中醫(yī)藥大學(xué)附屬第二醫(yī)院2023年度醫(yī)院信息安全等級保護(hù)測評項(xiàng)目招標(biāo)文件

公開招標(biāo)采購文件

項(xiàng)目名稱：2023年度醫(yī)院信息安全等級保護(hù)

測評項(xiàng)目

目錄

第一章招標(biāo)公告.................................................3

供應(yīng)商須知前附表.................................................5

第二章采購內(nèi)容及需求...........................................10

第三章供應(yīng)商須知..............................................22

第四章評標(biāo)辦法................................................35

第五章采購合同................................................42

第六章投標(biāo)文件格式............................................42

2

第一章招標(biāo)公告

項(xiàng)目概況

浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院2023年度醫(yī)院信息安全等級保護(hù)測評項(xiàng)目招標(biāo)項(xiàng)目的潛

在投標(biāo)人應(yīng)在浙江政府采購網(wǎng)（獲?。ㄏ螺d）招標(biāo)文件，并于2023年7月18日14:00（北

京時(shí)間）前遞交（上傳）投標(biāo)文件。

一、項(xiàng)目基本情況

項(xiàng)目編號：ZJ-2331697

項(xiàng)目名稱：浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院2023年度醫(yī)院信息安全等級保護(hù)測評項(xiàng)目

預(yù)算金額（元）：150000

最高限價(jià)（元）：150000

采購需求：

標(biāo)項(xiàng)一：

標(biāo)項(xiàng)名稱：2023年度醫(yī)院信息安全等級保護(hù)測評項(xiàng)目

數(shù)量：1項(xiàng)

預(yù)算金額（元）：150000

簡要規(guī)格描述或項(xiàng)目基本概況介紹、用途：為貫徹落實(shí)國家信息安全等級保護(hù)制度，進(jìn)

一步完善浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院信息系統(tǒng)安全管理體系和技術(shù)防護(hù)體系，增強(qiáng)信息安

全保護(hù)意識(shí)，明確信息安全保障重點(diǎn)，落實(shí)信息安全責(zé)任,切實(shí)提高浙江中醫(yī)藥大學(xué)附屬第二

醫(yī)院系統(tǒng)信息安全防護(hù)能力，同時(shí)加強(qiáng)對浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院信息系統(tǒng)安全的指導(dǎo)

和檢查工作，特?cái)M請獨(dú)立、專業(yè)的第三方測評機(jī)構(gòu)對浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院信息系統(tǒng)

進(jìn)行等級保護(hù)測評服務(wù)。具體要求詳見采購文件。

備注：

合同履約期限：標(biāo)項(xiàng)1,按采購文件要求

本項(xiàng)目（是）接受聯(lián)合體投標(biāo)。

二、申請人的資格要求：

1.滿足《中華人民共和國政府采購法》第二十二條規(guī)定；未被“信用中國”

（）、中國政府采購網(wǎng)（）列入失信被執(zhí)行人、重大稅

3

收違法案件當(dāng)事人名單、政府采購嚴(yán)重違法失信行為記錄名單。

2.落實(shí)政府采購政策需滿足的資格要求：本項(xiàng)目專門面向中小企業(yè)采購，所投服務(wù)由中

小企業(yè)承接（監(jiān)獄企業(yè)及殘疾人福利性單位視同小型、微型企業(yè)）。

3.本項(xiàng)目的特定資格要求：無

三、獲取招標(biāo)文件

時(shí)間：/至2023年7月18日，每天上午00：00至12：00,下午12：00至23：59（北

京時(shí)間，線上獲取法定節(jié)假日均可，線下獲取文件法定節(jié)假日除外）

地點(diǎn)（網(wǎng)址）：政府采購云平臺(tái)（）

方式：供應(yīng)商登錄政采云平臺(tái)在線申請獲取采購文件（進(jìn)入“項(xiàng)目采購”應(yīng)用，在獲取采

購文件菜單中選擇項(xiàng)目，申請獲取采購文件）

售價(jià)（元）：0

四、提交投標(biāo)文件截止時(shí)間、開標(biāo)時(shí)間和地點(diǎn)

提交投標(biāo)文件截止時(shí)間：2023年7月18日14:00（北京時(shí)間）

投標(biāo)地點(diǎn)（網(wǎng)址）：線上（政府采購云平臺(tái)（））

開標(biāo)時(shí)間：2023年7月18EI14:00

開標(biāo)地點(diǎn)（網(wǎng)址）：線上（政府采購云平臺(tái)（））

五、公告期限

自本公告發(fā)布之日起5個(gè)工作日。

六、其他補(bǔ)充事宜

1.《浙江省財(cái)政廳關(guān)于進(jìn)一步發(fā)揮政府采購政策功能全力推動(dòng)經(jīng)濟(jì)穩(wěn)進(jìn)提質(zhì)的通知》（浙

財(cái)采監(jiān)（2022）3號）、《浙江省財(cái)政廳關(guān)于進(jìn)一步促進(jìn)政府采購公平競爭打造最優(yōu)營商環(huán)境

的通知》（浙財(cái)采監(jiān)（2021）22號））、《浙江省財(cái)政廳關(guān)于進(jìn)一步加大政府采購支持中小企業(yè)

力度助力扎實(shí)穩(wěn)住經(jīng)濟(jì)的通知》（浙財(cái)采監(jiān)（2022）8號）已分別于2022年1月29日、2022

年2月1日和2022年7月1日開始實(shí)施，此前有關(guān)規(guī)定與上述文件內(nèi)容不一致的，按上述文

件要求執(zhí)行。

2.根據(jù)《浙江省財(cái)政廳關(guān)于進(jìn)一步促進(jìn)政府采購公平競爭打造最優(yōu)營商環(huán)境的通知》（浙

財(cái)采監(jiān)（2021）22號）文件關(guān)于“健全行政裁決機(jī)制”要求，鼓勵(lì)供應(yīng)商在線提起詢問，路

徑為：政采云-項(xiàng)目采購-詢問質(zhì)疑投訴-詢問列表:鼓勵(lì)供應(yīng)商在線提起質(zhì)疑，路徑為：政采云

-項(xiàng)目采購-詢問質(zhì)疑投訴-質(zhì)疑列表。質(zhì)疑供應(yīng)商對在線質(zhì)疑答復(fù)不滿意的，可在線提起投訴,

4

路徑為：浙江政府服務(wù)網(wǎng)-政府采購?fù)对V處理-在線辦理。

3.供應(yīng)商認(rèn)為采購文件使自己的權(quán)益受到損害的，可以自獲取采購文件之日或者采購公

告期限屆滿之日（公告期限屆滿后獲取采購文件的，以公告期限屆滿之日為準(zhǔn)）起7個(gè)工作

日內(nèi)，對采購文件需求的以書面形式向采購人提出質(zhì)疑，對其他內(nèi)容的以書面形式向采購人

和采購代理機(jī)構(gòu)提出質(zhì)疑。質(zhì)疑供應(yīng)商對采購人、采購代理機(jī)構(gòu)的答復(fù)不滿意或者采購人、

采購代理機(jī)構(gòu)未在規(guī)定的時(shí)間內(nèi)作出答復(fù)的，可以在答復(fù)期滿后十五個(gè)工作日內(nèi)向同級政府

