2026年郁南县紧密型医共体信息化平台系统等级保护测评服务项目市场调研

一、项目背景

为全面贯彻落实《中华人民**国网络安全法》对于网络安全等级保护制度的相关规定，****结合内部实际情况，按照国家网络安全等级保护相关规范与标准的要求,开展**县紧密型医共体信息化平台定级备案、测评分析、整改建设、验收测评等工作。通过统一的网络安全等级保护管理规范和技术标准，对信息系统分等级实行安全保护，并对等级保护工作的实施进行监督、管理，使落实网络安全等级保护工作后的系统网络安全防御能力得到提升并且符合国家网络安全等级保护验收要求。

二、项目目标

以国家有关信息系统安全等级保护标准要求为依据，通过开展信息系统安全等级保护测评项目，完成**县紧密型医共体信息化平台“****中心系统”“公共卫生事件应急指挥系统”“医共体决策支持系统”“****中心系统”“****中心系统”“智能公卫系统”“移动端村医一体化系统”“**云服务系统”“医共体大数据平台”九个系统的等级保护测评工作。通过采用人工访谈、工具检测、系统检测、文档分析的方式，分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护问题清单，并为确立安全策略、制**全规划、开展安全建设提供决策建议，最终完成本次项目信息系统网络安全等级保护验收测评工作，提交验收测评报告；使落实网络安全等级保护工作后的系统信息安全防御能力得到提升并且符合国家网络安全等级保护验收要求；增强信息系统安全等级保护的整体性、针对性和实效性，使信息系统安全管理更加突出重点、统一规范、科学合理，提**全保障能力，维护国家安全、社会稳定和公共利益，保障和促进信息化建设。

具体目标如下：

（一）依据GB/T22239-2019《信息安全技术 网络安全等级保护基本要求》以及《信息安全技术 网络安全等级保护测评要求》的要求，对需定级的系统进行等级保护基本要求符合性的调查，采用人工访谈、工具检测、登录系统检测、文档分析的方式分析信息系统在等级保护方面与标准要求的差距，形成信息系统等级保护问题清单；

（二）依据信息系统安全保护等级所应达到的防护要求，结合信息系统等级保护差距分析结果，对在技术、管理层面不符合等级保护标准要求的环节，采取适当的纠正措施，以达到等级保护基本要求为目的，设计信息系统等级保护体系建设方案，为后续信息系统的网络安全等级保护安全建设提供依据；

（三）依据国家等级保护的相关标准发现现有信息系统存在的信息安全问题，确保目前相应的物理安全、网络安全、主机系统安全、应用安全和数据安全、安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理均达到等级保护的防护要求，能够防护系统免受来自外部小型组织的（如自发的三两人组成的黑客组织）、拥有少量**（如个别人员能力、公开可获或特定开发的工具等）的威胁源发起的恶意攻击、一般的自然灾难（灾难发生的强度一般、持续时间短、覆盖范围小等）以及其他相当危害程度的威胁（无意失误、技术故障等）所造成的重要**损害，能够发现重要的安全漏洞和安全事件，在系统遭到损害后，能够在第一时间恢复部分功能。

