常州市肿瘤医院公开询价公告
                  
常州市肿瘤医院信息化项目将进行院内询价，现欢迎符合条件的供应商前来参加。
一、 项目明细：

项目名称	数量	总预算（万元）
安全运维服务	年	30
详细需求见附件

 
二、供应商资格要求
1.具有独立承担民事责任的能力；
2.具有良好的商业信誉和健全的财务会计制度；
3.具有履行合同所必需的设备和专业技术能力；
4.有依法缴纳税收和社会保障资金的良好记录；
5.在经营活动中没有违法记录；
6.具备很好的售后服务能力；
7.供应商特定条件要求：服务公司必须在2022年度常州市网络安全技术支撑机构名单中。
三、报名文件接受信息
报名文件接收截止时间：2023年5月27日下午1点前。
报名地址：常州市肿瘤医院采购中心
报名所需资料：（以下资料请按照项目整理成PDF文档，名称“项目名称-投标公司名称”）
1、报价单
2、产品配置表和产品技术参数，服务类项目提供项目团队及实施方案。
3、公司及产品资质。服务类项目提供服务人员相关技能证书（见附件详细需求）
4、用户清单
5、法定代表人证明书和授权委托书（若是委托代理人参加报名则须同时提供法定代表人亲笔签名的委托书原件及被受权人身份证复印件或扫描件）
*上述报名资料必须提供复印件或扫描件加盖公章
请符合条件的供应商将推荐产品相关的报名材料加盖红章，在报名截止时间前以电子版形式打包发送到694615682@qq.com
注：请在工作时间内递交相关材料。
四、本次采购联系事项
 采购联系人：刘老师 
 采购咨询电话：0519-69807043
常州市肿瘤医院
附件
常州市肿瘤医院安全服务需求清单
（2023年）
 
此次安全服务以一年为周期，服务公司必须在2022年度常州市网络安全技术支撑机构名单中。相关公司需成立专业服务项目组，项目组成员需取得国家信息安全测评中心认证的证书，指定具备相关安全资质及从事网络安全相关工作5年以上的的人员做为项目经理，至少2名从事3年以上网络安全技术相关工作的人员的做为组员。同时需提供网络安全服务所必须的、先进的网络安全设备，以确保全年无重大网络安全事件发生。

