基本信息

上海市第六人民醫(yī)院數(shù)據(jù)要素賦能數(shù)字化轉(zhuǎn)型建設(shè)項(xiàng)目安全測評服務(wù)招標(biāo)公告

上海市第六人民醫(yī)院

數(shù)據(jù)要素賦能數(shù)字化轉(zhuǎn)型建設(shè)項(xiàng)目

安全測評服務(wù)

采 購 文 件

采 購 單 位：上海市第六人民醫(yī)院

二〇二五年七月

第一章 院內(nèi)采購公告

一、項(xiàng)目基本情況

1.項(xiàng)目名稱：上海市第六人民醫(yī)院數(shù)據(jù)要素賦能數(shù)字化轉(zhuǎn)型建設(shè)項(xiàng)目安全測評服務(wù)

2.預(yù)算金額：22500元人民幣

3.采購方式：院內(nèi)談判

4.項(xiàng)目內(nèi)容：包括本項(xiàng)目批復(fù)范圍內(nèi)全部項(xiàng)目內(nèi)容。

二、申請人資格要求

1.具有“三證合一”的營業(yè)執(zhí)照，具有獨(dú)立承擔(dān)民事責(zé)任的能力并且具有相應(yīng)的經(jīng)營范圍；

2.參加采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄。

3.未被列入“信用中國”網(wǎng)站失信被執(zhí)行人名單、重大稅收違法案件當(dāng)事人名單和中國政府采購網(wǎng)政府采購嚴(yán)重違法失信行為記錄名單的供應(yīng)商。

4.本項(xiàng)目不接受聯(lián)合體投標(biāo)。

三、申請時(shí)間及聯(lián)系人

報(bào)名時(shí)間：自公告日期起一周內(nèi)（5個(gè)工作日）

報(bào)名郵箱：lyxxcbm@163.com

談判時(shí)間：報(bào)名截止后另行通知

談判地點(diǎn)：上海市第六人民醫(yī)院教學(xué)樓1樓

聯(lián) 系 人：杭老師

聯(lián)系電話：24058272

第二章 投標(biāo)人須知

1 適用范圍及說明

1.1、本采購文件適用于上海市第六人民醫(yī)院數(shù)據(jù)要素賦能數(shù)字化轉(zhuǎn)型建設(shè)項(xiàng)目安全測評服務(wù)的公開采購。中標(biāo)單位負(fù)責(zé)與相關(guān)部門的溝通、協(xié)調(diào)、落實(shí)經(jīng)相關(guān)部門出具的實(shí)施方案。直至交付使用，采用院內(nèi)采購方式選擇實(shí)施單位。

1.2、采購單位向投標(biāo)單位提供的有關(guān)采購文件及資料和數(shù)據(jù)或組織勘察現(xiàn)場,是采購單位現(xiàn)有的能使投標(biāo)單位利用的資料,采購單位對投標(biāo)單位由此做出的推論、理解和結(jié)論概不負(fù)責(zé)。

2 投標(biāo)費(fèi)用

投標(biāo)人應(yīng)承擔(dān)所有與編寫、提交投標(biāo)文件和制作樣品等有關(guān)的費(fèi)用，不論投標(biāo)的結(jié)果如何，采購方在任何情況下均無義務(wù)和責(zé)任承擔(dān)這些費(fèi)用。

3 采購文件

投標(biāo)人應(yīng)認(rèn)真閱讀采購文件中所有的章節(jié)、條款、格式、附表。如果投標(biāo)人沒有按照采購文件的要求提交全部資料，或者投標(biāo)文件沒有對采購文件在各方面都做出實(shí)質(zhì)性響應(yīng)，則屬于投標(biāo)人的風(fēng)險(xiǎn)，沒有實(shí)質(zhì)上響應(yīng)采購文件要求的投標(biāo)將被拒絕。

4 投標(biāo)文件

4.1投標(biāo)文件組成：投標(biāo)報(bào)價(jià)、資質(zhì)證明文件、營業(yè)執(zhí)照、項(xiàng)目方案、“信用中國”相關(guān)企業(yè)證明文件等投標(biāo)單位認(rèn)為需要提交的其他材料。

