嘉峪關(guān)市第一人民醫(yī)院2025年等保測評密評服務(wù)項目采購公告

點擊登錄查看2025年等保測評密評服務(wù)項目采購公告

點擊登錄查看擬對以下項目進行院內(nèi)競爭性磋商方式采購，歡迎符合資格條件的供應(yīng)商前來報名。

一、項目基本情況：

項目編號：****

項目名稱：點擊登錄查看2025年等保測評密評服務(wù)項目

評標(biāo)辦法：綜合評分法（評標(biāo)辦法見附件）

合同期限：自合同簽訂起1年

招標(biāo)內(nèi)容：詳見附件

二、供應(yīng)商資格要求：

1.供應(yīng)商須符合《中華人民共和國政府采購法》第二十二條規(guī)定，并提供《中華人民共和國政府采購法實施條例》第十七條所要求的材料；提供有效的營業(yè)執(zhí)照，或事業(yè)單位法人證書，或自然人身份證明，或其他非企業(yè)組織證明獨立承擔(dān)民事責(zé)任能力的文件；

2.供應(yīng)商須為未被列入“信用中國”網(wǎng)站(www.creditchina.gov.cn)記錄失信被執(zhí)行人或重大稅收違法案件當(dāng)事人名單或政府采購嚴(yán)重違法失信行為”記錄名單；不處于中國政府采購網(wǎng)(www.ccgp.gov.cn)政府采購嚴(yán)重違法失信行為信息記錄”中的禁止參加政府采購活動期間;未被列入“信用甘肅”網(wǎng)站（www.gscredit.gov.cn）記錄失信被執(zhí)行人或財政性資金管理使用領(lǐng)域相關(guān)失信責(zé)任主體、統(tǒng)計領(lǐng)域嚴(yán)重失信企業(yè)及其有關(guān)人員等的方可參加本項目的投標(biāo)。（查詢時間為本項目磋商公告發(fā)布之日起至投標(biāo)截止時間前）；

3.提供財務(wù)狀況報告等相關(guān)材料：提供2024年度經(jīng)第三方會計師事務(wù)所審計的企業(yè)財務(wù)報告掃描件或提交投標(biāo)文件截止時間期前近3個月內(nèi)銀行出具的資信證明復(fù)印件并加蓋公章；

4.參加政府采購活動前三年內(nèi)在經(jīng)營活動中沒有重大違法記錄的書面聲明（格式自擬）；

5.提供近6個月中任意1個月的依法繳納稅收和社會保障資金（專用收據(jù)或社會保險繳納清單等）的相關(guān)證明材料復(fù)印件并加蓋公章；依法免稅或不需要繳納社會保障資金的供應(yīng)商，應(yīng)提供稅務(wù)機關(guān)出具的依法免稅的證明文件或社會保險基金管理部門出具的不需要繳納社會保障資金的證明文件；

6.具有履行合同所必須的設(shè)備和專業(yè)技術(shù)能力；

7.等保測評服務(wù)供應(yīng)商須具有公安部頒發(fā)的網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認證證書加蓋公章復(fù)印件；

8.密碼測評服務(wù)供應(yīng)商須為國家密碼管理局公告（第49號）《商用密碼檢測機構(gòu)（商用密碼應(yīng)用安全性評估業(yè)務(wù)）目錄》之內(nèi)的商用密碼檢測機構(gòu)，須提供商用密碼檢測機構(gòu)資質(zhì)證書加蓋公章復(fù)印件；

9.本項目不接受聯(lián)合體投標(biāo)。

三、資格審查方式：

本項目資格審查采用資格后審的方式，各投標(biāo)人根據(jù)公告內(nèi)投標(biāo)人資格條件，自行確定是否符合要求。

資格審查的內(nèi)容若有一項未提供或達不到審查標(biāo)準(zhǔn)，將導(dǎo)致其不具備投標(biāo)資格，且不允許在開標(biāo)后補正。

四、投標(biāo)響應(yīng)文件的構(gòu)成：

1.投標(biāo)函；

2.法定代表人資格證明書；

3.法定代表人授權(quán)委托書；

4.供應(yīng)商自覺抵制政府采購領(lǐng)域商業(yè)賄賂行為承諾書；

5.投標(biāo)人資格聲明；

6.提供有效的營業(yè)執(zhí)照、稅務(wù)登記證、組織機構(gòu)代碼證等證件的副本或具有統(tǒng)一社會信用代碼的營業(yè)執(zhí)照副本或事業(yè)單位法人證書，或自然人身份證明。（復(fù)印件加蓋公章）；

