为保障北京医院网络和数据安全运维工作的顺利开展,全面提升核心系统的安全防护水平,满足信息系统稳定运行的信息安全需求,切实保障医院网络与信息系统的稳定运行。现拟对北京医院网络安全运维服务进行采购,具体采购需求如下:
项目名称:北京医院网络安全运维服务采购
项目预算:29.8万元/年
评标方法:综合评分法
一、公司资质
1、生产企业应为中华人民共和国境内(不含香港、澳门、台湾地区)法律上和财务上独立的法人,合法运作并独立于招标人和招标代理机构。
2、投标人应具有良好的银行资信和商业信誉。投标人不能是被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人名单的供应商,不能是被列入“中国政府采购网”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单中仍在处罚期被禁止参加政府采购活动的供应商。
3、超过采购预算金额的投标文件将被拒绝。
二、建设需求
(一)总体需求
投标人应派驻专业的安全技术人员提供5*8驻场服务,服务期限1年。服务期间服务人员应在我院指定办公场所进行运维服务的开展,服务内容包括:
1、基础安全运维服务,包括针对医院医疗网络(内网)和办公网络(外网)区域安全检查、咨询答疑、故障处理等工作;
2、安全监测和分析服务,对内网、外网中现有安全设备进行监测,对告警信息进行简单分析,协助处置告警事件;
3、安全策略调优服务,对已经部署的安全设备进行策略调优,优化设备事件检出能力;
4、安全自查服务,在新系统上线前及网络安全自查工作中,通过漏洞扫描和渗透测试服务对系统软硬件进行安全自查,并提供修复指导;
5、协助等保测评,包括但不限于文档制修订、漏洞扫描、指导建议等;
6、重要时期信息安全保障,驻场人员需协助我院在重要时期进行安全保障,加强网络监测力度,提高响应效率。
(二)详细需求
1、基础安全运维服务:根据本项运维对象及运维内容,开展日常运维工作,做到运维事件第一时间发现、响应和处理。
(1)安全检查:采用人工方式对网络设备、安全设备的软、硬件运行状态做例行检查,确保信息系统问题及时被发现和处理。
(2)咨询答疑:在运维过程中针对我院提出的安全相关问题进行技术答疑,协助我院开展日常安全运维工作。
(3)故障处理:接到故障问题反馈后,对各类问题进行排查和分类,然后进行处理、恢复,形成闭环。
(4)策略检查:定期开展网络安全设备策略配置是否严格按照“最小原则”仅对目标用户开放指定的服务和端口,验证安全防护策略是否生效。
(5)应急处置:根据本项应急处置内容,编制应急处置预案,并按照预案开展应急处置工作,快速解决安全事件及问题,恢复业务及系统的安全运行。
2、安全监测和分析服务:通过针对网络收集的流量和日志进行安全审计和分析,及时发现网络攻击和异常行为,并进行溯源分析和验证,提供解决方案建议,协助我院完成安全整改和修复。
3、安全策略调优服务:定期对安全设备的系统配置和策略配置进行完整备份,在设备发生故障后提供配置快速导入等恢复措施,对安全设备的系统版本、特征库、病毒库、威胁情报库和漏洞库等进行更新升级。
4、安全自查服务:协助我院开展自查工作,主要对系统软硬件进行漏洞扫描和渗透测试,使用商业化工具开展扫描和测试,渗透测试内容至少包括:信息收集类、配置管理类(HTTP方法测试、应用中间件测试、信息泄露、异常错误等)、认证类(用户枚举、密码猜解、密码重置、密码策略测试等)、会话类(cookie测试、session会话测试等)、授权类(越权访问、路径遍历、任意文件下载、逻辑缺陷测试等)、数据验证类(SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等、输入输出校验绕过、数据篡改)、系统应用漏洞(溢出、0day漏洞等)。
5、等保测评协助:协助我院配合第三方等级保护测评机构完成等级保护测评工作,拿到基本符合的等级保护测评报告。
