福建省肿瘤医院等级保护安全测评及安全加固服务采购调研公告

正文内容

*******采购调研公告 第一部分须知前附表 序号 主　　　要　　　内　　　容 * 项目名称：等级保护安全测评及安全加固服务 * 调研报名时间：****年*月**日至*月**日(节假日除外)*：**-**：**或**：**-**：**(**时间） 调研会时间：****年*月*日*:** * 文件正本壹份,副本壹份胶装并密封加盖投标人公章。文件未胶装将视为无效。 * 文件递交处：*******网络技术中心 * 上述时间、地点如有变动，以单位届时通知为准。 * 采购报名、采购调研等采购过程中有任何异议，可联系我院监督科室。电话：********-****；********-****。 地　址：**省***福马路***号 *******科研楼四楼网络技术中心 邮　编：****** 报名联系电话：****-********-**** 联系人：金工、钱工 第二部分具体要求 一、采购内容 合同包 名称 数量 预算（万元） （一） 等级保护安全测评及安全加固服务项目 *项 ** 二、技术及服务要求 （一）合同包（一） 序号 项目 数量 技术参数要求 * 等级保护测评服务 *项 依照GB/T*****-****《信息安全技术信息安全等级保护基本要求》和《行业信息系统安全等级保护基本要求》，由中标人邀请具有资质的等保测评机构对*******被测系统（HIS、LIS、PACS、EMR、OA系统、移动APP、门户网站、互联网医疗及处方流转服务平台（含慢病管理）、肿瘤直报平台、集成平台）进行三级等级保护测评。服务期限自合同签订起*年，或测评完成，以先到为止。 等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容： *.*总体要求测评：包括总体技术要求、总体管理要求； *.*安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评； *.*安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评； *.*最终版报告需加盖有网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》资质公司的印章及等级保护专用章。 * 等级保护网络安全运营服务 *项 *.* 等保咨询服务 对*******重要信息系统（HIS、LIS、PACS、EMR、OA系统、移动APP、门户网站、互联网医疗及处方流转服务平台（含慢病管理）、肿瘤直报平台、集成平台）按照GB/T*****-****《信息安全技术信息安全等级保护基本要求》和《行业信息系统安全等级保护基本要求》要求服务，包括资产分析服务、风险分析服务、差距评估、安全加固服务、等保制度建设服务、辅助测评一站式服务。服务期限自合同签订起*年，或测评完成，以先到为止。服务交付成果包括：《信息系统基本情况调查表》、《等级保护安全评估与整改建议》、《等级保护安全管理制度汇编》等。在等级保护建设过程采用的服务工具支持对信息资产进行管理：（*）提供*种以上扫描器对相应信息系统进行漏洞扫描结果的结果导入；（*）提供漏洞描述、解决建议、其他信息、操作记录并可进入整改流程；（*）提供管理制度在线预览和制度文件替换、模板一键导出等功能；提供对管理流程执行中涉及的审批流程进行在线审批进行设置，并对审批进行提醒和记录；可展示每日工作日程，展示待审批记录、未完成任务。 *.*网络安全运营服务 对*******重要信息系统（HIS、LIS、PACS、EMR、OA系统、移动APP、门户网站、互联网医疗及处方流转服务平台（含慢病管理）、肿瘤直报平台、集成平台）提供网络安全运营服务，服务期限自合同签订起*年。服务内容包括： *.安全评估服务(*次/年):通过安全评估来识别的安全现状，全面了解和掌握系统面临的安全威胁和风险，为安全需求和解决方案的提出提供原始依据，为信息系统的使用、管理部门开展信息安全等级保护提供依据，为确立安全策略、制**全规划、开展安全建设提供决策支持，保障信息系统安全运行。交付成果：《安全评估报告》*份 *.安全测试服务 渗透测试服务(*次/年):安排安全攻防专家人员针对目标系统开展黑客模拟攻击渗透测试服务，全面检测被测系统安全性;交付成果：《渗透测试报告》*份 应用安全检测服务(*次/年)：采用自动化检测工具与平台进行全面检测Web应用程序的安全性，安排专业攻防人员深度挖掘程序中存在的各种漏洞和所面临的威胁，从而帮忙全面了解和掌控其网站的安全状况。并针对已发现的安全问题进行人工验证，以判断网站当前的漏洞是否真实有利用，剔除误报干扰，提供专业的安全加固措施指导建议。交付成果：《应用安全检测报告》*份 *.MSS安全运营托管服务 通过云端安全运营专家基于采购人本地部署的安全运营管理平台，面向采购人提供****小时的云端安全运营服务，持续监控互联网网络安全问题，对安全告警日志进行实时分析、研判、告警和处置建议的闭环，实现快速检测处置威胁事件。 （*）威胁分析与研判服务：通过安全运营管理平台结合安全专家人工分析，开展安全威胁分析和安全威胁情报服务，主要围绕：SQL注入、WEBSHELL检测、反序列化、Struts*、反弹SHELL、第三方漏洞（REDIS）、暴力破解成功检测、恶意域名检测、挖矿木马、僵尸网络、TeamView协议、SOCKS隧道、其他状态等内容；采用攻击专家模型对web攻击、APT攻击、爆破等各类高级威胁事件深度分析，结合最新威胁情报和业务应用情况，排查安全隐患，并形成处置和整改建议，提升客户对安全事件的分析和研判能力。交付成果：每日安全简报； （*）威胁情报服务：云端安全运营管理平台与医院互联网安全运营管理平台开展持续性的安全威胁情报交换，共享恶意软件、攻击技术以及攻击者的基本信息等，确保互联网安全运营管理平台时刻保持关注当前的最**全威胁情报，确保自身安全控制的有效性和灵活性。交付成果：按需提供《威胁情报更新记录》；（提供承诺函，并承担定制接口所需费用） （*）网站安全监控服务（全年）：*年***天通过专业的网站安全监控平台对网站提供网站可用性监控、域名劫持监控等，网站安全监控平台具备至少***多个分布式监测的能力，实现对网站稳定性和可用性分析，支持http（https）、ftp、ping、smtp等多种协议，覆盖中国移动、中国联通、中国电信、教育网等主流网络运营商线路，构建起强大的网站监测网络；提供网站高级安全监控，对网站进行周期性轮询监控，内容覆盖网页敏感词内容监控弱口令监控、挂马监控、暗链监控等；网站安全监控人工告警，配备****小时的值班，第一时间进行人工验证，并告警。交付成果：《网站安全监控报告》*份； （*）告警与处置服务：运营过程中根据发生的告警情况，进行分析和处置，同时给出设备策略等准确的优化与加固建议。交付成果：按需提供安全处置建议。 采用的云端安全运营管理平台支持与医院现有的互联网防火墙、Web应用防火墙等进行策略联动，实现网络安全运维自动告警、阻断，提升安全防护能力和抗攻击水平。（提供承诺函，并承担定制接口所需费用） * 安全加固服务 *项 *.安全加固服务(*次/年)：根据安全评估和测试服务的结果，提供应用安全加固辅导、操作系统安全策略加固、Web服务器（中间件）加固辅导、数据库安全加固辅导服务，提升系统整体安全性，并提交报告。交付成果：《安全加固报告》*份 *.安全培训服务(*次/年)：开展网络安全意识培训(一节课**-**分钟)，面向全院新员工讲座，培训内容包含不限于以下方面：安全标准、政策法规解读，信息安全意识、信息安全发展方向，周期性安全服务报告解读，可定制培训内容。交付成果：《安全培训PPT》*份 *.应急响应服务（按需提供）：当医院网络和信息系统遇到黑客攻击或网页篡改等恶性事件，提供****小时电话响应或即时通讯或邮件等方式解疑答惑；远程支持无法解决时，提供*区*小时内突发安全事件现场应急响应服务。交付成果：按需提供《应急响应报告》。 三、其他要求 *.按照《网络安全法》、等级保护等相关要求进行规划和建设；符合《信息安全技术网络安全等级保护基本要求》GB/T*****-****（三级）要求（下文简称：三级等保*.*），并在三级等保*.*评审中协助完成本系统评审工作。 *.项目实施应尽可能小地影响系统和网络的正常运行，不能对现有网络的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断等)； *.对服务过程中的过程数据和结果数据严格保密，未经授权不泄露给任何单位和个人，不利用此数据进行任何侵害用户单位的行为。 *.为保障安全服务实施质量，供应商拟投入的项目团队需至少包含*名项目经理，同时具备IT服务项目经理认证、国家注册信息安全专业人员（CISP）证书、注册渗透测试工程师（CISP-PTE）证书、信息安全保障人员工程师CISAW证书（安全集成专业级或以上）、CCRC网络安全应急管理能力证书；需提供承诺函，且在项目实施前提供相关证书。 四、调研说明 报名参加本次调研的供应商、厂家需提供如下相关资料。 *、报名请携带加盖公章的项目文件回执单、营业执照复印件、公司简介。 *、参与项目调研供应商代表的个人授权函（需加盖供应商公章）和身份证复印件。 *、分别提供“信用中国”网站（www.creditchina.gov.cn）、“中国政府采购网”网站（http://www.ccgp.gov.cn/search/cr/）信用记录查询截图，无不良记录并加盖公章（截图查询日期必须在该公告日期内）。 *、提供业绩清单及近*年省内同类项目中标书； *、本调研会的报价仅做为本项目公开招标的预算限价；不做参与投标的限制条件； *、上述各参数将做为本项目招标的主要参数，不代表本项目公开招标的最终参数； *、参加调研会的公司应准备PPT材料（含方案介绍、安全能力、应用案例、报价等）、技术参数等材料，每公司讲解时间**分钟（含答疑**分钟）；同时上述材料须交予院方留档（提供U盘留档）。 项目文件回执单 请有意向参与的公司在项目公示期内携带回执单至*******网络技术中心报名。 序号 项目名称 数量 品牌及型号 * * 公司名称： 联系人：　 联系电话： 公司盖章： ******* 年月日 调研公告-等保*.**.docx