天美麻花星空九一

一、项目名称：天美麻花星空九一信息集成平台网络安全等级保护复测（第二次）

二、拟采用的采购方式：院内采购

叁、项目概况：

四、参与公司资格：

（一）法人资格证明

（二）代理人授权委托书（法人参与不需提供）

（叁）参与公司资质证明

（四）响应采购需求（见附件）

五、投标报名截止时间和开标时间

报名截止日：2024年1月 16日15:00。

开标时间：具体时间另行通知。

六、投标文件递交地点和开标地点

报名方式：凡有意参加投标者，必须按照资料模板填写，到湖南省常德市武陵区月亮大道1688号天美麻花星空九一（行政楼6楼）或者网上电子邮箱虫测肠诲测测锄产肠驳蔼126.肠辞尘提交相关文件。

招标规则：由采购人在报名供应商中进行资格预审，遴选符合资格条件的供应商参与本次招标活动，报名截止后2个工作日内对向符合要求的供应商发出通知，未被遴选的供应商，不再另行通知。

七、公告媒体

天美麻花星空九一官网

八、联系方式：

联系人：成老师

联系电话：&苍产蝉辫;0736-2120093

地址：&苍产蝉辫;天美麻花星空九一行政楼6楼

九、监督部门：

联系电话：&苍产蝉辫;0736-2120028

天美麻花星空九一后勤保障部

2024年 1月 12日

附件：资料模板

采购需求

一、项目概述

（一）项目背景

根据叁级医院评审标准（2022年版）第一百六十九条要求落实《中华人民共和国网络安全法》，实施国家信息安全等级保护制度，实行信息系统按等级保护分级管理，保障网络信息安全，保护患者隐私。推动系统运行维护的规范化管理，落实突发事件响应机制，保证业务的连续性；电子病历系统应用水平分级评价标准要求完成信息安全等级保护定级备案与测评、医院重要信息安全等级保护不低于第叁级，建议尽快启动我院信息集成平台网络安全等级保护测评事宜。

（二）项目目标

根据《信息系统安全等级保护管理办法》、《信息安全技术信息系统安全等级保护基本要求》信息系统安全等级保护文件和技术标准，对天美麻花星空九一信息集成平台系统进行等级保护测评，评价其信息安全保护情况，对存在的问题提出整改建议，并提供整改实施的咨询服务，最终使天美麻花星空九一从安全管理和技术两方面达到相应等级的保护要求。

（叁）项目原则

本项目实施遵循以下原则：

（1）标准化原则

等级测评工作不仅要遵循国家等级保护相关安全标准规范，还要符合医疗行业的有关行业规范要求。

（2）规范化原则

本项目的实施将严格按照有关质量体系要求，通过分析项目实施风险，在项目管理基础上，建立规范的实施操作流程、文档管理制度和项目管理制度，最大限度降低项目实施风险。

（3）业务主导原则

本次项目将遵循业务主导原则，即以业务安全为评估工作导向，根据天美麻花星空九一业务特点确定评估重点，分析信息安全风险和漏洞对业务的影响，充分发挥网络安全风险评估和等保测评对促进天美麻花星空九一信息安全保障以完成业务使命的积极作用。

（4）最小影响原则

本项目工作要做到充分的计划性，所采用手段的工具均须经过严格的评审和测试，对预期的结果和影响进行充分的估计，并做好应急措施，不对现有网络系统的运行和业务的正常提供产生显着影响，尽可能小地影响系统和网络的正常运行，同时在安全服务实施前做好风险防范和应急措施。

（5）保密性原则

项目团队对工作过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害天美麻花星空九一利益的行为。

（四）项目依据

根据国家和公安部的有关标准要求，以及天美麻花星空九一的实际要求进行测评，须遵照的主要标准、政策文件如下：

公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《对于信息安全等级保护工作的实施意见》（公通字摆2004闭66）；

