根據《衛生行業信息安全等級保護工作的指導意見》及市衛計委要求，我院擬對醫院重要信息系統進行信息安全等級保護測評工作。

一、項目總體需求：

1、本次等級保護測評對象為臨床信息系統（CIS）、婦幼保健信息系統，2個系統的信息安全保護等級均定為3級。

2、對以上2個重要信息系統進行等級保護差距測評。客觀的評價以上2個重要信息系統在等級保護工作中取得的成績，按照科學的評估方法，對信息系統的安全現狀進行等級保護差距測評，分析信息系統保護現狀和信息安全等級保護基本要求之間的差距，評估目前2個信息系統是否符合國家及行業等級保護的相關標準，并出具等級保護測評報告，為開展系統等級保護整改建設奠定基礎。

3、協助我院建立信息安全等級保護管理體系。根據《信息安全等級保護管理辦法》和《信息系統安全等級保護基本要求》，參照《信息系統安全管理要求》、《信息系統安全工程管理要求》等標準規范要求，結合等級保護測評報告提出的安全管理體系與等級保護基本要求之間的差距，在信息安全管理制度、安全管理機構、人員安全管理、系統建設管理、系統運維管理等方面指導并協助建立健全符合相應等級要求的安全管理制度。

4、協助我院進行信息安全等級保護安全技術整改。根據《信息安全等級保護管理辦法》和《信息系統安全等級保護基本要求》，結合等級保護測評報告提出的安全防護現狀與等級保護基本要求之間的差距，綜合重要信息系統的特點，明確安全需求，設計符合相應等級要求的信息系統安全技術建設整改方案，協助開展信息安全等級保護安全技術措施建設，落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施。

5、完成信息安全等級保護的最終測評。在指導和協助我院對信息系統安全等級保護整改建設項目完成之后，對信息系統進行最終測評，提交各信息系統的測評報告，完成測評備案工作。

二、具體工作內容：

1、現場測評：根據已編制的相關等級保護測評指導書對信息系統中的相關資產進行測評項的檢查、記錄檢查結果。

2、系統調研：在南通市婦幼保健院相關人員的協助下，對現有信息系統功能模塊、數據流向、用戶群體等進行調研。

3、安全調研：通過問卷調查、日志收集、工具掃描、策略分析等手段，了解南通市婦幼保健院當前信息安全現狀。

4、分析整改：根據前述工作內容，分析信息系統安全情況與等級保護基本要求的差距，指導南通市婦幼保健院完成相關的資產安全配置及管理方面的整改。

5、結論報告：根據前述工作內容，分析當前信息系統安全保護能力是否符合相應等級的安全要求，編制相關系統“等級保護測評報告”給出測評結論，并編制合理的安全改進建議。

三、項目實施原則：

1、客觀性和公正性原則：測評人員應當沒有偏見，在最小主觀判斷情形下，按照評估雙方相互認可的評估方案，基于明確定義的測評方式和解釋，實施評估活動。

2、可重復性和可再現性原則：依照同樣的要求，使用同樣的評估方式，對每個評估實施過程的重復執行應該得到同樣的結果。可再現性和可重復性的區別在于，前者與不同評估者評估結果的一致性有關，后者與同一評估者評估結果的一致性有關。

3、連續性原則：確保在高速變化的信息安全環境中，在有效的服務期間內，保證采購方風險評估結論的準確性和及時性，對于采購方單位新增設的信息資產和服務，或新建立的信息化項目，進行局部系統的重新評估。從經濟上，降低了采購方單位的成本，從信息安全性上，保證信息安全測評的動態穩定性。

4、擴展性原則：在評估過程結束后，信息安全測評過程要保持擴展性，從擴展的屬性上進一步加強測評結束后采購方的安全管理有效性和可用性。

5、保密原則：在測評過程中，需嚴格遵循保密原則，雙方簽訂保密協議，對服務過程中涉及到的任何用戶信息未經允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購方利益。

6、互動原則：在整個測評過程中，強調采購方的互動參與，每個階段都能夠及時根據采購方的要求和實際情況對測評的內容、方式做出相關調整，進而更好的進行風險評估工作。

7、最小影響原則：測評工作應該盡可能小地影響系統和網絡的正常運行，不能對業務的正常運行產生明顯的影響（包括系統性能明顯下降、網絡阻塞、服務中斷等），如無法避免，則應做出說明。

8、規范性原則：信息安全等級保護測評服務的實施必須由專業的測評服務人員依照規范的操作流程進行，對操作過程和結果要有相應的記錄，并提供完整的服務報告。

9、質量保障原則：在整個測評過程中，須特別重視項目質量管理。項目的實施將嚴格按照項目實施方案和流程進行，并由項目協調小組從中監督，控制項目的進度和質量。

四、項目實施要求：

1、本項目測評駐場人員要求：本次測評至少需要1名高級測評師，2名中級測評師。本次等保測評項目不得轉包或者分包，所有駐場測評師必須是中標公司自己的正式在職員工,所有駐場測評師必須持證上崗，響應文件中應提供項目組駐場人員名單以及社保主管部門出具的響應單位為其繳納社保的證明、駐場人員信息安全等級測評師證書復印件及原件（若不能提供，視為放棄），未經采購方同意，項目組成員不得更改。

2、測評時間要求：由于醫院本次測評所涉及的應用系統重要性及特殊性，本次測評項目開展過程中不得占用國家規定的工作時間。

3、測評期限要求：簽訂合同后45天內完成信息安全等級保護測評并出具報告。

五、售后服務要求：

在合同簽訂后，投標方至少但不限于提供以下幾種形式的技術服務：

1、電話咨詢：免費提供每周7天/每天24小時不間斷的等級保護電話支持服務；

2、重大技術問題處理：對重大的技術問題，中標方應協調組織技術專家小組進行會診，以確保系統的正常運行。

3、免費培訓服務要求：中標方應承諾免費為院方培訓系統維護人員和操作人員，以便在日常工作按照等級保護要求運維診療信息系統 。

六、供應商資格要求和報名時需攜帶的證明材料

1、資格要求：

①具有獨立承擔民事責任的能力；具有良好的商業信譽和健全的財務會計制度；具有履行合同所必需的設備和專業技術能力；有依法繳納稅收和社會保障資金的良好記錄；參加本次采購活動前三年內，在經營活動中沒有重大違法記錄。

②法定代表人為同一個人的兩個及兩個以上法人，母公司、全資子公司及其控股公司，都不得在本項目的同一需求包中同時報名，一經發現，即取消報名資格。

③請供應商認真對照資格要求，如不符合要求，無意或故意參與報名、投標的，所產生的一切后果由供應商承擔。弄虛作假的，除了在網站上曝光外，并取消參與我院項目采購的資格5年。

2、報名需提交的證明和材料：

①供應商報名表(請見附件1)；

②報價單；

③法定代表人授權委托書及本人身份證；

④請按資格要求提供相應佐證材料；

⑤駐場人員信息安全等級測評師證書復印件及原件

⑥提供針對我院的解決方案及系統功能清單。

請供應商攜帶原件備查并將報名材料按順序自編目錄裝訂成冊，因未攜帶原件、未裝訂成冊的而導致不能報名的，由供應商自行承擔責任。

3、資料遞交地點

聯系人：肖激雷

聯系電話：（0513）59008062-3；

地點：江蘇省南通市崇川區世紀大道399號南通市婦幼保健院信息科（行政樓416室）

4、資料提交截止時間

即日起至2015年12月25日17:00止。

南通市婦幼保健院

2015年12月17日

附件一