关于景德镇市第二人民医院等级保护测评服务采购项目的方案征集和询价公告-景德镇市第二人民医院

关于景德镇市第二人民医院等级保护测评服务采购项目的方案征集和询价公告

时间：2025年08月15日信息来源：本站原创

各有关供应商：

根据医院工作要求，现对景德镇市第二人民医院等级保护测评服务采购项目进行公开征询。本次公开征询情况将作为采购人编制采购招标文件最高限价、主要技术指标及服务的参考依据，欢迎广大符合要求的生产企业及经营企业积极参与。现将有关事项公告如下:

一、采购项目及需求:

项目名称：景德镇市第二人民医院等级保护测评服务采购项目

采购需求一览表见附件。

二、报名时间、地点及方式

1.时间:本公告发布之日起5个工作日内，上午8:00-11:30，下午2：30-5:00

2.地点:景德镇市第二人民医院采购科（外科大楼一楼）

3.报名方式:

只接受现场报名，同时递交法人授权委托书、参询代表身份证复印件及产品相关授权书复印件等印证材料。

4.联系人及联系方式:陈科长8223708

三、参询单位需提供的相关材料

1、响应函；

2、询价服务报价表（需按明细报价）；

3、参询需求响应表(响应/偏离)；

4、参询单位/产品的相关资质证明材料

5、其他相关材料

景德镇市第二人民医院

2025年8月15日

附件：信息系统等级保护测评服务采购需求

一、项目背景及政策依据

根据《中华人民共和国网络安全法》第二十一条、《网络安全等级保护条例》第四条强制性规定，三级及以上信息系统运营单位必须每年开展等级保护测评。随着我院信息化建设的深入推进，"一体化智慧医院系统"、"PACS系统"、"信息集成平台"等核心业务系统已全面投入使用，"互联网医院系统"服务规模持续扩大。根据国家《网络安全法》和《网络安全等级保护条例》相关规定，三级信息系统应当定期开展等级保护测评工作，这是保障医疗信息系统安全稳定运行的重要举措。

当前，国家卫健委对医疗机构网络安全工作提出了更高要求，等级保护测评已成为衡量医院信息化建设水平的重要标准。通过开展专业测评服务，能够全面评估我院信息系统的安全防护能力，及时发现并消除潜在风险，为智慧医院建设提供坚实的安全保障。

实施本项目将有效提升我院网络安全防护水平，确保医疗业务连续性和患者数据安全，同时满足行业监管要求。现申请开展信息系统等级保护测评服务工作，为我院信息化发展保驾护航。

二、采购清单及技术规格

（一）采购清单

1、信息系统等级保护测评服务

（1）定级备案

定级工作将严格遵循《信息安全技术信息系统安全等级保护定级指南》（GB/T 22240-2020），深入调研掌握信息系统的应用部署实际情况，按照国家有关管理规范和标准要求，细致分析各信息系统安全域及管理边界，合理划分信息系统范围，科学开展信息系统重要性程度分析，准确判定信息系统安全等级，编制《定级报告》和《备案表》，并按照定级备案流程，向主管部门、监管机关就信息系统定级进行审批备案，使顺利获得监管机关颁发的《信息系统安全等级保护备案证明》。

工作过程文件及项目交付成果（包括但不限于）：公安监管机关颁发的《信息系统安全等级保护备案证明》。

（2）等级保护测评

工作阶段、流程、内容、及成果交付严格遵循《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019)和《信息安全技术网络安全等级保护测评过程指南》（GB/T 28449-2018）文件，根据系统等级开展相应级别的单项测评和整体测评，测评报告内容及格式严格遵照《网络安全等级保护测评报告模版（2025年版）》。

从每个信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个层面进行测评，并参考被测单位自身信息安全管理要求，从安全控制间、层面间、区域间的综合分析进行整体测评，在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《信息系统安全等级测评报告》。

工作过程文件及项目交付成果（包括但不限于）：《信息系统安全等级测评报告》等。

（3）安全建设整改方案设计

依据《信息安全等级保护管理办法》文件要求，应按照等级保护第三级要求进行保护，依据《信息安全技术信息系统安全等级保护实施指南》，遵循《信息安全技术网络安全等级保护基本要求》（GB/T22239-2019）对信息系统进行建设整改分析，比较信息系统与国家标准要求之间的差距。

依照《信息安全等级保护安全建设整改工作指导意见》（公信安[2009]1429号），严格遵循《信息安全等级保护安全建设整改工作指南》各项要求，在系统测评工作的基础上，对被测单位信息安全管理和技术方面现状进行全面的分析，制订信息安全等级保护安全整改方案，出具方案后，需以此方案为基础，开展安全整改咨询和系统加固工作，最终使被测单位安全管理和技术两方面达到相应等级的保护要求。

为了保障测评服务能够按照要求开展，要求采购人使用专业化测评工具进行服务，要求测评工具支持以下功能点：

①自动化开展渗透测试，集成服务涉及的渗透报告生成工具，填写被测对象的IP、URL、风险评估、编号、攻击向量、整改建议和整改情况记录等关键信息，同时发现的漏洞可关联漏洞归属，漏洞类型，漏洞级别等功能。

②并且支持以excel报表格式导入渗透测试报告，展示漏洞是否整改、未整改或忽略的处置状态，最终自动形成渗透测试台账。可在系统查看渗透测试结果，以图表形式可视化展现漏洞风险级别比例、风险应用比例，可对渗透报告中的漏洞进行跟踪确认。

