系统详细调研、评估工作方案、识别关键信息资产、实施物理安全评估、实施网络安全评估、实施主机安全评估、实施应用安全评估、实施数据安全评估、实施管理机构评估、实施管理制度评估、实施管理人员评估、实施系统建设管理评估、实施系统运维管理评估、生成并确认评估报告。

2、差距分析服务

包含依照系统准备差距分析表、安全管理差距分析（通过文档、访谈和测试等方式）、安全技术差距分析（通过文档、访谈等方式）、生成等级保护差距分析报告。

3、安全规划服务

包含安全需求分析 、安全建设与改建方案的制定、制作原信息系统产品加固方案、测评不符合及部分符合项整改建议、制作新的网络拓扑图、制作安全需求分析报告、编制并确认整体信息系统整改方案。

4、整改咨询服务

依据等级保护相关技术标准，协助采购方完成需测评信息系统的安全整改咨询服务，完善信息系统安全防护措施，以期使各信息系统达到等级保护基本符合的要求。

5、安全咨询服务

由安全服务商提供的电话、邮件、面谈等方式提供各类信息系统安全咨询和建议服务。

二、差距整改服务资质要求

1、因等保差距整改会涉及到采购人的整个数据中心ICT基础设施的各项子系统，包含有存储、网络、数据库、虚拟化、网络安全设备等，投标人提供的差距整改服务团队应不少于五名工程师，至少1名工程师应具备华为存储认证专家HCIE证书，至少1名工程师应具备VMware数据中心虚拟化专家证书（VCP），至少1名工程师应具备Oracle   12c数据库专家证书（12c OCP），至少1名工程师应具备华为认证资深数通工程师证书（HCIP），至少2名工程师应具备中国信息安全测评中心颁发的 《注册信息安全专业人员》   证书（本条目描述的持证工程师，投标人应提供近期3个月社保证明）。

1项

二、商务要求

（一）售后服务要求

1.测评服务期要求：自服务合同签订之日起一年内。

2.服务期内要求：在测评过程中若产品发生技术问题或者故障，在接到采购人通知后30分钟内响应，2小时内到达故障现场处理，一般故障处理时限不超过4小时修复。

（二）服务交付期及地点

1.服务交付期：自签订合同之日起60个工作日内交货并安装调试合格交付使用。

2.交货地点：广西桂林市招标人指定地点。

（三）付款方式

合同签订后首付合同价款的50%；测评合格后支付合同余款的50%，于三个月内付清（自测评合格之日算起）。

（四）验收要求

1.中标人提供的产品必须符合国家、行业的相关质量标准要求。

2.施工完成后，招标人现场根据招标文件要求、投标文件承诺以及国家相关标准、厂方标准进行验收，必要时，招标人有权邀请国家质量监督检验部门或国家认可的检测机构参与共同验收。如产品不满足招标文件要求、中标人投标承诺或国家、行业强制执行的相关质量标准要求以及产品制造厂家合格产品的出厂质量标准，招标人有权终止合同执行并全部退货，由此造成招标人的经济损失由中标人承担全部赔偿责任。

三、其他要求

1.报价供应商根据本项目采购需求及自身情况，可于报价文件中提供相应的售后服务方案，包含但不限于：①故障出现解决方案；②免费技术培训方案；③免费保修期外维修方案；④其它优惠方案等。

注：

1.本项目“采购需求”中标注“▲”条款以及采购需求中要求“必须提供”的条款均为实质性要求，若有一项负偏离，按响应无效处理。

2.本项目“技术需求”中未标注“▲”条款发生负偏离条款≥6项的，按响应无效处理。

报价（即合计金额）大写：                       元人民币（￥               ）

说明：供应商报价应包括本次采购范围内货物价款、货物随配标准附件、包装、运输、装卸、保险、税金、货到位以及安装、安装所需辅材、调试、检验、售后服务、培训、保修、验收及其他所有成本费用的总和，供应商应综合考虑在报价中。

（一）售后服务要求

（二）交货期及地点

（三）付款方式

（四）验收要求