周口市中醫院2025年網絡安全等級保護測評項目采購公告
周口市中醫院2025年網絡安全等級保護測評項目,將采用院內談判方式進行,歡迎符合條件的供應商前來參加。
一、項目基本情況
1.項目名稱:周口市中醫院2025年網絡安全等級保護測評項目
2.項目編號:20260003
3.采購方式:院內談判
4.預算金額:24.8萬元
5.采購需求(詳見談判文件,報名時領取)
6.質量要求:符合國家及行業相關規范和標準
7.服務要求:1年
二、申請人資格要求
1.具有獨立法人資格及有效的企業法人營業執照(三證合一)。
2.具有履行合同的能力和良好地履行合同記錄及商業信譽。
3.具有健全的財務會計制度和良好的財務狀況。
4.遵守國家和行業的有關法律法規和條例,近三年內無違法記錄,具有依法繳納稅款和社會保障資金的良好記錄。
5.具有公安部第三研究所頒發的《網絡安全服務認證證書&等級保護測評服務認證證書》且可在中國網絡安全等級保護網查詢截圖。
6.項目負責人需具有網絡安全等級測評師高級證書及INSPC信息網絡安全專業人員認證證書(網絡安全項目管理員方向),提供資格證書(或證書查詢截圖)和人員社保繳納證明。
7.單位負責人為同一人或者存在直接控股、管理關系的不同供應商,不得參加同一合同項下的投標。
8.符合法律、行政法規規定的其他條件。
9.本項目不接受聯合體采購,不允許轉包和分包。
三、報名材料
1.獨立法人資格及有效的企業法人營業執照(三證合一)。
2.法人授權書及法人、被授權人(須為本公司人員,需提供勞動合同)身份證復印件。
3.“信用中國”網站(www.creditchina.gov.cn)的“失信被執行人”“重大稅收違法失信主體”“政府采購嚴重違法行為記錄名單”和“中國政府采購”網站(www.ccgp.gov.cn)的“政府采購嚴重違法失信行為記錄名單”(查詢日期為公告發布之日起至報名截止之日止)。
4具有公安部第三研究所頒發的《網絡安全服務認證證書&等級保護測評服務認證證書》且可在中國網絡安全等級保護網查詢截圖。
5.項目負責人需具有網絡安全等級測評師高級證書及INSPC信息網絡安全專業人員認證證書(網絡安全項目管理員方向),提供資格證書(或證書查詢截圖)和人員社保繳納證明。
6.報名登記表:請從附件中下載。
注:以上資料缺一不可,提交時原件(加蓋公章)掃描件。
四、保證金
無需繳納保證金。
五、報名時間及地點
1.報名時間:2026年2月26日—2026年3月3日(上午8:30—11:30下午15:00—17:00,節假日除外)
2.報名地點:周口市中醫院行政樓(6號樓)三樓招標辦
聯系人:徐老師電話:0394-8282792
3.報名方式:現場報名
六、具體談判時間及地點:另行通知
七、發布公告媒體
1.本次采購公告僅在《周口市中醫院官網》上發布,其他網站轉載采購人不承擔任何責任。
2.項目公告時間:2026年2月26日—2026年3月3日(上午8:30—11:30下午15:00—17:00,節假日除外)
八、項目服務內容及要求
1.項目背景
為認真貫徹和落實《中華人民共和國網絡安全法》、《貫徹落實網絡安全等級保護制度和關鍵信息基礎設施安全保護制度的指導意見》公安網[2020]1960、《中華人民共和國數據安全法》、《河南省衛生健康委關于落實網絡安全等級保護制度完善行業網絡安全綜合防控體系的意見》(豫衛信息[2022]1號)等文件要求,切實提高周口市中醫院信息系統安全保護能力和信息安全管理水平,我院擇優選取具有級測評資質的第三方安全等級測評公司,按照國家相關要求開展信息安全等級保護測評,依據信息安全技術網絡安全等級保護實施指南【GB/T 25058-2019】、信息安全技術網絡安全等級保護定級指南【GB/T 22240-2020】、信息安全技術網絡安全等級保護基本要求【GB/T 22239-2019】等相關文件要求,對本單位系統進行全面的安全等級測評并協助完成整改工作,為全面提升周口市中醫院信息系統的安全保障能力和防護水平
2.項目服務范圍
本次安全等級測評項目涉及以下信息系統:
序號 | 信息系統名稱 | 測評內容描述 | 系統擬定級別 |
1 | HIS系統 | 涉及的系統軟硬件、網絡、邊界安全防護、計算環境、管理制度等 | 第三級 |
2 | LIS輸血系統 | 第三級 | |
3 | PACS系統 | 第三級 | |
