三级等保测评服务第三次信息咨询公告

****医院（****）拟对核心业务系统进行三级等保测评，为更好地了解市场价格行情等信息，现面向社会进行公开咨询，现将具体事宜公示如下：

一、咨询内容：

按照等保2.0标准完成我院官网的网络安全等级保护测评工作，按照等保3.0标准完成我院HIS系统、电子病历系统、PACS系统、****医院的网络安全

等级保护测评工作：

1.现场调研：调查收集的数据信息，填写《基本情况调查表》，编制《测评方案》，设计《测评指导书》；

2.测评实施：根据测评指导书，对信息系统技术和管理两个方面进行测评，收集系统当前数据并进行分析整理；

3.整改指导：针对测评中发现的问题，根据用户实际情况提供修复建议；

4.报告提交及报审：汇总测评情况并编制《测评报告》，获得“信息安全****小组办公室”审核盖章。

二、具体要求：

1.测评机构必须具备《网络安全等级测评与检测评估机构服务认证证书》，工作阶段、流程、内容及成果交付严格遵循《网络安全等级保护测评要求》（GB/T 28448-2019）、《网络安全等级保护测评过程指南》（GB/T 28449-2018）和《信息安全技术网络安全等级保护基本要求》文件；

2.******部****中心或中关村测评联盟颁发高级测评师负责项目组管理，并根据系统等级开展相应级别的单项测评和整体测评分析；测评报告内容及格式严格遵照网络安全等级保护测评报告最新模板，符合**部门定级和备案要求；

3.按照《信息安全等级保护管理办法》《网络安全保护等级实施指南》，遵循《网络安全等级保护基本要求》（GB/T 22239-2019）等技术标准，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、****中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等 10 个层面进行测评，并参考采购人自身信息安全管理要求，进行综合分析和整体测评；

4.应依据信息系统的业务应用和内外部环境，深入调研分析各信息系统资产状况和重要性程度，以及面临信息安全的威胁；

5.技术方面，物理安全方面应采用专用测试工具测试和人工现场复核方式；对信息机房的消防、防雷击、防水防潮、防静电、空调、UPS、电磁辐射以及防盗等基础设备实施的防护措施进行检测检验。网络和主机安全方面应通过上机配置验证的方式对信息系统的服务器操作系统、数据库、中间件及其网络和安全设备的安全配置及设置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计等措施的安全隐患。应用安全方面应通过口令破解、越权测试、注入测试、性能测试等方法对应用软件的安全功能和配置逐项进行检测验证，以发现身份鉴别、访问控制、安全审计、软件容错、**控制等措施的安全隐患；

6.管理安全方面应对采购人信息安全管理现状进行需求分析，确**全管理目标和安全策略，针对信息系统的各类管理活动，梳理已存在的系统运维管理制度、人员安全管理制度、系统建设管理制度、定期检查制度；

7.应通过采用网络检测工具、操作系统漏洞检测工具、数据库扫描工具、WEB应用漏洞分析工具等对网络、主机等进行渗透测试分析；

8.应采取等级测评、安全审计、风险评估等方法，逐项对照《网络安全等级保护基本要求》的各安全要求项，评估确定系统当前安全防护现状以及与标准要求的差距，判断安全保护建设需求及其分析；

9.在收集充足数据之后，对现场测评获得的数据进行汇总分析，形成等级测评项目的最终结论，并编制最终的《网络安全等级保护等级测评报告》；

10.工作过程文件及项目交付成果（包括但不限于）：《网络安全等级保护等级测评报告》。

三、****公司必须提供以下文件（提供纸质扫描件加盖红色鲜章的电子文件）：

1.公司****公司三证）（“具体要求”中提及的资质文件）；

2.法定代表人证书或委托代理人授权书（备注联系方式）；

3.方案介绍；

4.**案例；

5.项目报价明细；

注：以上材料应双面打印，编写目录及页码，并且按上述顺序胶印，封面及骑缝必须加盖红色公章；一式贰份（不分正副本）。

四、报名时间及报名方式：

1.报名时间：自本公告发布之日起，5个工作日内（不含发布当日）。

2.报名方式：请有意向的供应商在2026年3月21日之前将材料密封完整，邮寄至：**省**市**市**东路2号，****医院，纪检监察室收，0797-****115，以快递单号寄出时间为准，逾期不再受理，谢谢！（快递封面请注明：三级等保+公司名称）

五、其他事项

1.报名结束后如有疑问我院将进行电话沟通，请注意接听；

2.联系方式：****门诊楼4楼信息科437室。如有疑问，请拨打电话：0797-****128（工作日上午8:00-12:00，下午14:30-17:00，其他时间请勿拨打）。

****大学****医院

****

2026年3月1