序號

內(nèi)容

需求清單

1

測評范圍

2

依據(jù)標準

實施方應(yīng)依據(jù)國家等級保護相關(guān)標準開展工作，依據(jù)標準包括但不限于如下國家標準：

《中華人民共和國網(wǎng)絡(luò)安全法》；

《信息安全等級保護管理辦法》（公通字〔2007〕43 號）；

《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）;

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求》（GB/T22239-2019）；

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求》（GB/T25070-2019）；

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求》（GB/T28448-2019）；

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評過程指南》（GB/T28449-2018）；

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南》（GB/T22240-2020）；

《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測試評估技術(shù)指南》（GB/T36627-2018）。

根據(jù)國家最新標準開展測評工作。

3

技術(shù)要求

根據(jù)國家網(wǎng)絡(luò)安全等級保護相關(guān)標準，實施方對衢州市人民醫(yī)院信息系統(tǒng)安全等級保護測評的內(nèi)容包括但不限于以下內(nèi)容：

安全技術(shù)測評：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等五個方面的安全測評；

安全管理測評：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理、安全運維管理等五個方面的安全測評； 

1、等級測評要求

（1)實施方應(yīng)在對本單位系統(tǒng)詳細了解的基礎(chǔ)上，編制針對性的等級保護測評整體實施方案，包括項目概述、等級測評范圍和內(nèi)容、項目實施流程、測試過程中需使用測試設(shè)備清單、時間安排、階段性文檔提交和驗收標準等。

（2）實施方應(yīng)詳細描述測評人員的組成、資質(zhì)及各自職責(zé)的劃分。實施方應(yīng)配置有經(jīng)驗的測評人員進行本次等級測評工作。

（3）本次等級測評實施過程中所使用到的各種工具軟件由實施方推薦，經(jīng)采購方確認后由實施方提供并在測評中使用。在投標文件中應(yīng)詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風(fēng)險等。

（4）對于在測評過程中采用的測評方法、測評所使用的工具、測評所覆蓋的各方面，需要符合信息安全等級保護主管部門要求，包括但不僅僅包括網(wǎng)絡(luò)隱患檢測工具、數(shù)據(jù)庫漏洞檢測工具、應(yīng)用安全檢測工具、網(wǎng)站安全檢測工具等。

（5）交完整的技術(shù)文檔、測評報告、整改建議等。

2、項目實施要求

（1）實施方應(yīng)保證投標項目在采購方條件成熟時立即開展實施；

（2）實施方在項目實施過程中應(yīng)服從采購方的統(tǒng)一領(lǐng)導(dǎo)和協(xié)調(diào)，采購方有權(quán)裁決實施方的責(zé)任范圍，實施方必須執(zhí)行，在采購方限定的時間內(nèi)解決問題。如果實施方不能按時完成測評內(nèi)容，采購方有權(quán)中止項目、索賠或拒付款項；

（3）實施方需根據(jù)自己的工程實施經(jīng)驗結(jié)合采購方的實際需求進一步細化和完善工作任務(wù)書，作為工程實施的指導(dǎo)性文件；

（4）實施方應(yīng)根據(jù)采購方工作需求、進度要求、實際情況制定詳細的項目實施管理規(guī)范和項目實施計劃，對工程目標、工作任務(wù)、階段性工作、項目組織機構(gòu)、職責(zé)分工、項目進度、質(zhì)量控制等內(nèi)容進行詳細的說明，以確保工程實施按時保質(zhì)的完成；

（5）本次項目實施骨干人員至少包含1名高級測評師（提供證書復(fù)印件）；本項目負責(zé)人必須具有5年以上的測評工作經(jīng)驗，并參與過具有大型復(fù)雜測評項目的實施經(jīng)驗；承擔(dān)本次項目的項目經(jīng)理必須同時具有高級測評師證書、Oracle數(shù)據(jù)庫認證專家證書（OCP）、網(wǎng)絡(luò)工程師中級證書、CISO(注冊信息安全管理人員)（提供證書復(fù)印件），確保項目的順利實施；

（6）測評人員駐場人員需求：具有網(wǎng)絡(luò)安全檢測或安全服務(wù)相關(guān)的工作經(jīng)驗，具有較強的溝通協(xié)調(diào)能力，組長具有中級測評師、注冊網(wǎng)絡(luò)安全滲透評估專業(yè)人員證書、信創(chuàng)管理規(guī)劃師（高級）證書相關(guān)證書，協(xié)調(diào)開展信息系統(tǒng)的分析梳理、定級備案、等保測評及協(xié)助落實技術(shù)整改等工作；

時間需求：該人員需從項目進場測評開始，直至我院通過網(wǎng)安部門獲取備案證明后，方可離場，在此期間除非工作日外，其他時間均需要在我院駐場提供現(xiàn)場支撐。（需提供人員資質(zhì)掃描件、公司人員參保證明）；

(7)項目驗收完成后，要求提供為期一年的安全咨詢服務(wù)，以保證項目正常運行。

4

測評報告要求

實施方應(yīng)對采購人的各個信息系統(tǒng)進行等級保護測評，形成相應(yīng)的報告。

(1) 實施方在測評完成后，出具符合信息安全等級保護主管部門要求的信息系統(tǒng)安全等級保護測評報告；

(2)對不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的，實施方出具可行的信息系統(tǒng)整改建議，并指導(dǎo)用戶方完成整改；

 (3)實施方協(xié)助用戶方辦理信息系統(tǒng)安全等級保護備案手續(xù)等相關(guān)工作。

交貨期限

30天

服務(wù)期限

1年