我院就HIS系统、EMR系统、互联网医院平台系统等级保护测评服务（三级）进行比选，欢迎有资质的单位前来参加本项目合作比选。现对参加比选条件作出如下要求：

一、比选单位：攀枝花市中西医结合医院

二、比选地点：同上（具体地点届时通知）

三、比选内容：HIS系统、EMR系统、互联网医院平台系统等级保护测评服务（三级）

四、最高限价：24万元

五、参选单位报名时请携带以下资料：

　　保证所提供的各种材料和证明材料的真实性，并承担相应的法律责任。院方在报名时进行资质初审，通过者方可报名。中标后进行资质复审，通过后方可签订合同。

　　1、投标人的资质，并提供相应证件（均需加盖印章）：

（1）企业法人营业执照、组织机构代码证；

（2）法定代表人授权委托书原件及法定代表人、被委托人身份证复印件；

（3）其它所需资料；

　　2、参选条件

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必需的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加政府采购活动前三年内，在经营活动中没有重大违法记录；

（6）法律、行政法规规定的其他条件。

（7）具有网络安全等级测评与检测评估机构服务认证证书。

六、以下为项目具体要求：

1、参选单位具有ISO9001质量体系认证证书、ISO*****环境管理体系认证证书、ISO*****职业健康安全管理体系认证证书、ISO*****信息安全管理体系认证证书、ISO*****-1服务管理体系认证证书，认证范围包括“网络安全等级保护测评”，认证范围符合越多的优先考虑；

2、参选单位项目组负责人具有信息安全等级测评师（中级）证书、COBIT Foundation信息系统审计认证证书、重要信息系统保护人员CIIP-A（可信计算）证书、ISO***** Foundation信息安全管理体系认证证书、计算机技术与软件专业技术人员资格证书（信息安全工程师）、信息技术应用创新考试评价证书（信息安全工程师）、ISTQB国际软件测试工程师证书、ITILFoundation管理认证证书，能力证书满足越多的优先考虑；

3、参选单位测评工程师具有信息安全等级测评师（中级）证书、CISAW信息安全保障人员证书、ITILFoundation管理认证证书、ISTQB国际软件测试工程师证书、信息技术应用创新考试评价证书（信息安全工程师）、CCSC网络安全能力认证证书、CISP-PTE注册渗透测试工程师证书，能力证书满足越多的优先考虑；

5、技术要求：对本单位的信息系统开展等级保护测评（并协助指导整改）及备案登记工作；

具体技术要求参见附件；

七、报名地点：攀枝花中西医结合医院信息科

八、报名时间：2022年10月31日—2022年11月03日

此次报名不接受电话及邮件报名。

九、比选时间：届时电话通知

十、联系方式：0812 *******郑老师。

　　攀枝花市中西医结合医院

2022年10月31日

附件：

技术要求

一、 参考标准要求

投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

1）中华人民共和国计算机信息系统安全保护条例（国务院第147号令）；

2）《信息安全等级保护管理办法》

l 《计算机信息系统安全保护等级划分准则》（GB*****-1999）

l 《信息系统安全等级保护定级指南》（GB/T*****-2008）

l 《信息系统安全等级保护基本要求》（GB/T*****-2019）

l 《信息系统安全等级保护测评要求》（GB/T*****-2019）

l 《信息系统安全等级保护测评过程指南》（GB/T*****-2018）

l 《信息安全风险评估规范》（GB/T*****-2007）

3）信息安全等级保护管理办法(公通字[2007]43号)

4）其它国家、省、行业信息安全等级保护有关要求及标准。

二、测评应满足的原则

本次信息系统安全等级保护测评服务方案设计，以及具体实施内容应满足以下原则：

（1）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。

（2）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

（3）规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（4）可控性原则：等保测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

（5）整体性原则：等保测评服务的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

（6）最小影响原则：等保测评服务工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

三、本次安全等级保护测评的整体要求

（1）投标人应详细描述本次项目整体实施方案，包括项目概述、等保测评服务方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

（2）投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

（3）本次服务项目实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

（4）安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。

（5）安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

四、总体进度要求

信息系统安全等级保护测评整个工作应在合同签定后30天内完成。

五、测评项目

从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十个方面对本次项目所含系统进行测评。（测评须涵盖本项目所列系统涉及的所有硬件及软件）

物理安全测评包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

网络安全测评包括：结构安全、访问控制、网络安全审计、边界完整性检查、网络入侵防范、恶意代码防范、网络设备防护

主机安全测评包括：身份鉴别、访问控制、安全审计、剩余信息保护、入侵防护、恶意代码防范、资源控制。

应用安全测评包括：身份鉴别、访问控制、安全审计、剩余信息保护、通信完整性、通信保密性、抗抵赖、软件容错、资源控制。

数据安全包括：数据完整性、数据保密性、数据备份与恢复。

安全管理制度测评包括：管理制度、制定和发布、评审和修订。

安全管理机构测评包括：岗位设置、人员配备、授权和审批、沟通与合作、审核与检查。

人员安全管理测评包括：人员录用、人员考核、人员离岗、安全意识教育和培训、外部人员访问管理。

系统建设管理测评包括：系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、系统备案、等级测评、安全服务商选择。

系统运维管理测评包括：环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理。