2026年朝阳区基层社区卫生机构网络数据安全巡检及风险评估服务比选公告

2026年7月-2026年11月

四、具体要求

（一）项目申报单位需具有独立法人资格，持有有效的

****事业单位法人证书，项目申报单位如为分支机构，应提供分支机构的营业执照；

（二）项目申报单位具有良好的商业信誉和健全的财务会计制度，需提供近一年经****银行出具的资信证明；

（三）项目申报单位参加本次比选活动前三年内，在经营活动中没有重大违法记录，需提供书面声明函；

（四）项目申报单位未被列入“信用中国”网站失信被执行人、重大税收违法失信主体名单，未被列入“中国政府采购网”政府采购严重违法失信行为记录名单，需提供相关查询截图；

（五）项目申报单位需提供一个及以上近三年所做类似业务的证明，包括但不限于合同首页、签字页、金额页等；

（六）项目申报单位需具有网络安全风险评估服务资质；

（七）项目申报单位需提供科学可行的项目方案。

非必填。如需对服务金额进行补充说明的可填写。

非必填，项目单位根据项目情况对该项目进行具体说明。

非必填。该项目是否存在需要中介机构回避的情况，若有回避情况填写回避单位的名称即可；若不涉及具体情况说明，可填写“无”。

工作内容：2026年7月-9月，****社区卫生机构开展一次现场网络数据安全巡检及风险评估、技术指导。重点围绕网络安全、等保2.0标准、数据安全、个人信息保护等内容，现场排查各机构办公内网、业务系统、政务外网、官方公众号安全漏洞，针对网络安全、数据安全逐一梳理风险隐患，出具整改方案，指导各机构完成整改，11月份形成完整巡检整改台账，实现隐患闭环管理，并对全系统网络数据安全员提供一次为期半天的安全技术培训。

具体内容如下：

（一）网络架构安全分析

1、梳理各机构内网、政务外网、互联网边界拓扑，核查防火墙、准入设备等部署配置，排查内外网违规互通、边界防护缺失等问题并形成报告内容；

2、核查安全域划分、终端准入控制、运维通道权限、无线网络接入管控，杜绝私接路由、无线裸连、违规跨网访问并形成报告内容；

3、检查机房物理安全、设备日志留存、带宽**管控、备用链路建设，梳理架构设计缺陷与配置漏洞并形成报告内容。

（二）数据全生命周期安全管理现状评估

1、依据《数据安全法》、《医疗卫生机构网络安全管理办法》，****社区卫生机构数据安全管理制度，评估数据全生命周期安全管理制度流程等问题，提出整改建议并形成报告内容。

2、从技术侧核查数据采集、存储、传输、共享、销毁环节管控措施，重点检查数据库权限、数据备份策略、加密部署、第三方数据**安全管控；排查数据明文存储、超范围留存、无审批对外导出数据、备份失效等安全风险，出具合规评估意见。

（三）个人信息保护现状评估

1、对照《个人信息保护法》、《医疗卫生机构网络安全管理办法》，****社区卫生机构个人信息保护管理制度，评估个人信息保护管理制度流程等问题，排除违规共享、非法泄露患者信息隐患，提出整改建议并形成报告内容；

