公告摘要
项目编号-
预算金额-
招标联系人龙海
标书截止时间-
投标截止时间-
公告正文
菏泽中医医院网络安全服务项目招标公告
一、采购人:菏泽市中医医院
二、项目名称:网络安全服务项目
三、采购方式:公开招标
四、概况描述:
 
根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《党委(党组)网络安全工作责任制实施办法》、《信息安全技术网络安全等级保护基本要求》、《三级中医医院评审标准实施细则》等文件要求,针对我院基础网络设施、门户网站、安全设备、服务器及各类业务系统,做好全年常态化防护及重要时期网络安全保障工作。重点防护影响系统稳定安全运行的网络安全事件的发生,并提供网络安全事故应急响应技术保障,根据国家标准进一步完善医院的网络安全管理体系,进一步提升医院的网络安全防护能力。
 
五、项目要求:
1、网络安全服务需求清单:
序号
服务项
服务简述
范围
具体要求
1
网络安全管理制度的完善、督导与落实
对医院现有管理制度进行梳理、完善。提供相关模板,让医院有更明确更高效的管理制度,并且根据医院网络安全管理制度,协助信息科不定期对全院进行网络安全检查,对检查过程中发现的问题提出整改意见,协助、监督整改。完善医院网络安全制度落实工作。
持续/年
依据网络安全相关法律法规以及条例,参照全省卫生健康行业网络和数据安全检查方案与网络信息与数据安全工作责任制考核指标,持续完善落实医院现有的管理制度。要求输出各种管理制度和执行表格。
2
资产梳理服务
通过对现有的网络环境进行资产分类,了解目前的安全现状以及薄弱性。梳理核心资产与边缘资产,核心资产重点防护,建立资产防护基线。对所有对外资产进行探测,梳理出各业务系统的资产信息,关闭对外暴露的多余端口。从而医院能更清晰明了知晓自身资产信息情况。
2次/年
含包括医疗设备在内的接入医院网络的全部设备。要求输出详细的资产信息,包括但不限于《资产信息表》、《资产分布图》等。
3
风险评估服务
全院系统进行全面性的风险评估,制定风险评估策略,根据安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。减少医院业务系统安全风险。
2次/年
要求输出详细的《风险评估报告》。
4
安全加固服务
针对风险评估发现的问题,结合医院信息系统的特点,给出相应的加固建议,并协助信息科整改。分析漏洞对设备安全性的影响并提出相应的解决建议,同时登记在遗留问题记录中,以备后续查找和参考。
2次/年
要求安全加固包含不限于以下内容:网络设备加固、主机操作系统加固、数据库加固、常见中间件及网络服务加固。修补和加固完成后不影响修补加固对象原有的功能和性能。输出《安全加固方案》。
5
安全基线检查服务
结合医院行业特性,完成对安全基线的定义。提供主机操作系统、数据库、中间件、网络安全等设备的配置核查与分析,发现不符合安全基线的配置,并结合行业实际需求提出系统整改建议。
4次/年
要求形成安全基线,输出详细的全面的《安全基线核查清单》以及《网络安全基线核查报告》。
6
上线检测服务
系统上线前进行脆弱性评估:通过web扫描,漏洞扫描、基线检查、漏洞验证等手段,识别业务系统安全脆弱性风险。防御能力评估:通过模拟黑客进行信息收集、应用及系统入侵,验证防御体系的安全防御能力。安全整改建议:基于安全评估结果分析系统安全风险和威胁,给出针对性的风险处理方案。
新上线系统/年
对即将上线的系统开展上线前全方位的安全检测,找出当前存在的漏洞,并出具整改建议,协助修复安全隐患。并输出《系统上线检测报告》、《系统上线复测报告》。
7
漏洞扫描服务
根据医院网络安全现状,针对核心业务服务器系统、中间件、数据库等漏洞扫描与分析服务,降低因系统漏洞引发的安全风险,根据扫描结果对各安全漏洞的风险进行分析在综合平衡成本与风险的基础上建议采取适宜的整改措施,形成系统检查报告及整改建议,并协助医院信息科进行漏洞整改,监督相关运维厂商进行安全整改,确保信息化基础设施安全状况符合所制定的安全基线。
4次/年
输出《信息系统漏洞分析与整改报告》、《信息系统漏洞整改建议》、《信息系统漏洞处置情况报告》、《安全加固后系统安全评估报告》,形成漏洞管理台账,包含但不限于卫健委、网信办、公安局等主管监管部门发布的漏洞告警、预警等,协助医院进行漏洞修复及加固。
8
渗透测试服务
针对医院核心业务信息资产,如web应用系统、中间件、服务器系统、数据库所存在的漏洞进行安全评估。通过安全专家对评估的系统进行模拟黑客攻击测试,最大限度的发现系统漏洞风险。测试包含渗透测试、安全加固建议、加固完成后的复测。从而减少医院核心业务系统漏洞风险。
1次/年
要求专业的深度渗透测试服务,输出详细的《系统渗透测试报告》和《系统渗透测试整改报告》,明确整改的措施和修复验证。
9
信息系统设备巡检服务
开展信息系统设备,如:服务器、存储设备、网络设备、网络安全设备等核心业务系统重要硬件设施的性能指标、功能指标和状态等的定期巡检,记录指标值,发现异常记录并通知院方。
4次/年
做好信息系统的物理安全保障,要求输出《信息系统设备巡检报告》。
10
应急演练服务
协助信息科完善安全应急响应机制,完成切实可行的网络安全应急响应预案,并根据医院的实际情况,提供安全应急事件演练方案并协助完成演练。场景可以为但不限于以下内容:系统入侵攻击安全事件、拒绝服务攻击安全事件、病毒与木马攻击安全事件、网站页面篡改安全事件、数据库内部误操作等场景。编写网络安全事件应急演练脚本,并提交院方审核。
1次/年
要求输出《网络安全事件应急演练方案》、《网络安全事件应急演练脚本》、《网络安全事件应急演练总结报告》。
11
应急响应服务
当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,能够为医院提供7*24小时响应服务。服务团队需熟悉安全处置流程,提供专业的安全管理与处置意见,为医院建立闭环的安全管理体系,最大化降低网络安全事件带来的影响。
 
