2024年度等保测评及运维服务项目院内招标采购公告
-
招标
-
福建省
- 发布:2024-09-14
- 截止:2024-09-21
发送至邮箱
2024年度等保测评及运维服务项目院内招标采购公告
经研究决定,我院拟对2024年度等保测评及运维服 (略) 内招标方式采购,现欢迎具有相关资质的供应商参与投标,并于2024年09月21日11: (略) 招采中心递交密封投标文件。项目名称 | 数量 | 预算单价(元) | 预算总价(元) |
2024年度等保测评及 运维服务 | 1 | * | * |
1.服务 (略) 五大系统:四大系统(HIS、LIS、PACS、EMR)、移动APP系统及其软硬件设施。2.服务内容提供一次三级等保安全测评服务,根据提交的网络安全等级保护测评申请书,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。服务概述如下表:序号 | 服务细项 | 服务内容 | 交付成果 | 服务频次 |
1 | 技术层面测评服务 | 从技术层面进行安全测评 | 测评报告 | 单次 |
2 | 管理层面测评服务 | 从管理层面进行安全测评 | 测评报告 | 单次 |
(1) 技术层面测评服务技术层面测评将根据要求逐项进行测评:安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。安全通信网络:网络架构、通信传输、可信验证。安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心:系统管理、审计管理、安全管理、集中管控。(2) 管理层面测评服务管理层面测评将根据要求逐项进行测评:安全管理制度:安全策略、管理制度、制定与发布、评审与修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理:定级和备案、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供 应商管理。安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。(1)通过专业安全服务,全面发现网络中存在的安全隐患,及时提供有效的安全技术防护;(2)通过专业安全服务,进 (略) 的业务系统及其基础设施的信息安全防御能力,提升信息化部门对突发事件的预防能力和应急处理能力;(3)完善信息安全技术体系建设,提升业务应用系统的安全性和可靠性,保障业务应用系统的安全、稳定、高效运行。(4)完善等级保护系统安全运维规范, (略) 安全运维管理模式,将安全运维服务工作规范化、标准化、精细化;(2)主干网络设备、安全设备与安全软件、内网关键服务器(如核心HIS、LIS、EMR、PACS等四大系统);对象3. (略) 客户服务平台(APP)及其相关服务器、数据库。4.项目期限本安全服务期限为一年周期,各项服务频次见项目服务内容约定。5.服务内容本项 (略) 安全运维人员进行统筹、规划、指导, (略) 网络与信息安全日常运维的工作职责把专业性较强的任务通过购买专业信息安全服务团队服务来完成。服务项目 | 服务内容 | 服务范围 | 服务频度 | 交付成果 |
1.安全咨询服务 | 网络边界及安全域分析 | 院内全网信息网络 | 全年 | 《网络安全规划设计》 |
网络拓扑重现 |
现有安全措施分析 |
网络安全规划设 计 |
2.内网安全风险评估服务 | 网络架构安全风险评估 | 院内全网信息网络 | 每年1次 | 《网络信息系统安全风险评估报告》 |
网络设备风险评估 |
安全设备风险评估 |
主机服务器系统安全风险评估 |
核心业务系统安全风险评估 |
普通业务系统安全风险评估 |
客户端抽样安全风险评估 |
3.安全措施有效性巡检服务 | 网络边界管控有效性及策略核查 | 主干网络设备、安全设备与软件、关键服务器 | 每年4次 | 《设备安全巡检报告》 |
硬件措施有效性及策略核查(防火墙、入侵检测等) |
软件措施有效性及策略核查(防篡改、防病毒、终端管理等) |
4.外网业务安全巡检服务 | 安全巡检服务 | 定期远程安全检测 | 移动支付微信平台、支付宝生活号 | 每年4次 | 《安全巡检报告》 |
