南通市妇幼保健院等保测评服务需求公告
2015-12-17 00:00
根据《卫生行业信息安全等级保护工作的指导意见》及市卫计委要求,我院拟对医院重要信息系统进行信息安全等级保护测评工作。
一、项目总体需求:
1、本次等级保护测评对象为临床信息系统(CIS)、妇幼保健信息系统,2个系统的信息安全保护等级均定为3级。
2、对以上2个重要信息系统进行等级保护差距测评。客观的评价以上2个重要信息系统在等级保护工作中取得的成绩,按照科学的评估方法,对信息系统的安全现状进行等级保护差距测评,分析信息系统保护现状和信息安全等级保护基本要求之间的差距,评估目前2个信息系统是否符合国家及行业等级保护的相关标准,并出具等级保护测评报告,为开展系统等级保护整改建设奠定基础。
3、协助我院建立信息安全等级保护管理体系。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,结合等级保护测评报告提出的安全管理体系与等级保护基本要求之间的差距,在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。
4、协助我院进行信息安全等级保护安全技术整改。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距,综合重要信息系统的特点,明确安全需求,设计符合相应等级要求的信息系统安全技术建设整改方案,协助开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。
5、完成信息安全等级保护的最终测评。在指导和协助我院对信息系统安全等级保护整改建设项目完成之后,对信息系统进行最终测评,提交各信息系统的测评报告,完成测评备案工作。
二、具体工作内容:
1、现场测评:根据已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。
2、系统调研:在南通市妇幼保健院相关人员的协助下,对现有信息系统功能模块、数据流向、用户群体等进行调研。
3、安全调研:通过问卷调查、日志收集、工具扫描、策略分析等手段,了解南通市妇幼保健院当前信息安全现状。
4、分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,指导南通市妇幼保健院完成相关的资产安全配置及管理方面的整改。
5、结论报告:根据前述工作内容,分析当前信息系统安全保护能力是否符合相应等级的安全要求,编制相关系统“等级保护测评报告”给出测评结论,并编制合理的安全改进建议。
三、项目实施原则:
1、客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。
2、可重复性和可再现性原则:依照同样的要求,使用同样的评估方式,对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同评估者评估结果的一致性有关,后者与同一评估者评估结果的一致性有关。
3、连续性原则:确保在高速变化的信息安全环境中,在有效的服务期间内,保证采购方风险评估结论的准确性和及时性,对于采购方单位新增设的信息资产和服务,或新建立的信息化项目,进行局部系统的重新评估。从经济上,降低了采购方单位的成本,从信息安全性上,保证信息安全测评的动态稳定性。
4、扩展性原则:在评估过程结束后,信息安全测评过程要保持扩展性,从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。
5、保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
6、互动原则:在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。
7、最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
8、规范性原则:信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
9、质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
四、项目实施要求:
1、本项目测评驻场人员要求:本次测评至少需要1名高级测评师,2名中级测评师。本次等保测评项目不得转包或者分包,所有驻场测评师必须是中标公司自己的正式在职员工,所有驻场测评师必须持证上岗,响应文件中应提供项目组驻场人员名单以及社保主管部门出具的响应单位为其缴纳社保的证明、驻场人员信息安全等级测评师证书复印件及原件(若不能提供,视为放弃),未经采购方同意,项目组成员不得更改。
2、测评时间要求:由于医院本次测评所涉及的应用系统重要性及特殊性,本次测评项目开展过程中不得占用国家规定的工作时间。
3、测评期限要求:签订合同后45天内完成信息安全等级保护测评并出具报告。
五、售后服务要求:
在合同签订后,投标方至少但不限于提供以下几种形式的技术服务:
1、电话咨询:免费提供每周7天/每天24小时不间断的等级保护电话支持服务;
2、重大技术问题处理:对重大的技术问题,中标方应协调组织技术专家小组进行会诊,以确保系统的正常运行。
3、免费培训服务要求:中标方应承诺免费为院方培训系统维护人员和操作人员,以便在日常工作按照等级保护要求运维诊疗信息系统 。
六、供应商资格要求和报名时需携带的证明材料
1、资格要求:
①具有独立承担民事责任的能力;具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;有依法缴纳税收和社会保障资金的良好记录;参加本次采购活动前三年内,在经营活动中没有重大违法记录。
②法定代表人为同一个人的两个及两个以上法人,母公司、全资子公司及其控股公司,都不得在本项目的同一需求包中同时报名,一经发现,即取消报名资格。
③请供应商认真对照资格要求,如不符合要求,无意或故意参与报名、投标的,所产生的一切后果由供应商承担。弄虚作假的,除了在网站上曝光外,并取消参与我院项目采购的资格5年。
2、报名需提交的证明和材料:
①供应商报名表(请见附件1);
②报价单;
③法定代表人授权委托书及本人身份证;
④请按资格要求提供相应佐证材料;
⑤驻场人员信息安全等级测评师证书复印件及原件
⑥提供针对我院的解决方案及系统功能清单。
请供应商携带原件备查并将报名材料按顺序自编目录装订成册,因未携带原件、未装订成册的而导致不能报名的,由供应商自行承担责任。
3、资料递交地点
联系人:肖激雷
联系电话:(0513)59008062-3;
地点:江苏省南通市崇川区世纪大道399号南通市妇幼保健院信息科(行政楼416室)
4、资料提交截止时间
即日起至2015年12月25日17:00止。
南通市妇幼保健院
2015年12月17日