保亭黎族苗族自治县人民医院，就 医院网络安全服务（项目编号：BYXJ-*******）进行市场询价，欢迎合格的国内供应商提交密封报价，参加报价的单位优先获得该项目下一步采购活动参与资格。有关事项如下：
一、询价项目的名称、预算、内容及简要技术要求。
1.项目名称： 医院网络安全服务
2.项目编号： BYXJ-*******
3.采购内容及技术要求：
用户需求书
（一）、项目背景
根据《信息安全等级保护管理办法》（公通字[2007]43号）规定，以及根据公安部和海南省公安厅网络监察职能部门建议和要求，第二级信息系统应当每两年至少进行一次等级测评，第三级信息系统应当每年至少进行一次等级测评，第四级信息系统应当每半年至少进行一次等级测评，第五级信息系统应当依据特殊安全需求进行等级测评。保亭县人民医院拟邀请专业的网络安全等级测评与检测评估机构，对单位的以下5个信息系统安全保护等级进行需求分析，依据《信息安全技术 网络安全等级保护基本要求》（GB/T*****-2019），对信息系统的物理机房、网络结构、应用系统、主机、网络及安全设备等进行合规性检查，分析信息系统与安全保护等级要求之间的差距，开展网络安全等级保护测评及综合服务，服务结束后出具相应的报告，并针对被测信息系统安全建设提出整改建议，输出《网络安全整改设计方案》。

（二）、项目服务内容

（三）、项目服务要求
1.协助定级备案服务要求
投标方自合同签订并具备实施条件之日起15个工作日内根据网络安全等级保护相关标准和规定，协助招标方完成相关等级保护对象的定级备案工作；结合保亭县人民医院的实际情况，明确等级保护对象的边界和定级对象，确定等级保护对象的安全等级；指导招标方完成《备案表》和《定级报告》。
2.网络安全等级保护测评服务要求
投标方自合同签订完成定级备案并具备实施条件之日起60个工作日内依据国家信息安全等级保护管理规定，按照《基本要求》二级S2A2G2的有关管理规范和技术标准对以上信息系统进行等级测评，通过测评掌握信息系统的安全状况、排查系统安全隐患和薄弱环节、明确信息系统安全建设整改需求；衡量信息系统的安全保护管理措施和技术措施是否符合等级保护基本要求，是否具备了相应的安全保护能力；在完成测评后，针对每个信息系统，输出相应的等级测评报告。
（1）测评内容
投标方需对本项目所涉及到的系统要素进行确认、分析和梳理，提出详细的等保测评方案。
对信息系统的整体保护状况和信息系统组件，逐一进行安全等级保护测评，测评的内容包括但不限于以下内容：
等级保护对象测评范围：安全技术测评和安全管理测评

完成测评工作后，输出符合省公安机关要求的《网络安全等级保护等级测评报告》，提出相应的整改建议。
（2）测评实施
投标方在测评过程中，需按照《信息安全技术 网络安全等级保护测评过程指南》等标准开展测评实施工作，等级测评过程分为四个基本测评活动：测评准备活动、方案编制活动、现场测评活动、分析及报告编制活动。测评双方之间的沟通与洽谈应贯穿整个等级测评过程。提供详细的测评服务方案并按照《信息安全技术 网络安全等级保护测评过程指南》等标准开展测评实施工作。
（3）投标方在安全服务过程中，应根据服务规范和保亭县人民医院要求提供系统、完整、清晰的服务日常报告。投标方提供的服务文档如下：
1）测评准备活动阶段：
《项目计划书》；
《信息系统调查表》；
《会议记录表》；
2）方案编制活动阶段：
《信息系统网络安全等级测评方案》；
3）现场测评活动阶段：
《现场测评授权书》；
《文档交接单》；
《会议记录》；
4）报告分析及编制活动阶段：
服务成果：输出所有系统的测评报告：
《网络安全等级保护保亭县人民医院门户网站等级测评报告》；
《网络安全等级保护HIS系统等级测评报告》；
《网络安全等级保护LIS系统等级测评报告》；
《网络安全等级保护PACS系统等级测评报告》；
《网络安全等级保护电子病历系统等级测评报告》。
3.网络安全整改建设方案设计服务要求：
投标方自合同签订并具备实施条件之日起60个工作日内，结合招标方的安全现状和测评结果，提供具有针对性的信息系统等级保护安全建设整改方案设计服务，针对等级测评过程发现的问题，投标方依据信息系统安全等级保护政策法规和标准规范，以及《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)的规定，并结合本单位的实际情况，针对信息系统输出相应的《网络安全整改设计方案》，包含信息系统安全建设整改技术方案与安全管理体系规划。
服务成果：输出符合要求的《网络安全整改设计方案》。
4.网络安全加固服务要求：
投标方为招标方自合同签订之日起60个工作日内对被测系统提供一次网络安全等级保护加固服务，具体的工作内容如下：需依据国家及行业信息安全等级保护的相关标准及法规的要求，从网络安全、主机安全、应用安全和数据安全的角度，结合多种技术手段为信息系统提供网络安全等级保护加固服务，逐步构建动态、完整、高效的信息安全技术体系，提高信息系统的整体技术防护能力，从整体上促进信息系统的安全稳定运行。
主要服务内容如下：
（1）网络与安全设备基线配置安全加固
（2）操作系统基线配置安全加固
（3）数据库系统基线配置安全加固
（4）中间件基线配置安全加固
（5） 安全漏洞加固：包括但不限于保亭县公安局执法检查时发现的25个高危漏洞的分析和评估，在确保系统安全的前提下进行加固，必要时由系统开发商、运维商协同处理。
（6） 网络结构与策略优化
服务成果：输出《网络安全等级保护加固报告》
5.网络安全应急演练服务要求：
投标方自合同签订之日起60个工作日内提供一次应急演练服务。根据《网络安全事件应急预案》，对信息系统相关人员进行应急预案、应急技巧及对典型的网络安全事件进行预防等方面的培训，并针对《网络安全事件应急预案》开展相应的应急演练工作。
服务成果：《网络安全事件应急预案》、《网络安全事件应急演练总结评估报告》。
6.WEB云监测服务要求：
投标方对招标方的以下1个信息系统提供一年期的云监测工作，具体的服务范围如下：

