招标
济宁市中西医结合医院等保测评、数据库运维服务项目需求公示
等保测评服务数据库运维服务网络安全等级保护测评方案电子病历路由器网络交换机Web应用安全检测系统安全技术测评安全物理环境安全通信网络安全区域边界安全计算环境现场测评安全管理中心安全管理测评信息系统机房和现场安全测评边界防护DBA访问控制恶意代码和垃圾邮件防范安全审计身份鉴别入侵防范恶意代码防范可信验证数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护网络安全等级保护测评计划网络安全等级保护测评报告信息系统安全测评网络设备数据库维保OCM认证技术服务应急远程响应支持应急现场响应支持服务灾难性故障应急支持数据库日常巡检日常运维文档数据库性能优化技术培训平台租赁数据库运行安全平台问题解决远程响应支持服务数据库系统故障数据库系统相关联的系统故障技术文档技术指导不间断故障处理服务日常检查检查相关软硬件数据库配置情况数据库备份运维计划运维操作手册系统定期巡检数据库性能调优方案SQL优化SQL语句优化健康检查优化数据库在线升级打补丁数据库升级Oracle数据库各种升级在线维护在线割接技术数据库运行维护密码猜测检测和防御实现数据安全管理数据安全分析服务数据库密码尝试密码猜测检测和防御工具分权管理数据库支持服务技术支持服务系统安装优化服务
金额
18万元
项目地址
山东省
发布时间
2023/01/10
公告摘要
项目编号ygzd-2023-w001
预算金额18万元
招标联系人张主任
招标代理机构山东阳光正大建设项目管理有限公司
代理联系人包国月18653678232
标书截止时间-
投标截止时间-
公告正文
山东阳光正大建设项目管理有限公司受济宁市中西医结合医院 委托,根据《中华人民共和国政府采购法》等有关规定,现对济宁市中西医结合医院等保测评、数据库运维服务项目进行其他招标,欢迎合格的供应商前来投标。
 
项目名称:济宁市中西医结合医院等保测评、数据库运维服务项目
项目编号:YGZD-2023-W001
项目联系方式:
项目联系人:包国月、刘平
项目联系电话:18653678232 、15092753377
 
采购单位联系方式:
采购单位:济宁市中西医结合医院
采购单位地址:济宁市王母阁路127号
采购单位联系方式:张主任 0537-7023076、0537-7909669
 
代理机构联系方式:
代理机构:山东阳光正大建设项目管理有限公司
代理机构联系人:包国月、刘平 18653678232 、15092753377
代理机构地址: 济宁市任城区中德广场D座
 
一、采购项目内容
一、项目概况及预算情况
本项目为济宁市中西医结合医院等保测评、数据库运维服务项目,分为两个包组,A包:等保测评服务,B包:数据库运维服务,预算金额18万元,其中A包:8万元;B包:10万元。
二、采购标的具体情况
A包:等保测评功能参数
一、测评服务要求
1、按照网络安全等级保护定级标准和工作要求,开展信息系统安全等级保护系统梳理和定级工作,协助完成系统的定级报告,并协助完成到公安机关的备案工作。
2、按照国家等级保护2.0相关标准和要求,开展信息系统安全等级保护测评工作,找出系统现状与相关标准要求之间的差距,遵循适度原则,提出切实可行的整改建议,最终完成等级保护测评报告。
3、针对测评中发现的信息安全管理漏洞和薄弱环节,并深入分析下一步信息系统建设和管理的实际安全需求,协助开展相关的安全整改工作,确保重要信息系统的安全防护水平满足当前和未来建设发展的安全要求。
二、服务内容
1、测评服务
(一)本项目为济宁市中西医结合医院等级保护测评服务, 按照公安部等相关部门信息安全等级保护工作要求,开展网络安全等级保护测评工作。
(二)项目的系统情况如下表:
序号
应用系统名称
安全保护等级
备注
1
以电子病历为核心的医院信息系统
第三级
 

