一,、調(diào)研內(nèi)容及需求

（一）項(xiàng)目名稱：醫(yī)院信息（HIS、LIS,、PACS,、EMR）系統(tǒng),、OA、官方網(wǎng)站等級(jí)保護(hù)測(cè)評(píng)

（二）項(xiàng)目需求：

1. 總的要求

依照《中華人民共和國(guó)網(wǎng)絡(luò)安全法》《信息系統(tǒng)安全等級(jí)保護(hù)管理辦法》,，以及自治區(qū)公安廳等相關(guān)文件的要求,，依據(jù)《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）對(duì)醫(yī)院信息（HIS、LIS,、PACS,、EMR）系統(tǒng)（三級(jí)）和互聯(lián)網(wǎng)醫(yī)院（三級(jí)）開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)工作；并出具符合國(guó)家信息安全等級(jí)保護(hù)管理部門(mén)規(guī)范要求,、公安機(jī)關(guān)認(rèn)可的信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)報(bào)告,。

基本原則：逐一出具符合國(guó)家信息安全等級(jí)保護(hù)管理部門(mén)規(guī)范要求、公安機(jī)關(guān)認(rèn)可的信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告,；測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)內(nèi),、國(guó)際的相關(guān)標(biāo)準(zhǔn)進(jìn)行；測(cè)評(píng)服務(wù)商工作中的過(guò)程和文檔,，具有很好的規(guī)范性,，可以便于項(xiàng)目的跟蹤和控制；測(cè)評(píng)的方法和過(guò)程要在雙方認(rèn)可的范圍之內(nèi),，安全咨詢的進(jìn)度要按照進(jìn)度表進(jìn)度的安排,，保證采購(gòu)方對(duì)于服務(wù)工作的可控性；安全體系設(shè)計(jì)的范圍和內(nèi)容應(yīng)當(dāng)整體全面,，包括安全涉及的各個(gè)層面,，避免由于遺漏造成未來(lái)的安全隱患；測(cè)評(píng)工作應(yīng)盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,，不能對(duì)招標(biāo)方各系統(tǒng)的運(yùn)行和業(yè)務(wù)的正常開(kāi)展造成影響,；對(duì)測(cè)評(píng)過(guò)程中獲得的采購(gòu)方數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人,，不得利用此數(shù)據(jù)進(jìn)行任何侵害采購(gòu)方利益的行為。

2. 標(biāo)準(zhǔn)依據(jù)

等級(jí)保護(hù)測(cè)評(píng)過(guò)程中,，必須依照以下標(biāo)準(zhǔn)：

《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2020）

《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB 17859-1999）

《網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T 28448-2019）

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T 28449-2018）

《網(wǎng)絡(luò)安全等級(jí)保護(hù)設(shè)計(jì)技術(shù)要求》（GB/T 25070-2019）

《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)試評(píng)估技術(shù)指南》（GB/T 36627-2018）

3. 測(cè)評(píng)內(nèi)容

（1）安全通用要求

安全通用要求測(cè)評(píng)內(nèi)容應(yīng)包括安全技術(shù)和安全管理兩大類,，其中技術(shù)類應(yīng)包括對(duì)安全物理環(huán)境、安全通信網(wǎng)絡(luò),、安全區(qū)域邊界,、安全計(jì)算環(huán)境、安全管理中心五個(gè)方面的測(cè)評(píng),，安全管理類測(cè)評(píng)應(yīng)包括對(duì)安全管理制度,、安全管理機(jī)構(gòu)、安全管理人員,、安全建設(shè)管理,、安全運(yùn)維管理五個(gè)方面的測(cè)評(píng),。

（2）安全擴(kuò)展要求

如本項(xiàng)目執(zhí)行時(shí)發(fā)現(xiàn)等級(jí)保護(hù)對(duì)象涉及測(cè)評(píng)標(biāo)準(zhǔn)安全擴(kuò)展要求（云計(jì)算、移動(dòng)互聯(lián)網(wǎng),、物聯(lián)網(wǎng),、大數(shù)據(jù)、工業(yè)控制）方面內(nèi)容的,，則根據(jù)實(shí)際情況選定適用的安全擴(kuò)展要求測(cè)評(píng)內(nèi)容開(kāi)展本項(xiàng)目測(cè)評(píng)工作,。

