根据大数据与信息化处工作职责，现面向社会公开遴选2024年网络安全技术服务的承担单位，有关事项公告如下：

一、委托单位

北京市卫生健康委员会

二、申请单位

具备中国网络安全审查技术与认证中心颁发的信息安全服务资质认证证书（应急处理、风险评估、安全运维）的在京的网络安全服务机构。

三、工作任务

为了提升北京市卫生健康委员会整体网络安全保障能力，充分掌握当前互联网资产情况，对安全风险和配置隐患最好预警，加强有效性防护，提升整体安全防护能力。该服务需求包括以下关键组成部分：

（一）项目管理

本项目必须提供专职的安全服务项目经理，负责规划、管理和监督项目的执行过程，把控项目风险，保障项目顺利执行。按质、按量、按时提交项目所需的相关安全报告。

（二）渗透测试

在服务有效期内至少提供3次渗透测试服务。渗透测试服务通过模拟恶意攻击者的攻击方法，在不破坏核心业务系统正常运行的前提下进行模拟攻击测试。测试完成后应提供《渗透测试报告》。协助核心业务系统修复上述漏洞，修复后进行复测，确认漏洞是否被完全修复，形成工作闭环。

（三）漏洞扫描

在服务有效期内至少提供3次漏洞扫描服务。漏洞扫描服务在不影响互联网网站、业务信息系统正常运行的前提下，利用安全扫描工具，通过远程或现场方式，对我委重要的互联网网站、核心业务信息系统进行全面扫描，发现SQL注入、跨站脚本攻击、命令执行等安全漏洞和缺陷，以此来评估系统的脆弱性。扫描完成应提供《漏洞扫描报告》，提出有效的漏洞修复建议，并持续跟踪安全漏洞修复工作的完成情况。

（四）应急响应

在服务有效期内至少提供1次应急响应服务。应急响应服务在出现突发紧急的网络安全事件时，对此事件采取快速反应、有序处置，及时采取行动，限制事件扩散和影响的范围，以减少损失的应急处置工作。同时，检查所有受影响的系统，分析安全事件发生的原因，提出相应的安全建议，排除系统安全风险、协助后续处置。处置完成后应提供《应急响应报告》。

（五）互联网资产发现

在服务有效期内至少提供2次互联网资产发现服务。互联网资产发现服务通过调研和数据挖掘方式，明确我委互联网资产范围，利用网络扫描、搜索引擎等多种探测技术，对我委暴露在互联网上的主机、服务器、安全设备、网络设备等进行主动发现，形成互联网资产画像，提供《互联网资产报告》。

（六）基线核查

在服务有效期内至少提供2次基线核查服务。基线核查服务根据相关标准或规范，结合我委业务实践，明确配置核查基线。对我委指定的业务系统，从操作系统、数据库、中间件、网络设备、网络边界等不同层面进行安全配置的核查，识别出现有安全配置与配置核查基线要求之间的差距，并提供相关优化建议。核查完成提供《安全基线检查报告》。

四、具体要求

（一）项目申报单位具有独立法人资格；

（二）项目负责人应具有网络安全领域工作经历并具备副高级以上职称；

（三）须定期参加北京市卫生健康委组织的成果汇报及评审会，按照要求汇报工作进展。

五、申报和评审事宜

1.申报期限：2024年8月30日—2024年9月6日。

2.下载材料：申请单位可登录北京市卫生健康委员会网站（http://wjw.beijing.gov.cn/）下载《2024年信息处购买服务项目承办申请书》。

3.填写材料：申请材料填写内容应简明扼要，突出重点。

4.提交材料：申请单位应在2024年9月6日18：00前将盖章的《2024年信息处购买服务项目承办申请书》电子版提交xinxichu@wjw.beijing.gov.cn，并在邮件主题处注明“北京市卫生健康委员会网络安全技术服务项目”字样。

5.组织评审：市卫生健康委将组织评审小组，从项目方案的科学合理性、创新性和可行性，项目团队实力和工作经验基础等方面，对申请单位的申请书进行评估，择优遴选1家项目承担单位。

6.结果公示：评审结果将在市卫生健康委网站予以公示。

六、项目经费

网络安全技术服务费用为17.5万元，包括上述工作任务中所有相关费用。

七、联系方式

联系人：王志强；联系电话：********

北京市卫生健康委员会

2024年8月29日