项目名称：关于《阳信县人民医院以电子病历为核心的医院信息管理系统等级保护测评工作及相关服务》选取中介机构的公告
项目编号：ZJCS*
项目申请单位：阳 (略)
联系人：黄中华
联系电话：*
项目基本情况：

根据《中华人民共和国网络安全法》、公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》等相关要求，对 (略) 开展以电子病历 (略) 信息管理系统等级保护测评工作及相关服务，通过等级保护测评，验证前述信息系统的安全性，从技术和管理两个方面进行逐一的检查和测试，夯实单位信息系统安全基础，提高信息安全管理水平，消除安全隐患，确保信息网络的安全运行。

1.测评机构需具备公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”；

2.项目负责人需要具有等级安全保护测评（高级）证书 ，根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件精神及《信息安全等级保护管理办法》的要求，根据《信息系统安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020），对前述信息系统实施信息安全等级保护工作。

3.服务目标。在国家信息安全保障相关政策和标准指导下，通过对信息系统实施信息安全等级保护工作，全面提升信息系统的安全性及安全防护水平，使各级系统经改建后达到等级保护相应级别的安全防护要求。

4.服务内容。本次服务项目范围涉及到组织方开展等级保护工作的全过程，信息系统已经定级备案,包括系统差距分析测评、建设整改、等级测评及风险评估等过程。

（1）差距分析测评

按照信息系统等级保护基本要求及测评流程，进行信息系统安全现状分析，明确信息系统目前采取的安全保护措施与信息安全等级保护相关国家标准和行业标准之间的差距，排查信息系统安全隐患和薄弱环节，查找信息系统安全建设整改需要解决的问题，确定安全需求，编制《差距分析报告》，并提交内容、格式完全符合公安部门正式测评报告要求的、未签字盖章的预测评报告。

（2）安全建设整改：协助组织方进行安全建设整改工作。确保安全建设整改工作安全、科学、有效的进行，并达到国家相关标准的技术要求，切实、高效的提升信息系统安全防护水平。

（3）等级测评：对检察工作网进行信息安全等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作，最终完成等级保护测评报告。

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

5.交付物

该项目提交的文档至少包括如下文件：

1）《信息系统定级报告》

2）《信息系统等级保护整改建议书》

3）《网络安全等级保护测评报告》

6.其他服务：

漏洞扫描服务：针对现有的系统、设备、应用的脆弱性进行自动化检测， (略) 来侦测、扫描和改善其信息系统面临的风险隐患；对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。每季度一次

基线核查服务：通过以工具为主，人工为辅的方法， (略) 的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告， (略) 可以充分掌握当前IT设备的配置情况；了解潜在的IT设备、系统的配置隐患和安全风险；通过对基线核查发现的问题进行安全加固，有助于提升安全防护能力，降低因为安全配置导致的安全事件的概率；进一步完善配置管理体系、满足合规要求，提供强有力的支撑和依据；制定科学、有效的安全加固方案提供依据。每季度一次

安全巡检：对网络、应用主机安全进行巡检，策略调整及优化。对相关系统的内网进行资产情报的搜集，梳理出资产详情。每季度一次

风险评估：通过安全风险评估服务工作全面了解单位信息系统的安全现状，并分析出目前的不足之处，为单位加强对信息系统的安全防护提供了有力的方向，且对已经入侵的潜伏威胁进行深度识别分析，降低现有安全隐患导致的安全事件发生几率；并根据风险评估结果，深信服给出符合单位实际情况的加固建议及后期建设方案,辅助单位管理层科学决策，为后续的安全改造和安全规划建设提供客观、合理的建议，加强单位整体的安全防护水平，保障单位信息化建设安全稳定运。每季度一次

安全培训：提供每半年1次的安全意识培训服务。针对组织的全员开展全员的安全意识培训工作，通过现场专家培训结合宣传物品等方式提升全员的安全意识水平，培训内容包括：安全趋势现状、办公安全、移动安全、数据安全、邮件安全、物理安全等主题，并结合相应互动内容加深对于培训内容的理解。并对培训效果进行评估验证。

攻防演练：提供每年至少1次的攻防演练技术支持。

三、付款方式

测评完成并验收合格后付款50%，验收合格一年后付款50%。

项目名称：关于《阳信县人民医院以电子病历为核心的医院信息管理系统等级保护测评工作及相关服务》选取中介机构的公告
项目编号：ZJCS*
项目申请单位：阳 (略)
联系人：黄中华
联系电话：*
项目基本情况：