4. 測(cè)評(píng)方法

在測(cè)評(píng)實(shí)施過(guò)程中，應(yīng)采用訪談,、檢查和測(cè)試,、滲透測(cè)試等測(cè)評(píng)方法進(jìn)行，并與國(guó)家相關(guān)規(guī)范及標(biāo)準(zhǔn)的要求相符,。

訪談是指測(cè)評(píng)人員通過(guò)引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測(cè)評(píng)人員理解,、分析或取得證據(jù)的過(guò)程；

檢查是指測(cè)評(píng)人員通過(guò)對(duì)測(cè)評(píng)對(duì)象（如管理制度,、操作記錄,、安全配置等）進(jìn)行觀察、查驗(yàn),、分析以幫助測(cè)評(píng)人員理解,、分析或取得證據(jù)的過(guò)程；

測(cè)試是測(cè)評(píng)人員使用預(yù)定的方法/工具使測(cè)評(píng)對(duì)象產(chǎn)生特定的行為,，通過(guò)查看和分析結(jié)果以幫助測(cè)評(píng)人員獲取證據(jù)的過(guò)程,；

滲透測(cè)試是模擬黑客的攻擊方法，對(duì)受保護(hù)對(duì)象的應(yīng)用系統(tǒng),、主機(jī),、網(wǎng)絡(luò)進(jìn)行攻擊，從而驗(yàn)證測(cè)評(píng)對(duì)象的弱點(diǎn),、技術(shù)缺陷或漏洞的一種評(píng)估方法,。

5. 供應(yīng)商應(yīng)具備：

（1）中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的安全風(fēng)險(xiǎn)評(píng)估服務(wù)資質(zhì)，公安部頒發(fā)的《網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書(shū)》,。

（2）提供ISO9001質(zhì)量管理認(rèn)證證書(shū),、27001信息安全管理體系證書(shū)認(rèn)證范圍為“網(wǎng)絡(luò)安全等保測(cè)評(píng)”、20000信息技術(shù)服務(wù)管理認(rèn)證體系證書(shū)認(rèn)證范圍為“網(wǎng)絡(luò)安全等保測(cè)評(píng)”,。

（3）提供ITSS信息技術(shù)服務(wù)標(biāo)準(zhǔn)符合性證書(shū),。

（4）項(xiàng)目負(fù)責(zé)人同時(shí)具有信息安全等級(jí)測(cè)評(píng)師證書(shū)、高級(jí)信息系統(tǒng)項(xiàng)目管理師,、CISSP,、CISP證書(shū)，團(tuán)隊(duì)人員至少配備1名高級(jí)等保測(cè)評(píng)師并提供最新等級(jí)保護(hù)網(wǎng)注冊(cè)測(cè)評(píng)師相關(guān)證明文件。

（5）應(yīng)具備能夠保證其公正性,、獨(dú)立性的質(zhì)量體系,，確保測(cè)評(píng)活動(dòng)不受任何可能影響測(cè)評(píng)結(jié)果的商業(yè)、財(cái)務(wù),、健康,、環(huán)境等方面的壓力。

（6）在對(duì)被測(cè)評(píng)單位開(kāi)展等級(jí)保護(hù)測(cè)評(píng)服務(wù)之前需與被測(cè)評(píng)單位簽訂保密協(xié)議,，測(cè)評(píng)過(guò)程中向被測(cè)評(píng)單位借閱的文檔資料應(yīng)在測(cè)評(píng)工作結(jié)束后全部歸還被測(cè)評(píng)單位,，未經(jīng)被測(cè)評(píng)單位允許，不得擅自復(fù)制,、保留,。

