湛江中心人民医院关于拟采购网络安全等级保护测评服务项目信息的发布湛中心医信息科【2022】13号

一、项目背景

       为深入贯彻落实《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规和有关政策要求，依据《关于落实网络安全保护重点措施深入实施网络安全等级保护制度的指导意见》（公网安【2022】1058号），结合网络安全等级保护2.0系统国家标准，我院拟采购湛江中心人民医院网络安全等级保护测评服务项目。

二、项目需求内容

（一）需求范围

本次网络安全等级保护测评的范围拟采购的是网络安全等级保护测评服务，范围是HIS系统、电子病历系统、医院信息集成平台、LIS系统、PACS系统、互联网医院、HRP(医院综合运营管理系统)共7个三级业务系统。。

（二）需求内容

1、等级保护测评

       根据《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）标准要求，按照第三级标准要求对本次项目范围的信息系统进行等级保护测评，发现信息系统的安全保护现状，并为确立安全策略、制定安全规划、开展安全建设提供改进建议，为后续我院通过网络安全等级保护测评提供指导。等级保护测评的内容至少包括：

（1） 安全物理环境

       对被测系统的机房和办公场所的物理环境安全防护情况进行测评，包括机房物理位置选择、物理访问控制、防盗窃和防破、防雷击、防火、防水和防潮、防静电应、温湿度控制、电力供应、电磁防护等方面的安全状况。

（2） 安全通信网络

       对被测系统的通信网络安全防护情况进行测评，包括网络架构、通信传输、可信验证等方面的安全状况。

（3） 安全区域边界

       对被测系统的区域边界的安全防护情况进行测评，包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计   、可信验证等方面的安全状况。

（4） 安全计算环境

       对被测系统的计算环境的安全防护情况进行测评，包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等方面的安全状况。

（5） 安全管理中心

       对被测系统的管理中心安全保护情况进行测评，包括系统管理、审计管理。

（6） 安全管理制度

       对被测系统的安全策略、管理制度、制定和发布、评审和修订等情况进行测评。

（7） 安全管理机构

       对被测系统的岗位设置、授权和审批、沟通和合作、审核和检查等情况进行测评。

（8） 安全管理人员

       对被测系统相关内部人员的人员录用、人员离岗、安全意识教育和培训，以及外部人员访问管理等情况进行测评。

（9） 安全建设管理

       对被测系统建设过程中的系统定级和备案、安全方案设计、产品采购和使用、自主软件开发、工程实施、测试验收、系统交付、等级保护测评、服务供应商选择等情况进行测评。

（10） 安全运维管理

       对被测系统运行维护过程中的环境管理、资产管理、介质管理、设备维护管理、漏洞和风险、网络和系统安全管理、配置管理、恶意代码防范管理、密码管理、变更管理、安全事件处置、应急预案管理等、外包运维管理情况进行测评。

       等级保护测评工作完成后，对实施的信息系统进行安全等级保护分析及打分，并根据实际测评结论出具符合2.0 标准的《网络安全等级保护等级测评报告》，并协助业主方通过公安机关的报告审核。

2、源代码安全审计服务

       依据《信息安全技术 代码安全审计规范》（GB/T 39412-2020）和《软件安全开发标准》（ISO/IEC 27034）标准要求，对HIS系统、电子病历系统、医院信息集成平台、LIS系统、PACS系统、互联网医院、医院综合运营管理系统进行源代码安全审计，通过专业的源代码安全审计工具对目标源代码进行全覆盖安全审计扫描，快速定位源代码中存在的代码缺陷，判断源代码中是否存在逻辑后门漏洞，并通过人工手段逐步核查缺陷代码的真伪，并针对存在的代码缺陷提供相应的整改加固方案，最终输出源代码安全审计报告。

3、数据保密性安全排查

       参照《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》相关要求，对我院业务系统流转的数据进行保密性安全排查，对业务系统流转的数据进行登记梳理，梳理数据流转节点及保密措施，评估重要数据的保密性是否有效，并找出数据流转过程中各个流程节点存在安全隐患，并提供相应安全整改建议，工作内容包括但不仅限以下方面：

（1） 业务数据分类分级梳理；

（2） 业务数据流转方向及节点摸底排查；

（3） 建立数据流向跟踪表；

（4） 对业务数据各流程节点的保密性进行安全检查；

（5） 提供数据保密性安全整改建议。

三、报名资料及条件

（一）产品（服务）方面

1、产品（服务）内容。

2、产品（服务）报价清单。

3、法人授权委托书、法人授权书（原件加盖公章及加盖法人代表印章或签名）。

4、近期同类服务项目业绩及案例客户清单等。

5、联系人的姓名、职务、电话。

（二）企业方面                                    

1、企业营业执照、税务登记证、组织机构代码证（以上资料复印件加盖公章）（若报价人已办理三证合一，则只需提供营业执照）。

2、具有《网络安全等级测评与检测评估机构服务认证证书》。

四、有关事项

1、本信息自发布之日起5个工作日止，挂网期止后我院将根据情况通知报名单位前来推介洽谈。

2、从信息发布之日起至挂网期止，有资质的企业均可报名。报名资料上门递交或速递至“湛江中心人民医院信息科”。地址：广东省湛江市赤坎区源珠路236号。邮编：524045。电话：(工作日)0759—3157495、3157271(上午8:00-12:00，下午14:30-17:30) 联系人：欧工 13824828864

3、本次推介会要求以PPT形式进行介绍演示，内容包括：单位简况、产品（服务）方案、主要业绩、项目报价、同类项目介绍、售后服务等。

4、本次推介会并非正式采购行为，各公司所提供的相关信息仅有助于采购单位对该项目的认知。正式采购程序将依照《中华人民共和国政府采购法》以及广东省人民政府、湛江市人民政府及本单位的相关规定办理。

5、报名单位须对其所提供的资料的真实性负责，如有作假，一经发现，立即取消资格，在二年内禁止参与我单位的所有项目邀请。

湛江中心人民医院

信息科

2022年7月27日