丁香婷婷社区,91亚洲视频,伊人二区

正文內容

點擊登錄查看信息系統網絡三級安全等級保護

測評服務項目競爭性談判公告

根據《中華人民共和國網絡安全法》《關鍵信息基礎設施安全保護條例》《中華人民共和國計算機信息系統安全保護條例》《信息安全技術網絡安全等級保護測評要求》（GB/T 28448-2019）等相關法律法規要求，結合醫院基本情況開展醫院信息系統網絡三級安全等級保護測評服務，核心是驗證醫院信息系統是否達到三級安全保護能力，采購方式為競爭性談判采購，現誠邀信譽良好，具備履約能力及相關資質的機構參加談判。

一、項目名稱：點擊登錄查看信息系統網絡三級安全等級保護測評服務項目

二、項目預算及采購方式：

（一）采購預算：本項目采購預算上限為130000.00元（人民幣拾叁萬整），采購人不再額外支付任何費用。

（二）采購方式：競爭性談判。

三、采購需求及參數要求：

嚴格依據《信息安全技術網絡安全等級保護測評要求》（GB/T 28448-2019），并結合醫院基本情況開展，核心是驗證醫院信息系統是否達到三級安全保護能力。其服務內容可分為前期準備、現場測評、報告編制與整改協助三大階段，各階段具體內容如下：

（一）測評前期準備：明確范圍與基線

此階段核心是“摸清醫院信息系統家底”為后續測評制定針對性方案，避免遺漏關鍵系統或環節。

1.需求與范圍確認

與醫院信息科、醫務科、質控科等部門對接，明確需測評的信息系統范圍：HIS、LIS、PACS、電子病歷系統、醫共體信息平臺；基礎網絡：內網、外網、DMZ 區等。排除與核心業務無關的非測評資產。

2.資產與架構梳理

協助醫院完成“資產清單”編制：包括服務器（物理機/虛擬機）、網絡設備（路由器、交換機、防火墻）、安全設備（IDS/IPS、WAF、堡壘機）、終端（醫生工作站、護士站電腦）、存儲設備（醫療數據存儲服務器）等，標注資產型號、IP 地址、所屬系統、責任人。

繪制網絡拓撲圖：明確內網（診療業務區）、外網（互聯網訪問區）、DMZ 區的隔離邏輯，以及關鍵設備的部署位置（如防火墻是否部署在內外網邊界）。

3.測評方案制定

依據三級等保要求，結合醫院實際情況，制定測評方案，明確：

測評目標：驗證安全控制措施有效性、識別風險點。

測評方法：訪談、文檔審查、配置檢查、漏洞掃描、滲透測試等。

時間計劃：現場測評周期、各系統測評順序。

人員分工：測評工程師對接醫院各部門的責任人。

（二）現場測評：核心環節，全維度驗證

圍繞三級等保要求的10 個安全維度展開，結合醫院業務場景驗證 “技術安全”與“管理安全”是否達標，重點關注醫療數據安全與業務連續性。

1.技術安全測評：保障系統 “硬防護”

