宜宾市妇幼保健计划生育服务中心等保测评服务采购 采购项目的潜在供应商应在在宜宾市翠屏区岷江北路68号正和花园A幢2楼2号（四川融创标合招标代理有限公司）（地址）获取。获取采购文件，并于2023年07月03日 14点00分（北京时间）前提交响应文件。
一、项目基本情况
项目编号：RCBH〔2023〕-06129
项目名称：宜宾市妇幼保健计划生育服务中心等保测评服务采购
采购方式：竞争性磋商
预算金额：26.0000000 万元（人民币）
***高限价（如有）：26.0000000 万元（人民币）
采购需求：
(一)测评内容
系统名称
安全等级
HIS 系统
三级
LIS 系统
三级
PACS 系统
三级
门户网站系统
三级
EMR系统
三级

(二)据《GBT 28448-2019 信息安全技术网络安全等级保护测评要求》，按照《信息安全技术 网络安全等级保护测评过程指南》GB-T 28449-2018 要求，采取相应的测评方法(包括： 访谈、检查、测试)，按照相应的测评规程对测评对象(包括：制度文档、各类设备、安全配置、相关人员)进行相应力度(包括：广度、深度)的单元测评、整体测评，对测评发现的风险项进行分析评估，提出合理化整改建议，***终得到相应的信息系统等级测评报告。
(三)对采购人要求的信息系统进行完整的攻防演练及渗透测试，并提供相应的纸质报告。
三、服务标准及要求
(一)服务标准及总体要求
1.供应商提供的服务应符合或优于国家相关标准、行业标准、地方标准或者其他标准、规范要求。
2.供应商应***所提供的服务或其***一部分均不会侵犯***第三方的专利权、商标权或著作权。
3.接受项目行业管理部门及政府有关部门的指导，接受采购人的监督。
4.供应商定期及时向采购人通告本项目服务范围内有关服务的重大事项及其进度。
(二)具体要求
1.建设测评依据
此次依据的标准包括但不限于以下内容：
1.2《中华人民共和国网络安全法》
1.3《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
1.4《信息安全技术 网络安全等级保护定级指南》GB/T 22240-2018
1.5《信息安全等级保护管理办法》(公通字[2007]43 号)
1.6《国务院办公厅关于印发国家政务信息化项目建设管理办法的通知》(国办发〔2019〕57 号)
2.测评要求
根据项目需求，为保障信息安全现场测评过程安全可控，明确测评人员职责分配、规范测评人员操作，保障测评结果有效，至少包括以下几个流程：

序号
关键实施阶段
工作要求
1
确定测评范围
明确本次被测评信息系统的范围，包括每个信息系统的范围、信息系统的边界等。

2
获得信息系统的信息
通过调查或查阅资料的方式，了解被测评信息系统的构成，包括网络拓扑、业务应用、 业务流程、设备信息、安全措施状况等。

3
确定具体的测评对象
初步确定每个信息系统的被测评对象，包括整体对象，如机房、办公环境、网络等， 也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。

4
确定测评工作的方法

根据信息系统安全等级情况、系统规模大小等，明确本次测评的方法。

5
制定测评工作计划
制定测评工作计划或方案，说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。

6
实施等级保护
测评

实施测评，包括人工检查、工具扫描等方式。
7
项目总结
对测评结果进行总结、汇报

▲3.测评内容
按照信息系统等级保护测评依据开展测评工作(包括不限于以下项目)
3.1物理安全
物理安全检查主要是了解信息系统的物理安全保障情况。涉及对象为机房。在内容上，物理安全层面测评实施过程涉及的工作单元，具体如下表：
表 1 物理安全测评内容：
序号
工作单元名称
工作单元描述
1
物理位置的选择
检查机房，测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的安全防范能力。
2
物理访问控制
检查机房出入口等过程，测评信息系统在物理访问控制方面的安全防范能力。

3
防盗窃和防破坏
检查机房内的主要设备、介质和防盗报警设施等过程，测评信息系统是否采取必要的措 施预防设备、介质等丢失和被破坏。
4
防雷击
检查机房设计/验收文档，测评信息系统是否采取相应的措施预防雷击。

5

防火
检查机房防火方面的安全管理制度，检查机房防火设备等过程，测评信息系统是否采取 必要的措施防止火灾的发生。

6
防水和防潮

检查机房及其除潮设备等过程，测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7
防静电
检查机房等过程，测评信息系统是否采取必要措施防止静电的产生。
8
温湿度控
制
检查机房的温湿度自动调节系统，测评信息系统是否采取必要措施对机房内的温湿度进
行控制。
9
电力供应
检查机房供电线路、设备等过程，测评是否具备为信息系统提供一定电力供应的能力。
10
电磁防护
检查主要设备等过程，测评信息系统是否具备一定的电磁防护能力。

