因工作需要,我院擬對網絡安全服務進行采購,現就有關事項公告如下:
一、項目名稱
銅川市人民醫院網絡安全服務項目
二、采購需求
*、風險評估:全面梳理評估醫院的信息資產安全情況,信息資產梳理不限于以下內容:包括對互聯網所有暴露面(映射的端口、域名等)進行全面梳理;對所有邊界防火墻安全策略進行梳理,掌握已失效策略或權限開放過大等問題;對應用層防護設備,重點確認是否已開啟阻斷策略而不是檢測策略或完全沒有策略;云主機或服務器當前安全策略梳理,包括開放的服務、端口,賬號配置(是否有多余或共享賬號等)等;數據庫應掌握當前應用調用的權限是否過大。
結合梳理的信息安全現狀,編制網絡安全建設規劃和整改防護建議。并配合醫院建立完善相關安全管理制度,協助開展整改加護。
開展網絡安全態勢分析服務范圍內的整體網絡系統進行全面、統一的系統性的安全風險評估,識別和控制網絡中的關鍵資產及可能會產生的安全風險,并對所發現的問題提供優化、改進建議。
服務要求:每季度開展一次,并出具相應的分析報告
*、安全巡檢: 針對服務器、數據庫、網絡設備和安全設備,進行策略的合理性和有效性檢查,并對日志進行審計分析,記錄保存檢查和審計結果。對服務器、數據庫、網絡設備及安全設備開展漏洞掃描,基于掃描結果進行人工分析。
服務要求:每月一次漏洞掃描,提供漏掃報告。
*、新系統或重大調整系統上線前安全評估和加固服務:
針對服務器、終端、數據庫及應用中間件等,通過打補丁、強化帳號安全、修改安全配置、優化訪問控制策略、增加安全機制等方法,提高系統健壯性和安全性。服務期限內,醫院新建業務系統和對現有業務系統進行調整上線前進行安全漏掃和滲透測評和評估加固服務。包括該系統安全漏洞進行掃描檢查;對物理環境、網絡設備、操作系統、中間件、數據庫等安全配置進行合規性檢查;若新系統提供互聯網服務,需在互聯網側開展滲透測試,挖掘可能存在的安全漏洞,提出整改建議;根據檢查的結果,協助進行合理的安全加固建議;對修復加固結果進行復查驗證,確保加固措施有效
服務方式:服務期限內按需響應,提供現場、遠程支持服務。
*、網絡安全培訓:提供定制化的信息安全意識和安全實操培訓。培訓內容涉及信息安全法律法規及行業政策、日常安全運維操作、攻防實操、滲透測試、漏洞修復、應急處置、等保測評安全管理建設等。制定培訓計劃,明確培訓對象、課時、培訓內容;提供培訓完善的培訓資料。
服務要求:服務期限內,定期開展不少于*期網絡安全培訓及不定期安排安全專家輔助指導學習人員。每期需提交培訓方案。講師資質需有網絡安全比賽經歷,具有 ****、****、****等信息安全資格認證證書。
*、安全重保:在重保期間,針對醫院的重要信息系統、互聯網信息系統進行實時監控,對網絡攻擊的探測行為、攻擊行為及其他安全事件等進行監控,對攻擊行為及時阻斷、并采取相應的防護措施;在發生安全事件后,進行應急處理。
服務要求:應按照醫院要求成立網絡安全保障服務項目組(項目組成員不少于 * 人),其中需由項目組長/經理、安全方向、數據中心方向的專業人員組成。重保時期需提供現場駐場服務,不少于 * 人。當技術力量不足時,應及時提供后援技術支持和補充。
*、應急響應:為保證醫院網絡系統連續運行,需在應急事件發生時進行及時處理,保護關鍵業務免受重大故障或災難的影響。
服務要求:
(*)提供 **** 小時全時段專人應急響應支持。
(*)收到醫院的電話通知,第一時間提供應急響應和處置服務,協助醫院采取有效的應對措施,控制安全事件造成的影響范圍,縮小損失,追蹤溯源問題來源,恢復信息資產正常運行。需指派專業技術人員,以遠程或現場的技術支撐服務。現場支持需在響應后 * 小時內到達事件處置現場,提供技術支持服務。醫院發生重大網絡安全突發事件時,第一時間提供應急響應和處置服務,提供技術支持和快速阻斷支持。
(*)協助制定應急響應預案和應急響應流程。應急處置結束后 ** 個工作日內,向醫院出具應急處置報告,并提出改進建議和協助醫院完善應急預案制度。
三、供應商應提供的資料
*、供應商相關資質:有效營業執照、稅務登記證、組織機構代碼證等(復印件);
*、法定代表人和授權代表有效的身份證(復印件);
*、具有獨立承擔民事責任的能力;
*、具有履行合同所必須的設備和專業技術能力;
*、供應商提供類似項目業績;
*、供應商須具備*******質量認證體系認證證書
信息安全服務資質認證證書-信息安全風險評估(三級及以上)
信息安全服務資質認證證書-信息系統安全運維(三級及以上)
四、報名要求
*.報名截止時間:自公告發布之日起*個工作日(節假日不計算在內)
*、資質資料、報價單等需加蓋企業鮮章,提交電子版(***格式)至醫院郵箱:**********登錄后查看***.***。
*、同時,提交*份紙質版(內含*份報價單)至銅川市人民醫院招采辦(銅川市人民醫院登錄后查看區放療樓三樓***室),用**紙打印并用蝴蝶夾固定即可,無需膠裝。
*、郵件標題注明投標標的及公司名稱,正文包含單位名稱、聯系人、聯系電話等信息,便于通知后續事項,未按要求寫明的,視為自動放棄,請各供應商一定按要求報名。
*、資質文件、報價單請分別命名,均為***格式,以附件形式發送至郵箱。
*、會前工作人員會電話通知具體時間地點,請保持通訊暢通。
五、聯系方式
技術聯系人:張老師
聯系電話:***********
報名聯系人:張老師
聯系電話:
****-*******
***********(請在工作時間撥打)
地址:銅川市耀州區鴻基路西段**號
郵箱地址:**********登錄后查看***.***
有意向的單位可根據本公告要求及其他條件對上述內容進行報價。
銅川市人民醫院
****年**月**日