7.無聯(lián)合體投標(biāo)聲明；

8.一次報價單和二次報價單（格式自擬）；

9.技術(shù)投標(biāo)人認為有必要提供的其他資料；

以上內(nèi)容需裝訂成冊（膠裝），要求一正兩副，投標(biāo)人需將一正兩副的響應(yīng)文件封裝，封口處加蓋密封章，并于公告指定的時間及地點遞交文件。

五、報名時間、資料和方式：

1.報名時間：****至****（上午8:30—12:00、下午14:30—18:00，節(jié)假日除外）；

2.報名資料：提供有效的法人營業(yè)執(zhí)照副本、機構(gòu)代碼證副本、稅務(wù)登記證（三證合一的則需提供具有統(tǒng)一社會信用代碼的營業(yè)執(zhí)照副本），（掃描件加蓋公章）、法定代表人授權(quán)書（掃描件）、授權(quán)人身份證（正反面掃描件）；

3.報名方式：以上報名資料加蓋公章后掃描成PDF文件發(fā)送至****@qq.com 郵箱，郵件主題和附件資料均命名為“采購文件編號+供應(yīng)商名稱”，要求發(fā)送資料清晰可見，報名資料需留有報名人的聯(lián)系方式，開標(biāo)同時提供復(fù)印件一套，投標(biāo)人也可進行現(xiàn)場報名，攜帶以上資料加蓋公章，報名地址：點擊登錄查看南院區(qū)招標(biāo)采購辦公室。

六、提交響應(yīng)文件截止時間和競爭性磋商時間和地點：

1.提交響應(yīng)文件及競爭性磋商時間：****15:00時

2.提交響應(yīng)文件及競爭性磋商地點：點擊登錄查看南院區(qū)門診樓三樓行政二區(qū)會議室，逾期送達的或者未送達指定地點的投標(biāo)文件，招標(biāo)人不予受理。

七、發(fā)布公告的媒介：

點擊登錄查看訂閱號

八、聯(lián)系方式：

招標(biāo)單位：點擊登錄查看

聯(lián)系人：點擊登錄查看

聯(lián)系電話：****

聯(lián)系地址：嘉峪關(guān)市****

點擊登錄查看

****

附件：

一、總體服務(wù)要求：

1、服務(wù)內(nèi)容：

（1）對點擊登錄查看電子病歷（EMR）、醫(yī)院信息管理（HIS）系統(tǒng)進行三級等保測評；協(xié)助院方完成缺項整改，如網(wǎng)絡(luò)安全制度建設(shè)、機房環(huán)境進行改造、網(wǎng)絡(luò)設(shè)備進行調(diào)試配置、院內(nèi)終端進行整改、合理化網(wǎng)絡(luò)安全建議等；為院方開展全院級、科室級網(wǎng)絡(luò)安全培訓(xùn)，時間地點由院方安排；根據(jù)要求完成網(wǎng)安部門登記備案、三級等保測評并出具報告。

（2）徹落實《中華人民共和國密碼法》、《商用密碼管理條例》與《商用密碼應(yīng)用安全性評估管理辦法》中對密碼應(yīng)用與安全性評估要求，對電子病歷（EMR）和醫(yī)院信息管理（HIS）系統(tǒng)開展商用密碼應(yīng)用安全性評估工作。對系統(tǒng)實際情況及系統(tǒng)使用的密碼資源情況選擇并確定測評對象，在系統(tǒng)真實環(huán)境下進行測評，以評估系統(tǒng)的密碼應(yīng)用是否合規(guī)、正確、有效；對系統(tǒng)密碼應(yīng)用方案提供咨詢服務(wù)，針對評估系統(tǒng)編制密碼應(yīng)用安全性評估報告，報告按照國家密碼管理局要求包含的內(nèi)容編制或參考模板編制，協(xié)助用戶認清風(fēng)險，查找漏洞，找出差距，提出有針對性的加強完善密碼安全管理和防護建議，充分發(fā)揮密碼保障網(wǎng)絡(luò)安全核心支撐作用，增強信息系統(tǒng)網(wǎng)絡(luò)安全防護能力。

