成都市龍泉驛區中醫醫院2022年安全服務比選公告
一、項目名稱:成都市龍泉驛區中醫醫院2022年安全服務采購項目
二、項目預算:9.8萬元/年三、項目主要內容:醫院信息安全服務
四、服務期限:1年
五、比選資料提交時間及地點:
2022年3月9日下午14:00—14:30,提交至成都市龍泉驛區中醫醫院門診7樓會議室(龍泉驛區建設路68號,聯系人:董老師 聯系電話:60613137)。
六、比選資料內容(資料進行密封裝袋,并在外加蓋公章,否則視為無效報價):
1. 供應商資質證明文件及有效期內的營業執照;2. 填寫報價表并加蓋單位公章;3. 法人身份證復印件加蓋公章,如報價人不是法人,須提供法人授權書,受托人身份證復印件加蓋公章;
4. 響應文件。
七、評選
1. 評選時間:2022年3月9日
2. 評選地點:成都市龍泉驛區中醫醫院門診7樓會議室(龍泉驛區建設路68號)
八、服務及技術要求
1.安全咨詢服務
服務內容:
依據醫療行業等級保護測評的要求,進行差距分析,在定級、評估、整改、運維方面提供支持。參照等級保護測評要求,在網絡安全建設方針、安全制度建立和安全人事安排方面,提供合理化建議,制定信息系統安全建設目標和安全規劃方案,建立信息安全保障體系框架。
協助甲方達到三級等保要求。
服務頻率:不少于每年一次
輸出內容:相關文件檔案(測評所需)、以及整改建議報告。
2.安全巡檢服務
服務內容:
對醫院的機房網絡設備狀態、安全設備狀態、應用系統狀態進行檢查與分析,了解醫院當前系統與設備的運行情況,并對發現的安全隱患提供改善建議,并出具安全巡檢報告。
服務頻率:不少于每季度一次
輸出內容:巡檢報告。
3.漏洞掃描服務
服務內容:
A.服務器及虛擬機漏洞掃描
對醫院的服務器及虛擬機進行漏洞掃描,從內網和外網兩個角度及時發掘掃描對象的脆弱性,輸出安全整改建議。
B.應用系統漏洞掃描
對醫院的應用系統進行漏洞掃描,從內網和外網兩個角度及時發掘掃描對象的脆弱性,輸出安全整改建議。
C.數據庫漏洞掃描
對醫院的數據庫進行漏洞掃描,從內網和外網兩個角度及時發掘掃描對象的脆弱性,輸出安全整改建議。
D.網絡設備漏洞掃描
對醫院的網絡設備進行漏洞掃描,從內網和外網兩個角度及時發掘掃描對象的脆弱性,輸出安全整改建議。
服務頻率:不少于每半年一次
輸出內容:漏洞掃描報告與整改建議。
*4.滲透測試服務
服務內容:
針對醫院互聯網應用系統,參考國際先進標準PTEC和CPT,通過使用各類網絡黑客攻擊技術對網絡進行模擬滲透攻擊,測試互聯網應用系統的安全性和健壯性,借助專業人員的技能與經驗,挖掘傳統自動化檢測工具所無法識別的安全漏洞。
服務頻率:不少于每年一次
輸出內容:滲透測試報告。
*5.攻防演練服務
服務內容:
(1)針對醫院提供的安全事件進行應急演練,以完善信息安全應急響應機制,規范信息安全應急響應工作內容和流程,并提升應急處置能力。
(2)在醫院授權的前提下,以模擬黑客攻擊的方式針對醫院提供但不限于對SQL注入攻擊、XSS跨站腳本攻擊、命令執行攻擊、提權攻擊、編碼解碼、流量分析、取證分析、代碼審計、程序逆向等攻擊行為進行實戰環境攻防演練和培訓,查找網站的安全漏洞、評估網站和業務系統的安全狀態、提供漏洞修復建議。
服務頻率:不少于每年一次
輸出內容:《攻防演練報告》
6.配置核查服務
服務內容:
對醫院服務器及虛擬機、網絡設備、安全設備、應用系統、數據庫等進行安全策略的配置核查與整改。定期檢查安全策略的配置并根據最新相關安全策略規范進行優化調整,保障系統和設備安全性和合規性。
服務頻次:不少于每半年一次
輸出內容:配置核查報告
7.安全加固服務
服務內容:
針對漏洞掃描過程中發現的操作系統漏洞、配置核查過程中發現的操作系統、網絡設備配置隱患進行安全加固,防范系統漏洞、隱患配置帶來的安全風險。
服務頻次:不少于每半年一次
輸出內容:安全加固報告
8.病毒稽核服務
服務內容:
通過人工和工具相結合的方式對醫院服務器及虛擬機和終端進行病毒稽查,及時發現網絡和系統中存在的病毒并進行有效的處置,針對新型病毒威脅提供有效的預防措施和安全建議。
