2022-08-03 机电产品招标投标电子交易平台
龙岩市政府 采购合同
编制说明
1 、 签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。
2 、 签订合同时,采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的,双方均不得对规定进行变更或调整;招标文件第五章未作规定的,双方可通过友好协商进行约定。
甲方: 福建省龙岩市第一医院
乙方 : 福建八闽云安信息技术有限公司
根据招标编号为 [350800]LYCG[GK]2022010 的 福建省龙岩市第一医院2022年信息安全运维服务项目服务类采购项目 项目(以下简称:“本项目”)的招标结果,乙方为中标人。现经甲乙双方友好协商, 就以下事项达成一致并签订本合同:
1 、下列合同文件是构成本合同不可分割的部分:
1.1 合同条款;
1.2 招标文件、乙方的投标文件;
1.3 其他文件或材料:□无。□ (若有联合协议或分包意向协议) 无 。
2 、合同标的
解锁编辑
品目号 | 品目编号及品目名称 | 采购标的 | 服务范围 | 服务要求 |
服务时间
(单位) |
服务标准 |
金额
(元) |
1-1 | C020105 信息安全软件开发服务 | 信息安全软件开发服务 | 严格依据招标文件要求 | 严格依据招标文件要求 | 1(批) | 严格依据招标文件要求 | 178000 |
3 、合同总金额
3.1 合同总金额为人民币大写: 壹拾柒万捌仟元整(¥178000.0000) 。
4 、合同标的交付时间、地点和条件
4.1 交付时间: 服务时间从合同签订之日开始,服务周期为一年 ;
4.2 交付地点: 福建省龙岩市新罗区九一北路105号 ;
4.3 交付条件: 按合同约定 。
5 、合同标的应符合招标文件、乙方投标文件的规定或约定,具体如下:
服务项目 服务内容 服务范围 服务频度 交付成果 1、安全咨询服务 网络边界及安全域分析 院内全网信息网络 全年 《网络安全规划设 计》 网络拓扑重现 现有安全措施分析 网络安全规划设 计 2、内网安全风险评估服务 网络架构安全风险评估 院内全网信息网络 每年1次 《网络信息系统安全风险评估报告》 网络设备风险评估 安全设备风险评估 主机服务器系统安全风险评估 核心业务系统安全风险评估 普通业务系统安全风险评估 客户端抽样安全风险评估 3、安全措施有效性巡检服务 网络边界管控有效性及策略核查 对象1:主干网络设备、安全设: 每年4次 《设备巡检报告》 硬件措施有效性及策略核查(防火墙、入侵检测等) 软件措施有效性及策略核查(防篡改、防病毒、终端管理等) 4、外网网站安全巡检服务 渗透测试 对核心业务系统定期进行人工渗透测试 对象3:外网核心系统及关键服务器(如门户网站、微信公众号、互联网医院系统等); 每年4次 《外网安全巡检报告》 安全扫描服务 对医院内容关键服务器定期漏洞扫描 服务器安全巡检服务 对关键服务器进行安全巡检,包括病毒查杀,websehll扫描,异常连接查看等。 配置核查服务 对医院核心服务器开展基线合规性配置检查 安全加固服务 针对检测的安加固全漏洞、策略配置等进行安全 应用安全加固辅导服务 提供应用安全问题加固建议,指导开发人员加固 5、外网网站安全在线监控服务 网站安全在线监控服务 在线远程漏洞扫描(每月1次,提供扫描报告)、网马检测、暗链监控、安全预警和通告。 对象3:外网核心系统及关键服务器(如门户网站、微信公众号、互联网医院系统等); 全年 《安全监控报告》 服务器安全监控 通过云主机入侵风险感知系统,进行7*24小时的监控,一旦发现网页木马、主机操作风险、主机配置变更,则提供告警。 6、内网安全巡检服务 安全扫描服务 对医院内容关键服务器定期漏洞扫描 对象2:内网核心系统及关键服务器(如核心HIS、LIS、EMR、PACS等四大系统) 每年4次 《内网安全巡检报告》 渗透测试 对核心业务系统定期进行人工渗透测试 服务器安全巡检服务 对关键服务器进行安全巡检,包括病毒查杀,websehll扫描,异常连接查看等。 