4.2請投標(biāo)公司在報(bào)名時(shí)間截止前將以下內(nèi)容發(fā)至報(bào)名郵箱：投標(biāo)公司名稱、投標(biāo)項(xiàng)目名稱、投標(biāo)公司聯(lián)系人、投標(biāo)公司聯(lián)系人電話、投標(biāo)公司信用中國截圖及投標(biāo)意向書（需加蓋投標(biāo)單位公章）電子檔。如投標(biāo)單位多次無理由缺席，將被納入醫(yī)院采購黑名單。重要提示：發(fā)送至郵箱的材料中請勿包含投標(biāo)文件。投標(biāo)文件需由應(yīng)標(biāo)人在采購當(dāng)日，采用密封方式攜帶至談判地點(diǎn)，并在監(jiān)督下現(xiàn)場拆封。請勿在郵件中包含投標(biāo)文件，如因此對投標(biāo)人造成不利影響，責(zé)任由投標(biāo)人自負(fù)。

5 簽訂合同

合同由院方提供標(biāo)準(zhǔn)合同模板。

第三章 技術(shù)要求

1.1項(xiàng)目背景介紹

項(xiàng)目名稱：上海市第六人民醫(yī)院數(shù)據(jù)要素賦能數(shù)字化轉(zhuǎn)型建設(shè)項(xiàng)目安全測評服務(wù)

項(xiàng)目地點(diǎn)：本項(xiàng)目將在上海市第六人民醫(yī)院實(shí)施和應(yīng)用。

項(xiàng)目背景：

在上海市第六人民醫(yī)院加速推進(jìn)數(shù)字化轉(zhuǎn)型、深度挖掘數(shù)據(jù)要素價(jià)值的進(jìn)程中，其核心業(yè)務(wù)系統(tǒng)與數(shù)據(jù)平臺面臨著日益復(fù)雜的網(wǎng)絡(luò)安全威脅。為保障患者隱私數(shù)據(jù)、診療信息及關(guān)鍵信息基礎(chǔ)設(shè)施的絕對安全，亟需通過專業(yè)安全測評服務(wù)，全面評估醫(yī)院網(wǎng)絡(luò)與數(shù)據(jù)安全防護(hù)體系的合規(guī)性、有效性和適應(yīng)性，識別潛在安全漏洞與風(fēng)險(xiǎn)點(diǎn)，為醫(yī)院數(shù)字化轉(zhuǎn)型筑牢安全基石，確保數(shù)據(jù)要素在安全可控的環(huán)境下充分釋放賦能效應(yīng)。

1.2本次采購內(nèi)容

本次測評采用的法律、法規(guī)、標(biāo)準(zhǔn)如下：

（1）《中華人民共和國網(wǎng)絡(luò)安全法》

（2）GB/T 22239-2019《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》

（3）GB/T 22239-2020《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》

1.2.1服務(wù)需求

（1）安全測評依據(jù)項(xiàng)目要求，針對對應(yīng)系統(tǒng)參照《GB/T 22239-2019《網(wǎng)絡(luò)安全技術(shù) 信息系統(tǒng)安全等級保護(hù)基本要求》三級要求開展系統(tǒng)安全測試，依據(jù)標(biāo)準(zhǔn)對主機(jī)設(shè)備、應(yīng)用系統(tǒng)和數(shù)據(jù)庫 系統(tǒng)主要開展安全測評，并進(jìn)行工具測試。

1，身份鑒別：檢查網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)用戶身份鑒別的方式、網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的實(shí)現(xiàn)情況，驗(yàn)證登錄失敗處理功能以及驗(yàn)證安全策略參數(shù)是否被應(yīng)用實(shí)施，測評網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)對用戶身份鑒別的實(shí)施情況，檢查當(dāng)遠(yuǎn)程管理云計(jì)算平臺中設(shè)備時(shí)，管理終端和云計(jì)算平臺之間是否建立雙向身份驗(yàn)證機(jī)制

2，訪問控制：了解網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)訪問控制的實(shí)施依據(jù)、訪問控制的覆蓋范圍以及權(quán)限應(yīng)用情況，檢查網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)，查看系統(tǒng)的訪問控制實(shí)施是否與要求相符，是否標(biāo)記敏感標(biāo)記等，驗(yàn)證權(quán)限分配情況，測評網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)對用戶的訪問的控制能力，檢查是否保證當(dāng)虛擬機(jī)遷移時(shí)，訪問控制策略隨其遷移，檢查是否允許云服務(wù)客戶設(shè)置不同虛擬機(jī)之間的訪問控制策略

3，安全審計(jì)：檢查網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)的審計(jì)實(shí)施情況，檢查網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)生成的日志，測評分析網(wǎng)絡(luò)互聯(lián)/安全設(shè)備、主機(jī)系統(tǒng)、應(yīng)用系統(tǒng)中審計(jì)配置和審計(jì)記錄保護(hù)情況

