晋江市医院（上海市第六人民医院福建医院）关于2025年度信息安全等级保护建设项目的采购意向（市场调研）公告

正文内容

　　我院拟采购信息系统服务等（详见第一点项目名称及项目基本要求），为充分了解服务*场供求价格及服务质量情况，现面向社会开展*场询价，诚邀信誉、业绩良好，创新能力、服务能力强的单位报名参与。 　　一、项目名称及项目基本要求： 　　*、项目名称：****年度信息安全等级保护建设项目 　　*、项目内容包括但不限于以下要求：具体要求详见附件一（项目内容及要求）。 　　二、报名需提供资料（严格按照以下顺序做成一份Word或PDF方案书，不符合格式要求的方案书不予接受；提交的纸质资料上必须加盖供应商公章，以证明其真实性，提交资料一式两份，资料不全者，谢绝接收）： 　　*.报名项目名称； 　　*.提供具备与项目相关的企业实力证明材料； 　　*.提供项目技术方案（需满足基本要求）、维护方案、报价方案（包含一切涉及的接口费）等； 　　*.提供****年以来承担同类型项目的二级或以上医院客户名单，提供政府采购中标通知书或省内医院的合同或发票复印件，提供用户反馈意见说明使用情况等； 　　*.报名公司资质证件（有效合格的《企业法人营业执照》副本、《税务登记证》副本或最新版加载统一社会信用代码的《营业执照》副本复印件加盖公章）； 　　*.报名人身份证复印件及个人授权书、联系方式(手机号码及电子邮箱)； 　　*.报名公司法人身份证复印件； 　　*.近三年内在经营活动中没有违法记录的书面声明或其他有效证明。 　　三、公示时间：****年*月**日-****年*月**日。 　　四、报名方式： 　　此次报名采用电子邮件报名，并提供纸质密封报价文件。报名材料于公示期内发送到***********（邮件名称格式为：公司名-报名项目名称-联系人姓名及手机号）。逾期收到的或不符合规定的材料文件将做无效处理。 　　邮寄地址：**省***晋光路**段**号*****（***第六人民医院**医院）信息科 　　五、产品介绍时间及地点另行通知（如有需要）。 　　六、联系电话：信息科 ****-********（问题咨询拨打该号码） 　　七、注意事项： 　　*、报名人提供的设计方案必须为原创或具有自主知识产权。若发生由此造成的任何侵权纠纷，一切法律责任及给院方造成的损失由报名人承担。 　　*、凡提交的材料，无论是否采用，均不予退还。 　　*、凡递交材料的供应商均视为同意并接受以上说明，无须通过书面或其他方式予以确认。 　　*****（***第六人民医院**医院） 　　****年*月**日 　　附件一 　　项目内容及要求 　　一、等保咨询服务与安全运维服务 　　*.服务期限：合同签订之日起不少于*年或测评完成为止。 　　*.服务范围：包括但不限于我院HIS、LIS、PACS、EMR、互联网医院、集成平台、多媒体综合业务显示系统、数据中台、移动支付及其支撑的软硬件设施。对院内二级等保备案项目进行测评。 　　*.服务内容 　　*.*等保资产分析服务，服务频次不少于*次，根据等级保护范围内的资产组成，派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理。 　　*.*等保风险分析服务，服务频次不少于*次，根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析。 　　*.*等保安全加固服务，服务频次不少于*次，根据等级保护基本要求以及风险分析结果，提供专业的系统安全加固建议意见，派遣专业工程师到现场根据等保安全加固指导书实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。 　　*.*等保制度建设辅导服务，服务频次不少于*次，协助医院建设安全管理制度，按照等级保护管理部分的标准，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理*个方面帮助补充及完善等级保护要求的管理体系建设中涉及的制度文档，以及相关记录的完善。包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 　　*.* 等保测评辅助服务，服务频次不少于*次，在测评阶段协助准备测评材料，指导医院配合测评中心开展等级测评工作，组织测评整改，并保障顺**过等保测评获得测评报告。 　　*.* 安全评估服务，服务频次*次，需交付：《安全评估报告》一年*份。参照等级保护和信息安全技术相关标准，采用漏洞扫描、安全访谈、登录检查、日志分析等手段，对医院现有的安全资产进行全方位的安全评估，对现有的资产进行威胁识别，并对现有的安全措施进行评估，结合信息资产属性、威胁、脆弱性等基本要素，分析出安全风险。 　　*.* 渗透测试服务，服务频次不少于*次，需交付：《渗透测试报告》*份。通过专业渗透测试团队，从安全攻击链视角对医院的重要系统进行安全渗透测试工作，以全面发现应用系统安全问题与隐患。 　　*.* 安全加固服务，服务频次*次，需交付：《安全加固报告》一年*份。根据安全评估、基线核查服务的结果，提供应用安全加固辅导、服务器安全加固、Web服务器（中间件）加固辅导、数据库安全加固建议，提升系统整体安全性，并提交报告。 　　*.* 应急演练服务，服务频次不少于*次，需交付：《安全应急预案》、《应急演练报告》各*份，定期开展信息安全应急演练，进行体验式的安全意识教育。 　　(*)网络与系统安全应急预案： 　　根据医院实际需求，定制*个预案场景的《安全应急预案》。 　　(*)网络与系统安全应急演练 　　针对*个预案场景进行应急演练，并提交《安全应急演练报告》。 　　*.** 应急响应服务，服务频次为按需提供，按需提供相应的《应急响应报告》。为了保障医院的网络安全，预防和遏制业务系统突发安全事件的发生和应对安全检查，提供远程安全响应服务及现场应急响应服务支持。 　　*.**攻防演练值守保障服务，服务范围：医院内外网基础网络，以及HIS、LIS、PACS、EMR、互联网医院、集成平台、多媒体综合业务显示系统及其支撑的软硬件设施；服务人员及频次：现场提供安全服务工程师*人，提供****小时现场值守保障服务。 　　二、等保测评服务 　　依照 GB/T *****-****《信息安全技术网络安全等级保护基本要求》和《行业网络安全等级保护基本要求》对HIS、LIS、PACS、EMR、互联网医院、集成平台、多媒体综合业务显示系统、数据中台、移动支付等九个三级系统进行等级保护测评，对院内VTE、重症等多个二级系统进行测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于信息系统安全事件引发安全事故，全面提高信息系统安全防护水平提供科学依据。 　　等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容： 　　（*）总体要求测评：包括总体技术要求、总体管理要求； 　　（*）安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评； 　　（*）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评； 　　（*）测评通过后最终出具：对应系统的《信息安全等级保护测评报告》