承德縣醫(yī)院電子病歷等級保護測評服務采購公告（二次）

點擊登錄查看電子病歷等級保護測評服務采購公告（二次）

為滿足醫(yī)療臨床需要，更好地為患者提供醫(yī)療服務，現(xiàn)對下列項目進行院內采購，歡迎符合資格條件的單位積極參與投標。

一、采購項目內容：電子病歷等級保護測評服務，

二、參數(shù)要求：

本項目的宗旨在于通過對本單位電子病歷開展等級測評服務，通過等級測評，明確該系統(tǒng)的安全建設現(xiàn)狀，找出存在的安全風險，分析安全建設差距，提出安全整改建議，并以此為基礎，進一步制定安全建設整改方案，完善保護措施，使該系統(tǒng)滿足我國關于等級保護相應級別的具體要求，增加信息系統(tǒng)安全的規(guī)范性和有效性，提高本單位的安全意識，增強網(wǎng)絡的抗攻擊的能力，保證被測系統(tǒng)正常運轉。

2.1、服務內容

2.1.1.信息系統(tǒng)備案

按照《信息安全等級保護備案實施細則》（公信安[2007]1360號）文件要求，完成定級、備案材料的整理及在公安機關網(wǎng)安部門備案工作，并取得公安相關部門出具的信息系統(tǒng)安全等級保護備案證明。

2.1.2.初次測評

參照《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）檢查被測系統(tǒng)，從安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心等五個層面和管理上的安全管理制度、安全管理機構、安全管理人員、安全建設管理、安全運維管理進行差距分析，對系統(tǒng)進行初次安全評估。通過對系統(tǒng)現(xiàn)狀的分析和梳理，發(fā)現(xiàn)系統(tǒng)現(xiàn)有安全措施與等級保護基本要求的差距，提出安全整改建議，以指導后續(xù)安全整改工作。

（1）安全物理環(huán)境測評：包括物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護等內容。

（2）安全通信網(wǎng)絡測評：包括網(wǎng)絡架構、通信傳輸、可信驗證等內容。

（3）安全區(qū)域邊界測評：包括邊界防護、訪問控制、入侵防范、惡意代碼防范、安全審計、可信驗證等內容。

（4）安全計算環(huán)境測評：包括身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護等內容。

（5）安全管理中心測評：系統(tǒng)管理、審計管理、安全管理、集中管控等內容。

（6）安全管理制度：涵蓋管理制度、制定和發(fā)布、評審和修訂。

（7）安全管理機構：涵蓋崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查。

（8）安全管理人員：涵蓋人員錄用、人員離崗、人員考核、安全意識教育和培訓、外部人員訪問管理。

（9）安全建設管理：涵蓋系統(tǒng)定級、安全方案設計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、安全服務商選擇。

（10）安全運維管理：涵蓋環(huán)境管理、資產(chǎn)管理、介質管理、設備管理、網(wǎng)絡安全管理、系統(tǒng)安全管理、惡意代碼管理、密碼管理、測評實施、備份與恢復管理、安全事件處置、應急預案管理。

2.13.信息系統(tǒng)等保整改方案及建議

中標方應協(xié)助招標人按照《信息安全等級保護管理辦法》（公通字[2007]43號）等有關管理規(guī)范和技術標準，全程協(xié)助采購人制定并落實安全管理制度、落實安全責任，建設安全設施，落實安全技術措施。針對測評發(fā)現(xiàn)的問題，形成問題清單，出具整改建議，協(xié)助采購人按照銷號制度開展相關整改工作，針對問題項逐一進行整改，直至問題整改完畢，對應暫時不能整改的問題，要提出臨時解決建議方案，采取臨時防護手段確保安全。通過安全建設整改，確保信息系統(tǒng)通過相應級別的安全等級評測。

2.1.4.二次測評

通過對整改后的系統(tǒng)進行分析和梳理，再次實施安全測評，記錄訪談檢查結果，進行綜合分析，梳理安全風險，再次提出安全整改建議，測評結束后，按照公安部有關要求及《網(wǎng)絡安全等級測評報告》（2021年版）完成安全測評報告的編寫。

2.1.5.咨詢服務

提供信息系統(tǒng)的安全咨詢和整改建議等技術支持服務，涵蓋系統(tǒng)建設、運維、管理、技術等相關安全問題；協(xié)助開展單位內部網(wǎng)絡與信息安全檢查工作。

