2022年厦门市健康医疗云服务（9期）合同公告（合同包[******]XMZS[DY]*******_1_********-X_5463）

一、合同编号：[******]XMZS[DY]*******_1_********-X_5463

二、合同名称：2022年厦门市健康医疗云服务（9期）（合同包[******]XMZS[DY]*******_1_********-X_5463）政府采购合同

三、项目编号：[******]XMZS[DY]*******

四、项目名称：2022年厦门市健康医疗云服务（9期）

五、合同主体

采购人（甲方）：厦门市健康医疗大数据中心

地 址：厦门市会展路2009号

联系方式：0592-*******

六、合同主要信息

合同总金额：￥19,035,000.00

履约期限：合同签订后

履约地点：福建省厦门市思明区会展路2009号

采购方式：单一来源

七、合同签订日期：

八、合同公告日期：2022-12-22

九、其他补充事宜：（1）本合同若与国家法律、法规或部门规章相冲突，甲乙双方均应根据国家法律、法规或部门规章适当变更本合同，保证双方合作的继续进行。 （2）如果本合同的任何条款在任何时候被确定为不合法、无效或不可强制执行时，本合同的其他条款的效力和履行应不受影响。 （3）甲乙双方确定，双方之间的信任与相互合作是本合同得以履行和合作目标得以实现的重要基础，双方确认，除本合同另有约定之外，一方在未经另一方事先认可的情况下，不应将本合同项下的全部或部分权利或义务转让给第三方。 （4）单一来源采购文件、乙方响应文件、乙方承诺函均为本合同不可分割的重要组成部分，如果本合同的任何条款与以上文件相关条款有冲突时，以本合同的相关条款为准。 （5）乙方接受甲方委托的监理公司对本服务项目的工作进行监理。 （6）本合同的所有相关事宜双方均应本着平等互利、精诚合作的原则友好协商解决。 （7）本合同的变更及其他未尽事宜，由甲乙双方继续协商确定，并另行签署书面补充协议。如若与本合同发生冲突，以具体协议约定为准。 附件一 廉洁告知书 中国电信股份有限公司厦门分公司： 为进一步完善厦门市属公立医疗单位采购监督制约机制，防止发生医疗领域商业贿赂行为，贵司在医疗机构采购活动中要廉洁自律、诚实守信，遵守如下规定： 一、严格遵守国家有关工程建设、招标投标、物资采购、服务采购等相关法律法规、政策以及廉政建设规定。 二、坚持公平、公正、公开和诚实守信的原则，不得为获取不正当利益损害国家、集体、第三人和对方利益。 三、不得有商业贿赂行为，如赠予甲方人员现金、物品、有价证券，或以支付凭证、理财等方式变相支付本应由甲方人员承担的款项。 四、不得以任何理由邀请甲方人员进入营业性娱乐场所或者参加影响业务工作公平公正开展的其他活动。 五、不得到甲方医疗场所、工作人员家中推销产品并提供任何好处费，不得采用不正当手段进行临床促销活动。 六、不得以回扣、宴请等方式影响甲方人员采购或使用医药产品的选择权，不得在学术活动中提供旅游、超标准支付食宿费用。 如违反上述规定，甲方有权选择立即中止、终止或解除与贵司正在进行的任何业务关系，贵司应承担甲方因此产生的经济损失、不良后果及相应的违约责任。 盖 章： 日 期： 厦门市健康医疗大数据中心（厦门市医药研究所） 廉洁告知书我已收到，内容我已知悉并理解，我方承诺将严格按照《廉洁告知书》相关内容履行。 签 字： 盖 章： 日 期： 附件二 厦门市健康医疗云服务各类云产品及服务价格表 序号 云服务 服务内容 限价 其他要求 数量 控制预算（万元） 名 称 规格说明 元/月 元/年 1、云主机报价具体以vCPU、内存、存储三种云主机资源体现，各租户按实际业务需求，按计算能力、按使用时间来定制云主机资源和付费。 2、租赁物理主机原则上适用于云主机无法支撑应用系统正常运行的情况。 3、平台资源服务包含云主机、云存储以及对主流操作系统（Windows Server及国产Linux操作系统）、主流数据库的软件支撑，平台资源已配套以下具体默认服务配置要求：包括云平台的安全保障要求、运维保障要求、网络要求、互联网链接要求、技术支撑要求、主机负载均衡要求、主机及数据迁移要求、主机安全与运维要求、数据备份与数据保护要求、系统上云评估与应用部署迁移要求、机柜托管要求，以及包括满足云平台正常运行要求以及安全要求所需的虚拟化软件、操作系统、大数据套件、集群软件、负载均衡、数据库等购买正版化授权、用户使用授权的费用、数据备份空间的费用以及实施等费用，费用已包含在云主机单价中，不再另外计费。 