根據(jù)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》及市衛(wèi)計委要求，我院擬對醫(yī)院重要信息系統(tǒng)進(jìn)行信息安全等級保護(hù)測評工作。

一、項目總體需求：

1、本次等級保護(hù)測評對象為臨床信息系統(tǒng)（CIS）、婦幼保健信息系統(tǒng)，2個系統(tǒng)的信息安全保護(hù)等級均定為3級。

2、對以上2個重要信息系統(tǒng)進(jìn)行等級保護(hù)差距測評。客觀的評價以上2個重要信息系統(tǒng)在等級保護(hù)工作中取得的成績，按照科學(xué)的評估方法，對信息系統(tǒng)的安全現(xiàn)狀進(jìn)行等級保護(hù)差距測評，分析信息系統(tǒng)保護(hù)現(xiàn)狀和信息安全等級保護(hù)基本要求之間的差距，評估目前2個信息系統(tǒng)是否符合國家及行業(yè)等級保護(hù)的相關(guān)標(biāo)準(zhǔn)，并出具等級保護(hù)測評報告，為開展系統(tǒng)等級保護(hù)整改建設(shè)奠定基礎(chǔ)。

3、協(xié)助我院建立信息安全等級保護(hù)管理體系。根據(jù)《信息安全等級保護(hù)管理辦法》和《信息系統(tǒng)安全等級保護(hù)基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合等級保護(hù)測評報告提出的安全管理體系與等級保護(hù)基本要求之間的差距，在信息安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理等方面指導(dǎo)并協(xié)助建立健全符合相應(yīng)等級要求的安全管理制度。

4、協(xié)助我院進(jìn)行信息安全等級保護(hù)安全技術(shù)整改。根據(jù)《信息安全等級保護(hù)管理辦法》和《信息系統(tǒng)安全等級保護(hù)基本要求》，結(jié)合等級保護(hù)測評報告提出的安全防護(hù)現(xiàn)狀與等級保護(hù)基本要求之間的差距，綜合重要信息系統(tǒng)的特點，明確安全需求，設(shè)計符合相應(yīng)等級要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，協(xié)助開展信息安全等級保護(hù)安全技術(shù)措施建設(shè)，落實相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。

5、完成信息安全等級保護(hù)的最終測評。在指導(dǎo)和協(xié)助我院對信息系統(tǒng)安全等級保護(hù)整改建設(shè)項目完成之后，對信息系統(tǒng)進(jìn)行最終測評，提交各信息系統(tǒng)的測評報告，完成測評備案工作。

二、具體工作內(nèi)容：

1、現(xiàn)場測評：根據(jù)已編制的相關(guān)等級保護(hù)測評指導(dǎo)書對信息系統(tǒng)中的相關(guān)資產(chǎn)進(jìn)行測評項的檢查、記錄檢查結(jié)果。

2、系統(tǒng)調(diào)研：在南通市婦幼保健院相關(guān)人員的協(xié)助下，對現(xiàn)有信息系統(tǒng)功能模塊、數(shù)據(jù)流向、用戶群體等進(jìn)行調(diào)研。

3、安全調(diào)研：通過問卷調(diào)查、日志收集、工具掃描、策略分析等手段，了解南通市婦幼保健院當(dāng)前信息安全現(xiàn)狀。

4、分析整改：根據(jù)前述工作內(nèi)容，分析信息系統(tǒng)安全情況與等級保護(hù)基本要求的差距，指導(dǎo)南通市婦幼保健院完成相關(guān)的資產(chǎn)安全配置及管理方面的整改。

5、結(jié)論報告：根據(jù)前述工作內(nèi)容，分析當(dāng)前信息系統(tǒng)安全保護(hù)能力是否符合相應(yīng)等級的安全要求，編制相關(guān)系統(tǒng)“等級保護(hù)測評報告”給出測評結(jié)論，并編制合理的安全改進(jìn)建議。

三、項目實施原則：

1、客觀性和公正性原則：測評人員應(yīng)當(dāng)沒有偏見，在最小主觀判斷情形下，按照評估雙方相互認(rèn)可的評估方案，基于明確定義的測評方式和解釋，實施評估活動。

2、可重復(fù)性和可再現(xiàn)性原則：依照同樣的要求，使用同樣的評估方式，對每個評估實施過程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果?？稍佻F(xiàn)性和可重復(fù)性的區(qū)別在于，前者與不同評估者評估結(jié)果的一致性有關(guān)，后者與同一評估者評估結(jié)果的一致性有關(guān)。

3、連續(xù)性原則：確保在高速變化的信息安全環(huán)境中，在有效的服務(wù)期間內(nèi)，保證采購方風(fēng)險評估結(jié)論的準(zhǔn)確性和及時性，對于采購方單位新增設(shè)的信息資產(chǎn)和服務(wù)，或新建立的信息化項目，進(jìn)行局部系統(tǒng)的重新評估。從經(jīng)濟(jì)上，降低了采購方單位的成本，從信息安全性上，保證信息安全測評的動態(tài)穩(wěn)定性。

