为满足医疗临床需要，更好地为患者提供医疗服务，现对下列项目进行院内采购，欢迎符合资格条件的单位积极参与投标。

一、采购项目内容：互联网医院等级保护测评服务

二、 参数要求：

为落实《网络安全法》及相关部门法律法规和政策要求，计划对招标方的信息系统开展等级保护相关工作，依据信息安全相关法规、标准及行业管理规范，通过访谈、核查、测试、风险分析等多种方式，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面进行单元测评，并从安全控制间安全、层面间安全、区域间安全、系统结构安全等方面进行整体测评，给出初次测评结论，提出安全建设整改方案。待招标方按照安全建设整改方案完成信息系统加固后，再对信息系统进行复评，出具最终测评报告。进而提高招标方的安全意识，增强网络的安全保障能力，保证系统的正常运转，使被测系统满足我国关于等级保护相应级别的具体要求。

中标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：

《网络安全等级保护条例》（征求意见稿）

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《网络安全等级保护定级指南》（GB/T 22240-2020）

《网络安全等级保护实施指南》（GB/T 25058-2019 ）

《网络安全等级保护基本要求》（GB/T 22239-2019）

《网络安全等级保护测评要求》（GB/T 28448-2019）

《网络安全等级保护设计技术要求》（GB/T 25070-2019 ）

《网络安全等级保护测评过程指南》（GB/T 28449-2018）

《信息技术安全技术信息安全管理体系要求》（GB/T 22080-2016）

《信息安全技术信息系统安全管理要求》（GB/T 20269-2006）

《信息系统安全工程管理要求》（GB/T 20282-2006）

《信息安全技术信息安全风险评估规范》（GB/T 20984-2022）

测评内容

（1）信息系统备案

协助招标方，按照《信息安全等级保护备案实施细则》（公信安[2007]1360号）文件要求，完成定级、备案材料的整理及在公安机关相关部门备案工作。

（2）初次测评

检查被测系统现状，参照《网络安全等级保护基本要求》（GB/T 22239-2019）从安全物理环境、安全通信网络、安全你区域边界、安全计算环境、安全管理中心和安全管理等层面对系统进行初次安全评估，通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，形成差距分析；基于差距提出安全整改建议，以指导后续安全整改工作。

该阶段的测评内容包括：

安全物理环境测评：包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。

安全通信网络测评：包括网络架构、通信传输、可信验证等内容。

安全区域边界测评：包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等内容。

安全计算环境测评：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

安全管理中心测评：系统管理、审计管理、安全管理、集中管控等内容。

安全管理制度测评：涵盖安全策略、管理制度、制定和发布、评审和修订。安全管理机构测评：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

安全管理人员测评：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

安全建设管理测评：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。

安全运维管理测评：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。

（3）信息系统等保整改方案及建议

协助招标方按照《信息安全等级保护管理办法》（公通字[2007]43号）、《关于开展信息系统等级保护安全建设整改工作的指导意见》（公信安[2009]1429号）等有关管理规范和技术标准，制定安全管理制度、落实安全责任，建设安全技术设施，落实安全技术措施。

通过安全建设整改，确保信息系统通过相应级别的安全等级评测。

（4）二次测评

此阶段是等级测评完整实施阶段，通过对整改后的系统进行分析和梳理，再次实施等级测评，记录访谈核查结果，进行综合分析，梳理安全风险，提出安全整改建议，测评结束后，按照《信息系统安全等级测评报告模版（试行）》（公信安[2009]1487）编写等级测评报告。

测评对象

本系统测评的测评范围及对象包括以下几类：

（1）主机房（包括其环境、设备和设施等）和部分辅机房，应将放置了服务于信息系统的局部（包括整体）或对信息系统的局部（包括整体）安全性起重要作用的设备、设施的辅机房选取作为测评对象；

（2）办公场地：招标方核心机房、各分校区机房；

（3）整个系统的网络拓扑结构；

（4）安全设备，包括防火墙、入侵检测设备和防病毒网关等；

（5）边界网络设（可能会包含安全设备），包括路由器、防火墙、认证网关和边界接入设备（如楼层交换机）等；

（6）对整个信息系统或其局部的安全性起作用的网络互联设备，如核心交换机、汇聚层交换机、路由器等；

（7）存储被测系统重要数据的介质的存放环境；

（8）承载被测系统主要业务或数据的服务器（包括其操作系统和数据库）；

（9）管理终端和主要业务应用系统终端；

（10）对新建信息系统及关联信息系统；

（11）业务备份系统；

（12）管理方面：信息安全主管人员、各方面的负责人员、具体负责安全管理的当事人、业务负责人；

（13）产品方面：信息系统使用、运行的第三方软件产品；

文章推荐：

【清远区域防火墙许可证授权维保服务】询比采购公告

【检修部汽机专业板式冷却器组件紧急采购】询比采购公告

【检修部汽机专业高中压缸垫圈及低压缸螺栓螺母紧急采购】询比采购公告

【1机1a汽泵出口再循环调门维修等采购】询比采购公告