中医药大学附属第二医院2023年度医院信息安全等级保护测评项目招标文件

公开招标采购文件

项目名称：2023年度医院信息安全等级保护

测评项目

目录

第一章招标公告.................................................3

供应商须知前附表.................................................5

第二章采购内容及需求...........................................10

第三章供应商须知..............................................22

第四章评标办法................................................35

第五章采购合同................................................42

第六章投标文件格式............................................42

2

第一章招标公告

项目概况

浙江中医药大学附属第二医院2023年度医院信息安全等级保护测评项目招标项目的潜

在投标人应在浙江政府采购网（获取（下载）招标文件，并于2023年7月18日14:00（北

京时间）前递交（上传）投标文件。

一、项目基本情况

项目编号：ZJ-2331697

项目名称：浙江中医药大学附属第二医院2023年度医院信息安全等级保护测评项目

预算金额（元）：150000

最高限价（元）：150000

采购需求：

标项一：

标项名称：2023年度医院信息安全等级保护测评项目

数量：1项

预算金额（元）：150000

简要规格描述或项目基本概况介绍、用途：为贯彻落实国家信息安全等级保护制度，进

一步完善浙江中医药大学附属第二医院信息系统安全管理体系和技术防护体系，增强信息安

全保护意识，明确信息安全保障重点，落实信息安全责任,切实提高浙江中医药大学附属第二

医院系统信息安全防护能力，同时加强对浙江中医药大学附属第二医院信息系统安全的指导

和检查工作，特拟请独立、专业的第三方测评机构对浙江中医药大学附属第二医院信息系统

进行等级保护测评服务。具体要求详见采购文件。

备注：

合同履约期限：标项1,按采购文件要求

本项目（是）接受联合体投标。

二、申请人的资格要求：

1.满足《中华人民共和国政府采购法》第二十二条规定；未被“信用中国”

