2024年度第十人民医院重要信息系统安全等级保护测评采购需求

一、项目背景

根据《关于调整本市卫生计生行业重要信息系统定级范围的通知》（沪卫计信息[2017]11号），根据《国家网络安全法》、《关于组织开展本市卫生信息系统安全等级保护工作的通知》（沪卫办[2012]33号）、关于印发《上海市公立卫生计生机构互联网信息系统专项整治行动实施细则》的通知（沪卫计信息[2016]4号）、《关于进一步调整本市卫生健康行业重要信息系统等级范围的通知》(沪卫计信息[2019]2号 )的要求，需要对我院上海市第十人民医院核心业务系统（含HIS/RIS/LIS/EMR/OA）（三级）、上海市第十人民医院门户网站（三级）、上海市第十人民医院互联网医院信息系统（三级）开展安全等级测评并完成新的重要信息系统的定级备案工作。

二、供应商资格（资质）

1. 投标人应是在中华人民共和国注册的企事业法人单位或社会团体；

2. 供应商必须具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》；

3. 投标人应在本地有办公场所和技术服务团队。

4. 招标不接受联合体投标。

5. 投标人不得为“信用中国”网站（www.creditchina.gov.cn）中列入失信被执行人和重大税收违法案件当事人名单的供应商。

三、项目实施要求 1、 测评要求

根据网络安全法的要求，且根据07年国家四部委联合发文的《信息安全等级保护管理办法》的精神和要求，依据GB/T*****-2019《信息安全技术网络安全等级保护基本要求》中等保三级的标准，对对上海市第十人民医院7个重要信息系统进行安全等级测评，每个系统的具体测评技术要求如下：

1.1技术要求

1) 安全物理环境

安全物理环境差距评估将通过访谈、文档审查和实地察看的方式差距评估信息系统的安全物理环境保障情况。主要涉及机房。

2) 安全通信网络

安全通信网络差距评估将通过访谈、检查和测试的方式差距评估信息系统的安全通信网络保障情况。主要涉及对象为：主要涉及网络互联设备与安全设备。

3) 安全区域边界

安全区域边界差距评估将通过访谈、检查和测试的方式差距评估信息系统的安全区域边界安全保障情况。主要涉及对象为：主要涉及网络互联设备与安全设备。

4) 安全计算环境

安全计算环境差距评估将通过访谈、检查和测试的方式差距评估信息系统的主机和应用安全保障情况。主要涉及主机（存储操作系统）和数据库管理系统、应用系统。

5) 安全管理中心

安全管理中心评估将通过访谈、检查和测试的方式差距评估信息系统的各类安全管理情况。主要涉及对象为：应用系统鉴别数据、业务数据等系统关键数据。

1.2管理要求

6) 安全管理制度

安全管理制度差距评估将通过访谈和检查的方式差距评估信息系统的安全管理制度建立情况。主要涉及对象为：信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等。

7) 安全管理机构

安全管理机构差距评估将通过访谈和检查的方式差距评估信息系统的安全管理机构建立情况。主要涉及对象为：安全管理机构设立文档、信息安全小组名单、岗位说明书、等文档及执行记录。

8) 安全管理人员

安全管理人员差距评估将通过访谈和检查的方式差距评估信息系统的安全管理人员方面情况。主要涉及对象为：人事管理制度、外部人员访问要求等安全管理制度及执行记录。

9) 安全建设管理

安全建设管理差距评估将通过访谈和检查的方式差距评估信息系统的安全建设管理方面情况。主要涉及对象为：系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录。

10) 安全运维管理

安全运维管理差距评估将通过访谈和检查的方式差距评估信息系统的安全运维管理方面情况。主要涉及对象为：系统运维过程中涉及的安全管理制度及执行记录。

2、 实施要求

在安全等级测评工作中发现安全风险问题汇总后及时反馈用户单位，同时督促其实施问题整改。

待用户单位完成整改后，再对整改情况进行复核。

3、 文档要求

现场测评前，提交安全等级测评工作计划及测评方案；

初次现场安全测评完成后，分别出具第十人民医院重要信息系统的《测评问题汇总》；

全部安全测评工作完成后，分别出具第十人民医院重要信息系统的《安全等级测评报告》。

四、交付时间及付款要求

1、交付时间

2024年7月25号前交付报告。

五、评选方式

类别	评标项目	评标要点及说明
资格证明材料部分	相关证书	1） 中国合格评定国家认可委员会(CNAS)的实验室认可证书 2） 中国合格评定国家认可委员会(CNAS)检查机构认可证书 3） 中国信息安全认证中心风险评估服务资质 4） 信息安全管理体系认证证书 5） 网络安全等级保护测评机构推荐证书
	相关业绩	投标单位近三年具有信息安全评估项目案例20个以上，提供合同复印件或扫描件。
技术方案部分	技术方案	充分理解医院的安全需求，包括建设思路、原则、特点、技术要求的理解情况，投标方案在确保阶段性任务实现的同时，是否统筹考虑了总体目标。
	项目管理	项目实施、质量保证与验收方案是否符合本次项目建设要求。是否对项目实施管理具有系统的质量保证、项目进度和成本控制、项目风险管理、系统测试计划、项目范围管理、配置与变更管理、项目沟通管理、成果交付等内容，并提供可行性方案计划。
	人员配备	项目经理需8年以上安全相关项目经验，具有高级等级保护测评师资质 ，提供在职证明的得2分；项目团队其他人员（除项目经理以外的人员）具备信息安全资质等级保护测评师等资格证书

本次公开的采购意向是采购意向的初步安排。具体采购项目以相关采购公告和采购文件为准。各公司有意参选报名请发送邮件至*********@qq.com，邮件标题为【项目名称+公司名+联系人+联系方式】，未按照邮件标题格式报名视为报名失败，邮件内容为营业执照复印件等材料（须加盖公章），截止日期2024年6月19日。
项目联系人：秦浩天 联系电话：********
地址：上海市静安区延长中路301号，上海市第十人民医院采购中心
邮编：******