浙江省人民醫(yī)院畢節(jié)醫(yī)院信息安全外包服務(wù)采購項(xiàng)目
市場詢價(jià)公告
根據(jù)工作需要,浙江省人民醫(yī)院畢節(jié)醫(yī)院信息安全外包服務(wù)采購項(xiàng)目,現(xiàn)對該項(xiàng)目進(jìn)行公開市場詢價(jià)���,了解服務(wù)價(jià)格����,歡迎各單位報(bào)名參加�。
一����、技術(shù)需求
| 序號 |
工作項(xiàng) |
具體要求 |
交付材料 |
| * |
★等保建設(shè)支撐服務(wù) |
服務(wù)目的:協(xié)助我院開展等級保護(hù)建設(shè)工作,為我院等級保護(hù)建設(shè)提供關(guān)鍵意見和建議�,提示我院安全建設(shè)水平。 服務(wù)內(nèi)容:協(xié)助我院開展定級備案工作���,根據(jù)我院實(shí)際情況和相關(guān)標(biāo)準(zhǔn)��,出具等級保護(hù)建設(shè)方案及建議��,并協(xié)助我也準(zhǔn)備測評及復(fù)測資料準(zhǔn)備等�����,以及測評完成后每年風(fēng)險(xiǎn)評估工作的開展等����,確保醫(yī)院等保建設(shè)工作的順利開展。并對后期網(wǎng)絡(luò)安全建設(shè)和改進(jìn)工作提供建設(shè)性意見和建議���。 *����、根據(jù)需要協(xié)助我院對現(xiàn)有系統(tǒng)進(jìn)行定級定審����,備案的資料提交; *�����、協(xié)助我院完成定級系統(tǒng)風(fēng)險(xiǎn)評估�����、安全整改等相關(guān)工作�。 服務(wù)頻次:按需提供服務(wù) |
《等級保護(hù)建設(shè)方案》 《等級保護(hù)整改意見及建議》 其他過程材料 |
| * |
★等保測評及復(fù)測服務(wù) |
服務(wù)目的:根據(jù)等級保護(hù)要求�,完成等保測評工作���,滿足相關(guān)國家法規(guī)及行業(yè)標(biāo)準(zhǔn)要求,并按要求開展復(fù)測工作��。 服務(wù)內(nèi)容:對我院現(xiàn)有系統(tǒng)開展等級保護(hù)測評工作�,出具相應(yīng)信息系統(tǒng)的《網(wǎng)絡(luò)安全等級保護(hù)測評報(bào)告》,并安全要求開展后期的復(fù)測工作����。 *、測評系統(tǒng)包括但不限于***系統(tǒng)���、***�、****系統(tǒng)測評工作 *����、針對測評發(fā)現(xiàn)的問題提供技術(shù)支持工作,提出整改意見����,指導(dǎo)用戶完成安全管理制度、安全基線��、安全漏洞、滲透測試方面的整改工作和驗(yàn)證工作�����。 *�����、根據(jù)等級保護(hù)相關(guān)要求���,對我院定級系統(tǒng)開展復(fù)測工作�����,并出具相關(guān)復(fù)測報(bào)告����。 服務(wù)頻次:*次/年 |
《網(wǎng)絡(luò)安全等級保護(hù)測評報(bào)告》 《等級保護(hù)測評差距分析及整改建議》 《網(wǎng)絡(luò)安全等級保護(hù)復(fù)測報(bào)告》 |
| * |
★漏洞掃描 |
服務(wù)目的:通過專業(yè)的自動化工具����,定期對全網(wǎng)資產(chǎn)進(jìn)行安全漏洞發(fā)現(xiàn),最大范圍發(fā)現(xiàn)網(wǎng)內(nèi)存在的安全隱患���,并提供整改建議,降低安全風(fēng)險(xiǎn)。 服務(wù)內(nèi)容:每季度對本單位網(wǎng)絡(luò)設(shè)備����、安全設(shè)備等提供一次安全掃描服務(wù),及時(shí)發(fā)現(xiàn)安全隱患并提供加固建議�。 *、使用專業(yè)的企業(yè)級漏洞掃描工具����,對全網(wǎng)資產(chǎn)進(jìn)行漏洞發(fā)現(xiàn)掃描; *�����、通過人工對掃描結(jié)果進(jìn)行分析�����,輸出手工報(bào)告��,準(zhǔn)確描述風(fēng)險(xiǎn)點(diǎn)�、風(fēng)險(xiǎn)范圍、安全隱患等問題����; *�、對客戶提供安全整改建議�����,包括漏洞修復(fù)和風(fēng)險(xiǎn)降低方案��,在保證業(yè)務(wù)持續(xù)性的同時(shí)���,最大程度降低安全隱患�����。若建議和方案中涉及軟硬采購的�,由醫(yī)院處理�,其余的由中標(biāo)方處理。 服務(wù)頻次:*次/季度 |
