珙县中医医院网络安全等级保护测评服务竞争性谈判公告

为保障医院信息化系统稳定运行，点击登录查看拟网络安全等级保护测评服务项目进行询价采购，现面向社会公示，诚邀符合条件要求的供应商参加。

项目概况：为保障医院信息化系统稳定运行，点击登录查看拟网络安全等级保护测评服务项目进行询价采购，最高限价7.3万元，测评对象如下：

1、供应商必须是在中华人民共和国境内注册，具有独立承担民事责任能力，相应的资质证明齐全。

2、具有良好的商业信誉和诚实的商业道德。

3、具有履行合同所必须的设备和专业技术能力。

4、参加本次采购活动前三年内，在经营活动中没有重大违法记录。

5、本项目不接受联合体投标。

6、本项目的特定资格要求：供应商须具有《网络安全等级测评与检测评估机构服务认证证书》。

（一）开展网络安全风险评估

（二）安全等级保护测评内容包括：

等级保护测评主要分为技术测评和管理测评。技术层面的测评主要是测评和分析在网络和主机上存在的安全技术风险，包括物理环境、网络设备、主机系统、应用系统等软硬件设备；管理层面的测评包括从组织的人员、组织结构、管理制度、系统运行保障措施，以及其他运行管理规范等角度，分析业务运作和管理方面存在的安全缺陷等。

（三）服务团队要求

为保障项目高效推进，供应商拟投入本项目人员须配备对应持证人员，并出具书面承诺函。中标后签订合同前，须提交有效证书复印件并加盖单位鲜章，所有证书须为本人持证且在有效期内。

1、技术负责人、项目经理各 1 名，须同时持有：信息安全等级测评师（高级）、注册网络安全源代码审计专业人员（NSATP-SCA）、工业和信息化部电子行业职业技能鉴定指导中心核发的计算机软件产品检验员证书；

2、现场服务团队人员均须具备信息安全等级测评师证书，同时团队成员还应具有以下证书：网络安全认证（CCSC）、注册网络安全专业防御人员（NSATP-D）、注册网络安全源代码审计专业人员（NSATP-SCA）证书。

资格文件：测评资格证书、营业执照、供应链安全承诺书、法定代表人授权书（含法人和被授权人身份证复印件，授权书须注明联系电话）、无重大违法记录声明、人员证书及社保缴纳证明。

报价文件：报价一览表（首轮报价）。

技术服务方案（格式自拟）。

将资格文件、报价文件、技术服务方案用档案袋封装，密封处加盖公章，封面用A4纸注明项目名称、联系人、联系方式等相关信息，未按要求密封的，采购人有权拒收。

采用两轮报价。首轮报价在响应文件中提交；第二轮报价（最终报价）在谈判现场统一提交，第二轮最低价即为最终成交价。

在满足全部实质性要求的前提下，按第二轮报价最低的原则确定成交供应商（若报价相同，由评审小组抽签决定）

1、本项目接受现场递交文件及邮寄方式递交，报名资料需载明联系人及联系电话，供应商须自行承担邮件在途延误或丢失风险，以实际送达时间为准；

2、投交时间：****至****上午12:00截止，工作时间8:00-12：00,14:30-17:30（节假日除外，逾期送达的或者未送达指定地点的投标文件，招标人不予受理）。

3、投交地址及联系人：点击登录查看，周老师（资料接收）：**** 李老师（项目咨询）：****。

4、报价开标（谈判）时间、地点：****下午15:30时（北京时间），地点点击登录查看，供应商应派授权代表现场参加谈判，未到场的视为认可谈判过程及结果。

报价完成后成交公告将于完成招标程序下一周通过点击登录查看微信公众号进行公示。

致：点击登录查看

承诺方：（以下简称“我方”）

统一社会信用代码/注册号：

地址：

联系人姓名：

职务：

联系电话：

鉴于：

我方作为点击登录查看（以下简称“贵方”）的[¨供应商/¨服务商/¨其他合作伙伴]，在合作过程中可能接触、处理、传输或存储贵方及其客户、用户的信息（包括但不限于个人信息、业务数据、商业秘密、技术信息等，统称“受保护信息”）。我方理解并认同信息供应链安全对保障贵方业务连续性、维护用户权益、遵守法律法规及维护双方声誉至关重要。为明确我方在信息供应链安全方面的责任和义务，保障受保护信息在整个供应链环节的安全性、机密性、完整性和可用性，我方特此作出如下郑重承诺：

我方承诺在合作期间及合作终止后，严格遵守中华人民共和国现行的与网络安全、数据安全、个人信息保护相关的所有法律法规（包括但不限于《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》及其配套法规、规章、国家标准、行业标准）以及贵方制定的相关安全政策、管理制度和要求。

（一）安全能力建设： 我方将建立、实施并持续改进与其服务或产品风险相适应的信息安全管理体系，采取必要的管理措施和技术手段保障受保护信息的安全。

（二）人员管理：对我方可能接触受保护信息的员工、外包人员等进行严格背景审查和安全意识培训，确保其了解并遵守保密义务和安全规定。与相关员工签订保密协议，明确其保密责任和违规后果。实施最小权限原则，仅授权必要人员访问必要的信息。

