上海市第六人民医院22家市级医院肿瘤综合诊治(COC)子系统建设项目-上海市第六人民医院项目安全测评服务招标公告

项目名称：22****点击查看医院肿瘤综合诊治(COC)子系统建设项目-****点击查看项目安全测评服务

项目地点：本项目将在****点击查看实施和应用。

项目背景：

对22****点击查看医院肿瘤综合诊治(COC)子系统建设项目-****点击查看项目进行安全测评，确保肿瘤综合诊治(COC)子系统建设的物理环境、通信网络、区域边界、计算环境、管理中心等的安全管理符合相关规定或者批复要求，将安全测评结论作为验收重要内容。通过安全测评发现信息系统的安全现状与需要达到的安全等级或目标的差异，进行全面有效的安全整改建设，使系统在安全管理方面有针对性的加强和完善，以确保网络和信息系统的安全。

按照****点击查看-肿瘤COC****点击查看中心子系统建设方案、招标文件及合同等对应用信息系统安全建设要求，并参照GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》要求开展系统安全测评，主要测评内容至少包括：

安全物理环境：针对系统的机房、环境设备设施等对象进行核查、评估；

安全通信网络：针对系统的网络结构、通信传输等对象和内容进行核查和技术测试；

安全区域边界：针对系统的网络环境等对象进行核查和技术测试；

安全计算环境：对网络设备、安全设备、主机设备、应用系统、数据库系统等对象实施安全评估；

****点击查看中心：针对系统管理、审计管理、安全管理、集中管控等进行评估。

项目完成后，****点击查看政府58号令和市经信委《****点击查看机关信息系统建设和管理指南（试行）》的通知（沪信息为规【2007】1号）文件的要求，对****点击查看-肿瘤COC****点击查看中心子系统进行安全测评。安全评测的内容包括项目建设中实现的网络、主机、应用、数据等方面安全技术指标、安全保障措施。安全测评完成后，安全测评单位提交项目的《信息化项目安全测评报告》。

（一）测试参考规范依据及实施要求

国家及相关行业标准规范，但不限于下列文件、标准：

1、GB/T 22239-2019信息系统安全等级保护基本要求》；

2、GB/T 18336.2-2024《网络安全技术 信息技术安全评估准则 第2部分：安全功能组件》；

3、DB31/T 272-2008《计算机信息系统安全测评通用技术规范》。

4、**市第58号政府令《**市公共信息系统安全测评管理办法》

5、国家四部委联合发文的《信息安全等级保护管理办法》。

（二）安全测评服务商的要求

安全测评服务提供商必须是建设单位认可的有资质的机构。测试方应具备中国****点击查看委员会(CNAS****点击查看实验室专业资质、安全测评机构需具备系统等级保护测评资质、有相关的经营范围、在**地区拥有固定营业场所、有稳定、专业的测评团队，具有良好的信誉；具有安全测评经验和医疗卫生信息化类似测评业绩，出具的《信息化项目安全测评报告》符合市信息化项目技术验收要求。

（三）测评服务范围及期限

1、测评服务范围：22****点击查看医院肿瘤综合诊治(COC)子系统建设项目-****点击查看项目参考等保三级要求进行安全测评。

2、服务期限：合同签订后至项目验收止。

（四）测评实施

1、安全测评工作应先在项目建设上线之前在测试环境中进行第一次安全测评，在发现安全风险问题汇总后及时反馈采购人，同时配合采购人督促项目实施开发商进行问题整改。

2、待安全问题整改完成，并项目正式上线试运行后，进行第二次安全测评，发现安全问题后形成整改意见反馈采购人。

3、在开发商完成整改后，再进行一次复核测评，以保证项目上线后在安全性方面满足项目建设和相关安全标准的要求。

（四）提交文档要求

1、提交完整的项目安全测评工作计划及测评方案；

2、提交安全测评中产生的现场测试记录表、问题汇总表、整改意见表等；

3、项目安全测评工作完成后应出具相应的《信息化项目安全测评报告》。

评分细则：

（1）“*”为重要指标，不满足做无效处理；

（2）“▲”为加分指标；

（3）优先选择满足以上所有参数的供应商；若多家供应商均可满足以上所有参数，则选择价格最低的供应商；所有供应商均无法满足相关参数的，则本次采购作废。