定期现场巡检服务 |
主机安全加固服务 | 针对检测的主机安全漏洞、策略配置等进行安全加固 | 每年4次 |
应用安全加固辅导服务 | 提供应用安全问题加固建议,指导开发人员加固 | 每年4次 |
5.内网安全巡检服务 | 安全扫描服务 | (略) 内容关键服务器定期漏洞扫描 | 内网核心业务系统(HIS、LIS、EMR、PACS、等核心系统) | 每年4次 | 《安全巡检报告》 |
渗透测试 | 对核心业务系统定期进行人工渗透测试 | 每年4次 |
配置核查服务 | (略) 核心服务器开展基线合规性配置检查 | 每年4次 |
安全加固与辅导服务 | (略) 核心服务器系统进行安全加固 | 每年4次 |
业务系统安全加固辅导 |
6.医院APP系统安全测试服务 | 服务器端安全测试服务 | Web页面安全测试 | (略) 客户服务平台服务器 | 每年4次 | 《APP系统安全测试评估报告》 |
WebService接口安全测试 |
APK反编译测试服务 | APK文件反编译测试 | (略) 客户服务平台客户端 | 每年4次 |
客户端安全测试服务 | APP程序安全测试 |
APP数据存储安全测试 |
客户端环境安全测试 |
客户端与服务器端的通信安全服务 | 数据加密解密分析 |
会话劫持测试 |
数据包篡改测试 |
数据包重放测试 |
安全加固辅助服务 | 针对测试结果提供安全加固建议 | 医院客户服务平台系统 |
|
7.安全培训服务 | 提供面向网络管理员、信息技术 (略) 新员工的定制化安全培训。 | 医院现场 | 每年2次 | 培训记录材料 |
8.安全应急响应服务 | 政策检查技术支持服务 | 安全检查 | 每年4次 | 若发生网络安全事件则提交《应急响应报告》 |
7×24小时应急保障服务 | 安全事件 | 1小时远程响应 |
现场响应 |
9.管理制度辅助建设 | (略) 建设安全管理制度 | 院内全网信息网络 | 全年 | 输出相关安全管理制度文档 |
(三)设备续保
1.续保产品清单:
序号 | 设备类型 | 设备型号 | 数量 | 服务期限 |
1 | 防火墙 | V3.5/HD-FW-A2-TX-5170-1 | 2 | 提供1年的续保服务 |
2 | 防火墙 | V3.5/HD-FW-A1-1170-1 | 3 |
3 | 运维安全管理系统 | V4.0/HD-SGS-Fort-D2-2170-1 | 1 |
4 | 运维安全管理系统 | V4.0/HD-SGS-Fort-D1-1170-1 | 1 |
5 | 入侵检测 | V5.0/HD-NGIDS-S1-2170-1 | 1 |
6 | 安全网关 | V4.0/HD-SGS-1170-1 | 2 |
7 | 数据库安全审计 | V3.0/HD-SAS-S1-1170-1a | 1 |
8 | 综合日志审计分析系统 | V4.0/HD-LAS-2170-1 | 1 |
9 | 安全感知与运营管理平台 | V2.0/HD-NGSOC-1170-1 | 1 |
10 | 防火墙 | V3.5/HD-FW-A3-2171-1 | 1 |
11 | 网闸 | V2.0/HD-GAP-8171-A1-1 | 1 |
12 | HD-SMS管理系统 | V2.0/HD-SMS-LAC-3170-A | 1 |
为了降低本项目的实施风险,保障实施服务质量,提供设备续保升级服务的工程技术人员须具备安全设备原厂工程师认证(提供认证证书复印件)。(1)远程支持服务在服务期内,产品使用过程中,因某种原因出现问题,提供电话方式远程支持服务,由工程师将对问题进行诊断解决;如不能通过电话解决,通过远程联机管理解决故障。(2)培训服务服务供应商应免 (略) 的技术人员提供以上产品的使用维护培训,培训地 (略) 。(3)现场服务在服务期内,通过电话交流或者远程调试无法解决的,工程师在1小时内响应并到现场维护。(4)系统版本升级为保障用户业务的稳定性,系统本身未提供自动升级服务。在服务期内,黑盾安全产品出现可升级的新版本时,根据产品硬件性能及系统软件版本情况,将为用户提供同代版本升级服务。