4、平台资源应满足或优于具体参数要求，在此不再累述。 5、本次采购确定的该云产品的价格为最高限价，云服务商可依据该产品单价面向其他医疗云用户制定优惠策略。 按需购买 1904 1 平台资源服务 云主机 内网云主机 vCPU（主频不低于2.4GHz） 1核 50 600 内存 1G 25 300 普通存储 1TB 400 4800 主备存储 1TB 800 9600 双活存储 1TB 2200 ***** 租赁物理主机 vCPU（主频不低于2.4GHz） 1核 50 600 内存 1G 25 300 存储 1TB 400 4800 外网云主机 vCPU（主频不低于2.4GHz） 1核 50 600 内存 1G 25 300 存储 1TB 350 4200 互联网独享带宽 1M 36 432 云存储 分布式存储 分布式S3存储 1TB 160 1920 分布式NAS存储 1TB 160 1920 2 线路接入服务 云平台安全专网线路接入服务 1、线路接入服务包括负责接入医疗云专线的运行保障与日常维护，确保接入医疗云专线的可用性、稳定性、安全性等要求，各租户可按需购买。 2、医疗云专线接入应满足或优于具体参数要求，在此不再累述。 3、本报价标准适用于市卫健委、已接入的医疗机构（如医院、公共卫生机构等）以及陆续接入的各医疗卫生机构等用户。 按需购买 独享10M 云平台安全专网线路 条 35 420 独享50M 云平台安全专网线路 条 640 7680 独享100M 云平台安全专网线路 条 1550 ***** 独享1000M 云平台安全专网线路 条 1800 ***** 3 其他平台其他服务 短信服务 详见具体参数要求 项 0 0 云平台其他平台配套服务，包括短信服务、培训服务、云平台配套软件应满足或优于具体参数要求，在此不再累述。费用均包含在总报价中，不再另外收取费用。 1项 0 培训服务 详见具体参数要求 项 0 0 1项 0 云平台软件 医疗云虚拟化平台 项 0 0 1项 0 医疗云管理平台（含主机监控、资源管理、计价功能） 项 0 0 1项 0 医疗云灾备管理平台（含备份软件） 项 0 0 1项 0 医疗云安全管理平台（含主机入侵监测及安全防护功能、态势感知分析功能） 项 0 0 1项 0 医疗云运维管理平台（含故障管理、知识库功能） 项 0 0 1项 0 多云一体化管理平台 项 0 0 1项 0 合 计 1904 附件三 2022年厦门市健康医疗云服务（9期）考核方案 为保障考核工作顺利开展，严格遵循“公平、公正、公开”的原则，制定本考核方案，乙方需严格遵照合同各项要求执行，其他租户遵照执行，如有其他要求可另行协商。甲方有权对乙方提供厦门市健康医疗云服务情况进行考核，有权委托相关专业部门、单位、机构进行检查、审计、评估等，其检查结果将作为考核标准的组成部分之一。甲方有权对本考核方案进行解释。 一、考核要求 1、考核总体要求： 甲方采用考核的方式对乙方提供的医疗云服务的服务情况和服务质量进行评判，乙方需严格遵照合同各项要求执行。 2、考核周期： 本期合同签订服务期内（含续延服务月份）。 3、考核标准： （1）运维服务考核： 参照“表1：医疗云平台运维服务考核细则”对云平台运维服务进行考核。 表1： 医疗云平台运维服务考核细则 医疗云平台运维服务考核细则 考核项目 考核细则 考核办法 处罚方案 备注 硬件基础架构 针对网络系统、主机系统、虚拟化平台等，故障受理人员须与项目负责人、云运维监管负责人共同确定故障等级，启动相应的服务响应级别，并最终提交服务报告单作为服务完成成果。 1、未能在10分钟内与项目各方干系人确认故障等级的，扣1分。 2、未能在相应故障等级内启动响应服务的，扣1分。 3、未能在服务完成后及时提交服务成果的，扣1分。 未按要求执行的扣1分，该故障所属的业务系统的全部资源费用免费顺延1个月。 服务期半年内每扣满3分，涉及故障所属的业务系统的全部资源费用免费顺延3个月。 系统业务保障 针对系统安全加固、业务数据备份、业务数据容灾等，根据业务需求提交的服务工单，完成相应的工作，并提交服务报告单。 1、需求工单的内容必须具体、明确，并报采购人确认。 2、2个工作日内提交服务报告单。 