▲3.2网络安全
网络设备、网络安全设备以及网络拓扑结构等三大类对象。在内容上，网络安全层面测评过程涉及的工作单元，具体如下表：
表 2 网络安全测评内容
序号
工作单元名称
工作单元描述
1
网络结构安全
检查网络拓扑情况、核查核心交换机、路由器，测评分析网络架构与网段划分、隔离等 情况的合理性和有效性。

2
网络访问控制
检查防火墙等网络访问控制设备，测试系统对外暴露安全漏洞情况等，测评分析信息系 统对网络区域边界相关的网络隔离与访问控制能力。

3
网络安全审计
检查核心交换机、路由器等网络互联设备的安全审计情况，测评分析信息系统审计配置 和审计记录保护情况。

4
边界完整性检查
检查边界完整性检查设备，测评分析信息系统违规联到外部网络的行为。

5
网络入侵防范
测评分析信息系统对攻击行为的识别和处理情况。

6
恶意代码防
范
检查网络防恶意代码产品等过程，测评分析信息系统网络边界和核心网段对病毒等恶意
代码的防护情况。

7

网络设备防护
检查交换机、路由器等网络互联设备以及防火墙等网络安全设备，查看它们的安全配置 情况，包括身份鉴别、登录失败处理、限制非法登录和登录连接超时等，考察网络设备 自身的安全防范情况。

▲3.3主机安全
主机系统安全检查是为了了解评测目标系统的主机系统安全保障情况。在内容上，主机系统安全层面测评实施过程涉及的工作单元，具体如下表：
表 3 主机安全测评内容
序号
工作单元名称
工作单元描述
1
身份鉴别
检查服务器的身份标识与鉴别和用户登录的配置情况。
2
访问控制
检查服务器的访问控制设置情况，包括安全策略覆盖、控制粒度以及权限设置情况等。

3

安全审计
检查服务器的安全审计的配置情况，如覆盖范围、记录的项目和内容等；检查安全审计
进程和记录的保护情况。
4

入侵防范
检查服务器在运行过程中的入侵防范措施，如关闭不需要的端口和服务、***小化安装、
部署入侵防范产品等。
5
剩余信息保护
检查服务器鉴别信息的存储空间，被释放或再分配给其他用户前得到***清除。
6
恶意代码防范
检查服务器的恶意代码防范情况。
7
资源控制
检查服务器对单个用户的登录方式、网络地址范围、会话数量等的限制情况。

▲3.4应用系统安全
应用安全检查是为了了解业务应用系统的应用安全保障情况。在内容上，应用安全层面测评实施过程涉及的工作单元，具体如下表：
表4

序号
工作单元名称
作单元描述

1

身份鉴别
检查应用系统的身份标识与鉴别功能设置和使用配置情况；
检查应用系统对用户登录各种情况的处理，如登录失败处理、登录连接超时等。

2

访问控制
检查应用系统的访问控制功能设置情况，如访问控制的策略、访问控制粒度、权限设置
情况等。

3

安全审计
检查应用系统的安全审计配置情况，如覆盖范围、记录的项目和内容等；
检查应用系统安全审计进程和记录的保护情况。

4
剩余信息保护
检查应用系统的剩余信息保护情况，如将用户鉴别信息以及文件、目录和数据库记录等 资源所在的存储空间再分配时的处理情况。

5
通信完整性

检查应用系统客户端和服务器端之间的通信完整性保护情况。
6
通信保密性

检查应用系统客户端和服务器端之间的通信保密性保护情况。
7
抗抵赖
检查应用系统对原发方和接收方的抗抵赖实现情况。

▲3.5数据安全及备份恢复
数据安全及备份恢复评估是为了了解评测系统的数据安全及备份恢复保障情况。本次测评重点检查系统的数据在采集、传输、处理和存储过程中的安全及安全备份恢复情况。在内容上， 实施过程涉及的工作单元，具体如下表：
表 5 数据安全及备份恢复测评内容

序号
工作单元名称
工作单元描述

1

数据完整性
检查操作系统、数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程
中的完整性保护情况。

2

数据保密性
检查操作系统和数据库管理系统的管理数据、鉴别信息和用户数据在传输和保存过程 中的保密性保护情况。
3
安全备份和恢复
检查信息系统的安全备份情况，如重要信息的备份、硬件和线路的冗余等。