三、项目依据及标准

本次项目应遵循以下相关法律法规和标准进行：

（一）政策/法律法规

《中华人民**国网络安全法》

《中华人民**国计算机信息系统安全保护条例》（国务院147号令）

《****小组关于加强信息安全保障工作的意见》（中办发[2003]27号）

《****办公厅****办公厅转发的通知》（中办发[2003]27号）

《关于印发的通知》（公通字[2004]66号文）

《关于印发的通知》（公通字[2007]43号文）

《关于开展**重要信息系统安全等级保护定级工作的通知》（公信安[2007]861号文）

《国家网****小组关于开展信息安全风险评估工作的意见》（国信办[2006]5号）

（二）技术标准

《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020）

《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）

《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019）

《信息安全技术 网络安全等级保护实施指南》（GB/T 25058-2019）

《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018）

《计算机信息系统安全保护等级划分准则》（GB17859-1999）

《信息安全技术 信息系统通用安全技术要求》（GB/T20271-2006）

《信息安全技术 网络基础安全技术要求》（GB/T20270-2006）

《信息安全技术 操作系统安全技术要求》（GB/T20272-2006）

《信息安全技术 数据库管理系统安全技术要求》（GB/T20273-2006）

《信息安全技术 服务器技术要求》（GB/T21028-2007）

《信息安全技术 终端计算机系统安全等级技术要求》（GA/T671-2006）

除上述规范以外，还遵循国家现行的相关标准和规范要求。

四、项目服务内容及要求

本次调研服务的详细内容描述如下：

按照国家信息安全等级保护的管理规范和技术标准，协助采购人接受和完成信息安全等级测评机构的测评工作，向采购人提交完整的电子版、纸质版等保测评报告，确******部门信息安全等级保护测评报告格式要求的《信息安全等级保护测评报告》，******部门完成备案，完成等级保护测评的全部工作。

（一）项目服务要求

1.等级保护测评服务要求

对信息系统安全等级保护状况进行测试评估，应包括两个方面的内容：一是安全控制测评，主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况；二是系统整体测评，主要测评分析信息系统的整体安全性。其中，安全控制测评是信息系统整体安全测评的基础。

2.等保测评内容

（1）安全技术测评

①安全物理环境：测评信息系统的物理安全保障情况。主要涉及对象为物理基础设施。在内容上，物理安全层面测评实施过程涉及10个测评单元，包括：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。

②安全通信环境：测评信息系统的通信安全保障情况。主要涉及对象为安全计算环境和安全区域之间进行信息传输及实施安全策略的相关部件及设备。在内容上，安全通信环境层面测评实施过程涉及3个测评单元，包括：网络架构、通信安全、可信验证。

③安全区域边界：测评信息系统的区域边界安全保障情况。主要涉及对象为安全计算环境边界，以及安全计算环境与安全通信网络之间实现连接并实施安全策略的相关部件或设备。在内容上，安全区域边界层面测评实施过程涉及6个测评单元，包括：边界防护、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。

④安全计算环境：安全计算环境作为内部防护的关键，承载着重要业务系统的运行，存储和处理着用户的重要数据，是保护对象的核心。安全计算环境主要对象包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等；涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份与恢复、剩余信息保护和个人信息保护。

⑤****中心：测评信息系统的安全策略及安全计算环境、安全区域边界及安全通信网络的安全机制实施统一管理的平台。在内容上，****中心层面测评实施过程涉及2个测评单元，包括：系统管理、审计管理。

（2）安全管理测评

①安全管理制度：测评信息系统的安全管理制度情况。在内容上，安全管理制度方面测评实施过程涉及3个测评单元，包括：管理制度、制定和发布、评审和修订。

②安全管理机构：测评信息系统的安全管理机构情况。在内容上，安全管理机构方面测评实施过程涉及5个测评单元，包括：岗位设置、人员配备、授权和审批、沟通和**、审核和检查。

③安全管理人员：测评信息系统的人员安全管理情况。在内容上，人员安全管理方面测评实施过程涉及5个测评单元，包括：人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。

④安全建设管理：测评信息系统的系统建设管理情况。在内容上，系统建设管理方面测评实施过程涉及9个测评单元，包括：安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择、系统测评。

⑤安全运维管理：测评信息系统的系统运维管理情况。在内容上，系统运维管理方面测评实施过程涉及13个测评单元，包括：环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、****管理中心。

