第一章  投标邀请书

1.1 项目概况与招标范围

依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求，对我院信息系统进行等级测评，包括：安全技术测评、安全管理测评等，形成差距分析报告，编制系统安全整改方案，编制和完善安全管理制度等。

1.2 投标人资格要求

1、在中国境内经工商部门登记注册的，具有独立法人资格；

2、投标人必须持有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书；

3、投标人具有良好的商业信誉，近三年在经营活动中无重大违法记录（须提供承诺函，格式不限）；

4、本项目不接受联合体投标，不得转包分包。

5、投标人存在以下不良信用记录情形之一的，不得推荐为中标候选人：

      1）投标人被人民法院列入失信被执行人的。

      2）近三年来（2019年1月1日以来）投标人或其法定代表人或拟派项目经理（项目负责人）有行贿犯罪行为的；

      3）投标人被工商行政管理部门列入严重违法失信企业名单的；

      4）投标人被税务部门列入重大税收违法案件当事人名单的；

1.3投标文件递交截止时间及递交地点：

投标文件递交截止时间为北京时间2022年5月24日17:00，将投标文件按要求一式三份（正本一份，副本二份, 正副本叙述有差异时以正本为准，密封提交）送（递）达天长市人民医院信息中心，逾期不予接收。接收人：周工，电话：0550-7041410

第二章  投标人须知

一、指导思想和基本准则：

根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》（公通字〔2007〕43 号）、《关于信息系统安全等级保护工作的实施意见》（公通字〔2004〕66 号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安〔2007〕861 号）、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》（公信[2009]1429 号）、国家发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071 号），以及安徽省发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]967 号）等文件精神，现拟我院实施等级保护测评，以进一步完善信息系统安全管理体系和技术防护体系，切实提高系统信息安全防护能力，为信息化建设的健康有序发展提供可靠保障。

二、具体服务内容和成果，包括但不限于下列：

1）提供信息系统等保测评服务

测评范围包括但不限于安全技术测评和安全管理测评：

1.安全技术测评。对系统涉及的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术层面进行现场测评和差距分析，记录相关的测评结果。

2.安全管理测评。对天长市人民医院安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理等管理层面进行现场测评和差距分析，记录相关的测评结果。

3.形成差距分析报告。依据测评结果和测评标准，对系统进行安全现状分析，形成相应的差距分析报告，为下阶段开展整改工作提供依据。

4.编制整改建议书。依据测评标准，结合差距分析结果，编制信息系统整改建议书。

5.编制和完善安全管理制度。依据测评标准，对涉及到安全管理差距部分的整改，协助制订和完善各项安全管理制度。

6.协助等级保护整改。根据整改建议书中的建议，协助完成测评整改工作。

整改完成后，再次对信息系统进行复测，以验证整改有效性。

7.形成等级测评结论及测评报告提交。完成测评工作和整改后出具符合公

安机关要求的《等级保护测评报告》并报市公安局网安支队。

2）提供等保测评相关增值服务

包括但不限于下列：

(1)   漏洞扫描服务

(2)   渗透测试服务

(3)   安全巡检服务

(4)   网络安全应急响应服务

(5)   网络边界监测检查服务

(6)   重要时期安全保障服务

(7)   安全问题应急咨询服务

(8)   网络安全应急演练服务

(9)   网络及信息安全类技术培训服务

(10)          新系统上线前安全检测服务

三、工作要求。

（1）实施原则

规范性原则：成交投标人工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；

可控性原则：测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排，保证采购人对服务工作的可控性；

整体性原则：测评和分析的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述)；

保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人网络的行为，否则采购人有权追究责任。

（2）检测方法

2.1 访谈

访谈是指测评人员通过与被测系统有关人员（个人/群体）进行交流、询问

等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测

评过程中，访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。

在安全管理类测评任务中，测评人员依据定制的测评指导书（访谈问题列表）

对相关人员进行访谈，获取与安全管理有关的测评证据用于判断特定的安全管理

措施是否符合国家相关标准以及委托方的实际需求。

在安全功能检查任务中，测评人员依据定制的测评指导书（访谈问题列表）

对相关人员进行访谈，为后续的检查和测试收集必要的系统基本信息并提供参考

数据。

2.2 检查

检查是指测评人员通过对测评对象进行观察、查验、分析等活动，获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中，检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务，以及安全管理类测评任务。

在物理安全测评任务中，测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据（如机房的温湿度情况），用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中，测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据（如相关措施的部署和配置情况，特定设备的端口开放情况等），用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。

在安全管理类测评任务中，测评人员主要采用文档查阅与分析的检查方法来获取测评证据（如制度文件的编制情况），用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。

2.3 测试

测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为，通过

查看、分析这些行为的结果，获取证据以证明信息系统安全保护措施是否有效的

一类方法。在本次测评过程中，测试方法主要应用在手工验证、漏洞扫描等测评

任务中。

在网络安全、主机安全和应用安全等测评任务中，测评人员将综合采用手工

验证和工具测试方法对特定安全技术措施的有效性进行测试，测试结果用于判断

。

目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求，并进一步应用于对目标系统进行安全性整体分析。

四、报价要求

本项目报总价，报价包含完成本项目服务期间所产生的一切费用（含验收费用），成交后采购人不再另行追加任何费用，供应商应自行考虑报价风险。

1.预算金额：玖万元整（90000.00）。

2.最高限价：玖万元整（90000.00）。投标人报价必须不高于该最高限价，否则按无效标处理。

3.合同履行期限：1 年

五、人员配备及要求

中标人拟派的安全服务团队不得少于 4 人。项目经理需满足中级及以上测评师资质。现场测评结束后，提供一年的售后服务，既售后服务期内根据业主需求能及时安排参与现场测评的测评师到达现场协助和指导整改工作。

六、验收标准

    中标供应商应于进场测评，按等保要求，完成规定工作内容，合同签订后3 个月（整改时间不计入内）内出具测评报告；因甲方整改要求，可适当延迟，但最长不超过180个工作日（整改时间不计入内）。

七、付款方式

测评工作完成并出具符合公安机关要求的《等级保护测评报告》后，开具发票接收后，十个工作日内支付。

第三章  项目需求及说明

    本次等级保护测评项目范围为本单位共计1个三级系统。合同签订后 3 个月内（整改时间不计入内）交付所有信息系统测评报告；因甲方整改要求，可适当延迟，但最长不超过180个工作日（整改时间不计入内）。

1、本说明中提出的技术方案仅为参考，如无明确限制，供应商可以进行优化，提供满足用户实际需要的更优（或者性能实质上不低于的）服务方案；

2、中标人必须确保整体通过用户方及有关主管部门验收,所发生的验收费用由中标人承担；投标人应自行勘察项目现场，如投标人因未及时勘察现场而导致的报价缺项漏项废标、或成交后无法完工，投标人自行承担一切损失。

第四章  评标办法

综合评分法

1、磋商小组按照下表对进入综合评分的所有供应商的响应文件进行综合评分。

2、本项目综合评分满分为 100 分，其中：技术资信分值占总分值的权重为90%，价格分值占总分值的权重为 10%。具体评分细则如下：