根据《中华人民共和国网络安全法》、公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》等相关要求，对 (略) 开展以电子病历 (略) 信息管理系统等级保护测评工作及相关服务，通过等级保护测评，验证前述信息系统的安全性，从技术和管理两个方面进行逐一的检查和测试，夯实单位信息系统安全基础，提高信息安全管理水平，消除安全隐患，确保信息网络的安全运行。

1.测评机构需具备公安部第三研究所颁发的“网络安全等级测评与检测评估机构服务认证证书”；

2.项目负责人需要具有等级安全保护测评（高级）证书 ，根据《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）文件精神及《信息安全等级保护管理办法》的要求，根据《信息系统安全等级保护基本要求》（GB/T 22239-2019）、《信息安全技术网络安全等级保护定级指南》（GB/T 22240-2020），对前述信息系统实施信息安全等级保护工作。

3.服务目标。在国家信息安全保障相关政策和标准指导下，通过对信息系统实施信息安全等级保护工作，全面提升信息系统的安全性及安全防护水平，使各级系统经改建后达到等级保护相应级别的安全防护要求。

4.服务内容。本次服务项目范围涉及到组织方开展等级保护工作的全过程，信息系统已经定级备案,包括系统差距分析测评、建设整改、等级测评及风险评估等过程。

（1）差距分析测评

按照信息系统等级保护基本要求及测评流程，进行信息系统安全现状分析，明确信息系统目前采取的安全保护措施与信息安全等级保护相关国家标准和行业标准之间的差距，排查信息系统安全隐患和薄弱环节，查找信息系统安全建设整改需要解决的问题，确定安全需求，编制《差距分析报告》，并提交内容、格式完全符合公安部门正式测评报告要求的、未签字盖章的预测评报告。

（2）安全建设整改：协助组织方进行安全建设整改工作。确保安全建设整改工作安全、科学、有效的进行，并达到国家相关标准的技术要求，切实、高效的提升信息系统安全防护水平。

（3）等级测评：对检察工作网进行信息安全等级保护测评工作，找出安全现状与标准要求之间的差距，并遵循适度安全的原则，协助制定安全整改建设方案，指导整改工作，最终完成等级保护测评报告。

安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全及备份恢复等五个方面的安全测评；

安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

5.交付物

该项目提交的文档至少包括如下文件：

1）《信息系统定级报告》

2）《信息系统等级保护整改建议书》

3）《网络安全等级保护测评报告》

6.其他服务：

漏洞扫描服务：针对现有的系统、设备、应用的脆弱性进行自动化检测， (略) 来侦测、扫描和改善其信息系统面临的风险隐患；对识别出的能被入侵者用来非法进入网络或者非法获取信息资产的漏洞，提醒安全管理员，及时完善安全策略，降低安全风险。每季度一次

基线核查服务：通过以工具为主，人工为辅的方法， (略) 的硬件资产和软件系统的安全策略配置进行科学、全面、认真地检查，输出专业的基线核查安全评估报告， (略) 可以充分掌握当前IT设备的配置情况；了解潜在的IT设备、系统的配置隐患和安全风险；通过对基线核查发现的问题进行安全加固，有助于提升安全防护能力，降低因为安全配置导致的安全事件的概率；进一步完善配置管理体系、满足合规要求，提供强有力的支撑和依据；制定科学、有效的安全加固方案提供依据。每季度一次

安全巡检：对网络、应用主机安全进行巡检，策略调整及优化。对相关系统的内网进行资产情报的搜集，梳理出资产详情。每季度一次

风险评估：通过安全风险评估服务工作全面了解单位信息系统的安全现状，并分析出目前的不足之处，为单位加强对信息系统的安全防护提供了有力的方向，且对已经入侵的潜伏威胁进行深度识别分析，降低现有安全隐患导致的安全事件发生几率；并根据风险评估结果，深信服给出符合单位实际情况的加固建议及后期建设方案,辅助单位管理层科学决策，为后续的安全改造和安全规划建设提供客观、合理的建议，加强单位整体的安全防护水平，保障单位信息化建设安全稳定运。每季度一次

安全培训：提供每半年1次的安全意识培训服务。针对组织的全员开展全员的安全意识培训工作，通过现场专家培训结合宣传物品等方式提升全员的安全意识水平，培训内容包括：安全趋势现状、办公安全、移动安全、数据安全、邮件安全、物理安全等主题，并结合相应互动内容加深对于培训内容的理解。并对培训效果进行评估验证。

攻防演练：提供每年至少1次的攻防演练技术支持。

三、付款方式

测评完成并验收合格后付款50%，验收合格一年后付款50%。