根據(jù)《衛(wèi)生行業(yè)信息安全等級(jí)保護(hù)工作的指導(dǎo)意見》及市衛(wèi)計(jì)委要求，我院擬對(duì)醫(yī)院重要信息系統(tǒng)進(jìn)行信息安全等級(jí)保護(hù)測(cè)評(píng)工作。

一、項(xiàng)目總體需求：

1、本次等級(jí)保護(hù)測(cè)評(píng)對(duì)象為臨床信息系統(tǒng)（CIS）、婦幼保健信息系統(tǒng)，2個(gè)系統(tǒng)的信息安全保護(hù)等級(jí)均定為3級(jí)。

2、對(duì)以上2個(gè)重要信息系統(tǒng)進(jìn)行等級(jí)保護(hù)差距測(cè)評(píng)。客觀的評(píng)價(jià)以上2個(gè)重要信息系統(tǒng)在等級(jí)保護(hù)工作中取得的成績，按照科學(xué)的評(píng)估方法，對(duì)信息系統(tǒng)的安全現(xiàn)狀進(jìn)行等級(jí)保護(hù)差距測(cè)評(píng)，分析信息系統(tǒng)保護(hù)現(xiàn)狀和信息安全等級(jí)保護(hù)基本要求之間的差距，評(píng)估目前2個(gè)信息系統(tǒng)是否符合國家及行業(yè)等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)，并出具等級(jí)保護(hù)測(cè)評(píng)報(bào)告，為開展系統(tǒng)等級(jí)保護(hù)整改建設(shè)奠定基礎(chǔ)。

3、協(xié)助我院建立信息安全等級(jí)保護(hù)管理體系。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，參照《信息系統(tǒng)安全管理要求》、《信息系統(tǒng)安全工程管理要求》等標(biāo)準(zhǔn)規(guī)范要求，結(jié)合等級(jí)保護(hù)測(cè)評(píng)報(bào)告提出的安全管理體系與等級(jí)保護(hù)基本要求之間的差距，在信息安全管理制度、安全管理機(jī)構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運(yùn)維管理等方面指導(dǎo)并協(xié)助建立健全符合相應(yīng)等級(jí)要求的安全管理制度。

4、協(xié)助我院進(jìn)行信息安全等級(jí)保護(hù)安全技術(shù)整改。根據(jù)《信息安全等級(jí)保護(hù)管理辦法》和《信息系統(tǒng)安全等級(jí)保護(hù)基本要求》，結(jié)合等級(jí)保護(hù)測(cè)評(píng)報(bào)告提出的安全防護(hù)現(xiàn)狀與等級(jí)保護(hù)基本要求之間的差距，綜合重要信息系統(tǒng)的特點(diǎn)，明確安全需求，設(shè)計(jì)符合相應(yīng)等級(jí)要求的信息系統(tǒng)安全技術(shù)建設(shè)整改方案，協(xié)助開展信息安全等級(jí)保護(hù)安全技術(shù)措施建設(shè)，落實(shí)相應(yīng)的物理安全、網(wǎng)絡(luò)安全、主機(jī)安全、應(yīng)用安全和數(shù)據(jù)安全等安全保護(hù)技術(shù)措施。

5、完成信息安全等級(jí)保護(hù)的最終測(cè)評(píng)。在指導(dǎo)和協(xié)助我院對(duì)信息系統(tǒng)安全等級(jí)保護(hù)整改建設(shè)項(xiàng)目完成之后，對(duì)信息系統(tǒng)進(jìn)行最終測(cè)評(píng)，提交各信息系統(tǒng)的測(cè)評(píng)報(bào)告，完成測(cè)評(píng)備案工作。

二、具體工作內(nèi)容：

1、現(xiàn)場(chǎng)測(cè)評(píng)：根據(jù)已編制的相關(guān)等級(jí)保護(hù)測(cè)評(píng)指導(dǎo)書對(duì)信息系統(tǒng)中的相關(guān)資產(chǎn)進(jìn)行測(cè)評(píng)項(xiàng)的檢查、記錄檢查結(jié)果。

2、系統(tǒng)調(diào)研：在南通市婦幼保健院相關(guān)人員的協(xié)助下，對(duì)現(xiàn)有信息系統(tǒng)功能模塊、數(shù)據(jù)流向、用戶群體等進(jìn)行調(diào)研。

