一、调研背景
为提升连云港市赣榆区人民医院信息系统安全保护能力和水平,根据《网络安全法》、国家等级保护有关法规和部省相关要求,为更好的贯彻落实中央领导关于网络安全的重要指示精神,有效应对当前连云港市赣榆区人民医院网络安全面临的严峻威胁与挑战,全力做好连云港市赣榆区人民医院网重要信息系统网络安全保卫工作,对连云港市赣榆区人民医院网的核心系统开展等保评测、安全服务工作,通过该评测工作及时发现系统安全隐患并迅速进行整改,从而全面提升连云港市赣榆区人民医院网重要信息系统的网络安全防护水平。
二、项目内容
1.等级保护测评系统清单:
|
序号
|
系统名称
|
等保测评级别
|
|
1
|
LIS系统
|
三级
|
|
2
|
HIS系统
|
三级
|
|
3
|
PACS系统
|
三级
|
|
4
|
EMR系统
|
三级
|
|
5
|
信息集成平台系统
|
三级
|
2、安全服务清单
|
序号
|
服务名称
|
频率
|
|
1
|
安全咨询服务
|
6次/年
|
|
2
|
互联网系统渗透测试服务
|
12次/年
|
|
3
|
安全漏洞预警通报服务
|
12次/年
|
|
4
|
漏洞扫描服务
|
12次/年
|
|
5
|
网络安全等级保护整改方案
|
4次/年
|
|
6
|
网络安全培训
|
4次/年
|
3、项目依据
《中华人民共和国网络安全法》;
《信息安全等级保护管理办法》(公通字[2007]43号);
《信息系统安全保护等级定级指南》(GB/T 22240-2008);
《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019);
《信息安全技术网络安全等级保护安全设计技术要求》(GB/T 25070-2019);
《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019);
《信息安全技术网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息系统安全管理测评》(GA/T 713-2007);
《信息安全等级保护等级测评实施细则》;
《信息安全风险评估规范》(GB/T 20984-2007);
《信息安全风险管理指南》(GB/Z 24364-2009);
《信息安全管理体系要求》(GB/T 22080-2008);
《信息安全管理实用规则》(GB/T 22081-2008);
《信息系统安全管理要求》(GB/T 20269-2006);
《信息安全事件分类分级指南》(GB/Z 20986-2007);
《信息安全事件管理指南》(GB/Z 20985-2007);
《信息系统灾难恢复规范》(GB/T 20988-2007);
《信息安全应急响应计划规范》(GB/T 24363-2009)
三、项目服务要求
依据国家《信息安全技术信息系统安全等级保护基本要求》,对医院综合信息系统开展信息安全等级保护测评,分析信息系统安全保护现状与《信息安全技术信息系统安全等级保护基本要求》信息系统的安全保护要求之间的差距,对其提出整改建议与信息系统整改方案,为完成信息安全等级保护整改工作提供依据,最终获得《LIS系统等级保护测评报告》、《HIS系统等级保护测评报告》、《PACS系统等级保护测评报告》、《EMR系统等级保护测评报告》、《信息集成平台系统等级保护测评报告》。
测评工作将从技术上的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心和管理上的安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理十个层面分别进行。
1、安全物理环境:安全物理环境将通过现场机房查看的方式评估信息系统的物理机房环境情况。在内容上,层面测评实施过程涉及测评单元:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
2、安全通信网络:安全通信网络安全测评将通过访谈、配置检查和工具测试的方式评估信息系统的安全通信网络安全保障情况。在内容上,安全通信网络安全层面测评实施过程涉及测评单元:网络架构、通信传输、可信验证等。
3、安全区域边界:安全区域边界测评将通过访谈、配置检查和工具测试的方式评估信息系统的安全区域边界保障情况。在内容上,安全区域边界安全层面测评实施过程涉及测评单元:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