（）、中国政府采购网（）列入失信被执行人、重大税

3

收违法案件当事人名单、政府采购严重违法失信行为记录名单。

2.落实政府采购政策需满足的资格要求：本项目专门面向中小企业采购，所投服务由中

小企业承接（监狱企业及残疾人福利性单位视同小型、微型企业）。

3.本项目的特定资格要求：无

三、获取招标文件

时间：/至2023年7月18日，每天上午00：00至12：00,下午12：00至23：59（北

京时间，线上获取法定节假日均可，线下获取文件法定节假日除外）

地点（网址）：政府采购云平台（）

方式：供应商登录政采云平台在线申请获取采购文件（进入“项目采购”应用，在获取采

购文件菜单中选择项目，申请获取采购文件）

售价（元）：0

四、提交投标文件截止时间、开标时间和地点

提交投标文件截止时间：2023年7月18日14:00（北京时间）

投标地点（网址）：线上（政府采购云平台（））

开标时间：2023年7月18EI14:00

开标地点（网址）：线上（政府采购云平台（））

五、公告期限

自本公告发布之日起5个工作日。

六、其他补充事宜

1.《浙江省财政厅关于进一步发挥政府采购政策功能全力推动经济稳进提质的通知》（浙

财采监（2022）3号）、《浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境

的通知》（浙财采监（2021）22号））、《浙江省财政厅关于进一步加大政府采购支持中小企业

力度助力扎实稳住经济的通知》（浙财采监（2022）8号）已分别于2022年1月29日、2022

年2月1日和2022年7月1日开始实施，此前有关规定与上述文件内容不一致的，按上述文

件要求执行。

2.根据《浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知》（浙

财采监（2021）22号）文件关于“健全行政裁决机制”要求，鼓励供应商在线提起询问，路

径为：政采云-项目采购-询问质疑投诉-询问列表:鼓励供应商在线提起质疑，路径为：政采云

-项目采购-询问质疑投诉-质疑列表。质疑供应商对在线质疑答复不满意的，可在线提起投诉,

4

路径为：浙江政府服务网-政府采购投诉处理-在线办理。

3.供应商认为采购文件使自己的权益受到损害的，可以自获取采购文件之日或者采购公

告期限届满之日（公告期限届满后获取采购文件的，以公告期限届满之日为准）起7个工作

日内，对采购文件需求的以书面形式向采购人提出质疑，对其他内容的以书面形式向采购人

和采购代理机构提出质疑。质疑供应商对采购人、采购代理机构的答复不满意或者采购人、

采购代理机构未在规定的时间内作出答复的，可以在答复期满后十五个工作日内向同级政府

采购监督管理部门投诉。质疑函范本、投诉书范本请到浙江政府采购网下载专区下载。

4.其他事项：（1）采购项目需要落实的政府采购政策：《政府采购促进中小企业发展管

理办法》（财库（2020）46号）、《关于促进残疾人就业政府采购政策的通知》（财库（2017）

141号）、《关于政府采购支持监狱企业发展有关问题的通知》（财库[2014]68号）、《关于调整

优化节能产品环境标志产品政府采购执行机制的通知》（财库[2019]9号）。

（2）根据《浙江省财政厅关于规范政府采购供应商资格设定及资格审查的通知》（浙财采监

[2013]24号）第6条规定接受金融、保险、通讯等特定行业的全国性企业所设立的区域性分

支机构，以及个体工商户、个人独资企业、合伙企业，且己经依法办理了工商、税务和社保

登记手续，并且获得总机构授权或能够提供房产权证或其他有效财产证明材料•，证明其具备

实际承担责任的能力和法定的缔结合同能力；

（3）单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得同时参加同一合

同项下的投标。

（4）为项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得参加

该项目的投标；

（5）供应商网上报名时需提供项目负责人联系方式，以便及时联系。

（6）本项目采购文件公告期限为本公告发布之日起5个工作日。

七、对本次采购提出询问、质疑、投诉，请按以下方式联系

供应商须知前附表

序号项目内容

1采购人

5

序号项目内容

2采购代理机构

3项目名称2023年度医院信息安全等级保护测评项目

4项目编号ZJ-2331697

5采购方式公开招标

6资金来源已落实

资格后审。

7资格审查方式开标结束后，采购人或者采购代理机构依法对供应商的资格进

行审查。资格审核不合格的供应商，对其投标做无效投标处理。

(1)严格执行《财政部发展改革委生态环境部市场监管总

局关于调整优化节能产品、环境标志产品政府采购执行机制的

通知》(财库(2019)9号)。

(2)采购人拟采购的产品属于品目清单范围的，采购人及其委

托的采购代理机构将依据国家确定的认证机构出具的、处于有

效期之内的节能产品、环境标志产品认证证书，对获得证书的

产品实施政府优先采购或强制采购。供应商须按采购文件要求

环境标志产品

8提供相关产品认证证书。

节能产品

▲(3)采购人拟采购的产品属于政府强制采购的节能产品品目

清单范围的，供应商未按采购文件要求提供国家确定的认证机

构出具的、处于有效期之内的节能产品认证证书，投标无效。

属于政府优先采购产品类别的，须按照要求提供依据国家确定

的认证机构出具的、处于有效期之内的节能产品或环境标志产

品认证证书，否则不予认定。

口适用日不适用

9投标产品主体本项目核心产品为：(不适用)