采購監(jiān)督管理部門投訴。質(zhì)疑函范本、投訴書范本請到浙江政府采購網(wǎng)下載專區(qū)下載。

4.其他事項(xiàng)：（1）采購項(xiàng)目需要落實(shí)的政府采購政策：《政府采購促進(jìn)中小企業(yè)發(fā)展管

理辦法》（財(cái)庫（2020）46號）、《關(guān)于促進(jìn)殘疾人就業(yè)政府采購政策的通知》（財(cái)庫（2017）

141號）、《關(guān)于政府采購支持監(jiān)獄企業(yè)發(fā)展有關(guān)問題的通知》（財(cái)庫[2014]68號）、《關(guān)于調(diào)整

優(yōu)化節(jié)能產(chǎn)品環(huán)境標(biāo)志產(chǎn)品政府采購執(zhí)行機(jī)制的通知》（財(cái)庫[2019]9號）。

（2）根據(jù)《浙江省財(cái)政廳關(guān)于規(guī)范政府采購供應(yīng)商資格設(shè)定及資格審查的通知》（浙財(cái)采監(jiān)

[2013]24號）第6條規(guī)定接受金融、保險(xiǎn)、通訊等特定行業(yè)的全國性企業(yè)所設(shè)立的區(qū)域性分

支機(jī)構(gòu)，以及個(gè)體工商戶、個(gè)人獨(dú)資企業(yè)、合伙企業(yè)，且己經(jīng)依法辦理了工商、稅務(wù)和社保

登記手續(xù)，并且獲得總機(jī)構(gòu)授權(quán)或能夠提供房產(chǎn)權(quán)證或其他有效財(cái)產(chǎn)證明材料?，證明其具備

實(shí)際承擔(dān)責(zé)任的能力和法定的締結(jié)合同能力；

（3）單位負(fù)責(zé)人為同一人或者存在直接控股、管理關(guān)系的不同供應(yīng)商，不得同時(shí)參加同一合

同項(xiàng)下的投標(biāo)。

（4）為項(xiàng)目提供整體設(shè)計(jì)、規(guī)范編制或者項(xiàng)目管理、監(jiān)理、檢測等服務(wù)的供應(yīng)商，不得參加

該項(xiàng)目的投標(biāo)；

（5）供應(yīng)商網(wǎng)上報(bào)名時(shí)需提供項(xiàng)目負(fù)責(zé)人聯(lián)系方式，以便及時(shí)聯(lián)系。

（6）本項(xiàng)目采購文件公告期限為本公告發(fā)布之日起5個(gè)工作日。

七、對本次采購提出詢問、質(zhì)疑、投訴，請按以下方式聯(lián)系

供應(yīng)商須知前附表

序號項(xiàng)目內(nèi)容

1采購人

5

序號項(xiàng)目內(nèi)容

2采購代理機(jī)構(gòu)

3項(xiàng)目名稱2023年度醫(yī)院信息安全等級保護(hù)測評項(xiàng)目

4項(xiàng)目編號ZJ-2331697

5采購方式公開招標(biāo)

6資金來源已落實(shí)

資格后審。

7資格審查方式開標(biāo)結(jié)束后，采購人或者采購代理機(jī)構(gòu)依法對供應(yīng)商的資格進(jìn)

行審查。資格審核不合格的供應(yīng)商，對其投標(biāo)做無效投標(biāo)處理。

(1)嚴(yán)格執(zhí)行《財(cái)政部發(fā)展改革委生態(tài)環(huán)境部市場監(jiān)管總

局關(guān)于調(diào)整優(yōu)化節(jié)能產(chǎn)品、環(huán)境標(biāo)志產(chǎn)品政府采購執(zhí)行機(jī)制的

通知》(財(cái)庫(2019)9號)。

(2)采購人擬采購的產(chǎn)品屬于品目清單范圍的，采購人及其委

托的采購代理機(jī)構(gòu)將依據(jù)國家確定的認(rèn)證機(jī)構(gòu)出具的、處于有

效期之內(nèi)的節(jié)能產(chǎn)品、環(huán)境標(biāo)志產(chǎn)品認(rèn)證證書，對獲得證書的

產(chǎn)品實(shí)施政府優(yōu)先采購或強(qiáng)制采購。供應(yīng)商須按采購文件要求

環(huán)境標(biāo)志產(chǎn)品

8提供相關(guān)產(chǎn)品認(rèn)證證書。

節(jié)能產(chǎn)品

▲(3)采購人擬采購的產(chǎn)品屬于政府強(qiáng)制采購的節(jié)能產(chǎn)品品目

清單范圍的，供應(yīng)商未按采購文件要求提供國家確定的認(rèn)證機(jī)

構(gòu)出具的、處于有效期之內(nèi)的節(jié)能產(chǎn)品認(rèn)證證書，投標(biāo)無效。

屬于政府優(yōu)先采購產(chǎn)品類別的，須按照要求提供依據(jù)國家確定

的認(rèn)證機(jī)構(gòu)出具的、處于有效期之內(nèi)的節(jié)能產(chǎn)品或環(huán)境標(biāo)志產(chǎn)

品認(rèn)證證書，否則不予認(rèn)定。

口適用日不適用

9投標(biāo)產(chǎn)品主體本項(xiàng)目核心產(chǎn)品為：(不適用)