▲3.6安全管理制度
安全管理制度测评是为了了解评测安全管理制度的制定、发布、评审和修订等情况。主要涉及安全主管人员、安全管理人员、各类其它人员、各类管理制度、各类操作规程文件等对象。在内容上，安全管理制度测评实施过程涉及的工作单元，具体如下表：
表 6 安全管理制度测评内容
序号
工作单元名称
工作单元描述

1

管理制度
检查有关管理制度文档和重要操作规程等过程，测评信息系统管理制度在内容覆盖上
是否全面、完善。

2

制定与发布
检查有关制度制定要求文档等过程，测评信息系统管理制度的制定和发布过程是否遵
循一定的流程。
3
评审和修订
检查管理制度评审记录等过程，测评信息系统管理制度定期评审和修订情况。

▲3.7安全管理机构
安全管理机构测评是为了了解评测安全管理机构的组成情况和机构工作组织情况。主要涉及安全主管人员、安全管理人员、相关的文件资料和工作记录等对象。在内容上，安全管理机构测评实施过程涉及的工作单元，具体如下表：
表 7 安全管理机构测评内容
序号
工作单元名称
工作单元描述

1

岗位设置
检查部门/岗位职责文件，测评信息系统安全主管部门设置情况以及各岗位设置和岗位
职责情况。
2
人员配备
检查人员名单等文档，测评信息系统各个岗位人员配备情况。
3
授权和审批
检查相关文档，测评信息系统对关键活动的授权和审批情况。
4
沟通与合作
检查相关文档，测评信息系统内部部门间、与外部单位间的沟通与合作情况。
5
审核与检查
检查记录文档等过程，测评信息系统安全工作的审核和检查情况。

▲3.8人员安全管理
人员安全管理测评是为了了解评测人员安全方面的情况。主要涉及安全主管人员、人事管理人员、相关管理制度、相关工作记录等对象。在内容上，人员安全管理测评实施过程涉及的工作单元，具体如下表：

表 8 人员安全管理测评内容
序号
工作单元名称
工作单元描述

1

人员录用
检查人员录用文档等过程，测评信息系统录用人员时是否对人员提出要求以及是否对 其进行各种审查和考核。

2

人员离岗
检查人员离岗安全处理记录等过程，测评信息系统人员离岗时是否按照一定的手续办
理。
3
人员考核
检查有关考核记录等过程，测评是否对人员进行日常的业务考核和工作审查。
4
安全意识教育和培训

检查培训计划和执行记录等文档，测评是否对人员进行安全方面的教育和培训。

5
外部人员访问管理
检查有关文档等过程，测评对第三方人员访问(物理、逻辑)系统是否采取必要控制措 施。

▲3.9系统建设管理
系统建设管理测评是为了了解评测系统建设管理过程中的安全控制情况。主要涉及安全主管人员、系统建设负责人、各类管理制度、操作规程文件、执行过程记录等对象。在内容上， 系统建设管理测评实施过程涉及的工作单元，具体如下表：
表 9 系统建设管理测评内容
序号
工作单元名称
工作单元描述
1
系统定级
检查系统定级相关文档等过程，测评是否按照一定要求确定系统的安全等级。

2

安全方案设计
检查系统安全建设方案等文档，测评系统整体的安全规划设计是否按照一定流
程进行。
3
产品采购和使用
测评是否按照一定的要求进行系统的产品采购。

4

自行软件开发
检查相关软件开发文档等，测评自行开发的软件是否采取必要的措施***开发 过程的安全性。

5

外包软件开发
检查相关文档，测评外包开发的软件是否采取必要的措施***开发过程的安全
性和日后的维护工作能够正常开展。

6

工程实施
检查相关文档，测评系统建设的实施过程是否采取必要的措施使其在机构可控
的范围内进行。
7
测试验收
检查测试验收等相关文档，测评系统运行前是否对其进行测试验收工作。

8

系统交付
检查系统交付清单等过程，测评是否采取必要的措施对系统交付过程进行有效 控制。
9
安全服务商选择
测评是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。

▲3.10系统运维管理
系统运维管理测评是为了了解评测系统运维管理过程中的安全控制情况。主要涉及安全主管人员、安全管理人员、各类运维人员、各类管理制度、操作规程文件、执行过程记录等对象。在内容上，系统运维管理测评实施过程涉及的工作单元，具体如下表：
表 10 系统运维管理测评内容
序号
工作单元名称
工作单元描述
1

环境管理
检查机房安全管理制度，机房和办公环境等过程，测评是否采取必要的措施
对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
2