365*24小时/年
突发网络安全事件的应急保障需在1小时内响应,必要情况3小时内到达医院现场,应急响应协助处置安全事件,输出《应急响应报告》。
12
攻防演练保障
在攻防演练期间派遣专业工程师驻场值守,对目标系统担任防守方。演练期间主要保障但不限于:网络安全、主机安全、应用安全、数据安全、应急响应等方面。可分析、记录、还原攻击方的攻击过程,并按网络安全事件应急预案有序开展应急处置工作。
2次/年
演练期间需协助信息科进行流量分析、日志分析、溯源取证、IP封堵、攻击路径回溯等。要求输出《安全防守日报》、《安全防守总结报告》。
13
重保值守服务
重要会议或重大活动时期,如:两会、国庆、周年、特殊敏感时期等,保障网络基础设施、门户网站和业务系统的安全及平稳运行。通过设计保障计划、通报流程、协作机制、处置规范及注意事项等。对医院重要系统进行实时安全监测与安全保障。
每次重保/年
要求重保期间7*24小时安全监控与值守,必要时派遣专业工程师驻场值守。及时同步外部威胁情况,提前设置安全策略。现场或远程进行人工日志分析,每日分析当天web全流量、各类告警、安全设备等日志。输出《重保值守日报》、《重保值守汇总报告》。
14
网络安全检查应检服务
针对市级及以上卫健委、网信办、公安局等主管、监管部门网络安全检查,协助信息科依据当次检查的标准及细则进行自查和预查,完善并归档检查实证材料,共同做好检查备查工作。
每次检查/年
要求可与市主管、监管的相关职能部门进行对接协调,能够第一时间掌握网络安全检查状态和规范要求。输出《网络安全检查汇报PPT》
15
网络安全意识培训及宣传
针对医院特性,根据《网络安全法》、《数据安全法》和《个人信息保护法》等相关法律,对全院人员进行网络安全意识培训,使全院人员在涉及病患数据处理,病患个人信息处理时做到合法合规,避免数据及个人信息泄露。引用当前典型的网络安全事件,开展网络安全等专题宣传活动,宣传内容包括:网络及网络安全法律法规、员工安全意识、网络安全制度。提升全院人员网络安全意识和减少网络安全风险。通过但不限于集中培训、播放网络安全宣传视频、张贴网络安全意识壁纸以及发放宣传手册等方式。
集中培训:1次/年
每次开展需输出相关成果,包括演示文稿资料、书面讲义、电子档案、网络安全意识宣贯素材等。
16
网络安全专业技术咨询与培训
为医院信息科网络安全专业技术人员提供专业技术服务,分为线上咨询服务与线下技术培训部分,线上咨询可通过腾讯会议、微信、钉钉等实时通讯工具,可及时响应对信息科技术人员对网络安全专业相关技术问题的咨询;线下培训针对二进制漏洞挖掘方向(PWN),讲师需具有丰富的实战经验和清晰的表达能力,可提供详尽的理论讲解和实景操作。
线上咨询:不限次/年;
线下培训:2人次/年
要求线下培训时间不少于一周,内容包括但不仅仅限于gdb调试技巧、exp脚本编写训练、linux保护机制的绕过、栈溢出原理与各种利用技巧、堆溢出原理与各种利用技巧、格式化字符串漏洞利用、整型溢出漏洞利用、linux内核漏洞利用等。需提供详细的课表安排,输出《二进制漏洞挖掘培训讲义》

