基本信息

一、基本項(xiàng)目情況

項(xiàng)目名稱：興安盟人民醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)項(xiàng)目

服務(wù)地點(diǎn)：興安盟人民醫(yī)院

項(xiàng)目預(yù)算： 19.6萬元。

服務(wù)期限：1年。

測評系統(tǒng)：HIS、LIS、PACS、電子病歷和互聯(lián)網(wǎng)醫(yī)院做等保3.0測評。五大中心與篩查系統(tǒng)2.0測評。

二、服務(wù)內(nèi)容及要求

本項(xiàng)目測評內(nèi)容包括：等級保護(hù)測評服務(wù)、滲透測試服務(wù)和協(xié)助整改測評過程中發(fā)現(xiàn)的問題。以上服務(wù)內(nèi)容按照《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》（GB/T22239-2019）、《信息安全技術(shù)—網(wǎng)絡(luò)安全等級保護(hù)測評要求》（GB/T 28448-2019）進(jìn)行檢測，且當(dāng)甲方信息系統(tǒng)發(fā)生變更時(shí)，可在限定數(shù)量內(nèi)與規(guī)模相當(dāng)?shù)男畔⑾到y(tǒng)調(diào)整。供應(yīng)商必須根據(jù)采購人需求，提供合理可行的整體設(shè)計(jì)方案和具體實(shí)現(xiàn)方式，設(shè)計(jì)方案優(yōu)劣將作為評標(biāo)重要依據(jù)。

供應(yīng)商為本項(xiàng)目服務(wù)所需的軟硬件工具，由供應(yīng)商根據(jù)服務(wù)要求自行采購，免費(fèi)提供本項(xiàng)目服務(wù)，產(chǎn)權(quán)歸屬不變。

需求說明：

根據(jù)《內(nèi)蒙古自治區(qū)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法》（內(nèi)蒙古自治區(qū)人民政府令第183號）的要求，信息系統(tǒng)使用單位應(yīng)選擇符合法定條件的安全等級測評機(jī)構(gòu)對等級保護(hù)二級及以上的信息系統(tǒng)進(jìn)行測評，其中三級系統(tǒng)每年至少測評一次，二級系統(tǒng)每兩年至少測評一次。根據(jù)（內(nèi)蒙古自治區(qū)人民政府令第183號）的要求，每年度應(yīng)對興安盟人民醫(yī)院信息系統(tǒng)開展一次網(wǎng)絡(luò)安全等級保護(hù)測評和安全防護(hù)整改加固工作。

隨著網(wǎng)絡(luò)安全日益嚴(yán)重，興安盟人民醫(yī)院部署了多個(gè)信息系統(tǒng)，為降低信息系統(tǒng)方面的安全缺陷，為檢驗(yàn)信息系統(tǒng)防御能力、發(fā)現(xiàn)安全隱患、降低信息泄露風(fēng)險(xiǎn)，增強(qiáng)應(yīng)對信息系統(tǒng)突發(fā)和緊急事件，降低信息安全緊急事件的影響，應(yīng)開展信息安全等級保護(hù)、滲透測試。

供應(yīng)商資格條件要求：

1、供應(yīng)商需具備《網(wǎng)絡(luò)安全等級測評與檢測評估機(jī)構(gòu)服務(wù)認(rèn)證證書》；

2、異地測評機(jī)構(gòu)（安全服務(wù)機(jī)構(gòu)）需按照《內(nèi)蒙古自治區(qū)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)辦法》要求完成項(xiàng)目所在地盟市級以上公安機(jī)關(guān)本項(xiàng)目備案并提供相關(guān)證明；

3、供應(yīng)商需具備國家信息安全測評信息安全服務(wù)資質(zhì)證書安全工程一級資質(zhì)及以上（范圍內(nèi)包含風(fēng)險(xiǎn)評估）

技術(shù)測評

l 安全物理和環(huán)境

物理安全測評通過訪談和檢查的方式評測物理環(huán)境安全保障情況。主要涉及對象為信息系統(tǒng)機(jī)房。

具體測評內(nèi)容包括：

（1）物理位置的選擇；（2）物理訪問控制；（3）防盜竊和防破壞；（4）防雷擊；（5）防火；（6）防水和防潮；（7）防靜電；（8）溫濕度控制；（9）電力供應(yīng)；（10）電磁防護(hù)

l 安全通信網(wǎng)絡(luò)

安全通信網(wǎng)絡(luò)測評通過訪談、檢查和測試的方式評測信息系統(tǒng)的網(wǎng)絡(luò)安全保障情況。主要涉及對象為信息系統(tǒng)的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)、網(wǎng)絡(luò)設(shè)備以及網(wǎng)絡(luò)安全設(shè)備等三大類。

具體的測評內(nèi)容如下所示：

（1）網(wǎng)絡(luò)架構(gòu)；（2）通信傳輸；（3）可信驗(yàn)證

l 安全區(qū)域邊界

（1）邊界防護(hù)；（2）訪問控制；（3）惡意代碼防范；（4）安全審計(jì)；（5）入侵防范；（6）可信驗(yàn)證

l 安全計(jì)算環(huán)境

主機(jī)系統(tǒng)安全測評通過訪談、檢查和測試的方式，測評信息系統(tǒng)主要服務(wù)器操作系統(tǒng)和主要數(shù)據(jù)庫管理系統(tǒng)安全保障情況。