10投標(biāo)保證金口適用囹不適用

11投標(biāo)有效期投標(biāo)截止日后90天內(nèi)有效，不足有效期的，其投標(biāo)視為無效標(biāo)。

12踏勘現(xiàn)場供應(yīng)商自行現(xiàn)場踏勘

供應(yīng)商如認(rèn)為采購文件表述不清晰的，請于2023年6月30日

17：00之前將疑問發(fā)送至該電子郵件(郵箱)。答疑回復(fù)內(nèi)容

13投標(biāo)答疑

是采購文件的組成部份，并將以更正公告的形式在本采購公告

發(fā)布的同一媒體發(fā)布，請供應(yīng)商密切關(guān)注更正公告

采購人或者采購代理機(jī)構(gòu)可以對已發(fā)出的采購文件進(jìn)行必要的

澄清或者修改。澄清或者修改的內(nèi)容可能影響投標(biāo)文件編制的，

采購人或者采購代理機(jī)構(gòu)應(yīng)當(dāng)在投標(biāo)截止時(shí)間至少15日前，將

采購文件的澄清以更正公告的形式在采購公告發(fā)布的同一媒體發(fā)布。采購文件

14

與修改的修改和澄清(答疑)答復(fù)的文件作為采購采購文件的補(bǔ)充和

組成部分，對所有供應(yīng)商均有約束力。若后續(xù)仍有更正內(nèi)容，

將繼續(xù)以更正公告形式在本網(wǎng)站發(fā)布，請供應(yīng)商密切關(guān)注更正

公告。

本項(xiàng)目實(shí)行網(wǎng)上投標(biāo)。

15投標(biāo)文件形式供應(yīng)商應(yīng)準(zhǔn)備2種形式的投標(biāo)文件：電子加密投標(biāo)文件、以介

質(zhì)存儲(chǔ)的數(shù)據(jù)電文形式的備份投標(biāo)文件。

6

序號項(xiàng)目內(nèi)容

（1）“電子加密投標(biāo)文件”是指通過“政采云電子交易客戶

端”完成投標(biāo)文件編制后生成并加密的數(shù)據(jù)電文形式的投標(biāo)文

件（后綴格式為.jmbs）

（2）“備份投標(biāo)文件”是指與“電子加密投標(biāo)文件”同時(shí)生成

的數(shù)據(jù)電文形式的電子文件（備份投標(biāo)文件，用于供應(yīng)商電子

加密投標(biāo)文件解密異常時(shí)應(yīng)急使用）,其他方式編制的備份投標(biāo)

文件視為無效備份投標(biāo)文件。備份投標(biāo)文件（后綴格式為.bfbs）

以U盤形式提供。

1.電子加密投標(biāo)文件：投標(biāo)文件制作完成并生成加密標(biāo)書，在

投標(biāo)截止時(shí)間前，供應(yīng)商需將加密的投標(biāo)文件上傳至浙江政府

采購網(wǎng)，到達(dá)開標(biāo)時(shí)間后，供應(yīng)商自行解密。

供應(yīng)商未能在投標(biāo)截止時(shí)間前成功上傳電子加密投標(biāo)文件的投

標(biāo)無效。

2.備份投標(biāo)文件：投標(biāo)截止時(shí)間前，供應(yīng)商應(yīng)將備份投標(biāo)文件

遞交至開標(biāo)地點(diǎn)，以便電子加密投標(biāo)文件解密異常時(shí)應(yīng)急使用。

投標(biāo)文件的上傳備份投標(biāo)文件遞交要求：供應(yīng)商須將備份投標(biāo)文件以U盤形式

16

和遞交單獨(dú)放在密封袋中，密封后并在密封袋上注明投標(biāo)項(xiàng)目名稱、

投標(biāo)單位名稱并加蓋公章。未密封包裝或者逾期送達(dá)的“備份

投標(biāo)文件”將不予接收。

3.供應(yīng)商若選擇非開標(biāo)當(dāng)天遞交，請確保在投標(biāo)截止時(shí)間之

前，將備份投標(biāo)文件通過郵寄或直接送達(dá)采購代理機(jī)構(gòu)處，以

便標(biāo)書解密異常時(shí)應(yīng)急使用。

如以郵寄方式：郵寄地址：

17評標(biāo)辦法綜合評分法

投標(biāo)文件遞交地

18地址：時(shí)間：2023年7月18日14:00

址及截止時(shí)間

19開標(biāo)時(shí)間及地點(diǎn)同投標(biāo)截止時(shí)間與地點(diǎn)

在評標(biāo)過程中，如評審小組對投標(biāo)文件有疑問，由評審組長將

問題匯總后發(fā)起詢標(biāo)澄清函，供應(yīng)商應(yīng)在規(guī)定截止時(shí)間前回復(fù)

20詢標(biāo)澄清相關(guān)內(nèi)容并經(jīng)簽章（簽字）后提交。逾期答復(fù)的，投標(biāo)人自行

承擔(dān)由此可能導(dǎo)致的對其不利的評審結(jié)果，評標(biāo)委員會(huì)按少數(shù)

服從多數(shù)原則對相關(guān)內(nèi)容進(jìn)行評判。

21履約保證金本項(xiàng)目不收取履約保證金。

根據(jù)《中華人民共和國政府采購法》第五十二條的規(guī)定，供應(yīng)

商認(rèn)為招標(biāo)文件、采購過程和中標(biāo)、成交結(jié)果使自己的權(quán)益受

到損害的，可以在知道或者應(yīng)知其權(quán)益受到損害之日起七個(gè)工

作日內(nèi)，以書面形式向采購人、采購代理機(jī)構(gòu)提出質(zhì)疑。

政府采購法第五十二條規(guī)定的供應(yīng)商應(yīng)知其權(quán)益受到損害之

日，是指：

22質(zhì)疑

（-）對可以質(zhì)疑的采購文件提出質(zhì)疑的，為收到采購文件之

0或者采購文件公告期限屆滿之日；

（-）對采購過程提出質(zhì)疑的，為各采購程序環(huán)節(jié)結(jié)束之日；

（三）對中標(biāo)或者成交結(jié)果提出質(zhì)疑的，為中標(biāo)或者成交結(jié)果

公告期限屆滿之日。

根據(jù)《政府采購質(zhì)疑和投訴辦法》第十三條，采購人、采購代

7

序號項(xiàng)目內(nèi)容

理機(jī)構(gòu)不得拒收質(zhì)疑供應(yīng)商在法定質(zhì)疑期內(nèi)發(fā)出的質(zhì)疑函，應(yīng)

當(dāng)在收到質(zhì)疑函后7個(gè)工作日內(nèi)作出答復(fù)，并以書面形式通知

質(zhì)疑供應(yīng)商和其他有關(guān)供應(yīng)商。

根據(jù)《中華人民共和國政府采購法》第五十五條的規(guī)定，質(zhì)疑

供應(yīng)商對采購人、采購代理機(jī)構(gòu)的答復(fù)不滿意或者采購人、采

23投訴

購代理機(jī)構(gòu)未在規(guī)定的時(shí)間內(nèi)作出答復(fù)的，可以在答復(fù)期滿后

十五個(gè)工作日內(nèi)向同級政府采購監(jiān)督管理部門投訴。

是否允許采購進(jìn)

24□允許囹不允許

口產(chǎn)品

是否專門面向

250是口否

中小企業(yè)采購

26樣品□提供囹不提供

27演示□提供囹不提供

1.說明

（1）中小企業(yè)

