编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福建省福州儿童医院

乙方：福建省海峡信息技术有限公司

根据招标编号为[******]TYC[GK]*******的福建省福州儿童医院系统安全服务采购项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□（若有联合协议或分包意向协议）无。

2、合同标的

3、合同总金额

3.1合同总金额为人民币大写：贰拾肆万伍仟元整（￥******.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 (60) 天内交货；

4.2交付地点：福建省福州市鼓楼区八一七中路145号；

4.3交付条件： 采购人根据实际情况组织验收会进行验收 。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

5.1.信息安全等级保护测评服务：依照GB/T*****-2019《信息安全技术信息安全等级保护基本要求》和《行业信息系统安全等级保护基本要求》，由乙方邀请具有资质的等保测评机构对福建省福州儿童医院被测系统（HIS、LIS、PACS、EMR、移动APP、门户网站）进行三级等级保护测评，等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容： 5.1.1总体要求测评：包括总体技术要求、总体管理要求； 5.1.2安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评； 5.1.3安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评； 5.1.4最终需由有资质的等保测评机构出具HIS、LIS、PACS、EMR、移动APP、门户网站三级等保测评报告，并加盖印章及等级保护专用章。 5.2.网络安全设备维保服务，在服务期内，提供以下安全设备维保服务。 5.2.1服务范围如下： 序号 产品名称 数量 部署位置 描述 1 防火墙 1 互联网边界 软硬件升级，维保 2 防火墙 1 互联网前置应用区边界 软硬件升级，维保 3 防火墙 1 互联网数据交互区边界 软硬件升级，维保 4 防火墙 1 网闸内前端边界 软硬件升级，维保 5 防火墙 1 医保网边界 软硬件升级，维保 6 防火墙 1 卫健专网边界 软硬件升级，维保 7 防火墙 1 数据中心核心边界 软硬件升级，维保 8 防火墙 1 数据中心核心边界 软硬件升级，维保 9 防火墙 1 AP无线边界 软硬件升级，维保 10 防火墙 1 内网前置应用区边界 软硬件升级，维保 11 防火墙 1 网闸内前端 软硬件升级，维保 12 WAF前端防火墙 1 互联网前置应用区边界 软硬件升级，维保 13 防火墙 1 主机房运维 软硬件升级，维保 14 网闸 1 内外网数据隔离边界 软硬件升级，维保 15 上网行为管理 1 互联网边界 软硬件升级、特征库升级，维保 16 防毒墙 1 网闸内前端 软硬件升级、病毒库升级，维保 17 防毒墙 1 医保 软硬件升级、病毒库升级，维保 18 防毒墙 1 互联网 软硬件升级、病毒库升级，维保 19 运维安全网关 1 内网 软硬件升级，维保 20 运维安全网关 1 互联网 软硬件升级，维保 21 态势感知系统 1 互联网 软硬件升级、特征库升级，维保 22 入侵防御 1 互联网 软硬件升级、特征库升级，维保 23 入侵防御 1 网闸内前端 软硬件升级、特征库升级，维保 24 入侵防御 1 医保政务外网边界 软硬件升级、特征库升级，维保 25 Web墙 1 互联网 软硬件升级、特征库升级，维保 26 防火墙 1 动态ip互联网边界 软硬件升级、特征库升级，维保 27 上网行为 1 动态ip互联网边界 软硬件升级、特征库升级，维保 5.2.2网络安全产品保障续保服务 5.2.2.1在服务期内，在产品使用过程中由于某种原因导致设备使用出现问题，采购人通过电话方式或其他方式将故障情况报告给中标供 应商，工程师要立即对采购人的问题进行诊断，并通过电话、远程联机方式解决。通过电话交流，或者远程调试情况无法解决的，工程师在2小时内响应并到现场维护。 5.2.2.2系统版本升级：在服务期内，续保产品、租赁产品、保内产品、试用产品系统版本出现可升级的新版本时，在产品性能满足的情况下，将为采购人提供同代版本升级服务，提供的功能模块不变。