州中醫(yī)醫(yī)院LIS、PACS系統(tǒng)三級等保測評服務及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個系統(tǒng)

州中醫(yī)醫(yī)院LIS、PACS系統(tǒng)三級等保測評服務及電子發(fā)票、集成平臺、銀海醫(yī)保、院感 系統(tǒng)等26個系統(tǒng)

州中醫(yī)醫(yī)院LIS、PACS系統(tǒng)三級等保測評服務及電子發(fā)票、集成平臺、銀海醫(yī)保、院感

系統(tǒng)等26個系統(tǒng)網(wǎng)絡安全等級

保護測評服務招標公告

因工作需要，經(jīng)我院黨委會研究，決定采購：LIS、PACS系統(tǒng)三級等保測評服務及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個系統(tǒng)網(wǎng)絡安全等級保護測評服務，現(xiàn)面向社會發(fā)布招標公告，歡迎具備相關(guān)資質(zhì)的單位于公告期內(nèi)前來咨詢、報名，投標時具體需求內(nèi)容及相關(guān)資料請致電我院采購科獲取，采購內(nèi)容和要求附后，該公告也同步發(fā)到點擊登錄查看官網(wǎng)https://www.qdnzzyy.cn/，相關(guān)實施要求如下：

一、項目名稱：點擊登錄查看LIS、PACS系統(tǒng)三級等保測評服務及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個系統(tǒng)網(wǎng)絡安全等級保護測評服務采購。

二、需求編號：****。

三、服務內(nèi)容：

（一）服務清單： LIS 系統(tǒng)、PACS系統(tǒng)每年一次三級等保測評服務以及電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個系統(tǒng)（具體系統(tǒng)清單見附件）定級、專家評審、測評等服務，并贈送HIS 系統(tǒng)、EMR系統(tǒng)和OA系統(tǒng)每年一次的三級等保測評服務。

（二）技術(shù)要求：

1.測評依據(jù)：

依據(jù)信息安全等級保護的國家標準或行業(yè)標準，按照特定方法對信息系統(tǒng)的安全保護能力進行科學公正的綜合評判過程。本次開展測評活動所依據(jù)的文件及標準如下（不僅限于以下標準和規(guī)范，測評必須按照國家最新標準規(guī)范要求執(zhí)行）：

（1）《關(guān)于信息安全等級保護工作的實施意見》（公通字〔2004〕66號）

（2）《信息安全等級保護管理辦法》（公通字〔2007〕43 號）

（3）《計算機信息系統(tǒng)安全保護等級劃分準則》GB 17859-1999

（4）《信息安全技術(shù)信息系統(tǒng)安全等級保護基本要求》GB/T 22239-2019

（5）《信息安全技術(shù)網(wǎng)絡安全等級保護測評要求》GB/T28448-2019

（6）《信息安全技術(shù)網(wǎng)絡安全等級保護安全設(shè)計技術(shù)要求》GB/T25070-2019

（7）《信息安全風險管理指南》GB/Z 24363-2009

（8）《信息安全管理體系要求》GB/T 22080-2008

（9）《信息安全管理實用規(guī)則》GB/T 22081-2008

（10）《信息系統(tǒng)安全管理要求》GB/T 20269-2006

（11）《電子信息系統(tǒng)機房設(shè)計規(guī)范》GB 50173-2008

（12）《信息安全技術(shù)服務器測評要求》GB/T 25062-2010

（13）《信息安全技術(shù)包過濾防火墻評估準則》GB/T 20010-2005

（14）《信息安全技術(shù)路由器安全評估準則》GB/T 20011-2005

（15）《信息安全技術(shù)終端計算機系統(tǒng)安全等級評估準則》GA/T 672-2006

（16）信息安全技術(shù)應用軟件系統(tǒng)安全等級保護通用測試指南GA/T 712-2007

2.測評內(nèi)容

等級測評的現(xiàn)場實施過程由單元測試和整體測評兩部分構(gòu)成。單元測試是對應各安全控制點的測評，主要包括：安全物理環(huán)境、安全通信網(wǎng)絡、安全區(qū)域邊界、安全計算環(huán)境、安全管理中心、安全制度管理、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理等測評任務（不限于以下內(nèi)容）。

整體測評是在單元測評的基礎(chǔ)上，通過進一步的分析信息系統(tǒng)安全保護功能的整體相關(guān)性，對信息系統(tǒng)實施的綜合安全測評。

測評工程師在進行各單元測評之前，需獲得被測評方的授權(quán)，并簽署安全保密協(xié)議，在現(xiàn)場測評過程中，需要對設(shè)備和系統(tǒng)進行一定驗證測試工作，部分測試內(nèi)容需要上機查看一些信息，可能會影響系統(tǒng)的正常運行。因此，在進行驗證測試和工具測試時，應盡量避開業(yè)務高峰期，同時還應對關(guān)鍵數(shù)據(jù)做好備份工作，并對可能出現(xiàn)的影響制定相應的處理方案。上機驗證測試原則上應是測評人員提出需要查看或驗證的內(nèi)容，由測評委托單位的相關(guān)技術(shù)人員進行操作，測評人員根據(jù)操作結(jié)果進行記錄。測評工程完成后，測評人員應交回測評過程中獲取的所有特權(quán)，歸還測評過程中借閱的相關(guān)資料文檔，并嚴格清理測評過程中植入被測評系統(tǒng)中的相關(guān)代碼/程序。