注:网络安全法律法规、管理条例及上级主管、监管单位文件要求在不断地发布、更新,网络安全建设是一个不断发展和完善的过程,故安全服务提供方需在服务期内,按照法律法规、管理条例及上级主管、监管单位文件要求调整以及提供未在服务清单范围内的内容,以满足医院对于网络安全管理的基本要求。需额外购置工具、配件、材料以及设备的除外。
 
2、其他要求
(一)服务期限
服务期限为自合同签订之日起1年。
(二)服务地点
菏泽市中医医院。
(三)服务要求
须提供为期1年的安全服务方案及实施方案,包括但不限于以下内容:
(1)进一步对每项工作内容从服务内容、方式、流程、服务工具、服务承诺等方面进行方案细化。
(2)服务的详细说明,列出详细工程进度表、安全服务所投入的人日总数、各单项服务所投入的人日数量。
(3)详细阐述服务方法、流程、项目时间安排、项目组织、从合同签订之日起的周工作进度安排等,还需提供项目组织架构、项目负责人、技术负责人、项目组成员名单(包括工作分工)以及上述人员的简历等。
(4)投标人须在投标文件中列明为完成本项目所采用的设备和工具清单。
(四)服务团队要求
针对本项目投标人须成立专门的安全服务团队,并任命项目负责人。服务团队包括不少于3人的安全服务支持团队,团队人员具备安全服务行业经验。
(五)保密要求
中标人参与项目的所有人员应严格遵守采购人的保密要求签订保密协议,并由中标人担保。中标人对于采购人提供的资料,以及本项目实施过程中所涉及的所有文档、数据、介质和相关信息保密,未经许可,不得以任何形式向第三方传播。保密期限不受本项目期限的限制,在本项目履行完毕后,保密信息接受方仍应承担保密义务。如因中标人的原因造成泄密,采购人将保留追究其法律责任的权利。
(六)本项目服务涉及的所有费用均包含在本项目报价之内,由中标人全部负责。
 
六、供应商的资质要求:
1、供应商必须具备合法有效的营业执照;
2、不接受联合体投标,供应商所有实施人员必须具有相关网络安全工程师证书,提供工程师连续六个月的本单位社保缴纳证明。
 
七、报名要求:
1、供应商应准备四份报价文件。
2、报价文件包括:
2.1报价表(加盖公章)
2.2公司营业执照及其它相关资质证书。
2.3中国政府采购网、信用中国、信用山东无违法违纪记录证明材料(加盖公章)
2.4供应商服务人员相关网络安全工程师证书,提供工程师连续六个月的本单位社保缴纳证明(复印件加盖公章)
2.5二进制漏洞挖掘(pwn)线下培训课程明细表。
2.6(1)为保障服务质量,服务过程工具具有自主知识产权的非开源软件:
1、具备数据库弱点扫描工具,且参与过数据库扫描产品安全标准的制定。提供软件著作权登记证书和标准参与证明缺一不可。
2、具备网络安全事件应急处置专用工具,可对安全事件进行快速分析、取证、处置。提供软件著作权登记证书。
3、协助院方定期自查等保符合情况,提供具备资质的等保检查工具。提供计算机软件著作权和公安部授权研发通知书缺一不可。
注:以上证明材料加盖原厂公章现场查验并将其扫描件附于投标文件。
(2)厂商实力
1、原厂商具备 “信息安全服务资质证书”(安全工程类三级),提供证书复印件。
2、原厂商具备 “信息安全服务资质证书”(风险评估类二级),提供证书复印件。
3、原厂商具备GB/T29490企业知识产权管理体系认证,提供复印件。
注:以上证明材料加盖原厂公章现场查验并将其扫描件附于投标文件。
2.7 投标人认为需要提交的其他文件。
 
八、报名时间:
2022年9月20日--2022年9月28日,谈判时间另行通知。
报名联系人:龙海
电话:18353053940
返回顶部