投标方通过整合多个专业WEB安全云监测平台，对WEB网站/系统安全隐患和安全事件进行7×24小时云监测，对Web系统的安全状态进行全方位监测，包括：网站漏洞（各类Web应用漏洞、网站敏感信息泄露）；安全事件（网页挂马、暗链、敏感关键字、变更）；可用性（网站访问速度、网站应用状态）；网站信息（ICP备案、Alexa排名、Whois信息、IP、网站使用的三方组件及应用）等；当Web网站系统发生报警或故障时，配备安全运营人员第一时间响应云监测，提供安全保障咨询。
服务成果：按季度输出《Web网站安全云监测报告》。
7.安全巡检服务要求：
为确保信息系统安全稳定运行，投标方为招标方提供一年内4次的网络安全巡检服务，具体的工作内容包括建立安全巡检台账、物理机房安全巡检、网络边界安全巡检、关键安全设备巡检、操作系统安全巡检、数据库系统安全巡检、中间件安全巡检、数据备份与恢复措施巡检、工具扫描与技术检测及安全管理落实情况巡检十个方面安全巡检项。服务完成后提交相应的《网络安全差距评估报告》。并配合招标方协调相关系统开发商和安全服务商及时对发现的问题进行整改，以加强网络与信息系统安全管理和技术防护，促进安全防护能力和水平提升，预防和减少重大网络安全事件的发生。
服务成果：
通过定期开展信息系统安全巡检服务，及时发现存在的安全问题和薄弱环节。根据情况分析面临的安全威胁和风险，输出相应的《安全巡检报告》，对发现的安全隐患提供改善建议。
8.网络安全应急响应服务要求：
投标方为招标方提供一年内4次（按需的）应急响应服务。通过应急响应对网络安全事件发生的信息系统进行安全事故分析，以及时解决安全故障、修复系统，最大限度的保护服务器和数据，最快的速度恢复访问和网络畅通，使信息系统恢复正常工作，尽可能挽回或减少损失。
根据安全事件进行分为远程紧急事件响应和现场紧急事件响应服务：
远程紧急事件响应服务：投标方确认紧急事件响应请求后1小时内，通过电话、Email、传真方式协助分析及查找紧急事件的事发原因，经允许后通过远程登陆主机进行检测，并协助解决相应的问题；问题解决后在48小时内出具详细的紧急事件响应服务报告。