序号	网络安全服务	具体内容	交付物	次数
1	资产梳理服务	汇整医院安全现状，梳理资产现状、发现安全问题。通过工具+专家梳理结合的方式，帮助医院发现IT资产，并协助梳理；资产梳理主要针对单位服务器、应用，网络设备、安全设备等资产进行发现并协助梳理。资产发现和应用发现相结合，全面、精准解决互联网资产边界盲区问题，打好安全防御的基础。	完成后出具《资产梳理清单》	每季度一次
2	制度层面梳理服务	通过健全医院安全管理体系框架，对机构、人员、流程实现规范化管理，依据国家、省市、行业相关标准要求开展网络安全管理工作，完善安全建设、安全运维管理相关制度规范、流程、表单等，制定符合业务的安全管理制度体系，通过强化流程管理降低管理漏洞来提升整体安全能力。	包括但不限于《网络安全管理制度》《安全管理制度方针和策略》《安全建设管理制度》《安全运维管理制度》等等	一年一次
3	漏洞扫描服务	通过自动化漏洞扫描工具，对医院内外网信息系统实施漏洞扫描检测服务，扫描得到应用系统中所包含的漏洞，并以人工的形式进行验证。	完成后出具《巡检报告》《资产漏洞评估报告》《资产漏洞整改通知》《资产漏洞复测报告》《 系统弱口令核查报告》	每季度一次
4	渗透测试服务	对医院内部业务系统和设备安全性作出评估，发现业务的安全问题，给出修复建议。采用各种手段模拟真实的安全攻击，从而发现黑客入侵信息系统的潜在可能途径。	完成后出具《系统渗透测试报告》《资产渗透复测报告》	每季度一次，每次至少两个系统。
5	安全加固建议服务	对医院网络设备、安全设备、操作系统、数据库以及中间件的安全配置基线要求，结合安全评估结果，提出安全加固整改建议。	完成后出具《系统安全加固建议报告》 《重要系统基线核查报告》	每季度一次
6	安全运维及巡检服务	以环境稳定性、安全性为目标针对医院安全设备进行深入、严谨的日常性评估，对医院现有的安全设备进行日志分析、策略优化、状态检查，提供可视化报告和统计。并发现设备本身存在问题及存在的安全隐患，提供巡检报告。	完成后出具《安全设备分析统计报告》《安全设备巡检报告》	每月一次
7	应急响应服务	对医院已发生网络安全事件进行响应，协助单位检查所受影响的系统，对攻击事件进⾏溯源，找到问题的根源并提出解决方案，协助后续处理，提供应急响应报告。	完成后出具《应急响应事件记录单》《安全事件分析报告》《安全事件处理总结报告》	视实际发生安全事件而定
8	应急演练服务	根据医院需求，进行应急预案编制，包括但不限于网页篡改、病毒事件、口令暴力破解等场景，包括需求调研、预案编制、修改完善等工作内容。由有经验的高级安全服务专家配合医院进行现场应急预案的操作演练，目的在于检查应急预案的可行性，同时提升医院安全工作人员的事件应急处理能力。	完成后出具《应急演练方案》《应急演练报告》	每年一次
9	通报与整改服务	医院接到上级部门网络安全通报后，提供修复建议，协助完成整改。	完成后出具对应的《整改报告》	视实际发生的通报而定
10	重大活动安全保障服务	为保障医院在重保期间业务系统持续、稳定的运行，在重大活动期间，通过专业工程师开展安全检查、驻场保障以及应急值守等，对医院重要系统进行安全保障。	完成后出具《重要时期安全检查报告》《重要时期安全事件处理报告》《重要时期共计分析报告》	包括但不限于两会、国庆等重要时期
11	迎检协助服务	当医院面临国家、行业、上级、网安、网信等部门针对信息系统的安全检查时，为医院解读检查文件，并针对检查文件中的检查项进行自查，全程协助医院进行各项检查。	完成后出具协助检查材料	视具体迎检情况而定
12	安全培训服务	针对医院员工安全意识、安全技能、安全竞赛等进行安全培训，针对安全意识等信息提供培训服务，使被培训者通过学习了解到当前网络存在的安全风险和隐患，提升单位非技术人员的整体安全意识和安全防护能力；针对常见的安全运维工作提供可定制化的培训服务，使被培训者通过学习了解安全巡检、日志分析、流量分析等方向的知识，从根本上提升技术人员的安全运维能力。	完成后出具《安全培训记录》	一年两次（一次意识培训，一次技术培训）
13	数据安全服务	提供全面的数据资产防护能力，包括：敏感数据发现管理；运维操作数据即时动态脱敏；防范敏感数据危险操作；限制特权账户随意访问敏感数据；利用身份管理、授权等机制对运维人员进行合规管理；协助运维人员实现工单管理和免密登陆；提供全面风险分析报告等功能。	完成后出具《数据安全风险评估报告》《数据安全脆弱性来源报告》《数据安全综合治理方案》《数据安全风险评估项目总结汇报》	由医院指定至少两个重要系统以上
14	内容安全服务	针对医院的互联网医院、门户网站、OA等web服务进行不间断内容扫描监测及内容安全保护，识别是否存在不良内容，保障医院发布的内容纳入监控。	出具《内容扫描报告》	不间断
15	僵木蠕防护服务	针对医院终端提供DNS解析、威胁监测防御、资产域名监控等一体的解决方案，帮助医院在网络安全建设过程中，提供实时、准确的网络威胁监测、预警、拦截服务。	不涉及	不间断

服务时间：自签订合同之日起一年时间。
条款：
1. 以合同额的10%为考核款。
2.若是被市级通报一次罚款2000元，省级通报一次罚款5000元。
3. 在网信办或卫健委网络安全考核中，保证常州市第四人民医院在本地所有医院中成绩排名前五。每落后一名，罚款2000元。