二、等保測評技術(shù)要求：

1、項目要求

根據(jù)等級保護測評的總體要求，對點擊登錄查看電子病歷（EMR）、醫(yī)院信息管理（HIS）共2個系統(tǒng)采購信息安全等級保護測評服務(wù)。檢測和發(fā)現(xiàn)系統(tǒng)中存在的安全漏洞和安全隱患，提出安全整改建議，從而有效降低系統(tǒng)遭受具有政治目的、經(jīng)濟目的等惡意攻擊的可能性，以提高安全保障能力和防護水平；同時，測評結(jié)論作為進一步完善系統(tǒng)安全防護措施的依據(jù)。

2、項目內(nèi)容

本次等級保護測評主要是基于《GB/T22240-2020信息安全技術(shù)網(wǎng)絡(luò)安全等級保護定級指南》、《GB17859-1999計算機信息系統(tǒng)安全保護等級劃分準(zhǔn)則》、《GB/T22239-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》、《GB/T28448-2019信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評要求》、《GB/T28449-2018信息安全技術(shù)網(wǎng)絡(luò)安全等級保護測評過程指南》、《GA/T390-2002計算機信息系統(tǒng)安全等級保護通用技術(shù)要求》和《GA/T391-2002計算機信息系統(tǒng)安全等級保護管理要求》、中的相關(guān)內(nèi)容和要求進行評估，并參考其它等級保護的相關(guān)標(biāo)準(zhǔn)。測評主要包括技術(shù)和管理兩個方面的內(nèi)容：技術(shù)方面主要涉及安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等五個方面；管理方面主要涉及安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理等。

3、測評內(nèi)容

測評的內(nèi)容包括但不限于以下內(nèi)容：

安全技術(shù)測評：包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境和安全管理中心等五個方面的安全測評；安全管理測評：安全管理機構(gòu)、安全管理制度、安全管理人員、安全建設(shè)管理和安全運維管理等五個方面的安全測評。

（1）安全物理環(huán)境

針對機房和現(xiàn)場在“物理位置選擇”、“物理訪問控制”、“防盜竊和防破壞”、“防雷擊”、“防火”、“防水和防潮”、“防靜電”、“溫濕度控制”、“電力供應(yīng)”和“電磁防護”等物理安全方面所采取的措施進行，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（2）安全通信網(wǎng)絡(luò)

根據(jù)重要信息系統(tǒng)網(wǎng)絡(luò)安全測評記錄，針對項目范圍內(nèi)網(wǎng)絡(luò)方面在“網(wǎng)絡(luò)架構(gòu)”、“通信傳輸”、“可信驗證”等網(wǎng)絡(luò)安全方面所采取的措施進行檢查，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（3）安全區(qū)域邊界

安全區(qū)域邊界現(xiàn)場測評包括對項目范圍內(nèi)信息系統(tǒng)的測評，測評內(nèi)容包括“邊界防護”、“訪問控制”、“入侵防護”、“惡意代碼防范和垃圾郵件防范”、“安全審計”、“可信驗證”。

（4）安全計算環(huán)境

安全計算環(huán)境現(xiàn)場測評包括對項目范圍內(nèi)信息系統(tǒng)的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“入侵防范”、“惡意代碼防范”、“可信驗證”、“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“數(shù)據(jù)備份恢復(fù)”、“剩余信息保護”、“個人信息保護”方面。

（4）安全管理中心

針對項目范圍內(nèi)信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場測評包括“系統(tǒng)管理”、“審計管理”、“安全管理”和“集中管控”幾個方面的測評。

（6）安全管理制度

根據(jù)現(xiàn)場安全測評記錄，針對項目范圍內(nèi)信息系統(tǒng)在安全管理制度方面的“安全策略”、“管理制度”、“制定和發(fā)布”以及“評審和修訂”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（7）安全管理機構(gòu)

根據(jù)現(xiàn)場安全測評記錄，針對項目范圍內(nèi)信息系統(tǒng)在安全管理機構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”、“審核和檢查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（8）安全管理人員

