揚州某醫(yī)院網絡安全等級保護測評服務采購意向公開(2024-JWJSYY-F3009)(第1包)

一、項目簡介

為做好重要信息系統(tǒng)網絡安全的保衛(wèi)工作，現(xiàn)對我單位2項三級系統(tǒng)（HIS、EMR）進行等保測評調研工作，通過該評測工作及時發(fā)現(xiàn)系統(tǒng)安全隱患并迅速進行整改，從而全面提升重要信息系統(tǒng)的網絡安全防護水平，以保障系統(tǒng)的安全、高效、穩(wěn)定運行。現(xiàn)我單位擬對信息化等級保護測評工作進行采購調研，最高限價11萬元。

1、等級保護測評

參照所定等級對應的技術要求進行測評分析，對評估對象的現(xiàn)狀進行分析，包括物理安全、網絡安全、主機安全、應用安全、數據安全及備份和恢復；按照用戶系統(tǒng)現(xiàn)狀對應的管理要求進行測評分析，對評估對象的現(xiàn)狀作記錄，包括安全管理制度、安全管理機構、人員安全管理、系統(tǒng)建設管理、系統(tǒng)運維管理。

2、滲透測試

選取可能發(fā)起的測試點，使用滲透測試的方式查找可能存在的滲透點,發(fā)現(xiàn)信息系統(tǒng)防護體系的薄弱環(huán)節(jié)，找出可能發(fā)生的惡意的事件和違規(guī)行為。

滲透測試工作要求：

本次滲透測試工作應當以不破壞用戶應用系統(tǒng)為前提條件，不做危害用戶應用系統(tǒng)的工作行為，遵守職業(yè)道德，遵守行業(yè)規(guī)則，嚴格遵守相關制度要求，不得擅自修改、拷貝用戶數據，不得泄露、傳播用戶的敏感信息，如有違反將負法律責任。

3、服務成果

本次安全服務應提交以下成果：出具**部門認可的《XX系統(tǒng)等級測評報告》
4、服務人員要求

1）項目實施過程中實行專人專職原則，保證各安全層面的測評全面有效，能夠發(fā)現(xiàn)實際存在安全風險，現(xiàn)場實施人員均需持有等級保護測評師證書。

2）項目組人員必須熟練掌握信息安全相關標準與規(guī)范，具備豐富的信息安全測評工作經驗，具有成熟的信息安全技術和項目管理能力，能夠應對可能的突發(fā)性安全事件應急工作。