《**季度安全漏洞掃描分析報(bào)告》 |
| * |
★滲透測試 |
服務(wù)目的:通過人工的方式����,以黑客攻擊的視角,對醫(yī)院網(wǎng)站系統(tǒng)進(jìn)行深度的滲透測試���,最大程度發(fā)現(xiàn)***網(wǎng)站系統(tǒng)存在的安全漏洞和邏輯漏洞�����,降低網(wǎng)站系統(tǒng)被黑客入侵的可能�。 服務(wù)內(nèi)容:每年對互聯(lián)網(wǎng)網(wǎng)站提供一次深度人工滲透測試服務(wù),深入發(fā)現(xiàn)網(wǎng)絡(luò)安全風(fēng)險(xiǎn)�����,滲透測試��,滲透測試內(nèi)容至少包括注入攻擊����、跨站腳本攻擊�、錯(cuò)誤認(rèn)證和會話管理攻擊、偽造跨站請求攻擊���、安全配置錯(cuò)誤漏洞�、邏輯漏洞���、傳輸安全隱患等��。 服務(wù)頻次:*次/年 |
《**系統(tǒng)滲透測試報(bào)告》 |
| * |
★基線核查 |
服務(wù)目的:通過自動化工具或人工的方式�����,對業(yè)務(wù)系統(tǒng)�、主機(jī)進(jìn)行配置核查,發(fā)現(xiàn)安全配置不合規(guī)情況并提供整改建議�����,提升安全防御能力���。 服務(wù)內(nèi)容:提供一次全量資產(chǎn)基線核查服務(wù)��,幫助客戶了解單位資產(chǎn)配置安全情況�����。 *�����、分別系統(tǒng)不同定級���,對所有******* *******服務(wù)器及中間件進(jìn)行基線核查; *����、分別系統(tǒng)不同定級����,對所有***** *******服務(wù)器及中間件進(jìn)行基線核查��; *��、按照等保一級標(biāo)準(zhǔn)�,對單位所有辦公**開展基線排查 *���、輸出含問題總結(jié)���、風(fēng)險(xiǎn)分析、整改建議的基線核查核查報(bào)告��,并協(xié)助客戶完成整改工作�。 服務(wù)頻次:*次/年 |
《安全基線核查及分析報(bào)告》 |
| * |
★安全運(yùn)維服務(wù) |
服務(wù)目的:通過定期的巡檢、審查����、審計(jì)等手段,及時(shí)發(fā)現(xiàn)網(wǎng)內(nèi)安全隱患����,并及時(shí)進(jìn)行處置和查缺補(bǔ)漏���。 服務(wù)內(nèi)容:每月對本單網(wǎng)絡(luò)設(shè)備、安全設(shè)備提供一次安全巡檢服務(wù)����,包括安全日志分析、基線核查�、策略優(yōu)化等 *、每月對現(xiàn)場對客戶已有日志審計(jì)系統(tǒng)存儲安全日志進(jìn)行一次審計(jì)排查�,發(fā)現(xiàn)安全隱患; *�、每月對現(xiàn)場對客戶已有***/***以及其他安全設(shè)備告警日志進(jìn)行一次審查; *��、每月對現(xiàn)場對客戶服務(wù)器工作狀態(tài)進(jìn)行一次排查��,及時(shí)發(fā)現(xiàn)異常 *��、對以上安全運(yùn)維�、巡查形成科學(xué)的巡查報(bào)告; 服務(wù)頻次:*次/月 |
《**月安全巡檢報(bào)告》 《**月安全運(yùn)維服務(wù)報(bào)告》 |
| * |
策略評估與優(yōu)化 |
服務(wù)目的:對各類安全設(shè)備的防護(hù)策略進(jìn)行安全評估�����,發(fā)現(xiàn)策略弱點(diǎn),并提出策略優(yōu)化建議��。 服務(wù)內(nèi)容: *����、根據(jù)安全運(yùn)維工作需要,對安全設(shè)備自身的配置進(jìn)行變更調(diào)整�,如登錄口令、登錄方式�、密碼復(fù)雜度等設(shè)備運(yùn)維策略; *���、對安全設(shè)備業(yè)務(wù)訪問策略進(jìn)行梳理分析,發(fā)現(xiàn)過期���、冗余��、無效�、不明確用途等策略�����,根據(jù)分析結(jié)果提供優(yōu)化調(diào)整建議�;協(xié)助客戶完成優(yōu)化調(diào)整。 服務(wù)頻次:*次/年 |
《**設(shè)備策略分析報(bào)告及優(yōu)化建議》 |
| * |
★安全培訓(xùn) |
