2026年北京天坛医院等保测评服务-招标公告

招标公告

一、项目基本情况

1.项目编号：TC260V08P

2.项目名称：2026年北京天坛医院等保测评服务

3.项目预算金额：68.20万元

4.采购需求：

包号	标的名称	采购包最高限价	数量	简要服务要求
01	等保测评服务	68.20 万元	1项	确定北京天坛医院信息系统的定级范围，组织专家对系统的定级情况进行评审，按照等级保护规定编制新版定级报告及备案表，协助北京天坛医院完成系统线上及线下备案修改工作， 若有重大变更需重新获得系统的备案证明

5.合同履行期限：测评周期不超过150个日历日。

6.本项目是否接受联合体投标：□是 ■否。

二、申请人的资格要求（须同时满足）

1.满足《中华人民共和国政府采购法》第二十二条规定；

2.落实政府采购政策需满足的资格要求：

2.1 中小企业政策

■本项目不专门面向中小企业预留采购份额。

□本项目专门面向中小微企业采购。即：提供的服务全部由符合政策要求的中小/小微企业承接。

□本项目预留部分采购项目预算专门面向中小企业采购。对于预留份额，提供的货物由符合政策要求的中小企业制造、服务由符合政策要求的中小企业承接。预留份额通过以下措施进行：___/____。

2.2 其它落实政府采购政策的资格要求（如有）：___/__。

3.本项目的特定资格要求：

3.1本项目是否属于政府购买服务：

■否

□是，公益一类事业单位、使用事业编制且由财政拨款保障的群团组织，不得作为承接主体；

3.2其他特定资格要求：__/__。

三、获取招标文件

1.时间：2026年6月22日至2026年6月29日，每天上午9:00至11:00，下午1:30至5:00（北京时间，法定节假日除外）。

2.地点：http://www.****.com.cn

3.方式：***网上发售、下载电子版招标文件。

4.售价：300.00元。

四、提交投标文件截止时间、开标时间和地点

投标截止时间、开标时间：2026年7月14日14点00分（北京时间）。

地点：****大厦（****路****号）六层会议室。

五、公告期限

自本公告发布之日起5个工作日。

六、其他补充事宜

1.本项目需要落实的政府采购政策：

1.1 中小企业、监狱企业及残疾人福利性单位；

1.2 政府采购节能产品、环境标志产品；

1.3 《国务院办公厅关于在政府采购中实施本国产品标准及相关政策的通知》（国办发〔2025〕34号）及相关规定。

七、对本次招标提出询问，请按以下方式联系。

1.采购人信息

名 称：首都医科大学附属北京天坛医院

地 址：****路****号

联系方式：010-****8239刘聃

2.采购代理机构信息

名 称：中招国际招标有限公司

地 址：****路****号****楼(601-615室)、9层(903-915室)

联系方式：010-****8007

3.项目联系方式

项目联系人：曹武宁、卢燕、梅建伟、王昀炜、任伟

电 话：010-****8007

电子 邮箱：lu****@****.****.cn

采购需求

一、 采购标的

1. 采购标的（货物需求一览表或简要服务内容及数量）

包号	标的名称	采购包最高限价	数量	简要服务要求
01	等保测评服务	68.20万元	1项	确定北京天坛医院信息系统的定级范围，组织专家对系统的定级情况进行评审，按照等级保护规定编制新版定级报告及备案表，协助北京天坛医院完成系统线上及线下备案修改工作， 若有重大变更需重新获得系统的备案证明

1. 项目背景/项目概述（如有）

确定北京天坛医院信息系统的定级范围，组织专家对系统的定级情况进行评审，按照等级保护规定编制新版定级报告及备案表，协助北京天坛医院完成系统线上及线下备案修改工作， 若有重大变更需重新获得系统的备案证明。

二、 商务要求

1. 交付（实施）的时间（期限）和地点（范围）

实施时间：测评周期不超过150个日历日。

实施地点：采购人指定地点

2. 付款条件（进度和方式）：按合同约定执行

3. 包装和运输（如适用，须满足《关于印发〈商品包装政府采购需求标准（试行）〉、〈快递包装政府采购需求标准（试行）〉的通知》（财办库﹝2020﹞123号））

4. 售后服务（质保期）：

5. 保险（如适用）：详见合同条款

三、 技术要求

1. 基本要求

1.1 采购标的需实现的功能或者目标

本次招标为2026年北京天坛医院等保测评服务选择供应商，投标人应根据招标文件所提出的采购需求，制定具体服务方案，确保质量符合要求，以优良的服务和优惠的价格，充分显示自己的竞争实力

