周口市中医院2025年网络安全等级保护测评项目采购公告
周口市中医院2025年网络安全等级保护测评项目,将采用院内谈判方式进行,欢迎符合条件的供应商前来参加。
一、项目基本情况
1.项目名称:周口市中医院2025年网络安全等级保护测评项目
2.项目编号:20260003
3.采购方式:院内谈判
4.预算金额:24.8万元
5.采购需求(详见谈判文件,报名时领取)
6.质量要求:符合国家及行业相关规范和标准
7.服务要求:1年
二、申请人资格要求
1.具有独立法人资格及有效的企业法人营业执照(三证合一)。
2.具有履行合同的能力和良好地履行合同记录及商业信誉。
3.具有健全的财务会计制度和良好的财务状况。
4.遵守国家和行业的有关法律法规和条例,近三年内无违法记录,具有依法缴纳税款和社会保障资金的良好记录。
5.具有公安部第三研究所颁发的《网络安全服务认证证书&等级保护测评服务认证证书》且可在中国网络安全等级保护网查询截图。
6.项目负责人需具有网络安全等级测评师高级证书及INSPC信息网络安全专业人员认证证书(网络安全项目管理员方向),提供资格证书(或证书查询截图)和人员社保缴纳证明。
7.单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的投标。
8.符合法律、行政法规规定的其他条件。
9.本项目不接受联合体采购,不允许转包和分包。
三、报名材料
1.独立法人资格及有效的企业法人营业执照(三证合一)。
2.法人授权书及法人、被授权人(须为本公司人员,需提供劳动合同)身份证复印件。
3.“信用中国”网站(www.creditchina.gov.cn)的“失信被执行人”“重大税收违法失信主体”“政府采购严重违法行为记录名单”和“中国政府采购”网站(www.ccgp.gov.cn)的“政府采购严重违法失信行为记录名单”(查询日期为公告发布之日起至报名截止之日止)。
4具有公安部第三研究所颁发的《网络安全服务认证证书&等级保护测评服务认证证书》且可在中国网络安全等级保护网查询截图。
5.项目负责人需具有网络安全等级测评师高级证书及INSPC信息网络安全专业人员认证证书(网络安全项目管理员方向),提供资格证书(或证书查询截图)和人员社保缴纳证明。
6.报名登记表:请从附件中下载。
注:以上资料缺一不可,提交时原件(加盖公章)扫描件。
四、保证金
无需缴纳保证金。
五、报名时间及地点
1.报名时间:2026年2月26日—2026年3月3日(上午8:30—11:30下午15:00—17:00,节假日除外)
2.报名地点:周口市中医院行政楼(6号楼)三楼招标办
联系人:徐老师电话:0394-8282792
3.报名方式:现场报名
六、具体谈判时间及地点:另行通知
七、发布公告媒体
1.本次采购公告仅在《周口市中医院官网》上发布,其他网站转载采购人不承担任何责任。
2.项目公告时间:2026年2月26日—2026年3月3日(上午8:30—11:30下午15:00—17:00,节假日除外)
八、项目服务内容及要求
1.项目背景
为认真贯彻和落实《中华人民共和国网络安全法》、《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》公安网[2020]1960、《中华人民共和国数据安全法》、《河南省卫生健康委关于落实网络安全等级保护制度完善行业网络安全综合防控体系的意见》(豫卫信息[2022]1号)等文件要求,切实提高周口市中医院信息系统安全保护能力和信息安全管理水平,我院择优选取具有级测评资质的第三方安全等级测评公司,按照国家相关要求开展信息安全等级保护测评,依据信息安全技术网络安全等级保护实施指南【GB/T 25058-2019】、信息安全技术网络安全等级保护定级指南【GB/T 22240-2020】、信息安全技术网络安全等级保护基本要求【GB/T 22239-2019】等相关文件要求,对本单位系统进行全面的安全等级测评并协助完成整改工作,为全面提升周口市中医院信息系统的安全保障能力和防护水平
2.项目服务范围
本次安全等级测评项目涉及以下信息系统:
序号 | 信息系统名称 | 测评内容描述 | 系统拟定级别 |
1 | HIS系统 | 涉及的系统软硬件、网络、边界安全防护、计算环境、管理制度等 | 第三级 |
2 | LIS输血系统 | 第三级 | |