中小企業(yè)是指在中華人民共和國境內(nèi)依法設(shè)立，依據(jù)國務(wù)院批

準(zhǔn)的中小企業(yè)劃分標(biāo)準(zhǔn)確定的中型企業(yè)、小型企業(yè)和微型企業(yè)，

但與大企業(yè)的負(fù)責(zé)人為同一人，或者與大企業(yè)存在直接控股、

管理關(guān)系的除外。

符合中小企業(yè)劃分標(biāo)準(zhǔn)的個(gè)體工商戶，在政府采購活動(dòng)中視同

中小企業(yè)。

在政府采購活動(dòng)中，供應(yīng)商提供的貨物、工程或者服務(wù)符合下

列情形的，享受本辦法規(guī)定的中小企業(yè)扶持政策：（一）在貨物

采購項(xiàng)目中，貨物由中小企業(yè)制造，即貨物由中小企業(yè)生產(chǎn)且

使用該中小企業(yè)商號或者注冊商標(biāo)；（二）在工程采購項(xiàng)目中，

工程由中小企業(yè)承建，即工程施工單位為中小企業(yè)；（三）在服

務(wù)采購項(xiàng)目中，服務(wù)由中小企業(yè)承接，即提供服務(wù)的人員為中

小企業(yè)依照《中華人民共和國勞動(dòng)合同法》訂立勞動(dòng)合同的從

業(yè)人員。

在貨物采購項(xiàng)目中，供應(yīng)商提供的貨物既有中小企業(yè)制造貨物，

28支持中小企業(yè)

也有大型企業(yè)制造貨物的，不享受本辦法規(guī)定的中小企業(yè)扶持

政策。

以聯(lián)合體形式參加政府采購活動(dòng)，聯(lián)合體各方均為中小企業(yè)的，

聯(lián)合體視同中小企業(yè)。其中，聯(lián)合體各方均為小微企業(yè)的，聯(lián)

合體視同小微企業(yè)。

投標(biāo)文件中須同時(shí)出具《政府采購促進(jìn)中小企業(yè)發(fā)展管理辦法》

【財(cái)庫（2020）46號】規(guī)定的《中小企業(yè)聲明函》，否則不得

享受價(jià)格扣除。

（2）殘疾人福利性單位

符合《關(guān)于促進(jìn)殘疾人就業(yè)政府采購政策的通知》（財(cái)庫[2017）

141號）規(guī)定的條件并提供提供《殘疾人福利性單位聲明函》

的殘疾人福利性單位視同小型、微型企業(yè)；

（3）監(jiān)獄企業(yè)

根據(jù)《關(guān)于政府采購支持監(jiān)獄企業(yè)發(fā)展有關(guān)問題的通知》（財(cái)庫

[2014]68號）的規(guī)定，供應(yīng)商提供由省級以上監(jiān)獄管理局、戒

毒管理局（含新疆生產(chǎn)建設(shè)兵團(tuán)）出具的屬于監(jiān)獄企業(yè)證明文

件的，視同為小型和微型企業(yè)。

8

序號項(xiàng)目內(nèi)容

2.價(jià)格扣除：

本項(xiàng)目為專門面向中小企業(yè)采購，對符合規(guī)定的小微企業(yè)

(含小型企業(yè))報(bào)價(jià)扣除：不適用。

3.本項(xiàng)目采購標(biāo)的為：2023年度醫(yī)院信息安全等級保護(hù)測評

項(xiàng)目所屬行業(yè)為：_軟件和信息技術(shù)服務(wù)業(yè)

(1)以聯(lián)合體形式投標(biāo)的，聯(lián)合體各方的業(yè)績證明材料均認(rèn)可。

(2)以聯(lián)合體形式投標(biāo)的，聯(lián)合體中有一方或者聯(lián)合體成員根

29聯(lián)合體投標(biāo)說明

據(jù)分工按采購文件評標(biāo)細(xì)則要求提供材料的，視為符合評審要

求。

(1)采購文件中凡標(biāo)注的條款均為實(shí)質(zhì)性要求，不響應(yīng)

的投標(biāo)文件將作無效標(biāo)處理。

(2)供應(yīng)商未上傳電子加密投標(biāo)文件，其投標(biāo)無效。

(3)供應(yīng)商上傳了電子加密投標(biāo)文件，未提供備份投標(biāo)文件，

解密出現(xiàn)問題后，由此導(dǎo)致對該供應(yīng)商投標(biāo)無法評審的，其后

果由該供應(yīng)商自行承擔(dān)。

30其他(4)各供應(yīng)商自行在浙江政府采購網(wǎng)下載或查閱采購文件和相

關(guān)更正公告等，不另行通知，如有遺漏采購人、采購代理機(jī)構(gòu)

概不負(fù)責(zé)。

(5)兩家或兩家以上供應(yīng)商提供的投標(biāo)文件出自同一終端設(shè)備

的，或在相同Internet主機(jī)分配地址(相同IP地址)報(bào)名或

網(wǎng)上投標(biāo)的，由此可能被判定為串通投標(biāo)的風(fēng)險(xiǎn)由供應(yīng)商自行

承擔(dān)。

注：以上內(nèi)容如有變化將另行書面通知。如通知其中某一內(nèi)容發(fā)生變化，其余未提及的將不

作變動(dòng)。

9

第二章采購內(nèi)容及需求

一、建設(shè)背景

隨著醫(yī)院信息化的快速發(fā)展，網(wǎng)絡(luò)資產(chǎn)正逐漸成為醫(yī)院日常運(yùn)營、管理的重要工具和支

撐，各種互聯(lián)網(wǎng)應(yīng)用如網(wǎng)上掛號、門診、電子病歷等系統(tǒng)越來越多，Web服務(wù)器、存儲(chǔ)設(shè)備、

網(wǎng)絡(luò)設(shè)備、安全設(shè)備越來越復(fù)雜，帶給管理員的資產(chǎn)管理工作也愈發(fā)困難，久而久之，日積

月累，產(chǎn)生大量的無主資產(chǎn)、僵尸資產(chǎn)，并且這些資產(chǎn)長時(shí)間無人維護(hù)導(dǎo)致存在大量的漏洞

及配置違規(guī)，為醫(yī)院信息系統(tǒng)安全帶來極大的隱患。

為貫徹落實(shí)國家信息安全等級保護(hù)制度，進(jìn)一步完善浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院信息

系統(tǒng)安全管理體系和技術(shù)防護(hù)體系，增強(qiáng)信息安全保護(hù)意識(shí)，明確信息安全保障重點(diǎn)，落實(shí)信

息安全責(zé)任,切實(shí)提高浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院系統(tǒng)信息安全防護(hù)能力，同時(shí)加強(qiáng)對浙江