1.2 需执行的国家相关标准、行业标准、地方标准或者其他标准、规范：符合已颁布的现行中华人民共和国认可的国家标准、地方标准和行业标准。

1.3. 为落实政府采购政策需满足的要求：

1.3.1 中小企业、监狱企业及残疾人福利性单位。

（二）采购标的需满足的服务标准、效率要求：详见（五）服务内容及要求

（三）验收标准：（五）服务内容及要求

（四）采购标的的其他技术、服务等要求：

1、投标人在响应采购需求时，应就“采购需求”进行逐条响应，并注明响内容或证明材料查询页码。如投标人未就“服务内容和要求”进行逐条响应或未提供的证明材料或提供的技术支持资料与所投项目不一致或不能体现招标文件的技术要求的，评标委员会可不予承认，并可认为该应答不符合招标文件要求。由此产生的评标风险，由投标人自行承担。

2、对于需求要求中标注“★”“▲”号或“#”号（如有）的参数，如需要提供支持资料，请在应答采购需求偏离表时具体到支持资料页码及条目号。

（五）服务内容及要求

1. 技术服务内容
   1. 定级备案咨询服务

（1）服务目标

按照国家标准GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》，根据北京天坛医院要求完成院内七个等级保护信息系统（包括但不限于现有60个子系统以及后续上线的信息系统）的定级与备案修改工作。

（2）服务内容

确定北京天坛医院信息系统的定级范围，组织专家对系统的定级情况进行评审，按照等级保护规定编制新版定级报告及备案表，协助北京天坛医院完成系统线上及线下备案修改工作， 若有重大变更需重新获得系统的备案证明。

1.2. 等级保护测评辅助服务

1.2.1. 等级保护预测评咨询服务

（1）服务目标

等级保护预测评咨询服务的主要目标是分析北京天坛医院三个等级保护三级系统，两个等级保护二级系统（以下简称“五个等级保护系统”）的安全现状，基于GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等国家标准，识别并评估五个等级保护系统所面临的差异性安全风险，提出对应的风险控制措施。

（2）服务内容

具体工作内容包括：

1）安全现状分析

通过访谈调研、漏洞扫描及渗透测试了解医院五个等级保护系统的安全现状，针对收集到的信息进行综合分析，并将安全现状与标准中的安全控制措施进行差距分析。

1.1）访谈调研的主要内容

 调研IT组织情况；

 调研信息系统基础设施基本情况；

 调研安全管理措施及弱点；

 调研物理安全控制措施及弱点；

 ***网络架构安全控制措施及弱点；

 ***网络设备安全控制措施及弱点；

 调研操作系统安全控制措施及弱点；

 调研系统软件安全控制措施及弱点；

 调研数据库系统安全控制措施及弱点；

 调研应用系统安全控制措施及弱点。

1.2）漏洞扫描

通过手工检查及工具扫描，***网络设备、安全设备、操作系统、系统软件、数据库、应用系统、中间件等安全控制及弱点情况。

2）风险分析

基于GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 25070-2019《信息安全技术 网络安全等级保护安全设计技术要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》、GB/T 20984-2022《信息安全技术 信息安全风险评估方法》等国家标准，对五个等级保护系统现状分析阶段所识别的威胁及弱点进行安全风险差异性评估，形成安全风险分析及合规差异性评估报告。

1.2.2. 安全整改咨询服务

基于五个等级保护系统安全风险分析及合规差异性评估报告、漏洞扫描报告、安全性测试报告，为北京天坛医院提供安全整改咨询服务，确定各类风险处置方式选择安全控制措施，制定风险处置计划。

（1）确定风险处置方式

确定风险接受准则，并依据准则选择风险处置方式，对于确定为控制的风险，选择具体安全控制措施。

（2）制定风险处置计划

对确定为控制的风险，制定相应的风险处置计划，包括任务、人员、时间安排。

1.3. 等级保护测评服务

配合北京天坛医院完成由第三方等级保护测评机构实施的五个等级保护系统的等级测评工作，***网络安全等级测评资质的第三方测评机构进行等保测评，中标人配合采购人完成等保测评工作，并代采购人向第三方测评机构支付测评款（该款应含在本次投标总价中），并获得由第三方等级保护测评机构出具的符合等级保护测评要求的测评报告。

★等级保护测评机构需具有由公安部第三研究所签发的《网络安全服务认证证书等级保护测评服务认证》。

（2）服务内容

中标人配合采购人以及第三方测评机构完成等保测评工作，第三方测评机构实施的等保测评工作涉及以下事项：

基于GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》等国家标准，完成安全技术和安全管理测评。

1）安全技术测评

完成包括安全物理环境、***网络、安全区域边界、安全计算环境、****中心五个方面的安全测评。

2）安全管理测评

完成包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的安全控制测评。

在等级保护测评过程中，中标人应配合北京天坛医院完成相关等保测评工作，并确保北京天坛医院五个信息系统分别通过对应等级的测评。

1.4. 安全性测试服务

针对北京天坛医院五个等级保护系统（包括但不限于其中的子系统、管理后台、APP、小程序等）中的重要模块及系统，从输入验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等几个方面，通过自动化工具及人工的形式，在本项目服务周期内完成一次安全测试服务，形成安全测试报告，并基于测试报告提供整改咨询服务。