技術安全是信息系統的 “防火墻”，需覆蓋物理、網絡、主機、應用、數據 5 個層面，每個層面均需結合醫院特性設計測評點：

測評維度	核心測評內容
物理環境安全	機房安全：醫院機房的門禁控制、視頻監控、消防設施、溫濕度控制（溫度 18-27℃，濕度 40%-60%）、防盜竊/防破壞措施（機房門窗加固）。辦公環境安全：醫生工作站、護士站終端是否設置開機密碼，移動存儲設備（U盤）使用是否管控（如禁止非授權U盤接入）。
網絡安全	邊界防護：內外網邊界是否部署防火墻，是否配置訪問控制策略；DMZ區是否與內網邏輯隔離，是否部署 WAF 防護 Web 攻擊。網絡分區：是否按“診療業務區、管理辦公區、互聯網訪問區” 劃分VLAN，防止某一區被入侵后擴散風險。遠程訪問安全：醫生遠程會診、運維人員遠程管理是否通過 VPN 加密，是否采用雙因素認證（如密碼 + Ukey）。流量監控：是否部署 IDS/IPS，能否檢測并阻斷異常流量（如 SQL 注入、勒索病毒攻擊流量），日志是否留存≥6 個月。
主機安全	服務器加固：服務器是否關閉無用端口（如 135、445 端口，防止勒索病毒利用），是否安裝殺毒軟件并定期更新病毒庫，操作系統（如 Windows Server、Linux）是否及時打安全補丁。訪問控制：服務器是否啟用身份認證（如 Windows 域控），是否按 “最小權限原則” 分配賬號（如護士賬號僅能查看 / 錄入本科室患者病歷，無法修改醫生診斷）。主機日志：服務器登錄日志、操作日志是否留存≥6個月，能否追溯異常操作（如某賬號登錄EMR 服務器修改病歷）。
應用安全	漏洞檢測：對Web 應用進行漏洞掃描（如 SQL 注入、XSS 跨站腳本、文件上傳漏洞），對移動醫療 APP（如患者端掛號APP）檢測數據傳輸是否加密（如HTTPS）。認證授權：應用系統是否采用強密碼策略（如 8 位以上字母 + 數字 + 特殊符號），是否啟用會話超時（如醫生離開工作站15分鐘自動登出），是否禁止 “一人多賬號”“賬號共享”（如醫生賬號不可借給實習醫生使用）。應用日志：應用系統的操作日志（如掛號、繳費、修改病歷）是否完整，能否關聯到具體用戶，日志留存≥6 個月。
數據安全與備份恢復	數據分類分級：是否對醫療數據分類（如患者基本信息、診療記錄、檢驗結果），并標注敏感級別（如患者身份證號、病歷屬于 “高敏感數據”）。數據加密：高敏感數據（如 EMR、患者身份證號）是否加密存儲（如數據庫加密、文件加密），數據傳輸（如 HIS 與醫保系統對接）是否采用加密協議（如 SSL/TLS）。訪問控制：是否限制敏感數據的訪問權限（如僅主治醫生可查看自己分管患者的完整病歷，實習醫生僅能查看脫敏病歷），是否有訪問審計（如誰查看了某患者病歷、查看時間）。備份恢復： ①備份策略：核心數據（如 EMR、HIS 業務數據）是否按 “每日增量備份 + 每周全量備份” 執行； ②異地備份：是否建立異地災備，防止本地機房損毀導致數據丟失； ③恢復演練：近1年內是否開展過備份恢復演練，恢復成功率是否≥99%，恢復時間（RTO）是否≤4小時（符合三級等保對“重要業務” 的要求）。

2.管理安全測評：完善制度 “軟保障”

管理安全是技術安全的支撐，需覆蓋制度、機構、人員、建設、運維5個層面，避免“技術達標但管理漏洞導致風險”。

測評維度	核心測評內容
安全管理制度	是否制定覆蓋 “網絡、主機、應用、數據、人員” 的安全管理制度。制度是否更新：是否根據新法規或系統變更及時修訂制度，近1年內是否有修訂記錄。制度落地：是否對員工開展制度培訓（如每年至少 1 次安全培訓），是否有培訓簽到記錄、考核記錄。
安全管理機構	是否成立專門的安全管理部門，明確負責人（如信息科主任為第一責任人），是否配備專職安全管理員。是否建立跨部門協作機制。
人員安全管理	人員錄用：是否對新入職的信息科人員、醫生開展背景審查，是否簽訂《保密協議》。人員培訓：是否定期開展安全培訓（如每年2 次，內容包括勒索病毒防范、患者數據保密、賬號安全），是否有培訓考核記錄（如考核通過率≥90%）。人員離職：是否有離職流程（如注銷賬號、回收 Ukey、刪除工作電腦中的敏感數據）。
系統建設管理	需求分析：新建系統是否在需求階段加入安全要求（如數據加密、訪問控制）。供應商管理：是否對系統供應商（如 HIS 廠商）進行安全資質審查（如是否具備等保測評資質），是否在合同中明確供應商的安全責任（如系統漏洞修復義務）。驗收測試：系統上線前是否開展安全驗收（如漏洞掃描、滲透測試），未通過驗收是否禁止上線。
系統運維管理	日常運維：是否制定運維流程（如服務器巡檢記錄、漏洞修復流程），近3個月內是否有巡檢記錄（如每日檢查服務器運行狀態、每周檢查備份情況）。應急響應：是否制定《網絡安全事件應急預案》（如勒索病毒攻擊、系統宕機、數據泄露的處置流程），近1年內是否開展過應急演練，是否有演練報告（明確演練效果與改進點）。第三方運維：是否委托第三方公司進行運維（如機房運維），是否簽訂《安全保密協議》，是否對第三方操作進行審計（如通過堡壘機記錄操作日志）。

