2017年6月1日《中华人民共和国网络安全法》正式施行，其中第二十一条明确了国家实行网络安全等级保护制度。为了提升我院信息安全性，2024年我院拟按照网络安全等级保护制度2.0标准对我院信息（HIS、LIS、PACS、EMR）系统及互联网医院进行等级保护测评。

一、调研内容及需求

（一）项目名称：医院信息（HIS、LIS、PACS、EMR）系统、互联网医院等级保护测评

（二）项目需求：

1. 总的要求

依照《中华人民共和国网络安全法》《信息系统安全等级保护管理办法》，以及自治区公安厅等相关文件的要求，依据《网络安全等级保护基本要求》（GB/T *****-2019）对医院信息（HIS、LIS、PACS、EMR）系统（三级）和互联网医院（三级）开展网络安全等级保护测评工作；并出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统网络安全等级测评报告。

基本原则：逐一出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告；测评方案的设计与实施应依据国内、国际的相关标准进行；测评服务商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；测评的方法和过程要在双方认可的范围之内，安全咨询的进度要按照进度表进度的安排，保证采购方对于服务工作的可控性；安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；测评工作应尽可能小地影响系统和网络的正常运行，不能对招标方各系统的运行和业务的正常开展造成影响；对测评过程中获得的采购方数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购方利益的行为。

2. 标准依据

等级保护测评过程中，必须依照以下标准：

l《信息系统安全等级保护定级指南》（GB/T*****-2020）

l《计算机信息系统安全保护等级划分准则》（GB *****-1999）

l《网络安全等级保护基本要求》（GB/T *****-2019）

l《网络安全等级保护测评要求》（GB/T *****-2019）

l《网络安全等级保护测评过程指南》（GB/T *****-2018）

l《网络安全等级保护设计技术要求》（GB/T *****-2019）

l《网络安全等级保护测试评估技术指南》（GB/T *****-2018）

3. 测评内容

（1）安全通用要求

安全通用要求测评内容应包括安全技术和安全管理两大类，其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。

（2）安全扩展要求

如本项目执行时发现等级保护对象涉及测评标准安全扩展要求（云计算、移动互联网、物联网、大数据、工业控制）方面内容的，则根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。

4. 测评方法

在测评实施过程中，应采用访谈、检查和测试、渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。

访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程；

检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程；

测试是测评人员使用预定的方法/工具使测评对象产生特定的行为，通过查看和分析结果以帮助测评人员获取证据的过程；

渗透测试是模拟黑客的攻击方法，对受保护对象的应用系统、主机、网络进行攻击，从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。

5. 供应商应具备：

（1）中国网络安全审查技术与认证中心颁发的安全风险评估服务资质，公安部颁发的《网络安全等级测评与检测评估机构服务认证证书》。

（2）提供ISO9001质量管理认证证书、*****信息安全管理体系证书认证范围为“网络安全等保测评”、*****信息技术服务管理认证体系证书认证范围为“网络安全等保测评”。

（3）提供ITSS信息技术服务标准符合性证书。

（4）项目负责人同时具有信息安全等级测评师证书、高级信息系统项目管理师、CISSP、CISP证书，团队人员至少配备1名高级等保测评师并提供最新等级保护网注册测评师相关证明文件。

（5）应具备能够保证其公正性、独立性的质量体系，确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。

（6）在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议，测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位，未经被测评单位允许，不得擅自复制、保留。

二、项目工期

本项目共两次进场测评：初测和复测。自甲方出具项目成交通知书之日起5个工作日内完成该项目现场测评工作。现场测评结束后5个工作日内提供该项目的差距分析整改清单。经甲方整改完成后，再与乙方确定复测日期。自甲方出具项目复测通知书之日起3个工作日内完成该项目现场复测，复测完成后20个工作日内提供该项目的最终测评报告，整个工期应在2个月完成。

三、服务成果

竞标人完成初次测评后应提出具体整改意见并敦促指导整改，待整改完毕后再进行正式测评，并出具符合《信息安全技术-网络安全等级保护基本要求》（GB/T *****-2019）相关技术标准要求、国家信息安全等级保护管理部门规范要求、公安网安部门认可的《网络安全等级保护测评报告》且分数在70分以上，通过网络安全等级保护测评2.0三级。纸质版2份；电子版1份。

四、报名方式

请于2024年7月11日至7月17日（工作日时间：08:00-12:00，15:00-18:00）将准备的报名材料（需密封）一式五份递交至我院信息网络中心（锦华大酒店副楼504室）进行审核。

我院将对收到的材料进行评审，综合考虑供应商的实力、软件质量、价格等因素，选择最合适的供应商进行合作。

五、市场调研询价时间及地点

另行通知。接到通知后，各公司需准备询价文件正本一份副本五份带至询价会议现场。

六、其他事项

在提供服务时，严格遵守双方的有关规章制度；保证不擅自将用户提供的纸质及电子文档复制给其他单位或个人，不将服务产生的报告等资料泄露给其他单位或个人；必须与甲方签订保密协议；协助甲方对未通过等保的项目进行整改。

本次市场调研活动仅作为我院信息（HIS、LIS、PACS、EMR）系统及互联网医院等级保护测评项目参考，我院有权使用所征集技术指标中的相关内容。采购项目具体情况以相关采购公告和采购文件为准。

本次市场调研与询价活动遵循公平、公正、公开的原则。

供应商需保证所提交材料的真实性和准确性，如发现虚假材料，将取消其参与资格。

我院将根据实际情况对本次公告进行必要的修改和补充。

敬请广大供应商积极参与本次市场调研与询价活动。

七、联系人及电话

邓工，电话：188*****084

广西骨伤医院

2024年7月11日