本单位将开展网络安全等级保护工作，以自行组织询价方式进行此项目的市场调研及立项申报工作。****公司按以下要求于2024年11月16日前,****公司公章的响应文件提交到本单位。

1.项目背景

******医院在加快信息化建设和信息系统开发的同时，高度重视信息安全工作，采取了多种防范措施严密保证信息安全。随着《中华人民**国网络安全法》正式施行，法律强调网络运营者的义务，提出“网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务”的法律要求。本院对网络安全高度重视，******部、国家保密局、****管理局和****办公室四部委联合制定的《信息安全等级保护管理办法》的要求，为了符合《中华人民**国网络安全法》的相关要求，为了使后续的网络安全建设工作具有目标，特开展本次网络安全服务项目。

2.服务内容

2.1网络安全等级保护测评服务

根据《网络安全等级保护测评过程指南》、《网络安全等级保护基本要求》、《网络安全等级保护测评要求》等相关标准规范进行测评，并根据《网络安全等级保护测评报告模版》出具测评报告，协助******医院对以下系统进行等级保护测评工作。

2.2 网络安全风险评估服务

服务范围如下

风险评估需要按照《信息系统安全保障评估框架》、《信息安全风险评估规范》等标准规范开展评估工作。风险评估的范围应全面，涉及到网络信息系统的各个方面，包括物理环境、网络结构、应用系统、数据库、服务器及网络安全设备的安全性、安全产品和技术的应用状况以及管理体系是否完善等等；同时对管理风险、综合安全风险以及应用系统安全性进行评估。

安全风险评估服务共分为以下五个阶段：

一是信息资产的界定和赋值：信息资产的识别和赋值可以确定评估的对象，是整个评估工作的基础，本阶段可以实现信息资产识别和价值评定过程的标准化，完成一份完整和最新的信息资产清单，对信息资产管理工作会有所帮助。首先要识别信息资产，完成所有重要信息资产的清单。按照资产性质和客户业务类型等可以分成若干资产类，一般分为数据、软件、服务、硬件、设备和文档等。根据不同的项目目标与项目特点，重点识别的资产类别会有所不同，在通常的项目中，一般数据、软件和服务为重点。资产赋值是对其三个安全特性：机密性、完整性和可用性方面的价值分别赋予价值等级。根据不同的应用需求、应用特性和安全目标，资产在其三个安全特性方面的价值会有所不同，应以不同的权值来计算资产价值。

二是威胁的评估：列出每项抽样选取的信息资产面临的威胁，对威胁发生的可能性、造成后果的严重性分别赋值。主要采用如下方式：

潜在威胁分析，对系统中信息安全方面潜在威胁和可能入侵给出全面的分析，潜在威胁主要是根据每项资产的安全弱点而引发的安全威胁，会对漏洞可能会引起的威胁通过对漏洞的进一步分析进行赋值，主要是通过对威胁发生的可能性和造成后果的严重性来对其进行赋值；

当前威胁审计和日志分析，充分了解当前的安全威胁状况，利用工具对我院重要信息系统存在的威胁进行定量审计；

安全威胁综合分析，对我院信息安全方面已存在的威胁、潜在威胁结合起来进行综合的分析，给出全面的威胁报告。威胁报告内容是与信息资产存在的漏洞相对应的，并对威胁进行了相应的赋值；

三是弱点的评估：根据主机、网络、应用、数据库等多方面的扫描和评估结果，进行综合性的安全技术性弱点分析评估。

四是现有安全措施评估：列出每项信息资产已经具有的安全措施、有效的安全服务和安全控制手段，分析其安全策略，考虑其计划实施的安全措施，对其现有的和计划实行的安全措施的强弱程度进行赋值。对资产安全措施进行赋值主要是根据对信息资产的机密性、完整性和可用性方面的综合因素，赋予等级。

五是综合风险分析。针对我院各信息系统，综合信息资产列表、弱点和漏洞列表、威胁列表、已有的安全控制手段，得出最终的风险分析报告。

2.3 网络安全巡检

每季度开展一次网络安全巡检，及时发现安全隐患和新问题，并在工作开展前提供网络安全巡检方案和巡检后提供网络安全巡检报告。降低系统所在网络、主机、应用、数据库等各层面的安全风险。可以对潜伏于系统中的安全威胁等进行排查与处置、漏洞扫描。内容包含：网络系统安全、操作系统安全、数据库安全、数据的传输安全、应用身份鉴定、应用授权管理、应用访问控制、应用审计追踪。并对我院管理制度更新持续提供咨询服务。

2.4网络安全应急演练

根据我院业务系统和网络安全实际，事先搭**全事件攻防环境，定制技术应急、流程响应等演练方案，模拟安全攻防演练全过程，并对使用的攻防技术和处理方式进行详细讲解。使我院技术人员能够置身于真实的安全事件攻防环境中，直观地体会从安全事件发生到预警到应急处置每一个环节的实现方法、技术原理及处置流程。

