序号

主　　　要　　　 内　　　 容

1

项目名称：福建省肿瘤医院等级保护咨询及安全运维测评服务采购项目

2

调研报名时间： 2023年7月5日至7月12日 (节假日除外)8：00-12：00或14：00-17：30(北京时间）

调研会时间： 2023年7月 14日

3

文件正本壹份,副本壹份胶装并密封加盖投标人公章。文件未胶装将视为无效。

4

文件递交处：福建省肿瘤医院网络技术中心

5

上述时间、地点如有变动，以单位届时通知为准。

6

采购报名、采购调研等采购过程中有任何异议，可联系我院监督科室。电话：********-8407；********-8467。

合同包

名 称

数量

预算（万元）

（一）

等级保护咨询及安全运维测评服务

1项

50

1

信息安全等级保护测评服务

2

等保咨询及安全运维服务

3

攻防演练安全保障服务

序号

项目

技术参数要求

1.

信息安全等级保护测评服务

依照GB/T*****-2019《信息安全技术信息安全等级保护基本要求》和《行业信息系统安全等级保护基本要求》，由中标人邀请具有资质的等保测评机构对福建省肿瘤医院被测系统（HIS、LIS、PACS、EMR、OA系统、移动APP、门户网站、互联网医疗及处方流转服务平台（含慢病管理）、肿瘤直报平台）进行三级等级保护测评。服务期限自合同签订起1年，或测评完成，以先到为止。

等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容：

1.1总体要求测评：包括总体技术要求、总体管理要求；

1.2安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

1.3安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评；

1.4最终版报告需加盖有网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》资质公司的印章及等级保护专用章。

2.

等保咨询及安全运维服务

2.1 等保咨询服务

对福建省肿瘤医院重要信息系统（HIS、LIS、PACS、EMR、OA系统、移动APP、门户网站、互联网医疗及处方流转服务平台（含慢病管理）、肿瘤直报平台、集成平台）按照GB/T*****-2019《信息安全技术信息安全等级保护基本要求》和《行业信息系统安全等级保护基本要求》要求服务，包括资产分析服务、风险分析服务、差距评估、安全加固服务、等保制度建设服务、定级备案协助服务、辅助测评一站式服务。服务期限自合同签订起1年，或测评完成，以先到为止。

服务交付成果包括：《信息系统基本情况调查表》、《等级保护安全评估与整改建议》、《等级保护安全管理制度汇编》等。

为保障安全服务项目顺利实施，供应商或所投服务提供商采用的等保服务工具支持同时对1000个以上IP进行归属地查询，支持批量对输入的信息按照标准化格式自动调整，提取需要的关键信息，删除冗余信息；支持对反动、赌博、色情等内容进行检查；检查的目标文件类型不限，可同时支持PHP、ASP、JSP、ASPX、JSPX等脚本类型；支持对各类威胁进行自动评分，并按照危险值从高到低进行排序；支持导出检测结果，支持对可疑文件进行批量复制或批量删除。

为防止虚假应标，采购人有权要求中标的报价人在中标后进行服务工具的功能现场演示，且提供服务工具的著作权证书，若中标人无法满足要求，则采购单位有权取消中标人的中选资格。

2.2 安全运维服务

对福建省肿瘤医院重要信息系统（HIS、LIS、PACS、EMR、OA系统、移动APP、门户网站、互联网医疗及处方流转服务平台（含慢病管理）、肿瘤直报平台、集成平台）提供信息安全运维服务，包括安全评估、渗透测试、应用安全检测、网站安全监控、安全加固、安全培训、威胁情报更新、应急响应等一站式服务，服务期限自合同签订起1年。

服务内容包括：

（1）安全评估服务(4次/年): 通过安全评估来识别的安全现状，全面了解和掌握系统面临的安全威胁和风险，为安全需求和解决方案的提出提供原始依据，为信息系统的使用、管理部门开展信息安全等级保护提供依据，为确立安全策略、制定安全规划、开展安全建设提供决策支持，保障信息系统安全运行。交付成果：《安全评估报告》4份

（2）渗透测试服务(1次/年):安排安全攻防专家人员针对目标系统开展黑客模拟攻击渗透测试服务，全面检测被测系统安全性;交付成果：《渗透测试报告》1份

（3）应用安全检测服务(4次/年)：采用自动化检测工具与平台进行全面检测Web应用程序的安全性，安排专业攻防人员深度挖掘程序中存在的各种漏洞和所面临的威胁，从而帮忙客户全面了解和掌控其网站的安全状况。并针对已发现的安全问题进行人工验证，以判断网站当前的漏洞是否真实有利用，剔除误报干扰，提供专业的安全加固措施指导建议。交付成果：《应用安全检测报告》 4份