现场为采购人系统进行配置备份。在不影响业务系统正常运行的情况下，对系统版本进行升级，并完成新系统的配置恢复。新系统上线后，对网络连通性和业务可用性进行测试，保证业务的正常运行。 5.2.2.3产品特征库（包括病毒库）升级服务：在服务期内，需要升级安全产品的软件版本，在日常运维的过程中，根据产品的性能将对安全产品的特征库（病毒库）进行定期升级。在可升级的版本范围内，保证特征库（病毒库）及时更新。 5.2.2.4产品保修：在服务期内，若续保产品出现软硬件故障，需提供检测服务，其费用包含在报价总价中。对于购买日期在6年之内的产品，提供维修服务，其费用包含在报价总价中。对于购买日期超过6年的设备，可能在硬件市场上找不到相应的配件进行维修。对于该种情况，中标供 应商需提供不低于采购人型号的备机直至服务期结束，服务期结束后若无续签服务则收回备机。 5.2.2.5备机服务：具备完善、充足的备机配件库。当采购人设备发生故障且短时间内无法修复时，需提供备机服务。在短时间内，将备机或备件送至采购人现场进行更换。保障采购人网络及业务系统的持续可用性。 5.3.信息安全等级保护咨询及运维服务：提供福建省福州儿童医院定级备案的HIS、LIS、PACS、EMR、移动APP、门户网站为核心涵盖的网络设备、操作系统、应用服务器、数据库、安全产品、物理环境等IT资产按照GB/T*****-2019《信息安全技术信息安全等级保护基本要求》和《行业信息系统安全等级保护基本要求》要求服务，包括资产分析、风险评估、差距评估、定级备案协助、辅助测评等一站式服务。 5.3.1 等保咨询服务 5.3.1.1等保资产分析服务 根据等级保护范围内的资产组成，派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理。 5.3.1.2等保风险分析服务： 根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析 5.3.1.3等保差距评估服务 在安全评估 和信息系统定级的基础上，根据《GB/T *****-2019 信息安全技术 网络安全等级保护基本要求》将定级信息系统等级保护的各项基本要求与信息安全现状进行比较分析，从管理和技术两个层面找出存在的问题并进行差距分析。 5.3.1.4等保安全加固服务 根据等级保护基本要求以及风险分析结果，提供专业的系统安全加固建议意见，派遣专业工程师到现场根据等保安全加固指导书实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。 对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。 5.3.1.5等保制度建设辅导服务 协助采购人对安全管理制度建设，按照等级保护管理部分的标准，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助单位补充及完善等级保护要求的管理体系建设中涉及到的制度文档，以及相关记录的完善。包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助单位编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。 5.3.1.6等保定级咨询服务 在采购人信息系统自行定级的基础上，参照国家和地方对等级保护定级的有关要求，对信息系统开展摸底调查工作，掌握信息系统的基本情况，了解信息系统（包括信息网络）的业务类型、应用或服务范围、数量、系统结构、部署方式、安全策略、内控制度等信息，协助单位完成撰写信息系统定级报告，明确信息系统的边界和安全保护等级。 5.3.1.7等保备案辅助服务 根据《信息安全等级保护管理办法》，信息系统运营使用单位或主管部门需到当地公安机关备案，提供备案咨询服务，协助填写网络安全等级保护备案表等准备材料。 5.3.1.8等保测评辅助服务 在测评阶段协助单位准备测评材料，指导单位配合测评中心开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。 5.3.2安全运维服务 5.3.2.1安全风险评估服务：每年至少提供4次福建省福州儿童医院整体网络区域安全评估，保障安全运行。 5.3.2.1.1网络架构安全风险评估：分析整体的网络拓扑结构安全隐患，分析网络面临的外部和内部威胁。 