2.1.7.安全意識和技能培訓

針對技術人員、管理層提供不同類型的信息安全培訓，包括管理培訓和網(wǎng)絡安全技術培訓。

2.2工作原則

本次安全保護等級保護測評實施方案設計與具體實施應滿足以下原則：

2.2.1、保密原則：對測評的過程數(shù)據(jù)和結果數(shù)據(jù)嚴格保密，未經(jīng)授權不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害招標人的行為，否則招標人有權追究投標人的責任。

2.2.2、規(guī)范性原則：投標人的工作中的過程和文檔，具有很好的規(guī)范性，可以便于項目的跟蹤和控制。

2.2.3、可控性原則：測評服務的進度要跟上進度表的安排，保證招標人對于測評工作的可控性。

2.2.4、整體性原則：測評的范圍和內容應當整體全面，包括國家等級保護相關要求涉及的各個層面。

2.2.5、最小影響原則：測評工作應盡可能小的影響系統(tǒng)和網(wǎng)絡，并在可控范圍內；測評工作不能對現(xiàn)有信息系統(tǒng)的的正常運行、業(yè)務的正常開展產(chǎn)生任何影響，保證現(xiàn)有系統(tǒng)24小時的不間斷、穩(wěn)定、安全運行。

2.2.6、非高峰期原則：漏洞掃描及滲透測試時間，應盡量安排在夜間或法定節(jié)假日期間，制定切實可行的測試實施細則；對意外導致的宕機等，應提供應急保障方案，切實保證關鍵系統(tǒng)能正常工作。

投標人應嚴格按照上述原則和國家等級保護相關標準開展項目實施工作。

2.3、服務對象及范圍

本系統(tǒng)測評的測評范圍及對象包括以下幾類：

2.3.1、主機房（包括其環(huán)境、設備和設施等）和部分輔機房，應將放置了服務于信息系統(tǒng)的局部（包括整體）或對信息系統(tǒng)的局部（包括整體）安全性起重要作用的設備、設施的輔機房選取作為測評對象；