根據(jù)現(xiàn)場安全測評記錄，針對項目范圍內(nèi)信息系統(tǒng)在人員安全管理方面的“人員錄用”、“人員離崗”、“安全意識教育和培訓(xùn)”、“外部人員訪問管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（9）安全建設(shè)管理

根據(jù)現(xiàn)場安全測評記錄，針對項目范圍內(nèi)信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務(wù)商選擇”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（10）安全運維管理

根據(jù)現(xiàn)場安全測評記錄，針對項目范圍內(nèi)信息系統(tǒng)在系統(tǒng)運維管理方面的“環(huán)境管理”、“資產(chǎn)管理”、“介質(zhì)管理”、“設(shè)備維護管理”、“漏洞和風(fēng)險管理”、“網(wǎng)絡(luò)和系統(tǒng)安全管理”、“惡意代碼防范管理”、“配置管理”、“密碼管理”、“變更管理”、“備份與恢復(fù)管理”、“安全事件處置”、“應(yīng)急預(yù)案管理”、“外包運維管理”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。

（11）滲透測試

根據(jù)項目范圍內(nèi)應(yīng)用系統(tǒng)實際部署情況從互聯(lián)網(wǎng)和內(nèi)網(wǎng)對所測評應(yīng)用系統(tǒng)進行滲透測試，并根據(jù)測試結(jié)果提出整改建議和加固方法，由甲方整改完成后進行滲透測試復(fù)測。

（12）提供三級等保整改，每月度互聯(lián)網(wǎng)安全檢查方案。

4、項目實施要求

4.1 保密要求

在項目實施過程中，供應(yīng)商承諾對所獲得的數(shù)據(jù)及文檔等保密信息，承擔(dān)以下保密義務(wù)：

（1）供應(yīng)商應(yīng)按要求與采購人簽署保密協(xié)議。

（2）主動采取加密措施對上述所列及保密信息進行保護，防止不承擔(dān)同等保密義務(wù)的任何第三者知悉及使用。

（3）不得刺探或者以其他不正當(dāng)手段（包括利用計算機進行檢索、瀏覽、復(fù)制等）獲取與本職工作或本身業(yè)務(wù)無關(guān)的關(guān)于該項目的商業(yè)秘密。

（4）不得向不承擔(dān)同等保密義務(wù)的任何第三人披露關(guān)于該項目的商業(yè)秘密。

（5）不得允許（包括出借、贈與、出租、轉(zhuǎn)讓等行為）或協(xié)助不承擔(dān)同等保密義務(wù)的任何第三人使用關(guān)于該項目的商業(yè)秘密。

（6）不論何種原因終止參與采購人關(guān)于該項目的工作后，都不得利用該項目之商業(yè)秘密為其他與采購人有競爭關(guān)系的企業(yè)（包括自辦企業(yè)）服務(wù)。

（7）該項目的商業(yè)秘密所有權(quán)始終全部歸屬采購人，供應(yīng)商不得利用自身對項目不同程度的了解申請對于該項目的商業(yè)秘密所有權(quán)，在本協(xié)議簽訂前供應(yīng)商已依法具有某些所有權(quán)者除外。

（8）如發(fā)現(xiàn)采購人關(guān)于該項目的商業(yè)秘密被泄露或者自己過失泄露秘密，應(yīng)當(dāng)采取有效措施防止泄密進一步擴大，并及時向采購人報告。

4.2 實施要求

（1）在項目實施過程中，供應(yīng)商應(yīng)做好計劃與安排，不影響采購人正常業(yè)務(wù)的開展。供應(yīng)商要給予承諾，并承擔(dān)由此引起的損失。

（2）在等保測評過程中，每周五下午實施方需提交工作周報，內(nèi)容應(yīng)包括本周工作內(nèi)容和下周工作安排等內(nèi)容。

（3）等保測評工作應(yīng)嚴(yán)格按照雙方確認的工作方案開展，如遇任何變動，須在工作周報中及時提出，經(jīng)采購人批準(zhǔn)后方可變更。

（4）測評過程中實施測評人員須記錄在途經(jīng)路徑上涉及的可被利用存在漏洞的相關(guān)主機等設(shè)備的信息，以便于被測單位對相關(guān)漏洞進行全面修補。

（5）測評工作全部結(jié)束后實施測評人員須卸載安裝在目標(biāo)機器或途徑機器上的各類工具、腳本、文件等，還原各機器和系統(tǒng)的原始狀態(tài)。