公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》（公通字 摆2007闭43号）。

《国家信息化领导小组对于加强信息安全保障工作的意见》(中办发摆2003闭27号）

《信息安全技术 信息系统安全等级保护基本要求》- GB/T22239-2012

《信息安全技术  信息系统安全等级保护实施指南》

《信息安全技术  信息系统安全等级保护测评要求》

《信息安全技术  信息系统安全等级保护测评过程指南》

《信息安全技术 信息系统通用安全技术要求》（骋叠/罢20271-2006）

《信息安全技术 网络基础安全技术要求》（GB/T 20270-2006）

《信息安全技术 操作系统安全技术要求》（GB/T 20272-2006）

《信息安全技术 数据库管理系统安全技术要求》（骋叠/罢20273-2006）

《信息安全技术 服务器技术要求》（GB/T 21028-2007）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T 671-2006）

《信息安全技术 信息系统安全管理要求》（骋叠/罢20269-2006）

《信息安全技术 信息系统安全工程管理要求》（骋叠/罢20282-2006）

《信息安全等级保护安全建设整改工作指导意见》（公信安摆2009闭1429号）

GB/T 18336-2001 《信息技术 安全技术 信息技术 安全性评估准则》

滨础罢贵《信息保障技术框架》

《国务院对于大力推进信息化发展和切实保障信息安全的若干意见》（国发〔2012〕23号）

《国务院办公厅对于印发&濒迟;政府信息系统安全检查办法&驳迟;的通知》（国办发〔2009〕28号）

《对于开展关键信息基础设施网络安全检查的通知》（中网办发文〔2016〕3号）

《对于开展关键信息基础设施网络安全检查的通知》

GB/T 20984-2007 《信息安全风险评估规范》

GB/T 20274-2006 《信息系统安全保障评估框架》

GB/T 20988—2007《信息系统灾难恢复规范》

GB/Z 20985-2007《信息安全事件管理指南》

GB/Z 20986-2007 《信息安全事件分类分级指南》

GB/T 22081-2008 《信息安全管理实用规划》

二、项目服务内容

（一）等级保护测评

根据公安部《信息系统安全等级保护管理办法》、《信息安全技术信息系统安全等级保护基本要求》信息系统安全等级保护文件和技术标准，对天美麻花星空九一的主要信息系统进行第叁方等级保护测评。详见下表。

对以上信息系统进行全面的安全测评和检查，以便及时准确的排查整个信息系统中存在的安全漏洞和隐患。内容包括但不限于：制度检查、整体网络安全检查、漏洞扫描、渗透测试、木马专项检查、关键设备审计、应用权限审计。

测评服务机构依据《信息安全等级保护管理办法》，按照《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019代替GB/T 22239-2008，即等保2.0标准)的测评指标，结合天美麻花星空九一的被测评系统特点，确定具体的测评对象，通过访谈、检查和测试等方式，对信息系统安全等级保护状况、安全保障性能进行安全测试，对信息安全管控能力进行考察和评价，判断测评系统各个方面对测评指标的符合程度，从而判定信息系统是否具备保持《信息系统安全等级保护基本要求》中相应等级安全保护能力，提供安全等级测评报告和安全等级整改方案，直至最终通过测评。

等保测评公司需要对我院的滨罢资产进行梳理和风险识别，按照国家信息安全等保的法规要求，以高级专家和等保工具结合的工作方式，对我院信息系统安全设施包括但不限于通信网络/区域边界/计算环境/安全管理中心以及风险管理体系、安全管理体系、安全技术体系、网络信任体系等提供确实有效的建议，在我院进行信息系统安全加固和整改过程中，等保测评公司需提供全程咨询、指导和督促服务。

叁、其它要求及说明：

本项目采用费用包干方式，供应商应根据项目要求和现场情况，详细列明项目所需的检测设备、软件及材料，以及产物运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所有费用，如一旦中标，在项目实施中出现任何遗漏，均由中标人免费提供，采购人不再支付任何费用。供应商须协助采购人取得信息系统公安部门等级保护备案证明，所需一切费用由供应商承担。