当前位置:
点击登录查看信息系统网络三级安全等级保护
测评服务项目竞争性谈判公告
根据《中华人民共和国网络安全法》《关键信息基础设施安全保护条例》《中华人民共和国计算机信息系统安全保护条例》《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019)等相关法律法规要求,结合医院基本情况开展医院信息系统网络三级安全等级保护测评服务,核心是验证医院信息系统是否达到三级安全保护能力,采购方式为竞争性谈判采购,现诚邀信誉良好,具备履约能力及相关资质的机构参加谈判。
一、 项目名称:点击登录查看信息系统网络三级安全等级保护测评服务项目
二、 项目预算及采购方式:
(一)采购预算:本项目采购预算上限为130000.00元(人民币拾叁万整),采购人不再额外支付任何费用。
(二)采购方式:竞争性谈判。
三、 采购需求及参数要求:
严格依据《信息安全技术网络安全等级保护测评要求》(GB/T 28448-2019),并结合医院基本情况开展,核心是验证医院信息系统是否达到三级安全保护能力。其服务内容可分为前期准备、现场测评、报告编制与整改协助三大阶段,各阶段具体内容如下:
(一)测评前期准备:明确范围与基线
此阶段核心是“摸清医院信息系统家底”为后续测评制定针对性方案,避免遗漏关键系统或环节。
1.需求与范围确认
与医院信息科、医务科、质控科等部门对接,明确需测评的信息系统范围:HIS、LIS、PACS、电子病历系统、医共体信息平台;基础网络:内网、外网、DMZ 区等。排除与核心业务无关的非测评资产。
2.资产与架构梳理
协助医院完成“资产清单”编制:包括服务器(物理机/虚拟机)、网络设备(路由器、交换机、防火墙)、安全设备(IDS/IPS、WAF、堡垒机)、终端(医生工作站、护士站电脑)、存储设备(医疗数据存储服务器)等,标注资产型号、IP 地址、所属系统、责任人。
绘制网络拓扑图:明确内网(诊疗业务区)、外网(互联网访问区)、DMZ 区的隔离逻辑,以及关键设备的部署位置(如防火墙是否部署在内外网边界)。
3.测评方案制定
依据三级等保要求,结合医院实际情况,制定测评方案,明确:
测评目标:验证安全控制措施有效性、识别风险点。
测评方法:访谈、文档审查、配置检查、漏洞扫描、渗透测试等。
时间计划:现场测评周期、各系统测评顺序。
人员分工:测评工程师对接医院各部门的责任人。
(二)现场测评:核心环节,全维度验证
围绕三级等保要求的10 个安全维度展开,结合医院业务场景验证 “技术安全”与“管理安全”是否达标,重点关注医疗数据安全与业务连续性。
1.技术安全测评:保障系统 “硬防护”
技术安全是信息系统的 “防火墙”,需覆盖物理、网络、主机、应用、数据 5 个层面,每个层面均需结合医院特性设计测评点:
| 测评维度 | 核心测评内容 |
| 物理环境安全 | 机房安全:医院机房的门禁控制、视频监控、消防设施、温湿度控制(温度 18-27℃,湿度 40%-60%)、防盗窃/防破坏措施(机房门窗加固)。 办公环境安全:医生工作站、护士站终端是否设置开机密码,移动存储设备(U盘)使用是否管控(如禁止非授权U盘接入)。 |
| 网络安全 | 边界防护:内外网边界是否部署防火墙,是否配置访问控制策略;DMZ区是否与内网逻辑隔离,是否部署 WAF 防护 Web 攻击。 网络分区:是否按“诊疗业务区、管理办公区、互联网访问区” 划分VLAN,防止某一区被入侵后扩散风险。 远程访问安全:医生远程会诊、运维人员远程管理是否通过 VPN 加密,是否采用双因素认证(如密码 + Ukey)。 流量监控:是否部署 IDS/IPS,能否检测并阻断异常流量(如 SQL 注入、勒索病毒攻击流量),日志是否留存≥6 个月。 |
| 主机安全 | 服务器加固:服务器是否关闭无用端口(如 135、445 端口,防止勒索病毒利用),是否安装杀毒软件并定期更新病毒库,操作系统(如 Windows Server、Linux)是否及时打安全补丁。 访问控制:服务器是否启用身份认证(如 Windows 域控),是否按 “最小权限原则” 分配账号(如护士账号仅能查看 / 录入本科室患者病历,无法修改医生诊断)。 主机日志:服务器登录日志、操作日志是否留存≥6个月,能否追溯异常操作(如某账号登录EMR 服务器修改病历)。 |
| 应用安全 | 漏洞检测:对Web 应用进行漏洞扫描(如 SQL 注入、XSS 跨站脚本、文件上传漏洞),对移动医疗 APP(如患者端挂号APP)检测数据传输是否加密(如HTTPS)。 认证授权:应用系统是否采用强密码策略(如 8 位以上字母 + 数字 + 特殊符号),是否启用会话超时(如医生离开工作站15分钟自动登出),是否禁止 “一人多账号”“账号共享”(如医生账号不可借给实习医生使用)。 应用日志:应用系统的操作日志(如挂号、缴费、修改病历)是否完整,能否关联到具体用户,日志留存≥6 个月。 |