（三）報告編制與整改協助：閉環管理

現場測評結束后，需形成正式測評報告，并協助醫院整改風險點，確保最終達到三級等保要求。

1.測評報告編制

報告需包含：醫院信息系統概況、測評范圍與方法、各維度測評結果（“符合項” 與 “不符合項” 清單）、風險等級評估、整改建議（明確整改措施、責任部門、完成時限）。

報告需符合等保監管要求，加蓋測評機構公章，作為醫院向當地公安網安部門備案的核心材料。

2.整改協助與驗證

針對 “不符合項”，協助醫院制定整改方案（如“服務器未打補丁” 建議聯系廠商獲取合規補丁并測試后安裝；“無異地備份” 建議部署云災備服務）。

整改完成后，開展 “整改驗證”（如重新掃描漏洞、檢查備份恢復流程），確認不符合項已解決，最終出具《整改驗證報告》，確保醫院信息系統達到三級等保防護能力。

四、供應商資格和服務要求

（一）符合《中華人民共和國政府采購法》第二十二條的規定（提供書面承諾函）：

1.具有獨立承擔民事責任的能力；

2.具有良好的商業信譽和健全的財務會計制度；

3.具有履行合同所必需的設備和專業技術能力；

4.有依法繳納稅收和社會保障資金的良好記錄；

5.參加政府采購活動前三年內，在經營活動中沒有重大違法記錄；

6.法律、行政法規規定的其他條件。

（二）具有獨立承擔民事責任的能力，具備有效的營業執照，必須具備履行合同所必需的設備和專業技術能力。

（三）服務時限要求：合同簽訂之日起至****。

（四）特殊資質要求：具備《網絡安全等級測評與檢測評估機構服務認證》證書，證書在有效期內。

（五）其它要求：未被列入 “信用中國” 網站失信被執行人、重大稅收違法失信主體名單，未被列入政府采購嚴重違法失信行為記錄名單。

五、參與方式：

凡有意參加此次競爭性談判的供應商，請于****09時00分前攜帶以下響應材料到點擊登錄查看行政樓5樓會議室參加開標，二次報價順序以實際到場簽到順序入場報價。

響應材料除響應實質性內容以外還要附：詳細報價單（封面后首頁）；有效的營業執照；資質證書復印件、法定代表人（或負責人）身份證；法定代表人（或負責人）授權委托書；委托代理人的身份證；業績證明材料；服務方案等所有材料加蓋公章。

談判響應文件格式自擬，并密封！！！

六、響應文件的遞交及會議安排：

1.遞交響應文件截止時間及開標時間：****09時00分（北京時間）。逾期或未在規定時間內到指定的會議地點提交響應文件的，我單位不予受理。

2.會議地點：點擊登錄查看行政辦公樓5樓會議室。

3 .特別聲明：報名供應商數量≥3即可進行會議。

七、評標方式

本次采購采用最低價中標法（最后報價最低的供應商為成交供應商），評審小組根據供應商資質等因素進行評審，確定中選供應商。

八、公告期限及異議反饋：

****至****上午18時00分（北京時間），共5個工作日，本次談判公告在點擊登錄查看公眾號發布，采購人對其它網站或媒體轉載的公告及公告內容不承擔任何責任。

九、聯系方式

采購人：點擊登錄查看

地址：雙江縣****

聯系人：點擊登錄查看

聯系方式：****

文件下載

附件

點擊登錄查看信息系統網絡三級安全等級保護測評服務項目競爭性談判公告 docx

下載

附件包：

雙江自治縣人民醫院信息系統網絡三級安全等級保護測評服務項目競爭性談判公告

掃碼關注乙方寶服務號