3 | PACS系统 | 第三级 | |
4 | EMR系统 | 第三级 | |
5 | 集成平台 | 第三级 | |
6 | 手术麻醉系统 | 第三级 | |
7 | 重症管理系统 | 第三级 | |
8 | 体检管理系统 | 第三级 | |
9 | 网络心电系统 | 第三级 | |
10 | 互联网医院系统 | 第三级 | |
11 | 综合预约 | 第二级 | |
12 | 护理管理及移动护理系统 | 第二级 | |
13 | 康复管理系统 | 第二级 | |
14 | 无纸化归档系统 | 第二级 | |
15 | 移动医师查房系统 | 第二级 | |
16 | 自助服务系统 | 第二级 | |
17 | 血透系统 | 第二级 | |
18 | 智慧药房系统 | 第二级 | |
19 | 消毒供应系统 | 第二级 | |
20 | 医务系统 | 第二级 | |
21 | 病案系统 | 第二级 | |
22 | 煎药系统 | 第二级 |
对招标的信息系统按照等级保护级别2.0标准,进行网络安全等级保护测评,发现可能存在的问题,并提出可行性整改方案,出具公安部门认定的测评报告,协助完成备案工作。
3.项目整体要求
对采购清单信息系统按照等级保护最新标准进行安全测评工作,发现可能存在的问题,并提出可行性整改方案,出具公安部门认定的网络安全保护等级测评报告,协助医院完成整改方案中的整改,以达到等级保护相关文件的要求,确保完成信息系统安全保护等级备案工作,并按单位要求在公安部门取得备案证明。
3.1在安全等级测评过程中,每个工作阶段、流程、内容及成果交付严格遵循《信息安全技术 网络安全等级保护测评要求》(GB/T28448-2019)和《信息安全技术 网络安全等级保护测评过程指南》(GB/T28449-2018)文件的要求,根据本项目信息系统情况协助完成信息系统定级备案工作,并开展相应级别的安全等级测评工作,测评结果需得到招标人的确认,测评报告的编制严格遵照《网络安全等级保护测评报告》(最新模版)。
3.2针对测评中不足提出改进建议并协助我单位进行改进以达到相关标准要求。不得非授权占有、使用我单位测评相关资料及数据文件。
3.3实施人员要求:符合《网络安全等级保护测评机构管理办法》对测评机构和测评人员的要求,由公安部信息安全等级保护评估中心或中关村信息安全测评联盟颁发的信息安全等级测评师证书。
4.需遵循的政策法规及规范
Ø 《中华人民共和国网络安全法》
Ø《信息安全等级保护管理办法》(公通字[2007]43号);
Ø《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号);
Ø《网络安全等级保护实施指南》(GB/T 25058-2020);
Ø《网络安全等级保护定级指南》(GB/T 22240-2020);
Ø《网络安全等级保护基本要求》(GB/T 22239-2019);
Ø《网络安全等级保护设计技术要求》(GB/T 25070-2019);
Ø《网络安全等级保护测评要求》(GB/T28448-2019);
Ø《网络安全等级保护测评过程指南》(GB/T28449-2018);
Ø 《卫生部办公厅关于全面开展卫生行业信息安全等级保护工作的通知》;
Ø 《卫生部关于卫生行业信息安全等级保护工作的指导意见》;
Ø 《河南省医院信息化建设指南》;
Ø 《河南省卫生健康委关于落实网络安全等级保护制度完善行业网络安全综合防控体系的意见》(豫卫信息[2022]1号)。
包括但不限于以上法律规范。
5.项目实施内容要求
5.1测评内容
测评内容主要包括两个方面:一是单元测评,测评指标与GB/T2239-2019相应等级的基本要求完全一致;二是系统整体测评,主要测评分析信息系统的整体安全性。
单元测评包括安全技术测评和安全管理测评两大部分,其中安全技术测评层面主要包含:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。安全管理测评层面主要包含:安全管理制度、安全管理人员、安全管理机构、安全建设管理、安全运维管理。
整体测评在单元测评的基础上进行进一步测评分析,在内容上主要包括安全控制间、层面间和区域间相互作用的安全测评以及系统结构的安全测评等。
(1)安全物理环境