（6）測評結(jié)果中應(yīng)包括測評過程中發(fā)現(xiàn)的所有漏洞，不能遺漏。

（7）在測評過程中若發(fā)現(xiàn)重大安全問題（如已被控制或存在嚴(yán)重安全隱患等），測評機構(gòu)應(yīng)在24小時之內(nèi)以書面形式通知采購人，以便第一時間做出處理。

（8）測評過程中，實施測評人員在進入被測單位辦公網(wǎng)絡(luò)后若發(fā)現(xiàn)測評范圍之外的未知信息系統(tǒng)，須列出系統(tǒng)名稱、服務(wù)器IP地址、操作系統(tǒng)類型、數(shù)據(jù)庫系統(tǒng)類型等信息，并與采購人協(xié)商是否繼續(xù)進行測評。

（9）測評過程中不得獲取測評范圍以外的數(shù)據(jù)，獲取的數(shù)據(jù)不得用于本次測評以外的其他用途。

（10）測評過程中應(yīng)控制風(fēng)險，防止測試對網(wǎng)絡(luò)及系統(tǒng)運行造成影響，因測試造成系統(tǒng)運行問題應(yīng)及時報告。

（11）測評過程中，測評機構(gòu)應(yīng)該針對被測系統(tǒng)發(fā)現(xiàn)的漏洞提交可行性的解決方案。

（12）需對被測系統(tǒng)進行全面、專業(yè)的滲透測試，發(fā)現(xiàn)應(yīng)用系統(tǒng)存在的安全隱患，并出具滲透測試報告。

（13）測評機構(gòu)在測評過程中必須保證系統(tǒng)穩(wěn)定運行，由于測評機構(gòu)人員能力、不當(dāng)操作等造成系統(tǒng)、網(wǎng)絡(luò)或者服務(wù)宕機的，評測機構(gòu)應(yīng)承擔(dān)相應(yīng)責(zé)任。

4.3 項目服務(wù)需求

(1)服務(wù)范圍和期限：（最終交付報告視為完成服務(wù)，具體服務(wù)要求見采購人基本需求）。

(2)本技術(shù)要求提出的是最低限度的技術(shù)需求，并未對一切技術(shù)細節(jié)做出規(guī)定，供應(yīng)商應(yīng)保證提供符合采購人要求的技術(shù)服務(wù)規(guī)范。

(3)采購人保留對本要求提出補充要求和修改的權(quán)利，供應(yīng)商應(yīng)允諾予以配合。如提出修改，具體項目和條件由雙方商定。

(4)供應(yīng)商對采購人實施環(huán)境進行實地考察，并制定出技術(shù)服務(wù)方案和應(yīng)急服務(wù)方案。

(5)方案確定后，供應(yīng)商應(yīng)嚴(yán)格按照方案要求進行項目實施、技術(shù)服務(wù)和應(yīng)急響應(yīng)服務(wù)，并按合同規(guī)定時間進行技術(shù)實施和服務(wù)。

(6)雙方應(yīng)在簽訂合同的同時簽訂保密協(xié)議書，保密協(xié)議書作為合同不可分割的一部分。

(7)采購人將在項目實施過程中提供項目實施所需的場地及實施條件，積極協(xié)調(diào)各部門配合供應(yīng)商實施工作。

5、服務(wù)清單列表

6、測評服務(wù)要求

6.1 測評工作應(yīng)遵循原則

本次安全保護等級保護測評工作方案設(shè)計與具體實施應(yīng)遵循以下原則：

（1）保密性原則：對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)要嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個人，不得利用此數(shù)據(jù)進行任何侵害招標(biāo)人的行為，否則采購人有權(quán)追究投標(biāo)人的責(zé)任。

（2）標(biāo)準(zhǔn)性原則：測評方案的設(shè)計與實施應(yīng)依據(jù)國家等級保護的相關(guān)標(biāo)準(zhǔn)進行。

（3）規(guī)范性原則：供應(yīng)商工作過程和文檔整理，應(yīng)具有很好的規(guī)范性，便于項目的跟蹤。

（4）可控性原則：測評工作進度要按照計劃安排進行，保證采購人對于測評工作的可控。測評工作應(yīng)盡可能減小對現(xiàn)有信息系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能影響正常業(yè)務(wù)的開展。