4 | EMR系統 | 第三級 | |
5 | 集成平臺 | 第三級 | |
6 | 手術麻醉系統 | 第三級 | |
7 | 重癥管理系統 | 第三級 | |
8 | 體檢管理系統 | 第三級 | |
9 | 網絡心電系統 | 第三級 | |
10 | 互聯網醫院系統 | 第三級 | |
11 | 綜合預約 | 第二級 | |
12 | 護理管理及移動護理系統 | 第二級 | |
13 | 康復管理系統 | 第二級 | |
14 | 無紙化歸檔系統 | 第二級 | |
15 | 移動醫師查房系統 | 第二級 | |
16 | 自助服務系統 | 第二級 | |
17 | 血透系統 | 第二級 | |
18 | 智慧藥房系統 | 第二級 | |
19 | 消毒供應系統 | 第二級 | |
20 | 醫務系統 | 第二級 | |
21 | 病案系統 | 第二級 | |
22 | 煎藥系統 | 第二級 |
對招標的信息系統按照等級保護級別2.0標準,進行網絡安全等級保護測評,發現可能存在的問題,并提出可行性整改方案,出具公安部門認定的測評報告,協助完成備案工作。
3.項目整體要求
對采購清單信息系統按照等級保護最新標準進行安全測評工作,發現可能存在的問題,并提出可行性整改方案,出具公安部門認定的網絡安全保護等級測評報告,協助醫院完成整改方案中的整改,以達到等級保護相關文件的要求,確保完成信息系統安全保護等級備案工作,并按單位要求在公安部門取得備案證明。
3.1在安全等級測評過程中,每個工作階段、流程、內容及成果交付嚴格遵循《信息安全技術 網絡安全等級保護測評要求》(GB/T28448-2019)和《信息安全技術 網絡安全等級保護測評過程指南》(GB/T28449-2018)文件的要求,根據本項目信息系統情況協助完成信息系統定級備案工作,并開展相應級別的安全等級測評工作,測評結果需得到招標人的確認,測評報告的編制嚴格遵照《網絡安全等級保護測評報告》(最新模版)。
3.2針對測評中不足提出改進建議并協助我單位進行改進以達到相關標準要求。不得非授權占有、使用我單位測評相關資料及數據文件。
3.3實施人員要求:符合《網絡安全等級保護測評機構管理辦法》對測評機構和測評人員的要求,由公安部信息安全等級保護評估中心或中關村信息安全測評聯盟頒發的信息安全等級測評師證書。
4.需遵循的政策法規及規范
? 《中華人民共和國網絡安全法》
?《信息安全等級保護管理辦法》(公通字[2007]43號);
?《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429號);
?《網絡安全等級保護實施指南》(GB/T 25058-2020);
?《網絡安全等級保護定級指南》(GB/T 22240-2020);
?《網絡安全等級保護基本要求》(GB/T 22239-2019);
?《網絡安全等級保護設計技術要求》(GB/T 25070-2019);
?《網絡安全等級保護測評要求》(GB/T28448-2019);
?《網絡安全等級保護測評過程指南》(GB/T28449-2018);
? 《衛生部辦公廳關于全面開展衛生行業信息安全等級保護工作的通知》;
? 《衛生部關于衛生行業信息安全等級保護工作的指導意見》;
? 《河南省醫院信息化建設指南》;
? 《河南省衛生健康委關于落實網絡安全等級保護制度完善行業網絡安全綜合防控體系的意見》(豫衛信息[2022]1號)。
包括但不限于以上法律規范。
5.項目實施內容要求
5.1測評內容
測評內容主要包括兩個方面:一是單元測評,測評指標與GB/T2239-2019相應等級的基本要求完全一致;二是系統整體測評,主要測評分析信息系統的整體安全性。
單元測評包括安全技術測評和安全管理測評兩大部分,其中安全技術測評層面主要包含:安全物理環境、安全通信網絡、安全區域邊界、安全計算環境、安全管理中心。安全管理測評層面主要包含:安全管理制度、安全管理人員、安全管理機構、安全建設管理、安全運維管理。
整體測評在單元測評的基礎上進行進一步測評分析,在內容上主要包括安全控制間、層面間和區域間相互作用的安全測評以及系統結構的安全測評等。
(1)安全物理環境
主要包含物理位置選擇、物理訪問控制、防盜竊和防破壞、防雷擊、防火、防水和防潮、防靜電、溫濕度控制、電力供應、電磁防護10個方面的內容。
