北京新华卓越康复医院

三级等保测评询价函

一、项目概况：

北京新华卓越康复医院为深入贯彻落实《中华人民共和国网络安全法》《信息安全等级保护管理办法》《网络安全等级保护制度2.0》等相关法律法规及政策要求，切实提升我单位信息系统的整体安全防护水平，防范网络攻击、数据泄露等安全风险，保障核心业务系统的持续稳定运行和敏感数据的机密性、完整性与可用性，现根据《国家健康医疗大数据标准、安全和服务管理办法（试行）的通知》，计划对我单位相关信息系统开展信息安全等级保护第三级（简称“三级等保”）测评工作。此次测评是落实网络安全主体责任的重要举措，也是我单位年度信息安全建设的关键环节。为确保测评工作的专业性、公正性与实效性，现面向社会公开邀请具备相应资质的第三方等保测评服务机构参与本次服务询价，诚挚欢迎贵单位提交报价文件及技术服务方案。

二、项目内容：

1. 项目名称：北京新华卓越康复医院信息系统三级等保测评服务项目。

2. 测评对象：医院医疗业务系统（一体化集成系统，C/S架构）。

  HIS系统（医院信息系统）：涵盖门诊挂号、住院管理、医嘱处理、药品管理、费用结算等核心业务模块；

  网络基础设施：核心交换机、防火墙、入侵检测/防御系统（IDS/IPS）、日志审计系统、堡垒机、终端安全管理平台等。

  特别要求：在等保测评开展之前，为医院提供系统化、全方位的等保标准解读与技术指导，协助医院深入理解等级保护的各项要求，针对信息机房的迁移与改造工作提供可行性方案与安全建议（包括但不限于场地选址、设备摆放、环境要求、地面承重数据、硬件配备建议），需要全程参与规划、设计与实施环节，有效规避潜在风险，全面提升信息系统的防护能力，切实保障医院业务连续性，确保迁移后的机房完全符合等保合规要求，实现安全、稳定、高效运行顺利通过等保测评。

贵单位需提供全面、专业、合规的等级保护测评服务，具体包括但不限于以下内容：

1. 全面合规性测评：对我院上述医疗信息系统群开展全覆盖、无死角的等级保护符合性测评，涵盖技术层面五大维度（物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、安全管理中心）以及管理层面五大领域（安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理），确保各子系统均满足三级等保要求；

2. 标准化现场测评实施：依据国家标准流程，采用访谈、文档检查、配置核查、工具测试、渗透测试等方式采集证据，形成完整、可追溯的测评记录，并最终出具正式、合法、有效的《信息安全等级保护测评报告》，报告须满足属地公安机关网安部门的备案审查要求，并可用于后续监督检查；

3. 问题诊断与整改建议：在测评过程中如发现安全隐患、配置缺陷、权限滥用、日志缺失或管理漏洞，应详细记录并形成《问题清单与整改建议书》，提出具有可操作性的技术整改方案和管理优化建议，明确整改优先级、责任部门与时间节点；

4. 整改技术支持与复测验证：提供必要的整改技术支持，协助我院制定整改计划，指导完成安全加固措施的实施（如防火墙策略优化、账户权限清理、日志集中审计配置、漏洞修补等），并在整改完成后进行复测验证，确保系统整体达到三级等保合规要求；

5. 备案协助与主管部门对接：协助我单位完成向公安机关网安部门的备案材料准备、提交及后续沟通工作，配合通过主管部门的技术审查与现场核验，确保顺利取得备案证明；

6. 专题培训与意识提升：针对我院信息科、医务科、护理部及相关临床科室的信息安全管理与使用人员，提供不少于一次的等保合规专题培训或集中答疑，内容可包括等保2.0政策解读、医疗数据保护要求、测评流程说明、常见问题解析等，以提升全员安全意识与合规操作能力；

7. 严格履行保密义务：签署保密协议，在服务全过程中小心保管我院的患者数据、病历信息、网络拓扑、系统配置、账号权限等敏感信息，不得以任何形式复制、传播或用于其他用途；

8. 项目文档交付：测评工作结束后，提交完整的项目文档资料，包括测评方案、测评记录、原始数据、问题清单、整改建议、复测报告、最终测评报告等，确保过程可追溯、结果可验证。