安全物理環(huán)境：物理位置的選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護；

安全通信網(wǎng)絡：網(wǎng)絡架構(gòu)、通信傳輸、可信驗證；

安全區(qū)域邊界：邊界防護、訪問控制、入侵防范、惡意代碼防范和垃圾郵件防范、安全審計、可信驗證；

安全計算環(huán)境：身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、數(shù)據(jù)備份恢復、剩余信息保護、個人信息保護；

安全管理中心：系統(tǒng)管理、審計管理、安全管理、集中管控；安全制度管理：安全策略、管理制度、制定與發(fā)布、評審和修訂；

安全管理機構(gòu)：崗位設(shè)置、人員配備、授權(quán)和審批、溝通和合作、審核和檢查；

安全管理人員：人員錄用、人員離崗、安全意識教育培訓、外部人員訪問管理；

安全建設(shè)管理：定級和備案、安全方案設(shè)計、產(chǎn)品采購和使用、自行軟件開發(fā)、外包軟件開發(fā)、工程實施、測試驗收、系統(tǒng)交付、服務供應商選擇、等級測評；

安全運維管理：環(huán)境管理、資產(chǎn)管理、介質(zhì)管理、設(shè)備維護管理、漏洞和風險管理、網(wǎng)絡和安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理。

3.交付物

（1）《信息系統(tǒng)備案證明》（每個系統(tǒng)一份）

（2）《信息系統(tǒng)差距分析報告》（每個系統(tǒng)一份）

（3）《信息系統(tǒng)安全等級測評報告》（每個系統(tǒng)一份）

（4） 服務期限：三年

四、服務要求：

1.按照公安部門要求，完成LIS系統(tǒng)、PACS系統(tǒng)的定級、備案、專家評審、測評、出具整改意見、指導整改、復評等一整套三級等保測評服務，獲得當?shù)鼐W(wǎng)安部門頒發(fā)的LIS系統(tǒng)、PACS系統(tǒng)的三級等保備案證明，并提供差距分析報告、專家評審意見、整改意見以及達到三級等保要求的測評報告。

2.按照公安部門要求，完成電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)等26個系統(tǒng)（具體系統(tǒng)清單見附件）的定級、備案（根據(jù)系統(tǒng)定級情況而定）、專家評審、測評、出具整改意見、指導整改等一整套網(wǎng)絡安全等級保護測評服務，提供定級證明、差距分析報告、專家評審意見、整改意見等相關(guān)意見報告。

3.完成贈送的HIS系統(tǒng)、EMR系統(tǒng)及OA系統(tǒng)的定級、備案、專家評審、測評、出具整改意見、指導整改、復評等一整套三級等保測評服務，獲得當?shù)鼐W(wǎng)安部門頒發(fā)的以上系統(tǒng)的三級等保備案證明，并提供差距分析報告、專家評審意見、整改意見以及達到三級等保要求的測評報告。

4.對LIS系統(tǒng)、PACS系統(tǒng)、電子發(fā)票、集成平臺、銀海醫(yī)保、院感系統(tǒng)以及贈送的HIS系統(tǒng)、EMR系統(tǒng)及OA系統(tǒng)等31個系統(tǒng)至少進行一年3次的漏洞掃描、風險評估、網(wǎng)絡安全制度制定及調(diào)整等網(wǎng)絡安全相關(guān)工作，并出具相應整改意見和報告，協(xié)助醫(yī)院進行網(wǎng)絡安全整改工作。

五、報名單位資格要求、報名資料：

1.專業(yè)技術(shù)資質(zhì)：本項目所需特殊行業(yè)資質(zhì)或要求：具備網(wǎng)絡安全服務認證證書等級保護測評服務認證（提供證書復印件或掃描件，并加蓋公章）、單位（公司）資質(zhì)、法人身份復印件、授權(quán)代表委托書、被委托人身份證復印件、聯(lián)系電話。

2.近三年內(nèi)無違法違紀行為承諾；

3.提供通過信用中國網(wǎng)站（www.creditchina.gov.cn）、中國政府采購網(wǎng)（www.ccgp.gov.cn）查詢無失信行為信息記錄的證明材料（截圖）。

4.所投服務內(nèi)容和服務目標須等于或優(yōu)于我方要求。

六、最高限價：11.9萬元/年，三年費用不超過35.7萬元，超出限價報價為無效報價。

七、付款方式：單位自籌資金支付。

八、報名資料的遞交方式：

報名方法：加微信號：****，通過后，將資料的PDF版壓縮文件包發(fā)至微信號。加微信號模板：報名公司名稱+聯(lián)系電話。

逾期送達或者未送達指定地點的，不予受理。如有不清楚事宜可在現(xiàn)場或者線上咨詢。

報名時間：****至****（3個工作日）

報名地點及電話：點擊登錄查看行政辦公區(qū)采購科

電話：****

項目技術(shù)咨詢地點及電話：點擊登錄查看信息科

電話：****

26個系統(tǒng)網(wǎng)絡安全等級保護測評清單.docx

點擊登錄查看

****