1. 设为首页
  2. 加入收藏
  3. 联系我们
当前位置: 首 页 ?>>?新闻动态 ?>>?通知公告 ?>>?查看详情

网络安全维保服务院内比选公告

来源: 龙泉驿区中医医院? 日期:2019-08-21 08:21:21? 点击:161? 属于:通知公告
网络安全维保服务院内比选公告
?
?
?
供应商参加本次采购活动,应具备下列条件:
(一)参选单位必须是中华人民共和国境内正式注册的,并具有有效的独立法人资格,具备较强的技术力量、经济实力和良好的企业信誉及售后服务能力;
(二)参选单位须具备有效营业执照或者三证合一的营业执照(经营范围需满足本次比选的相关要求)、组织机构代码证、税务登记证。
(三)参加本次采购活动前三年内,在经营活动中没有重大违法记录;
(四)参选单位和投标产品符合法律、行政法规规定的其他强制性条件;
(五)本公告所涉及项目均不接受联合体参选。
五、报价文件要求
凡报名参加比选的单位均须制作报价文件正本一份,文件胶装密封,封面标注包件编号,每一页均须加盖公章,内容包含且不限于以下资料:
(一)报价文件目录;
(二)报价一览表或报价方案;
(二)厂家和供应商的全套资质材料复印件(营业执照等);
(三)全套授权书原件及相关人员身份证复印件;
(四)技术应答表及配套支撑材料;
(五)供应商认为可证明其综合竞争力的其它材料。
如果参选单位未按要求提供相关完整、真实资料,报价文件视为无效。
六、比选时间及地点
比选时间:2019年8月27日下午15:00
比选地点:成都市龙泉驿区中医医院(门诊七楼小会议室)
七、报名起止时间
2019年8月21日至2019年8月27日15:00。
八、报名方式
采取现场报名。
报名地址:成都市龙泉驿区中医医院后勤保卫科,现场报名时需携带法定代表人授权委托书及身份证复印件一份,比选文件请自行在本网站下载。
九、比选文件递交时间及地点
递交时间:2019年8月27日14:30-15:00
地点:成都市龙泉驿区中医医院(门诊七楼小会议室)逾期送达或不符合规定的文件将被拒绝接收。
十、联系方式
联系人:邓老师、陈老师
联系电话:028-68284929 ????028-68284938?
地址:成都市龙泉驿区建设路68号


附件
网络安全维保服务
一、服务期限:1年;
二、预算:9万元;
三、服务内容及要求
(一)服务范围
服务范围涵盖我院局域网信息系统(包括HIS、LIS、PACS等信息系统及支撑这些信息系统的服务器主机、数据库系统,所有网络设备和安全设备)。
(二)服务内容与频率
1.安全咨询服务
服务内容:
依据医疗行业等级保护测评的要求,?进行差距分析,在定级、评估、整改、运维方面提供支持。参照等级保护测评要求,在网络安全建设方针、安全制度建立和安全人事安排方面,提供合理化建议,制定信息系统安全建设目标和安全规划方案,建立信息安全保障体系框架。协助我院达到三级等保要求?。
服务频率:每年一次
输出内容:相关文件档案(测评所需)、以及整改建议报告。
2.安全运维服务
服务内容:
A.安全巡检
对我院的机房环境、网络设备状态、安全设备状态、应用系统状态进行检查与分析,了解我院当前系统与设备的运行情况,并对发现的安全隐患提供改善建议,并出具安全巡检报告。
服务频率:每季度一次
输出内容:《机房档案》、《设备档案》、《巡检报告》
B.安全保障
对我院在十一国庆、数博会、科博会等重大会议和节假日等敏感时期提供远程和现场的安全保障服务,保障我院在这期间安全稳定度过。
服务频率: 提前预警与提前预约或按需提供。
输出内容:《保障报告》
3.漏洞扫描服务
服务内容:
A.服务器漏洞扫描
对我院的服务器进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
B.web应用漏洞扫描
对我院的应用系统进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
C.数据库漏洞扫描
对我院的数据库进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