服務(wù)目的:通過安全培訓(xùn),增強(qiáng)醫(yī)院相關(guān)人員安全意識�����、安全技能���,提升人防安全水平��。 服務(wù)內(nèi)容:每年對單位人員進(jìn)行安全培訓(xùn)�����,針對安全意識�����、安全管理���、安全技術(shù)進(jìn)行針對性培訓(xùn),以加強(qiáng)人員的安全意識�����。 *���、培訓(xùn)地點(diǎn)�、形式、規(guī)模由客戶決定 *�、每場培訓(xùn)時(shí)常不低于*天(*個(gè)課時(shí)) *、需提供培訓(xùn)內(nèi)容*倍以上的培訓(xùn)主題供客戶選擇 *��、培訓(xùn)完成后需安排考試測評�,以檢驗(yàn)培訓(xùn)成果。 服務(wù)頻次:*次/年 |
《安全培訓(xùn)大綱》 《**安全培訓(xùn)課件》 《**安全培訓(xùn)測評結(jié)果》 |
| * |
★應(yīng)急響應(yīng) |
服務(wù)目的:提供安全事件響應(yīng)服務(wù)�,協(xié)助單位對在第一時(shí)間對網(wǎng)絡(luò)安全事件開展排查、分析��、溯源����、處置、恢復(fù)�����、跟蹤等服務(wù)�。 服務(wù)內(nèi)容:在發(fā)生網(wǎng)站掛馬����、主機(jī)中毒、流量異常等情況時(shí)們提供****小時(shí)遠(yuǎn)程或現(xiàn)場應(yīng)急響應(yīng)服務(wù)。 *�、當(dāng)發(fā)生重大安全事件時(shí),必須保證*小時(shí)內(nèi)到達(dá)現(xiàn)場 *��、應(yīng)急響應(yīng)應(yīng)包括事件的排查�、分析、處置���、恢復(fù)����、溯源�����、跟蹤等過程�����,并形成詳細(xì)的處置報(bào)告文檔����。 服務(wù)頻次:按需 |
《***安全事件應(yīng)急處置報(bào)告》 |
| ** |
★安全加固 |
服務(wù)目的:對上級單位公發(fā)表的安全預(yù)警和漏掃種發(fā)現(xiàn)的安全漏洞,提供安全加固建議����。 服務(wù)內(nèi)容:對上級單位公發(fā)表的安全預(yù)警和漏掃種發(fā)現(xiàn)的安全漏洞��,提供安全安全加固建議����,如有需要�,可以協(xié)助業(yè)務(wù)系統(tǒng)廠商進(jìn)行安全加固。 服務(wù)頻次:*次/季度 |
《***漏洞安全加固建議》 |
| ** |
安全預(yù)警 |
服務(wù)目的:對當(dāng)前流行的����、重大的安全事件或安全知識進(jìn)行推送,提示單位安全反應(yīng)和應(yīng)對能力��。 服務(wù)內(nèi)容:每月向指定郵箱推送當(dāng)前比較重大的安全事件預(yù)警或安全知識百科如有爭對醫(yī)療行業(yè)的特重大安全風(fēng)險(xiǎn)則實(shí)時(shí)推送���。 服務(wù)頻次:*次/每月 |
《**月安全預(yù)警/安全知識》 |
| ** |
專項(xiàng)排查 |
服務(wù)目的:對上級單位發(fā)布安全漏洞或者當(dāng)前流行的對醫(yī)療行業(yè)具有較大威脅的安全事件��,開展專項(xiàng)排查工作�,最大程度降低風(fēng)險(xiǎn)帶來的危害�。 服務(wù)內(nèi)容:對上級單位發(fā)布安全漏洞或者當(dāng)前流行的對醫(yī)療行業(yè)具有較大威脅的安全事件���,開展專項(xiàng)排查工作�����,并根據(jù)排查結(jié)果給出整改建議����,最大程度降低風(fēng)險(xiǎn)帶來的危害。 服務(wù)頻次:按需 |
《**預(yù)警專項(xiàng)排查報(bào)告及整改建議》 |
| ** |
專項(xiàng)支撐 |
服務(wù)目的:協(xié)助單位完成上級單位指派的網(wǎng)絡(luò)安全任務(wù)���。 服務(wù)內(nèi)容:按需協(xié)助單位完成上級單位指派的網(wǎng)絡(luò)安全任務(wù)���,如衛(wèi)健局的應(yīng)急演練防守等。 服務(wù)頻次:按需 |
|
| ** |
設(shè)備升級 |
服務(wù)目的:對維保期內(nèi)的安全設(shè)備進(jìn)行特征庫升級��,以獲得最新的安全防護(hù)能力��。 服務(wù)內(nèi)容:對維保期內(nèi)具有檢測功能的安全設(shè)備的特征庫進(jìn)行定期升級���,保持設(shè)備以最新特征庫運(yùn)行�����。當(dāng)發(fā)生重大漏洞時(shí)�,應(yīng)實(shí)時(shí)更新設(shè)備特征庫����。 服務(wù)頻次:按需 |
《**設(shè)備升級記錄》 |
| ** |
