酒泉市第二人民医院2026年度网络等级保护测评服务采购项目

****2026年度网络等级保护测评服务采购项目采购公告

根据《****办公厅****委员会省公共**交易局关于进一步加强和规范市县公共**交易工作意见的通知》（甘政办发〔2018〕6号）、《政府集中采购目录和采购限额标准》、《****办公室印发的通知》(酒政办发〔2018〕301号)等文件要求，****受****的委托，对****2026年度网络等级保护测评服务采购项目以公开招标方式进行采购。现将相关事宜公告如下：

一、项目编号：****

二、采购内容：医院核心HIS系统（含门诊、住院、药房、收费、医保对接等模块）的三级等保合规建设、测评、整改与备案全流程服务（技术要求及参数详见附件）。

三、采购预算金额：小写：￥50000.00元（大写：伍万元整）

四、竞价办法：最低价评标法

五、供应商资格要求：

1.供应商应为中华人民**国境内注册的法人或者其他组织，提供合法有效的营业执照、税务登记证、组织机构代码证（或三证合一）；

2.******部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》；

3.拟派项目负责人需具备信息安全等级测评师（高级）证书；

4.拟派的项目团队其他人员须具备注册信息安全专业人员（CISP）认证证书或信息安全保障人员（CISAW）认证证书；

5.近3年（2023年1月至今）实施过3个以上HIS系统三级等保成功案例；

6.供应商须为未被列入“信用中国”、“中国政府采购网”失信行为记录名单的方可参加本项目投标；

7.采购内容偏离表；供应商须逐条如实响应所有技术条款要求（不允许负偏离），中标后作为验收依据；

8.供应商提供法定代表人身份证明或授权委托书。

注：以上资格要求文件加盖供应商公章以扫描件形式（PDF格式）上传****交易中心网政府采购限额以下项目阳光交易系统，供应商提交的以上所有证明文件必须清晰、准确、真实，按要求进行上传。逾期未上传或上传不合格的供应商将被拒绝。

六、注册须知：

凡是拟参****交易中心网阳光招标采购平台交易活动的投标供应商需先****交易中心网阳光招标采购平台（http://www.****.cn/）上注册后，方可投标；注册成功后，投标供应商每次参加项目投标前须重新登录系统进行项目投标登记。

七、上传资质证明文件截止时间及竞价截止时间：标书代写

请供应商于竞价结束时间之前登****交易中心网（http://www.****.cn/）政府采购限额以下项目阳光交易系统自行报价。

1.上传资质证明文件截止时间：2026年4月17日9时50分标书代写

2.竞价开始时间：2026年4月17日10时00分

3.竞价截止时间：2026年4月17日12时00分标书代写

八、其他补充事宜：

采购代理服务费参考国家发展改革委关于进一步放开建设项目专业服务价格的通知（发改价格〔2015〕299号）文件规定，由中标供应商在领取中标通知书前向代理机构一次性支付￥300元整。

九、采购项目联系人姓名、电话及地址：

采购人：****

联系人：芮春海

联系电话：158****9993

地址：**市邮电街89号

代理机构：****

联系人：杨瑞刚

联系方式：189****7005

地 址：**市**区飞天商务写字楼408室

附件：

****HIS三级等保技术要求

一、项目总体要求

（一）项目目标：

依据信息安全技术网络安全等级保护基本要求等国家相关标准规范，对我院HIS系统开展信息安全等级保护第三级认证。按照“一个中心，三重防护”总体安全架构，从技术、管理、安全服务三个维度，****中心、通信网络、区域边界、计算环境等方面的符合性测评，确保HIS系统满足三级等保合规要求，提升医院核心业务系统网络安全保障能力。

（二）项目范围：医院核心 HIS 系统（含门诊、住院、药房、收费、医保对接等模块）的三级等保合规建设、测评、整改与备案全流程服务。

（三）法律法规依据

《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术网络安全等级保护测评要求》（GB/T 28448-2019）