中醫(yī)藥大學(xué)附屬第二醫(yī)院信息系統(tǒng)安全的指導(dǎo)和檢查工作，特?cái)M請獨(dú)立、專業(yè)的第三方測評

機(jī)構(gòu)對浙江中醫(yī)藥大學(xué)附屬第二醫(yī)院信息系統(tǒng)進(jìn)行等級保護(hù)測評服務(wù)。

二、項(xiàng)目建設(shè)內(nèi)容

1、項(xiàng)目范圍

1.1測評對象：基礎(chǔ)支撐、面向患者服務(wù)系統(tǒng)、門戶網(wǎng)站、面向內(nèi)部的管理系統(tǒng)，2個(gè)三級系

統(tǒng)和2個(gè)二級系統(tǒng)。

序號系統(tǒng)名稱系統(tǒng)等級

1基礎(chǔ)支撐系統(tǒng)三級

2面向患者服務(wù)系統(tǒng)三級

3門戶網(wǎng)站系統(tǒng)二級

4面向內(nèi)部的管理系統(tǒng)二級

1.2針對域名（及其二級域名）下的網(wǎng)站進(jìn)行一次滲透測試，并出具安全整改建

議書。

1.3進(jìn)行全院的信息安全基礎(chǔ)培訓(xùn)一次，宣教信息安全相關(guān)政策和最佳實(shí)踐，提升職工整體

信息安全保護(hù)意識(shí)。

1.4提供在線客戶服務(wù)

10

2、項(xiàng)目時(shí)限：2023年10月1日之前

3、招標(biāo)內(nèi)容以及要求

3.1服務(wù)內(nèi)容一一網(wǎng)絡(luò)安全等級保護(hù)測評

通過等級保護(hù)測評應(yīng)全面分析應(yīng)用系統(tǒng)的安全保護(hù)措施與等級保護(hù)相應(yīng)級別之間的差

距，進(jìn)行合規(guī)性分析，為系統(tǒng)等級保護(hù)加固整改提供客觀依據(jù)，服務(wù)內(nèi)容包括但不限于以下

內(nèi)容：

一是安全通用要求(安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安

全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理)。

二是現(xiàn)場測評完成后的整改建議服務(wù)。

具體如下：

(1)安全物理環(huán)境

安全物理環(huán)境測評主要關(guān)注機(jī)房在物理位置選擇、物理訪問控制、供電等方面的安全保

護(hù)能力，具體測評指標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

測評機(jī)房物理場所在位置上是否具有防震、防風(fēng)和防雨等多方面的

1物理位置的選擇

安全防范能力。

2物理訪問控制測評信息系統(tǒng)在物理訪問控制方面的安全保護(hù)能力。

測評信息系統(tǒng)是否采取了必要的安全措施預(yù)防設(shè)備、介質(zhì)等丟失和

3防盜竊和防破壞

被破壞。

4防雷擊測評信息系統(tǒng)是否采取相應(yīng)的措施預(yù)防雷擊。

5防火測評信息系統(tǒng)是否采取必要的措施防止火災(zāi)的發(fā)生。

6防水和防潮測評信息系統(tǒng)是否采取必要措施來防止水災(zāi)和機(jī)房潮濕。

7防靜電測評信息系統(tǒng)是否采取必要措施防止靜電的產(chǎn)生。

8溫濕度控制測評信息系統(tǒng)是否采取必要措施對機(jī)房內(nèi)的溫濕度進(jìn)行控制。

9電力供應(yīng)測評是否具備為信息系統(tǒng)提供一定電力供應(yīng)的能力。

10電磁防護(hù)測評信息系統(tǒng)是否具備一定的電磁防護(hù)能力。

⑵安全通信網(wǎng)絡(luò)

11

安全通信網(wǎng)絡(luò)測評主要關(guān)注網(wǎng)絡(luò)架構(gòu)、通信傳輸、可信驗(yàn)證3方面的安全保護(hù)能力，具

體測評指標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

通過訪談網(wǎng)絡(luò)管理員，檢查網(wǎng)絡(luò)設(shè)計(jì)/驗(yàn)收文檔，檢查網(wǎng)絡(luò)拓?fù)鋱D、

檢查交換機(jī)等網(wǎng)絡(luò)互聯(lián)設(shè)備，測試系統(tǒng)網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)，訪問路徑，

1網(wǎng)絡(luò)架構(gòu)

路由控制策略和網(wǎng)絡(luò)帶寬分配情況等過程，測評分析網(wǎng)絡(luò)架構(gòu)與網(wǎng)

段劃分、隔離等情況的合理性和有效性。

檢查是否提供密碼技術(shù)的設(shè)備或組件，核查是否能夠保證通信過程

2通信傳輸

的保密性和完整性。

檢查是否提供可信驗(yàn)證的設(shè)備或組件，檢查相關(guān)設(shè)備或組件是否實(shí)

3可信驗(yàn)證

現(xiàn)可信驗(yàn)證，并在可信性受到破壞后進(jìn)行報(bào)警。

(3)安全區(qū)域邊界

主要涉及邊界防護(hù)、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計(jì)和可信

驗(yàn)證6個(gè)個(gè)方面的安全保護(hù)能力，具體的測評指標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

訪談網(wǎng)絡(luò)管理員，查看網(wǎng)絡(luò)拓?fù)浜蛯?shí)際部署情況，是否通過邊界設(shè)

1邊界防護(hù)備的受控接口進(jìn)行通信，是否部署終端管理系統(tǒng)對非法內(nèi)外聯(lián)行為

進(jìn)行檢查或限制，是否對無線網(wǎng)絡(luò)的使用進(jìn)行限制等

訪談網(wǎng)絡(luò)管理員，查看網(wǎng)絡(luò)拓?fù)浜蛯?shí)際部署情況，是否部署了訪問

2訪問控制

控制設(shè)備，檢查訪問控制規(guī)則配置情況。

訪談網(wǎng)絡(luò)管理員，查看網(wǎng)絡(luò)拓?fù)浜蛯?shí)際部署情況，是否部署了入侵

3入侵防范防范產(chǎn)品，核查產(chǎn)品運(yùn)行情況和檢測庫更新情況，核查能夠檢測的

攻擊類型、范圍等。

訪談網(wǎng)絡(luò)管理員，查看網(wǎng)絡(luò)拓?fù)浜蛯?shí)際部署情況，是否部署了網(wǎng)絡(luò)

惡意代碼和垃圾郵

4層的防惡意代碼產(chǎn)品，核查產(chǎn)品運(yùn)行情況和惡意代碼庫更新情況；

件防范

是否部署了防垃圾郵件產(chǎn)品，核查產(chǎn)品運(yùn)行情況和規(guī)則庫更新情況。

訪談網(wǎng)絡(luò)管理員，查看網(wǎng)絡(luò)拓?fù)浜蛯?shí)際部署情況，是否部署了綜合

5安全審計(jì)安全審計(jì)系統(tǒng)或類似功能的系統(tǒng)平臺(tái)，安全審計(jì)范圍是否覆蓋到每

個(gè)用戶，審計(jì)記錄是否充分完整，是否對審計(jì)記錄進(jìn)行保護(hù)。

檢查是否提供可信驗(yàn)證的設(shè)備或組件，檢查相關(guān)設(shè)備或組件是否實(shí)

