您好,欢迎您来到南通市肿瘤医院!

三级甲等肿瘤专科医院

南通大学附属肿瘤医院

南通市第五人民医院

咨询热线:0513-86712105

 

  • 肿瘤医院
版权所有:江苏省南通市肿瘤医院 南通市第五人民医院

资讯分类

>
>
>
南通市肿瘤医院等级保护测评询价公告

南通市肿瘤医院等级保护测评询价公告

浏览量
【摘要】:
一、报价供应商资格要求  1、需具有有效期内的江苏省信息安全等级保护测评机构推荐证书。  2、具有2017年度南通市等保办备案相关证明文件。  二、服务需求  1、协助南通市肿瘤医院(南通市第五人民医院,下称肿瘤医院)信息系统“医院管理信息系统(his)、电子病历系统(emr)”进行信息安全等级保护测评服务。客观的评价以上三级信息系统在等级保护工作中取得的成绩,按照科学的评估方法,对信息系统的安全

  一、报价供应商资格要求

  1、需具有有效期内的江苏省信息安全等级保护测评机构推荐证书。

  2、具有2017年度南通市等保办备案相关证明文件。

  二、服务需求

  1、协助南通市肿瘤医院(南通市第五人民医院,下称肿瘤医院)信息系统“医院管理信息系统(his)、电子病历系统(emr)”进行信息安全等级保护测评服务。客观的评价以上三级信息系统在等级保护工作中取得的成绩,按照科学的评估方法,对信息系统的安全现状进行等级保护差距测评,分析信息系统保护现状和信息安全等级保护基本要求之间的差距,评估信息系统是否符合国家及行业等级保护的相关标准,为开展系统等级保护整改建设奠定基础。

  2、协助肿瘤医院建立信息安全等级保护管理体系。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,参照《信息系统安全管理要求》、《信息系统安全工程管理要求》等标准规范要求,结合等级保护测评报告提出的安全管理体系与等级保护基本要求之间的差距,在信息安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等方面指导并协助建立健全符合相应等级要求的安全管理制度。

  3、协助肿瘤医院进行信息安全等级保护安全技术整改。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》,结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距,综合重要信息系统的特点,明确安全需求,设计符合相应等级要求的信息系统安全技术建设整改方案,协助开展信息安全等级保护安全技术措施建设,落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

  4、提供重要信息系统的安全服务。提供肿瘤医院“医院管理信息系统(his)、电子病历系统(emr)”的渗透测试服务;重要信息系统安全事件的应急响应服务,即时响应肿瘤医院信息管理部门的技术服务要求;提供肿瘤医院信息管理部门的信息安全咨询服务,提供快捷、优质的方案建议;提供培训服务,根据肿瘤医院信息管理部门的具体需求,提供安全意识、安全产品、安全资讯等方面的技术培训。主要内容如下:

  4.1基本安全运维服务

  为我院的信息系统提供基本的安全运维服务如下:

  4.2信息系统安全评估服务

  为我院提供的信息系统安全评估服务。

  4.3咨询服务

  为我院提供的IT咨询服务内容如下:

  4.4应急响应服务

  为我院提供的应急响应服务内容如下:

  4.5培训服务

  为我院提供的培训服务内容如下:

  三、医院信息安全等级保护项目其他要求

  1、项目实施原则

  (1)客观性和公正性原则:

  测评人员应当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。

  (2)可重复性和可再现性原则:

  依照同样的要求,使用同样的评估方式,对每个评估实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同评估者评估结果的一致性有关,后者与同一评估者评估结果的一致性有关。

  (3)连续性原则:

  确保在高速变化的信息安全环境中,在有效的服务期间内,保证采购方风险评估结论的准确性和及时性,对于采购方单位新增设的信息资产和服务,或新建立的信息化项目,进行局部系统的重新评估。从经济上,降低了采购方单位的成本,从信息安全性上,保证信息安全测评的动态稳定性。

  (4)扩展性原则:

  在评估过程结束后,信息安全测评过程要保持扩展性,从扩展的属性上进一步加强测评结束后采购方的安全管理有效性和可用性。

  (5)保密原则:

  在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。

  (6)互动原则:

  在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。

  (7)最小影响原则:

  测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。

  (8)规范性原则:

  信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。

  (9)质量保障原则:

  在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。

  2、实施要求

  本次等保测评项目不得转包或者分包,所有驻场测评师必须是中标公司自己的正式在职员工,所有驻场测评师必须持证上岗,响应文件中应提供项目组驻场人员名单以及社保主管部门出具的响应单位为其缴纳社保的证明、驻场人员信息安全等级测评师证书复印件及原件(若不能提供,不得标),未经采购方同意,项目组成员不得更改。

  测评期限要求:签订合同后三个月内完成信息安全等级保护测评并出具报告。

  3、测评依据

  (1)《计算机信息系统安全保护等级划分准则》(GB17859-1999)

  (2)《信息安全技术信息系统安全等级保护定级指南》(GB/T 22240-2008)

  (3)《信息安全技术信息系统安全等级保护基本要求》(GB/T 22239-2008)

  (4)《信息安全技术信息系统安全等级保护测评要求》

  (5)《信息安全技术信息系统安全等级保护实施指南》

  4、测评流程

  本次等级测评工作包括测评准备过程、方案编制过程、测评实施过程、分析与报告编制过程等四个阶段,具体的工作流程如下图:

  四、该项目人员需求

  1、业务人员

  人员数量: 8人

  人员条件:负责主机、数据安全测评的中、高级测评师1人;负责物理、应用安全测评的中、高级测评师1人;负责网络安全测评的中、高级测评师1人;负责主机网络漏洞扫描、应用渗透测试、安全测试的中、高级测评师1人、初级以上测评师2人;负责安全管理测评的初级以上测评师2人。

  工作内容:

  2、现场管理人员

  人员数量: 3人

  人员条件:高级测评师。负责测评工作的组织协调、控制项目进度和质量,各类报告的审阅和批准。

  3、运行支持团队

  配备初级以上测评师5人成立技术支援组,随时对出现的问题进行咨询和技术处理。同时负责整改、加固方案设计、管理制度编写等。

  4、人员培训

  (1)集中培训。

  (2)岗前实习。

  (3)业务提升培训。

  a、供应商负责派驻点服务人员的人事管理。

  b、供应商要设立项目负责人,制定适合服务工作特点的详细工作服务流程与方案,制定对服务人员的考核办法。

  c、供应商要加强对服务人员的管理与培训。

  d、供应商要遵守采购人的劳动考勤纪律及其它相关规章制度,接受采购人的工作安排与指导,做好本职工作。

  五、运行质量标准

  (一)运行指标量化标准:

  评审标准

  六、预算及接收报价单时间:

  (1)本项目预算(人民币):12万。

  (2)请各报价厂商于2017年8月2日上午8:30前将报价单及相关资格文件送达南通市肿瘤医院南院行政二楼会议室。逾期不再接收。

  七、中标单位确定

  符合报价供应商资格要求和采购需求且报价最低的单位确定为本次询价采购供应商。

  八、其他

  1.交货期(服务时间): 自合同签定之日起10 天内完成。

  2.交货(服务)地点:南通市肿瘤医院指定地点。