（4）网站安全监控服务（全年）：1年365天通过专业的网站安全监控平台对网站提供网站可用性监控、域名劫持监控等，网站安全监控平台具备至少200多个分布式监测的能力，实现对网站稳定性和可用性分析，支持http（https）、ftp、ping、smtp等多种协议，覆盖中国移动、中国联通、中国电信、教育网等主流网络运营商线路，构建起强大的网站监测网络；提供网站高级安全监控，对网站进行周期性轮询监控，内容覆盖网页敏感词内容监控弱口令监控、挂马监控、暗链监控等；网站安全监控人工告警，配备7*24小时的值班，第一时间进行人工验证，并告警。交付成果：《网站安全监控报告》4份

（5）安全加固服务(4次/年)：根据安全评估和测试服务的结果，提供应用安全加固辅导、操作系统安全策略加固、Web服务器（中间件）加固辅导、数据库安全加固辅导服务，提升系统整体安全性，并提交报告。交付成果：《安全加固报告》4份

（6）安全培训服务(1次/年)：开展网络安全意识培训(一节课30-60分钟)，面向全院新员工讲座，培训内容包含不限于以下方面：安全标准、政策法规解读，信息安全意识、信息安全发展方向，周期性安全服务报告解读，可定制培训内容。交付成果：《安全培训PPT》1份

（7）威胁情报更新服务（12次/年）：每月根据网络安全发展形势，定期更新本院内外网态势感知威胁情报库，并出具《态势感知威胁情报更新报告》。交付成果：《态势感知威胁情报更新报告》12份

（8）应急响应服务（按需提供）：当客户单位网络和信息系统遇到黑客攻击或网页篡改等恶性事件，提供5*8小时电话响应或即时通讯或邮件等方式解疑答惑；远程支持无法解决时，提供市区2小时内突发安全事件现场应急响应服务。交付成果：按需提供《应急响应报告》。

为保障安全服务实施质量，供应商拟投入的项目团队需至少包含1名项目经理，同时具备IT服务项目经理认证、国家注册信息安全专业人员（CISP）证书、注册渗透测试工程师（CISP-PTE）证书、信息安全保障人员工程师CISAW证书（安全集成专业级或以上）、CCRC网络安全应急管理能力证书。为防止虚假投标，采购人有权要求中标的报价人在中标后三个工作日内提供项目经理相关证书复印件及供应商或所投服务提供商为其缴纳的投标截止前六个月（不含当月）任意一个月社保缴纳证明。

3.

攻防演练安全保障服务

为医院互联网业务系统提供1次攻防演练安全保障服务，服务内容满足以下要求：

3.1 前期风险自查服务

提供演练前期风险自查服务，服务内容包括但不限于：

（1）资产识别：进行全网资产探测与梳理，识别暴露面、高风险端口等；

（2）服务器入侵检查：包括网页木马查杀、系统后门检查、入侵痕迹检查、日志分析服务等；

（3）漏洞扫描：针对网络设备、安全设备、主机系统、数据库系统、中间件等开展主机系统漏洞扫描、应用系统漏洞扫描等。

服务交付：《安全风险自查报告》1份

3.2 前期整改加固服务

提供演练前期整改加固服务，服务内容包括但不限于：

（1）对安全检查发现的风险协助进行整体加固：如强口令、应用上传点的执行权限控制、协助进行主机与应用系统漏洞验证和整改等。

（2）对资产识别发现的风险协助进行整改加固；

（3）对服务器入侵清查发现的风险问题协助进行整改加固或加固辅助工作；

（4）对漏洞扫描发现的风险协助进行整改加固或加固辅助工作；

（5）对风险自查以及安全基线检测发现的风险问题进行整改加固或加固辅助工作；

（6）跟进遗留的漏洞风险，督促整改提供加固辅助工作。

服务交付：《安全加固建议》1份

3.3 演练期间值守保障服务

演练期间，提供2名安全工程师值守保障服务。服务交付：《安全值守报告》1份。服务内容包括但不限于：

（1）安全监测：提供攻防监测值守分析，若有发生被攻击安全事件，提供应急响应和处置；

（2）溯源分析：对监测发现的安全风险进行统筹溯源分析（现场溯源与远程溯源相结合），其中对流量日志、主机日志、应用日志进行分析、审计、溯源等操作，找出事件根源所在；

（3）应急处置：根据监控发现和反馈的攻击信息，对正在发生或者已经发生的安全事件进行协调、处置，及时修复漏洞、复查漏洞、整改问题，控制安全事件的进一步扩大，确保系统的安全、可靠运行。

序号

项目名称

数量

品牌及型号

1

2