6可信驗(yàn)證

現(xiàn)可信驗(yàn)證，并在可信性受到破壞后進(jìn)行報(bào)警。

(4)安全計(jì)算環(huán)境

安全計(jì)算環(huán)境主要涉及身份鑒別、訪問控制、安全審計(jì)、入侵防范、惡意代碼防范、可

信驗(yàn)證、通信完整性、通信保密性、數(shù)據(jù)備份恢復(fù)、剩余信息保護(hù)以及個(gè)人信息保護(hù)10個(gè)方

面的安全保護(hù)能力，具體的測評指標(biāo)描述如下表所示。

12

序號安全子類測評指標(biāo)描述

檢查終端和服務(wù)器的操作系統(tǒng)（宿主機(jī)和虛擬操作系統(tǒng)）、移動(dòng)終端管理系

統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、感

1身份鑒別知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等，核查身份標(biāo)識(shí)與鑒別功能設(shè)置

和使用配置情況，核查對用戶登錄各種情況的處理，如登錄失敗處理、登

錄連接超時(shí)等。

檢查終端和服務(wù)器的操作系統(tǒng)（宿主機(jī)和虛擬操作系統(tǒng)）、移動(dòng)終端管理系

統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、感

2訪問控制

知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等，核查訪問控制功能設(shè)置情況，

如訪問控制的策略、訪問控制粒度、權(quán)限設(shè)置情況等。

檢查終端和服務(wù)器的操作系統(tǒng)（宿主機(jī)和虛擬操作系統(tǒng)）、移動(dòng)終端管理系

統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、感

3安全審計(jì)知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等，是否啟用安全審計(jì)功能，安全

審計(jì)范圍是否覆蓋到每個(gè)用戶，審計(jì)記錄是否充分完整，是否對審計(jì)記錄

和審計(jì)進(jìn)程進(jìn)行保護(hù)。

檢查終端和服務(wù)器的操作系統(tǒng)（宿主機(jī)和虛擬操作系統(tǒng)）、移動(dòng)終端管理系

統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、中間件、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、感

4入侵防范知節(jié)點(diǎn)設(shè)備、網(wǎng)關(guān)節(jié)點(diǎn)設(shè)備和控制設(shè)備等，是否遵循最小安裝原則，是否

關(guān)閉不必要的服務(wù)和端口，是否限制管理方式和管理地址，是否采取入侵

防范措施等。

惡意代碼防檢查終端和服務(wù)器的操作系統(tǒng)、移動(dòng)終端管理系統(tǒng)、控制設(shè)備等是否安裝

5

范了防惡意代碼軟件或相應(yīng)功能的軟件，是否定期升級惡意代碼庫。

檢查是否提供可信驗(yàn)證的設(shè)備或組件，檢查相關(guān)設(shè)備或組件是否實(shí)現(xiàn)可信

6可信驗(yàn)證

驗(yàn)證，并在可信性受到破壞后進(jìn)行報(bào)警。

檢查業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)

7數(shù)據(jù)完整性

文檔等，核查重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中完整性保護(hù)情況。

檢查業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件及系統(tǒng)設(shè)計(jì)

8數(shù)據(jù)保密性

文檔等，核查重要數(shù)據(jù)在傳輸和存儲(chǔ)過程中保密性保護(hù)情況。

數(shù)據(jù)備份恢檢查數(shù)據(jù)備份情況，如備份方式、備份策略、異地備份等；檢查重要數(shù)據(jù)

9

復(fù)處理系統(tǒng)的冗余情況。

檢查操作系統(tǒng)、業(yè)務(wù)應(yīng)用系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)、中間件和系統(tǒng)管理軟件

剩余信息保

10及系統(tǒng)設(shè)計(jì)文檔，核查鑒別信息和敏感數(shù)據(jù)所在的存儲(chǔ)空間被釋放或重新

護(hù)

分配前是否得到完全清除。

（5）安全管理中心

安全管理中心測評將通過訪談和檢查的方式評測集中安全管理系統(tǒng)的情況。在內(nèi)容上,

安全管理中心測評實(shí)施過程涉及4個(gè)方面，具體的測評指標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

檢查安全管理中心的身份鑒別和日志記錄情況，檢查是否對系統(tǒng)管

1系統(tǒng)管理

理的操作進(jìn)行審計(jì)，是否只允許系統(tǒng)管理員進(jìn)行系統(tǒng)管理操作。

13

序號安全子類測評指標(biāo)描述

檢查安全管理中心的身份鑒別和日志記錄情況，檢查是否對安全審

2審計(jì)管理

計(jì)操作進(jìn)行審計(jì)，是否只允許審計(jì)管理員進(jìn)行安全審計(jì)操作。

檢查安全管理中心的身份鑒別和日志記錄情況，檢查是否通過安全

3安全管理

管理員對系統(tǒng)中的安全策略進(jìn)行配置。

檢查安全管理中心及部署情況，是否對各類設(shè)備運(yùn)行狀況進(jìn)行集中

4集中管控監(jiān)測，是否對各類設(shè)備的審計(jì)數(shù)據(jù)進(jìn)行集中收集和分析，是滯對安

全策略、惡意代碼、補(bǔ)丁升級等事項(xiàng)進(jìn)行集中管理。

(6)安全管理制度

安全管理制度測評主要關(guān)注安全策略、理制度體系、制定與發(fā)布以及評審和修訂4個(gè)方

面，具體測評指標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

1安全策略主要核查：總體方針策略類文件

2管理制度主要核查：各類安全管理制度及操作手冊的制定情況。

3制定和發(fā)布主要核查：管理制度的制定與發(fā)布流程。

4評審和修訂主要核查：管理制度的評審和修訂流程。

(7)安全管理機(jī)構(gòu)測評

安全管理機(jī)構(gòu)測評主要涉及安全主管、相關(guān)管理制度以及相關(guān)工作/會(huì)議記錄等測評對

象。

安全管理機(jī)構(gòu)測評主要關(guān)注崗位設(shè)置、人員配備、授權(quán)和審批等5個(gè)方面，具體測評指

標(biāo)描述錯(cuò)誤!未找到引用源。下表所示。

序號安全子類測評指標(biāo)描述

1崗位設(shè)置主要核查：各類安全管理制度及操作手冊的制定情況。

2人員配備主要核查：管理制度的制定與發(fā)布流程。

3授權(quán)和審批主要核查：管理制度的評審和修訂流程。

4溝通與合作主要核查：各類安全管理制度及操作手冊的制定情況。

5審核與檢查主要核查：管理制度的制定與發(fā)布流程。

14

(8)安全管理人員測評

安全管理人員測評實(shí)施過程涉及人員錄用、人員離崗、人員考核等4方面，具體測評指

標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

1人員錄用主要核查：人員錄用的標(biāo)準(zhǔn)與流程。

2人員離崗主要核查：人員離崗的流程.

