天柱县人民医院HIS、LIS、PACS三个系统网络安全测评服务采购项目需求公示

序号

项目内容

需求描述

备注

1

测评内容

测评系统

1.HIS系统（三级）

2.LIS系统（三级）

3.PACS系统（三级）

2

测评要求

针对三级信息系统的测评指标应包括《信息安全技术网络安全保护等级基本要求》（GB/T22239-2019）中的安全通用要求指标：安全通用要求71项，测评项211项；云计算扩展项要求16项，测评项46项，移动互联扩展项要求9项，测评项19项。

3

测评对象种类

测评对象种类主要考虑以下几个方面：

（1）机房环境、配套设施；

（2）整体网路拓扑结构；

（3）网络设备：包括路由器、核心交换机、汇聚层交换机等；

（4）安全设备，包括防火墙、IDS/IPS、防病毒网关；

（5****中心：数据库审计系统、综合安全审计系统等；

（6）数据库、中间件、终端设施（包括移动终端）、服务器等；

（7）业务应用软件、系统管理软件、APP；

（8）系统管理员、审计管理员、业务管理员和安全管理员；

（9）涉及系统安全的所有管理制度和记录。

4

安全技术测评

安全物理环境：通过人员访谈、文档审查和实地察看的方式测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在测评实施过程中涉及10个测评单元，包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。安全通信网络：通过人员访谈、配置检查和工具测试的方式测评网络系统的通信安全保障情况。主要涉及对象为网络互联设备、网络安全设备和网络拓扑结构。

5

安全区域边界：通过人员访谈、配置检查和工具测试的方式测评网络系统的区域边界安全保障情况。主要涉及对象为网络互联设备、网络安全设备、无线网络设备和网络拓扑结构。在测评实施过程中涉及6个测评单元，包

括：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。

6

安全计算环境：通过人员访谈、配置检查和工具测试的方式测评网络系统的整体运行安全保障情况，主要涉及对象为网络互联设备、网络安全设备、无线网络设备、服务器、数据库、中间件、应用系统等。在测评实施过程中涉及11个测评单元，包括：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据保密性、数据完整性、数据备份恢复、剩余信息保护、个人信息保护。

7

****中心：通过人员访谈、配置检查的方式测评信息系统的数据安全保障情况，主要涉及对象为信息系统的管理数据及业务数据等。在测评实施过程中涉及4个测评单元，包括：系统管理、审计管理、安全管理、集中管控。

8

安全管理测评

安全管理制度：通过人员访谈、文档审查和实地察看的方式测评网络系统的安全管理制度情况。在内容上，安全管理制度方面测评实施过程涉及4个测评单元，包括：安全策略、管理制度、制定和发布、评审和修订。

9

安全管理机构：通过人员访谈、文档审查的方式测评网络系统的安全管理机构情况。在内容上，安全管理机构方面测评实施过程涉及5个测评单元，包括：岗位设置、人员配备、授权和审批、沟通和**、审核和检查。

10

安全人员管理：通过人员访谈、文档审查的方式测评网络系统的人员安全管理情况。在内容上，安全人员管理方面测评实施过程涉及4个测评单元，包括：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。

11

安全建设管理：通过人员访谈、文档审查的方式测评网络系统的系统建设管理情况。在内容上，安全建设管理方面测评实施过程涉及10个测评单元，包括：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商管理。

12

安全运维管理：通过人员访谈、文档审查的方式测评网络系统的安全运维管理情况。在内容上，安全运维管理方面测评实施过程涉及14个测评单元，包括：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理；此句无错误。

13

整体测评分析

依据等级保护标准要求，完**全技术测评和安全管理测评后，需要对信息系统的安全情况开展整体测评分析。主要从安全控制点间、区域间/层面间、系统结构安全进行整体评估，总结关键风险点。单独出具单台主机的详细漏洞描述和解决建议作为后期整改依据。

14

系统安全整改分析及报告

依据系统测评结果，针对不符合项、系统漏洞和系统风险点，提出安全整改建议，并形**全整改分析及报告。

15

资质要求

服务团队人员不少于3人，均需具备等保测评师资质。项目负责人应具有等级保护高级测评师，且具备软考中级及以上信息安全工程师、注册信息安全工程师（CISP-CISE）、注册信息系统安全师（CISSP）、注册数据安全治理专业人员（CISP-DSG）及网络安全能力认证（CCSC）等证书。

16

安全服务

商用密码应用安全性评估咨询

资质要求：供应商近3年内有不少于3个密码测评服务案例，需提供案例合同复印件。服务人员应通过商用密码应用安全性评估人员测试能力考核，且具有密码技术应用员资质。

17

服务内容：服务期内投标人依据《中华人民**国密码法》《商用密码管理条例》及GB/T 39786-2021标准等国家行业标准要求，为采购人提供商用密码应用安全性评估咨询服务。服务应覆盖采购人全部已建、在建、规划信息系统，核心开展现状摸排、合规评估咨询、方案编制咨询、整改指导、备案协助及专项培训咨询。

18

数据安全风险评估咨询

服务内容：依据《数据安全技术数据安全风险评估方法》（GB/T 45577-2025）《数据安全技术数据分类分级规则》（GB/T 43697-2024）等标准，对数据安全制度体系、数据资产管理、数据分类分级保护、数据采集、数据存储、数据传输、数据使用和加工、数据提供、个人信息处理基本原则等内容提供数据安全风险评估咨询服务。

19

个人信息保护合规审计咨询

服务内容：依据《个人信息保护合规审计管理办法》及《数据安全技术个人信息保护合规审计要求》（GB/T 46903-2025）等相关标准，提供个人信息处理活动的合规性进行核查与评价咨询服务，以了解数据合规体系。

20

重保期间安全防护

服务内容：重要会议及节假日期间，将****（https://www.****.cn/）接入云防护平台，对接入云防护的网站抵挡 SQL 注入、命令注入、跨站脚本、文件包含、信息探测等常见攻击，防止网站因为漏洞导致被篡改，被拖库，被入侵；可精准识别多种自动化扫描和攻击软件，深度解析编码过的、畸形的恶意代码，并阻断其请求，减少90%以上的恶意攻击；可防止黑客上传、访问WebShell（网站后门）等。

21

安全巡检

服务内容：服务期内开展一次安全巡检服务；采用工具扫描与人工核查相结合的方式，对信息系统开展周期性安全检查。重点核查网络设备、服务器、安全设备、应用系统及数据库的运行状态、账户权限、策略配置、漏洞隐患、日志审计等内容，排查弱口令、高危漏洞、违规外联、配置不合规等安全风险。巡检后形成巡检报告，提出整改建议，对存在的问题进行整改及时消除安全隐患，保障信息系统持续稳定、合规安全运行。

服务成果：提供安全巡检报告、漏洞扫描报告。形成风险问题清单及整改优先级建议，全面呈现系统安全态势，为后续安全加固与合规整改提供依据。

22

应急响应

响应时限：服务期内，当发生网络安全事件时，工作日在15分钟内响应、1小时到达；非工作日在30分钟内响应、2小时到达。