10投标保证金口适用囹不适用

11投标有效期投标截止日后90天内有效，不足有效期的，其投标视为无效标。

12踏勘现场供应商自行现场踏勘

供应商如认为采购文件表述不清晰的，请于2023年6月30日

17：00之前将疑问发送至该电子邮件(邮箱)。答疑回复内容

13投标答疑

是采购文件的组成部份，并将以更正公告的形式在本采购公告

发布的同一媒体发布，请供应商密切关注更正公告

采购人或者采购代理机构可以对已发出的采购文件进行必要的

澄清或者修改。澄清或者修改的内容可能影响投标文件编制的，

采购人或者采购代理机构应当在投标截止时间至少15日前，将

采购文件的澄清以更正公告的形式在采购公告发布的同一媒体发布。采购文件

14

与修改的修改和澄清(答疑)答复的文件作为采购采购文件的补充和

组成部分，对所有供应商均有约束力。若后续仍有更正内容，

将继续以更正公告形式在本网站发布，请供应商密切关注更正

公告。

本项目实行网上投标。

15投标文件形式供应商应准备2种形式的投标文件：电子加密投标文件、以介

质存储的数据电文形式的备份投标文件。

6

序号项目内容

（1）“电子加密投标文件”是指通过“政采云电子交易客户

端”完成投标文件编制后生成并加密的数据电文形式的投标文

件（后缀格式为.jmbs）

（2）“备份投标文件”是指与“电子加密投标文件”同时生成

的数据电文形式的电子文件（备份投标文件，用于供应商电子

加密投标文件解密异常时应急使用）,其他方式编制的备份投标

文件视为无效备份投标文件。备份投标文件（后缀格式为.bfbs）

以U盘形式提供。

1.电子加密投标文件：投标文件制作完成并生成加密标书，在

投标截止时间前，供应商需将加密的投标文件上传至浙江政府

采购网，到达开标时间后，供应商自行解密。

供应商未能在投标截止时间前成功上传电子加密投标文件的投

标无效。

2.备份投标文件：投标截止时间前，供应商应将备份投标文件

递交至开标地点，以便电子加密投标文件解密异常时应急使用。

投标文件的上传备份投标文件递交要求：供应商须将备份投标文件以U盘形式

16

和递交单独放在密封袋中，密封后并在密封袋上注明投标项目名称、

投标单位名称并加盖公章。未密封包装或者逾期送达的“备份

投标文件”将不予接收。

3.供应商若选择非开标当天递交，请确保在投标截止时间之

前，将备份投标文件通过邮寄或直接送达采购代理机构处，以

便标书解密异常时应急使用。

如以邮寄方式：邮寄地址：

17评标办法综合评分法

投标文件递交地

18地址：时间：2023年7月18日14:00

址及截止时间

19开标时间及地点同投标截止时间与地点

在评标过程中，如评审小组对投标文件有疑问，由评审组长将

问题汇总后发起询标澄清函，供应商应在规定截止时间前回复

20询标澄清相关内容并经签章（签字）后提交。逾期答复的，投标人自行

承担由此可能导致的对其不利的评审结果，评标委员会按少数

服从多数原则对相关内容进行评判。

21履约保证金本项目不收取履约保证金。

根据《中华人民共和国政府采购法》第五十二条的规定，供应

商认为招标文件、采购过程和中标、成交结果使自己的权益受

到损害的，可以在知道或者应知其权益受到损害之日起七个工

作日内，以书面形式向采购人、采购代理机构提出质疑。

政府采购法第五十二条规定的供应商应知其权益受到损害之

日，是指：

22质疑

（-）对可以质疑的采购文件提出质疑的，为收到采购文件之

0或者采购文件公告期限届满之日；

（-）对采购过程提出质疑的，为各采购程序环节结束之日；

（三）对中标或者成交结果提出质疑的，为中标或者成交结果

公告期限届满之日。

根据《政府采购质疑和投诉办法》第十三条，采购人、采购代

7

序号项目内容

理机构不得拒收质疑供应商在法定质疑期内发出的质疑函，应

当在收到质疑函后7个工作日内作出答复，并以书面形式通知

质疑供应商和其他有关供应商。

根据《中华人民共和国政府采购法》第五十五条的规定，质疑

供应商对采购人、采购代理机构的答复不满意或者采购人、采

23投诉

购代理机构未在规定的时间内作出答复的，可以在答复期满后

十五个工作日内向同级政府采购监督管理部门投诉。

是否允许采购进

24□允许囹不允许

口产品

是否专门面向

250是口否

中小企业采购

26样品□提供囹不提供

27演示□提供囹不提供

1.说明

（1）中小企业

中小企业是指在中华人民共和国境内依法设立，依据国务院批

准的中小企业划分标准确定的中型企业、小型企业和微型企业，

