根据网络安全法及相关上级指示文件的相关要求，结合《信息安全技术信息系统安全等级保护基本要求(GBT_22239—2008)》、GBT25070-2019《信息安全技术网络安全等级保护安全设计技术要求》等相关文件的标准要求及指示精神，为了将网络安全工作落到实处，以满足新形势下的信息安全工作需求，结合我单位实际情况决定开展网络安全等级保护测评项目。

天津市静海区医院开展等级保护测评项目询价调研活动，现诚邀各单位参加。请贵单位于 2022年10月 21日17:30前，确认满足项目需求并参加此次报价，请提供以下证明材料：法人或者其他组织的营业执照等证明文件，法人的身份证明；具备履行项目所必需技术能力的证明材料；报价文件（包含资质、报价等内容）。

一、等级保护测评系统

二、服务要求

1.协助我院进行信息系统业务内容分析、系统边界界定、业务信息安全保护等级、系统服务安全保护等级及最终系统级别的选取及确认，定级报告的出具等。

2.协助我院进行备案单位情况、系统基本情况梳理及备案相关表格的梳理等。

3.针对被测系统的物理环境情况调研、网络拓扑图梳理及网络设备调研及分类整理、系统服务器硬件情况调研及梳理、操作系统及数据库系统情况调研及梳理、应用程序业务流程及数据流向调研梳理以及安全管理制度建设情况调研，进行差距分析。

4.针对被测信息系统资产情况及运行环境，依据国家等级保护2.0相关标准规范，确定等级保护测评对象、测评指标、测评方法、测评实施计划等内容，编写测评方案。

5.针对被测信息系统的物理环境、网络环境及设备配置、操作系统及数据库系统配置、应用程序相关安全防护以及安全管理制度建设等各个层面，按照等保2.0标准开展等级保护测评。

6.针对被测信息系统，通过专业漏洞扫描工具的使用，结合测评师经验对关键操作系统及应用系统的常见漏洞进行扫描分析，综合评估安全风险；根据相关结果进行风险分析，分析信息系统存在的风险。

7.综合以上结果，形成等级测评结论，输出等级测评报告，并完成相关报备工作。

8.根据等级测评结论，并根据信息系统的状况和未来业务发展能力，形成整改建设建议。

三、技术要求

1.供应商应把握和理解国家对该类项目的具体要求，对等级保护2.0相关政策标准本身有较深的认识。

2.供应商应具有完善的工作流程，有计划、按步骤地开展测评工作，保证测评活动的每个环节都得到有效的控制。

3.供应商应具有完善的应急流程，具有快速应急响应服务，以保证在整个项目过程中不影响采购人信息系统的正常运行。

4.供应商在现场测评环节过程中不能影响采购人的各项系统正常运行,针对工具测试等环节需要做好相应的应急预案以及操作规范。

5. 供应商应具有完善的测评方案，包括物理安全、主机安全、网络安全、应用安全、数据备份与恢复，管理安全等。

6.供应商应具有完善的项目管理经验，包括制定项目汇报的流程、项目问题管理流程等。

7.供应商在等级保护项目中必须提交国家规定格式和标准的等级保护测评报告，并以此作为验收标准。

8.供应商应具有良好的质量控制的能力和质量管理体系，具备信息安全技术咨询服务和等级保护测评服务方向的质量管理体系认证，以保证测评工作的客观、公正、安全。

9.供应商组建的项目组须至少配备5名测评师，供应商组成的测评组须具有专业化的技术力量，其中测评组长应为高级测评师，并且具备CISA等专业信息安全资质，测评小组应具有网络类、操作系统类、数据库类、管理类、渗透类等认证的专业人员。

四、实质性要求

供应商须具有公安机关认可的网络安全等级保护测评资质，并在全国网络安全等级测评与检验评估保机构目录中，需提供公安部第三研究所（国家认证认可委员会批准的认证机构）认证发放的《网络安全等级测评与检测评估机构服务认证证书》。若为外地企业还需提供天津市网络安全等级保护工作领导（协调）小组办公室出具的备案证明文件，提供有效期内证明文件复印件加盖公章。