③同时对测评发现的高危漏洞可帮助采购人进行漏洞闭环处置，基于告警风险值或者定向源产生的漏洞进行屏蔽封堵，包括可利用漏洞、版本漏洞等风险。

（针对以上①-③点提供相关功能截图、原厂商授权函并加盖原厂公章予以佐证，未提供或提供不符合要求视为无效响应）

工作过程文件及项目交付成果（包括但不限于）：《信息安全等级保护安全整改方案》。

2、数据安全评估服务

依据数据安全相关的技术指标与行业规范，开展数据安全评估服务。评估以业务中重要程度较高的数据资产作为评估工作的核心，把这些数据涉及的各类应用场景作为评估的重点。数据重要的程度越高，数据安全事件可能对于业务造成的影响程度越大。参考数据生命周期中常见的安全风险给出相应的处置建议，最终出具数据安全评估报告，帮助用户解决合规性与安全性需求。

工作过程文件及项目交付成果（包括但不限于）：《数据安全评估报告》。

3、渗透测试服务

在采购人授权范围内，参考PTES(渗透测试执行标准)对采购人信息系统进行模拟黑客攻击的商业化测试服务，用于帮助采购人评估信息系统当前的安全性。提供包括外网渗透测试、内网渗透测试、黑盒测试、灰盒测试等多种测试方法，覆盖信息系统中包含的网站、APP、服务器、数据库、中间件、网络设备、终端等相关软硬件资产。

工作过程文件及项目交付成果（包括但不限于）：《渗透测试报告》。

4、应急响应

在突发/重大信息安全事件后对包括计算机运行在内的业务运行进行维持或恢复。在服务周期范围内，提供若干次现场应急响应服务。安排具有信息系统安全资深人员和应急响应工作经验丰富技术人员完成实施工作，根据每次应急响应的情况，参与应急响应工作，并进行分析，出具《安全事件分析报告》。同时，尽可能地减少和控制住网络安全事件的损失，提供有效的响应和恢复指导，并努力防止安全事件的发生。

工作过程文件及项目交付成果（包括但不限于）：《安全事件分析报告》。

5、安全意识培训服务

安全意识培训主要包含法律法规解读、安全意识防范案例分析。从网络安全概述入手，通过典型事例了解网络安全的重要性，同时对网络安全法律法规的学习和了解，帮助参训人员更好的规范自身的行为，维护自身的权益；办公安全主要讲解作为企业员工，如何规范防止因个人安全意识的缺失造成企业的严重损失；个人安全主要以个体为单位，主要了解如何保障个人隐私安全、防止信息泄漏等。

工作过程文件及项目交付成果（包括但不限于）：《培训课件》。

（三）服务能力认证

1.提供公安部第三研究所颁发的《网络安全等级测评与检测评估机构》服务认证证书或《网络安全服务认证证书等级保护测评服务认证》，且证书在有效期内，提供证书复印件并加盖供应商公章。

（四）实施要求

1.人员要求

为了提升项目实施效率把控整体测评质量，投标人所提供的服务应符合安全要求，且投标人应安排专职项目经理（1名）、技术负责人（1名）及渗透专员（1名）负责本次项目的实施与规划，且项目经理、技术负责人、渗透专员不可兼任。

项目经理：具备公安部信息安全等级保护评估中心颁发的信息安全等级测评师高级证书、具备中国信息安全测评中心颁发的云安全工程师(CISP-CSE)证书、具备信息安全标准制定能力，参与国家信息安全标准起草。

技术负责人：具备省职称办颁发的信息系统项目管理师（高级）证书、具备省职称办颁发的系统架构设计师（高级）证书、具备电子工业部颁发的计算机应用软件（高级程序员）证书。

渗透专员：具备信息产业信息安全测评中心颁发的注册网络安全渗透评估专业人员（NSATP-A）证书、具备中国信息安全测评中心颁发的注册渗透测试工程师(CISP-PTE)证书、具备中国信息安全测评中心颁发的注册渗透测试专家(CISP-PTS)证书、具备国家互联网应急中心（CNCERT）颁发的国家信息安全漏洞共享平台所收录的原创漏洞证明。

（供应商须提供符合上述人员要求的服务承诺函并加盖供应商公章，未提供则视为无效响应。说明：签订合同前拟中标服务供应商须上述人员要求的对应证书/佐证材料原件扫描件、供应商为其缴纳的近6个月的社保缴纳证明，以上材料加盖供应商公章佐证，未提供或提供不符合要求视为虚假应标取消中标资格）

2.工具要求

为保障项目实施质量，供应商须对采购人的IT资产（网络设备、安全设备等）进行梳理，供应商须使用资产台账管理系统参与本次项目的实施，且实施工具满足以下功能点：

①支持从网络安全等级保护基本要求的十大层面进行资产管理（网络、安全、服务器系统等）；

②支持漏洞等级通告、支持密码、越权等进行动态展示，支持对于高危风险、脆弱性、Web弱口令等行为进行动态监测展示；

③支持自定义测评/检查任务并且生成网络安全监督测评/检查表，支持表格的在线填报、佐证材料管理并生成检查任务。

(针对以上①-③点提供具有CMA和CNAS标识的第三方检测机构出具的测评工具功能检测报告原件扫描件或具有授权的第三方检测机构出具的检测报告原件扫描件并加盖制造商公章予以佐证，未提供或提供不符合要求视为无效响应，注:供应商须在检测报告中通过醒目标识展示出对应功能点的检测情况，且报告时间需早于本次采购文件挂网时间。)

三、实施过程管控要求

（一）全周期进度管控

（二）协同工作机制

1.文档管理规范

所有交付物需符合《信息安全技术网络安全等级保护测评要求》，涉密资料通过线下传输。