 
2、测评依据
《中华人民共和国网络安全法》
公安部、国家保密局、国际密码管理局、国务院信息化工作办公室联合转发的《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)
Ø公安部、国家保密局、国家密码管理局、国务院信息化工作办公室制定的《信息安全等级保护管理办法》(公通字 [2007]43号)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 信息系统安全等级保护实施指南》(GBT 25058-2010)
《信息安全技术 数据库管理系统安全评估准则》(GB/T 20009-2019)
《信息安全技术 路由器安全技术要求》(GB/T 18018-2019)
《信息安全技术 操作系统安全技术要求》(GB/T 20272-2019)
《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273-2019)
《信息安全技术 网络交换机安全技术要求》(GB/T 21050-2019)
《信息安全技术 Web应用安全检测系统安全技术要求和测试评价方法》(GB/T 37931-2019)
《信息安全技术 数据交易服务安全要求》(GB/T 37932-2019)
《信息安全技术 可信计算规范》(GB/T 37935-2019)
《信息安全技术 网络存储安全技术要求》(GB/T 37939-2019)
《信息安全技术 桌面云安全技术要求》(GB/T 37950-2019)
《信息安全技术 移动终端安全管理平台技术要求》(GB/T 37952-2019)
《信息安全技术 数控网络安全技术要求》(GB/T 37955-2019)
《信息安全技术 网站安全云防护平台技术要求》(GB/T 37956-2019)
《信息安全技术 个人信息去标识化指南》(GB/T 37964-2019)
《信息安全技术 云计算服务运行监管框架》(GB/T 37972-2019)
《信息安全技术 大数据安全管理指南》(GB/T 37973-2019)
《信息安全技术 数据安全能力成熟度模型》(GB/T 37988-2019)
《信息技术 安全技术 消息鉴别码 第3部分:采用泛杂凑函数的机制》(GB/T 15852.3-2019)
《信息安全技术 云计算服务安全指南》(GB/T 31167-2014 )
《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014)
《信息安全技术 网络安全等级保护定级指南》(GA_T 1389-2017)
项目涉及的其它相关国际、国内标准或规范。
3、测评内容
测评的内容包括但不限于以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。
安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
1)安全物理环境
根据 信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等安全物理环境方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。
2)安全通信网络
根据信息系统安全通信网络测评记录,针对通信网络方面在“网络架构”、“通信传输”、“可信验证””等方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。
3)安全区域边界
安全区域边界现场测评包括 “边界防护”、“访问控制”、“入侵防范”、“恶意代码和垃圾邮件防范”、“安全审计”、“可信验证”等边界区域防范措施进行检查。
4)安全计算环境
安全计算环境现场测评包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份恢复”、“剩余信息保护”、“个人信息保护”等几个方面的测评。
5)安全管理中心
安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中控制”等方面。
6)安全管理制度
根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。
7)安全管理机构
根据现场安全测评记录,针对 信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。
8)安全管理人员
根据现场安全测评记录,针对 信息系统在安全管理人员方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。
9)安全建设管理
根据现场安全测评记录,针对 信息系统在安全建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。
10)安全运维管理
根据现场安全测评记录,针对 信息系统在安全运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。通过现场测评,逐项找出系统现状与国家相关标准要求之间的差距,进行逐项分析、整体分析,给出差距分析报告,并给出整改建议方案。
待整改完毕后,进行结果确认,完成网络安全等级保护测评,出具测评报告,并将测评报告报当地公安机关备案。
三、成果交付
项目实施完成后,要求投标人提供包括但不限于交付物如下:
1.《网络安全等级保护测评方案》
2.《网络安全等级保护测评计划》
3.《网络安全等级保护测评报告》
项目相关的各项管理文档以及生成的阶段性报告或资料等过程文档,等级保护测评报告。
四、服务原则
1、保密性原则:双方签订信息保密协议,要求服务提供商采取必要的控制措施避免用户信息的泄漏。
2、规范性原则:服务提供商在项目实施过程中应按照国家标准规定的标准和流程进行测评,保证测评结果安全服务的有效、可靠。
3、适度安全原则:遵循适度安全原则,综合考量成本与效益因素,提出信息系统安全等级保护整改方案,指导整改工作。
4、最小影响原则:信息系统安全测评过程需要对在线的主机、网络设备、数据库、信息系统等进行审计、扫描和调研,需要对有关员工进行抽样访谈,因此难免会影响到相关人员和系统的正常工作。服务提供商应采取必要措施减少实际影响,尽可能地保障评估工作不会影响到用户的日常工作和系统运行。
5、整体性原则:服务提供商应从信息系统整体性考虑,避免对设备的孤立评估,避免出现偏颇的测评效果。
6、客观公正原则:服务提供商应在没有偏见和最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方法和过程,实施测评活动。
五、其他要求
1、供应商项目团队人员不少于3人,项目成员不得随意变动,确需变动,必须提前征得采购人同意。
2、工期要求:合同签订后30天内出具报告(不含整改时间)。
3、★项目实施过程中所收集、产生的所有与本项目相关文档、资料,包括文字、图片、表格、数字等各种形式所属权均归属 ,成交供应商有义务对所涉及到的内容保密,并在签定合同时签署保密协议。
 
