2.1项目名称二、建设内容和要求耒阳市人民医院对现有的HIS系统、LIS系统、PACS系统、ENR系统等4个三级应用系统于2021年10月完成等级保护测评工作，依据国家网络安全法和其他有关网络安全等级保护测评的要求，需要对现有的这4个三级应用系统再次开展等级保护测评工作。项目概况网络安全等级保护测评服务项目建设方案耒阳市人民医院

2.3项目要求（3）测评后出具信息系统网络安全保护等级测评报告，并完成测评服务过程中其他的相关工作。（2）根据信息系统安全等级保护相关要求，对被测系统提出整改意见；（1）从信息化建设实践出发，基于《信息安全技术网络安全等级保护基本要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评要求》(GB/T28448-2019)的等级保护测评服务（等级测评内容主要包括安全物理环境（机房）、安全通信网络（网络结构、网络设备、安全设备）、安全区域边界（网络结构、网络设备、安全设备）、安全计算环境（网络设备、安全设备、操作系统、数据库、应用软件、中间件、数据）、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个安全分类的测评，测评手段主要包括：访谈、检查、测试。2.2项目内容耒阳市人民医院网络安全等级保护测评服务项目

（5）参与竞价企业需具有信息安全管理体系认证、质量管理体系认证、职业健康安全管理体系认证、环境管理体系认证证书；（4）参与竞价企业须提供第九届互联网应急中心颁发的省级《网络安全应急服务支撑单位证书》（提供证书复印件并加盖竞价企业公章）；（3）参与竞价企业须是《全国网络安全等级测评与检测评估机构目录》中的服务单位，且在5年未受到国家（及省级）网络安全等级保护工作协调小组办公室警告、处罚、整改，并提供网上(www.djbh.net）查询的证明材料；（2）参与竞价企业须具有公安部第三研究所发放的《网格安全等级测评与检测机构服务认证证书》；（提供证书复印件并加盖竞价企业公章）；（1）参与竞价企业应是中华人民共和国境内具有独立法人地位的企业；2.3.1投标人资格要求

所有检查过程均对外保密，与检查无关人员未经公司批准，不得擅自进入检查现场；在接收客户的检查项目时，应对检查项目加强监管，防止泄密。信息安全等级保护评测之前必须签订保密协议。所有检查项目，不经用户同意，不得向与检查无关人员展示；对涉及客户的检查项目、资料、检查过程和结果以及客户的知识产权、所有权等其它信息采取保密措施；对服务的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标方的责任；2.3.2保密要求（6）参与竞价企业须拥有网络安全等级保护测评师高级同时具备CISP证书；中级同时具备CISP、PMP证书。

2.4测评服务要求对接触客户检查项目、资料及其它相关信息的人员应履行为客户保护所有权的义务，不得利用客户的有关知识产权为己牟利。不得向无关人员泄露任何有关客户资料和检查结果，检查结果只能通过相关程序及约定的告知方式通知相应业务单位和个人；当客户要求用电话、图文传真或其它方式传送检查结果时，应有客户正式的书面委托并证实相关通讯方式可靠后方可执行；出具的检查报告应为客户保密，未经客户授权，不得将检查报告转交他人，不得擅自公布检查结果；在未经许可的情况下与检查无关的人员不得接触被检查项目及相关资料，不得参与检查和编制检查报告；

（2）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。（1）安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；测评的内容包括但不限于以下内容：2.4.2测评内容概述等级测评现场工作将采用访谈、检查和测试等三类方法。访谈是测评人员通过与信息系统有关人员进行交流、讨论等活动以获取证据的一种方法。检查是测评人员通过对测评对象进行观察、查验、分析等活动以获取证据的一种方法。测试是指测评人员对测评对象按照预定的方法/工具使其产生特定的响应等活动，然后通过查看、分析响应输出结果来获取证据的一种方法。2.4.1测评方法

安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范”、“安全审计”、“可信验证”等。安全区域边界安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。安全通信网络根据信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。安全物理环境

根据现场安全测评记录，针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。安全管理制度安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。安全管理中心安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据备份和恢复”等方面。安全计算环境

根据现场安全测评记录，针对信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。安全建设管理根据现场安全测评记录，针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。安全管理人员根据现场安全测评记录，针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。安全管理机构

整个测评工作的实施有以下四个阶段：2.4.3项目实施流程根据工具测试过程管理表单，使用漏洞扫描工具对信息系统的设备进行扫描，采用多种专用的漏洞扫描工具、安全分析/渗透测试工具、安全管理评估工具进行渗透测试，漏扫渗透结束后，根据目标设备的具体情况，判断漏洞验证的风险程度。漏扫渗透测试根据现场安全测评记录，针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。安全运维管理

而测评双方之间的沟通与洽谈应贯穿整个等级测评过程。流程图如下：分析和报告编制活动阶段现场测评活动阶段方案编制活动阶段测评准备活动阶段

方案编制活动

现场测评活动

沟通与洽谈

报告编制活动

积极保持与测评委托单位的良好关系，通过委托方主要联系人传达信息。定期向委托方提交项目报告，汇报项目进程，及时收集反馈信息。对于测评工作过程中产生的问题和意见分歧，及时开会协商解决。（2）项目协作与沟通风险的管理定期收集项目完成情况的数据，并将实际完成情况数据与计划进度进行比较，一旦发现实际进程晚于计划进程，立即采取纠正措施，分析项目变更的原因，评估项目变更对进度计划的影响。（1）项目进度风险的管理2.4.4项目质量管理和控制测评流程图

必须高度重视信息保密工作，加强资料管理，确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议，测评人员与测评单位之间也要有相应的约束和控制措施，按国家有关要求做好保密工作。（5）人员与数据管理告知委托方测评可能对信息系统运行带来的影响。商定测评时间，避开业务高峰期。测评人员不得直接对被测信息系统相关设备进行操作，对于检查工作，由委托方相应人员进行操作演示或现场陪同。入场前确认系统已备份。可以模拟的操作需在模拟环境中测试或进行预演操作。（4）评估风险的管理与委托方签订《现场测评授权书》。告知委托方测评可能对信息系统运行带来的影响。（3）评估引入风险的管理

2.4.5项目周期计划测评双方应签署完善的、合乎法律规范的保密协议，以约束测评双方现在及将来的行为。保密协议规定了测评双方保密方面的权利与义务。测评工作的成果属被测系统运营、使用单位所有，否则被测系统运营、使用单位将按照保密协议的要求追究法律责任。（7）签署保密协议测评人员的行为应规范，包括：测评人员进入现场佩戴工作牌；使用测评专用的电脑和工具；严格按照测评实施手册使用规范的测评技术进行测评；准确记录测评证据；不擅自评价测评结果；不将测评结果复制给非测评人员等。（6）测评人员行为

五、项目预算（采购清单）4.1完成网络安全测评后出具测评报告并通过公安部门验收的十个工作日内一次性支付合同款100%。四、支付方式3.2交货地点：耒阳市人民医院。3.1交货时间：签订合同后3个月内。三、交货安装时间及地点

按相关要求对耒阳市人民医院HIS系统、LIS系统、PACS系统、ENR系统等共计4个三级应用系统开展等级保护测评工作，设定招标控制价20万元。