会昌县人民医院信息系统三级等级保护测评项目

咨询、询价公示

按照国家《信息安全等级保护管理办法》定级为三级等保的系统每年测评一次，我院HIS、LIS、EMR、PACS定级为三级。为贯彻落实《信息安全等级保护管理办法》，确保我院相关信息系统网络安全，现对我院HIS、LIS、EMR、PACS信息系统2024年度网络安全等级保护测评服务进行询价。我院拟委托第三方等保测试机构对医院核心信息系统开展安全测评，以提高医院信息系统安全保护工作能力。现面向社会进行公开咨询、询价，咨询内容如下：

一、项目编号：HCRX2024-003

二、采购方式：竞争性询价

（一）服务内容

（二）项目服务技术依据：

《中华人民共和国网络安全法》

《信息安全技术网络安全等级保护安全设计技术要求》

《关于加强省级重要信息系统安全保障工作的通知》（赣公字[2015]55号）

关于印发《关于开展全国重要信息系统安全等级保护定级工作》的通知（公信安[2007]861 号文件）

《计算机信息系统安全保护等级划分准则》（GB *****-1999）

《信息安全等级保护实施指南》（GB/T *****-2019）

《信息系统安全等级保护基本要求》（GB/T *****-2019）

《信息系统安全保护等级定级指南》（GB/T *****-2020）

《信息系统安全等级保护测评过程指南》（GB/T *****-2018）

《信息系统安全等级保护测评要求》（GB/T *****-2019）

《信息系统通用安全技术要求》（GB/T *****-2006）

《网络基础安全技术要求》（GB/T *****-2006）

《操作系统安全技术要求》（GB/T *****-2019）

《数据库管理系统安全技术要求》（GB/T *****-2019）

《信息系统安全安全管理要求》（GB/T *****）

《信息系统安全工程管理要求》（GB/T *****）

（三）项目服务期

本项目服务期为自签订合同之日起12 个月（1年测评）。

（四）服务范围

本次安全等级测评分为技术安全测评和管理安全测评，技术安全测评包括物理安全、网络安全、主机安全、应用安全和数据安全，管理安全测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理，共10 个方面的测评。

（五）项目服务内容与要求：

1、协助信息系统的定级与备案工作

具体要求：根据国家和行业信息安全要求，结合采购人实际安全需求，严格遵循《信息安全技术信息系统安全等级保护定级指南》，成交服务商应深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析，准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。

交付要求：按照国家信息系统安全等级保护工作要求提供。

工作过程文件及项目交付成果包括但不限于：系统定级报告、备案表和《备案证明》等纸质版和电子版材料。

交付时间：合同签订之日起，60 日历天。

2、开展信息系统等级保护测评

按照《信息安全等级保护管理办法》、《信息系统安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T*****-2019））等技术标准，从每个信息系统的物理安全、网络安全、主机安全、应用安全、数据和备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等10 个层面（二级系统175 个要求项，三级系统290 个要求项）进行测评，并参考被测单位自身信息安全管理要求，从安全控制间、层面间、区域间和系统结构间的综合分析进行整体测评。

工作阶段、流程、内容、及成果交付严格遵循《信息安全技术信息系统安全等级保护测评要求》）和《信息安全技术信息系统安全等级保护测评过程指南》文件，根据系统等级开展相应级别的单项测评和整体测评。

测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》。为提高测评质量,规避实施风险,供应商应具备本项目所需的CNAS 检测能力（至少应包括：GB/T *****-2019《网络安全技术网络安全等级保护基本要求》、GB/T *****.51《就绪可用软件产品的质量要求和测试细则》）【响应文件提供CNAS 资质证书（含以上两项检测能力）的证明材料。】

交付要求：自合同签订之日起60 日历天内，供应商须完成等级测评，工作过程文件及项目交付成果包括但不限于：《信息安全等级保护等级测评报告》。输出文档要求：电子版1份以及纸质版2 份（加盖服务机构公章）。

3、协助完善信息安全管理制度

依据《信息安全管理体系规范》、《信息安全管理实施细则》，结合《信息系统安全等级保护基本要求》内容，同时参照《信息系统安全管理要求》等标准，对信息安全管理现状进行需求分析，确定安全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度等，规范安全管理人员或操作人员的操作规程等；对未覆盖的安全管理域，制定其相关管理制度和文件。

交付要求：输出文档包括但不限于《信息安全管理制度汇编》等电子版1份以及纸质版2份。

4、协助安全建设整改方案设计

依据《信息安全等级保护管理办法》、《信息系统安全保护等级实施指南》文件要求，应按照等级保护第三级要求进行保护，依据《信息系统安全保护等级实施指南》，遵循《信息安全等级保护基本要求》（GB/T*****-2019）对会昌县人民医院信息系统进行建设整改分析，比较信息系统与国家标准要求之间的差距。

具体要求：依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429 号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统测评工作的基础上，对被测单位信息安全管理和技术方面现状进行全面的分析，制订信息安全等级保护安全整改方案，方案内容包含但不限于：信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全整改技术方案设计、安全整改管理体系设计、信息系统安全产品选型及技术指标建议、安全整改项目实施计划、项目预算，整改后可能存在的其他问题；出具方案后，需以此方案为基础，开展安全整改咨询和系统加固工作，最终使会昌县人民医院安全管理和技术两方面达到相应等级的保护要求。

交付要求：工作过程文件及交付成果包括但不限于：《信息安全等级保护安全整改方案》，方案可根据整改和规划内容的重要性和复杂程度编写。输出文档《信息安全等级保护安全整改方案》等纸质版2 份（加盖服务机构公章）

5、项目实施要求：

5.1 实施要求

在项目现场实施周期内，供应商必须为本项目成立等级保护测评项目部，安排包括项目经理和各测评实施小组进场调研、测评工作。

5.2 组织实施要求

供应商应安排专职项目经理负责本次项目的实施；供应商应保证项目团队成员的稳定，以保证服务的质量和连贯性。

5.3 人员安排要求

本项目的技术服务人员需具有信息安全服务工作经验，参加过信息安全等级保护测评项目并取得信息安全方面资质证书，提供人员管理及配备方案【响应文件中须提供拟派本项目的技术人员名单（详见响应文件格式《七、拟派本项目的技术人员情况表（格式），否则作无效响应标处理。】，并确保人员的稳定。如更换技术服务人员，须由采购方同意并签字确认。

5.4 服务保密要求

成交供应商应具有较好的保密管理及风险管理，必须保证对本项目实施中所获得任何资料和信息严格保密，并与会昌县人民医院签订保密协议。

三、资质和投标要求：

1、供应商需具有独立承担民事责任的能力：

2、具有履行合同所必须的设备和专业技术能力；

3、参加政府采购活动前三年内，在经营活动中没有重大违法记录；

4、具有独立法人资格的设备制造商或代理商均能参加投标；

5、咨询文件一式三份，按附件中的格式做好设备咨询文件，请将各自品牌独有的参数标记出来。设备咨询文件需胶封，设备科有权不接受未经胶装的资料。

(五)、响应报名函：

1、响应方式：响应报价为一次性不得更改的最终报价，每种货物只允许一个报价，任何有选择的报价都将被拒绝。

2、响应时间：2024年01月29日-2024年02月4日，咨询文件密封后通过邮寄或现场提交的方式，同时将公司名称、报名项目名称、参加项目询价的联系人、联系电话发送到邮箱********@qq.com以便统计，邮寄地址：江西省赣州市会昌县人民医院住院楼4楼信息科 王先生收。如有疑问，请拨打电话：0797-*******。