2.3.2、辦公場地：信息系統(tǒng)機房；

2.3.3、整個系統(tǒng)的網(wǎng)絡拓撲結構；

2.3.4、安全設備，包括防火墻、入侵檢測設備和防病毒網(wǎng)關等；

2.3.5、邊界網(wǎng)絡設（可能會包含安全設備），包括路由器、防火墻、認證網(wǎng)關和邊界接入設備（如樓層交換機）等；

2.3.6、對整個信息系統(tǒng)或其局部的安全性起作用的網(wǎng)絡互聯(lián)設備，如核心交換機、匯聚層交換機、路由器等；

2.3.7、存儲被測系統(tǒng)重要數(shù)據(jù)的介質的存放環(huán)境；

2.3.8、承載被測系統(tǒng)主要業(yè)務或數(shù)據(jù)的服務器（包括其操作系統(tǒng)和數(shù)據(jù)庫）；

2.3.9、管理終端和主要業(yè)務應用系統(tǒng)終端；

2.3.10、對新建信息系統(tǒng)及關聯(lián)信息系統(tǒng)；

2.3.11、業(yè)務備份系統(tǒng)；

2.3.12、管理方面：信息安全主管人員、各方面的負責人員、具體負責安全管理的當事人、業(yè)務負責人；

2.3.13、涉及到信息系統(tǒng)安全的所有管理制度設計和記錄要求。

2.4、安全服務依據(jù)要求

中標人應依據(jù)國家等級保護相關標準開展工作，依據(jù)標準包括但不限于如下國家標準：

（1）《信息安全技術網(wǎng)絡安全等級保護基本要求》（GB/T 22239-2019）

（2）《信息安全技術網(wǎng)絡安全等級保護安全設計技術要求》（GB/T 25070-2019）

（3）《信息安全技術網(wǎng)絡安全等級保護測評要求》（GB/T 28448-2019）

（4）《信息安全技術網(wǎng)絡安全等級保護測評過程指南》（GB/T 28449-2018）

（5）《信息安全技術網(wǎng)絡安全等級保護測試評估技術指南》（GB/T 36627-2018）

（6）《信息安全技術網(wǎng)絡安全等級保護安全管理中心技術要求》 （GB/T 36958-2018）

（7）（GB/T 36959-2018）《信息安全技術網(wǎng)絡安全等級保護測評機構能力要求和評估規(guī)范 》

（8）《計算機信息系統(tǒng)安全保護等級劃分準則》（GB17859-1999）

（9）《信息系統(tǒng)安全保護等級定級指南》（GB/T 22240-2020）

（10）《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2019 ）

（11）《信息技術安全技術信息安全管理體系要求》（GB/T22080-2016）

（12）《計算機信息系統(tǒng)安全等級保護通用技術要求》（GAT 390-2002）

（13）《信息安全技術信息系統(tǒng)安全管理要求》（GB/T 20269-2006）

（14）《信息系統(tǒng)安全工程管理要求》（GB/T20282-2006）

（15）《信息安全技術信息安全風險評估規(guī)范》（GB/T 20984-2007）

（16）《重要信息系統(tǒng)安全等級保護定級報告》

（17）《信息系統(tǒng)安全等級測評服務合同》

（18）其它國家法律、法規(guī)要求

2.5、交付物

（1）測評方案；

（2）安全等級建設整改建議；

（3）等級測評報告。

2.6、項目驗收要求：項目交付后由招標人根據(jù)合同、招標文件、投標文件組織驗收。

2.7、服務及售后服務基本要求

2.7.1免費售后服務期限：自合同簽訂之日一年。

2.7.2測評機構資質和人員能力要求：

1）投標人應具備公安部第三研究所頒發(fā)的《網(wǎng)絡安全等級測評與檢測評估機構服務認證證書》及中國網(wǎng)絡安全審查技術與認證中心頒發(fā)的信息安全風險評估資質（二級），投標時提供上述證件掃描件加蓋公章。

2）投標人應當具有滿足等級測評工作的專業(yè)技術人員和管理人員，投標人投入本項目實施團隊人員不得少于6人，均須具備從事等級保護測評工作的認證資格，其中具備高級測評師資格的人員不少于1人，具備中級測評師資格的人員不少于2人（投標文件須提供公司高級測評師、中級測評師在中國網(wǎng)絡安全等級保護網(wǎng)的查詢截圖和中、高級測評師證書復印件加蓋公章）。

（3）售后服務：

售后服務響應時間及維護承諾：在驗收合格后一年內為招標方提供信息系統(tǒng)建設咨詢服務，涵蓋系統(tǒng)基礎設計、系統(tǒng)建設方案、運維管理等相關的建設及安全問題，提供信息安全檢查咨詢和整改建議等技術支持服務。

三、采購編號：****

四、最高限價:9萬元

五、資質要求：

報名單位必須具備如下條件：

1、在國內工商管理部門注冊，具有獨立的法人資格；

2、本項目內容在其經(jīng)許可的經(jīng)營范圍內；

3、未被“信用中國”網(wǎng)站（www.creditchina.gov.cn）列入失信被執(zhí)行人、重大稅收違法案件當事人名單、政府采購嚴重失信行為記錄名單。（請?zhí)峁┚W(wǎng)頁截圖及前3年內在經(jīng)營活動中沒有重大違法記錄的書面聲明）；

4、本項目不接受聯(lián)合體投標。

六、報名需提交材料：

1、投標函加蓋單位公章（見招標管理--流程表單--附件1）

2、招標采購項目報名表；（見招標管理--流程表單--附件2）

3、投標公司資質：法人營業(yè)執(zhí)照（三證合一）、稅務登記證、組織機構代碼證、經(jīng)營許可證、經(jīng)營備案憑證等的復印件。

4、法定代表人身份證明和授權委托書格式要求（見招標管理--流程表單--附件3）

5、未被“信用中國”網(wǎng)站（www.creditchina.gov.cn）列入失信被執(zhí)行人、重大稅收違法案件當事人名單、政府采購嚴重失信行為記錄名單。（請?zhí)峁┚W(wǎng)頁截圖及前3年內在經(jīng)營活動中沒有重大違法記錄的）

6、提供服務承諾函，承諾內容包含但不僅限于規(guī)格要求及資質要求的相關內容

要求:投標公司將招標采購項目報名表于 **** 17：00之前將掃描件發(fā)送至****@163.com郵箱。其他材料請加蓋單位公章按要求裝訂成冊（格式要求見招標管理-流程表單-附件3），一正本，兩副本，密封后于**** 17：00之前郵寄或直接送達。

標書封面注明投標項目、聯(lián)系人及聯(lián)系電話，開標時間另行通知（所有標書概不退還）

七、報名截止日期：****

八、聯(lián)系方式：

聯(lián)系科室：河北省承德市點擊登錄查看門診四樓419室采購辦

聯(lián)系人：點擊登錄查看

聯(lián)系電話：****