欢迎符合条件的供应商前来报名。
一、项目编号：
二、项目名称：香港大学深圳医院网络系统等保测评和安全防护保障服务采购项目
三、项目内容：

一、技术服务要求 1. 安全等级保护测评服务内容 1.1信息系统定级： 三级系统测评包括医疗管理信息系统（HIS/CIS）、集成平台系统、ABS预约系统、PACS系统和LIS系统，二级系统测评包括EWELL护理系统，临床支持系统(CSS),HRP管理系统和官方网站，一共9套系统。对本次评估的系统进行等级保护定级，定级结果经上级主管部门审核批准，形成《定级报告》，并向当地公安部门办理备案，取得了《信息系统安全等级保护备案证明》，协助采购人进一步完善定级工作及新上系统有关资料，更好地符合等级保护的要求，以便顺利开展本项目工作。 1.2系统备案 协助采购人按照国家管理部门对等级保护备案的要求，整理相关备案材料，并向受理备案的单位提交备案材料，完成系统备案工作。 协助采购人接受和完成国家管理部门对信息系统定级、规划设计、建设实施和运行管理等过程进行的监督检查，确保采购人等级保护工作符合和通过国家管理部门监督检查。 1.3 等级保护差距自测评 根据国家等级保护标准，进行对标，检查内部安全状态与国家标准之间的差距。 1.4安全规划 根据采购人信息系统的划分情况、定级情况和承载业务情况，分析明确信息系统安全需求，设计合理的、满足等级保护要求的总体安全方案，制定安全实施计划，用以指导信息系统安全建设工程实施。 采购人信息系统均已投入运行，投标人采取包括现场观察、询问人员、查询资料、检查记录、检查配置、技术测试、漏洞扫描、渗透攻击等有效措施和必要工具，对可能存在的信息安全风险进行识别分析，对信息系统的安全保护现状与等级保护要求之间的差距进行评估。    1.5安全等级保护测评 聘请持有广东省等级保护测评资质、本地管理部门认可的信息安全等级测评机构，按照国家信息安全等级保护的管理规范和技术标准，对采购人已经完成等级保护建设的信息系统进行等级测评。 协助采购人接受和完成信息安全等级测评机构的测评工作，确保采购人等级保护工作符合和通过信息安全等级测评机构的测评。 2. 安全运维服务内容 2.1  外网月度漏描和内网季度漏描服务 2.1.1 对WEB应用进行弱点检测，支持OWASP TOP 10等主流安全漏洞检测，如：SQL注入、Cookie注入、Base64注入、XSS跨站脚本、框架注入、链接注入、隐藏字段、CSRF跨站伪造请求、命令注入、命令执行、代码注入、遍历目录、弱口令、表单绕过、文件包含、管理后台、敏感信息泄漏、第三方组件、其他各类CGI漏洞等各种类型。 2.1.2 对数据库进行弱点检测，支持对Oracle、Mysql、SQLServer、DB2、informix、达梦、人大金仓的授权数据库漏洞扫描。 2.1.3 对操作系统漏洞检测，应包括但不限于操作系统常见的：溢出、暴力破解、任意文件执行、提权等漏洞扫描、以及空弱账户口令、远程控制协议、注册表关键项的扫描。 2.1.4 提供弱口令检测，提供多种弱口令扫描协议，包括SMB、RDP、SSH、TELNET、FTP、SMTP、IMAP、POP3、MySQL、MSSQL、REDIS、RTSP等协议进行弱口令扫描，允许用户自定义用户、密码字典 2.2 外网互联网系统安全防护，包括官方网站、预约系统、产科初诊抽签信息查询、堡垒机管理平台、医务管理系统、冷链系统、在线培训考试系统、邮件系统和微信公众号等20套系统,要求服务期内开展服务范围网站7*24小时安全防控，部署本地和云端网站安全防护系统对Web攻击进行拦截，防止DDOS攻击、数据库被拖库、网页被恶意篡改、网站被挂马、被挂链接、网站敏感信息泄露等网站安全事件的发生； 2.3安全迎检服务，要求针对各级监管机构可能开展的信息安全检查，提供迎检服务，为港大医院应对安全检查提供技术支撑。 2.4应急响应及应急演练服务，针对可能发生的安全事件，提供年度的全天候的应急响应服务，为港大医院提供漏洞检测、漏洞验证、回归测试、加固协助等服务，不限次数。要求协助港大医院建立应急响应机制，并每年一次，为港大医院提供应急演练服务，对港大医院响应机制进行校验。 2.5 漏洞修复服务，在项目中力所能及的范围，要求提供安全修复服务，对于无法自行加固的内容，要求起到主动作用，主动推动港大医院及相关方进行漏洞修复，切实保障网络安全防护效果。 2.6制度文档修订服务，要求协助港大医院建立和完善一套有效的安全管理制度，以对信息系统的日常安全维护和使用进行规范。 2.7安全培训服务，要求每季一次，对相关管理人员和技术人员进行安全培训，两次全员安全意识的培训。 2.8 安全设计与实施 结合港大医院信息系统建设项目计划和安全现状，提供信息系统安全技术和管理设计方案，落实信息系统安全各项防护措施。 指导信息安全产品采购工程实施，监督信息安全产品供应商或系统集成商工作，进行质量、进度、文档、变更、交付和验收等方面的监督管理，确保信息安全产品工程实施符合安全等级保护要求。 2.9 每周工作日驻场医院2天，提供技术测试、漏洞扫描、渗透攻击等安全技术支持，协助港大医院做好常态化网络安全保障工作。 二、人员要求 1. 要求供应商至少派驻1位安全专业技术人员常驻现场提供每周工作日2天安全技术支持。 2. 专业技术人员应有安全专业维护工作经验及相关资质，服务态度良好。 3. 遵守医院各项管理制度，对医院的信息系统安全运维有基本的了解。 三、报价要求 费用需包含所有服务内容，包含：人工费、交通费、税费、配件、打印机耗材等一切费用，并根据服务内容进行详细分项报价。

