根据医院医疗工作需要，拟面向社会公开进行议价采购，现将具体事宜公示如下：

一、议价采购内容

二级等保测评服务

二、测评对象

按照等保2.0标准完成医院信息管理系统、影像管理系统、银医通系统的网络安全等级保护测评工作：

1.医院信息管理系统：医院信息管理系统是涵盖门诊管理、住院管理、电子病历、药品管理、检验管理、体检管理、物资管理等业务一体化的信息系统；

2.影像管理系统；

3.银医通系统。

三、测评工作

1.现场调研：调查收集的数据信息，填写《基本情况调查表》，编制《测评方案》，设计《测评指导书》。

2.测评实施：根据测评指导书，对信息系统技术和管理两个方面进行测评，收集系统当前数据并进行分析整理。

3.整改指导：针对测评中发现的问题，根据用户实际情况提供修复建议。

4.报告提交及报审：汇总测评情况并编制《测评报告》，获得“信息安全等级保护工作协调小组办公室”审核盖章。

四、免费提供其他安全服务内容

1.应用渗透测试及系统渗透测试：利用各种主流攻击技术对院方授权指定的应用系统及模块进行测试，提供渗透测试报告和改进建议。

2.应急处置服务：出现重要安全事件时（信息系统遭受攻击、网络病毒爆发等），派遣至少1名以上高级安全服务人员。1小时内介入并协助客户处理突发事件并在事后提供应急处置报告。主要工作内容包括：突发事件相关信息的收集、事件分析、报告提交、问题解决建议等。

3.安全应急演练：根据客户要求，进行应急预案编制，包括但不限于拒绝服务攻击DDOS、网页篡改、病毒事件等场景；由有经验的高级安全工程师配合客户进行现场应急预案的操作演练，提高安全工作人员的事件应急处理能力。

4.重要时刻安全保障：“护网”等其他具有广泛影响的活动，派遣1名高级安全服务人员，以现场方式提供技术支持或技术培训，协助处理信息安全事件，确保网络安全。

五、具体要求

1.测评机构必须具备《网络安全等级测评与检测评估机构服务认证证书》，工作阶段、流程、内容、及成果交付严格遵循《网络安全等级保护测评要求》（GB/T*****-2019)、《网络安全等级保护测评过程指南》（GB/T*****-2018）和《信息安全技术网络安全等级保护基本要求》（等保2.0）文件。

2.项目团队中应组织公安部信息安全测评中心或中关村测评联盟颁发高级测评师负责项目组管理，并根据系统等级开展相应级别的开展单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模版，符合公安部门定级和备案要求。

3.按照《信息安全等级保护管理办法》、《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T*****-2019）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评。

4.应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁。

5.技术方面，物理安全方面应在采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、资源控制等措施的安全隐患。

6.管理安全方面应对采购人信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度。

7.应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB应用漏洞分析工具等对网络、主机等进行渗透测试分析。

8.应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析。

9.在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》。

10.工作过程文件及项目交付成果（包括但不限于）：《网络安全等级保护等级测评报告》。

六、预算价

*****元

赣南医学院第一附属医院龙南医院

（龙南市第一人民医院）

2023年9月22日