2026年度上海市同济口腔医院重要信息系统安全等级保护测评采购需求

一、项目背景

根据《关于调整本市卫生计生行业重要信息系统定级范围的通知》（沪卫计信息[2017]11号），根据《国家网络安全法》、《关于组织开展本市卫生信息系统安全等级保护工作的通知》（沪卫办[2012]33号）、关于印发《**市公立卫生计生机构互联网信息系统专项整治行动实施细则》的通知（沪卫计信息[2016]4号）、《关于进一步调整本市卫生健康行业重要信息系统等级范围的通知》(沪卫计信息[2019]2号 )的要求，需要对我院****核心业务系统（含HIS、LIS、PACS）（三级）、集成平台（三级）、****医院信息系统（三级）开展安全等级测评并完成新的重要信息系统的定级备案工作。

二、供应商资格（资质）

1. 投标人应是在中华人民**国注册的企事业法人单位或社会团体；

2. 供应商必须具有国家网络安全****小组办公室颁发的《网络安全等级保护测评机构推荐证书》；

3. 投标人应在本地有办公场所和技术服务团队。

4. 招标不接受联合体投标。

5. 投标人不得为“信用中国”网站（www.****.cn）中列入失信被执行人和重大税收违法案件当事人名单的供应商。

三、项目实施要求

1、 测评要求

根据网络安全法的要求，且根据07年国家四部委联合发文的《信息安全等级保护管理办法》的精神和要求，依据GB/T22239-2019《信息安全技术网络安全等级保护基本要求》中等保三级的标准，对****核心业务系统（含HIS、LIS、PACS）（三级）、集成平台（三级）、****医院信息系统（三级）进行安全等级测评，每个系统的具体测评技术要求如下：

1.1技术要求

1) 安全物理环境

安全物理环境差距评估将通过访谈、文档审查和实地察看的方式差距评估信息系统的安全物理环境保障情况。主要涉及机房。

2) 安全通信网络

安全通信网络差距评估将通过访谈、检查和测试的方式差距评估信息系统的安全通信网络保障情况。主要涉及对象为：主要涉及网络互联设备与安全设备。

3) 安全区域边界

安全区域边界差距评估将通过访谈、检查和测试的方式差距评估信息系统的安全区域边界安全保障情况。主要涉及对象为：主要涉及网络互联设备与安全设备。

4) 安全计算环境

安全计算环境差距评估将通过访谈、检查和测试的方式差距评估信息系统的主机和应用安全保障情况。主要涉及主机（存储操作系统）和数据库管理系统、应用系统。

5) ****中心

****中心评估将通过访谈、检查和测试的方式差距评估信息系统的各类安全管理情况。主要涉及对象为：应用系统鉴别数据、业务数据等系统关键数据。

1.2管理要求

6) 安全管理制度

安全管理制度差距评估将通过访谈和检查的方式差距评估信息系统的安全管理制度建立情况。主要涉及对象为：信息安全管理体系、日常安全管理制度、重要操作规程及相关执行记录等。

7) 安全管理机构

安全管理机构差距评估将通过访谈和检查的方式差距评估信息系统的安全管理机构建立情况。主要涉及对象为：安全管理机构设立文档、****小组名单、岗位说明书、等文档及执行记录。

8) 安全管理人员

安全管理人员差距评估将通过访谈和检查的方式差距评估信息系统的安全管理人员方面情况。主要涉及对象为：人事管理制度、外部人员访问要求等安全管理制度及执行记录。

9) 安全建设管理

安全建设管理差距评估将通过访谈和检查的方式差距评估信息系统的安全建设管理方面情况。主要涉及对象为：系统建设过程中涉及的相关文档，如：系统定级报告、安全设计方案、测试验收报告等文档及软件开发、工程实施等方面的安全管理制度及执行记录。

10) 安全运维管理

安全运维管理差距评估将通过访谈和检查的方式差距评估信息系统的安全运维管理方面情况。主要涉及对象为：系统运维过程中涉及的安全管理制度及执行记录。

2、 实施要求

在安全等级测评工作中发现安全风险问题汇总后及时反馈用户单位，同时督促其实施问题整改。

待用户单位完成整改后，再对整改情况进行复核。

3、文档要求

现场测评前，提交安全等级测评工作计划及测评方案；

初次现场安全测评完成后，分别出具****重要信息系统的《测评问题汇总》；

全部安全测评工作完成后，分别出具****重要信息系统的《安全等级测评报告》。

四、评选方式

本次公开的采购意向是采购意向的初步安排。各公司有意参选报名请发送邮件至****@163.com，邮件标题为【项目名称+公司名+联系人+联系方式】，未按照邮件标题格式报名视为报名失败，邮件内容为营业执照复印件等材料（须加盖公章），截止日期2026年1月31日。
项目联系人：徐老师 联系电话：****1671

****采招办

联系人：张老师