随着信息技术的快速发展，医疗行业的信息化建设不断深入，医院信息系统（HIS）、医院信息平台等关键业务系统已成为医院运营的核心支撑。然而，医疗数据的高价值性和敏感性使其成为黑客攻击、数据泄露和勒索病毒的重点目标，一旦发生安全事件，不仅影响医院的正常诊疗秩序，还可能威胁患者隐私，甚至危害公共卫生安全。

为加强医疗行业网络安全防护，我国依据《网络安全法》《数据安全法》《个人信息保护法》以及《网络安全等级保护基本要求》（GB/T 22239-2019）等法律法规，要求医疗机构全面落实网络安全等级保护制度（等保）。通过等保测评，医院需对信息系统进行安全定级、备案、建设整改和等级测评，确保其具备抵御网络攻击、防范数据泄露的能力，从而保障医疗业务的连续性、患者数据的安全性和医疗服务的可靠性。

一、采购项目概况：

1. 项目名称：佛山市高明区人民医院核心信息系统等保测评及安全加固市场调研

2.项目编号：GMRY-XXK-2025-DY011

3. 项目内容及需求：

测评系统列表：

采购内容：

（一）等级保护测评服务要求

按照等保2.0的相关要求对信息系统安全等级保护状况进行测试评估，包括安全通用要求、云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求和工业控制系统安全扩展要求。

安全通用要求规定了不管等级保护对象形态如何必须满足的要求，测评单元分为安全技术测评和安全管理测评两大类，技术要求包括：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心；管理要求包括：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。

1、安全通用要求

1.1安全物理环境

（1）测评内容：被测信息系统应对重要的物理安全设置，如物理位置选择、物理范围控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应电磁防护等做必要配置。

（2）测试方法：访谈、检查。

1.2安全通信网络

（1）测评内容：被测信息系统对通信网络安全进行设置，如网络架构、通信传输、可信验证等做必要的配置。

（2）测试方法：访谈、检查。

1.3安全区域边界

（1）测评内容：被测信息系统网络边界进行安全配置，如边界防护、访问控制、入侵范围、恶意代码防范、安全审计、可信验证等做必要的配置。

（2）测试方法：访谈、检查。

1.4安全计算环境

（1）测评内容：被测信息系统安全计算环境进行安全配置，如身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据备份恢复、剩余信息保护、个人信息保护等做必要的配置。

（2）测试方法：访谈、检查。

1.5安全管理中心

（1）测评内容：被测信息系统的安全管理中心进行安全配置和管理，如系统管理、审计管理等做必要的配置。

（2）测试方法：访谈、检查。

1.6安全管理制度

（1）测评内容：被测系统运营单位的管理制度、制定和发布、修订和评审进行管理和落实情况。

（2）测评方法：访谈、检查。

1.7安全管理机构

（1）测评内容：被测系统运营单位的岗位设置、人员配备、授权和审批、沟通与合作、审核和检查的管理和落实情况。

（2）测评方法：访谈、检查。

1.8安全管理人员

（1）测评内容：被测系统运营单位的人员录用、人员离岗、安全意识教育和培训、外部人员访问管理等方面的管理和落实情况。

（2）测评方法：访谈、检查。

1.9安全建设管理

（1）测评内容：被测系统运营单位的系统定级和备案情况、安全方案设计、产品采购和使用、自行软件开、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择管理和落实情况。

（2）测评方法：访谈、检查。

1.10系统运维管理

（1）测评内容：被测系统运营单位在环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢复管理、安全事件处理、应急预案管理、外包运维管理方面的管理和落实情况。