配置核查服务 对医院核心服务器开展合规性配置检查 安全加固与辅导服务 对医院核心服务器系统进行安全加固 业务系统安全加固辅导 7、医院互联网(APP)安全测试服务 服务器端安全测试服务 Web页面安全测试 对象4:互联网医院APP 每年4次 《APP应用安全测试报告》 Web Service接口安全测试 APK反编译测试服务 APK文件反编译测试 客户端安全测试服务 APP程序安全测试 APP数据存储安全测试 客户端环境安全测试 客户端与服务器端的通信安全服务 数据加密解密分析 会话劫持测试 数据包篡改测试 数据包重放测试 安全加固辅助服务 针对测试结果提供安全加固建议 8、安全培训服务 提供面向网络管理员、信息技术人员以及全院新员工的定制化的安全培训。 安全培训 每年2次 培训记录材料 9、安全应急响应服务 政策检查技术支持服务 安全检查 每年4次 若发生网络安全事件则提交《应急响应报告》 7*24小时应急保障服务 安全事件 1小时远程响应 现场响应 10、系统上线测试 针对新上线的业务系统进行漏洞检测与渗透测试服务 上线系统 内网上线系统每季度巡检一次,互联网系统上线测试不超过8次。 《系统上线测试报告》 11、应急演练 针对1个预案场景进行应急演练,并提交《安全应急演练报告》 应急演练 每年1次 《安全应急演练报告》
6 、验收
6.1 验收应按照招标文件、乙方投标文件的规定或约定进行,具体如下:
1、服务期满后,在验收阶段采购人根据招标文件、中标供 应商的报价文件、合同、承诺及有关国家、行业规定要求的服务内容进行验收,如发现服务商提供的服务内容与投标时的响应内容有出入的,采购人有权不予验收并终止合同。 2、根据服务项目的特点,在验收时应收集以下文档: 编号 名 称 形式 介质 1 《网络安全规划设 计》 文档 电子、纸质 2 《网络信息系统安全风险评估报告》 文档 电子、纸质 3 《设备巡检报告》 文档 电子、纸质 4 《外网安全巡检报告》 文档 电子、纸质 5 《安全监控报告》 文档 电子、纸质 6 《内网安全巡检报告》 文档 电子、纸质 7 《APP应用安全测试报告》 文档 电子、纸质 8 《应急响应报告》 文档 电子、纸质 9 《系统上线测试报告》 文档 电子、纸质 10 《安全应急演练报告》 文档 电子、纸质 。
6.2 本项目是否邀请其他投标人参与验收:
不邀请 。
7 、合同款项的支付应按照招标文件的规定进行,具体如下:
解锁编辑
支付期次 | 支付比例(%) | 支付期次说明 |
预期支付时间
(用于采购贷申贷,为空无法进行申贷) |
1 | 100 | 服务商一年的维护期结束后,项目验收需组织专家组评审验收,经专家组评审验收后一次性支付合同款项。 |
8 、履约保证金
无 。
9 、合同有效期
无。 。
10 、违约责任
(1)、如果中标人未能按招标文件规定的时间或双方另行确定的延期交货期按时足额交货的(不可抗力除外),每逾期1天,中标人应按合同金额的 1 %向采购人支付逾期交货的违约金。逾期交货违约金的支付采购人有权从未付的合同货款中予以扣除。若中标人逾期交货达30天(含30天)以上的,采购人有权单方解除合同,中标人仍应按上述约定支付延期交货违约金。若因此给采购人造成损失的,还应赔偿采购人所受的损失。 (2)、若中标人不能完成所承诺的服务而造成采购人经济损失的,采购人有权追回所有已付款项,并要求中标人赔偿一切经济损失。 (3)、中标人收到或接触到机密的管理信息、患者隐私、统计数据及有关非技术的商业信息。未经采购人授权许可,不得对外散布或公布,否则追究当事人相关法律责任。 (4)、在补救违约而采取的任何其他措施未能实现的情况下,即在采购人发出的违约通知后30天内(或经采购人书面确认的更长时间内)仍未纠正其下述任何一种违约行为,采购人有权向中标人发出书面违约通知,采购人终止合同。 (4.1)如果中标人未能在合同规定的期限内或双方另行确定的延期交货时间内交付合同约定的货物。 (4.2)中标人未能履行合同项下的任何其它义务。 。
11 、知识产权
11.1 乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品;乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控,任何第三方如果提出此方面指控均与甲方无关,乙方应与第三方交涉,并承担可能发生的一切法律责任、费用和后果;若甲方因此而遭致损失,则乙方应赔偿该损失。