5.3.2.1.2安全设备风险评估：评估现有安全设备的配置和使用状况，考察安全设备的有效性、安全性，面向防火墙、数据库审计、网闸、堡垒机等相关安全设备。 5.3.2.1.3主机服务器系统安全风险评估：利用扫描工具及相关人工分析等方式检查整个网络内部网络的主机系统与数据库系统的漏洞情况，评估主系统与数据库本身存在的安全漏洞，面向数据中心机房网络。 5.3.2.1.4核心业务系统安全风险评估：对核心业务进行工具扫描和人工分析，评估核心业务存在的安全问题。 5.3.2.1.5 主机系统漏洞扫描：针对服务器进行漏洞扫描、端口扫描、弱口令扫描等，覆盖系统的补丁、服务的开放性及安全研究机构发现的系统问题等，发现系统本身的各种问题。 5.3.2.1.6主机系统配置核查：针对主机系统进行配置核查，覆盖系统管理方面和安全加强方面的问题，用于识别由于系统管理员本身的管理不善而带来的安全性问题。 5.3.2.1.7主机中间件安全评估：针对Apache/IIS/Tomcat/Weblogic等应用服务器（中间件），从协议安全、交易完整性、数据完整性等方面进行识别和评估，评估脆弱性和风险。 5.3.2.1.8数据库系统安全评估：结合工具检测和人工安全审查方式来挖掘数据库系统的脆弱性和安全性问题，主要评估系统安全漏洞、安全配置不正确带来的安全威胁以及由于系统账号、权限等配置不严谨而产生的安全风险。帮助用户及早发现数据库系统存在的风险，避免造成敏感信息泄漏的后果，并出具数据库审计报告。 5.3.2.1.9安全感知管理服务：根据医院现有安全感知与运营管理平台，对福建省福州儿童医院采集的漏洞信息等数据进行整合和分析，提供安全规则优化与整理、资产管理、威胁管理、漏洞跟踪、内外部攻击排查与追溯等方面的服务。 5.3.2.2网站安全监控服务：对福州儿童医院的门户网站、微信公众号提供远程安全监测服务。采购人可以在第一时间获得监测到的网站安全问题，并获得专业的技术指导协助。 5.3.2.2.1网站可用性安全监控服务：通过对网站进行监控，感知网站的安全威胁。内容覆盖可用性监控、域名劫持监控等。可提供如下功能: 告警功能，满足采购人对于告警分级、事件响应与处理、分析需求；查看最新告警监控项目，快速定位故障异常，及时掌握恢复信息；故障汇总统计、通过快照进行故障分析、告警消息汇总统计；允许通过邮件、短信、微信等方式及时接收告警通知。 5.3.2.2.2网站高级安全监控服务：通过对网站进行周期性轮询监控，内容覆盖网页敏感词内容监控、web漏洞监控、弱口令监控、挂马监控、暗链监控等。 5.3.2.2.3网站安全监控人工告警服务：配备7*24小时的值班手机和值班人员，针对发现的问题，第一时间进行人工验证，并进行微信、短信或电话告警。 5.3.2.2.4网站WEB源代码审查及加固服务：发现WEB系统存在高危漏洞，必须及时采取可行的源代码加固措施，从系统源代码层面，安排熟悉Java、.net开发的安全工程师为系统源代码提供代码加固详细设 计方案，必要时与福建省福州儿童医院协商并获得同意后修改相关源代码；首次安全加固后，应进行漏洞复查和对比，以形成加固前后对比。 5.3.2.3安全应急响应服务：为安全事件、安全咨询、紧急状况提供技术响应支持，提供临时处置办法，分析事故原因，提供解决措施。针对本服务范围内信息系统安全服务具体工作内容如下： 全年应急响应服务：在遇到安全紧急情况时，并且远程支持无法解决时，启动应急响应服务程序，指派专人进行紧急响应，要求2小时内到达现场，实施最有效的紧急救援及恢复补救方案。 每次启动应急响应服务后，出具一份《应急响应报告》。 全年远程安全咨询服务：故障时能立即以电话咨询或远程维护方式建立联系，立即给予技术协助； 5.3.2.4安全通告服务：不定期通过电话、传真、服务平台、邮件、走访等方式提供信息安全政策咨询及最新的重大安全资讯，包括但不限于：国家安全政策及法律法规，安全界的新闻大事，新技术发展动态，厂商安全通告，最新公布漏洞及解决方法安全通告，最新的病毒动态及防治。 5.3.2.5安全培训服务：每年提供至少1次网络安全知识培训。 5.3.2.6安全应急演练服务 应急预案设计：每年至少1次根据福建省福州儿童医院的业务现状，协助针对系统故障、网络中断、黑客入侵、病毒爆发等常见安全事件，分别设计应急流程和处置流程； 应急演练服务：应急演练服务：每年至少1次协助福建省福州儿童医院针对信息和网络安全进行应急模拟演练活动，协助福建省福州儿童医院编写应急演练计划、演练方案、演练记录表、演练报告等。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