但与大企业的负责人为同一人，或者与大企业存在直接控股、

管理关系的除外。

符合中小企业划分标准的个体工商户，在政府采购活动中视同

中小企业。

在政府采购活动中，供应商提供的货物、工程或者服务符合下

列情形的，享受本办法规定的中小企业扶持政策：（一）在货物

采购项目中，货物由中小企业制造，即货物由中小企业生产且

使用该中小企业商号或者注册商标；（二）在工程采购项目中，

工程由中小企业承建，即工程施工单位为中小企业；（三）在服

务采购项目中，服务由中小企业承接，即提供服务的人员为中

小企业依照《中华人民共和国劳动合同法》订立劳动合同的从

业人员。

在货物采购项目中，供应商提供的货物既有中小企业制造货物，

28支持中小企业

也有大型企业制造货物的，不享受本办法规定的中小企业扶持

政策。

以联合体形式参加政府采购活动，联合体各方均为中小企业的，

联合体视同中小企业。其中，联合体各方均为小微企业的，联

合体视同小微企业。

投标文件中须同时出具《政府采购促进中小企业发展管理办法》

【财库（2020）46号】规定的《中小企业声明函》，否则不得

享受价格扣除。

（2）残疾人福利性单位

符合《关于促进残疾人就业政府采购政策的通知》（财库[2017）

141号）规定的条件并提供提供《残疾人福利性单位声明函》

的残疾人福利性单位视同小型、微型企业；

（3）监狱企业

根据《关于政府采购支持监狱企业发展有关问题的通知》（财库

[2014]68号）的规定，供应商提供由省级以上监狱管理局、戒

毒管理局（含新疆生产建设兵团）出具的属于监狱企业证明文

件的，视同为小型和微型企业。

8

序号项目内容

2.价格扣除：

本项目为专门面向中小企业采购，对符合规定的小微企业

(含小型企业)报价扣除：不适用。

3.本项目采购标的为：2023年度医院信息安全等级保护测评

项目所属行业为：_软件和信息技术服务业

(1)以联合体形式投标的，联合体各方的业绩证明材料均认可。

(2)以联合体形式投标的，联合体中有一方或者联合体成员根

29联合体投标说明

据分工按采购文件评标细则要求提供材料的，视为符合评审要

求。

(1)采购文件中凡标注的条款均为实质性要求，不响应

的投标文件将作无效标处理。

(2)供应商未上传电子加密投标文件，其投标无效。

(3)供应商上传了电子加密投标文件，未提供备份投标文件，

解密出现问题后，由此导致对该供应商投标无法评审的，其后

果由该供应商自行承担。

30其他(4)各供应商自行在浙江政府采购网下载或查阅采购文件和相

关更正公告等，不另行通知，如有遗漏采购人、采购代理机构

概不负责。

(5)两家或两家以上供应商提供的投标文件出自同一终端设备

的，或在相同Internet主机分配地址(相同IP地址)报名或

网上投标的，由此可能被判定为串通投标的风险由供应商自行

承担。

注：以上内容如有变化将另行书面通知。如通知其中某一内容发生变化，其余未提及的将不

作变动。

9

第二章采购内容及需求

一、建设背景

随着医院信息化的快速发展，网络资产正逐渐成为医院日常运营、管理的重要工具和支

撑，各种互联网应用如网上挂号、门诊、电子病历等系统越来越多，Web服务器、存储设备、

网络设备、安全设备越来越复杂，带给管理员的资产管理工作也愈发困难，久而久之，日积

月累，产生大量的无主资产、僵尸资产，并且这些资产长时间无人维护导致存在大量的漏洞

及配置违规，为医院信息系统安全带来极大的隐患。

为贯彻落实国家信息安全等级保护制度，进一步完善浙江中医药大学附属第二医院信息

系统安全管理体系和技术防护体系，增强信息安全保护意识，明确信息安全保障重点，落实信

息安全责任,切实提高浙江中医药大学附属第二医院系统信息安全防护能力，同时加强对浙江

中医药大学附属第二医院信息系统安全的指导和检查工作，特拟请独立、专业的第三方测评

机构对浙江中医药大学附属第二医院信息系统进行等级保护测评服务。

二、项目建设内容

1、项目范围

1.1测评对象：基础支撑、面向患者服务系统、门户网站、面向内部的管理系统，2个三级系

统和2个二级系统。

序号系统名称系统等级

1基础支撑系统三级

2面向患者服务系统三级

3门户网站系统二级

4面向内部的管理系统二级

1.2针对域名（及其二级域名）下的网站进行一次渗透测试，并出具安全整改建

议书。

1.3进行全院的信息安全基础培训一次，宣教信息安全相关政策和最佳实践，提升职工整体

信息安全保护意识。