B包:数据库运维服务内容及需求
1、项目内容
本项目建设旨在充分保障济宁市中西医结合医院现有数据库的安全稳定运行,及时处理出现的各类故障,应对灾难发生,保障核心数据的安全,同时针对数据库存在或未来可能出现的问题,进行维护服务,以保证整个系统的平稳发展。
维保范围:医院现有数据库
维保时间要求:一年
响应时间要求:7*24小时响应。
序号
技术服务内容
服务期限

(一)

医院现有数据库运维及技术服务
一年

  1.1

7*24小时应急远程响应支持服务
一年
1.2

7*24小时应急现场响应支持服务
 

  1.3

灾难性故障应急支持
一年

  1.4

数据库日常巡检服务
一年
1.5

协助完善系统日常运维
一年

(二)

数据库性能优化
 

(三)

技术培训
一年

(四)

数据库运行安全平台租赁服务(型号:OSM100.软件部署,可支持8个数据库实例)
一年

 
2、技术服务内容
1)医院现有数据库运维及服务
根据障济宁市中西医结合医院的实际情况,由数据库运行安全平台监控主要数据库,其余系统数据库辅助完成技术服务和问题解决。
2)7*24小时远程响应支持服务
对数据库系统故障或与数据库系统相关联的系统故障,提供7*24小时不间断非现场(可以是400电话、e-mail、VPN、QQ等形式)支持服务,通过以上方式直接联络服务商的技术工程师,寻求问题的解决方案、技术文档以及技术指导,提供故障处理案例。
在接到济宁中西医结合医院故障申告后应于5分钟内响应,如故障未能在15分钟内通过远程支持得到解决,承诺根据济宁中西医结合医院要求派指定服务工程师在1小时内赶到招标方现场,提供不间断故障处理服务。
3) 7*24小时应急现场响应支持服务
当遇到复杂性问题,需要到现场进行综合诊断或者济宁中西医结合医院要求现场支持服务的时候,要求服务团队人员乃至专家后援服务团队人员在2小时内到达支持现场,同时要求在路途中不中断电话支持以求快速解决问题。
4) 数据库日常巡检服务
日常检查至少包括以下内容:
① 检查相关软硬件、数据库配置情况;
② 检查数据库、备份结果集、各表空间的变化情况等,并对数据变化情况作评估;
③ 统计当前表空间、文件系统和数据文件的使用情况;
④ 检查数据库alert.log日志文件和相关trace文件;
⑤ 检查操作系统用户、数据库用户、系统本身的安全性;
⑥ 收集数据库运行期间的负载情况和Instance各性能指标;
⑦ 检查数据库备份是否正常;
⑧ 提供一年不少于四次的日常巡检服务。
6) 协助完善数据库系统日常运维服务
根据济宁中西医结合医院的实际情况,制定合理的运维计划和运维操作手册,完善日常运维文档,并根据日常运维内容提供及时告警。
3、数据库性能优化
结合系统定期巡检和济宁中西医结合医院重大事件等实际需要,根据检查的内容和用户提出的具体需求,制定数据库性能调优方案。
在济宁中西医结合医院的同意下进行数据库性能优化或 SQL优化。
服务团队极为擅长性能优化和SQL语句优化,具有丰富的性能优化案例和性能优化相关培训课程,能结合实际案例自行编著培训课程(即ORACLE官方OCP或OCM教材不计在内)者可作为优选。
提供一年不少于4次的健康检查优化服务。
4、数据库在线升级
服务期内,济宁中西医结合医院有可能出现升级及打补丁的需要。
通过升级评估规划,制定在线升级方案,使数据库升级后运行效率更高,包括:
(1)评估数据库升级带来的优点和可能产生的问题;
(2)保证产品升级的过程中数据的安全性;
(3)顺利、快速地从一个软件版本升级到另一个版本,减少业务的停机时间;
