黔东南州中医医院LIS、PACS系统三级等保测评服务及电子发票、集成平台、银海医保、院感系统等27个系统网络安全等级保护测评服务需求公告

因工作需要，经我院办公会研究，决定采购：LIS、PACS系统三级等保测评服务及电子发票、集成平台、银海医保、院感系统等27个系统网络安全等级保护测评服务，现面向社会发布需求公告，欢迎具备相关资质的单位于公告期内前来咨询、报名，具体需求内容及相关资料请致电我院采购科获取，采购内容和要求附后，该公告也同步发到黔东南州中医医院官网https://www.qdnzzyy.cn/，相关实施要求如下：

一、项目名称：黔东南州中医医院LIS、PACS系统三级等保测评服务及电子发票、集成平台、银海医保、院感系统等27个系统网络安全等级保护测评服务采购

二、需求编号：QDNZZYYYCGK-2024-31。

三、服务内容：

1.服务清单： LIS 系统、PACS系统三级等保测评服务以及 电子发票、集成平台、银海医保、院感系统等27个系统（具体系统清单见附件）定级、专家评审、测评等服务。

2.技术要求：

一、测评依据：

依据信息安全等级保护的国家标准或行业标准，按照特定方法对信息系统的安全保护能力进行科学公正的综合评判过程。本次开展测评活动所依据的文件及标准如下（不仅限于以下标准和规范，测评必须按照国家最新标准规范要求执行）：

1.《关于信息安全等级保护工作的实施意见》（公通字〔2004〕66号）

2.《信息安全等级保护管理办法》（公通字〔2007〕43 号）

3.《计算机信息系统安全保护等级划分准则》GB 17859-1999

4.《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2019

5.《信息安全技术网络安全等级保护测评要求》GB/T28448-2019

6.《信息安全技术网络安全等级保护安全设计技术要求》GB/T25070-2019

7.《信息安全风险管理指南》GB/Z 24363-2009

8.《信息安全管理体系要求》GB/T 22080-2008

9.《信息安全管理实用规则》GB/T 22081-2008

10.《信息系统安全管理要求》GB/T 20269-2006

11.《电子信息系统机房设计规范》GB 50173-2008

12.《信息安全技术服务器测评要求》GB/T 25062-2010

13.《信息安全技术包过滤防火墙评估准则》GB/T 20010-2005

14.《信息安全技术路由器安全评估准则》GB/T 20011-2005

15.《信息安全技术终端计算机系统安全等级评估准则》GA/T 672-2006

16.《信息安全技术应用软件系统安全等级保护通用测试指南》GA/T 712-2007

二、测评内容

等级测评的现场实施过程由单元测试和整体测评两部分构成。单元测试是对应各安全控制点的测评，主要包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全制度管理、安全管理机构、安全管理人员、安全建设管理和安全运维管理等测评任务（不限于以下内容）。

整体测评是在单元测评的基础上，通过进一步的分析信息系统安全保护功能的整体相关性，对信息系统实施的综合安全测评。

测评工程师在进行各单元测评之前，需获得被测评方的授权，并签署安全保密协议，在现场测评过程中，需要对设备和系统进行一定验证测试工作，部分测试内容需要上机查看一些信息，可能会影响系统的正常运行。因此，在进行验证测试和工具测试时，应尽量避开业务高峰期，同时还应对关键数据做好备份工作，并对可能出现的影响制定相应的处理方案。上机验证测试原则上应是测评人员提出需要查看或验证的内容，由测评委托单位的相关技术人员进行操作，测评人员根据操作结果进行记录。测评工程完成后，测评人员应交回测评过程中获取的所有特权，归还测评过程中借阅的相关资料文档，并严格清理测评过程中植入被测评系统中的相关代码/程序。

安全物理环境：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护；

安全通信网络：网络架构、通信传输、可信验证；

安全区域边界：边界防护、访问控制、入侵防范、恶意代码防范和垃圾邮件防范、安全审计、可信验证；

安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护；

安全管理中心：系统管理、审计管理、安全管理、集中管控；安全制度管理：安全策略、管理制度、制定与发布、评审和修订；

安全管理机构：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查；

安全管理人员：人员录用、人员离岗、安全意识教育培训、外部人员访问管理；

安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、服务供应商选择、等级测评；

安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

三、交付物

1.《信息系统备案证明》（每个系统一份）

2.《信息系统差距分析报告》（每个系统一份）

3.《信息系统安全等级测评报告》（每个系统一份）

4.  服务期限：一年

四、服务要求：

1.按照公安部门要求，完成LIS系统、PACS系统的定级、备案、专家评审、测评、出具整改意见、指导整改、复评等一整套三级等保测评服务，获得当地网安部门颁发的LIS系统、PACS系统的三级等保备案证明，并提供差距分析报告、专家评审意见、整改意见以及达到三级等保要求的测评报告。

2.按照公安部门要求，完成电子发票、集成平台、银海医保、院感系统等27个系统（具体系统清单见附件）的定级、备案（根据系统定级情况而定）、专家评审、测评、出具整改意见、指导整改等一整套网络安全等级保护测评服务，提供定级证明、差距分析报告、专家评审意见、整改意见等相关意见报告。

3.对LIS系统、PACS系统、电子发票、集成平台、银海医保、院感系统等29个系统至少进行一年3次的漏洞扫描、风险评估、网络安全制度制定及调整等网络安全相关工作，并出具相应整改意见和报告，协助医院进行网络安全整改工作。

五、报名单位资格要求、报名资料：

1.专业技术资质：本项目所需特殊行业资质或要求：具备网络安全服务认证证书等级保护测评服务认证（提供证书复印件或扫描件，并加盖公章）、单位（公司）资质、法人身份复印件、授权代表委托书、被委托人身份证复印件、联系电话、报价函。

2.近三年内无违法违纪行为承诺；

3.提供通过信用中国网站（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）查询无失信行为信息记录的证明材料（截图）。

4.所投服务内容和服务目标须等于或优于我方要求。

六、最高限价：12万元/年，超出限价报价为无效报价。

七、付款方式：单位自筹资金支付。

八、报名资料的递交方式：

报名方法：加微信号：13985829955，通过后，将资料的PDF版压缩文件包发至微信号。加微信号模板：报名公司名称+联系电话。

逾期送达或者未送达指定地点的，不予受理。如有不清楚事宜可在现场或者线上咨询。

报名时间：2024年11月6日至2024年11月8日（3个工作日）

报名地点及电话：黔东南州中医医院行政办公区采购科

电话：.855-8628890

项目技术咨询地点及电话：黔东南州中医医院信息科

电话：13688554511 

27个系统网络安全等级保护测评清单.docx

黔东南州中医医院

2024年11月5日