1.4提供在线客户服务

10

2、项目时限：2023年10月1日之前

3、招标内容以及要求

3.1服务内容一一网络安全等级保护测评

通过等级保护测评应全面分析应用系统的安全保护措施与等级保护相应级别之间的差

距，进行合规性分析，为系统等级保护加固整改提供客观依据，服务内容包括但不限于以下

内容：

一是安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安

全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)。

二是现场测评完成后的整改建议服务。

具体如下：

(1)安全物理环境

安全物理环境测评主要关注机房在物理位置选择、物理访问控制、供电等方面的安全保

护能力，具体测评指标描述如下表所示。

序号安全子类测评指标描述

测评机房物理场所在位置上是否具有防震、防风和防雨等多方面的

1物理位置的选择

安全防范能力。

2物理访问控制测评信息系统在物理访问控制方面的安全保护能力。

测评信息系统是否采取了必要的安全措施预防设备、介质等丢失和

3防盗窃和防破坏

被破坏。

4防雷击测评信息系统是否采取相应的措施预防雷击。

5防火测评信息系统是否采取必要的措施防止火灾的发生。

6防水和防潮测评信息系统是否采取必要措施来防止水灾和机房潮湿。

7防静电测评信息系统是否采取必要措施防止静电的产生。

8温湿度控制测评信息系统是否采取必要措施对机房内的温湿度进行控制。

9电力供应测评是否具备为信息系统提供一定电力供应的能力。

10电磁防护测评信息系统是否具备一定的电磁防护能力。

⑵安全通信网络

11

安全通信网络测评主要关注网络架构、通信传输、可信验证3方面的安全保护能力，具

体测评指标描述如下表所示。

序号安全子类测评指标描述

通过访谈网络管理员，检查网络设计/验收文档，检查网络拓扑图、

检查交换机等网络互联设备，测试系统网络拓扑结构，访问路径，

1网络架构

路由控制策略和网络带宽分配情况等过程，测评分析网络架构与网

段划分、隔离等情况的合理性和有效性。

检查是否提供密码技术的设备或组件，核查是否能够保证通信过程

2通信传输

的保密性和完整性。

检查是否提供可信验证的设备或组件，检查相关设备或组件是否实

3可信验证

现可信验证，并在可信性受到破坏后进行报警。

(3)安全区域边界

主要涉及边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计和可信

验证6个个方面的安全保护能力，具体的测评指标描述如下表所示。

序号安全子类测评指标描述

访谈网络管理员，查看网络拓扑和实际部署情况，是否通过边界设

1边界防护备的受控接口进行通信，是否部署终端管理系统对非法内外联行为

进行检查或限制，是否对无线网络的使用进行限制等

访谈网络管理员，查看网络拓扑和实际部署情况，是否部署了访问

2访问控制

控制设备，检查访问控制规则配置情况。

访谈网络管理员，查看网络拓扑和实际部署情况，是否部署了入侵

3入侵防范防范产品，核查产品运行情况和检测库更新情况，核查能够检测的

攻击类型、范围等。

访谈网络管理员，查看网络拓扑和实际部署情况，是否部署了网络

恶意代码和垃圾邮

4层的防恶意代码产品，核查产品运行情况和恶意代码库更新情况；

件防范

是否部署了防垃圾邮件产品，核查产品运行情况和规则库更新情况。

访谈网络管理员，查看网络拓扑和实际部署情况，是否部署了综合

5安全审计安全审计系统或类似功能的系统平台，安全审计范围是否覆盖到每

个用户，审计记录是否充分完整，是否对审计记录进行保护。

检查是否提供可信验证的设备或组件，检查相关设备或组件是否实

6可信验证

现可信验证，并在可信性受到破坏后进行报警。

(4)安全计算环境

安全计算环境主要涉及身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可

信验证、通信完整性、通信保密性、数据备份恢复、剩余信息保护以及个人信息保护10个方

面的安全保护能力，具体的测评指标描述如下表所示。

12

序号安全子类测评指标描述

检查终端和服务器的操作系统（宿主机和虚拟操作系统）、移动终端管理系

统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感

1身份鉴别知节点设备、网关节点设备和控制设备等，核查身份标识与鉴别功能设置