通过手工检查及工具扫描，检查现有***网络设备、安全设备、操作系统、系统软件、数据库、应用系统、中间件等安全控制及弱点情况，在本项目服务周期内完成一次漏洞扫描，形成漏洞扫描报告，并基于报告提供整改咨询及复测服务。

1.5. 小程序/APP安全检测

基于《GB∕T 34978-2017 信息安全技术 移动智能终端个人信息保护技术要求》、《GB∕T 34975-2017 信息安全技术 移动智能终端应用软件 安全技术要求和测试评价方法》和《GAT 1390.3-2017 信息安全技术 网络安全等级保护基本要求 第3部分：移动互联安全扩展要求》等移动端应用安全要求，从源文件安全、数据存储风险、内部数据交互风险、通信传输风险、身份认证风险、组件风险、HTML5风险、安全防护能力、内容风险等几个方面，通过自动化工具及人工的形式，在本项目周期内完成北京天坛医院现有的4个小程序/App的安全检测，形成检测报告，并基于检测报告提供优化建议。

1.6. 网站评级认证

***网站系统，协助北京天坛医院通过由公安部计算机信息系统****中心、公安部第三研究所、***网络与信息系统****中心***网站安全分级认证。上述三家机构通过与相关安全规范标准和体系进行对比和认证后，***网站系统发放相***网站级别验证，***网站的醒目位置，***网站的安全信用并公示相关的安全信用信息。

1.7. 网络安全方案咨询与评审服务

***网络安全现状以及后续建设计划，完成2026***网络安全整体方案与规划设计，***网络安全建设方案，并组织专家进行评审。

1.8. ***网暴露面分析

***网侧资产进行梳理，发现其中存在的未知资产以及安全风险，在风险应用披露后，协助北京天坛医院掌握其影响范围、影响目标、影响周期，并完成风险整改，以免被非法人员渗透利用。

***网站系统，对网站访问、端口访问、敏感词、恶意链接、死链、疑似篡改行为、关键词、DNS劫持等内容，服务期内开展7*24小时安全监测，做到事故重现、精准定位、预警前置，***网站系统应急响应速度和安全防护能力。

1.9. 网络安全意识提升培训

***网络安全***网络安全事件，***网络安全意识提升培训。以网络安全培训及考试相结合的方式，***网络安全意识，让信息安全管理意识、个人信息保护深入到每个医护人员的心中。

1. 项目交付物

项目阶段		文档交付物
定级备案咨询服务		院内现有等级保护系统 《等级保护系统定级报告》 《等级保护系统备案表》 《等级保护系统备案证明》 以及过程中产出的其他辅助材料
等级保护测评辅助服务	等级保护预测评咨询服务	《等级保护测评咨询方案》 5个《等级保护系统信息系统风险分析及合规差异性评估报告》
	安全整改咨询服务	《风险分析及合规差异性整改建议报告》
等级保护测评服务		3个等级保护三级系统《信息系统等级保护测评报告》 2个等级保护二级系统《信息系统等级保护测评报告》 （由第三方测评机构出具，中标人代为交付做为本项目交付物）
安全性测试服务		5个等级保护系统《安全性测试报告》及《漏洞扫描报告》
小程序/APP安全检测		4个《APP/小程序安全检测报告及优化建议》
网站评级认证		官网系统获得电子认证标识，***网站的醒目位置。
网络安全方案咨询与评审服务		《***网络安全整体方案与规划设计》
***网暴露面分析		《***网暴露面分析报告》 《***网络安全监测月度服务报告》
网络安全意识提升培训		《网络安全意识提升培训课件》 《网络安全意识提升培训记录》

1. 服务方式

★在项目服务过程中，中标人咨询顾问需以现场形式完成所有服务项目，服务周期不少于90个日历日，累计工作量不少于250人天，定期输出项目服务周报/月报，取得采购人认可并签字。（需提供承诺函并加盖投标人单位公章）

1. 对投标人的其他技术要求

投标人应具有完成本项目的技术力量、财务能力，并且信誉良好。

1. 人员要求：

参与人员不少于6人，其中高级安全专家1人、项目经理1人、安全咨询顾问2人、安全测试工程师2人。

项目经理须具有由人力资源和社会保障部颁发的信息系统项目管理师证书；以及8年以上信息安全行业经验。

★安全专家及安全咨询工程师需具有CISP或CISAW证书，并具有5***网络安全咨询服务项目经验。（需提供相关证明材料并加盖投标人单位公章）

★第三方等级保护测评机构参与人员不少于5名等级保护测评师（提供国家认可的等级保护测评师证书并加盖投标人单位公章），且等级保护测评师应具有等级保护测评师认证证书，并具有3年以上等级保护测评经验。