三、参与要求

1. 法定资质完备

1) 必须持有公安部网络安全保卫局颁发的《网络安全等级测评与检测评估机构服务认证证书》，且在有效期内，认证范围明确包含“第三级信息系统等级保护测评”；

2) 提供证书扫描件及公安部官网查询截图作为佐证材料；

3) 若证书信息未在官方平台公开，需提供发证机关出具的书面证明。

2. 主体资格合法合规

1) 具备独立法人资格，持有有效的统一社会信用代码营业执照；

2) 经营范围应明确包含“信息安全测评”“等级保护测评”或“网络安全检测评估”等相关内容；

3) 不接受分公司或分支机构独立投标，除非获得总公司唯一授权并提供加盖公章的授权书。

3. 专业技术团队配置

1) 项目团队须配备不少于3名持有“信息安全等级保护测评师”资格证书的专业技术人员（提供证书编号及中国网络安全审查技术与认证中心官网查询结果）；

2) 其中至少1人为高级测评师或具备5年以上等保测评经验，并拟任本项目技术负责人；

3) 所有参与现场测评的人员须提供近6个月内的社保证明，确保为投标单位正式员工；

4) 团队成员无犯罪记录和不良执业行为，需签署《保密承诺书》和《职业道德承诺书》。

4. 项目经验与业绩要求

1) 近三年内在北京市成功完成不少于3个第三级及以上医疗机构信息系统的等级保护测评项目（北京市丰台区医疗机构相关优先选择）；

2) 每个案例需提供以下证明材料：

3) 测评合同关键页（含项目名称、金额、服务内容、双方签章）；

4) 用户单位出具的验收报告或正式测评报告封面页；

5) 项目所属行业与我单位系统类型相似者优先（如金融、医疗、政务、教育等行业）；

6) 所有业绩须在全国等级保护网或省级公安网安部门备案系统中可查证。

5. 信用状况与合规记录

1) 未被列入“国家企业信用信息公示系统”经营异常名录或严重违法失信名单；

2) 未被“信用中国”网站列入失信被执行人、重大税收违法案件当事人；

3) 近三年内无因测评失误、数据泄露、虚假报告等被监管部门处罚或客户投诉并查实的记录；

4) 需提供“信用中国”及“国家企业信用信息公示系统”的查询截图作为附件。

6. 质量管理体系与技术能力

1) 已建立符合ISO/IEC 17020或ISO/IEC 27001标准的信息安全服务管理体系；

2) 具备标准化测评流程文档、风险控制机制和应急预案；

3) 拥有自主研发或合规使用的测评工具集，禁止使用非法或未授权的渗透测试工具；

4) 能够提供基于自动化工具与人工深度分析相结合的综合测评方案。

三、履约标准

四、补充说明与执行要求

1. 材料真实性承诺：

所有提交资料必须真实、准确、完整，一经发现虚假材料，立即取消参评资格，并保留追究法律责任的权利。

2. 现场述标与答辩：

我单位保留组织入围机构进行现场陈述与技术答辩的权利，重点考察团队专业性、方案可行性与应急响应能力。

3. 动态核查机制：

在合同履行期间，我单位有权对测评机构及其人员资质进行动态复查，若发现不符合项，有权终止合作。

五、对询价函的回复要求：

回复此询价函时，应按要求提交以下资料。 

1. 报价单：格式自拟（报价需包含所有费用，有且只有一次报价）。

2. 第三项参与要求中需要提供的内容加盖公章；

3. 营业执照副本复印件加盖公章；

4. 法定代表人身份证复印件加盖公章；

5. 开户许可证复印件加盖公章；

6. 技术参数偏离表。

7. 产品相关技术支持资料。

8. 设备及配件清单

9. 售后保障方案及服务方案（包含不限于质保期，响应速度，等）。

10. 所投产品制造商授权书；

11. 以上资料装订成册，均须加盖企业公章并密封；寄送至指定地点。

六、寄送时间及联系方式

截止接收时间：2026年 3 月 13 日17：00

如需现场踏勘请于3月12日17:00前进行联系

联系人：高鹏

联系电话：010-86412683

电子邮件：xhkfcg2683@sina.com

地点：北京市丰台区莲花池西里8号，新华康复医院北门收