4、安全计算环境:安全计算环境测评将通过访谈、配置检查的方式评估信息系统的数据安全保障情况。在内容上,安全计算环境测评实施过程涉及测评单元:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等。
5、安全管理中心:安全管理中心测评将通过访谈、配置检查的方式评估信息系统的安全管理中心保障情况。在内容上,安全管理中心测评实施过程涉及测评单元:系统管理、审计管理、安全管理、集中管理等。
6、安全管理、安全管理制度:测评内容主要包括:安全策略、管理制度、制定和发布、评审和修订等。
7、安全管理机构:测评内容主要包括:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等。
8、安全管理人员:测评内容主要包括:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等。
9、安全建设管理:测评内容主要包括:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择等。
10、安全运维管理:测评内容主要包括:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等。
四、人员资质要求
1、项目实施过程中实行专人专职原则,保证各安全层面的测评全面有效,能够发现实际存在安全风险,现场实施人员均需持有等级保护测评师证书。
2、项目组人员必须熟练掌握信息安全相关标准与规范,具备丰富的信息安全测评工作经验,具有成熟的信息安全技术和项目管理能力,能够应对可能的突发性安全事件应急工作。
五、其他要求
1、参调公司必须单独配备安全测评工具,包含但不限于以下种类工具:网络漏洞扫描系统、web漏洞扫描系统。
2、参调公司必须在技术方案内明确所需要的所有(去除了专项检查字样)技术检测工具,至少包含以下内容:名称、型号、主要功能、数量等。
3、参调公司应保证所供的项目服务必须遵守国家颁布标准和有关规定。
4、参调公司须严格遵守相关服务的保密协议,确保项目信息安全,满足信息安全等级保护测评要求。
六、基本资质要求
1、满足《中华人民共和国政府采购法》第二十二条规定,并提供下列材料:
(1)法人或者其他组织的营业执照等证明文件,自然人的身份证明;(2)上一年度财务状况报告或银行出具的资信证明(成立不满一个年度的不需提供);
(3)依法缴纳税收和社会保障资金的相关证明材料(税收相关材料是指:近期缴纳增值税、营业税和企业所得税的凭据。社保相关材料是指:近期缴纳社会保险专用收据或社会保险缴纳清单。依法免税或不需要缴纳社会保障资金的供应商,应提供相应文件证明其依法免税或不需要缴纳社会保障资金);
(4)具备履行合同所必需的设备和专业技术能力的声明及证明材料;(5)参加采购活动前三年内在经营活动中没有重大违法记录的书面声明。
(6)中标后不允许分包或转包。
(7)法律法规规定的其他条件。
2、落实政府采购政策需满足的资格要求:本项目专门面向中小企业采购。
3、本项目的特定资格要求:具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。
七、报名需提交材料
资质文件:营业执照副本、税务登记证、组织机构代码证(或三证合一)复印件、法定代表人身份证明文件。
基本要求:上述第三至六条所提出的要求
项目经验材料:近三年信息安全等保测评服务的项目合同复印件(医疗行业,至少 3 份),包括项目名称、合同金额、项目内容等关键信息。
服务方案:信息安全等保测评的服务方案。
报价文件:提供项目整体报价、分项报价。
八、报名时间及方式
报名时间:2025年9月26日15:30至2025年9月30日18:00
报名方式:请将报名材料以电子文档(PDF 格式)形式发送至指定邮箱gyqrmyyxxk@163.com,邮件主题请注明 “信息系统安全等保测评服务 - [公司名称]”。
九、调研时间及地点
调研时间:具体另行通知
调研地点:具体另行通知
调研咨询:联系人:徐老师
调研方式:现场调研汇报或PPT演示
联系电话:0518-87183559/18262831515
联系地址:江苏省连云港市赣榆区青口镇海城路88号赣榆区人民医院B区3楼信息科
十、其他事项
1.参调公司应保证所提供材料的真实性,如有虚假,一经查实,将取消其参与资格。
2.医院有权根据项目实际情况调整调研时间、地点及相关要求,并及时通知报名供应商。
3.本次调研仅为项目前期市场摸底,不构成任何采购承诺。
4.我院保留对本次调研公告的最终解释权。
