大理州第二人民医院信息系统商用密码应用建设方案市场调研公告

为严格落实《中华人民**国密码法》《网络安全法》、GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》及国卫密码办函〔2022〕1 号等法律法规与行业文件要求，扎实推进我院等保三级核心业务信息商用密码改造工作，规范开展商用密码应用安全性评估（以下简称 “密评”），全面防范患者隐私、诊疗数据、运营信息等敏感数据安全风险。现面向社会开展信息系统商用密码应用建设方案市场调研，诚邀具备相应资质和技术能力的单位参与，现将有关事项公告如下：

一、项目基本信息

（一）项目名称

****医院信息系统商用密码应用建设项目

（二）建设单位

****

（三）项目背景

****医院信息管理系统（HIS）、实验室信息管理系统（LIS）、医学影像系统（PACS）、电子病历系统（EMR）等核心业务系统，同步配套集成门户系统、数据中心、集成平台、****医院为网络安全等级保护三级。

全院网络划分为互联外网区、内网区、DMZ区域、安全管理区四大区域，已部署防火墙、堡垒机、日志审计、态势感知、数字签名验签、时间戳、国密门禁、国密视频监控等基础安全设备。目前物理环境层面密码应用已满足标准要求，但网络通信、设备运维、应用交互、数据传输存储等环节存在明显短板：内网及互联网访问通道多采用明文传输或国际算法，堡垒机、服务器等设备仅依靠账号口令认证，患者个人信息、诊疗数据、收费信息、系统日志等核心数据明文存储，同时缺失完善的密码管理制度、全生命周期密钥管理体系，无法通过等保三级密评，存在数据泄露、篡改、非法访问等安全隐患，亟需实施商用密码专项改造。

（四） 建设范围

1. 网络和通信安全改造：对内网终端、互联网小程序、远程运维三类通信通道进行国密改造，实现通信双方身份鉴别、数据传输机密性与完整性保护。

2. 设备和计算安全改造：升级运维身份认证方式，加固远程管理通道，完善服务器、数据库等设备安全管控措施。

3. 应用和数据安全改造：实现业务系统国密身份认证、访问控制信息保护，完成全量患者隐私、诊疗、运营等重要数据加密传输与加密存储。

4. 密码体系建设：搭建全生命周期密钥管理体系，制定密码操作、运维、应急等专项管理制度。

5. 密评保障：完成系统整体合规改造，确保项目顺**过商用密码应用安全性评估。

（五）建设目标

严格依据GB/T 39786-2021等保三级标准，全面采用SM2、SM3、SM4等国产商用密码算法及合规密码产品，构建“身份可信、通信加密、数据防泄露、运维可审计、密钥可管控、管理规范化” 的密码安全体系。改造过程最大限度降低对临床诊疗、窗口收费、检验影像等核心业务的影响，改造后所有系统完全满足国家商用密码应用及密评要求，保障医院信息系统安全、稳定、持续运行。

二、方案编制要求

参与单位须结合我院现有网络架构、在用设备、业务系统现状编制完整建设方案，坚持利旧优先、安全合规、经济适用、稳定兼容、分步实施原则，具体编制内容及要求如下：

1. 现状与风险分析：结合我院物理环境、网络架构、业务系统、现有密码应用情况，分物理和环境、网络和通信、设备和计算、应用和数据、安全管理五大维度，逐项梳理现存问题、安全风险及改造必要性。

2. 总体设计：明确项目设计目标、设计原则、编制依据，绘制整体技术架构图、网络部署拓扑图，说明整体密码应用技术框架。

3. 分项实施方案：针对五**全维度制定详细技术改造方案，明确身份鉴别、数据加解密、完整性校验、访问控制、远程运维等具体技术措施；单独编制全生命周期密钥管理方案，涵盖密钥生成、存储、分发、备份、归档、销毁等全流程规则。

4. 产品及设备清单：区分利旧设备与新增设备，列明所有商用密码软硬件产品名称、型号、技术参数、数量、商用密码认证资质、功能用途，所有产品****管理局颁发的商用密码产品认证证书。

5. 系统对接改造：说明现有 HIS/LIS/PACS/EMR 等业务系统接口适配、存量数据加密迁移、功能调试、全流程测试等实施方案。

6. 管理体系建设：规划密码管理制度、岗位责任制、人员培训、保密管理、应急处置、定期密评等配套管理体系内容。

7. 实施计划：划分项目筹备、设备部署、系统联调、测试验收、制度落地等阶段，明确各阶段工期、人员配置、施工方式、业务停机保障、风险防控措施。

8. 项目报价：提供完整分项报价清单，包含硬件采购、软件部署、系统改造、施工调试、培训服务、质保服务等所有费用，可提供硬件单独部署、密码**池建设两套方案及对应报价。

9. 合规性说明：对照 GB/T 39786-2021 标准完成合规性自查，明确各项测评项达标情况、不适用项说明及风险缓解措施，承诺保障系统通过密评。

10.售后服务：明确质保年限、7×24小时故障响应、设备巡检、版本升级、技术支持、人员培训等服务内容。

三、 参与单位资格条件

1. 依法在中华人民**国境内注册，具有独立法人资格，持有有效营业执照，能够独立承担民事责任。

2. 具备商用密码相关技术服务能力，熟悉医疗行业等保三级系统及商用密码应用要求，拥有医疗行业信息系统商用密码改造、密评项目相关实施案例。

3. 所投所有商用密码软硬件产品，****管理局核发的商用密码产品认证证书，相关技术人员具备密码技术从业经验。

4. 近三年内，单位及法定代表人、项目负责人无重大违法违规记录、失信记录、政府采购不良行为记录，未被列入失信被执行人、重大税收违法失信主体名单。

5. 本项目不接受联合体参与，不允许转包、分包。

四、提交材料及相关要求

（一） 提交材料清单（全部加盖单位公章）

1. 商用密码应用建设方案（含两套方案及报价），同时提交电子版；

2. 单位营业执照复印件、商用密码相关资质证书复印件；

3. 近三年同类医疗行业商用密码改造项目业绩证明（合同、中标通知书等复印件）；

4. 法定代表人身份证复印件、法定代表人授权委托书及被授权人身份证复印件；

5. 承诺书（包含资质真实、无不良记录、、方案合规、履约保障等内容）。

（二）提交时间

自本公告发布之日起5个工作日内（工作日上午 8:00-12:00，下午 14:30-17:30），逾期送达的材料不予受理。

（三）提交地点及联系方式

提交地址：****信息科

联系人：罗晓军

联系电话：136****6679

（四） 其他要求

1. 所有提交材料须密封包装，外包装标注单位名称、项目名称，材料一律不予退还，请各单位自行留存底稿。

2. 本次仅为市场情况摸底调研，不收取任何费用，调研结果仅作为我院项目前期参考，不构成正式采购邀约，后续采购事宜另行公告。

3. 参选单位可在公告期内联系我院工作人员，预约现场踏勘，实地查看系统及机房现状。

五、公告发布及解释

本****人民医院官方网站，公告解释权归****所有。

****

信息科

2026年6月9日