| 数据安全与备份恢复 | 数据分类分级:是否对医疗数据分类(如患者基本信息、诊疗记录、检验结果),并标注敏感级别(如患者身份证号、病历属于 “高敏感数据”)。 数据加密:高敏感数据(如 EMR、患者身份证号)是否加密存储(如数据库加密、文件加密),数据传输(如 HIS 与医保系统对接)是否采用加密协议(如 SSL/TLS)。 访问控制:是否限制敏感数据的访问权限(如仅主治医生可查看自己分管患者的完整病历,实习医生仅能查看脱敏病历),是否有访问审计(如谁查看了某患者病历、查看时间)。 备份恢复: ①备份策略:核心数据(如 EMR、HIS 业务数据)是否按 “每日增量备份 + 每周全量备份” 执行; ②异地备份:是否建立异地灾备,防止本地机房损毁导致数据丢失; ③恢复演练:近1年内是否开展过备份恢复演练,恢复成功率是否≥99%,恢复时间(RTO)是否≤4小时(符合三级等保对“重要业务” 的要求)。 |
2.管理安全测评:完善制度 “软保障”
管理安全是技术安全的支撑,需覆盖制度、机构、人员、建设、运维5个层面,避免“技术达标但管理漏洞导致风险”。
| 测评维度 | 核心测评内容 |
| 安全管理制度 | 是否制定覆盖 “网络、主机、应用、数据、人员” 的安全管理制度。 制度是否更新:是否根据新法规或系统变更及时修订制度,近1年内是否有修订记录。 制度落地:是否对员工开展制度培训(如每年至少 1 次安全培训),是否有培训签到记录、考核记录。 |
| 安全管理机构 | 是否成立专门的安全管理部门,明确负责人(如信息科主任为第一责任人),是否配备专职安全管理员。 是否建立跨部门协作机制。 |
| 人员安全管理 | 人员录用:是否对新入职的信息科人员、医生开展背景审查,是否签订《保密协议》。 人员培训:是否定期开展安全培训(如每年2 次,内容包括勒索病毒防范、患者数据保密、账号安全),是否有培训考核记录(如考核通过率≥90%)。 人员离职:是否有离职流程(如注销账号、回收 Ukey、删除工作电脑中的敏感数据)。 |
| 系统建设管理 | 需求分析:新建系统是否在需求阶段加入安全要求(如数据加密、访问控制)。 供应商管理:是否对系统供应商(如 HIS 厂商)进行安全资质审查(如是否具备等保测评资质),是否在合同中明确供应商的安全责任(如系统漏洞修复义务)。 验收测试:系统上线前是否开展安全验收(如漏洞扫描、渗透测试),未通过验收是否禁止上线。 |
| 系统运维管理 | 日常运维:是否制定运维流程(如服务器巡检记录、漏洞修复流程),近3个月内是否有巡检记录(如每日检查服务器运行状态、每周检查备份情况)。 应急响应:是否制定《网络安全事件应急预案》(如勒索病毒攻击、系统宕机、数据泄露的处置流程),近1年内是否开展过应急演练,是否有演练报告(明确演练效果与改进点)。 第三方运维:是否委托第三方公司进行运维(如机房运维),是否签订《安全保密协议》,是否对第三方操作进行审计(如通过堡垒机记录操作日志)。 |
(三)报告编制与整改协助:闭环管理
现场测评结束后,需形成正式测评报告,并协助医院整改风险点,确保最终达到三级等保要求。
1.测评报告编制
报告需包含:医院信息系统概况、测评范围与方法、各维度测评结果(“符合项” 与 “不符合项” 清单)、风险等级评估、整改建议(明确整改措施、责任部门、完成时限)。
报告需符合等保监管要求,加盖测评机构公章,作为医院向当地公安网安部门备案的核心材料。
2.整改协助与验证
针对 “不符合项”,协助医院制定整改方案(如“服务器未打补丁” 建议联系厂商获取合规补丁并测试后安装;“无异地备份” 建议部署云灾备服务)。
整改完成后,开展 “整改验证”(如重新扫描漏洞、检查备份恢复流程),确认不符合项已解决,最终出具《整改验证报告》,确保医院信息系统达到三级等保防护能力。
四、供应商资格和服务要求
(一) 符合《中华人民共和国政府采购法》第二十二条的规定(提供书面承诺函):
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必需的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
(二)具有独立承担民事责任的能力,具备有效的营业执照,必须具备履行合同所必需的设备和专业技术能力。
(三)服务时限要求:合同签订之日起至****。
(四)特殊资质要求:具备《网络安全等级测评与检测评估机构服务认证》证书,证书在有效期内。
(五)其它要求:未被列入 “信用中国” 网站失信被执行人、重大税收违法失信主体名单,未被列入政府采购严重违法失信行为记录名单。
五、 参与方式:
响应材料除响应实质性内容以外还要附:详细报价单(封面后首页);有效的营业执照;资质证书复印件、法定代表人(或负责人)身份证;法定代表人(或负责人)授权委托书;委托代理人的身份证;业绩证明材料;服务方案等所有材料加盖公章。
六、响应文件的递交及会议安排:
1.递交响应文件截止时间及开标时间:****09时00分(北京时间)。逾期或未在规定时间内到指定的会议地点提交响应文件的,我单位不予受理。
2.会议地点:点击登录查看行政办公楼5楼会议室。
3 .特别声明:报名供应商数量≥3即可进行会议。
七、评标方式
本次采购采用最低价中标法(最后报价最低的供应商为成交供应商),评审小组根据供应商资质等因素进行评审,确定中选供应商。
八、公告期限及异议反馈:
****至****上午18时00分(北京时间),共5个工作日,本次谈判公告在点击登录查看公众号发布,采购人对其它网站或媒体转载的公告及公告内容不承担任何责任。
九、联系方式
采购人:点击登录查看
地址:双江县****
联系人:点击登录查看
联系方式:****