4，入侵防范：檢查是否經(jīng)常查看系統(tǒng)日志并進(jìn)行分析，是否對重要的配置文件進(jìn)行備份，檢查是否使用第三方入侵檢測系統(tǒng)，測評主機(jī)系統(tǒng)的防范入侵的能力，檢查是否能檢測虛擬機(jī)之間的資源隔離失效、非授權(quán)新建虛擬機(jī)或者重新啟用虛擬機(jī)和惡意代碼感染及在虛擬機(jī)間蔓延的情況，并進(jìn)行告警

5，惡意代碼防范：檢查主機(jī)系統(tǒng)是否安裝了防范惡意代碼軟件，檢查主機(jī)系統(tǒng)的惡意代碼軟件的辦法，以及病毒庫，驗(yàn)證防范惡意代碼軟件的統(tǒng)一管理功能，測評主機(jī)系統(tǒng)對惡意代碼的防范能力

6，可信驗(yàn)證：檢查是否可基于可信根對通信設(shè)備的系統(tǒng)引導(dǎo)程序、系統(tǒng)程序、重要配置參數(shù)和通信應(yīng)用程序等進(jìn)行可信驗(yàn)證，是否可在應(yīng)用程序的關(guān)鍵執(zhí)行環(huán)節(jié)進(jìn)行動態(tài)可信驗(yàn)證，在檢測到其可信性受到破壞后進(jìn)行報(bào)警，并將驗(yàn)證結(jié)果形成審計(jì)記錄

7，數(shù)據(jù)完整性：檢查是否使用了保證通信完整性的技術(shù)，檢查是否確保云服務(wù)客戶數(shù)據(jù)、用戶個(gè)人信息等存儲于中國境內(nèi)；是否確保只有在云服務(wù)客戶授權(quán)下，云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限；是否確保只有在云服務(wù)客戶授權(quán)下，云服務(wù)商或第三方才具有云服務(wù)客戶數(shù)據(jù)的管理權(quán)限

8，數(shù)據(jù)備份恢復(fù)：檢查是否有備份機(jī)制，檢查備份功能實(shí)現(xiàn)的方式以及硬件冗余的實(shí)現(xiàn)，檢查是否要求云服務(wù)客戶在本地保存其業(yè)務(wù)數(shù)據(jù)的備份；是否提供給云服務(wù)客戶在本地保存其業(yè)務(wù)數(shù)據(jù)的備份的能力；是否為云服務(wù)客戶將業(yè)務(wù)系統(tǒng)及數(shù)據(jù)遷移到其他云計(jì)算平臺和本地系統(tǒng)提供技術(shù)手段，并協(xié)助完成遷移過程；云服務(wù)商的云存儲服務(wù)是否保證云服務(wù)客戶數(shù)據(jù)存在若干個(gè)可用的副本，各副本之間的內(nèi)容是否保持一致

9，剩余信息保護(hù)：檢查數(shù)據(jù)庫用戶的存儲空間，系統(tǒng)文件、目錄和數(shù)據(jù)庫記錄等資源，被釋放或重新分配給其他用戶前是否得到完全清除，訪談系統(tǒng)管理員，檢查是否保證虛擬機(jī)所使用的內(nèi)存和存儲空間回收時(shí)得到完全清除；檢查云服務(wù)客戶刪除業(yè)務(wù)應(yīng)用數(shù)據(jù)時(shí)，云計(jì)算平臺是否將云存儲中所有副本刪除

10，個(gè)人信息保護(hù)：檢查個(gè)人信息的采集情況是否超出應(yīng)用系統(tǒng)實(shí)際需求，檢查采集的個(gè)人信息的保護(hù)情況

（2）安全咨詢服務(wù)：在安全測評中，協(xié)助用戶梳理調(diào)研表，開展配置核查和漏洞掃描等預(yù)測評工作，匯總系統(tǒng)中存在的問題，并給出整改建議；

（3）安全加固服務(wù)：針對咨詢服務(wù)中發(fā)現(xiàn)的安全問題，提供專業(yè)指導(dǎo)并協(xié)助用戶進(jìn)行安全整改，確保系統(tǒng)符合相關(guān)安全標(biāo)準(zhǔn)。

1.3評審參數(shù)

4.評分細(xì)則：

（1）“*”為重要指標(biāo)，不滿足做無效處理；

（2）“▲”為加分指標(biāo)；

（3）優(yōu)先選擇滿足以上所有參數(shù)的供應(yīng)商；若多家供應(yīng)商均可滿足以上所有參數(shù)，則選擇價(jià)格最低的供應(yīng)商；所有供應(yīng)商均無法滿足相關(guān)參數(shù)的，則本次采購作廢。