基線規(guī)范 設(shè)計(jì) |
服務(wù)目的:參照等保三級相關(guān)規(guī)范��,對網(wǎng)絡(luò)設(shè)備�、操作系統(tǒng)���、數(shù)據(jù)庫�����、中間件等安全基線進(jìn)行設(shè)計(jì)����,形成醫(yī)院自己的安全基線規(guī)范要求��。 服務(wù)內(nèi)容:針對交換機(jī)�����、路由器���、服務(wù)器���、**等設(shè)備進(jìn)行設(shè)備配置規(guī)范設(shè)計(jì),如禁止不必要網(wǎng)絡(luò)服務(wù)����、修改不安全的配置、使用最小特權(quán)原則對設(shè)備進(jìn)行訪問控制���、對系統(tǒng)進(jìn)行軟件升級等��,形成自己的安全基線規(guī)范要求�����。 服務(wù)頻次:*次/年 |
《**醫(yī)院安全基線規(guī)范要求》 |
二����、報(bào)名人資格要求
*.參加報(bào)價(jià)的單位必須具有獨(dú)立的企業(yè)法人資格����、獨(dú)立承擔(dān)民事責(zé)任能力且從事相關(guān)行業(yè);
*.投標(biāo)人經(jīng)營范圍符合本項(xiàng)目要求�����,具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會計(jì)制度���;
*.具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力�;
*.有依法繳納稅收和社會保障資金的良好記錄;
*.參加本次詢價(jià)采購活動前*年內(nèi)��,在經(jīng)營活動中沒有重大違法記錄���。
*.投標(biāo)公司具有《項(xiàng)目質(zhì)量管理體系認(rèn)證-*******》和《信息安全管理體系認(rèn)證-********》正式��、具有****-《信息安全服務(wù)資質(zhì)認(rèn)證信息系統(tǒng)安全運(yùn)維》證書和****-《信息安全服務(wù)資質(zhì)認(rèn)認(rèn)證-信息安全風(fēng)險(xiǎn)評估》證書����、現(xiàn)場實(shí)施人員具有計(jì)算機(jī)信息安全相關(guān)專業(yè)全日制本科及以上學(xué)歷�,具有****、***��、*****����、****-***以及網(wǎng)絡(luò)工程相關(guān)資質(zhì)。
三����、報(bào)名資料要求
*.提供公司營業(yè)執(zhí)照復(fù)印件;
*.不是法人報(bào)價(jià)的需要提供法人授權(quán)委托書及被授權(quán)人的身份證明;
*.報(bào)價(jià)單�。
注:所有復(fù)印件均應(yīng)加蓋公章。
四�、資料遞交方式
只需遞交電子版材料,發(fā)送至電子郵箱:****-*******登錄后查看***.***��,郵件名稱格式為:公司名稱+浙江省人民醫(yī)院畢節(jié)醫(yī)院信息安全外包服務(wù)采購項(xiàng)目+聯(lián)系人+聯(lián)系方式�����。
遞交資料應(yīng)包含但不限于投標(biāo)人資格要求�����、服務(wù)方案及報(bào)價(jià)���,售后服務(wù)等(格式自擬)。
五���、聯(lián)系方式
*.采購人信息
名稱:浙江省人民醫(yī)院畢節(jié)醫(yī)院
地址:畢節(jié)市七星關(guān)區(qū)廣惠路
聯(lián)系方式:采購科(****-*******)
*.代理機(jī)構(gòu)信息
名稱:登錄后查看
地址:貴陽市觀山湖區(qū)大唐·東原財(cái)富廣場*號棟*層
聯(lián)系方式:羅工(****-*******)
六��、報(bào)名材料遞交截止時(shí)間:****年*月**日**:**時(shí)
七�、其他有關(guān)事項(xiàng)
*.醫(yī)院收到報(bào)名材料后會對報(bào)名單位的資料進(jìn)行整理對比�����,為下一步?jīng)Q策提供參考,歡迎符合資格條件的供應(yīng)商報(bào)名�,僅接受電子版材料。
*.鄭重提示:該市場詢價(jià)并非采購行為�,各單位提供的相關(guān)信息僅用于提高本單位對該服務(wù)的認(rèn)知,不作為本單位采購行為的任何承諾�。
*.各單位應(yīng)嚴(yán)格遵守誠信、廉潔紀(jì)律����,否則取消資格并列入院方供應(yīng)商黑名單,有違法行為的將移交司法機(jī)關(guān)處理����。