(1)文档制修订:协助补充和准备测评所需的文档资料,如网络安全管理制度、安全事件报告制度、应急管理制度和应用预案等,确保符合国家等级保护测评需要。
(2)漏洞扫描:等保测评前期协助我院对操作系统、业务应用、数据库、网络设备等资产开展漏洞扫描检查工作,并协助我院完成漏洞修复加固工作,确保测评期间无高危漏洞存在。
(3)指导建议:在等级保护规范下,提供安全管理体系制度的设计或规划,安全策略的评估,总体安全规划咨询等相关内容指导建议。
6、重要时期信息安全保障服务:提供重要时期信息安全保障服务,协助我院进行安全事件分析、应急处置、攻击溯源等工作,同时投标人应为我院提供包括但不限于流量监控工具、日志分析工具、威胁攻击态势智能分析工具等重保服务工具,实现重大活动期间对流量进行实时分析,对攻击者进行溯源分析,对系统入侵事件进行监测。
7、资质及技术指标(详见文末附件)。
三、服务要求
(一)项目实施要求
1、服务期限
自合同签订之日起12个月内完成本项目所涉及的服务。
2、服务地点
北京医院。
3、质量保证
投标人应严格执行我院的项目管理规定,应建立严格的质量保证体系,制定项目建设的质量控制方案和实施措施,并督促完成各环节质量控制内容和目标,从项目资质、项目进度、项目质量保障和安全保密等方面加强项目管理,确保服务质量,提供完善详细的项目管理方案。
4、项目验收要求
投标人完成了合同规定服务工作后,向招标人提交项目验收申请及服务报告,由招标人根据项目服务情况,组织验收会并形成验收意见。
5、知识产权要求
为保证后续不涉及知识产权法律纠纷,投标人在进行驻场工作中使用的工具须具备投标人自主知识产权,且产品及工具须具备先进性。
(二)售后服务要求
1、在项目服务过程中提供二线专家的远程支撑,在驻场人员无法处置现场事件时,二线专家远程进行指导。
2、响应时间:针对一般网络安全事件需在1个小时内进行远程响应、严重网络安全事件需在30分钟内进行远程响应、紧急网络安全事件需在15分钟内进行远程响应。
3、问题跟踪与反馈:需建立有效的沟通机制,要求投标人对问题处理过程进行跟踪,并及时向我院通报进展,直至问题彻底解决。
(三)培训要求
投标人需协助我院开展全面、实用、适配性更高的安全意识培训、技术培训。通过相关的安全意识培训以宣贯教育提高全员的网络安全基本意识。
(四)保密要求
1、投标人及团队个人需签订保密协议,严格控制数据资料流转范围,在未经我院许可前,投标人及其服务人员均不得向第三方透露与我院有关的IT系统、数据资料、管理制度、人员安排等相关信息,也不得利用本项目服务期间获取的我院各类信息。参与本次项目实施的人员需配合进行人员的背景调查和审核,符合背景审查的人员方可参与项目。
2、投标人应保证在签订和履行合同过程中获知的我院内部敏感信息,除履行合同义务的必要或有法律、法规规定应披露的之外,投标人及其服务人员均不得以任何方式向第三人披露和不正当使用,如果投标人违反相关规定,我院将通过终止服务、供应商黑名单等方式进行处罚,且投标人应赔偿因泄露敏感信息给我院造成的损失,情节严重的,我院将依法追究投标人及投标人服务人员的相关法律责任。
四、公司在投标现场需提交以下资料(一式四份,一正三副,加盖公章)
1、报价单,需求、服务要求满足情况
2、公司资质(包括营业执照、产品认证以及法定代表人授权书、法人与投标代表身份证复印件等)
3、公司财务报表(包括至少去年一年的资产负债表和利润表)
4、参考合同(提供两年内与其他三甲医院签订的同类服务合同首页复印件,至少三份,最好是北京的)
5、投标代表携带身份证原件备查。
五、公告截止时间: 2024年5月17日
请有意向参与投标的公司于2024年5月13日至2024年5月17日报名。请将报名信息(投标项目名称、公司名称、联系人、联系电话)发送至邮箱:bjyyxxzx@126.com,现场投标日期另行通知。
报名联系人: 宁老师
联系电话:85133871
附件:资质及技术指标
京公网安备11040202450059号 技术支持:北京睿易思