（3）其他扩展测评

如涉及云计算、移动互联、物联网、工业控制和大数据等新技术、新应用领域的信息系统，需引入标准约定的相关扩展要求开展测评作业，如下：

①云计算安全扩展要求；

②移动互联安全扩展要求；

③物联网安全扩展要求；

④工业控制系统安全扩展要求。

（4）系统整体测评

从信息系统整体上测评主要目的是分析是否能够对抗相应等级威胁的角度，对安全技术测评和安全管理测评中的不符合项和部分符合项进行综合分析，分析这些不符合项或部分符合项是否会影响到信息系统整体安全保护能力的缺失。信息系统的整体测评，就是在单元测评的基础上，评价信息系统的整体安全保护能力有没有缺失，是否能够对抗相应等级的安全威胁。

信息系统整体测评从安全控制点间、层面间和区域间等方面进行安全分析和测评，并最后从系统结构安全方面进行综合分析，对系统结构进行安全测评。

（二）项目实施要求

1.工作原则

（1）保密性原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害甲方的行为。

（2）标准性原则：测评及评估方案的设计与实施应依据国家信息系统安全等级保护和医疗行业信息系统安全防护的相关标准进行。

（3）规范性原则：乙方的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（4）可控性原则：项目安排工作进度要跟上进度表的安排，保证工作的可控性。

（5）最小影响原则：测评及评估工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

（6）整体性原则：测评及评估的范围和内容应系统、全面、规范，满足等级保护和安全防护评估的相关基本要求。

2.保密要求

对本项目实施中所获得任何资料和信息严格保密，并与我单位签订保密责任书。

3.现场保密管理

工作服务现场除应满足被测设备工作环境外，应满足以下要求：

（1）网络采取和设定密级相适应的防病毒和安全防护等信息安全措施。

（2）按照设定保密等级要求对现场人员和设备，尤其是可移动存储介质进行管理。

（3）对本次项目所涉及到的有关的技术文件、数据等，按照设定密级进行管理。

4.资料的保密管理和控制

技术资料在项目过程中由项目经理专人保管，项目服务过程所需的技术资料由专人负责收发。

5.整体保密义务

成交人承担项目范围内所有技术情报和资料的保密义务，保密内容包括但不限于：内部敏感信息、测试报告、操作手册、技术文档、用户手册及采购人的所有信息、资料等。成交人在合同期内及合同终止后，未征得采购人书面同意，任何人不得向第三方泄露与合同业务有关的一切资料。不得将其用于履行本合同之外的其它用途。即使向与履行本合同有关的人员提供，也应注意保密并限于履行合同所必需的范围。

五、供应商资格要求

（一）供应商资质要求

1.具备有效的营业执照；

2.需提供网络安全等级测评与检测评估机构服务认证证书；

3.供应商同时具备中国网****认证中心颁发的信息安全服务资质认证证书（信息安全风险评估、信息安全应急处理）；

4.供应商具有网络安全等级保护测评相关软件系统软件著作权。

六、报价

（一）报价方法：提供纸质报价文件加盖公章。

（二）报价时间：2026年7月2日下午5时前

（三）报价要求

1.本次预算价为40万元，报价金额需以预算价为最高限价、超过预算价视为无效报价，报价须包含完成本项工作的全部费用。

2.报价统一开启时间：2026年7月2日下午3:00。标书代写

3.报价单位需将纸质版资料密封报送。要求报价单位必须具有有效的营业执照等相关资料，在报价统一开启时间时，报价单位未报送纸质版报价文件的，视为该单位放弃报价资格；报价文件不符合上述规定的，或在报价统一开启时间之后才报送报价文件的，视为无效报价文件。标书代写

4.供应商需提供资料：供应商/经销商证件、资质证书《网络安全服务认证证书等级保护测评服务认证》、营业执照(三证合一)、法人身份认证、法人委托书、项目方案、报价方案。注：所有文件需盖公章。

5.资料提交：书面资料、邮寄指定地址。

七、联系人信息

询价单位：****

联系人：罗小姐

联系电话：0766-****488

邮寄地址：**市**县都城镇大堤路61号****