由工程师为客户系统进行配置备份。在不影响业务系统正常运行的情况下,对系统版本进行升级,并完成新系统的配置恢复。新系统上线后,对网络连通性和业务可用性进行测试,保证业务的正常运行。(5)产品特征库升级服务在服务期内,续保产品对需要升级特征库版本的安全产品(如IDS、IPS、WAF、上网行为),在日常运维的过程中,根据产品的硬件性能及系统版本情况,将对安全产品的特征库进行定期升级。在可升级的版本范围内,保证特征库及时更新。(6)产品保修在服务期内,若续保产品出现软硬件故障,提供免费维修服务。保障用户设备及业务系统的持续可用性。对于购买日期超过6年的设备, (略) 场上找不到相应的配件进行维修。对于该种情况,提供不低于故障设备型号的同品牌备机直至服务期结束。(7)备机服务投标人或所投服务供应商应具备完善、充足的备机配件库。当设备发生故障且短时间内无法修复时,提供备机服务。在短时间内,将备机或备件送至现场进行更换,确保业务系统的正常运行。以上服务仅限于以上清单中网络安全产品本身出现的故障,由于其他网络原因造成的故障或由于不可抵抗力所造成故障的,则不在服务供应商服务范围内。(一)应遵守国家相关信息安全法律要求,包括但不限于:信息安全等级保护要求、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》。(二)应 (略) 相关信息安全制度要求,包括但不限于:《 (略) 信息安全等级保护管理制度汇编》、《患者隐私保护制度》。2.委托代理人参会的必须提供法人代表授权书及委托代理人身份证复印件并加盖公章。3.提供供应商有关售后服务的相关承诺材料。注:上述材料须按以上顺序装订成册并提交一正一副。有意参会的供应商于2024年9月21日11: (略) 招采中心报名。将参会的投标方的联系人、联系方式以书面 (略) 招采中心张先生处。电 话:0597-* 手机:*(三)采购会时间:2024年9月23日10时,采购会地点: (略) (略) 行政楼(3号楼)四楼会议室。(四)项目咨询方式联系人:刘先生 电话:0597-* 经研究决定,我院拟对2024年度等保测评及运维服 (略) 内招标方式采购,现欢迎具有相关资质的供应商参与投标,并于2024年09月21日11: (略) 招采中心递交密封投标文件。项目名称 | 数量 | 预算单价(元) | 预算总价(元) |
2024年度等保测评及 运维服务 | 1 | * | * |
1.服务 (略) 五大系统:四大系统(HIS、LIS、PACS、EMR)、移动APP系统及其软硬件设施。2.服务内容提供一次三级等保安全测评服务,根据提交的网络安全等级保护测评申请书,对服务范围内的信息系统进行安全等级测评,并为被测系统提供测评机构出具的信息系统安全等级测评报告。服务概述如下表:序号 | 服务细项 | 服务内容 | 交付成果 | 服务频次 |
1 | 技术层面测评服务 | 从技术层面进行安全测评 | 测评报告 | 单次 |
2 | 管理层面测评服务 | 从管理层面进行安全测评 | 测评报告 | 单次 |
(1) 技术层面测评服务技术层面测评将根据要求逐项进行测评:安全物理环境:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护。安全通信网络:网络架构、通信传输、可信验证。安全区域边界:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证。安全计算环境:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。安全管理中心:系统管理、审计管理、安全管理、集中管控。(2) 管理层面测评服务管理层面测评将根据要求逐项进行测评:安全管理制度:安全策略、管理制度、制定与发布、评审与修订。安全管理机构:岗位设置、人员配备、授权和审批、沟通与合作、审核和检查。安全管理人员:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。安全建设管理:定级和备案、安全方案设 计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供 应商管理。