《医疗卫生机构网络安全管理办法》

《个人信息保护法》

《数据安全法》

（四）成果交付

1.等保备案材料与备案证明；

2.差距分析报告、整改方案、复测报告；

3.符合国标的三级等保测评报告（盖章）；

4.安全管理制度汇编、应急响应预案；

5.安全培训记录、运维手册。

二、技术要求（核心参数）

1.安全物理环境

机房访问：独立隔离、电子门禁（双人双锁）、权限仅限管理员。

监控：1080P 视频全覆盖，存储≥90天。

环境：温湿度（18-28℃/40%-60% RH）、七氟丙烷气体灭火、防雷接地（≤4Ω）。

供电：核心设备 UPS 续航≥1小时。

2.安全通信网络

区域划分：核心业务区（HIS）、办公区、外网、医保区VLAN 隔离。

链路冗余：核心交换机、路由器双机热备，网络设备双电源。

传输加密：医疗数据传输采用TLS 1.3；远程接入SSL VPN + 双因子。

3.安全区域边界（★关键设备）

下一代防火墙（NGFW）

吞吐量≥10Gbps，并发连接≥200 万。

支持应用识别、用户认证、入侵防御（IPS）、病毒过滤、URL 过滤。

策略：默认拒绝，仅开放医疗业务（如 HIS、LIS、PACS、医保）必要端口。

入侵检测 / 防御（IDS/IPS）

特征库含永恒之蓝、Struts2等高危漏洞，支持自动阻断。

安全审计系统（全流量）

采集网络、设备、主机、应用日志，统一分析、告警、留存≥6个月。

网闸/数据交换隔离（内外网/医保接口）实现物理隔离+协议摆渡，禁止数据库直接映射。

4.安全计算环境（主机/应用/数据）

（1）身份鉴别（★）

HIS 系统强制双因素认证（密码 + USB Key / 短信 / 令牌）。

密码复杂度：≥12 位、字母 + 数字 + 特殊字符、90 天更换、5 次锁定。

（2）访问控制

三权分立：系统管理员、安全管理员、审计管理员相互独立。

最小权限：医嘱、收费、药房等角色细粒度授权，关键操作双人复核。

（3）安全审计（★）

日志：登录、查询、开医嘱、收费、退费、修改、删除全记录。

日志防篡改、本地 + 异地双存、留存≥180 天。

（4）恶意代码防范

服务器 / 终端统一终端安全（EDR）、病毒库实时更新、自动查杀。

（5）数据安全与备份恢复（★医疗核心）

存储加密：患者信息、病历、费用数据采用国密 SM4 加密。

数据库安全：数据库审计、敏感数据脱敏（显示屏蔽身份证 / 手机号）、防 SQL 注入。

备份架构：本地RAID 6 + 定时全量 / 增量备份 + 异地灾备。

RTO/RPO：HIS 系统 RTO≤15 分钟，RPO≤10 分钟。

恢复演练：每季度灾备切换演练，保留报告。

5.****中心

集中管控：对安全设备（FW/IDS/ 审计 / EDR）统一监控、策略下发、日志汇总。

态势感知：实时展示资产、漏洞、威胁、告警、合规仪表盘。

三、安全管理要求

管理制度：安全策略、机房、网络、运维、数据、备份、应急、外包、培训等全套制度。

机构与人员：****管理部门/岗位，明确职责；每年2次安全培训和1次应急演练。

建设与运维：开发安全规范、上线安全测试、漏洞扫描 / 渗透测试（每季度）、补丁管理。

四、服务与工期

工期：合同签订后60 日内完成测评与整改，取得备案与测评报告。

售后：验收后1年免费售后、应急响应、漏洞预警、技术支持。

培训：对管理员、医护、运维进行等保合规与安全操作培训≥2 次。

五、关键产品资质（★）

安全设备（防火墙、IDS、审计、终端安全）须具备：

1.**部销售许可证（增强级）、

2.****中心 EAL4+/三级认证、

3.国密算法（SM2/SM3/SM4）支持。

六、测试与验收标准

1.第三方测评机构依据 GB/T 28448-2019测评，符合率≥90%、无高风险项。

2.完成网安备案并取得三级等保测评合格报告。