注意：提供项目服务期限（完成期限）、项目进度安排、付款方式、验收要求、培训要求、售后服务要求 1、服务期限： 一年。 2、培训服务要求 提供免费安全培训服务。在服务期内，要求每季年一次，对相关管理人员和技术人员进行安全技术培训，两次全院员工的安全意识的培训。 3、服务质量要求： （1） 在服务期内出现安全问题，中标人须提供7*24小时电话支持服务、远程支持服务，如电话远程不能解决，供应商须安排专业技术人员2小时内到达现场，直到安全问题解决。 （2） 加强网站、APP、公众号和互联网运行系统的监测、巡查、管理和技术防护，确认安全稳定运行，排查全院网络系统存在的漏洞，落实网络系统的漏洞整改修复，避免被上级通报或处罚。 （3） 每月网络安全漏洞整改报告和每季网络安全总结报告，消除安全隐患，提供全面安全防护措施,全力保障网络系统安全稳定运行。 （4） 在服务期内，保质保量完成9套信息系统安全等级测评工作，确保等级保护工作符合信息安全等级测评机构的测评且取得通过证书。 4、保密要求 供应商承诺遵循我单位保密规定，包括且不仅限于以下条款： 不复制、不泄露任何在服务期间获得的内部信息资讯和患者信息； 不利用因工作关系涉及到的医院信息资讯和患者信息，直接或间接参与其他公司的商业活动而损害我单位利益； 只对自己权限范围内的医院信息资讯具有阅读、使用和参考的权利； 遵守我单位的相关规章制度和信息保护及不透露协议。

 
四、供应商资格：
1、供应商必须具有工商营业执照及独立法人资格（提供复印件加盖公章，原件备查）。
2、供应商必须保证无行贿犯罪记录，三年内的经营活动中没有重大违法违规记录，无骗取中标、无严重违约及重大安全及质量问题，并在承诺函中有体现。同时就本项目资质条款要求提供真实有效的证明材料（原件）进行审查。否则，一经查实将有被取消本项目推介会资格、列入不良行为记录名单、三年内禁止参与香港大学深圳医院采购活动的风险。
3、本项目不接受联合体投标，不允许分标或转标。
4、投标人必须具有国家信息安全服务资质证书安全工程类服务资质，并有能力按招标文件要求提供专业的安全服务。
 
五、报名地址：
1、地点：深圳市福田区海园一路香港大学深圳医院科教管理楼6楼1604室。
2、联系人：郑小姐         联系电话：86913333转 8297  。
3、开始时间（法定工作时间）：自公告发布后即可报名；
截止时间： 2020 年 06 月 10 日 12 时 00 分（北京时间）。
注：报名时请携带以下资料，方可报名。（以下文件均须盖公章）
（1）  合法有效的营业执照复印件（如深圳企业营业执照未反映经营范围，须提供深圳市市场监督管理局网站有关经营范围查询结果的截图）。
（2）
公司法定代表人证明书及报名人授权委托书。
（3）  公司法定代表人及报名人身份证复印件。
（4）  至少三家及以上信息化安全运维服务合同复印件（加盖公章）。
（5）  提供相关国家安全服务认证资质：如国家信息安全服务资质证书安全工程类服务认证等。
（6）  提供驻现安全运维人员工作经验及资质：如CISA证书、CISP证书等
 
 
 
香港大学深圳医院
2020年06月03日