各潛在供應(yīng)商：
南寧市中醫(yī)醫(yī)院信息網(wǎng)絡(luò)安全等級保護整改及測評服務(wù)項目采購采購文件作如下修改：
一、招標文件第4頁服務(wù)需求一覽表A分標技術(shù)參數(shù)“服務(wù)內(nèi)容和要求”現(xiàn)修改為：
★1、總的要求
依據(jù)《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）對南寧市中醫(yī)醫(yī)院信息管理系統(tǒng)（三級）開展信息系統(tǒng)安全等級保護測評工作，逐一出具符合國家信息安全等級保護管理部門規(guī)范要求、公安機關(guān)認可的信息系統(tǒng)安全等級測評報告。
2、標準依據(jù)
《信息安全等級保護管理辦法》（公通字[2007]43號）
《信息系統(tǒng)安全等級保護實施指南》（GB/T 25058-2010）
《信息系統(tǒng)安全等級保護定級指南》（GB/T 22240-2008）
《信息系統(tǒng)安全等級保護基本要求》（GB/T 22239-2008）
《信息系統(tǒng)安全等級保護測評要求》（GB/T 28448-2012）
《信息系統(tǒng)安全等級保護測評過程指南》（GB/T 28449-2012）
本次信息系統(tǒng)等級測評服務(wù)項目的實施流程、技術(shù)方法必須嚴格執(zhí)行國家相關(guān)標準規(guī)范。
3、測評原則
（1）客觀性和公正性原則
測評工作雖然不能完全擺脫個人主張或判斷，但測評人員應(yīng)當在沒有偏見和最小主觀判斷情形下，按照測評雙方相互認可的測評方案，基于明確定義的測評方法和過程，實施測評活動。
（2）經(jīng)濟性和可重用性原則
基于測評成本和工作復(fù)雜性考慮，鼓勵測評工作重用以前的測評結(jié)果，包括商業(yè)安全產(chǎn)品測評結(jié)果和信息系統(tǒng)先前的安全測評結(jié)果。所有重用的結(jié)果，都應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng)，能反映目前系統(tǒng)的安全狀態(tài)。
（3）可重復(fù)性和可再現(xiàn)性原則
無論誰執(zhí)行測評，依照同樣的要求，使用同樣的方法，對每個測評實施過程的重復(fù)執(zhí)行都應(yīng)該得到同樣的測評結(jié)果?？稍佻F(xiàn)性體現(xiàn)在不同測評者執(zhí)行相同測評的結(jié)果的一致性。可重復(fù)性體現(xiàn)在同一測評者重復(fù)執(zhí)行相同測評的結(jié)果的一致性。
（4）符合性原則
測評所產(chǎn)生的結(jié)果應(yīng)當是在對測評指標的正確理解下所取得的良好的判斷。測評實施過程應(yīng)當使用正確的方法以確保其滿足了測評指標的要求。
★4、測評內(nèi)容
信息系統(tǒng)的安全等級測評內(nèi)容應(yīng)包括技術(shù)和管理兩大類，其中技術(shù)類應(yīng)包括對物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等方面的測評，管理類測評應(yīng)包括對安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等方面的測評。
5、測評方法
在測評實施過程中，應(yīng)采用訪談、檢查和測試等測評方法進行，并與國家相關(guān)規(guī)范及標準的要求相符。其中，訪談是指測評人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進行有目的的（有針對性的）交流以幫助測評人員理解、分析或取得證據(jù)的過程，檢查是指測評人員通過對測評對象（如管理制度、操作記錄、安全配置等）進行觀察、查驗、分析以幫助測評人員理解、分析或取得證據(jù)的過程，測試是測評人員使用預(yù)定的方法/工具使測評對象產(chǎn)生特定的行為，通過查看和分析結(jié)果以幫助測評人員獲取證據(jù)的過程。
6、服務(wù)成果
測評完成后，出具符合國家信息安全等級保護管理部門規(guī)范要求、公安機關(guān)認可的信息系統(tǒng)安全等級測評報告。
其他內(nèi)容不變。
南寧市建昶建設(shè)工程監(jiān)理咨詢有限責任公司
2019年10月23日