安全运维管理:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。(1)通过专业安全服务,全面发现网络中存在的安全隐患,及时提供有效的安全技术防护;(2)通过专业安全服务,进 (略) 的业务系统及其基础设施的信息安全防御能力,提升信息化部门对突发事件的预防能力和应急处理能力;(3)完善信息安全技术体系建设,提升业务应用系统的安全性和可靠性,保障业务应用系统的安全、稳定、高效运行。(4)完善等级保护系统安全运维规范, (略) 安全运维管理模式,将安全运维服务工作规范化、标准化、精细化;(2)主干网络设备、安全设备与安全软件、内网关键服务器(如核心HIS、LIS、EMR、PACS等四大系统);对象3. (略) 客户服务平台(APP)及其相关服务器、数据库。4.项目期限本安全服务期限为一年周期,各项服务频次见项目服务内容约定。5.服务内容本项 (略) 安全运维人员进行统筹、规划、指导, (略) 网络与信息安全日常运维的工作职责把专业性较强的任务通过购买专业信息安全服务团队服务来完成。服务项目 | 服务内容 | 服务范围 | 服务频度 | 交付成果 |
1.安全咨询服务 | 网络边界及安全域分析 | 院内全网信息网络 | 全年 | 《网络安全规划设计》 |
网络拓扑重现 |
现有安全措施分析 |
网络安全规划设 计 |
2.内网安全风险评估服务 | 网络架构安全风险评估 | 院内全网信息网络 | 每年1次 | 《网络信息系统安全风险评估报告》 |
网络设备风险评估 |
安全设备风险评估 |
主机服务器系统安全风险评估 |
核心业务系统安全风险评估 |
普通业务系统安全风险评估 |
客户端抽样安全风险评估 |
3.安全措施有效性巡检服务 | 网络边界管控有效性及策略核查 | 主干网络设备、安全设备与软件、关键服务器 | 每年4次 | 《设备安全巡检报告》 |
硬件措施有效性及策略核查(防火墙、入侵检测等) |
软件措施有效性及策略核查(防篡改、防病毒、终端管理等) |
4.外网业务安全巡检服务 | 安全巡检服务 | 定期远程安全检测 | 移动支付微信平台、支付宝生活号 | 每年4次 | 《安全巡检报告》 |
定期现场巡检服务 |
主机安全加固服务 | 针对检测的主机安全漏洞、策略配置等进行安全加固 | 每年4次 |
应用安全加固辅导服务 | 提供应用安全问题加固建议,指导开发人员加固 | 每年4次 |
5.内网安全巡检服务 | 安全扫描服务 | (略) 内容关键服务器定期漏洞扫描 | 内网核心业务系统(HIS、LIS、EMR、PACS、等核心系统) | 每年4次 | 《安全巡检报告》 |
渗透测试 | 对核心业务系统定期进行人工渗透测试 | 每年4次 |
配置核查服务 | (略) 核心服务器开展基线合规性配置检查 | 每年4次 |
安全加固与辅导服务 | (略) 核心服务器系统进行安全加固 | 每年4次 |
业务系统安全加固辅导 |
6.医院APP系统安全测试服务 | 服务器端安全测试服务 | Web页面安全测试 | (略) 客户服务平台服务器 | 每年4次 | 《APP系统安全测试评估报告》 |
WebService接口安全测试 |
APK反编译测试服务 | APK文件反编译测试 | (略) 客户服务平台客户端 | 每年4次 |
客户端安全测试服务 | APP程序安全测试 |
APP数据存储安全测试 |
客户端环境安全测试 |
客户端与服务器端的通信安全服务 | 数据加密解密分析 |
会话劫持测试 |
数据包篡改测试 |
数据包重放测试 |
安全加固辅助服务 | 针对测试结果提供安全加固建议 | 医院客户服务平台系统 |
|
7.安全培训服务 | 提供面向网络管理员、信息技术 (略) 新员工的定制化安全培训。 | 医院现场 | 每年2次 | 培训记录材料 |
8.安全应急响应服务 | 政策检查技术支持服务 | 安全检查 | 每年4次 | 若发生网络安全事件则提交《应急响应报告》 |
7×24小时应急保障服务 | 安全事件 | 1小时远程响应 |
现场响应 |
9.管理制度辅助建设 | (略) 建设安全管理制度 | 院内全网信息网络 | 全年 | 输出相关安全管理制度文档 |