3、每月10日之前提供上月运维报告。 未按要求执行的扣1分 日常运维工作 按项目要求拟定各阶段的工作计划，并报采购人备案执行。 1、工作计划满足采购人需求，具备可落地、可执行要求，并报采购人确认。 2、及时响应项目干系人的需求。 3、完整登记日常运维工作记录和执行情况。 4、落实应急演练工作，每半年1次。 5、提供详尽的服务报告。 6、针对关键备品备件的存储和更换管理的规范。 未按要求执行的扣1分 服务团队保障 单独配备专业的技术服务团队，为用户提供7*24小时的技术服务。 1、完成服务团队人员定岗定责，其中网络管理员、安全管理员、客户响应及运维人员在采购人指定地点按指点时间进行日常维护驻点工作。 2、关键岗位人员变更须通知采购人确认。 未按要求执行的扣1分 （2）安全服务考核： 参照“表2：医疗云平台安全服务考核细则”对云平台安全服务进行考核，最终安全服务考核结果根据“表3：安全服务考核得分处罚换算标准”进行处置。 表2：医疗云平台安全服务考核细则 医疗云平台安全服务考核细则 （考核总分为100分，基准分为100分） 考核项目（分值） 考核细项 分数 考核办法 得分 网络结构安全（7分） 应用系统按照不同的安全等级部署在不同的安全域，划分网络安全域。 3 有划分如下安全域： □内部数据区 □业务托管区 □专网交互区 □互联网交互区 □边界防护区 □其他 □没有划分如下安全域： 严格限制系统数据流向，核心数据与应用服务器不得直接被外部访问。 4 □已实现 □未实现 □部分实现 安全策略有效性（20分） 边界访问控制，访问控制策略遵循最小安全原则，应实现端口级访问控制策略。 4 是否实现端口级访问控制策略：□已实现 □未实现 □部分实现 是否存在类似“any<->any”策略的情况：□存在 □不存在 对外是否存在不必要的服务/端口： □存在 □不存在 是否定期进行设备的安全策略有效性检查： □无 □有，周期 边界威胁预警与入侵防范，具备威胁预警和入侵防范能力，入侵攻击特征库更新到最新。 4 是否启用入侵防御功能：□是 □否 入侵攻击特征库更新情况：□近半年有更新 □近半年未更新 是否定期分析入侵攻击异常日志并做针对性防御调整：□是 □否 边界恶意代码防范，区域边界是否进行恶意代码防范，恶意代码库更新到最新。 4 是否启用病毒防范功能：□是 □否 病毒特征库更新情况：□近半年有更新 □近半年未更新 是否定期分析网络恶意代码行为异常日志并做针对性防御调整：□是 □否 虚拟安全域间访问控制，访问控制策略遵循最小安全原则，应实现端口级访问控制策略。 4 是否实现不同虚拟安全域之间端口级访问控制策略：□已实现 □未实现 □部分实现 虚拟安全域之间是否存在类似“any<->any”策略的情况：□存在 □不存在 虚拟安全域内是否做安全微隔离（端口级）： □是 □否 是否定期进行虚拟安全域的通信安全策略有效性检查： □无 □有，周期 数据库安全审计系统，可对数据库的常见漏洞和攻击手法进行检测，比如SQL注入，存储过程攻击，版本检测攻击，缓冲区溢出攻击，目录遍历攻击，权限绕过攻击，文件异常攻击等，实现对平台所有数据库安全状态的集中监管。 4 是否对全网所有数据访问行为进行全过程集中安全监测管理和及时告警通知：□是 □否 是否存在数据访问漏审现象：□是□否 可快速取证全网数据库访问历史记录：□可以 □不可以 可精准溯源追踪全网数据访问行为源：□可以 □不可以 是否实现不同租户审计分权查看功能：□是 □否 安全配置核查（8分） 启用服务器、网络设备、安全设备的口令安全策略，保证口令强度和更新频率，定期进行弱口令评估，提供弱口令评估报告。 4 是否启用服务器、网络设备、安全设备的口令安全策略： □全部启用 □部分启用 □未启用 是否定期进行弱口令评估： □无 □有 保存服务器、网络设备、安全设备、应用系统日志，并留存180天以上。 4 是否留存日志：□已留存 □未留存 □超过180天 □不足180天 漏洞管理（16分） 应用系统出现高危漏洞，影响范围广，在规定时间内及时整改。 4 出现高危漏洞_____个数 规定期限未整改_____个数 主机系统出现高危漏洞，影响范围广，在规定时间内及时整改。 4 出现高危漏洞_____个数 规定期限未整改_____个数 数据库系统出现高危漏洞，影响范围广，在规定时间内及时整改。 