3、安全調(diào)研：通過問卷調(diào)查、日志收集、工具掃描、策略分析等手段，了解南通市婦幼保健院當(dāng)前信息安全現(xiàn)狀。

4、分析整改：根據(jù)前述工作內(nèi)容，分析信息系統(tǒng)安全情況與等級(jí)保護(hù)基本要求的差距，指導(dǎo)南通市婦幼保健院完成相關(guān)的資產(chǎn)安全配置及管理方面的整改。

5、結(jié)論報(bào)告：根據(jù)前述工作內(nèi)容，分析當(dāng)前信息系統(tǒng)安全保護(hù)能力是否符合相應(yīng)等級(jí)的安全要求，編制相關(guān)系統(tǒng)“等級(jí)保護(hù)測(cè)評(píng)報(bào)告”給出測(cè)評(píng)結(jié)論，并編制合理的安全改進(jìn)建議。

三、項(xiàng)目實(shí)施原則：

1、客觀性和公正性原則：測(cè)評(píng)人員應(yīng)當(dāng)沒有偏見，在最小主觀判斷情形下，按照評(píng)估雙方相互認(rèn)可的評(píng)估方案，基于明確定義的測(cè)評(píng)方式和解釋，實(shí)施評(píng)估活動(dòng)。

2、可重復(fù)性和可再現(xiàn)性原則：依照同樣的要求，使用同樣的評(píng)估方式，對(duì)每個(gè)評(píng)估實(shí)施過程的重復(fù)執(zhí)行應(yīng)該得到同樣的結(jié)果。可再現(xiàn)性和可重復(fù)性的區(qū)別在于，前者與不同評(píng)估者評(píng)估結(jié)果的一致性有關(guān)，后者與同一評(píng)估者評(píng)估結(jié)果的一致性有關(guān)。

3、連續(xù)性原則：確保在高速變化的信息安全環(huán)境中，在有效的服務(wù)期間內(nèi)，保證采購方風(fēng)險(xiǎn)評(píng)估結(jié)論的準(zhǔn)確性和及時(shí)性，對(duì)于采購方單位新增設(shè)的信息資產(chǎn)和服務(wù)，或新建立的信息化項(xiàng)目，進(jìn)行局部系統(tǒng)的重新評(píng)估。從經(jīng)濟(jì)上，降低了采購方單位的成本，從信息安全性上，保證信息安全測(cè)評(píng)的動(dòng)態(tài)穩(wěn)定性。

4、擴(kuò)展性原則：在評(píng)估過程結(jié)束后，信息安全測(cè)評(píng)過程要保持?jǐn)U展性，從擴(kuò)展的屬性上進(jìn)一步加強(qiáng)測(cè)評(píng)結(jié)束后采購方的安全管理有效性和可用性。

5、保密原則：在測(cè)評(píng)過程中，需嚴(yán)格遵循保密原則，雙方簽訂保密協(xié)議，對(duì)服務(wù)過程中涉及到的任何用戶信息未經(jīng)允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購方利益。

6、互動(dòng)原則：在整個(gè)測(cè)評(píng)過程中，強(qiáng)調(diào)采購方的互動(dòng)參與，每個(gè)階段都能夠及時(shí)根據(jù)采購方的要求和實(shí)際情況對(duì)測(cè)評(píng)的內(nèi)容、方式做出相關(guān)調(diào)整，進(jìn)而更好的進(jìn)行風(fēng)險(xiǎn)評(píng)估工作。

7、最小影響原則：測(cè)評(píng)工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對(duì)業(yè)務(wù)的正常運(yùn)行產(chǎn)生明顯的影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無法避免，則應(yīng)做出說明。

8、規(guī)范性原則：信息安全等級(jí)保護(hù)測(cè)評(píng)服務(wù)的實(shí)施必須由專業(yè)的測(cè)評(píng)服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對(duì)操作過程和結(jié)果要有相應(yīng)的記錄，并提供完整的服務(wù)報(bào)告。

9、質(zhì)量保障原則：在整個(gè)測(cè)評(píng)過程中，須特別重視項(xiàng)目質(zhì)量管理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目實(shí)施方案和流程進(jìn)行，并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督，控制項(xiàng)目的進(jìn)度和質(zhì)量。