验收期次 验收期次说明 1 1、所有服务项目按照合同、标书要求全部建成，并满足使用要求； 2、设备已置于甲方配置管理之下；3、各种技术文档和验收资料完备，符合合同、标书的内容（包括测评报告、设备技术维护工单、等保差距风险评估报告、安全风险评估报告、网站安全监控服务报告、应急响应报告、安全通告、安全培训材料、应急演练报告）； 4、系统建设和数据处理符合信息安全的要求,不低于三级等保要求； 5、各个分项任务全部验收合格，系统正式稳定运行一个月后，由中标人提出验收要求及验收报告，采购方根据实际情况组织验收会进行验收。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

8、履约保证金

无。

9、合同有效期

自合同签订之日起一年。

10、违约责任

10.1、因中标人原因造成采购合同无法按时签订的，视为中标人违约，对采购人造成的损失的，中标人还需另行支付相应的赔偿。 10.2、本合同所有服务，都必须由中标人自己或在投标文件中明确的单位承担，不得以任何名义和理由进行分包或转包。如有发现，视为中标人违约，采购人有权单方终止合同，对采购人造成损失的，需另行支付相应的赔偿。 10.3、合同到期后，对乙方提供的服务进行考核：考核得分≥90分，支付全部剩余尾款；90分＞考核得分≥80分，扣除尾款2000元；80分＞考核得分≥70分，扣除尾款4000元；70分＞考核得分≥60，扣除尾款8000元；60分＞考核得分，扣除全部尾款。 序号 考核要求 考核情况（总分100） 1 取得本合同所约定的信息系统对应的等级保护测评报告，并在服务期间内，能够按时完成测评，通过甲方以及上级领导部门和相关机构的复查。 （30分）等级保护测评报告为强制性要求，如果乙方没取得任一相关测评报告，甲方有权不支付全部年度服务总金额给乙方；未取得一份系统测评报告的，则每缺一份报告扣乙方当年服务考核分5分；本项最多扣20分。 2 按照合同和服务项目约定，全年应急响应服务：在遇到安全紧急情况时如网安部门正式通报批评或遭受黑客成功攻击中病毒，并且远程支持无法解决时，启动应急响应服务程序，指派专人进行紧急响应，要求2小时内到达现场，实施最有效的紧急救援及恢复补救方案。 乙方承诺在服务范围内的网站检测和加固完成之后，如果由于已公开的高危漏洞被省级及以上网安部门正式通报批评或遭受黑客成功攻击中病毒，经分析是由于乙方的失误造成的，乙方必须进行紧急响应并在24小时内整改完毕，否则按乙方逾期提供服务处理，且逾期1次，乙方当年服务考核分5分；本项最多扣20分。 2 按照合同和服务项目约定，各服务项目按6.1条款的验收期次说明第3点输出相应书面检测报告包括漏扫报告给甲方。 （30分）甲方检查乙方提供的各项书面报告是否完整，每缺失一份，则扣乙方当年服务考核分3分；乙方提供的各项书面报告内容不符合合同要求的，则每次扣乙方当年服务考核分2分；乙方延迟完成各项书面报告的，每次扣乙方当年服务考核分1分；本项最多扣20分。 3 应用系统安全检测服务,存在漏洞和安全风险提供相应的整改建议，对系统安全测试质量进行考核。 （20分）甲方对检测出漏洞和风险分析的情况进行考核：发现漏洞后乙方及时提供处置建议则甲方不扣乙方当年服务考核分；存在已公开漏洞但乙方未及时提供处置建议的，则在0-5分之间扣乙方当年服务考核分；乙方未发现已公开漏洞并未提供处置建议每次扣乙方当年服务考核分5分；本项最多扣20分。 4 重大网络安全事故及通报：发生重大入侵事件受到相关主管部门或监管部门通报,或数据泄露通报，发生重大数据泄露受到主管部门或监管部门通报。 （10分）按年考核，发生1次通报扣乙方当年服务考核分5分，通报2小时内乙方未响应的，每次扣乙方当年服务考核分2分，本项最多扣乙方当年服务考核分10分。 5 对乙方网络安全服务的现场应急服务，对特殊时期、敏感时期、重大节假日安全保障效果进行考核。 （10分）网络事件、网络安全检查、安全故障等情况，安全服务处置效果佳（根据成果报告评定），效果不佳扣乙方当年服务考核分2分，效果不佳累计达到5次的，甲方有权不支付全部年度服务总金额给乙方。 10.4、本招标文件未明确的其它约定事项或条款，待采购人与中标人签订合同时，由双方协商订立。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：无。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 贰 份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无。