4 出现高危漏洞_____个数 规定期限未整改_____个数 网络设备出现高危漏洞，影响范围广，在规定时间内及时整改。 4 出现高危漏洞_____个数 规定期限未整改_____个数 安全管理（41分） 弱口令，包括网络设备、主机、应用数据库弱口令。 3 是否部存在弱口令：□是 □否 外部人员访问机房等重要区域时采取审批、人员陪同、进出记录等安全管理措施。 4 外部人员访问机房等重要区域登记审批制度：□已建立 □未建立 访问审批记录：□有记录 □无记录 进出机房记录：□有记录 □无记录 按照公安机关等级保护管理办法的要求，及时、准确、全面开展等级保护定级备案工作，按照国家标准或行业标准建设安全设施，落实安全措施，根据等级测评结果，对不符合安全标准要求的，进一步进行安全整改。 4 是否定级备案：□是 □否 是否每年开展等级测评，并根据测评结果进行整改：□是 □否 每季度进行安全检查并提交安全检查报告，遇重大会议和突发事件的提供安全巡检报告。 4 完成次数： 次 每年不少于2次对云平台支撑设施：如网络设备、安全设备、操作系统等开展安全加固服务，并提供安全加固报告。 4 完成次数： 次 每季度请有资质的安全运维服务商对云平台进行全面的安全检查，包含漏洞扫描、渗透测试、弱口令测试、设备巡检等。 4 完成次数： 次 每季度对各类安全设备的特征库进行定期更新，并提供更新报告。 4 完成次数： 次 每季度对各业务系统进行全面杀毒一次，并提交相关报告。 4 完成次数： 次 定期处理（每个月）云垒中关于“攻击威胁”、漏洞风险进行处理，并提交处理报告。 6 完成次数： 次 每年一次请具有信息安全风险评估资质的安全服务商对云平台开展管理层面和技术层面的信息安全风险评估项目，并提供风险评估报告。 4 是否对云平台开展风险评估并提供风险评估报告：□是 □否 安全事件（8分） 保障系统（网站等)不被恶意篡改、挂马。 4 是否发生网页篡改事件：□是 □否 网站恢复时长： 是否发生网站被挂马事件：□是 □否 安全事件报告处置。 4 是否有提交最后处置报告：□是 □否 表3：安全服务考核得分处罚换算标准 考核得分（分） 处罚方案 95至100 不处罚 90至94 全部资源费用免费顺延1个月 85至89 全部资源费用免费顺延2个月 80至84 全部资源费用免费顺延3个月 80以下 全部资源费用免费顺延4个月 附件四：安全责任表 安全责任 安全责任相关内容（包含但不限于） PAAS模式 安全运维管理 安全镜像（含主机系统、数据库系统） 云服务商责任 安全策略优化、调整 云服务商责任 云平台网络安全应急 云服务商责任 应用业务安全应急 云租户责任 云平台安全演练 云服务商责任 应用安全演练 云租户责任 日常网络安全相关软硬件维护（除应用系统以外所有云平台内容） 云服务商责任 数据安全防护 云服务商/云租户责任 包含但不限于账号、口令等认证安全建设（除应用系统以外所有云平台内容） 云服务商责任 工作负载安全 云服务商/云租户责任 虚拟层安全建设和管理 云服务商责任 云平台安全状态与安全问题跟进报告 云服务商责任 日常网络安全相关业务办理 云服务商责任 供应链管理 云平台上除业务系统相关软件外的内容 云服务商责任 安全建设管理 云服务商选择 云租户责任 供应链管理 云服务商责任 安全管理中心 集中化管理（包含但不限于：虚拟化平台管理、虚拟化安全、管理流量与云服务客户业务流量分离、云平台南北向与东北向流量的安全管控、对物理资源和虚拟资源按照策略做统一管理调度与分配等） 云服务商责任 云平台全网业务流程可视化监测管理 云服务商责任 云平台主机恶意代码防护 云服务商责任 云平台全网数据审计，全网软硬件和应用安全监测、预警、告警 云服务商责任 安全计算环境 安全审计 云服务商责任 主机系统基线安全检查 云服务商责任 主机系统漏洞修复与维护 云服务商责任 应用系统（含中间件等应用软件）漏洞修复与维护，安全策略调整与优化 云租户责任 正版化（包含数据库、主机系统） 云服务商责任 数据库漏洞修复与维护 云租户责任 入侵防范 云服务商责任 访问控制 云服务商责任 数据备份、恢复 云服务商责任 剩余信息保护 云租户责任 安全区域边界 安全审计 云服务商责任 入侵防范 云服务商责任 安全通信网络 网络安全架构 云服务商责任

附件：上传合同（采购人应当按照《政府采购法实施条例》有关要求，将政府采购合同中涉及国家秘密、商业秘密的内容删除后予以公开）