服務頻次:不少于每季度一次
輸出內容:病毒檢查報告
*9.應急響應服務
服務內容:
A.應急響應
醫院業務系統在發生安全事件后,安全專家依據安全事件的分類與應急響應的目標,及時提供遠程或現場應急響應,協助客戶進行有效的應急處理,最大程度上減少損失和事件造成的消極影響。
服務頻率:第一時間(十分鐘內)遠程響應,確定事件性質,如需到場,兩小時內到場。
輸出內容:應急響應報告。
B.提供7*24小時的應急響應服務,根據安全事件等級及時開展多種方式的應急支援服務。
10.安全通告服務
服務內容:
為醫院提供專業信息安全通告服務,并通過郵件或電話等方式,提供及時的、針對性的各類安全信息,幫助醫院及時的了解最新安全動態與安全預警。
服務頻率:不少于每月一次
輸出內容:《安全通告》
11.安全風險評估服務
服務內容:
依據國際、國內有關信息技術標準,從業務出發,對關鍵信息系統資產和控制措施進行識別,對信息系統的威脅、脆弱性和風險等級等安全屬性進行全面風險評價。
A.管理層面風險評估
對醫院的安全管理機構、安全管理制度、人員安全管理、系統安全建設管理、系統安全運維管理等維度的管理層內容進行風險評估,輸出安全管理建議。
B.技術層面風險評估
對醫院的物理安全、網絡安全、主機安全、應用安全、數據備份與恢復安全等維度的技術層內容進行風險評估,輸出安全技術建議。
服務頻率:不少于每年一次
輸出內容:安全評估報告。
*12.等保咨詢整改服務
服務內容:
依據網絡安全等級保護2.0要求提供等保定級、備案、建設、整改等全過程相關咨詢服務,包括技術體系建設和管理體系建設咨詢。并能根據等級保護測評機構出具的整改要求,落實信息系統的等級保護整改工作,包括基線配置、設備調優、安全評估、安全加固、制度完善等內容。
服務頻次:按需執行
輸出內容:等保整改報告
*13.網絡安全培訓服務
服務內容:
提供覆蓋網絡網絡安全意識、技術、管理等內容的網絡安全基礎培訓服務,以提升醫院員工網絡網絡安全認知、技術與管理能力。培訓內容包括但不限于網絡安全意識、網絡安全基礎知識、安全配置、安全升級、安全政策、Web安全培訓、攻防演練培訓等內容。
服務頻率:全單位員工網絡安全培訓不少于一年兩次
輸出內容:安全培訓材料。
*14.大運會專項保障服務
“大運會”網絡安全保障服務從外部針對互聯網業務系統的安全風險,到針對內部環境中生產網、辦公網的安全風險,以及針對重保期間提供7×24小時的安全專家服務,綜合性整體性的處置各類型的安全風險,提供“事前檢查和評估、事中防護監測和事后應急保障”服務體系。
服務頻率:大運會期間
輸出內容:《大運會專項保障服務報告》。
15.醫院各項創建及搬遷工作中的安全服務。
服務頻率:按需執行
輸出內容:《創建及搬遷工作安全服務報告》。
常規安全服務內容及清單 | |||||
序號 | 工作內容 | 工程師級別 | 投入人數 | 服務頻率 | 備注 |
1 | 安全咨詢服務 | 具有中級工程師及以上資格 | 1 | 每年一次 |
|
2 | 安全巡檢服務 | 具有中級工程師及以上資格 | 1 | 每季度一次 |
|
3 | 漏洞掃描服務 | 具有中級工程師及以上資格 | 1 | 每半年一次 |
|
*4 | 滲透測試服務 | 具有高級工程師及以上資格 | 2 | 每年一次 |
|
*5 | 攻防演練服務 | 具有高級工程師及以上資格 | 2 | 每年一次 |
|
6 | 配置核查服務 | 具有中級工程師及以上資格 | 1 | 每半年一次 |
|
7 | 安全加固服務 | 具有中級工程師及以上資格 | 1 | 每半年一次 |
|
8 | 病毒稽查服務 | 具有中級工程師及以上資格 | 1 | 每季度一次 |
|
*9 | 應急響應服務 | 具有安全中級工程師及以上資格 | 2 | 按需執行 |
|
10 | 安全通告服務 | 具有中級工程師及以上資格 | 1 | 每月一次 |
|
11 | 安全風險評估服務 | 具有高級工程師及以上資格 | 2 | 每年一次 |
|
*12 | 等保咨詢整改服務 | 具有安全中級工程師及以上資格 | 1 | 按需執行 |
