项目名称：医院信息系统网络安全三级等保测评项目

建议采购方式：公开招标 预算：29万

二、项目总体要求

序号

要求

具体内容

1

工期

签订合同后 90日内完成。（如有高风险项需要整改、时间顺延）

2

售后服务

自验收合格日起提供为期1年售后咨询服务和应急支撑服务

3

培训

由测评机构组织对全体使用人员进行2轮安全培训

三、测评服务技术功能指标要求

序号

功能/性能

具体要求

1

服务内容

★1.1服务内容：****医院4套业务系统（HIS、LIS、EMS、PACS）网络安全三级保护测评服务，并出具有效的测评报告和完成相应备案。

2

技术规范

投标人须依据国家《中华人民**国计算机信息系统安全保护条例》(国务院147 号令)、《信息安全等级保护管理办法》(公通字[2007]43号)《信息安全技术 网络安全等级保护基本要求 GBT22239-2019》、《信息安全技术 网络安全等级保护测评要求 GBT28448-2019》等法规要求进行网络安全等级测评。

3

资产梳理

★资产梳理：对服务范围内信息系统相关的物理环境、网络结构、主机以及业务系统进行摸底调研，进行资产梳理，了解信息安全的状况

4

测评内容技术要求

★4.1安全物理环境：根据系统机房和现场安全测评记录，针对待测评系统所处机房和现场在物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等物理安全方面所采取的措施进行，判断出与其相对应的各项测评项的测评结果；

★4.2安全通信网络：据现场网络安全测评记录，针对待测评系统网络方面在网络架构、通信传输、可信验证等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果；

★4.3安全区域边界：针对待测评系统主机安全现场测评内容包括边界防护、网络控制、入侵防范、恶意代码防范和垃圾邮件防范、安全审计、可信验证等区域边界方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果；

★4.4安全计算环境：针对待测评系统应用安全现场测评包括对系统身份鉴别、访问控制、安全审计、恶意代码防范、入侵防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护、个人信息保护等安全计算环境方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果；

★4.5****中心：针对待测评系统现场测评内容包括系统管理、安全管理、审计管理、集中管控几个方****管理中心方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。

5

测评内容管理要求

★5.1安全管理制度：根据现场安全测评记录，在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果；

★5.2安全管理机构：根据现场安全测评记录，应在安全管理机构方面的岗位设置、人员配备、授权和审批、沟通和**、审核和检查等测评指标，判断出与其相对应的各测评项的测评结果；

★5.3安全管理人员：根据现场安全测评记录，应在安全管理人员方面的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等测评指标，判断出与其相对应的各测评项的测评结果；

★5.4安全建设管理：根据现场安全测评记录，在系统运维管理的定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等保测评、服务商选择等测评指标，判断出与其相对应的各测评项的测评结果。

★5.5安全运维管理：根据现场安全测评记录，对系统建设管理方面的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等测评指标，判断出与其相对应的各测评项的测评结果；

6

人员培训

6.1安全培训：服务期内为我单位安全管理人员定制培训方案和计划并交由我单位审核。帮助信息技术人员了解、掌握信息系统等级保护的相关规定、信息安全策略、信息保密制度、授权及使用、信息安全管理制度和相关流程等，为我单位开展全方位信息安全业务培训，全面提升信息技术和管理人员的安全意识和专业技能水平。

▲6.2培训承诺：由测评机构组织对全体使用人员进行2轮安全培训

7

测评实施

项目实施遵循以下原则：

7.1.客观性和公正性原则：

测评人员应当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。

7.2.可重复性和可再现性原则：

依照同样的要求，使用同样的评估方式，对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同评估者评估结果的一致性有关，后者与同一评估者评估结果的一致性有关。

7.3.扩展性原则：

在评估过程结束后，网络安全测评过程要保持扩展性，从扩展的属性上进一步加强测评结束后采购人的安全管理有效性和可用性。

7.4.保密原则：

在测评过程中，需严格遵循保密原则，双方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害采购人利益。

7.5.互动原则：

在整个测评过程中，强调采购人的互动参与，每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整，进而更好的进行风险评估工作。

7.6.最小影响原则：

测评工作应该尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。

7.7.规范性原则：

网络安全等级保护测评服务的实施须由专业的测评服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。

7.8.质量保障原则：

在整个测评过程中，须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行，****小组从中监督，控制项目的进度和质量。

8

建设整改

▲8.1提出安全整改建议

全面的从安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全人员管理、安全建设管理和安全运维管理中的所有指标逐项对信息系统中相关的资产进行核查、测评。对信息系统进行安全现状分析，形成相应的安全问题《测评问题汇总》和《等级保护整改方案》，并协助完成整改工作。

▲8.2协助编制和完善安全管理制度

依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》，协助我单位制订和完善各项信息安全管理制度，规范信息安全日常管理工作，提高信息安全基础管理水平。

9

结果报告

▲9.1提交文档要求：

供应商需提供的所有材料，包括但不限于（纸质版文件两套，另有一套光盘存储的全套的电子版文件）

保密协议

9.2项目交付承诺：

采购方将对成交供应商的项目交付成果进行评价，成交供应商应根据采购方的评价意见对项目交付成果进行修改。当因成交供应商原因严重影响采购方业务系统正常运转，采购方对交付结果有否决权。

10

安全检测能力要求

防泄密措施（所使用的测评终端均安装有文件加密产品）；

具有自主知识产权的信息安全类软件、平台、系统（安全日志、漏洞扫描、补丁扫描、补丁更新、安全培训、风险监控、安全监测、风险评估、渗透测试、测评全生命周期、配置核查、测评管理、巡检管理、关键信息基础设施网络安全检查方面）计算机软件著作权登记证书