(2)安全通信網絡
主要包含網絡架構、通信傳輸、可信驗證3方面的內容。
(3)安全區域邊界
主要包含邊界防護、訪問控制、入侵防范、惡意代碼和垃圾郵件防范、安全審計、可信驗證等6個方面的內容。
(4)安全計算環境
主要包含身份鑒別、訪問控制、安全審計、入侵防范、惡意代碼防范、可信驗證、數據完整性、數據保密性、數據備份恢復、剩余信息保護、個人信息保護11方面的內容。
(5)安全管理中心
主要包含系統管理、審計管理、安全管理、集中管控4個方面的內容。
(6)安全管理制度
安全管理制度測評主要涉及安全策略、管理制度、制定和發布、評審和修訂4個方面的安全保護能力。
(7)安全管理人員
主要包含人員錄用、人員離崗、安全意識教育和培訓、外部人員訪問管理4個方面的內容。
(8)安全管理機構
主要包含崗位設置、人員配備、授權和審批、溝通和合作、審核和檢查5個方面的內容。
(9)安全建設管理
主要包含定級和備案、安全方案設計、產品采購和使用、自行軟件開發、外包軟件開發、工程實施、測試驗收、系統交付、等級測評、服務供應商選擇10個方面的內容。
(10)安全運維管理
主要包含環境管理、資產管理、介質管理、設備維護管理、漏洞和風險管理、網絡和系統安全管理、惡意代碼防范管理、配置管理、密碼管理、變更管理、備份與恢復管理、安全事件處置、應急預案管理、外包運維管理14個方面的內容。
系統整體測評涉及到信息系統的整體拓撲、局部結構,也關系到信息系統的具體安全功能實現和安全控制配置,與特定信息系統的實際情況緊密相關,內容復雜且充滿系統個性。因此,全面地給出系統整體測評要求的完整內容、具體實施方法和明確的結果判定方法是很困難的。測評人員應根據特定信息系統的具體情況,結合本標準要求,確定系統整體測評的具體內容,在安全控制測評的基礎上,重點考慮安全控制間、層面間以及區域間的相互關聯關系,測評安全控制間、層面間和區域間是否存在安全功能上的增強、補充和削弱作用以及信息系統整體結構安全性、不同信息系統之間整體安全性等。
5.2項目交付成果
項目階段各階段的測評過程文檔(參照《信息安全技術信息系統安全等級保護測評過程指南》)編制。詳見下表(包括但不限于)
項目階段 | 交付成果 |
測評準備活動 | 項目計劃書 被測系統基本情況調查表 |
方案編制活動 | 測評指導書 信息系統安全測評方案 |
現場測評活動 | 測評結果記錄 測評中發現的問題匯總 |
分析與報告編制活動 | 單項測評結果匯總分析 整體測評結果匯總分析 風險分析和評估 等級測評結論 網絡安全等級測評報告 |
6.安全服務
在一年服務期內,提供以下網絡安全服務:
6.1服務期(一年)內提供1次漏洞掃描服務。
6.2服務期(一年)內提供1次網絡安全培訓。
6.3服務期(一年)內提供至少1次網絡安全檢查支撐。
6.4根據甲方要求,服務器(一年)內提供一次重點保障服務。
7.整改建議要求
依據信息系統安全等級測評的相關報告,編制并提交相關的信息安全整改建議方案,并全程協助完成整改工作。
1)具體要求
依照《信息安全等級保護安全建設整改工作指導意見》(公信安[2009]1429號),嚴格遵循《信息安全等級保護安全建設整改工作指南》、《信息安全技術 網絡安全等級保護安全設計技術要求》(GB/T 25070-2019)各項要求,在系統測評工作的基礎上,對信息系統總體信息安全管理和技術方面現狀進行全面的分析,制訂信息安全等級保護安全建設整改方案,方案內容包含但不限于:信息安全背景、政策與技術標準依據、當前風險分析、安全需求分析、總體安全策略、安全建設整改技術方案設計、安全建設整改管理體系設計、信息系統安全產品選型及技術指標建議、安全建設整改項目實施計劃、項目預算,整改后可能存在的其他問題。
2)工作過程文件及項目交付成果(包括但不限于)
安全等級測評整改技術方案,方案可根據整改和規劃內容的重要性和復雜程度采用分冊方式編寫。
8.項目成果
8.1《網絡安全等級測評報告》
8.2《網絡安全等級測評整改建議》
9.項目工期
自合同簽訂之日起,30個工作日內(如需整改,不包含整改時間),完成測評工作。
附件:報名登記表
/Public/Uploads/file/20260226/20260226102026_61243.doc
周口市中醫院招標辦
2026年2月26日