2、从合规性、收集范围、技术安全****社区卫生机构自建公众号、服务小程序、官方门户网站关于个人信息保护相关安全合规性。

（四）互联网系统安全核查

****社区卫生机构自建互联网系统（如官网、公众号、小程序）从技术侧进行深度漏洞扫描，从合规侧进行隐私保护核查。

（五）整改建议与指导

每机构汇总前述 4 项排查问题，按风险等级拆分整改项，明确整改标准及时限，贴合机构运维能力定制可落地整改方案、评估报告并进行技术指导。

（六）网络安全技术培训

1、提升全员日常办公、上网、收发邮件、使用外设的安全防范意识，减少人为失误导致的泄密、勒索病毒、钓鱼被骗事件。

2、明确岗位职责安全红线，规避因****公司财产、数据、业务损失。

3、掌握常见网络诈骗、恶意攻击识别方法，形成标准化应急处置流程。

2026年7月-2026年11月

四、具体要求

（一）项目申报单位需具有独立法人资格，持有有效的

****事业单位法人证书，项目申报单位如为分支机构，应提供分支机构的营业执照；

（二）项目申报单位具有良好的商业信誉和健全的财务会计制度，需提供近一年经****银行出具的资信证明；

（三）项目申报单位参加本次比选活动前三年内，在经营活动中没有重大违法记录，需提供书面声明函；

（四）项目申报单位未被列入“信用中国”网站失信被执行人、重大税收违法失信主体名单，未被列入“中国政府采购网”政府采购严重违法失信行为记录名单，需提供相关查询截图；

（五）项目申报单位需提供一个及以上近三年所做类似业务的证明，包括但不限于合同首页、签字页、金额页等；

（六）项目申报单位需具有网络安全风险评估服务资质；

（七）项目申报单位需提供科学可行的项目方案。

非必填。如需对服务金额进行补充说明的可填写。

非必填，项目单位根据项目情况对该项目进行具体说明。

非必填。该项目是否存在需要中介机构回避的情况，若有回避情况填写回避单位的名称即可；若不涉及具体情况说明，可填写“无”。

工作内容：2026年7月-9月，****社区卫生机构开展一次现场网络数据安全巡检及风险评估、技术指导。重点围绕网络安全、等保2.0标准、数据安全、个人信息保护等内容，现场排查各机构办公内网、业务系统、政务外网、官方公众号安全漏洞，针对网络安全、数据安全逐一梳理风险隐患，出具整改方案，指导各机构完成整改，11月份形成完整巡检整改台账，实现隐患闭环管理，并对全系统网络数据安全员提供一次为期半天的安全技术培训。

具体内容如下：

（一）网络架构安全分析

1、梳理各机构内网、政务外网、互联网边界拓扑，核查防火墙、准入设备等部署配置，排查内外网违规互通、边界防护缺失等问题并形成报告内容；

2、核查安全域划分、终端准入控制、运维通道权限、无线网络接入管控，杜绝私接路由、无线裸连、违规跨网访问并形成报告内容；

3、检查机房物理安全、设备日志留存、带宽**管控、备用链路建设，梳理架构设计缺陷与配置漏洞并形成报告内容。

（二）数据全生命周期安全管理现状评估

1、依据《数据安全法》、《医疗卫生机构网络安全管理办法》，****社区卫生机构数据安全管理制度，评估数据全生命周期安全管理制度流程等问题，提出整改建议并形成报告内容。

2、从技术侧核查数据采集、存储、传输、共享、销毁环节管控措施，重点检查数据库权限、数据备份策略、加密部署、第三方数据**安全管控；排查数据明文存储、超范围留存、无审批对外导出数据、备份失效等安全风险，出具合规评估意见。

（三）个人信息保护现状评估

1、对照《个人信息保护法》、《医疗卫生机构网络安全管理办法》，****社区卫生机构个人信息保护管理制度，评估个人信息保护管理制度流程等问题，排除违规共享、非法泄露患者信息隐患，提出整改建议并形成报告内容；

2、从合规性、收集范围、技术安全****社区卫生机构自建公众号、服务小程序、官方门户网站关于个人信息保护相关安全合规性。

（四）互联网系统安全核查

****社区卫生机构自建互联网系统（如官网、公众号、小程序）从技术侧进行深度漏洞扫描，从合规侧进行隐私保护核查。

（五）整改建议与指导

每机构汇总前述 4 项排查问题，按风险等级拆分整改项，明确整改标准及时限，贴合机构运维能力定制可落地整改方案、评估报告并进行技术指导。

（六）网络安全技术培训

1、提升全员日常办公、上网、收发邮件、使用外设的安全防范意识，减少人为失误导致的泄密、勒索病毒、钓鱼被骗事件。

2、明确岗位职责安全红线，规避因****公司财产、数据、业务损失。

3、掌握常见网络诈骗、恶意攻击识别方法，形成标准化应急处置流程。