现场紧急事件响应：投标方委派资深工程师在4小时内到达安全事件事发地点，协助分析及查找事发原因及协助解决相应的问题，并在48小时内出具详细的紧急事件响应服务报告。
服务成果：
《网络安全应急响应处置报告》
9.网络安全培训服务要求：
投标方自合同签订之日起提供一年内1次的网络安全培训服务。根据招标方信息系统的实际情况，制定信息安全等级保护的针对性培训方案，培训内容包括但不限于以下内容：
?《中华人民共和国网络安全法》解读；
?了解网络安全等级保护工作的相关流程及目的；
?了解并掌握网络安全等级保护政策标准体系及其相关应用方法；
?掌握网络安全等级保护定级备案相关流程及内容；
?了解并掌握网络安全等级保护测评工作的相关要求及方法；
?了解网络安全等级保护安全建设整改工作的相关内容及方法；
?了解并掌握网络安全管理的重要性及落实的相关措施；
?网络安全意识宣讲，提升全员信息安全意识；
?云计算环境的安全防护技术内容；
?信息安全攻防技术及渗透测试技术内容。
投标方应提供详细的培训方案（包括培训内容、时间、人数等）。如有特殊的培训内容要求，可以进行商定后，再行确定相应的培训课题及内容。每次培训后提交相应的安全培训课件资料。
10、网络安全等级保护咨询服务要求：
投标方自合同签订生效之日起，提供免费的一年咨询服务。
（1）等级保护政策/标准咨询
随着国家信息安全等级保护的工作推进，信息安全等级保护政策、法律法规和标准体系也会相应的发布和更新，投标方应针对本项目设立信息安全等级保护咨询平台，提供于招标方各部门相关人员咨询，咨询内容包括但不限于信息安全等级保护国内外发展动态、等级保护政策、法律法规和标准体系咨询服务。
（2）信息系统等级定级咨询
目前招标方未完成信息系统的定级备案工作，投标方需协助招标方对信息系统进行识别，明确信息系统边界和定级对象，对信息系统的子系统进行划分，确定信息系统以及子系统的安全等级。
定级阶段，投标方需根据等保相关主管部门和国家工信部的要求和指南，协助招标方完成定级对象确认、系统定级和定级备案工作。
（3）等级保护自查咨询
按照等级保护相关政策要求，信息系统运营使用单位应定级对信息系统进行自查活动，在自查活动期间，投标方应提供相应的咨询服务。
（4）网络安全检查咨询
在招标方接受相关部门对等级保护对象进行网络安全检查工作时，提供相应的咨询和指导服务，全力配合完成测评对象的网络安全检查工作，并按相关网络安全检查工作方案中所要求提交网络安全检查报告的时间节点内，指导编制和提交等级保护对象的网络安全检查报告。
（四）、项目实施要求
项目实施过程中，投标方应遵循国家标准、行业标准。
1.项目实施要求
（1）提供的项目实施组织架构；
（2）提供详细的项目实施方案和计划进度说明书；
（3）提供详细、全面的人员培训计划和实施方案；
（4）项目实施完成后提供可靠的后期维护工作；中标方在项目期间每周至少来招标方现场1次，电话要保持7*24小时通畅，如遇到特殊情况需提前通知招标方并取得招标方的同意；
（5）对于招标方的电话咨询和常规服务请求在30分钟内予以答复，紧急服务请求在4小时内到达招标方现场；
（6）严格按照双方确定的计划进度保质保量完成工作；
（7）规范项目实施过程中的文档管理；
（8）项目实施中要引入风险管理、质量管理、成本管理；
（9）签署《保密协议》。
2.测评实施团队要求和等级测评师证书要求
按照公安部对测评机构管理的规定和要求，测评项目现场实施的人员必须是本机构的持证测评师持证上岗并接受查验，而且测评项目不允许分包或转包，测评师证书及最近三个月社保证明复印件需在投标文件中提供，并加盖公章。中标人一旦出现上述违规情况采购人有权解除合同并追求其法律责任。
3.项目验收
投标方必须书面通知业主所完成的工作和准备进行验收的项目种类及验收开始时间，此通知书需经业主认定后方可执行。
4.验收组织
成立由保亭县人民医院、投标方以及其他有关人员组成的验收小组，负责对项目进行全面的验收。
5.交付成果及验收标准
（1）完成了保亭县人民医院5个信息系统的等级测评工作并提交《网络安全等级保护等级测评报告》；
（2）提交《网络安全整改设计方案》；
（3）提交《网络安全加固报告》；
（4）提交《网络安全应急预案》、《网络安全应急演练总结评估报告》；
（5）提交项目实施阶段中所有的过程文档。
二、报价单位资质要求
1.在中华人民共和国注册，具有独立承担民事责任能力的法人（提供营业执照副本、组织机构代码证副本、税务登记证副本或“三证合一”营业执照副本复印件加盖单位公章）；
2.具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书；
3.法人身份证复印件（不是法人的提供授权委托书）及联系方式。
4.具有良好的商业信誉和健全的财务会计制度和有依法缴纳社会保障资金的良好记录（需提供2022年6月份至今任意3个月的企业纳税证明和社会保障缴费记录复印件）；
5.投标方需承诺参加政府采购活动前三年内，在经营活动中没有重大违法记录；
6.“信用中国”网站（www.creditchina.gov.cn）没有列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单和没有列入中国政府采购网（www.ccgp.gov.cn）政府采购严重违法失信行为记录名单。（提供开标时间前7天内的查询结果网页截图并加盖单位公章）
三、报价文件递交截止时间及地点
1.递交报价文件截止时间：2022年10月13日16:00 时（北京时间）
2.开启地点：保亭县人民医院门诊楼四楼会议室。
3.可接受邮寄报价，以询价小组收到邮件的时间为递交报价时间。
四、报价文件要求（未满足以下要求视为无效文件）
1.报价文件的数量：报价文件一份，固定胶装。
2.报价文件的密封：对报价文件进行密封并在适当位置填写报价单位名称和询价项目名称并加盖报价单位公章。
3.提供的所有报价资料必须加盖单位公章。
五、询价人的名称、地址和联系方式
1.询价人地址：保亭黎族苗族自治县人民医院
2.询价联系人：隋先生
3.联系电话：0898-********
4.询价人地址：海南省保亭县杏林路人民医院询价小组办公室



保亭黎族苗族自治县人民医院
2022年10月10日