云南省老年病医院网络安全服务项目竞争性磋商公告

正文内容

根据《政府采购竞争性磋商采购方式管理暂行办法》等有关法律、法规和规章的规定，我单位********网络安全服务项目采用竞争性磋商的方式确定服务单位。 一、采购预算与服务内容 （一）采购预算：**万元 （二）服务内容 *.本次采购为了满足********信息化安全建设与管理需要，保障单位内部信息系统安全、可靠运行，避免遭受网络攻击造成业务中断、敏感信息外泄等事故带来的医疗影响与损失。 *.满足国家相关法律法规的合规性要求，落实《网络安全法》第二十一条第三款“网络运营者应当按照网络安全等级保护制度的要求”。 *.本项目以网络安全等级保护测评与整改咨询为主，包括：医院核心业务HIS系统、Web网站、微信小程序以及数据中心资产梳理整改服务。 *.本次采购的测评服务以一年为单位，具体内容以及次数如下： 服务 分项 服务内容 等保测评 针对********的*个业务系统：His系统（三级）、Web网站（二级、阿里云部署）与微信小程序（二级），依据网络安全等级保护*.*标准完成****年度的网络安全等级测评工作，承担网络安全等级保护测评服务所需全部费用。按照等级保护流程，服务须包括但不限于以下内容： *.在定级备案阶段，协助客户完成未备案系统的定级和备案工作，取得《信息系统安全等级保护备案证明》； *.依据网络安全等级保护测评过程指南（GB/T*****-****）采用人工检查以及专业工具检测，内容包括： （*）安全物理环境：物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。 （*）安全通信网络：网络架构、通信传输、可信验证。 （*）安全区域边界：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。 （*）安全计算环境：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。 （*）安全管理中心：系统管理、审计管理、安全管理、集中管控。 （*）安全管理制度：安全策略、管理制度、制定和发布、评审和修订。 （*）安全管理机构：岗位设置、人员配备、授权和审批、沟通和**、审核和检查。 （*）安全管理人员：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。 （*）安全建设管理：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择。 （**）安全运维管理：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。 *.测评人员需具备网络安全等级测评师证书；需提供项目实施成员名单及证书并出示相关证明材料证明工程师投标单位与最终实施单位要求一致，以确保实施质量。 *.信息安全等级保护安全管理体系咨询服务：服务方应对单位现有安全管理体系、安全管理制度进行咨询服务的方式，协助建立包含：安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理*个层面。 *.等保测评服务的交付成果为《网络安全等级测评报告》。 网络安全架构梳理 针对********目前数据中心网络、安全、服务器、业务系统等资产进行梳理并绘制网络拓扑图，根据目前实际情况规划：网络体系架构、安全域划分、VLAN划分、系统边界安全防护、访问控制措施强度、入侵检测点部署、系统网络监控的有效性、系统与外界的通讯线路的冗余性、系统关键设备设施的冗余性等进行分析与配置加固。 网络安全加固 *.采用人工安全加固方法，对目标系统的安全漏洞进行修复、基线配置进行优化的过程，是一项纯技术服务，对客户指定的信息资产重要系统进行安全加固工作，包括网络设备加固、操作系统加固（Windows系统、Linux系统）、数据库加固、Web服务器、中间件加固、终端安全加固等内容。 *.信息安全分析：为用户单位提供信息安全策略、管理、技术和运维体系服务，安全事件专业的分析和预防，最新的安全漏洞、木马病毒、攻击事件等网络破坏行为信息以及解决指引服务，及时响应用户单位提出的安全服务请求，提出针对性的安全防护建议和整改措，并协助甲方实施落地工作； *.安全策略优化及加固督导：对用户目标系统的安全漏洞进行修复、配置隐患进行优化的过程。加固内容包括但不限于系统补丁、防火墙、防病毒、危险服务、共享、自动播放、密码安全。 网络安全应急响应服务 当********的业务系统有紧急安全问题发生，在现场技术人员无法迅速解决的时候，提供应急响应服务，进行现场技术支持，根据事件的具体情况，迅速组织应急安全专家小组，进行信息安全事件分析、事件紧急处置，并采取有效措施，遏制事件蔓延。 *.接到事件报告：根据事件级别进行不同级别的响应方式，包括电话、现场等；安全事件要求应急团队须在*分钟内，对信息安全事件做出响应，并严格按照招标方信息安全等级要求迅速到达现场并解决问题，其中一类、二类业务系统须**分钟内到达现场。三类业务系统须*个小时内到达现场。 *.安全事件溯源分析：排查攻击路径，恶意文件清除；入侵原因分析还原攻击路径，分析入侵事件原因。 *.加固建议指导服务：结合现有安全防御体系，进行安全加固、提供整改建议、防止再次入侵。 *.服务交付：编制应急响应情况报告，说明事件原因、处置措施等；交付《应急响应报告》。 服务质量保障能力 *.人员保障。根据相关规定，测评方参与本项目的项目组成员不得少于*人。其中高级测评师至少*人，中级测评师至少*人。 *.工具要求。测评方在等保测评和渗透测试过程中使用的漏洞扫描工具应满足以下技术要求： （*）端口扫描策略支持标准端口扫描、快速端口扫描、指定端口范围扫描、全端口扫描等。 （*）TCP端口扫描方式支持CONNECT和SYN。 （*）支持UDP端口扫描。 （*）具备口令猜测任务，支持的猜测服务包括SMB、RDP、TELNET、FTP、SFTP、SSH、ACTIVEMQ、POP*、Tomcat、SQL SERVER、MYSQL、Oracle、Sybase、DB*、MONGODB、SMTP、IMAP、Onvif和RTSP等。 （*）WEB扫描支持并发线程数调节、超时限制、目录猜测、自定义User-Agent等能力。 针对上述能力，供应商需提供产品截图。 二、资格要求 （一）满足《中华人民**国政府采购法》第二十二条规定： *.具有独立承担民事责任的能力，在中华人民**国境内依法注册，供应商须提供企业营业执照副本、税务登记证、组织机构代码证（要求清晰反映经营范围）；（注：三证合一企业只需提供营业执照副本）（原件或复印件加盖公章）。 *.供应商具有良好的商业信誉和健全的财务会计制度，供应商须提供财务状况报告，内容可为近三个月内开户银行出具的资信证明或资金存款证明（复印件）或（****年至****年任意一年度）经审计的财务审计报告及财务报表（须包括审计报告、资产负债表、利润表、现金流量表），如供应商成立时间不足一年的，提供自成立至今的财务报表或相关情况说明； *.具有履行合同所必须的设备和专业技术能力（提供承诺函）。 *.有依法缴纳税收和社会保障资金的良好记录，供应商有依法缴纳税收和社会保障资金的良好记录（提供****年至今任意*个月缴纳税收和社会保障资金的缴费证明，依法免税或不需要缴纳社会保障资金的供应商，应提供相应文件证明其依法免税或不需要缴纳社会保障资金）。 *.参加政府采购活动前三年内，在经营活动中没有重大违法记录（重大违法记录是指投标单位因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚），提供书面声明；供应商承诺在近三年内经营活动中公司及法定代表人无行贿犯罪记录以及近一年内法定代表人无违规违纪情况（提供承诺函）。 *.法律、行政法规规定的其它条件：供应商在“信用中国”网站（www.creditchina.gov.cn）、中国政府采购网（www.ccgp.gov.cn）中未被列入失信被执行人、重大税收违法失信主体、政府采购严重违法失信记录名单（采购人查询）。 （二）本项目的特定资格要求：供应商必须具有**部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》，并在有效期限内。 三、磋商响应文件评审办法 本次磋商遵循公开透明、公平竞争、公正和诚实信用的原则。磋商小组成员按照客观、公正、审慎的原则，根据磋商文件规定的评审程序、评审方法和评审标准进行独立评审。磋商小组应当根据综合评分情况，按照评审得分由高到低顺序推荐至少*名成交候选供应商，并编写评审报告。评审得分相同的，按照最后报价由低到高的顺序推荐。评审得分且最后报价相同的，按照技术指标优劣顺序推荐。我单位根据磋商小组的推荐意见确定排名第一的供应商为本次磋商成交单位，并签订服务合同。 四、磋商文件的获取 （一）发布公告的媒介：本次竞争性磋商的公告（包括成交公告）均在********官网上发布，我单位对其他网站或媒体转载的公告内容不承担任何法律责任。 （二）获取方式：现场领取电子版文件。 （三）获取时间：请有意向的单位自****年*月**日至****年*月**日上午*:**-**:**,下午**:**-**:**携资质（含有效的营业执照、税务登记证、组织机构代码证、法定代表人身份证明或授权委托书等复印件加盖鲜章）等相关料到********世博大厦四楼信息科报名。 五、磋商响应文件的递交 （一）递交磋商响应文件的截止时间为****年*月**日**:**，地点为世博大厦*楼会议室。 （二）逾期送达的或者未送达指定地点的磋商响应文件，我单位将不予受理。 六、其他注意事项 （一）供应商的企业营业执照副本、资质证书相关资料等上述材料加盖单位公章的复印件必须装订在磋商响应文件中。如果未装订在磋商响应文件中，评审时评审组有权否决其磋商响应文件。 （二）磋商响应文件份数 一正一副份。 （三）磋商响应文件装订及密封包装、盖章要求 磋商响应文件须装订，装订应牢固、不易拆散和换页，不得采用活页装订。 磋商响应文件密封包装，并加贴封条。 磋商响应文件须加盖单位公章（骑缝章）。 外封套上写明采购人地址：拓东路玉川巷商业新村**号；我单位名称：********。项目名称：********网络安全服务项目。磋商磋商响应文件在****年*月**日**时**分前不得开启。 七、联系方式 采购人：******** 地 址：**省******拓东路世博大厦*楼 联 系 人：梁老师 联系人电话：****-********