莆田市第一医院信息系统等级保护测评询价采购公告

莆田市第一医院根据有关政府采购规定,进行公开询价采购,欢迎国内合格的供应商前来报价。

一、项目最高限价：95000元

二、项目名称:莆田市第一医院信息系统等级保护测评

       数量:9个（HIS、LIS、PACS、EMR、集成平台、微信公众号、急诊信息系统、互联网医院、实训管理）

三、技术参数

• ▲测评服务须依据国家《中华人民共和国计算机信息系统安全保护条例》（国务院147号令）、《信息安全等级保护管理办法》（公通字[2007]43号）、《信息安全技术 网络安全等级保护基本要求GBT22239-2019 》、《信息安全技术 网络安全等级保护测评要求GBT28448-2019》等法规要求进行信息系统安全等级测评。
• ▲技术要求部分测评须涉及安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全物理环境五个方面，须通过访谈、配置检查和工具测试的方式测评信息系统的技术安全保障情况。
• ●物理安全测评须通过访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为机房。
• ●安全通信网络测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全通信网络保障情况。
• ●安全区域边界测评须通过访谈、配置检查和工具测试的方式测评信息系统的安全区域边界保障情况。
• ●安全计算环境须通过访谈、配置检查和工具测试的方式测评信息系统的安全计算环境保障情况。
• ●安全管理中心测评须通过访谈、配置检查的方式测评信息系统的安全管理中心保障情况。
• ●管理要求部分测评须涉及安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面，管理要求方面的测评对象主要为安全主管人员、安全管理人员等。
• ●安全管理制度：须针对管理制度、制定和发布、评审和修订等情况进行核查。
• ●安全管理机构：须针对岗位设置、人员配备、授权和审批、沟通和协作、审核和检查等情况进行审核。
• ●安全人员管理：须针对人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理等进行核查。
• ●安全建设管理：须针对系统建设的全过程，系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发等进行核查。
• ●安全运维管理：须针对资产管理、介质管理、设备管理、监控管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理进行核查。
• ●协助补充安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面的相关管理制度。
• ●了解信息系统的定位、后续的安全规划、安全建设、安全实施和等级保护工作相关各方的资源投入，通过对信息系统的调查和分析，科学、合理地划分信息系统的子系统，并依据各种因素确定信息系统的安全保护等级。
• ●根据网络安全等级保护系统建设，按照安全指标评估系统安全现状，找出系统现状与安全指标之间的差距，并通过差距分析方法根据承载业务的安全特点找出系统的特定需求。
• ●对被评估信息系统的涉及人员进行访谈，访谈内容涉及安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全物理环境等五个方面，应对访谈的内容做详细的纪要，作为等级差距评估的重要依据。
• ●通过专业工具以本地扫描的方式对评估范围内的系统、设备和网络进行检查，从内网和外网两个角度来查找物理机房、网络结构、通信网络设施、网络区域边界，安全管理中心，服务器主机、信息系统、数据库和用户账号/口令等安全对象目标存在的安全风险、漏洞和威胁；通过Internet对web页面进行渗透检查，从中发现是否存在安全风险、漏洞和威胁，同时通过人员访谈，手动核查等方式进行验证是否符合网络安全等级保护要求。
• ●在差距分析过程中，为确保测评过程不带来新的安全风险点，须使用有专业有效防护策略和措施的工具对服务器系统、业务系统进行安全扫描测试，能对安全扫描的资产范围做设定，并对扫描过程做到记录。
• ●等级保护整改服务：根据差距分析，对存在的不足协助进行整改，包括等级保护要求的安全管理体系和安全技术体系整改。
• ●等级保护测评实施过程中所使用到的各种工具软件均由投标人推荐，经采购人确认后由投标人提供并在测评中使用。
• ●安全测评工具软件运行需要的所有硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等均由投标人推荐，经采购人确认后由投标人提供并在测评中使用。
• ●安全测评需要的运行环境（如场地、网络环境等）由采购人提供，投标人应根据项目需要向采购人说明需要的运行环境的具体要求。
• ●为了有序开展测评工作，顺利启动测评项目，投标人拟派中级测评师和初级测评师共同开展测评准备工作，包括系统调研、资产梳理、信息收集和分析、工具和表单准备等。
• ▲保密原则：成交人对测评的过程数据和结果数据须严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购人的行为，否则采购人有权追究其责任。
• ▲标准性原则：测评方案的设计与实施须依据国家等级保护的相关标准进行。
• ▲规范性原则：评测工作中的过程和文档，须具有很好的规范性，便于采购人对项目的跟踪和控制。
• ▲可控性原则：测评服务的进度要跟上进度表的安排，保证采购人对于测评工作的可控性。
• ▲整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。
• ▲最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
• ▲成交人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
• ▲ 配合完成信息系统通过网络安全等级测评，即获得省级网安部门认可的网络安全等级保护测评报告。
• ▲为了提供合规的测评服务，保证测评服务质量，投标人拟投入此次项目中的项目负责人具备高级测评师证书，技术骨干具备中级测评师证书，渗透测试工程师具备中级测评师证书，质量监督人员具备中级测评师证书，技术类测评人员具备初级测评师证书，管理类测评人员具备初级测评师证书。

     ▲为了提高整改进度，保证整改规范性，投标人在项目整改期间，拟派具备中级测评师证书的技术骨干和具备初级测评师证书的技术类测评人员，辅导被测单位开展整改工作。

四、付款方式:收到等级保护测评报告及发票后一次性付清。

五、采购方式:询价采购

六、资质要求:

(1)所投的产品必须全部在投标人营业执照允许经营的范畴内。

(2)法人代表身份证(复印件),如果法人不参与报价,受委托人还需提供法人授权委托书原件及受委托人身份证(复印件);

(3)测评资质;公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》，并提供证书复印件并加盖公章。国内的测评机构（须在网络安全等级保护网（http://www.djbh.net）中“全国网络安全等级测评与检测评估机构目录查询”可查阅），提供证书复印件及查阅网页的截图。

(4)报价单(原件加盖公章)。

以上资格证明文件投标时须加盖投标人公章并注明“与原件一致”字样。

七、报价材料提交：

为便于不同科室拆封需要,请报价人按项目将递交材料用档案袋单独封装,未按项目单独封装将会被拒收,档案袋封面需注明报价项目名称、对应序号及项目联系人及联系方式,并用封条密封且密封处盖公章;

报价材料按要求密封，2025年7月18日上午11:00时前，送达或邮寄（邮政和顺丰）地址：莆田市城厢区南门西路449号市一医院8号楼505招标办，电话0594-6923862，以时间节点实际接收为准，在途未签收快递类报价材料视为超时。

八、采购单位名称和联系方式

采购人:莆田市第一医院

项目咨询人:朱先生

电话: 0594-8982104 13959591508

莆田市第一医院数字办

2025.7.11