和使用配置情况，核查对用户登录各种情况的处理，如登录失败处理、登

录连接超时等。

检查终端和服务器的操作系统（宿主机和虚拟操作系统）、移动终端管理系

统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感

2访问控制

知节点设备、网关节点设备和控制设备等，核查访问控制功能设置情况，

如访问控制的策略、访问控制粒度、权限设置情况等。

检查终端和服务器的操作系统（宿主机和虚拟操作系统）、移动终端管理系

统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感

3安全审计知节点设备、网关节点设备和控制设备等，是否启用安全审计功能，安全

审计范围是否覆盖到每个用户，审计记录是否充分完整，是否对审计记录

和审计进程进行保护。

检查终端和服务器的操作系统（宿主机和虚拟操作系统）、移动终端管理系

统、数据库管理系统、业务应用系统、中间件、网络设备、安全设备、感

4入侵防范知节点设备、网关节点设备和控制设备等，是否遵循最小安装原则，是否

关闭不必要的服务和端口，是否限制管理方式和管理地址，是否采取入侵

防范措施等。

恶意代码防检查终端和服务器的操作系统、移动终端管理系统、控制设备等是否安装

5

范了防恶意代码软件或相应功能的软件，是否定期升级恶意代码库。

检查是否提供可信验证的设备或组件，检查相关设备或组件是否实现可信

6可信验证

验证，并在可信性受到破坏后进行报警。

检查业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计

7数据完整性

文档等，核查重要数据在传输和存储过程中完整性保护情况。

检查业务应用系统、数据库管理系统、中间件和系统管理软件及系统设计

8数据保密性

文档等，核查重要数据在传输和存储过程中保密性保护情况。

数据备份恢检查数据备份情况，如备份方式、备份策略、异地备份等；检查重要数据

9

复处理系统的冗余情况。

检查操作系统、业务应用系统、数据库管理系统、中间件和系统管理软件

剩余信息保

10及系统设计文档，核查鉴别信息和敏感数据所在的存储空间被释放或重新

护

分配前是否得到完全清除。

（5）安全管理中心

安全管理中心测评将通过访谈和检查的方式评测集中安全管理系统的情况。在内容上,

安全管理中心测评实施过程涉及4个方面，具体的测评指标描述如下表所示。

序号安全子类测评指标描述

检查安全管理中心的身份鉴别和日志记录情况，检查是否对系统管

1系统管理

理的操作进行审计，是否只允许系统管理员进行系统管理操作。

13

序号安全子类测评指标描述

检查安全管理中心的身份鉴别和日志记录情况，检查是否对安全审

2审计管理

计操作进行审计，是否只允许审计管理员进行安全审计操作。

检查安全管理中心的身份鉴别和日志记录情况，检查是否通过安全

3安全管理

管理员对系统中的安全策略进行配置。

检查安全管理中心及部署情况，是否对各类设备运行状况进行集中

4集中管控监测，是否对各类设备的审计数据进行集中收集和分析，是滞对安

全策略、恶意代码、补丁升级等事项进行集中管理。

(6)安全管理制度

安全管理制度测评主要关注安全策略、理制度体系、制定与发布以及评审和修订4个方

面，具体测评指标描述如下表所示。

序号安全子类测评指标描述

1安全策略主要核查：总体方针策略类文件

2管理制度主要核查：各类安全管理制度及操作手册的制定情况。

3制定和发布主要核查：管理制度的制定与发布流程。

4评审和修订主要核查：管理制度的评审和修订流程。

(7)安全管理机构测评

安全管理机构测评主要涉及安全主管、相关管理制度以及相关工作/会议记录等测评对

象。

安全管理机构测评主要关注岗位设置、人员配备、授权和审批等5个方面，具体测评指

标描述错误!未找到引用源。下表所示。

序号安全子类测评指标描述

1岗位设置主要核查：各类安全管理制度及操作手册的制定情况。

2人员配备主要核查：管理制度的制定与发布流程。

3授权和审批主要核查：管理制度的评审和修订流程。

4沟通与合作主要核查：各类安全管理制度及操作手册的制定情况。

5审核与检查主要核查：管理制度的制定与发布流程。

14

(8)安全管理人员测评

安全管理人员测评实施过程涉及人员录用、人员离岗、人员考核等4方面，具体测评指

标描述如下表所示。

序号安全子类测评指标描述

1人员录用主要核查：人员录用的标准与流程。

2人员离岗主要核查：人员离岗的流程.

