犍为县中医医院

关于***年信息系统网络安全三级保护制度

测评 询价征集公告

一、 项目说明

为认真 做好我院重要信息系统网络安全三级保护制度测评，提高信息安全保障能力和水平，现公开征集***年信息系统网络安全三级保护制度测评的 询价信息 。欢迎符合条件的供应商积极参与。

二、测评要求

（一）测评原则

方案设计与实施应满足以下原则：

符合性原则：应符合国家网络安全等级保护制度及相关法律法规，指出防范的方针和保护的原则。

标准性原则：方案设计、实施与网络安全体系的构建应依据国内、国际的相关标准进行。

规范性原则：项目实施应由专业的等级测评师依照规范的操作流程进行，在实施之前将详细量化出每项测评内容，对操作过程和结果提供规范的记录，以便于项目的跟踪和控制。

可控性原则：项目实施的方法和过程要在双方认可的范围之内，实施进度要按照进度表进度的安排，保证项目实施的可控性。

整体性原则：安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患。

最小影响原则：项目实施工作应尽可能小的影响网络和信息系统的正常运行，不能对信息系统的运行和业务的正常提供产生显著影响。

保密原则：对项目实施过程获得的数据和结果严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据和结果进行任何侵害测评委托单位利益的行为。

（二）测评依据

信息系统等级测评依据《网络安全等级保护基本要求》、《网络安全等级保护测评要求》，在对信息系统进行安全技术和安全管理的安全控制测评及系统整体测评结果基础上，针对相应等级的信息系统遵循的标准进行综合系统测评，提出相应的系统安全整改建议。

主要参考标准如下：

《中华人民共和国网络安全法》；

GB***：《计算机信息系统安全保护等级划分准则》；

GB/T ***：《信息安全技术 网络安全等级保护测评过程指南》；

GB/T ***：《信息安全技术 网络安全等级保护测试评估技术指南》；

GB/T ***：《信息安全技术 网络安全等级保护基本要求》；

GB/T ***：《信息安全技术 网络安全等级保护实施指南》；

GB/T ***：《信息安全技术 网络安全等级保护安全设计技术要求》；

GB/T ***：《信息安全技术 网络安全等级保护测评要求》；

GB/T ***：《信息安全技术 网络安全等级保护定级指南》；

GB/T ***：《信息安全技术信息安全风险评估方法》。

（三）测评实施内容

1、测评 对象

序号	系统名称	安全等级
1	HIS系统	三级
2	LIS系统	三级
3	EMR系统	三级
4	PACS系统	三级

2 、测评内容

根据《GB/T *** 信息安全技术 网络安全等级保护基本要求》和《GB/T *** 信息安全技术 网络安全等级保护测评要求》等相关文件及标准要求，对业务信息系统开展测评服务，测评内容包括但不限于以下内容：

安全测评通用要求

（1）安全物理环境测评：包含物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等 内容 。

（2）安全通信网络测评应包含：网络架构、通信传输、可信验证等 内容 。

（3）安全区域边界测评应包含：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等 内容 。

（4）安全计算环境测评应包含：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等 内容 。

（5）安全管理中心测评应包含：系统管理、审计管理、安全管理、集中管控等 内容 。

（6）安全管理制度测评应包含：安全策略、管理制度、制定与发布、评审和修订等 内容 。

（7）安全管理机构测评应包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等 内容 。

（8)安全管理人员测评应包含：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等 内容 。

(9 )安全建设管理测评应包含：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商的选择等 内容 。

(***)安全运维管理测评应包含：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理等 内容 。

云计算安全扩展要求 ：

（1）安全物理环境测评应包含：基础设施位置等 内容 。

（2）安全通信网络测评应包含：网络架构等 内容 。

（3）安全区域边界测评应包含：访问控制、入侵防范、安全审计等 内容 。

（4）安全计算环境测评应包含：访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护等 内容 。

（5）安全建设管理测评应包含：云服务商选择、供应链管理等 内容 。

（6）安全运维管理测评应包含：云计算环境管理等 内容 。

移动互联安全扩展要求

（1）安全物理环境测评应包含：无线接入点的物理配置等 内容 。

（2）安全区域边界测评应包含：边界防护、访问控制、入侵防范等 内容 。

（3）安全计算环境测评应包含：移动应用管理等 内容 。

（4）安全建设管理测评应包含：移动应用软件采购、移动应用软件开发等 内容 。

三、报名需提供资料

（一）提供有效的企业法人营业执照副本、税务登记证、组织机构代码证副本复印件，若供应商已办理三证合一的，则只需提供有效的三证合一证书。（注：①在有效期内；②具有独立法人资格；③复印件加盖公章。）

（二）参加本次采购活动前三年内，在经营活动中没有重大违法记录。（可提供承诺函，格式自拟） （三）公司法人授权委托书原件及法人和代表的身份证复印件。 （四）具有独立承担民事责任的能力，具有履行合同所必需的设备和专业技术能力。 （五）测评系统报价清单。

四、报名文件要求

请有意向且符合条件的供应商，在报名时间内将报名条件所需的资料密封包装后并在封口处加盖单位公章。报名资料交到犍为县中医医院内科大楼6楼信息科。在截止时间前送达报名地点，逾期送达的报名文件以及不符合要求的报名文件不予接受。

五、报名时间

报名日期： ***年*** 月 3 日--***年*** 月 7 日，上午 8:*** 到***点，下午***:***到*** :***。

六、其他

联系人及联系方式： 联系人：代老师 联系电话：***（四川省乐山市犍为县圣泉路***号，内科大楼6楼信息科） 犍为县中医医院 ***年***月3日