（2）测评方法：访谈、检查。

2、云计算拓展要求

2.1安全物理环境

（1）测评内容：被测系统的基础设施位置选择。

（2）测评方法：访谈、检查。

2.2安全边界区域

（1）测评内容：对云计算环境访问控制、入侵防范、安全审计进行安全配置。

（2）测评方法：访谈、检查。

2.3安全计算环境

（1）测评内容：对安全计算环境的访问控制、镜像和快照保护、数据完整性和保密性、数据备份恢复、剩余信息保护进行安全配置。

（2）测评方法：访谈、检查。

2.4安全建设管理

（1）测评内容：对云计算环境的云服务商选择、供应链管理方面的落实情况。

（2）测评方法：访谈、检查。

2.5安全运维管理

（1）测评内容：云计算环境管理是否符合国家相关规定。

（2）测评方法：访谈、检查。

3、移动互联网拓展要求

3.1安全物理环境

（1）测评内容：被测系统的无线接入点的位置选择。

（2）测评方法：访谈、检查。

3.2安全区域边界

（1）测评内容：对移动互联网的边界防护、访问控制、入侵防范进行安全配置。

（2）测评方法：访谈、检查。

3.3安全计算环境

（1）测评内容：对移动互联网的移动应用管控进行安全配置。

（2）测评方法：访谈、检查。

3.4安全建设管理

（1）测评内容：对移动互联网的移动应用软件采购、移动应用开发和安全合理管理。

（2）测评方法：访谈、检查。

4、物联网安全拓展要求

4.1安全物理环境

（1）测评内容：被测系统的感知节点设备物理防护合理。

（2）测评方法：访谈、检查。

4.2安全区域边界

（1）测评内容：对物联网系统的接入控制、入侵防范进行安全配置。

（2）测评方法：访谈、检查。

4.3安全运维管理

（1）测评内容：对物联网的感知节点进行安全合理管理。

（2）测评方法：访谈、检查。

5、工业控制系统安全拓展要求

5.1安全物理环境

（1）测评内容：被测工业控制系统的室外控制设备物理防护措施合理。

（2）测评方法：访谈、检查。

5.2安全通信网络

（1）测评内容：被测工业控制系统的网络架构、通信传输进行安全配置。

（2）测评方法：访谈、检查。

5.3安全区域边界

（1）测评内容：对工业控制系统的访问控制、拨号使用控制、无线使用控制进行安全配置。

（2）测评方法：访谈、检查。

5.4安全计算环境

（1）测评内容：对工业控制系统的控制设备进行安全控制。

（2）测评方法：访谈、检查。

5.5安全建设管理

（1）测评内容：对工业控制系统的产品采购和使用、外包软件开发进行安全合理管理。

（2）测评方法：访谈、检查。

（二）测评系统安全加固服务服务具体要求

1、安全设备安全加固

针对等级保护测评工作中发现的问题项，对4个系统所属安全设备提供安全加固建议，并协助进行安全修复。

2、主机配置安全加固

针对等级保护测评工作中发现的问题项，对4个系统所属服务器提供安全加固建议，并协助进行安全修复。

3、主机漏洞修复

针对等级保护测评工作中发现的问题项，对4个系统所属服务器存在的高危漏洞提供安全加固建议，并协助进行安全修复。

4、管理制度完善

根据等级保护要求，完善各项信息安全管理制度，通过对制度的补充、完善，形成一套可以满足信息安全等级保护要求，并且可以实际运用的管理制度文件。

（三）服务时效要求★

6个系统测评时间由医院方按具体需求分别在2025年度内提出，中标方需要在院方提出测评要求后90天内完成该系统测评报告，并提交公安备案（含差距评测及安全加固）。

    ★（不可负偏移）无法在院方要求的时间内完成，合同将作废。

（四）付款方式

6个系统独立报价，分别单独支付。在收到每个系统的《网络安全等级保护测评报告》及当地公安机关报备回执后60个工作日内，支付该系统100%费用。

 

二、提交资料清单：

1、信息项目市场调研报名表（详见附件1）；

2、企业法人营业执照（副本）复印件。营业执照经营范围如注明“具体经营项目请登录商事主体信息公示平台查询”的，须打印商事主体信息公示平台查询页；

3、法定代表人证明书或法定代表人授权委托书；

4、项目委托人身份证复印件；

5、本项目承诺书（详见附件2）；

6、产品资料：1）针对本项目的解决方案（解决方案可不局限于我院提供的基本需求，可以根据厂商经验为医院提供更优解决方案）；2）针对本项目解决方案对应的报价；3）提供典型案例及中标价供参考（如为代理产品，可提供所代理产品的既往中标价格供参考）。

三、报名截止时间：2025年6月3日，报名方法详见附件1。

采购联系人及电话 0757-88882172  黄先生

监督投诉电话    0757-88828698

【特别说明】开展本次市场调研工作，目的是针对本项目：了解市场潜在供应商、获取适合本项目的解决方案及报价，以便医院优化项目需求、确保可行性。厂商提供的相关资料仅作为参考。本项目提供的项目基本需求不作为最终招标采购需求标准，也并非本项目后续开展招标采购工作的最终招标文件，请参与单位知照。

附件1佛山市高明区人民医院信息项目市场调研报名表

附件2佛山市高明区人民医院信息项目市场调研承诺书

佛山市高明区人民医院

2025-5-26