一、我院拟对内外网系统安全等保整改项目（三级等保安全测评)进行竞争性询价,特邀请具有合法资格的单位前来洽谈。

二、项目名称：首都医科大学附属复兴医院内外网系统安全等保整改项目（三级等保安全测评)

三、预算：16万

四、具体要求：请见附件，对项目内容等事宜请联系我院信息中心：联系人：宋炎；联系电话：88062900。

五、通用要求：

1.资质要求

（1）必须是在中华人民共和国境内注册的，有独立法人资格公司；

（2）须具有良好的商业信誉和健全的财务会计制度；

（3）须具有完成本项目所必须的设备、专业技术能力和质量控制能力；

（4）应有依法缴纳税收和社会保障资金的良好记录；

（5）参加此项采购活动前三年内，在经营活动中没有重大违法记录；

（6）本项目不接受联合体报价；

（7）有医疗行业三级等保安全测评经验者优先。

2.投标价格不得超出本项目预算的控制范围。

3．有意参加本次洽谈的投标人须准备文件一式四份，内容包括：企业营业执照复印件、法定代表人授权委托书原件、被委托人身份证复印件；服务方案、报价、项目业绩（附合同）等，投标人认为有必要的相关材料(所有文件须加盖公章)，按顺序装册封装，并于封袋外标明项目名称、联系人、联系电话，加盖公章，于2018年7月6日14:00时前送交到行政楼5层集中采购办公室。联系人：曹老师，联系电话：88062299，88062614

4．具体洽谈时间另行通知。

5．洽谈后不得以任何理由更改条件，否则视为作废。

2018年6月29日

附件：首都医科大学附属复兴医院内外网系统安全等保整改项目

（三级等保安全测评）技术需求

一、项目描述

根据卫生部部和国家等级保护相关要求，对我单位《首都医科大学附属复兴医院内外网系统安全等保整改项目》建设进行安全测评。

1.1项目内容

本次安全测评服务项目的主要内容包括：

（1）针对《首都医科大学附属复兴医院内外网系统安全等保整改项目》的实施方案进行审核，并对项目实施后的网络系统安全进行合规性测评。

（2）对整改后的系统与相应保护等级要求之间的差距，确定不符合安全项，出具差距分析报告及整改建议；现状调研及差距分析内容包含物理安全、网络安全、主机安全、应用安全、数据安全、安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理10个层面。

1.2时间要求

中标方应在《首都医科大学附属复兴医院内外网系统安全等保整改项目》实施完成10个工作日内，完成上述工作。

1.3人员组织要求

投标方应提供拟指派参加本项目的技术小组成员的详细技术背景资料，项目成员中必须具备以下的相关资格：

项目组成员至少 5 人，且具有 3 年以上的安全咨询服务项目经验。至少具备相关证书（CISP、CISAW、ISO27001 LA、信息安全等级测评师）中一个认证证书（请提供相关证明材料）。

投标方须提供参与本项目工作人员详细名单及项目组组织结构， 并附上核心项目人员简历。所报项目组成员一旦确定，不能擅自更改。项目确定后，必须保证所有人员的到位和工作饱满，同时保证现场人数 3 人以上，核心人员包括：项目经理、高级技术人员、关键岗位成员。

1.4保密要求

项目实施过程中，中标方所收集、产生的所有本项目相关文档、资料，包括文字、图片、表格、数字等各种形式均归属医院所有，中标方有义务对所涉及内容保密，并按照医院要求签署保密协议。

1.5项目应满足的原则

测评的方案设计与具体实施应满足以下原则：

最小影响原则：测评工作应尽可能小的影响系统和网络的正常运行，不能对现网的运行和业务的正常提供产生显著影响（包括系统性能明显下降、网络拥塞、服务中断，如无法避免出现这些情况应在应答书上详细描述）。

可控性原则：方法和过程要在双方认可的范围之内，安全服务的进度要按照进度表进度的安排，保证医院对于服务工作的可控性。

整体性原则： 测评应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

针对性原则：整改应根据测评报告，有针对性地加以解决。整改后不能引入新的问题。

标准性原则：服务方案的设计与实施应依据国家及行业的相关标准进行。

规范性原则：服务提供商的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

保密原则：对过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害医院的行为，否则我单位有权追究中标方的责任。我单位有权要求中标方在服务结束之后销毁所有和本项目有关的数据和文档。

1.6项目要求

（1）现状调研及差距分析过程中中标方应按照规范要求逐项开展，明确记录达标、不达标、不适用的原因及相关说明材料。

（2）安全符合性测评结束后投标方应根据测评结果出具符合性测评报告，报告中应详述达标情况说明及证明材料，并对不达标项提出详尽的整改建议。

（3）安全符合性测评过程中应明确项目过程中人员的组成及各自职责的划分。中标方应配置有保险行业内安全项目管理经验的管理人员进行本项目的管理工作；技术人员要求具备大型安全测评服务项目的丰富实施经验，在协商确定项目组人员组成后未经医院确认不允许随意更换。