D.网络设备漏洞扫描
对我院的网络设备进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
服务频率:半年一次
输出内容:相关系统、设备的《漏洞扫描报告与整改建议》
4.渗透测试服务
服务内容:
针对我院的应用系统使用多种技术和方法进行模拟攻击,对外网访问的网站等公开资源进行模拟黑客攻击的渗透性测试,检查安全性验证当前的安全防护措施,及时发现其存在安全漏洞,避免应用系统被攻击、控制。并提供有价值的安全建议。
服务频率:一年一次
输出内容:《渗透测试报告》
5.攻防演练服务
服务内容:
针对我院提供的安全事件进行应急演练演练,以完善信息安全应急响应机制,规范信息安全应急响应工作内容和流程,并提升应急处置能力。
针对我院提供对SQL注入攻击、XSS跨站脚本攻击、命令执行攻击、提权攻击、编码解码、流量分析、取证分析、代码审计、程序逆向等攻击行为进行实战环境攻防演练和培训。
服务频率:每年一次
输出内容:《攻防演练报告》
6.安全评估服务
服务内容:
依据国际、国内有关信息技术标准,从业务出发,对关键信息系统资产和控制措施进行识别,对信息系统的威胁、脆弱性和风险等级等安全属性进行全面风险评价。
A.管理层面风险评估
对我院的安全管理机构、安全管理制度、人员安全管理、系统安全建设管理、系统安全运维管理等维度的管理层内容进行风险评估,输出安全管理建议。
B.技术层面风险评估
对我院的物理安全、网络安全、主机安全、应用安全、数据备份与恢复安全等维度的技术层内容进行风险评估,输出安全技术建议。
C.系统安全评估
对我院各种操作系统进行安全评估,包括:帐户与口令安全、网络服务安全、内核参数安全、文件系统安全、日志安全等,获得系统当前安全状态,提供可操作的安全加固、安全增强、安全优化建议等。
D.数据库安全评估
E.对我院数据库进行安全评估,保护数据库中数据不被非法访问和非法更新,并防止数据的泄露和丢失,获得当前安全状态,提供修补建议及最佳安全实践。
服务频率:每年一次
输出内容:《安全评估报告》
7.安全通告服务
服务内容:
为我院提供专业信息安全通告服务,并通过邮件或电话等方式,提供及时的、针对性的各类安全信息,帮助我院及时的了解最新安全动态与安全预警。
服务频率:每月一次
输出内容:《安全通告》
8.应急响应服务
服务内容:
我院业务系统在发生安全事件后,安全专家依据安全事件的分类与应急响应的目标,及时提供远程或现场应急响应,协助客户进行有效的应急处理,最大程度上减少损失和事件造成的消极影响。
服务频率:第一时间(十分钟内)远程响应,确定事件性质,如需到场,一小时内到场。
输出内容:《应急响应报告》
9、安全加固服务
服务内容:
A.操作系统配置加固
根据配置核查成果、专业安全评估结果,对操作系统进行安全配置的修正、增加安全机制。
B.网络设备加固
根据配置核查成果、专业安全评估结果、对指定的网路设备进行安全加固和安全增强,增加系统的抗攻击能力。
C.安全设备加固
根据配置核查成果、专业安全评估结果、对诸如防火墙、入侵检测、安全审计等安全设备进行策略优炫、确保策略有效性。
D.系统补丁更新
根据漏洞扫描结果、专业安全评估结果,对操作系统进行补丁装载、增加安全机制。
E.其他加固措施
针对我院业务系统相关的服务器,停止不必要的服务,查杀病毒文件,修改配置与权限,优化系统性能。
服务频率:每半年一次;
输出内容:《安全加固报告》;
10、安全培训服务
服务内容:
提供覆盖网络信息安全意识、技术、管理等内容的培训服务,以提升我院员工网络信息安全认知、信息科技术与管理能力。培训内容包括但不限于安全配置、安全升级、安全政策、Web安全培训、攻防演练培训等内容。
服务频率:全院职工网络信息安全意识提高培训,一年一次。 ?????????信息科技术培训,半年一次。
输出内容:《安全培训记录表》;
四、评分标准
序号 评分因素及权重 分值 评分标准 备注
1 价格10% 10分 1.以满足文件要求且报价最低的报价为评标基准价,其价格分为满分。其它供应商的价格分统一按照下列公式计算:报价得分=(评标基准价/报价)×分值; ?
