温州市中西医结合医院询价单

按照省市卫计委、市公安局等保检测相关文件精神，我院计划对三级（面向患者的综合服务系统）一个系统进行系统信息安全等级保护测评，现向贵公司进行询价（具体询价要求见表格及附件）。如贵公司有意竞标，请评估我方需求，在询价截止时间（2018年11月16日14时）前将报价文件密封好送到（或邮寄）院信息中心周先生收，医院信息中心将在    2018年11月16日14  时召开询价会议拆封询价文件，以最低价报价为评定标准。邮编：325000，联系电话：88914220地址：温州市锦绣路75号（温州市中西医结合医院门诊六楼信息中心）

预算价格 ：5万

注意事项：

1、投标报价为一次性最低报价，修改无效；

2、投标人应在报价单上加盖公章。

3、其他技术方面的问题请联系：13605775220                 

询价人：                 报价公司： （盖章）

联系人：

联系电话：                 联系电话：

地址：                   报价时间：

附件：

信息安全测评项目询价要求

一、项目一览表

本次项目共1个标段，具体内容如下表：

二、具体技术需求

1、定级测评内容

根据国家等级保护相关标准，测评机构对温州市中西医结合医院的信息系统完成定级、测评、协助整改、报备等工作。要求对以上业务信息系统进行摸底、分析和梳理，提出测评方案，并逐一对信息系统进行安全等级保护测评：

(1) 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

(2) 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；完成测评工作后，提出整改方案并实施整改，最后出具符合公安机关要求的信息系统安全保护等级测评报告，并协助温州市中西医结合医院完成信息系统安全保护等级备案工作。

2、测评依据标准

测评机构应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

GB/T 22239-2008《信息安全技术信息系统安全等级保护基本要求》

GB/T 22240-2008《信息安全技术信息系统安全等级保护定级指南》

GB/T 25058-2010《信息安全技术信息系统安全等级保护实施指南》

GB/T 24363-2009《信息安全技术信息安全应急响应计划规范》

GB/T 28448-2012《信息安全技术信息系统安全等级保护测评要求》

GB/T 28449-2012《信息安全技术信息系统安全等级保护测评过程指南》

3、技术服务

（1）安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

a、  保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害温州市中西医结合医院的行为，否则温州市中西医结合医院有权追究测评机构的责任。

b、  标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

c、  规范性原则：测评机构的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

d、  可控性原则：测评服务的进度要跟上进度表的安排，保证温州市中西医结合医院对于测评工作的可控性。

e、  整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

f、  最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

（2）本次等级保护测评的具体要求

a、  测评机构应详细描述本次等级保护测评的具体实施方案，包括项目概述、等级保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

b、  测评机构应详细描述测评人员的组成、资质及各自职责的划分。测评机构应配置有经验且拥有行业认证的测评人员进行本次等级保护测评工作。

c、  本次等级保护测评实施过程中所使用到的各种工具软件由测评机构推荐，经温州市中西医结合医院确认后由测评机构提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对测评系统造成的风险等。

d、  安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由测评机构推荐，经温州市中西医结合医院确认后由测评机构提供并在测评中使用。

e、  安全测评需要的运行环境（如场地、网络环境等）由温州市中西医结合医院提供，测评机构应详细描述需要的运行环境的具体要求。

f、  测评公司在系统测评完成后应提供一年的技术咨询服务及现场响应服务应在温州设立服务网点和服务人员（中标后提供温州本地社保证明）。

（3）信息系统安全测评报告

a、  测评机构应对温州市中西医结合医院的信息系统进行等级保护测评，形成相应的测评报告。

b、  测评机构在测评后出具符合浙江省公安厅要求的系统安全保护等级测评报告；

c、  对上述系统不符合信息安全等级保护有关管理规范和技术标准的，测评机构出具可行整改方案并协助温州市中西医结合医院整改和整改项的再次测评服务。

d、  测评机构协助温州市中西医结合医院办理信息系统安全保护等级备案手续，直至备案完成。

4、其它要求

（1）测评机构应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权，并对所涉及的专利、知识产权等法律条款承担义务，温州市中西医结合医院以上问题不承担任何法律责任。

（2）若测评机构的设备和系统包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。

（3）测评机构必须和温州市中西医结合医院签订保密协议和风险告知书，在合同签订时一并提供给温州市中西医结合医院。

（4）测评机构在协助温州市中西医结合医院进行信息系统不达标项整改时，须提供相关的信息安全培训。

询价文件