主要核查：安全意識(shí)教育和培訓(xùn)的計(jì)劃與安排、安全責(zé)任的懲

3安全意識(shí)教育和培訓(xùn)

罰措施情況。

4外部人員訪問管理主要核查：外部人員訪問重要區(qū)域的控制手段。

(9)安全建設(shè)管理測評

安全建設(shè)管理測評涉及系統(tǒng)定級、安全方案設(shè)計(jì)和產(chǎn)品采購和使用等10方面，具體測評

指標(biāo)描述如下表所示。

序號安全子類測評指標(biāo)描述

通過訪談安全主管，檢查系統(tǒng)定級相關(guān)文檔等過程，測評信息

1系統(tǒng)定級

系統(tǒng)是否按照一定要求確定其等級。

通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查系統(tǒng)安全建設(shè)計(jì)劃等文檔，測

2安全方案設(shè)計(jì)評被測評單位對系統(tǒng)整體的安全規(guī)劃設(shè)計(jì)是否按照一定流程進(jìn)

行。

通過訪談安全主管、系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)采購制度等過

3產(chǎn)品采購和使用程，測評被測評單位是否按照一定的要求進(jìn)行信息系統(tǒng)的產(chǎn)品

采購。

通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)軟件開發(fā)文檔和管理制度

4自行軟件開發(fā)文檔，測評被測評單位對自行開發(fā)的軟件是否采取必要的措施

保證開發(fā)過程的安全性。

通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)文檔，測評被測評單位對

5外包軟件開發(fā)外包開發(fā)的軟件是否采取必要的措施保證開發(fā)過程和日后的維

護(hù)工作能夠正常開展。

通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)制度文檔和實(shí)施文檔，測

6工程實(shí)施評被測評單位對系統(tǒng)建設(shè)的實(shí)施過程是否采取必要的措施使其

在機(jī)構(gòu)可控的范圍內(nèi)進(jìn)行。

通過訪談系統(tǒng)建設(shè)負(fù)責(zé)人，檢查相關(guān)制度文檔和測試驗(yàn)收文檔，

7測試驗(yàn)收測評被測評單位在信息系統(tǒng)運(yùn)行前是否對其進(jìn)行測試驗(yàn)收工

作。

15

序號安全子類測評指標(biāo)描述

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查系統(tǒng)交付清單和系統(tǒng)交付管理

8系統(tǒng)交付制度等過程，測評被測評單位是否采取必要的措施對系統(tǒng)交付

過程進(jìn)行有效控制。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查相關(guān)報(bào)告和記錄文件，測評被

9等級測評測評單位是否定期進(jìn)行等級測評，選擇的測評機(jī)構(gòu)是滯符合國

家有關(guān)規(guī)定等。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，測評被測評單位是否選擇符合國家

10安全服務(wù)商選擇

有關(guān)規(guī)定的安全服務(wù)單位進(jìn)行相關(guān)的安全服務(wù)工作。

(10)安全運(yùn)維管理測評

安全運(yùn)維管理測評主要涉及安全主管、各類運(yùn)維人員、各類管理制度、操作規(guī)程文件和

執(zhí)行過程記錄等測評對象。

安全運(yùn)維管理測評主要關(guān)注環(huán)境管理、資產(chǎn)管理和介質(zhì)管理等14方面，具體測評指標(biāo)描

述如下表所示。

序號安全子類測評指標(biāo)描述

通過訪談安全物理環(huán)境負(fù)責(zé)人，檢查主機(jī)房安全管理制度和辦公環(huán)境

1環(huán)境管理管理文檔等過程，測評被測評單位是否采取必要的措施對主機(jī)房的出

入控制和辦公環(huán)境的人員行為等方面進(jìn)行安全管理。

通過訪談資產(chǎn)管理員，檢查資產(chǎn)清單和系統(tǒng)、網(wǎng)絡(luò)設(shè)備等過程，測評

2資產(chǎn)管理

被測評單位是否采取必要的措施對信息系統(tǒng)資產(chǎn)進(jìn)行分類標(biāo)識(shí)管理。

通過訪談資產(chǎn)管理員，檢查介質(zhì)管理記錄、介質(zhì)安全管理制度以及各

3介質(zhì)管理類介質(zhì)等過程，測評被測評單位是否采取必要的措施對介質(zhì)存放環(huán)

境、使用、維護(hù)和銷毀等方面進(jìn)行管理。

通過訪談資產(chǎn)管理員、系統(tǒng)管理員，檢查設(shè)備使用管理文檔和設(shè)備操

4設(shè)備維護(hù)管理作規(guī)程等過程，測評被測評單位是否采取必要的措施確保設(shè)備在使

用、維護(hù)和銷毀等過程安全。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查安全報(bào)告或記錄，測評被測評單位是

5漏洞和風(fēng)險(xiǎn)管理

否采取必要的措施對漏洞進(jìn)行識(shí)別和修補(bǔ)。

通過訪談安全主管、系統(tǒng)管理員、網(wǎng)絡(luò)管理員，檢查各管理員角色分

網(wǎng)絡(luò)和系統(tǒng)安全管工情況及權(quán)限，查看網(wǎng)絡(luò)和系統(tǒng)安全管理制度，是否覆蓋安全策略、

6

理帳戶管理、權(quán)限審批和分配、配置文件的生成及備份、變更審批、日

志管理等內(nèi)容。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人,檢查惡意代碼防范管理制度和惡意代碼檢

7惡意代碼防護(hù)管理測、分析記錄等過程，測評被測評單位是否采取必要的措施對惡意代

碼進(jìn)行集中管理，確保信息系統(tǒng)具有惡意代碼防范能力。

通過訪談系統(tǒng)管理員，檢查基本配置信息保存情況，檢查配置變更流

8配置管理

程記錄文件。

16

序號安全子類測評指標(biāo)描述

通過訪談安全員，檢查密碼管理制度等過程，測評被測評單位是否能

9密碼管理

夠確保信息系統(tǒng)中密碼算法和密鑰的使用符合國家密碼管理規(guī)定。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查變更方案和變更管理制度等過程，測

10變更管理

評被測評單位是否采取必要的措施對系統(tǒng)發(fā)生的變更進(jìn)行有效管理。

通過訪談系統(tǒng)管理員、網(wǎng)絡(luò)管理員，檢查系統(tǒng)備份管理文檔和記錄等

11備份和恢復(fù)管理過程，測評被測評單位是否采取必要的措施對數(shù)據(jù)、設(shè)備和系統(tǒng)進(jìn)行

備份，并確保必要時(shí)能夠?qū)π畔⑾到y(tǒng)進(jìn)行有效地恢復(fù)。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查安全事件記錄分析文檔、安全事件報(bào)