服务团队精通Oracle数据库各种升级方法,精通各种在线维护和在线割接技术。
5、技术培训
持续培训有利于提高济宁中西医结合医院DBA团队的技术水平,服务团队制定一年的培训计划,提供至少每年6次进行培训。具有丰富的培训课程选择,避免培训课程重复。
6、服务团队能力
1)具有丰富的数据库经验
具有强有力的远程支持能力以快速解决问题。具有丰富的数据库运行维护支持经验和性能优化经验,特别对于Oracle 、sqlserver、MySQL数据库具有丰富的运行维护支持经验和性能优化经验。具有丰富的重大故障和灾难性故障处理经验。具有丰富的数据库安全管理经验。
2)具有丰富的维护经验
济宁中西医结合医院的核心系统架构在LINUX上,服务团队需要具有丰富的主机操作系统知识,更好的保障数据库的稳定运行。
3)具有密码猜测检测和防御实现的技术能力
数据安全管理是济宁市中西医结合医院运行维护改善的持续性方向之一,数据安全分析服务可以全面评估安全漏洞、安全威胁、潜在风险,同时还能审计操作行为,降低安全风险。
数据库密码尝试,能轻易导致数据库用户被锁死,业务受到极大影响。在服务周期内,要求服务商提供具备一种运行在Oracle数据库上的密码猜测检测和防御工具,一旦数据库出现类似问题,可以提供相关工具使用,以方便用户快速解决问题。
服务团队精通数据安全管理方法和技术,尤其在分权管理和DBA访问控制上,提供有针对性的解决方案,要求提供丰富的安全管理案例。
4)本地化服务团队+二线Oracle数据库支撑专家组
配备4人以上的OCM认证技术服务团队,组成济宁中西医结合医院数据库支撑专家组,设置济宁市中西医结合医院的主责工程师以更好的协调济宁中西医结合医院维保工作,项目组人员一经确定不可更换。
5)主责工程师要求
主责工程师负责管理服务团队,并且提供主要客户管理服务。主责工程师要求满足服务团队基本要求,并且从事Oracle、SQLserver、MySQL数据库支持服务5年以上。
7、其他要求
1)技术支持服务:对于用户单位因本项目涉及设备出现技术上的问题或其他项目涉及本项目设备需要配合时,提供远程电话或现场技术支持服务。第三方服务配合:当用户问题涉及第三方服务商时,承担协调工作。当用户问题需要配合时, 承担配合工作。
2)系统安装、升级和优化服务
对本项目涉及设备的版本进行及时更新;根据巡检结果,对系统结构进行优化,同时对于不涉及系统的整体构架变更和功能增加提供支持服务。
3)服务总结:向用户提供详细的年度服务总结报告。
三、公示时间
本项目采购需求公示期限为3天:自2023年1月10日起,至2023年1月12日止。
四、意见反馈方式
本项目采购需求方案公示期间接受社会公众及潜在供应商的监督。
请遵循客观、公正的原则,对本项目需求方案提出意见或者建议,并请于2023年1月13日前将书面意见反馈至采购人或者采购代理机构,采购人或者采购代理机构应当于公示期满5个工作日内予以处理。
采购人或者采购代理机构未在规定时间内处理或者对处理意见不满意的,异议供应商可就有关问题通过采购文件向采购人或者采购代理机构提出质疑。
五、项目联系方式
1) 采购人:济宁市中西医结合医院
地址:济宁市王母阁路127号
联系人:张主任
2)采购代理机构:山东阳光正大建设项目管理有限公司
地址:济宁市任城区中德广场D座
联系人:包国月、刘平
联系电话:18653678232、15092753377
 
二、开标时间:
 
三、其它补充事宜

 
四、预算金额:
预算金额:18.0000000 万元(人民币)
返回顶部