主要包含物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护10个方面的内容。
(2)安全通信网络
主要包含网络架构、通信传输、可信验证3方面的内容。
(3)安全区域边界
主要包含边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等6个方面的内容。
(4)安全计算环境
主要包含身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护11方面的内容。
(5)安全管理中心
主要包含系统管理、审计管理、安全管理、集中管控4个方面的内容。
(6)安全管理制度
安全管理制度测评主要涉及安全策略、管理制度、制定和发布、评审和修订4个方面的安全保护能力。
(7)安全管理人员
主要包含人员录用、人员离岗、安全意识教育和培训、外部人员访问管理4个方面的内容。
(8)安全管理机构
主要包含岗位设置、人员配备、授权和审批、沟通和合作、审核和检查5个方面的内容。
(9)安全建设管理
主要包含定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择10个方面的内容。
(10)安全运维管理
主要包含环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理14个方面的内容。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关,内容复杂且充满系统个性。因此,全面地给出系统整体测评要求的完整内容、具体实施方法和明确的结果判定方法是很困难的。测评人员应根据特定信息系统的具体情况,结合本标准要求,确定系统整体测评的具体内容,在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,测评安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性等。
5.2项目交付成果
项目阶段各阶段的测评过程文档(参照《信息安全技术信息系统安全等级保护测评过程指南》)编制。详见下表(包括但不限于)
项目阶段 | 交付成果 |
测评准备活动 | 项目计划书 被测系统基本情况调查表 |
方案编制活动 | 测评指导书 信息系统安全测评方案 |
现场测评活动 | 测评结果记录 测评中发现的问题汇总 |
分析与报告编制活动 | 单项测评结果汇总分析 整体测评结果汇总分析 风险分析和评估 等级测评结论 网络安全等级测评报告 |
6.安全服务
在一年服务期内,提供以下网络安全服务:
6.1服务期(一年)内提供1次漏洞扫描服务。
6.2服务期(一年)内提供1次网络安全培训。
6.3服务期(一年)内提供至少1次网络安全检查支撑。
6.4根据甲方要求,服务器(一年)内提供一次重点保障服务。
7.整改建议要求
依据信息系统安全等级测评的相关报告,编制并提交相关的信息安全整改建议方案,并全程协助完成整改工作。
1)具体要求
依照《信息安全等级保护安全建设整改工作指导意见》(公信安[2009]1429号),严格遵循《信息安全等级保护安全建设整改工作指南》、《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)各项要求,在系统测评工作的基础上,对信息系统总体信息安全管理和技术方面现状进行全面的分析,制订信息安全等级保护安全建设整改方案,方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分析、安全需求分析、总体安全策略、安全建设整改技术方案设计、安全建设整改管理体系设计、信息系统安全产品选型及技术指标建议、安全建设整改项目实施计划、项目预算,整改后可能存在的其他问题。
2)工作过程文件及项目交付成果(包括但不限于)
安全等级测评整改技术方案,方案可根据整改和规划内容的重要性和复杂程度采用分册方式编写。
8.项目成果
8.1《网络安全等级测评报告》
8.2《网络安全等级测评整改建议》
9.项目工期
自合同签订之日起,30个工作日内(如需整改,不包含整改时间),完成测评工作。
附件:报名登记表
/Public/Uploads/file/20260226/20260226102026_61243.doc
周口市中医院招标办
2026年2月26日
