济南市济阳区中医医院信息系统网络安全等级保护测评项目

一、项目基本情况

1、采购项目名称：济南市济阳区中医医院信息系统网络安全等级保护测评项目

2、项目编号：JYQZYYY-XXK-2023-10

3、预算金额：8.5万元之内。供应商的报价不得高于预算，否则作无效报价处理。

4、项目概况：

4.1 济南市济阳区中医医院信息系统等级保护测评项目

4.1.1、等保测评目标

根据国家相关标准要求，进行等级保护测评。通过测评发现与信息安全等级保护基本要求存在的差距，根据测评结果进行整改，缩小与基本要求之间的差距，提高系统的安全保护能力。

4.1.2、信息安全管理规章制度的建立目标。

根据《网络安全法》的要求和本单位管理需求，协助梳理编制信息安全管理制度：信息安全总则、信息系统建设安全管理制度、信息系统运维安全管理制度、信息安全培训及考核管理办法、信息资产安全管理规定、数据中心机房管理规定、信息系统应急预案及处理办法等。

4.2 测评范围  针对如下系统开展等级保护测评工作：

以电子病历为核心的医院信息管理系统测评等级三级。

4.3 评测内容

依据《信息安全技术-网络安全等级保护基本要求》（GB/T22239-2019）等管理规范和技术标准，检测信息系统安全等级保护状况是否达到相应等级基本要求，通过等级测评进行现状分析，确定系统的安全保护现状和存在的安全问题。

包括安全技术测评和安全管理测评，其中安全技术测评包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；安全管理测评包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

（1）、物理安全

针对物理安全方面的“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等测评指标，判断出与其相对应的各测评项的测评结果。

（2）、网络安全

针对网络安全方面的“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“网络设备防护”等测评指标，判断出与其相对应的各测评项的测评结果。

（3）、主机安全

针对主机安全方面的“身份鉴别”、“访问控制”、“安全审计”、“入侵防护”、“恶意代码防护”、“资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。

（4）、应用安全

针对应用安全方面的“身份鉴别”、“访问控制”、“安全审计”、 “通信完整性”、“通信保密性”、“软件容错”、“资源控制”等测评指标，判断出与其相对应的各测评项的测评结果。

（5）、数据安全及备份恢复

针对数据安全方面的“数据完整性”、“数据保密性”、“备份和恢复”等测评指标，判断出与其相对应的各测评项的测评结果。

（6）、安全管理制度

针对安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。

（7）、安全管理机构

针对安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。

（8）、人员安全管理

针对人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。

（9）、系统建设管理

针对系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、以及“安全服务商选择”等测评指标，判断出与其相对应的各测评项的测评结果。

（10）、系统运维管理

针对系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标，判断出与其相对应的各测评项的测评结果。

4.4、测评工作流程

信息安全等级测评过程分为四个基本测评工作：测评准备工作、方案编制工作、现场测评工作、分析及报告编制工作。而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。根据被测系统的等级，等级越高，对应的基本要求项越多，所需进行的测评工作量也就越大。

（1）、测评准备工作

测评准备工作的主要任务包括：项目启动、信息收集和分析、工具和表单准备。

（2）、方案编制工作

方案编制活动的主要任务包括：测评对象确定、测评指标确定、测评内容确定、工具测试方法确定、测评指导书开发及测评方案编制。

（3）、现场测评工作

现场测评工作的主要任务包括：现场测评准备、现场测评和结果记录、结果确认和资料归还。

（4）、报告编制活动

报告编制活动的主要任务包括：单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成及测评报告编制。

最终出具信息安全等级测评报告，经被测单位确认，提交公安局网安部门进行备案。

4.5、项目交付成果

该项目提交的文档至少包括如下文件：

（1）.《网络安全等级保护测评方案》

（2）.《网络安全等级保护测评计划》

（3）.《网络安全等级保护测评报告》

4.6、项目实施要求

（1）、人员要求

需提供项目组成员信息，包含工作年限、项目经历及相关资质证书等。

项目团队不少于4人，人员要求如下：

a.项目经理须具备中级以上信息安全等级测评师证书；

b.项目成员应包含网络、主机、安全等方面的技术专家；

c.负责本项目等级测评的项目组成员需具备信息安全等级测评师证书；

（2）、工期：签订合同后20天内完成并交付测评报告。

二、申请人的资格要求：

1、供应商具备有效的营业执照及相应的经营范围，并在人员、设备、资金等方面具有相应的能力；

2、在“信用中国”（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）、“信用山东”（www.creditsd.gov.cn）等网站中被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的供应商，不得参加本次采购活动；

3、具有公安部第三研究所认证发布的《网络安全等级测评与检测评估机构服务认证证书》。

4、服务期限：签订合同后1年,成交人一年巡检次数不少于2次；

三、报名时间、地点及方式

1、时间：2023年10月24日至2023年10月27日（上午9：00至下午5：00）

2、地点：济南市济阳区中医医院（纬二路112号）

3、方式：凡有意参加本项目的供应商，在规定的报名时间内到指定地点持下列资料报名：

（1）营业执照副本；

（2）法定代表人证明书或法人授权委托书（授权代理人到场的）；

（3）法定代表人或授权代理人身份证。

以上资料均须携带原件或复印件，复印件需加盖公章，简单装订。

四、提交报价文件截止时间、地点及方式

1、时间：2022年11月03日17点30分（北京时间）

2、地点：济南市济阳区中医医院门诊楼3楼小会议室

注：逾期未到达指定地点的，采购人不予受理。

五、评审方法：综合评分法。

六、项目联系方式

1、采购单位：济南市济阳区中医医院

2、联系人：任传路

3、联系方式：15966686838

4、地址：济南市济阳区纬二路112号

发布公告日期：2023年10月24日