各潛在供應(yīng)商：
南寧市中醫(yī)醫(yī)院信息網(wǎng)絡(luò)安全等級(jí)保護(hù)整改及測評(píng)服務(wù)項(xiàng)目采購采購文件作如下修改：
一、招標(biāo)文件第4頁服務(wù)需求一覽表A分標(biāo)技術(shù)參數(shù)“服務(wù)內(nèi)容和要求”現(xiàn)修改為：
★1、總的要求
依據(jù)《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）對(duì)南寧市中醫(yī)醫(yī)院信息管理系統(tǒng)（三級(jí)）開展信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)工作，逐一出具符合國家信息安全等級(jí)保護(hù)管理部門規(guī)范要求、公安機(jī)關(guān)認(rèn)可的信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告。
2、標(biāo)準(zhǔn)依據(jù)
《信息安全等級(jí)保護(hù)管理辦法》（公通字[2007]43號(hào)）
《信息系統(tǒng)安全等級(jí)保護(hù)實(shí)施指南》（GB/T 25058-2010）
《信息系統(tǒng)安全等級(jí)保護(hù)定級(jí)指南》（GB/T 22240-2008）
《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》（GB/T 22239-2008）
《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)要求》（GB/T 28448-2012）
《信息系統(tǒng)安全等級(jí)保護(hù)測評(píng)過程指南》（GB/T 28449-2012）
本次信息系統(tǒng)等級(jí)測評(píng)服務(wù)項(xiàng)目的實(shí)施流程、技術(shù)方法必須嚴(yán)格執(zhí)行國家相關(guān)標(biāo)準(zhǔn)規(guī)范。
3、測評(píng)原則
（1）客觀性和公正性原則
測評(píng)工作雖然不能完全擺脫個(gè)人主張或判斷，但測評(píng)人員應(yīng)當(dāng)在沒有偏見和最小主觀判斷情形下，按照測評(píng)雙方相互認(rèn)可的測評(píng)方案，基于明確定義的測評(píng)方法和過程，實(shí)施測評(píng)活動(dòng)。
（2）經(jīng)濟(jì)性和可重用性原則
基于測評(píng)成本和工作復(fù)雜性考慮，鼓勵(lì)測評(píng)工作重用以前的測評(píng)結(jié)果，包括商業(yè)安全產(chǎn)品測評(píng)結(jié)果和信息系統(tǒng)先前的安全測評(píng)結(jié)果。所有重用的結(jié)果，都應(yīng)基于這些結(jié)果還能適用于目前的系統(tǒng)，能反映目前系統(tǒng)的安全狀態(tài)。
（3）可重復(fù)性和可再現(xiàn)性原則
無論誰執(zhí)行測評(píng)，依照同樣的要求，使用同樣的方法，對(duì)每個(gè)測評(píng)實(shí)施過程的重復(fù)執(zhí)行都應(yīng)該得到同樣的測評(píng)結(jié)果?？稍佻F(xiàn)性體現(xiàn)在不同測評(píng)者執(zhí)行相同測評(píng)的結(jié)果的一致性。可重復(fù)性體現(xiàn)在同一測評(píng)者重復(fù)執(zhí)行相同測評(píng)的結(jié)果的一致性。
（4）符合性原則
測評(píng)所產(chǎn)生的結(jié)果應(yīng)當(dāng)是在對(duì)測評(píng)指標(biāo)的正確理解下所取得的良好的判斷。測評(píng)實(shí)施過程應(yīng)當(dāng)使用正確的方法以確保其滿足了測評(píng)指標(biāo)的要求。
★4、測評(píng)內(nèi)容
信息系統(tǒng)的安全等級(jí)測評(píng)內(nèi)容應(yīng)包括技術(shù)和管理兩大類，其中技術(shù)類應(yīng)包括對(duì)物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全及備份恢復(fù)等方面的測評(píng)，管理類測評(píng)應(yīng)包括對(duì)安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運(yùn)維管理等方面的測評(píng)。
5、測評(píng)方法
在測評(píng)實(shí)施過程中，應(yīng)采用訪談、檢查和測試等測評(píng)方法進(jìn)行，并與國家相關(guān)規(guī)范及標(biāo)準(zhǔn)的要求相符。其中，訪談是指測評(píng)人員通過引導(dǎo)信息系統(tǒng)相關(guān)人員進(jìn)行有目的的（有針對(duì)性的）交流以幫助測評(píng)人員理解、分析或取得證據(jù)的過程，檢查是指測評(píng)人員通過對(duì)測評(píng)對(duì)象（如管理制度、操作記錄、安全配置等）進(jìn)行觀察、查驗(yàn)、分析以幫助測評(píng)人員理解、分析或取得證據(jù)的過程，測試是測評(píng)人員使用預(yù)定的方法/工具使測評(píng)對(duì)象產(chǎn)生特定的行為，通過查看和分析結(jié)果以幫助測評(píng)人員獲取證據(jù)的過程。
6、服務(wù)成果
測評(píng)完成后，出具符合國家信息安全等級(jí)保護(hù)管理部門規(guī)范要求、公安機(jī)關(guān)認(rèn)可的信息系統(tǒng)安全等級(jí)測評(píng)報(bào)告。
其他內(nèi)容不變。
南寧市建昶建設(shè)工程監(jiān)理咨詢有限責(zé)任公司
2019年10月23日