2017年6月1日《中华人民共和国网络安全法》正式施行，其中第二十一条明确了国家实行网络安全等级保护制度。为了提升我院信息安全性，2024年我院拟按照网络安全等级保护制度2.0标准对我院信息（HIS、LIS、PACS、EMR）系统及互联网医院进行等级保护测评，并于近期进行等级保护测评的市场调研询价，其中因参与询价企业相关要求和数量未达标；现拟调整市场调研需求及延长期限。欢迎有意参与的企业积极报名参加。具体如下：

一、调研内容及需求

（一）项目名称：医院信息（HIS、LIS、PACS、EMR）系统、互联网医院等级保护测评

（二）项目需求：

1. 总的要求

依照《中华人民共和国网络安全法》《信息系统安全等级保护管理办法》，以及自治区公安厅等相关文件的要求，依据《网络安全等级保护基本要求》（GB/T 22239-2019）对医院信息（HIS、LIS、PACS、EMR）系统（三级）和互联网医院（三级）开展网络安全等级保护测评工作；并出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统网络安全等级测评报告。

基本原则：逐一出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告；测评方案的设计与实施应依据国内、国际的相关标准进行；测评服务商工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制；测评的方法和过程要在双方认可的范围之内，安全咨询的进度要按照进度表进度的安排，保证采购方对于服务工作的可控性；安全体系设计的范围和内容应当整体全面，包括安全涉及的各个层面，避免由于遗漏造成未来的安全隐患；测评工作应尽可能小地影响系统和网络的正常运行，不能对招标方各系统的运行和业务的正常开展造成影响；对测评过程中获得的采购方数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害采购方利益的行为。

2. 标准依据

等级保护测评过程中，必须依照以下标准：

《信息系统安全等级保护定级指南》（GB/T22240-2020）

《计算机信息系统安全保护等级划分准则》（GB 17859-1999）

《网络安全等级保护基本要求》（GB/T 22239-2019）

《网络安全等级保护测评要求》（GB/T 28448-2019）

《网络安全等级保护测评过程指南》（GB/T 28449-2018）

《网络安全等级保护设计技术要求》（GB/T 25070-2019）

《网络安全等级保护测试评估技术指南》（GB/T 36627-2018）

3. 测评内容

（1）安全通用要求

安全通用要求测评内容应包括安全技术和安全管理两大类，其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评，安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。

（2）安全扩展要求

如本项目执行时发现等级保护对象涉及测评标准安全扩展要求（云计算、移动互联网、物联网、大数据、工业控制）方面内容的，则根据实际情况选定适用的安全扩展要求测评内容开展本项目测评工作。

4. 测评方法

在测评实施过程中，应采用访谈、检查和测试、渗透测试等测评方法进行，并与国家相关规范及标准的要求相符。

访谈是指测评人员通过引导信息系统相关人员进行有目的的（有针对性的）交流以帮助测评人员理解、分析或取得证据的过程；

检查是指测评人员通过对测评对象（如管理制度、操作记录、安全配置等）进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程；

测试是测评人员使用预定的方法/工具使测评对象产生特定的行为

文章推荐：

天津公司国能（天津）大港发电厂有限公司-2×660mw关停替代项目档案管理系统-询价采购-物资

福建公司晋江热电2024年7月流量计及热网监控系统配件（技术要求见附件）询价采购

宁夏电力鸳鸯湖一期发电机转子匝间保护装置安全状况完善物资项目询价采购

宁夏电力鸳鸯湖一期330kv断路器分相操作开关非全相回路改造升级项目询价采购