项目说明和采购需求

一、商务部分

1.实施期限：自项目合同签订之日起，120个工作日内完成数据安全治理工作并出具相关文件。

2.实施地点：宁夏回族自治区人民医院。

3.付款条件：按采购人要求付款。

二、技术部分

1、标的清单(服务类）

第二标段详见招标文件

2、服务标准及要求;标的详细参数：

技术要求：

一、数据分类分级服务内容

1.数据安全制度设计服务

根据采购人管理组织情况以及数据处理场景制定符合实际的《宁夏回族自治区人民医院数据安全管理办法》，内容包含但不限于目的依据、基本原则、职责分工、分类分级管理、数据全生命周期安全要求等方面。

2.数据分类分级服务

数据分类分级应依据国家、行业标准规范形成采购人数据分类规则和分级规则，同时制定《宁夏回族自治区人民医院数据分类分级指南》。应对信息系统的数据资产梳理做到全面清查，数据分类分级标识应做到字段粒度。

3.重要数据识别服务

重要数据识别应参考国家、行业标准规范形成适用于采购人的重要数据识别规则，同时制定

《宁夏回族自治区人民医院重要数据识别指南》。须根据识别指南的流程规范调研梳理各业务系统的重要数据资产，形成采购人重要数据目录。

4.数据安全培训服务

数据安全培训应做好课件设计，要求内容结构符合逻辑，整体清晰美观，培训时应讲解流畅，表达友好。培训内容包含但不限于数据安全意识、数据安全基础知识、数据安全合规要求、数据安全管理要求、数据安全威胁识别、数据泄漏防范等。

二、保密要求

对项目实施过程中所获得数据及文档等保密信息，须承担以下保密义务：

1.按要求与采购人签署保密协议。

2.主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。

3.不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的关于该项目的商业秘密。

4.不得向不承担同等保密义务的任何第三人披露采购人关于该项目的商业秘密。

5.不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用采购人关于该项目的商业秘密。

6.不论何种原因终止参与采购人关于该项目的工作后，都不得利用该项目之商业秘密为其他与采购人有竞争关系的单位服务。

7.该项目的商业秘密所有权始终全部归属采购人，中标人不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权。

8.如发现采购人关于该项目的商业秘密被泄露或者过失泄露秘密，须采取有效措施防止泄密进一步扩大，并及时向采购人报告。

三、服务要求

本次数据安全分类分级服务主要涉及采购人的重要信息系统，服务内容主要从法律法规、业务实际需求、合规性要求等方面出发，提供数据安全制度设计、数据安全分类分级、重要数据识别、数据安全培训等四项内容。

1.数据安全制度设计服务

参考国家法律法规和标准规范，调研梳理采购人业务需求、合规需求以及数据安全现状和风险，从组织层面整体考虑和设计，编制《宁夏回族自治区人民医院数据安全管理办法》。明确数据安全治理的保护目标、数据安全管理原则、组织架构、工作职责、管理要求等，用于指导各部门开展数据安全管理工作，提供数据安全管理规范依据。

2.数据安全分类分级服务

根据国家法律法规、地方规章、行业标准规范等，结合采购人数据分级分类需求和数据资产现状，开展数据分级分类工作，制定《宁夏回族自治区人民医院数据分类分级指南》。通过数据安全检测工具，对采购人重要信息系统的数据表和字段进行数据分级分类标识，形成《自治区人民医院数据分类分级清单》。帮助采购人识别敏感数据，为加强敏感数据的保护和分级管控的落实提供基础。

3.重要数据识别服务

依据《信息安全技术重要数据识别指南》（征求意见稿）以及其他行业重要数据识别相关标准规范，结合数据分类分级情况，制定《自治区人民医院重要数据识别指南》并通过人员访谈梳理各业务线的重要数据处理情况，形成《自治区人民医院重要数据资产目录》。

4.数据安全培训服务

依据《数据安全法》《个人信息保护法》相关要求，制定数据安全培训计划，建立涵盖提升数据安全意识、安全基础知识、安全法规要求、安全管理要求、安全威胁识别、泄漏防范等内容的培育课程，切实提升人员数据安全技能与意识，有效提升安全防护效能，实现数据安全管理闭环。

5.交付内容

序号成果内容 格式数量

1宁夏回族自治区人民医院数据安全管理办法*.doc 2份

2宁夏回族自治区人民医院数据分类分级指南*.doc 2份

3宁夏回族自治区人民医院数据分类分级清单*.xls 2份

4宁夏回族自治区人民医院重要数据识别指南*.doc 2份

5宁夏回族自治区人民医院重要数据目录*.doc 2份

6宁夏回族自治区人民医院数据安全培训课件*.ppt 2份

7其他项目材料 纸质、电子2份

注：①本项目形成的数据、版权、解释权归采购人所有。②现场实施活动中，使用数据安全相关辅助检测工具对采购人的信息系统进行数据识别和分类分级等，确保全面对数据资产进行全面梳理。

6.质量保证

6.1为保证数据安全治理项目质量，要求在服务过程中就数据分类分级、数据安全资产目录等方面严格按照国家相关标准要求执行。

6.2服务成果必须通过采购人组织的评审和审批。

6.3项目依据及参考：

《中华人民共和国网络安全法》

《中华人民共和国数据安全法》

《中华人民共和国个人信息保护法》

《网络安全标准实践指南-数据安全风险评估实施指引》（TC260-PG-20231A）

《卫生健康行业数据分类分级指南(试行)》

《信息安全技术信息安全风险评估规范》（GB/T20984-2022）

《信息安全技术个人信息安全规范》（GB/T35273-2020）

《信息安全技术个人信息安全影响评估指南》（GB/T39335-2020）

《信息安全技术数据安全能力成熟度模型》（GB/T37988-2019）

《信息安全技术大数据安全管理指南》（GB/T37973-2019）

《信息安全技术数据安全风险评估方法（征求意见稿）》