主要核查：安全意识教育和培训的计划与安排、安全责任的惩

3安全意识教育和培训

罚措施情况。

4外部人员访问管理主要核查：外部人员访问重要区域的控制手段。

(9)安全建设管理测评

安全建设管理测评涉及系统定级、安全方案设计和产品采购和使用等10方面，具体测评

指标描述如下表所示。

序号安全子类测评指标描述

通过访谈安全主管，检查系统定级相关文档等过程，测评信息

1系统定级

系统是否按照一定要求确定其等级。

通过访谈系统建设负责人，检查系统安全建设计划等文档，测

2安全方案设计评被测评单位对系统整体的安全规划设计是否按照一定流程进

行。

通过访谈安全主管、系统建设负责人，检查相关采购制度等过

3产品采购和使用程，测评被测评单位是否按照一定的要求进行信息系统的产品

采购。

通过访谈系统建设负责人，检查相关软件开发文档和管理制度

4自行软件开发文档，测评被测评单位对自行开发的软件是否采取必要的措施

保证开发过程的安全性。

通过访谈系统建设负责人，检查相关文档，测评被测评单位对

5外包软件开发外包开发的软件是否采取必要的措施保证开发过程和日后的维

护工作能够正常开展。

通过访谈系统建设负责人，检查相关制度文档和实施文档，测

6工程实施评被测评单位对系统建设的实施过程是否采取必要的措施使其

在机构可控的范围内进行。

通过访谈系统建设负责人，检查相关制度文档和测试验收文档，

7测试验收测评被测评单位在信息系统运行前是否对其进行测试验收工

作。

15

序号安全子类测评指标描述

通过访谈系统运维负责人，检查系统交付清单和系统交付管理

8系统交付制度等过程，测评被测评单位是否采取必要的措施对系统交付

过程进行有效控制。

通过访谈系统运维负责人，检查相关报告和记录文件，测评被

9等级测评测评单位是否定期进行等级测评，选择的测评机构是滞符合国

家有关规定等。

通过访谈系统运维负责人，测评被测评单位是否选择符合国家

10安全服务商选择

有关规定的安全服务单位进行相关的安全服务工作。

(10)安全运维管理测评

安全运维管理测评主要涉及安全主管、各类运维人员、各类管理制度、操作规程文件和

执行过程记录等测评对象。

安全运维管理测评主要关注环境管理、资产管理和介质管理等14方面，具体测评指标描

述如下表所示。

序号安全子类测评指标描述

通过访谈安全物理环境负责人，检查主机房安全管理制度和办公环境

1环境管理管理文档等过程，测评被测评单位是否采取必要的措施对主机房的出

入控制和办公环境的人员行为等方面进行安全管理。

通过访谈资产管理员，检查资产清单和系统、网络设备等过程，测评

2资产管理

被测评单位是否采取必要的措施对信息系统资产进行分类标识管理。

通过访谈资产管理员，检查介质管理记录、介质安全管理制度以及各

3介质管理类介质等过程，测评被测评单位是否采取必要的措施对介质存放环

境、使用、维护和销毁等方面进行管理。

通过访谈资产管理员、系统管理员，检查设备使用管理文档和设备操

4设备维护管理作规程等过程，测评被测评单位是否采取必要的措施确保设备在使

用、维护和销毁等过程安全。

通过访谈系统运维负责人，检查安全报告或记录，测评被测评单位是

5漏洞和风险管理

否采取必要的措施对漏洞进行识别和修补。

通过访谈安全主管、系统管理员、网络管理员，检查各管理员角色分

网络和系统安全管工情况及权限，查看网络和系统安全管理制度，是否覆盖安全策略、

6

理帐户管理、权限审批和分配、配置文件的生成及备份、变更审批、日

志管理等内容。

通过访谈系统运维负责人,检查恶意代码防范管理制度和恶意代码检

7恶意代码防护管理测、分析记录等过程，测评被测评单位是否采取必要的措施对恶意代

码进行集中管理，确保信息系统具有恶意代码防范能力。

通过访谈系统管理员，检查基本配置信息保存情况，检查配置变更流

8配置管理

程记录文件。

16

序号安全子类测评指标描述

通过访谈安全员，检查密码管理制度等过程，测评被测评单位是否能

9密码管理

够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。

通过访谈系统运维负责人，检查变更方案和变更管理制度等过程，测

10变更管理

评被测评单位是否采取必要的措施对系统发生的变更进行有效管理。

通过访谈系统管理员、网络管理员，检查系统备份管理文档和记录等