（5）整體性原則：測評工作范圍和內(nèi)容應(yīng)當(dāng)全面完整，包括國家等級保護相關(guān)要求涉及的各個層面。

6.2 測評工作總體要求

（1）供應(yīng)商應(yīng)嚴(yán)格依照上述原則和國家等級保護相關(guān)標(biāo)準(zhǔn)開展項目實施工作。在測評準(zhǔn)備、方案制定、現(xiàn)場測評、分析與報告編制等各個階段都嚴(yán)格把關(guān)，杜絕走過場。在測評工作期間，實施單位應(yīng)具有應(yīng)急響應(yīng)預(yù)案，妥善處理突發(fā)事件。測評工作完成后，應(yīng)提出相應(yīng)的整改意見建議。

（2）供應(yīng)商應(yīng)提交本次等級保護測評工作的整體方案，包括項目概述、測評技術(shù)方案、項目實施方案、測試過程中需使用測試設(shè)備清單、時間安排、階段性文檔提交和驗收標(biāo)準(zhǔn)等。

（3）執(zhí)行本項目實施服務(wù)的主要人員不得少于3人，且必須具備從事等級保護測評工作資格，具有參加等級保護測評服務(wù)項目的經(jīng)驗。供應(yīng)商應(yīng)提交測評組成人員情況、資質(zhì)及各自職責(zé)的劃分，應(yīng)配置相對固定的測評團隊進行本次等級保護測評工作，不能臨時替補或經(jīng)常更換。

（4）本次等級保護測評實施過程中所使用到的各種工具軟硬件均由供應(yīng)商提供，經(jīng)采購人確認后在測評中使用。在投標(biāo)文件中應(yīng)詳細描述所使用的安全測評工具（軟硬件型號、功能和性能描述）、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風(fēng)險分析等。

（5）安全測評工具軟件運行可能需要的硬件平臺（如筆記本電腦、PC、工作站等）和操作系統(tǒng)軟件等均由中標(biāo)人提供，經(jīng)采購人確認后在測評中使用。

6.3 安全測評報告

供應(yīng)商在測評工作結(jié)束后，應(yīng)出具符合信息安全等級保護管理部門要求的系統(tǒng)測評報告各兩本。

三、密評技術(shù)要求：

1、測評內(nèi)容和服務(wù)要求

（1）測評內(nèi)容

被測系統(tǒng)的詳細名稱、等級如下表所示。

（2）測評依據(jù)標(biāo)準(zhǔn)

①GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》

②GM/T0115-2021《信息系統(tǒng)密碼應(yīng)用測評要求》

③GM/T0116-2021《信息系統(tǒng)密碼應(yīng)用測評過程指南》

④GB/T 43207-2023《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用設(shè)計指南》

⑤信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引（2021）

⑥商用密碼應(yīng)用安全性評估量化評估規(guī)則（2023版）

（3）服務(wù)要求

供應(yīng)商針對電子病歷（EMR）和醫(yī)院信息管理（HIS）系統(tǒng)密碼應(yīng)用要求和密碼評估提供相關(guān)咨詢、培訓(xùn)與保障，對系統(tǒng)密碼應(yīng)用與方案提供咨詢服務(wù)。

在服務(wù)期內(nèi)，供應(yīng)商至少具備6名《商用密碼應(yīng)用安全性評估從業(yè)人員考核證書》（原商用密碼應(yīng)用安全性評估人員測評能力考核）的密評人員在1小時內(nèi)作好服務(wù)應(yīng)答和反饋，對出現(xiàn)的問題進行現(xiàn)場分析、記錄、處置和歸檔。服務(wù)期間提供應(yīng)急保障工作。

（1）項目負責(zé)人：對密評項目的實施進行全面負責(zé)。需具備商用密碼應(yīng)用安全性評估從業(yè)人員考核（原商用密碼應(yīng)用安全性評估人員測評能力考核）（成績?yōu)閮?yōu)秀）和信息系統(tǒng)項目管理師證書。

