葫芦岛市中心医院信息系统等级保护测评服务项目竞争性磋商公告

1.项目背景

根据公安部《关于印发lt;信息安全等级保护管理办法gt;的通知》（公通字﹝2007﹞43号）、《关于开展全国重要信息系统安全等级保护定级工作的通知》（公信安﹝2007﹞861号）、《中华人民共和国网络安全法》、《网络安全等级保护条例》等文件要求，我院准备开展本年度院内重要信息系统等级保护测评工作，本项目供应商应按照采购人的要求，依据《信息系统安全等级保护基本要求》等标准及有关规定和要求，对我院重要信息系统开展信息安全等级保护测评工作，测评范围均分为技术、管理两大类十个安全层面，分别是：物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理。

2.服务原则

2.1 公平原则

实施方应遵循“面向应用、保证质量、客观公正、诚信守诺”的原则开展网络安全等级保护测评工作。

2.2 标准性原则

实施方应依据相关国家标准、行业标准开展测评工作。本测评要求所使用的标准和规范如与实施方所执行的标准不一致时，按较高标准执行。

2.3 保密原则

对服务过程中接触到的各种信息，不得泄漏给任何单位和个人，未经允许不得利用这些信息从事与服务无关的活动。

2.4 风险性原则

避免项目实施过程中可能存在的风险，实施方案应建立在成熟稳定的、符合系统业务、技术要求，并需要为整个测评实施过程制定详细的实施策略以及完整的项目管理策略。

2.5规范化原则

目标系统安全测评工作都严格按照标准方法实施管理，并严格遵照国家、行业等有关标准执行。

3.项目要求

3.1网络安全等级保护测评

3.1.1 测评范围

3.1.2 测评指标

3.1.3 测评要求

（1）协助完成上述信息系统安全等级保护备案工作。

（2）对上述信息系统提供前期咨询服务，对系统的当前情况进行静态分析及初步评估。

（3）对相应信息系统不符合信息安全等级保护有关管理规范和技术标准的，提出可行性整改建议。

（4）完成相应信息系统安全等级测评工作，并在采购人有效实施整改后，出具符合公安机关要求的（年度）信息系统安全保护等级测评报告。

4.项目实施要求

（1）供应商不得将项目转包给第三方。

（2）供应商负责完成本项目网络安全等级保护测评工作，在项目实施过程中应完成包含但不限于以下工作：

1）完成测评及测试前期的准备及调研工作；

2）组织完成测评及测试方案的编制；

3）根据标准及用户文档相关要求对系统开展网络安全等级保护测评。

供应商应派遣有经验的技术人员完成相关技术服务工作，应根据项目总体进度，选派各类专业管理人员到现场参与项目实施活动。将服务人员分为高级、中级、初级三种级别。

5.知识产权与保密要求

（1）本项目过程定制开发产生的各种软件代码、技术文档和资料、技术专利的知识产权归采购人所有。

（2）供应商提供和使用的各种软件，均要求具有正式合法合规的软件许可。

（3）未经采购人书面许可，供应商不得以任何形式向第三方透露本项目成果和技术细节。

（4）若出现供应商向非相关厂商提供信息等泄密情况，一经确认，采购人有权将解除其参与本项目的资格，并追究相关法律责任及所造成的损失。

（5）须同采购人签订项目保密协议。