|
*13 | 網絡安全培訓 | 具有高級工程師及以上資格 | 1 | 一次 |
|
*14 | 大運會專項保障服務 | 具有高級工程師及以上資格 | ≥2 | 7*24小時安全保障服務 |
|
15 | 醫院各項創建及搬遷工作中的安全服務 | 具有安全中級工程師及以上資格 | 1 | 按需執行 |
|
八、評選辦法
(一)評選方式
通過資格后審、符合性審查及報價評審后,以綜合得分最高作為中選候選人。排名第一的中選候選人放棄中選或因不可抗力因素提出不能履約合同,比選人可以確定排名第二的中選候選人為中選人,依此類推。
(二)評分表
序號 | 評分因素及權重 | 分值 | 評分標準 | 說明 |
1 | 投標報價 | 10分 | 以本次最低有效投標報價為基準價,投標報價得分=(基準價/投標報價)×10 |
|
2 | 履約能力 | 12分 | 1、一體化智能運維管理系統的生產廠商符合軟件成熟度集成模型證書具有CMMI5認證得3分,CMMI4得2分,CMMI3得1分。 2、所投操作系統安全增強系統擴容的制造商具有自主知識產權的數據庫系統并應用在該產品中,同時提供“數據庫系統”的國家版權局《計算機軟件著作權登記證書》,提供證書得4分。 3、入侵檢測系統生產廠商具備由國家工業和信息化部認證頒發的ITSS認證證書(云服務類型為SaaS服務),得2分。 4、全網準入控制系統生產廠商具有國家信息安全測評信息安全服務資質-安全工程類證書,(三級)證書得3分,(二級)證書得2分,(一級)證書得1分。 |
|
3 | 服務內容及技術要求響應 | 42 | 投標人針對招標文件的一般技術服務條款的響應,每響應一項,得2分(其中帶*號條款得4分)共記42分。 |
|
4 | 服務實施方案 | 10分 | 報價人提供針對本項目的服務實施方案,服務方案包含但不限于:服務保障、服務進度、安全保障、人員保障,應急保障等內容。完全提供五項內容得10分,少提供一項或有一項不適用本項目的扣2分,本項分值扣完為止。 |
|
5 | 投標人業績 | 3分 | 投標供人2019年1月1日至今,具有類似項目業績,每提供一個得0.5分,最多得3分。 注:提供中標(成交)通知書和合同復印件并加蓋投標人鮮章。 |
|
5 | 投示軟件信譽與技術實力 | 11 | 1、投標人需滿足信息安全項目能力和信息安全服務交付等能力,應持有《信息安全服務軟件安全開發資質》、《信息系統安全運維服務資質》、《信息安全風險評估服務資質》、《信息安全應急處理服務資質》,每具有一個證書得2分,共8分。 2、本項目包含安全服務-漏洞掃描服務,投標人為信息安全漏洞庫技術支撐單位得3分。 |
|
6 | 售后服務 | 10分 | 1、投標人配備的項目經理1名,同一人具有CISP認證、ITIL認證、PMP認證,項目經理證書、全部滿足得2分,差一個證書扣0.5分,扣完為止。(提供證書復印件或證明材料及投標人單位在職證明;否則該項不予計分); 2、其他專業技術人員不少于5人,具備注冊信息安全工程師(CISP)2人、網絡工程師(CCIE認證)2人、業務安全服務人員(信息系統業務安全服務認證)1人,全部滿足得5分,差一項扣1分,扣完為止。(提供證書復印件或證明材料及投標人單位在職證明;否則該項不予計分); 3、根據供應商提供的完善的售后服務支持方案,包含但不限于質保期限、響應時間、服務內容、應急策略、人員資歷和本地化售后服務情況,以前內容提供完整得3分,有一項未提供扣0.5分,扣完為止,未提供不得分。 |
|
7 | 投標文件規范性 | 2分 | 投標文件制作規范,得2分;有一項細微偏差扣1分,直至該項分值扣完為止。 |
|
九、合同簽訂
中中選人在發布中選公告2日后與比選人簽訂書面合同。
十、付款方式
合同簽訂后30日內支付本項目維保服務費30%,服務期滿驗收合格后支付維保服務費70%。
十一、其他要求:1. 符合國家及行業現行規范標及要求。
2. 詢價人不負責報價人準備文件和遞交文件所發生的任何成本和費用。
成都市龍泉驛區中醫醫院
2022年3月4日
掃一掃 手機端瀏覽