告和處置管理制度等過程,測評被測評單位是否采取必要的措施對安

12安全事件處置

全事件進(jìn)行等級劃分和對安全事件的報(bào)告、處理過程進(jìn)行有效的管

理。

通過訪談系統(tǒng)運(yùn)維負(fù)責(zé)人，檢查應(yīng)急響應(yīng)預(yù)案文檔，應(yīng)急預(yù)案培訓(xùn)記

13應(yīng)急預(yù)案管理錄等過程，測評被測評單位是否針對不同安全事件制定相應(yīng)的應(yīng)急預(yù)

案，是否對應(yīng)急預(yù)案展開培訓(xùn)、演練和審查等。

通過訪談運(yùn)維負(fù)責(zé)人，檢查是否有外包運(yùn)維服務(wù)情況；檢查外包運(yùn)維

14外包運(yùn)維管理

服務(wù)單位是否符合國家有關(guān)規(guī)定，檢查外包運(yùn)維服務(wù)協(xié)議等。

3.2測評方法

測評方法必須符合GB/T28448-2019信息系統(tǒng)安全等級保護(hù)測評要求，滿足國家等級保

護(hù)備案相關(guān)標(biāo)準(zhǔn)規(guī)范，在開展等級測評工作時(shí)，從管理和技術(shù)兩個(gè)層面，通過多種方法來采

集測評證據(jù)，以確定被測系統(tǒng)與基本要求之間的符合性。采集測評證據(jù)的方式分為“人員訪

談”、“文件審核”、“現(xiàn)場觀察”、“技術(shù)測試”等手段。

人員訪談：測評人員與被測單位信息技術(shù)人員進(jìn)行面談，測評人員可以了解其職責(zé)范圍、

工作陳述、基本安全意識(shí)、對安全管理獲知的程度等信息。

文件檢查：測評人員對被測單位與信息安全管理活動(dòng)相關(guān)的所有文件進(jìn)行審查，包括安

全方針和目標(biāo)、程序文件、作業(yè)指導(dǎo)文件和記錄文件等。

現(xiàn)場觀察：測評人員通過到現(xiàn)場參觀，觀察并獲取關(guān)于被測系統(tǒng)現(xiàn)場的物理環(huán)境、信息

系統(tǒng)的安全操作和各類安全管理活動(dòng)的第一手資料。

技術(shù)測試：測評人員通過對測評對象采用各種技術(shù)手段，獲得被測系統(tǒng)在技術(shù)性控制的

效力及符合性方面的證據(jù)。這些技術(shù)性措施包括：自動(dòng)化的掃描工具、網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)分析、

本地主機(jī)審查、滲透測試等。

本次等級保護(hù)測評實(shí)施過程中所使用到的各種工具軟件由供應(yīng)商推薦，經(jīng)采購人確認(rèn)后

由供應(yīng)商提供并在測評中使用?供應(yīng)商應(yīng)詳細(xì)描述所使用的安全測評工具（軟硬件型號、功

17

能和性能描述)、使用的方式和時(shí)間、對環(huán)境和平臺(tái)的要求以及使用可能對系統(tǒng)造成的風(fēng)險(xiǎn)等。

等級保護(hù)測評應(yīng)有詳細(xì)的實(shí)施方案和嚴(yán)格的操作步驟，采取的措施應(yīng)是經(jīng)過測試、穩(wěn)定可靠

的。

安全測評工具軟件運(yùn)行可能需要的硬件平臺(tái)(如筆記本電腦、PC、工作站等)和操作系

統(tǒng)軟件等由供應(yīng)商推薦，經(jīng)采購人確認(rèn)后由供應(yīng)商提供并在測評中使用。

安全測評需要的運(yùn)行環(huán)境(如場地、網(wǎng)絡(luò)環(huán)境等)由采購人提供，供應(yīng)商應(yīng)詳細(xì)描述需

要的運(yùn)行環(huán)境的具體要求。

3.3網(wǎng)絡(luò)安全等級測評報(bào)告等要求

(1)投標(biāo)人應(yīng)對采購人的信息系統(tǒng)進(jìn)行等級保護(hù)測評，形成相應(yīng)的測評報(bào)告；

(2)投標(biāo)人在測評后出具符合公安主管部門要求的系統(tǒng)安全保護(hù)等級測評報(bào)告；

(3)對上述系統(tǒng)不符合信息安全等級保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的，投標(biāo)人出具可行的

整改建議方案，并為采購人提供整改咨詢服務(wù)；

(4)投標(biāo)人協(xié)助采購人完成信息系統(tǒng)安全保護(hù)等級測評的相關(guān)備案手續(xù)。

3.4項(xiàng)目服務(wù)承諾

(1)投標(biāo)人應(yīng)滿足采購人提出的標(biāo)準(zhǔn)性、規(guī)范性、可控性、整體性、最小影響性及保密性

原則，做到守時(shí)、保質(zhì)。

(2)保密性要求：投標(biāo)人必須和采購人簽訂保密協(xié)議和非侵害性協(xié)議，投標(biāo)人必須要與參

加此次測評項(xiàng)目的所有項(xiàng)目組成員簽訂保密協(xié)議和非侵害性協(xié)議，在合同簽定時(shí)一并提供給

采購人。

(3)投標(biāo)人具體測評工作和等級保護(hù)測評報(bào)告的編寫，必須在采購人的指定地點(diǎn)進(jìn)行。對

于測評中的重要資料和結(jié)果，在測評期間和測評結(jié)束后，投標(biāo)人不得帶離該地點(diǎn)。

(4)投標(biāo)人對本規(guī)范書中的內(nèi)容及在應(yīng)標(biāo)過程中接觸的設(shè)備信息、數(shù)據(jù)資料等負(fù)有保密責(zé)

任，不得泄露給任何第三方。無論投標(biāo)人中標(biāo)與否，其對上述內(nèi)容的保密責(zé)任將長期存在。

(5)等級保護(hù)測評的品質(zhì)保證：投標(biāo)人應(yīng)承諾指派工作經(jīng)驗(yàn)豐富、技術(shù)實(shí)力雄厚的安全顧

問，結(jié)合技術(shù)領(lǐng)先、結(jié)論可靠的測評工具為客戶作全面等級保護(hù)測評。承諾測評過程按照國

家標(biāo)準(zhǔn)進(jìn)行，并保證對客戶的資料嚴(yán)格保密。

4、其他要求

(1)投標(biāo)人應(yīng)提交本次等級保護(hù)測評的整體實(shí)施方案，包括項(xiàng)目概述、等保測評方案、針

對本項(xiàng)目服務(wù)重點(diǎn)、難點(diǎn)的分析及應(yīng)對措施