2 企业荣誉4% 4分 1、提供企业信用等级证书AAA得2分,不提供不得分。
2、提供企业近两年连续获得税务部门颁发的企业纳税信用A级评价证明的得2分,不提供不得分。
(以上提供证书或网站证明复印件加盖公章,原件备查)
?
3 类似业绩10% 10分 2016以来具有医疗卫生行业安全服务成功案例。每个计2分最高可计10分(提供合同复印件,否则不计分,同一个用户不重复计分。) ?
4 报价单位实力21% 21分 一、报价单位提供基本服务资质认证,每提供一项,得3分,最多9分,不提供不得分,具体的:
1、《ITSS数据中心服务能力成熟度标准符合性证书》,成熟度等级二级或以上;
2、《ITSS信息技术服务运行维护标准符合性证书》,成熟度等三级或以上;
3、ISO三标体系认证证书;(包括ISO9001质量管理系统认证证书、ISO14001环境管理体系认证证书、OHSAS18001职业健康安全管理体系认证证书)。
二、报价单位提供信息安全相关资质认证,每提供一项,得3分,最多12分,不提供不得分,具体的:
1、《CNITSEC信息安全服务资质证书》,安全工程类一级或以上;
2、《CCIA信息系统业务安全服务资质证书》一级; ?????????
3、《ISCCC/CCRC信息安全服务资质认证证书》,信息系统安全集成资质三级或以上;
4、《ISCCC/CCRC信息安全服务资质认证证书》,信息安全风险评估资质三级或以上;
(以上提供证书复印件加盖公章,原件备查)
?
4 服务能力21% 21分 一、报价单位在安全运维服务过程中,应具有自主知识产权的安全评估工具、日志审计工具、漏洞扫描工具、运维管理工具(提供证明文件),每提供一项,得3分,最多12分。不提供不得分;
二、报价单位在安全运维的过程中,需开发软件以优化巡检效率。报价单位应具备成熟的软件开发经验,通过CMMI5(软件成熟能力度)得3分,CMMI4得2分,CMMI3得1分,其它不得分;
取得《ISCCC/CCRC信息安全服务资质认证证书》,软件安全开发服务资质三级或以上得3分;
三、报价单位需要对龙泉驿区第一人民医院现有业务系统及相关安全产品进行全面了解以便制定相关实施方案,能够提供查勘现场的证明函原件的计3分,不能提供的计0分。(以上提供证书、勘察现场证明函、承诺函复印件加盖公章,原件备查)
5 服务方案
5%
5分 根据报价单位提供的安全服务内容设计方案,内容是否完整、有效、详尽、合理等方面进行综合评比:优得5分,一般得3分,差得1分,不提供不得分。 ?
6 项目管理方案5% 5分 要求项目管理方案中提供:
1、项目管理流程;2、项目管理方法,3、保证项目关键密措施5、安全性措施。以上5项描述详细合理的,得4~5分,存在部分不合理的,得2~3分,存在较大不合理的,得0~1分。
?
7 人员配备20% 20分 报价单位服务团队至少配备以下技术人员:
1、项目经理需同时具备ITIL、CISP、PMP、项目经理证书,得5分,不提供不得分。
2、项目人员需同时具备高级项目经理证书与信息系统业务安全服务认证证书,每提供一人得3分,最多6分。
3、需配备1名数据库工程师(具备Oracle数据库管理认证师OCM)负责数据库,1名系统工程师(具备微软NET软件高级工程师证书)负责操作系统,1名网络工程师(具备CCIE认证)负责网络,每提供一人得3分,最多9分。
(以上人员证书提供复印件加盖公章,原件备查,且必须提供近半年内连续三个月的社保证明文件复印件;否则该项不予计分);
?
8 本地化服务要求3% 3分 报价单位须在本地注册有分支机构。
(以上提供本地工商行政管理局提供的营业执照证明材料)
?
9 响应文件的规范性1% 1分 响应文件制作规范,没有细微偏差情形的得1分;有一项细微偏差扣0.5分,直至该项分值扣完为止。 ?




??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????