资产管理
检查资产清单，检查系统、网络设备等过程，测评是否采取必要的措施对系
统的资产进行分类标识管理。
3

介质管理
检查介质管理记录和各类介质等过程，测评是否采取必要的措施对介质存放 环境、使用、维护和销毁等方面进行管理。
4

设备管理
检查设备使用管理文档和设备操作规程等过程，测评是否采取必要的措施确 保设备在使用、维护和销毁等过程安全。
5
监控管理和安全管理中心

测评是否采取必要的措施对重要主机的运行和访问权限进行监控管理。
6

网络安全管理
检查系统安全管理制度、系统审计日志和系统漏洞扫描报告等过程，测评是 否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方 面进行有效的管理。
7

系统安全管理
检查网络安全管理制度、网络审计日志和网络漏洞扫描报告等过程，测评是 否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行 有效的管理，确保网络安全运行。
8

恶意代码防范管理
检查恶意代码防范管理文档和恶意代码检测记录等过程，测评是否采取必要 的措施对恶意代码进行有效管理，确保系统具有恶意代码防范能力。
9

密码管理
测评是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规 定。
10

变更管理
检查变更方案和变更管理制度等过程，测评是否采取必要的措施对系统发生 的变更进行有效管理。
11

备份和恢复管理
检查系统备份管理文档和记录等过程，测评是否采取必要的措施对重要业务
信息，系统数据和系统软件进行备份，并确保必要时能够对这些数据有效地 恢复。
12

安全事件处置
检查安全事件记录分析文档、安全事件报告和处置管理制度等过程，测评是 否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程 进行有效的管理。
13

应急预案管理
检查应急响应预案文档等过程，测评是否针对不同安全事件制定相应的应急 预案，是否对应急预案展开培训、演练和审查等。

4.交付产物
包括但不***于以下资料：
1
信息系统安全等级测评报告(包含整改建议)
2
漏洞扫描报告
3
攻防演练方案及报告
4
渗透测试方案及报告

★四、履约能力要求
实施方案(包含①测评内容及流程；②测评方法；③测评指标；④测评重难点分析；⑤测评思路；⑥配合需求等内容)。
注：①供应商应当根据本项目实际情况提供真实、客观的证明材料。
②供应商应当***所提交的所有材料的真实性，若提交虚假材料谋取成交的，应上报同级监管部门依法处理。
③供应商根据项目的实际需求和具体情况实事求是地编制响应文件，能具体量化，具有可行性及便于监督考核，不得违反法律、法规规定，不得夸大其词和空口许诺。
五、★商务要求
(一)履约期限和地点
1.履约期限：政府采购合同签订生效后 50 个日历天内完成本项目所有约定工作内容。
2.履约地点：宜宾市妇幼保健计划生育服务中心。
(二)付款条件
完成测评完成后采购人向成交供应商支付合同总额 30%的价款；验收合格后支付合同总额
70%的价款。
注：①采购人不得向成交供应商提出***不合理的要求作为签订合同的条件，不得将采购文件和合同中未规定的义务作为向供应商付款的条件。
②对于满足采购合同约定资金支付条件的，釆购人应当自收到发票按照要求将资金按时足额支付到约定账户。采购人不得以机构变动、人员更替、内部程序、政策调整、单位放假等为由延迟付款，采购人无故拒绝或者延迟支付政府采购合同款项的，应当依照采购合同约定承担违约责任。
③每次付款前，供应商须向采购人出具合法有效完整的增值税发票及凭证资料后进行支付结算，付款方式均采用公对公的银行转账，采购人接受转账的开户信息以合同载明的为准。如因供应商未按照要求提供合法有效的发票导致逾期付款的，不视为采购人违约，采购人不承担***责任。
(三)保险
1.供应商应当遵守国家有关消防、安全、生产操作、劳动保护等方面的规定，并根据自身实际情况和项目履约实际情况，购买涉及上述履约风险的对应保险，保险金额以抵消可能发生的事故因其发生所造成的财产、人身损失承担赔偿保险金责任，维护保险标的的安全。
2.供应商应为本项目提供履约的所有人员按照国家规定购买相关保险。
(四)知识产权
1.供应商在本项目使用***产品和服务(包括部分使用)时，不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷，如因专利权、商标权或其它知识产权而引起法律和经济纠纷，由供应商承担所有相关责任。
2.采购人享有本项目实施过程中产生的知识成果及知识产权，并依据实际情况对采购标的涉及的知识产权的进行处理。