具體測評內(nèi)容包括：

（1）身份鑒別；（2）訪問控制；（3）安全審計(jì)；（4）入侵防范；（5）惡意代碼防范；（6）可信驗(yàn)證；（7）數(shù)據(jù)完整性；（8）數(shù)據(jù)保密性；（9）數(shù)據(jù)備份恢復(fù)；（10）剩余信息保護(hù)；（11）個(gè)人信息保護(hù)

l 安全管理中心

（1） 系統(tǒng)管理；（2）審計(jì)管理；（3）安全管理；（4）集中監(jiān)控

l 安全管理制度

安全管理制度測評通過訪談和檢查的形式評估安全管理制度的制定、發(fā)布、評審和修訂等情況。主要涉及安全主管人員、安全管理人員、各類其它人員、各類管理制度、各類操作規(guī)程文件等對象。

具體測評內(nèi)容包括：

（1）管理制度；（2）安全策略；（3）制定和發(fā)布；（4）評審和修訂

l 安全管理機(jī)構(gòu)

安全管理機(jī)構(gòu)測評通過訪談和檢查的形式評估安全管理機(jī)構(gòu)的組成情況和機(jī)構(gòu)工作組織情況。主要涉及安全主管人員、安全管理人員、相關(guān)的文件資料和工作記錄等對象。

具體測評內(nèi)容包括：

（1）崗位設(shè)置；（2）人員配備；（3）授權(quán)和審批；（4）溝通和合作；（5）審核和檢查

l 安全管理人員

（1）人員錄用；（2）人員離崗；（3）安全意識教育和培訓(xùn)；（4）外部人員訪問管理

l 安全建設(shè)管理

系統(tǒng)建設(shè)管理測評通過訪談和檢查的形式評估系統(tǒng)建設(shè)管理過程中的安全控制情況。主要涉及安全主管人員、系統(tǒng)建設(shè)負(fù)責(zé)人、各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。

具體測評內(nèi)容包括：

（1）定級和備案；（2）安全方案設(shè)計(jì)；（3）產(chǎn)品采購和使用；（4）自行軟件開發(fā)；（5）外包軟件開發(fā)；（6）工程實(shí)施；（7）測試驗(yàn)收；（8）系統(tǒng)交付；（9）等級測評；（10）服務(wù)供應(yīng)商選擇

l 安全運(yùn)維管理

通過訪談和檢查的形式評測系統(tǒng)運(yùn)維管理過程中的安全控制情況。主要涉及人員有安全主管人員、安全管理人員、各類運(yùn)維人員，涉及內(nèi)容有開發(fā)方的運(yùn)維管理制度、信息中心關(guān)于運(yùn)維服務(wù)團(tuán)隊(duì)的各類管理制度、操作規(guī)程文件、執(zhí)行過程記錄等對象。

具體測評內(nèi)容包括：

（1）環(huán)境管理；（2）資產(chǎn)管理；（3）介質(zhì)管理；（4）設(shè)備維護(hù)管理；（5）漏洞和風(fēng)險(xiǎn)管理；

（6）網(wǎng)絡(luò)和系統(tǒng)安全管理；（7）惡意代碼防范管理；（8）配置管理；（9）密碼管理；（10）變更管理；（11）備份與恢復(fù)管理；（12）安全事件處置；（13）應(yīng)急預(yù)案管理；（14）外包運(yùn)維管理

2.2滲透測試服務(wù)

通過多種方法，每季度對信息系統(tǒng)主機(jī)、數(shù)據(jù)庫、應(yīng)用、網(wǎng)絡(luò)和安全設(shè)施開展一次全方位的滲透測試，編制滲透測試報(bào)告，針對發(fā)現(xiàn)的問題制定加固方案。滲透測試內(nèi)容應(yīng)至少包括以下測試：弱口令測試、身份認(rèn)證測試、SQL InjECTion 測試、Cross Site Script 測試、Web Services 測試、SSL 測試、文件操作測試等

1.目錄清晰。

2.報(bào)名企業(yè)的企業(yè)資質(zhì)。

3.法人授權(quán)委托書、身份證復(fù)印件。

4.公司簡介、項(xiàng)目服務(wù)簡介、企業(yè)征信證明、企業(yè)業(yè)績、響應(yīng)招標(biāo)要求、產(chǎn)品參數(shù)對照表、投標(biāo)項(xiàng)目方案、報(bào)價(jià)單、產(chǎn)品數(shù)據(jù)等相關(guān)材料裝訂成冊且密封，一正三副，加蓋企業(yè)公章。

五、違規(guī)責(zé)任

如發(fā)生串標(biāo)行為，串標(biāo)公司三年內(nèi)禁止再參加我院任何招投標(biāo)項(xiàng)目。串標(biāo)法律依據(jù)與責(zé)任詳見《中華人民共和國招標(biāo)投標(biāo)法》。

六、公告期限及響應(yīng)文件提交

自本公告發(fā)布之日起10個(gè)工作日。

截止時(shí)間：2024年08月06日。

七、報(bào)名地點(diǎn)

興安盟人民醫(yī)院門診樓343辦公室

聯(lián)系人：鄭偉 電話：13654828875

發(fā)布日期：2025年07月24日