四、項(xiàng)目實(shí)施要求：

1、本項(xiàng)目測(cè)評(píng)駐場(chǎng)人員要求：本次測(cè)評(píng)至少需要1名高級(jí)測(cè)評(píng)師，2名中級(jí)測(cè)評(píng)師。本次等保測(cè)評(píng)項(xiàng)目不得轉(zhuǎn)包或者分包，所有駐場(chǎng)測(cè)評(píng)師必須是中標(biāo)公司自己的正式在職員工,所有駐場(chǎng)測(cè)評(píng)師必須持證上崗，響應(yīng)文件中應(yīng)提供項(xiàng)目組駐場(chǎng)人員名單以及社保主管部門出具的響應(yīng)單位為其繳納社保的證明、駐場(chǎng)人員信息安全等級(jí)測(cè)評(píng)師證書復(fù)印件及原件（若不能提供，視為放棄），未經(jīng)采購方同意，項(xiàng)目組成員不得更改。

2、測(cè)評(píng)時(shí)間要求：由于醫(yī)院本次測(cè)評(píng)所涉及的應(yīng)用系統(tǒng)重要性及特殊性，本次測(cè)評(píng)項(xiàng)目開展過程中不得占用國家規(guī)定的工作時(shí)間。

3、測(cè)評(píng)期限要求：簽訂合同后45天內(nèi)完成信息安全等級(jí)保護(hù)測(cè)評(píng)并出具報(bào)告。

五、售后服務(wù)要求：

在合同簽訂后，投標(biāo)方至少但不限于提供以下幾種形式的技術(shù)服務(wù)：

1、電話咨詢：免費(fèi)提供每周7天/每天24小時(shí)不間斷的等級(jí)保護(hù)電話支持服務(wù)；

2、重大技術(shù)問題處理：對(duì)重大的技術(shù)問題，中標(biāo)方應(yīng)協(xié)調(diào)組織技術(shù)專家小組進(jìn)行會(huì)診，以確保系統(tǒng)的正常運(yùn)行。

3、免費(fèi)培訓(xùn)服務(wù)要求：中標(biāo)方應(yīng)承諾免費(fèi)為院方培訓(xùn)系統(tǒng)維護(hù)人員和操作人員，以便在日常工作按照等級(jí)保護(hù)要求運(yùn)維診療信息系統(tǒng) 。

六、供應(yīng)商資格要求和報(bào)名時(shí)需攜帶的證明材料

1、資格要求：

①具有獨(dú)立承擔(dān)民事責(zé)任的能力；具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度；具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力；有依法繳納稅收和社會(huì)保障資金的良好記錄；參加本次采購活動(dòng)前三年內(nèi)，在經(jīng)營活動(dòng)中沒有重大違法記錄。

②法定代表人為同一個(gè)人的兩個(gè)及兩個(gè)以上法人，母公司、全資子公司及其控股公司，都不得在本項(xiàng)目的同一需求包中同時(shí)報(bào)名，一經(jīng)發(fā)現(xiàn)，即取消報(bào)名資格。

③請(qǐng)供應(yīng)商認(rèn)真對(duì)照資格要求，如不符合要求，無意或故意參與報(bào)名、投標(biāo)的，所產(chǎn)生的一切后果由供應(yīng)商承擔(dān)。弄虛作假的，除了在網(wǎng)站上曝光外，并取消參與我院項(xiàng)目采購的資格5年。

2、報(bào)名需提交的證明和材料：

①供應(yīng)商報(bào)名表(請(qǐng)見附件1)；

②報(bào)價(jià)單；

③法定代表人授權(quán)委托書及本人身份證；

④請(qǐng)按資格要求提供相應(yīng)佐證材料；

⑤駐場(chǎng)人員信息安全等級(jí)測(cè)評(píng)師證書復(fù)印件及原件

⑥提供針對(duì)我院的解決方案及系統(tǒng)功能清單。

請(qǐng)供應(yīng)商攜帶原件備查并將報(bào)名材料按順序自編目錄裝訂成冊(cè)，因未攜帶原件、未裝訂成冊(cè)的而導(dǎo)致不能報(bào)名的，由供應(yīng)商自行承擔(dān)責(zé)任。

3、資料遞交地點(diǎn)

聯(lián)系人：肖激雷

聯(lián)系電話：（0513）59008062-3；

地點(diǎn)：江蘇省南通市崇川區(qū)世紀(jì)大道399號(hào)南通市婦幼保健院信息科（行政樓416室）

4、資料提交截止時(shí)間

即日起至2015年12月25日17:00止。

南通市婦幼保健院

2015年12月17日

附件一