（2）技術(shù)負責(zé)人：主持本次密評技術(shù)管理工作，解決密評工作執(zhí)行過程中遇到的技術(shù)相關(guān)難題。

（3）項目團隊成員（除項目負責(zé)人和技術(shù)負責(zé)人）不少于4人，負責(zé)現(xiàn)場密評實施工作和報告編制等工作。

2、技術(shù)要求

（1）供應(yīng)商應(yīng)依據(jù)國家密碼法規(guī)、密碼應(yīng)用相關(guān)技術(shù)標(biāo)準(zhǔn)，采用科學(xué)的測評方法、流程和工作規(guī)范開展商用密碼應(yīng)用安全性評估工作。供應(yīng)商應(yīng)具備商用密碼應(yīng)用安全性技術(shù)測評實施、管理測評實施、系統(tǒng)整體評估能力。供應(yīng)商為本項目配備能夠依據(jù)測評結(jié)果做出專業(yè)判斷以及出具測評報告的能力的測評人員，測評人員必須為通過國家密碼管理部門（或其授權(quán)的機構(gòu)）組織的考核（即商用密碼應(yīng)用安全性評估人員測評能力考核證書），遵守國家有關(guān)法律法規(guī)，按照相關(guān)標(biāo)準(zhǔn)，為用戶提供安全、客觀、公正的評估服務(wù)，保證評估的質(zhì)量和效果。

（2）供應(yīng)商應(yīng)具有完善的測評方案，有計劃、按步驟地開展測評工作，且測評方案應(yīng)專業(yè)性強，對系統(tǒng)現(xiàn)狀及需求理解應(yīng)準(zhǔn)確，方案應(yīng)科學(xué)合理，內(nèi)容應(yīng)完整、可靠性強，實施方法和技術(shù)措施應(yīng)可操作性和有效性強，在簽訂密評合同后供應(yīng)商應(yīng)立即成立密評工作小組，并嚴(yán)格按照合同履行密評責(zé)任。

（3）供應(yīng)商應(yīng)具有良好的質(zhì)量控制的能力和質(zhì)量管理體系，以保證測評工作的客觀、公正、安全。供應(yīng)商針對本項目測評過程中的質(zhì)量管理方案內(nèi)項目質(zhì)量管理應(yīng)完備，項目質(zhì)量保障措施應(yīng)科學(xué)、可行、完善，項目管理與風(fēng)險應(yīng)控制合理。

（4）供應(yīng)商在現(xiàn)場測評工作中必須在不影響采購人信息系統(tǒng)正常運行的前提下進行。

（5）供應(yīng)商應(yīng)遵守相應(yīng)的密評工作制度，包括會議制度、密評文件制度、密評記錄制度、工作報告制度等，保證密評工作協(xié)調(diào)有序的進行。

（6）供應(yīng)商應(yīng)根據(jù)被測系統(tǒng)的具體情況，按合同約定，配備滿足密評工作需要的人員、設(shè)備和工具。為保障密評實施與合同約定服務(wù)周期內(nèi)的服務(wù)響應(yīng)，供應(yīng)商應(yīng)具備一定的測評工具開發(fā)能力以及在測評服務(wù)地進行系統(tǒng)環(huán)境模擬實驗?zāi)芰Α?/p>

（7）供應(yīng)商應(yīng)具有完善的應(yīng)急流程，具有快速應(yīng)急響應(yīng)服務(wù)團隊，以保證在整個項目過程中不影響委托單位信息系統(tǒng)的正常運行。

（8）為保障密評過程中可能涉及的重要數(shù)據(jù)和敏感信息的安全，供應(yīng)商應(yīng)配有相關(guān)能力支撐的保密辦公區(qū)****

（9）供應(yīng)商完成商用密碼應(yīng)用安全性評估工作后，應(yīng)協(xié)助用戶在30日內(nèi)將評估結(jié)果報國家密碼管理部門備案。

3、工作交付物

電子病歷（EMR）和醫(yī)院信息管理（HIS）系統(tǒng)商用密碼應(yīng)用安全性評估工作的成果包括：

《電子病歷（EMR）系統(tǒng)商用密碼應(yīng)用安全性評估報告》

《電子病歷（EMR）系統(tǒng)密碼應(yīng)用改進建議書》

《醫(yī)院信息管理（HIS）系統(tǒng)商用密碼應(yīng)用安全性評估報告》

《醫(yī)院信息管理（HIS）系統(tǒng)密碼應(yīng)用改進建議書》

四、評標(biāo)參數(shù)

五、評標(biāo)辦法