中山市石岐苏华赞医院

医院HIS系统三级等保测评 采购项目报价邀请

因医院业务发展需要，近期我院采购 医院HIS系统三级等保测评 服务单位，诚邀公司进行报价，有关事项公示如下：

一、项目名称：医院HIS系统三级等保测评 。

二、数量： 1 项。

三、采购方式：收集报价资料后，按照相关采购办法及规定确定服务单位，在院内公示栏进行5天张贴公示。

四、项目服务内容

1、信息系统定级、协助备案服务

协助用户按照《信息安全技术 网络安全等级保护定级指南》（GB/T *****―2020）要求，指导并协助材料的填写工作，协助完成在本地公安机关的备案工作。

2、网络安全等级测评服务

依据国家相关网络安全标准和规范，严格遵循《信息安全技术 网络安全等级保护测评要求》和《信息安全技术网络安全等级保护测评过程指南》文件，根据本项目信息系统已完成的定级备案安全等级，开展相应级别的安全等级测评工作，测评工作包括技术测评和管理测评两部分，分别为：

（1）技术测评

1.1安全物理环境：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

1.2安全通信网络：主要涉及对象为信息系统的网络拓扑结构、路由器、交换机、无线接入设备和防火墙等提供网络通信功能的设备或相关组件，具体的测评内容如下所示：网络架构、通信传输、可信验证。

1.3安全区域边界：通过访谈、检查和测试的方式，主要涉及对象为网闸、防火墙、路由器、交换机和无线接入网关设备等提供访问控制功能的设备或相关组件。具体测评内容包括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、可信验证、安全审计。

1.4安全计算环境：通过访谈、检查和测试的方式，主要涉及的对象为终端和服务器等设备中的操作系统（包括宿主机和虚拟机操作系统）、网络设备（包括虚拟网络设备）、安全设备（包括虚拟安全设备）、业务应用系统、数据库管理系统、中间件等，具体测评内容包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。

1.5安全管理中心：通过访谈和检查的方式，测评主要涉及的对象为提供集中系统管理功能的系统。具体测评内容包括：系统管理、审计管理、安全管理、集中管控。

（2）管理测评

2.1安全管理制度：安全管理制度测评通过访谈和检查的形式评估安全管理制度的制定、发布、评审和修订等情况。主要涉及的对象为安全主管人员、安全管理人员、其他人员、管理制度、操作规程文件等，具体测评内容包括：安全策略、管理制度、制定和发布、评审和修订。

2.2安全管理机构：安全管理机构测评通过访谈和检查的形式评估安全管理机构的组成情况和机构工作组织情况。主要涉及的对象为安全主管人员、安全管理人员、相关的文件资料和工作记录等，具体测评内容包括：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

2.3安全管理人员：人员安全管理测评通过访谈和检查的形式评估机构人员安全控制方面的情况。主要涉及对象为安全主管人员、人事管理人员、相关管理制度、相关工作记录等，具体测评内容包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

2.4安全建设管理：系统建设管理测评通过访谈和检查的形式评估系统建设管理过程中的安全控制情况。主要涉及对象为安全主管人员、系统建设负责人、管理制度、操作规程文件、执行过程记录等，具体测评内容包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

2.5安全运维管理：通过访谈和检查的形式测评系统运维管理过程中的安全控制情况。主要涉及人员有安全主管人员、安全管理人员、运维人员，涉及内容有运维管理制度、运维服务团队的管理制度、操作规程文件、执行过程记录等。具体测评内容包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

根据以上10个层面的现场测评结果出具《网络安全等级测评报告》，并到当地公安完成备案。

五、项目服务要求

（一）、管理要求

投标人须提供详细的项目管理方案，应包含内容：

（1）配备一支具有一定服务能力项目管理小组，小组人员须持有信息安全等级测评师证书；

（2）项目关键点控制计划与实施内容；

（3）项目安全控制计划与实施内容；

（4）制订详细的项目进度安排，以确保项目顺利实施。

（二）、质量要求

对项目进行科学严格的管理，通过系统计划、有序组织、科学指导和有效控制，促进项目全面顺利实施，保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。

3、时间要求

中标方需在签订合同后3个月内完成所有测评对象的测评服务工作，并出具相关的评估报告。

（三）、保密要求

中标人须与招标人签署保密协议，未经招标人同意不得向第三方泄露此项目相关情况。服务中产生的所有资料、技术文档要妥善保管，不得遗失、转借、复印，严禁通过互联网等公共信息网络、普通邮政进行传递。相关工作人员须由中标人进行资格审查和保密教育，对知悉的事项及信息予以保密，自觉遵守国家保密法律法规及招标人纪律和规章制度，不做任何窃取或泄露国家秘密、警务秘密的行为，签署《保密承诺书》并报招标人备案。中标人若违反保密协议、未履行相关职责或教育、监督措施落实不到位，发生参与本项目人员窃取或泄露国家秘密、警务秘密的事件，将按照《中华人民共和国保守国家秘密法》等有关法律法规承担相应的责任。

（四）、成果文件交付要求

中标方应提交的书面材料中应包括但不限于以下内容：

等级保护测评服务方案。

问题清单及整改建议：根据等级测评的结果，出具《问题清单及安全加固整改建议书》，制订详细的安全整改实施计划，对必须新增安全软硬件产品才能解决相关安全问题，提出详细的风险规避措施和实施建议。

网络安全等保测评报告：在完成测评工作后，按照等级保护要求对此次项目中每个信息系统出具《网络安全等级保护测评报告》，测评报告上应盖有测评机构公章。

其它项目过程材料。

如果通过测评后达不到要求，成交供应商要调查原因并免费指导直至满足等保的要求为止。

六、本次采购服务商报价需知：

1.报价资料需要下列资料一式一份：

公司相关资质复印件（加盖公章）、公司业务授权书及个人有效身份证件、具体方案、报价清单、技术参数、公司业绩（合同复印件）等等。

以上资料装在一个档案袋密封，档案袋外请注明项目名称、报价单位名称、联系人和联系电话。所提交的报价资料一律不退还。该项目报价公司需满足3家及以上。

2.报名日期：2023年 6 月 16 日至2023年 6 月 23 日止（节假日除外）8:00-12:00和14:00-17:00。超过受理时间不接收报名。

3.递交方式：现场递交或密封邮寄，递交地点为中山市石岐区莲员东路中山市康复医院康复体检中心（莲冠花园）三楼302室总务科。

4.项目联系人：彭小姐、叶先生，电话：0760-********。

中山市石岐苏华赞医院

2023年6月16日