宽城县医院等级保护测评服务询价公告

 

为满足医疗临床需要，更好地为患者提供医疗服务，并根据市网信办和县卫健委要求加强医院网络信息安全，我院涉及到患者隐私的系统（HIS、PACS，EMR）需要做等保测评，要求我院系统需达到等保三级，现对下列项目进行院内询价采购，欢迎符合资格条件的单位积极参与询价。

一、采购项目内容：宽城医院等级保护测评服务，其中需测评HIS、PACS，EMR三个系统。

二、 参数要求：

为落实《网络安全法》及相关部门法律法规和政策要求，计划对招标方的信息系统开展等级保护相关工作，依据信息安全相关法规、标准及行业管理规范，通过访谈、核查、测试、风险分析等多种方式，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面进行单元测评，并从安全控制间安全、层面间安全、区域间安全、系统结构安全等方面进行整体测评，给出初次测评结论，提出安全建设整改方案。待招标方按照安全建设整改方案完成信息系统加固后，再对信息系统进行复评，出具最终测评报告。进而提高招标方的安全意识，增强网络的安全保障能力，保证系统的正常运转，使被测系统满足我国关于等级保护相应级别的具体要求。

中标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

《网络安全等级保护条例》（征求意见稿）

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《网络安全等级保护定级指南》（GB/T 22240-2020）

《网络安全等级保护实施指南》（GB/T 25058-2019 ）

《网络安全等级保护基本要求》（GB/T 22239-2019）

《网络安全等级保护测评要求》（GB/T 28448-2019）

《网络安全等级保护设计技术要求》（GB/T 25070-2019 ）

《网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016）

《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）

《信息系统安全工程管理要求》（GB/T 20282-2006）

《信息安全技术信息安全风险评估规范》（GB/T 20984-2022）

测评内容

（1）信息系统备案

协助招标方，按照《信息安全等级保护备案实施细则》（公信安[2007]1360号）文件要求，完成定级、备案材料的整理及在公安机关相关部门备案工作。

（2）初次测评

检查被测系统现状，参照《网络安全等级保护基本要求》（GB/T 22239-2019）从安全物理环境、安全通信网络、安全你区域边界、安全计算环境、安全管理中心和安全管理等层面对系统进行初次安全评估，通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，形成差距分析；基于差距提出安全整改建议，以指导后续安全整改工作。

该阶段的测评内容包括：

安全物理环境测评：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。

安全通信网络测评：包括网络架构、通信传输、可信验证等内容。

安全区域边界测评：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。

安全计算环境测评：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。   

安全管理中心测评：系统管理、审计管理、安全管理、集中管控等内容。

安全管理制度测评：涵盖安全策略、管理制度、制定和发布、评审和修订。安全管理机构测评：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

安全管理人员测评：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

安全建设管理测评：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

安全运维管理测评：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（3）信息系统等保整改方案及建议

协助招标方按照《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等有关管理规范和技术标准，制定安全管理制度、落实安全责任，建设安全技术设施，落实安全技术措施。

通过安全建设整改，确保信息系统通过相应级别的安全等级评测。

（4）二次测评

此阶段是等级测评完整实施阶段，通过对整改后的系统进行分析和梳理，再次实施等级测评，记录访谈核查结果，进行综合分析，梳理安全风险，提出安全整改建议，测评结束后，按照《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487）编写等级测评报告。

测评对象

本系统测评的测评范围及对象包括以下几类：

（1）主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；

（2）办公场地：招标方核心机房。

（3）整个系统的网络拓扑结构；

（4）安全设备，包括防火墙、入侵检测设备和防病毒网关等；

（5）边界网络设（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

（6）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；

（7）存储被测系统重要数据的介质的存放环境；

（8）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

（9）管理终端和主要业务应用系统终端；

（10）对新建信息系统及关联信息系统；

（11）业务备份系统；

（12）管理方面：信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

（13）产品方面：信息系统使用、运行的第三方软件产品；

（14）涉及到信息系统安全的所有管理制度设计和记录要求。

测评应遵循的标准和原则

本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

1、保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。

2、规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

3、可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

4、整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

5、最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响，保证现有系统24小时的不间断、稳定、安全运行。

6、非高峰期原则：漏洞扫描及渗透测试时间，应尽量安排在夜间或法定节假日期间，制定切实可行的测试实施细则；对意外导致的宕机等，应提供技术保障方案，切实保证关键系统能正常工作。

投标人应严格按照上述原则和国家等级保护相关标准开展项目实施工作。

7、为验证服务商综合实力，投标人能够提供国际管理体系认证证书ISO20000证书，ISO27000证书，CNAS检验机构认可证书、CCRC信息安全风险评估服务资质证书（二级及以上）。

8、为保证项目实施过程中的质量，项目团队服务人员应满足以下基本要求，安排项目经验充足的人员为本项目服务，拟投入本项目的总测评师人数不得少于5人，投标文件里需附信息安全测评师证书及网络安全等级保护网（http://www.djbh.net）截图。其中信息安全高级测评师不少于2人。项目组成员具备注册渗透测试工程师（CISP-PTE）证书；项目组成员具备国家重要信息系统保护人员证书（CIIPT-A）及信息安全保障人员应急服务认证证书；项目组成员具备网络安全服务能力评价证书中级CCSS-R及国家信息安全水平考试NISP一级证书；项目组渗透测试人员具备注册网络安全渗透评估专业人员（NSATP-A）证书、项目组成员具备高级数据库管理工程师及高级Linux运维工程师证书等。以上人员证书都能够提供的，可视为优选条件。

项目交付物

（1）测评方案；

（2）安全等级建设整改建议；

（3）等级测评报告

（4）交付时间≤1个月（不包括整改时间）

其他要求：

1、投标人必须符合《政府采购法》第二十二条规定的基本条件，具备承担和实施本项目的相应营业范围和能力。

2、投标人应具备公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》。

3、投标人未被列入国家信息中心“信用中国”网站“失信被执行人”、“企业经营异常名录”、“重大税收违法案件当事人名单”和“政府采购严重违法失信名单”。

4、企业注册地或者项目所在地检察机关开具的行贿犯罪档案查询结果告知函或中国裁判文书网刑事案件查询未发现行贿犯罪记录的网上截图。

5、单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加本次采购活动。

三、资质要求：

报名单位必须具备如下条件：

1、在国内工商管理部门注册，具有独立的法人资格；

2、本项目内容在其经许可的经营范围内；

3、未被“信用中国”网站（www.creditchina.gov.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单。（请提供网页截图及前3年内在经营活动中没有重大违法记录的书面声明）；

4、本项目不接受联合体投标。

四、报名需提交材料：

1、公司资质：法人营业执照（三证合一）、税务登记证、组织机构代码证、经营许可证等的复印件。

 2、法定代表人身份证明和授权委托书格式要求（见招标管理--流程表单--附件3）

3、未被“信用中国”网站（www.creditchina.gov.cn）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单。（请提供网页截图及前3年内在经营活动中没有重大违法记录的）。

要求:符合资质的公司将报价表和资料以PDF格式于 2025年07月07日 17：00之前将扫描件发送至kcmzzzxyy@163.com邮箱，并将纸质版加盖公司章邮寄到：宽城县医院信息科。

五、价格要求：满足资质要求，并达到以上技术参数要求的，报价低者优先。

六、报名截止日期：2025年07月07日

七、联系方式：

联系科室：河北省承德市宽城县医院信息科

联系人：方小军

联系电话：0314-6696118