4、擴(kuò)展性原則：在評估過程結(jié)束后，信息安全測評過程要保持?jǐn)U展性，從擴(kuò)展的屬性上進(jìn)一步加強(qiáng)測評結(jié)束后采購方的安全管理有效性和可用性。

5、保密原則：在測評過程中，需嚴(yán)格遵循保密原則，雙方簽訂保密協(xié)議，對服務(wù)過程中涉及到的任何用戶信息未經(jīng)允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購方利益。

6、互動原則：在整個測評過程中，強(qiáng)調(diào)采購方的互動參與，每個階段都能夠及時根據(jù)采購方的要求和實際情況對測評的內(nèi)容、方式做出相關(guān)調(diào)整，進(jìn)而更好的進(jìn)行風(fēng)險評估工作。

7、最小影響原則：測評工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運行，不能對業(yè)務(wù)的正常運行產(chǎn)生明顯的影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無法避免，則應(yīng)做出說明。

8、規(guī)范性原則：信息安全等級保護(hù)測評服務(wù)的實施必須由專業(yè)的測評服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對操作過程和結(jié)果要有相應(yīng)的記錄，并提供完整的服務(wù)報告。

9、質(zhì)量保障原則：在整個測評過程中，須特別重視項目質(zhì)量管理。項目的實施將嚴(yán)格按照項目實施方案和流程進(jìn)行，并由項目協(xié)調(diào)小組從中監(jiān)督，控制項目的進(jìn)度和質(zhì)量。

四、項目實施要求：

1、本項目測評駐場人員要求：本次測評至少需要1名高級測評師，2名中級測評師。本次等保測評項目不得轉(zhuǎn)包或者分包，所有駐場測評師必須是中標(biāo)公司自己的正式在職員工,所有駐場測評師必須持證上崗，響應(yīng)文件中應(yīng)提供項目組駐場人員名單以及社保主管部門出具的響應(yīng)單位為其繳納社保的證明、駐場人員信息安全等級測評師證書復(fù)印件及原件（若不能提供，視為放棄），未經(jīng)采購方同意，項目組成員不得更改。

2、測評時間要求：由于醫(yī)院本次測評所涉及的應(yīng)用系統(tǒng)重要性及特殊性，本次測評項目開展過程中不得占用國家規(guī)定的工作時間。

3、測評期限要求：簽訂合同后45天內(nèi)完成信息安全等級保護(hù)測評并出具報告。

五、售后服務(wù)要求：

在合同簽訂后，投標(biāo)方至少但不限于提供以下幾種形式的技術(shù)服務(wù)：

1、電話咨詢：免費提供每周7天/每天24小時不間斷的等級保護(hù)電話支持服務(wù)；

2、重大技術(shù)問題處理：對重大的技術(shù)問題，中標(biāo)方應(yīng)協(xié)調(diào)組織技術(shù)專家小組進(jìn)行會診，以確保系統(tǒng)的正常運行。

3、免費培訓(xùn)服務(wù)要求：中標(biāo)方應(yīng)承諾免費為院方培訓(xùn)系統(tǒng)維護(hù)人員和操作人員，以便在日常工作按照等級保護(hù)要求運維診療信息系統(tǒng) 。

六、供應(yīng)商資格要求和報名時需攜帶的證明材料

1、資格要求：

①具有獨立承擔(dān)民事責(zé)任的能力；具有良好的商業(yè)信譽和健全的財務(wù)會計制度；具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；有依法繳納稅收和社會保障資金的良好記錄；參加本次采購活動前三年內(nèi)，在經(jīng)營活動中沒有重大違法記錄。

②法定代表人為同一個人的兩個及兩個以上法人，母公司、全資子公司及其控股公司，都不得在本項目的同一需求包中同時報名，一經(jīng)發(fā)現(xiàn)，即取消報名資格。

③請供應(yīng)商認(rèn)真對照資格要求，如不符合要求，無意或故意參與報名、投標(biāo)的，所產(chǎn)生的一切后果由供應(yīng)商承擔(dān)。弄虛作假的，除了在網(wǎng)站上曝光外，并取消參與我院項目采購的資格5年。

2、報名需提交的證明和材料：

①供應(yīng)商報名表(請見附件1)；

②報價單；

③法定代表人授權(quán)委托書及本人身份證；

④請按資格要求提供相應(yīng)佐證材料；

⑤駐場人員信息安全等級測評師證書復(fù)印件及原件

⑥提供針對我院的解決方案及系統(tǒng)功能清單。

請供應(yīng)商攜帶原件備查并將報名材料按順序自編目錄裝訂成冊，因未攜帶原件、未裝訂成冊的而導(dǎo)致不能報名的，由供應(yīng)商自行承擔(dān)責(zé)任。

3、資料遞交地點

聯(lián)系人：肖激雷

聯(lián)系電話：（0513）59008062-3；

地點：江蘇省南通市崇川區(qū)世紀(jì)大道399號南通市婦幼保健院信息科（行政樓416室）

4、資料提交截止時間

即日起至2015年12月25日17:00止。

南通市婦幼保健院

2015年12月17日

附件一