序号

内容

需求清单

1

测评范围

2

依据标准

实施方应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

《中华人民共和国网络安全法》；

《信息安全等级保护管理办法》（公通字〔2007〕43 号）；

《计算机信息系统安全保护等级划分准则》（GB17859-1999）;

《信息安全技术 网络安全等级保护基本要求》（GB/T22239-2019）；

《信息安全技术 网络安全等级保护安全设计技术要求》（GB/T25070-2019）；

《信息安全技术 网络安全等级保护测评要求》（GB/T28448-2019）；

《信息安全技术 网络安全等级保护测评过程指南》（GB/T28449-2018）；

《信息安全技术 网络安全等级保护定级指南》（GB/T22240-2020）；

《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T36627-2018）。

根据国家最新标准开展测评工作。

3

技术要求

根据国家网络安全等级保护相关标准，实施方对衢州市人民医院信息系统安全等级保护测评的内容包括但不限于以下内容：

安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评； 

1、等级测评要求

（1)实施方应在对本单位系统详细了解的基础上，编制针对性的等级保护测评整体实施方案，包括项目概述、等级测评范围和内容、项目实施流程、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

（2）实施方应详细描述测评人员的组成、资质及各自职责的划分。实施方应配置有经验的测评人员进行本次等级测评工作。

（3）本次等级测评实施过程中所使用到的各种工具软件由实施方推荐，经采购方确认后由实施方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

（4）对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。

（5）交完整的技术文档、测评报告、整改建议等。

2、项目实施要求

（1）实施方应保证投标项目在采购方条件成熟时立即开展实施；

（2）实施方在项目实施过程中应服从采购方的统一领导和协调，采购方有权裁决实施方的责任范围，实施方必须执行，在采购方限定的时间内解决问题。如果实施方不能按时完成测评内容，采购方有权中止项目、索赔或拒付款项；

（3）实施方需根据自己的工程实施经验结合采购方的实际需求进一步细化和完善工作任务书，作为工程实施的指导性文件；

（4）实施方应根据采购方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保工程实施按时保质的完成；

（5）本次项目实施骨干人员至少包含1名高级测评师（提供证书复印件）；本项目负责人必须具有5年以上的测评工作经验，并参与过具有大型复杂测评项目的实施经验；承担本次项目的项目经理必须同时具有高级测评师证书、Oracle数据库认证专家证书（OCP）、网络工程师中级证书、CISO(注册信息安全管理人员)（提供证书复印件），确保项目的顺利实施；

（6）测评人员驻场人员需求：具有网络安全检测或安全服务相关的工作经验，具有较强的沟通协调能力，组长具有中级测评师、注册网络安全渗透评估专业人员证书、信创管理规划师（高级）证书相关证书，协调开展信息系统的分析梳理、定级备案、等保测评及协助落实技术整改等工作；

时间需求：该人员需从项目进场测评开始，直至我院通过网安部门获取备案证明后，方可离场，在此期间除非工作日外，其他时间均需要在我院驻场提供现场支撑。（需提供人员资质扫描件、公司人员参保证明）；

(7)项目验收完成后，要求提供为期一年的安全咨询服务，以保证项目正常运行。

4

测评报告要求

实施方应对采购人的各个信息系统进行等级保护测评，形成相应的报告。

(1) 实施方在测评完成后，出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评报告；

(2)对不符合信息安全等级保护有关管理规范和技术标准的，实施方出具可行的信息系统整改建议，并指导用户方完成整改；

 (3)实施方协助用户方办理信息系统安全等级保护备案手续等相关工作。

交货期限

30天

服务期限

1年