攻防实战演练要求：1、人员技术过硬，红蓝两队人员均必须是参加过护网或其它真实攻防对抗的技术人员，能够熟练使用各种扫描渗透工具、能够根据特定漏洞进行数据包构造或SQL语句编写并发起攻击、能够根据设备日志发现攻击方式并编写策略进行针对性防护；2、过程可控，攻防实战演练服务需要服务提供方能够全面记录攻击过程，全过程留痕并可审计；3、环境可控，攻防实战演练服务场地由用户提供，服务方需在现场部署监控设备，人员行为应受到监控；4、风险可控，服务方应提供现场突发事件支持及应急处置；5、成果可控，攻防演练报告应经过未参与攻防演练的专业技术人员审核签字，确保演练的专业性。

2.5网络安全培训

对我院员工开展网络安全意识培训。通过真实案例了解网络安全与每人息息相关，通过对相关法律法规解读做到知法守法，通过网络安全意识与基本常识的学习提升每个节点的安全性，补强短板。

****中心人员开展网络安全知识培训。提高我院技术人员的网络安全知识储备和技能水平。包括但不限于：信息安全知识、网络安全知识、等级保护2.0、相关法律法规等。

2.6网络安全人员培训认证

对我院两名技术人员提供可获得证书的网络安全专业人员培训及认证考试。

3.服务期

所有等级保护和网络安全工作在签订合同之日起1年内完成。

4.技术要求

4.1供应商能够把握和理解国家对该类项目的具体要求，对等级保护政策标准，如：《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）、《信息安全技术 网络安全等级保护测评过程指南》（GB/T28449-2018）、《信息安全技术 网络安全等级保护测评要求》（GB/T28448-2019）等内容有较深的认识。

4.2供应商应具有完善的项目管理经验，包括制定项目汇报的体系、项目问题管理体系等，建立信息安全测评服务质量体系。测评实施的质量要素包括：项目的进度，关键节点的服务成果，最终用户的服务反馈等。

4.3供应商以及组建的测评组需在入场前签署保密协议。保密期限至少10年。

4.4供应商应具备完善的网络安全等级保护2.0测评方案，包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理等。

4.5供应商应为本项目成立不少于6人的项目组。其中包含项目组长1名、技术人员至少5名。项目组组长需具备高级测评师和信息安全保障人员认证证书CISAW，技术人员需具备网络安全等级保护测评师证书和与本项目服务内容相关的服务经验。

4.6供应商应具备在项目实施过程中的风险控制能力，保证招标人系统正常稳定运行，对于系统突发安全事件有应急处置方案。

4.7供应商具备国家信息安全测评信息安全服务资质。

4.8测评需要按照《信息系统安全等级保护测评过程指南》、《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》等相关标准规范进行等级保护测评。

4.9在新重要系统建设、升级改造前需根据国家安全等级保护相关规定**策法规及技术标准规范提供咨询服务，依据信息系统建设安全规范，提出信息系统的安全需求分析、安全方案设计。

4.10供应商提供的风险评估服务，包括但不限于资产赋值、安全脆弱性的评估、安全威胁的评估、综合风险分析。评估对象应包括：操作系统平台、网络结构、网络设备、应用服务器、数据库服务器、物理环境、安全管理、工具测试。

4.11风险评估服务需要采用专业工具扫描（漏洞扫描、数据库扫描采用产品必须为商业化产品）、人工评估、渗透测试三种相结合的方式。

4.12网络安全巡检服务，需要包含对潜伏于系统中的安全威胁等进行排查与处置、漏洞扫描，降低系统所在网络、主机、应用、数据库等各层面的安全风险。并对我院管理制度更新持续提供咨询服务。

4.13网络安全巡检服务内容需要包含：网络系统安全、操作系统安全、数据库安全、数据的传输安全、应用身份鉴定、应用授权管理、应用访问控制、应用审计追踪。

4.14网络安全应急演练服务需要事先搭**全事件攻防环境，定制技术应急、流程响应等演练方案，模拟安全攻防演练全过程，并对使用的攻防技术和处理方式进行详细讲解。

5.响应文件需要包含的材料：

5.1营业执照证书（复印件加盖公章）；

5.2网络安全等级测评与检测评估机构服务认证证书（复印件加盖公章）；

5.3网络安全等级保护测评服务报价单加盖公章；

5.4医疗系统网络安全等级保护测评业绩证明材料加盖公章。

6. 如需现场查看网络情况，可自行到******医院实地调研。

7. 提交材料加盖公章发送至****@163.com

咨询电话：022-****7135

报价时间：2024年11月12日-2024年11月16日