（三）物理与环境安全： 对于存放或处理受保护信息的物理场所（如数据中心、办公室），我方将采取适当的物理访问控制、监控和环境防护措施（如防火、防水、防盗窃）。

（四）技术安全防护：对承载或处理受保护信息的系统、网络、应用程序、设备等进行安全加固，及时修补已知安全漏洞。部署并维护有效的边界防护（如防火墙、入侵检测/防御系统）、访问控制、身份认证、加密传输和加密存储（特别是对敏感信息）等安全技术措施。采取有效措施防范恶意软件、网络攻击（如勒索软件、DDoS攻击）等安全威胁。产品交付或上线前，进行必要的漏洞扫描、安全测试、源代码审计、性能测试、渗透测试、功能测试等措施，并有相应的检测报告。

（五）数据生命周期管理：

收集与使用： 仅收集、处理、使用贵方授权范围内的受保护信息，并严格按照约定的目的和方式进行。

存储： 在安全的环境中存储受保护信息，明确存储位置为境内，时限以授权时限为准，禁止跨境传输。

传输： 在传输受保护信息（尤其是通过公共网络）时，使用符合行业标准的安全协议（如HTTPS, VPN, SFTP）和强加密技术。

访问与审计： 记录对受保护信息的访问、修改、删除等操作日志，并妥善保存以备审计。定期进行安全审计和风险评估。

备份与恢复： 建立有效的数据备份机制和灾难恢复计划，确保受保护信息的可用性和可恢复性。

删除与销毁： 在合作终止或根据贵方要求，或达到约定存储期限后，按照贵方要求或安全规范及时、彻底地删除或销毁所有受保护信息（包括所有副本和备份），并提供书面证明。

（六）安全事件响应：建立安全事件应急响应预案。一旦发生或疑似发生涉及受保护信息的安全事件（如数据泄露、丢失、损毁、未授权访问、篡改、服务中断等），我方承诺：

立即通知： 在知悉事件后2小时，通过向贵方指定的安全联系人报告，包括事件的初步情况、可能的影响范围和已采取的紧急措施。报告要求：2小时内通过电话+邮箱双渠道报告，首次报告含“时间+影响范围+紧急措施”。

全力配合： 全力配合贵方进行事件调查、取证、影响评估和处置工作，提供必要的信息和资源。

及时处置： 采取一切合理必要的措施控制、遏制事件影响，消除安全隐患，防止事件扩大或再次发生。

报告与改进： 根据法律法规要求和贵方需要，及时向相关监管机构报告（如需），并向贵方提供详细的事件调查报告及后续整改措施，7个工作日提交完整报告（含整改方案）。

（七）分包管理（如适用）：

如果我方需要将涉及受保护信息处理的部分服务分包给第三方（次级供应商），我方承诺：

1.事先获得贵方的书面明确同意。

2.对次级供应商的安全能力进行严格评估和尽职调查，确保其具备同等或更高的安全保护水平。

3.与次级供应商签订具有同等或更严格安全保护要求的协议/承诺书，明确其安全责任和义务。

4.对次级供应商的安全表现进行持续监督和管理，确保其遵守所有安全要求。次级供应商的安全事件视同我方安全事件，我方承担连带责任。

（八）开源与第三方组件管理（如适用）：

如果我方提供的产品或服务中包含开源软件或第三方组件，我方承诺建立软件物料清单（SBOM），并负责跟踪、管理其安全漏洞，及时应用补丁或采取缓解措施，避免引入已知高危漏洞。

我方承诺积极配合贵方或其委托的第三方机构对我方履行本承诺书情况进行的安全评估、审计和检查，及时提供所需的资料和信息。

我方承诺对评估、审计过程中发现的任何安全隐患或不符合项，及时制定整改计划并有效落实。

我方承诺对在合作过程中获悉的所有贵方非公开信息（包括受保护信息及本承诺书内容）承担严格保密义务，未经贵方事先书面同意，不得向任何第三方披露（法律法规强制要求披露的除外）。

本承诺书自双方签署之日（或我方开始接触受保护信息之日，以较早者为准）起生效，持续有效至合作终止，且我方对合作终止前接触的受保护信息的保密和安全义务在合作终止后继续有效，直至相关信息被依法依规删除或销毁或进入公有领域。

如我方违反本承诺书的任何条款，导致受保护信息泄露、丢失、损毁、滥用或发生安全事件，给贵方造成损失的（包括但不限于直接经济损失、商誉损失、监管处罚、对第三方的赔偿等），商誉损失按近6个月平均收入×影响时长计算，业务中断损失按前10日日均医疗收入×中断时长计算，我方将承担全部责任，赔偿贵方因此遭受的全部损失，并支付贵方为此支出的合理费用（包括律师费、调查取证费等）。贵方亦有权视情节严重程度，采取包括但不限于暂停合作、终止合作、追究法律责任等措施。

本承诺书的订立、效力、解释、履行及争议解决均适用中华人民共和国法律。因本承诺书引起的或与本承诺书有关的任何争议，可向合同履行地珙县人民法院提起诉讼。

本承诺书构成双方就信息供应链安全达成的完整约定，取代之前所有口头或书面的相关讨论、沟通或约定。

贵方有权根据法律法规变化、业务需求或安全形势，在提前通知我方后，更新安全要求。我方承诺在合理期限内努力满足更新后的要求。

本承诺书一式肆份，双方各执贰份，具有同等法律效力。

承诺方（盖章）：

公司名称（公章）：_________________________

授权代表签字：_________________________

职务：_________________________

签署日期：______年______月______日