11备份和恢复管理过程，测评被测评单位是否采取必要的措施对数据、设备和系统进行

备份，并确保必要时能够对信息系统进行有效地恢复。

通过访谈系统运维负责人，检查安全事件记录分析文档、安全事件报

告和处置管理制度等过程,测评被测评单位是否采取必要的措施对安

12安全事件处置

全事件进行等级划分和对安全事件的报告、处理过程进行有效的管

理。

通过访谈系统运维负责人，检查应急响应预案文档，应急预案培训记

13应急预案管理录等过程，测评被测评单位是否针对不同安全事件制定相应的应急预

案，是否对应急预案展开培训、演练和审查等。

通过访谈运维负责人，检查是否有外包运维服务情况；检查外包运维

14外包运维管理

服务单位是否符合国家有关规定，检查外包运维服务协议等。

3.2测评方法

测评方法必须符合GB/T28448-2019信息系统安全等级保护测评要求，满足国家等级保

护备案相关标准规范，在开展等级测评工作时，从管理和技术两个层面，通过多种方法来采

集测评证据，以确定被测系统与基本要求之间的符合性。采集测评证据的方式分为“人员访

谈”、“文件审核”、“现场观察”、“技术测试”等手段。

人员访谈：测评人员与被测单位信息技术人员进行面谈，测评人员可以了解其职责范围、

工作陈述、基本安全意识、对安全管理获知的程度等信息。

文件检查：测评人员对被测单位与信息安全管理活动相关的所有文件进行审查，包括安

全方针和目标、程序文件、作业指导文件和记录文件等。

现场观察：测评人员通过到现场参观，观察并获取关于被测系统现场的物理环境、信息

系统的安全操作和各类安全管理活动的第一手资料。

技术测试：测评人员通过对测评对象采用各种技术手段，获得被测系统在技术性控制的

效力及符合性方面的证据。这些技术性措施包括：自动化的扫描工具、网络拓扑结构分析、

本地主机审查、渗透测试等。

本次等级保护测评实施过程中所使用到的各种工具软件由供应商推荐，经采购人确认后

由供应商提供并在测评中使用•供应商应详细描述所使用的安全测评工具（软硬件型号、功

17

能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

等级保护测评应有详细的实施方案和严格的操作步骤，采取的措施应是经过测试、稳定可靠

的。

安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系

统软件等由供应商推荐，经采购人确认后由供应商提供并在测评中使用。

安全测评需要的运行环境(如场地、网络环境等)由采购人提供，供应商应详细描述需

要的运行环境的具体要求。

3.3网络安全等级测评报告等要求

(1)投标人应对采购人的信息系统进行等级保护测评，形成相应的测评报告；

(2)投标人在测评后出具符合公安主管部门要求的系统安全保护等级测评报告；

(3)对上述系统不符合信息安全等级保护有关管理规范和技术标准的，投标人出具可行的

整改建议方案，并为采购人提供整改咨询服务；

(4)投标人协助采购人完成信息系统安全保护等级测评的相关备案手续。

3.4项目服务承诺

(1)投标人应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性

原则，做到守时、保质。

(2)保密性要求：投标人必须和采购人签订保密协议和非侵害性协议，投标人必须要与参

加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给

采购人。

(3)投标人具体测评工作和等级保护测评报告的编写，必须在采购人的指定地点进行。对

于测评中的重要资料和结果，在测评期间和测评结束后，投标人不得带离该地点。

(4)投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责

任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。

(5)等级保护测评的品质保证：投标人应承诺指派工作经验丰富、技术实力雄厚的安全顾

问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国

家标准进行，并保证对客户的资料严格保密。

4、其他要求

(1)投标人应提交本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、针

对本项目服务重点、难点的分析及应对措施