(三)设备续保
1.续保产品清单:
序号 | 设备类型 | 设备型号 | 数量 | 服务期限 |
1 | 防火墙 | V3.5/HD-FW-A2-TX-5170-1 | 2 | 提供1年的续保服务 |
2 | 防火墙 | V3.5/HD-FW-A1-1170-1 | 3 |
3 | 运维安全管理系统 | V4.0/HD-SGS-Fort-D2-2170-1 | 1 |
4 | 运维安全管理系统 | V4.0/HD-SGS-Fort-D1-1170-1 | 1 |
5 | 入侵检测 | V5.0/HD-NGIDS-S1-2170-1 | 1 |
6 | 安全网关 | V4.0/HD-SGS-1170-1 | 2 |
7 | 数据库安全审计 | V3.0/HD-SAS-S1-1170-1a | 1 |
8 | 综合日志审计分析系统 | V4.0/HD-LAS-2170-1 | 1 |
9 | 安全感知与运营管理平台 | V2.0/HD-NGSOC-1170-1 | 1 |
10 | 防火墙 | V3.5/HD-FW-A3-2171-1 | 1 |
11 | 网闸 | V2.0/HD-GAP-8171-A1-1 | 1 |
12 | HD-SMS管理系统 | V2.0/HD-SMS-LAC-3170-A | 1 |
为了降低本项目的实施风险,保障实施服务质量,提供设备续保升级服务的工程技术人员须具备安全设备原厂工程师认证(提供认证证书复印件)。(1)远程支持服务在服务期内,产品使用过程中,因某种原因出现问题,提供电话方式远程支持服务,由工程师将对问题进行诊断解决;如不能通过电话解决,通过远程联机管理解决故障。(2)培训服务服务供应商应免 (略) 的技术人员提供以上产品的使用维护培训,培训地 (略) 。(3)现场服务在服务期内,通过电话交流或者远程调试无法解决的,工程师在1小时内响应并到现场维护。(4)系统版本升级为保障用户业务的稳定性,系统本身未提供自动升级服务。在服务期内,黑盾安全产品出现可升级的新版本时,根据产品硬件性能及系统软件版本情况,将为用户提供同代版本升级服务。由工程师为客户系统进行配置备份。在不影响业务系统正常运行的情况下,对系统版本进行升级,并完成新系统的配置恢复。新系统上线后,对网络连通性和业务可用性进行测试,保证业务的正常运行。(5)产品特征库升级服务在服务期内,续保产品对需要升级特征库版本的安全产品(如IDS、IPS、WAF、上网行为),在日常运维的过程中,根据产品的硬件性能及系统版本情况,将对安全产品的特征库进行定期升级。在可升级的版本范围内,保证特征库及时更新。(6)产品保修在服务期内,若续保产品出现软硬件故障,提供免费维修服务。保障用户设备及业务系统的持续可用性。对于购买日期超过6年的设备, (略) 场上找不到相应的配件进行维修。对于该种情况,提供不低于故障设备型号的同品牌备机直至服务期结束。(7)备机服务投标人或所投服务供应商应具备完善、充足的备机配件库。当设备发生故障且短时间内无法修复时,提供备机服务。在短时间内,将备机或备件送至现场进行更换,确保业务系统的正常运行。以上服务仅限于以上清单中网络安全产品本身出现的故障,由于其他网络原因造成的故障或由于不可抵抗力所造成故障的,则不在服务供应商服务范围内。(一)应遵守国家相关信息安全法律要求,包括但不限于:信息安全等级保护要求、《中华人民共和国数据安全法》、《中华人民共和国网络安全法》。(二)应 (略) 相关信息安全制度要求,包括但不限于:《 (略) 信息安全等级保护管理制度汇编》、《患者隐私保护制度》。2.委托代理人参会的必须提供法人代表授权书及委托代理人身份证复印件并加盖公章。3.提供供应商有关售后服务的相关承诺材料。注:上述材料须按以上顺序装订成册并提交一正一副。有意参会的供应商于2024年9月21日11: (略) 招采中心报名。将参会的投标方的联系人、联系方式以书面 (略) 招采中心张先生处。电 话:0597-* 手机:*(三)采购会时间:2024年9月23日10时,采购会地点: (略) (略) 行政楼(3号楼)四楼会议室。(四)项目咨询方式联系人:刘先生 电话:0597-* 97
查看详情》
招投标大数据