11.2 若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品,则乙方中标资格将被取消;甲方还将按照有关法律、法规和规章的规定进行处理,具体如下: 无。 。
12 、解决争议的方法
12.1 甲、乙双方协商解决。
12.2 若协商解决不成,则通过下列途径之一解决:
向人民法院提起诉讼,具体如下: 向甲方所在地人民法院提起诉讼 。
13 、不可抗力
13.1 因不可抗力造成违约的,遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由,并在随后取得有关主管机关证明后的 15 日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为,允许遭受不可抗力一方延期履行、部分履行或不履行合同,并根据情况可部分或全部免于承担违约责任。
13.2 本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况,包括但不限于:自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。
14 、合同条款
根据实际情况填写。招标文件第五章已有规定的,双方均不得对规定进行变更或调整;招标文件第五章未作规定的,双方可通过友好协商进行约定。
15 、其他约定
15.1 合同文件与本合同具有同等法律效力。
15.2 本合同未尽事宜,双方可另行补充。
15.3 本合同自签订之日起生效。
15.4 本合同纸质文件一式 肆 份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致,以备案电子文本为准,具有同等效力。
15.5 其他:□无。□ 15.5.1人员配备要求 项目团队至少由3人组成,分别为项目经理、渗透测试工程师、安全服务工程师。项目经理负责整个项目的管理工作,负责项目的沟通和协调,保障各项工作有序进行,对项目质量进行控制,对各项目组工作进行指导和过程控制;渗透测试工程师负责项目中的渗透测试、漏洞挖掘等相关工作;安全服务工程师负责项目中安全巡检、安全加固等相关工作。 其中项目经理原则上不允许变动,如需变动,需要提前一个月与采购人协商。针对项目负责人资质要求,需具备CISP证书(中国信息安全测评中心颁发的国家级证书)。 15.5.2质量考核标准 序号 服务质量考核标准 扣款 1 如因运维方技术人员操作不当、服务不规范、能力不足等因素导致采购人院内的业务服务器遭受入侵攻击、中病毒等安全事件,造成重大损失的,每次扣款合同总额的2%。 合同总额的2% 2 未根据采购人的实际需要,对服务范围内的业务系统提供应急响应服务,未能在3小时内到达现场,实施有效的紧急救援的,每次扣款合同总额的2%。 合同总额的2% 3 未根据合同服务内容的要求,提供7x24小时的网站监控服务,若医院门户网站出现挂马、篡改、暗链等重大安全事件时,未能在半小时内向采购人发出安全预警的,每次扣款合同总额的2%。 合同总额的2% 4 如因核心业务系统存在重大安全漏洞,运维方未能及时发现并协助整改,导致在市级及以上的攻防演练和护网行动中,被攻击队成功利用,导致采购人被通报批评的,每次扣款合同总额的2%。 合同总额的2% 5 运维方未按照合同服务内容要求,提供相应次数的安全运维文档记录,每缺少一份文档,款扣合同总额的1%。 合同总额的1% 。 15.2.3考核评估: 在服务期内,采购人都将对中标人提供的安全服务进行考核。在组织专家组验收该服务项目前,采购人进行质量考核情况的考核和扣款明细汇总。 。
甲方: | 福建省龙岩市第一医院 | 乙方: | 福建八闽云安信息技术有限公司 |
住所: | 龙岩市新罗区九一北路105号 | 住所: | |
单位负责人: | 涂梅 | 单位负责人: | 梁义征 |
委托代理人: |
|
委托代理人: |
|
联系方法: | 0597-3082948 | 联系方法: | 15880075030 |
开户银行: | 开户银行: | 中国银行股份有限公司福州南江滨支行 | |
账号: | 账号: | 422174569853 |
签订地点: 龙岩 签订日期:2022年08月03日