3.供应商如欲在项目实施过程中采用自有知识成果，需在响应文件中声明，并提供相关知识产权证明文件。使用该知识成果后，供应商需提供相关技术文档，并承诺提供无限期技术支持，采购人享有***使用权。
4.如采用供应商所不拥有的知识产权，则在报价中必须包括合法获取该知识产权的相关费用。
(五)其他要求
1.政府采购合同签订时间及要求：供应商自成交通知书发出之日起 30 日内与采购人签订政府采购合同。供应商在签订采购合同时，应向采购人提供截止合同签订之日的行贿犯罪查询记录(包含供应商名称、法定代表人、主要负责人、签订合同的授权代表)，以及授权代表在职和社***明，未提供的采购人有权拒绝签订采购合同。
2.供应商应严格执行《中华人民共和国民法典》、《中华人民共和国劳动合同法》及项目所在地***工资标准等相关法律、法规并依法与服务人员签订劳动合同，并办理各种用工手续， 如因用工不当，给采购人及服务人员造成的损失由供应商承担(应在响应文件中提供承诺函进行响应，格式自拟)。
3.供应商服务从业人员在服务期间发生伤亡事故，或在服务过程中造成第三人伤亡的，责任由供应商承担(应在响应文件中提供承诺函进行响应，格式自拟)。
4.政府采购合同文本的主要条款、履约验收等要求详见竞争性磋商文件第八章。
5.本项目采购过程和合同履行过程中的风险严格按照采购人的风险控制管理要求执行。

注意：1.本章带“★”号条款为实质性要求，供应商若未满足的，将被视为无效响应。
2.本章的要求不能作为资格性条件要求评审，如存在资格性条件要求，应当认定磋商文件编制存在重大缺陷，磋商小组应当停止评审。
合同履行期限：政府采购合同签订生效后 50 个日历天内完成本项目所有约定工作内容。
本项目( 不接受 )联合体投标。
二、申请人的资格要求：
1.满足《中华人民共和国政府采购法》第二十二条规定；
2.落实政府采购政策需满足的资格要求：
无

3.本项目的特定资格要求：无
三、获取采购文件
时间：2023年06月22日 至 2023年06月29日，每天上午9:00至14:00，下午14:00至17:30。（北京时间，法定节假日除外）
地点：在宜宾市翠屏区岷江北路68号正和花园A幢2楼2号（四川融创标合招标代理有限公司）（地址）获取。
方式：本项目磋商文件有偿获取，磋商文件售价：人民币400元/份（现金交纳，磋商文件售后不退,磋商资格不能转让）。 方式：1、现场发售。获取磋商文件时，供应商为法人或者其他组织的，须提供单位介绍信原件（加盖单位公章）、法人身份证复印件、营业执照（三证合一）、经办人身份证复印件（加盖单位公章）、《招标（采购）文件购买登记表》、资料费银行转账凭证，经办人身份证原件备查；供应商为自然人的，须提供本人身份证复印件、《供应商报名登记表》。 方式：2、网络（远程）发售。请将以下报名资料盖章后扫描上传至邮箱：428783904@qq.com。供应商为法人或者其他组织的，须提供单位介绍信原件（加盖单位公章）、经办人身份证复印件（加盖单位公章）、《招标（采购）文件购买登记表》；供应商为自然人的，须提供本人身份证复印件、《招标（采购）文件购买登记表》。上传后请致电0831-5892220，再按照提示缴费。报名成功后，采购代理机构将磋商文件电子版发送至供应商招标（采购）文件购买登记表载明的电子邮箱。注：供应商购买磋商文件时须如实认真填写项目信息及供应商信息；若因供应商提供的错误信息，对其磋商事宜造成影响的，由供应商自行承担所有责任(若供应商需变更报名信息，请于获取文件截止之日前到采购代理机构重新登记)。
售价：￥400.0 元（人民币）
四、响应文件提交
截止时间：2023年07月03日 14点00分（北京时间）
地点：宜宾市翠屏区岷江北路68号正和花园A幢2楼2号。
五、开启
时间：2023年07月03日 14点00分（北京时间）
地点：宜宾市翠屏区岷江北路68号正和花园A幢2楼2号。
六、公告期限
自本公告发布之日起3个工作日。
七、其他补充事宜
八、凡对本次采购提出询问，请按以下方式联系。
1.采购人信息
名 称：宜宾市妇幼保健计划生育服务中心
地址：四川省宜宾市翠屏区人民路267号
联系方式：赵老师0831-2322967
2.采购代理机构信息
名 称：四川融创标合招标代理有限公司
地　址：宜宾市翠屏区岷江北路68号正和花园A幢2楼2号
联系方式：杜女士0831-5892208
3.项目联系方式
项目联系人：赵老师
电　话：　　0831-2322967