二、項(xiàng)目工期

本項(xiàng)目共兩次進(jìn)場(chǎng)測(cè)評(píng)：初測(cè)和復(fù)測(cè),。自甲方出具項(xiàng)目成交通知書(shū)之日起5個(gè)工作日內(nèi)完成該項(xiàng)目現(xiàn)場(chǎng)測(cè)評(píng)工作?，F(xiàn)場(chǎng)測(cè)評(píng)結(jié)束后5個(gè)工作日內(nèi)提供該項(xiàng)目的差距分析整改清單。經(jīng)甲方整改完成后,，再與乙方確定復(fù)測(cè)日期,。自甲方出具項(xiàng)目復(fù)測(cè)通知書(shū)之日起3個(gè)工作日內(nèi)完成該項(xiàng)目現(xiàn)場(chǎng)復(fù)測(cè)，復(fù)測(cè)完成后20個(gè)工作日內(nèi)提供該項(xiàng)目的最終測(cè)評(píng)報(bào)告,，整個(gè)工期應(yīng)在2個(gè)月完成,。

三、服務(wù)成果

競(jìng)標(biāo)人完成初次測(cè)評(píng)后應(yīng)提出具體整改意見(jiàn)并敦促指導(dǎo)整改,，待整改完畢后再進(jìn)行正式測(cè)評(píng),，并出具符合《信息安全技術(shù)-網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2019）相關(guān)技術(shù)標(biāo)準(zhǔn)要求、國(guó)家信息安全等級(jí)保護(hù)管理部門(mén)規(guī)范要求,、公安網(wǎng)安部門(mén)認(rèn)可的《網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告》且分?jǐn)?shù)在70分以上,，通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)2.0三級(jí)。紙質(zhì)版2份,；電子版1份,。

四、聯(lián)系人及地址

請(qǐng)意向參加供應(yīng)商將方案密封件送至四川省第二退役軍人醫(yī)院信息管理部,，并發(fā)送掃描件至郵箱375435891[at]qq[dot]com（可接受郵寄）,。

地址：四川省崇州市崇慶街道十字南路1133號(hào)

聯(lián)系人：陳老師

聯(lián)系電話：13438989131

五、市場(chǎng)調(diào)研詢價(jià)時(shí)間及地點(diǎn)

2024年11月21日至11月24日（工作日時(shí)間：08:00-12:00,，14:00-18:00）。

1.資料接收時(shí)間以信息科簽收時(shí)間為準(zhǔn),；

2.超期接受的項(xiàng)目方案做無(wú)效投寄處理,，同時(shí)該項(xiàng)目方案不回退供應(yīng)商。

六、其他事項(xiàng)

在提供服務(wù)時(shí),，嚴(yán)格遵守雙方的有關(guān)規(guī)章制度,；保證不擅自將用戶提供的紙質(zhì)及電子文檔復(fù)制給其他單位或個(gè)人，不將服務(wù)產(chǎn)生的報(bào)告等資料泄露給其他單位或個(gè)人,；必須與甲方簽訂保密協(xié)議,；協(xié)助甲方對(duì)未通過(guò)等保的項(xiàng)目進(jìn)行整改。

本次市場(chǎng)調(diào)研活動(dòng)僅作為我院醫(yī)院信息（HIS,、LIS,、PACS、EMR）系統(tǒng),、OA,、官方網(wǎng)站等級(jí)保護(hù)測(cè)評(píng)項(xiàng)目參考，我院有權(quán)使用所征集技術(shù)指標(biāo)中的相關(guān)內(nèi)容,。采購(gòu)項(xiàng)目具體情況以相關(guān)采購(gòu)公告和采購(gòu)文件為準(zhǔn),。

本次市場(chǎng)調(diào)研與詢價(jià)活動(dòng)遵循公平、公正,、公開(kāi)的原則,。

供應(yīng)商需保證所提交材料的真實(shí)性和準(zhǔn)確性，如發(fā)現(xiàn)虛假材料,，將取消其參與資格,。

我院將根據(jù)實(shí)際情況對(duì)本次公告進(jìn)行必要的修改和補(bǔ)充。

敬請(qǐng)廣大供應(yīng)商積極參與本次市場(chǎng)調(diào)研與詢價(jià)活動(dòng),。

 

 四川省第二退役軍人醫(yī)院               

                                                                  2024年11月21日