******醫(yī)院信息安全服務(wù)項(xiàng)目院內(nèi)詢價(jià)�,請(qǐng)具備相應(yīng)資質(zhì)的企業(yè)積極參與�。
一、報(bào)名時(shí)間:2025年5月30日 至 2025年6月6日
二���、聯(lián)系人:朱先生0798-******(監(jiān)察室)
袁先生0798-******?(信息科)
三�、報(bào)名方式:快件郵寄(建議使用順豐)
******醫(yī)院? 信息科袁先生收或? 監(jiān)察室 朱先生收
五��、郵寄時(shí)間:截止至2025年6月6日(以寄出時(shí)間為準(zhǔn))。
******醫(yī)院信息安全服務(wù)項(xiàng)目院內(nèi)詢價(jià)�����,具體技術(shù)參數(shù)和要求見附件���。
******醫(yī)院中標(biāo)通知書或合同等)或承諾書以防惡意報(bào)價(jià)����,務(wù)必蓋章封好寄出�����。
附件:服務(wù)的范圍����、技術(shù)參數(shù)和要求
一、項(xiàng)目背景?
******醫(yī)院HIS��、LIS�、******醫(yī)院系統(tǒng)全生命周期網(wǎng)絡(luò)安全運(yùn)維及護(hù)網(wǎng)演練期間7×24小時(shí)值班值守,確保全年無重大網(wǎng)絡(luò)安全事件發(fā)生��。廠商可以依據(jù)自身能力提供信息安全技術(shù)服務(wù)方案�����,服務(wù)期限一年,但必須包含以下內(nèi)容:
二��、服務(wù)內(nèi)容及技術(shù)要求?
?��。ㄒ唬┸浖到y(tǒng)運(yùn)維服務(wù)?
1. 漏洞與風(fēng)險(xiǎn)管理:
定期掃描與修復(fù)******醫(yī)院將高危漏洞需在48小時(shí)內(nèi)修復(fù),中低危漏洞72小時(shí)內(nèi)修復(fù)��。?
******醫(yī)院進(jìn)行整改��。?
設(shè)備升級(jí)檢查:提供防火墻����、日志審計(jì)系統(tǒng)、終端防護(hù)軟件等安全設(shè)備的特征庫(kù)��、病毒庫(kù)及規(guī)則庫(kù)升級(jí)提醒�����,確保防護(hù)有效性����。
******醫(yī)院完成上級(jí)部門發(fā)現(xiàn)和要求的網(wǎng)絡(luò)安全信息安全方面的事件的及時(shí)處置和整改上報(bào)。?
2. 常態(tài)化運(yùn)維保障?
******醫(yī)院設(shè)備實(shí)時(shí)監(jiān)測(cè)網(wǎng)絡(luò)流量���、異常行為及系統(tǒng)資源占用等生成月/季/年報(bào)���,并針對(duì)業(yè)務(wù)系統(tǒng)整體安全性提出優(yōu)化建議。
每年至少一次的網(wǎng)絡(luò)安全應(yīng)急演練��,需要含劇本設(shè)計(jì)����,腳本書寫�����,實(shí)戰(zhàn)對(duì)抗����,演練總結(jié)等���。?
3.終端與業(yè)務(wù)系統(tǒng)支持?
******醫(yī)院現(xiàn)有殺毒設(shè)備定期進(jìn)行終端安全檢測(cè)和殺毒,并生成《終端安全分析》報(bào)告�。?
******醫(yī)院新增服務(wù)器和業(yè)務(wù)系統(tǒng)的網(wǎng)絡(luò)安全規(guī)劃和設(shè)備配置調(diào)整等技術(shù)支持。
?���。ǘ┳o(hù)網(wǎng)演練值守服務(wù)
1. 護(hù)網(wǎng)值守與攻防演練
人員配置:護(hù)網(wǎng)行動(dòng)期間派駐至少1名有資質(zhì)的安全工程師駐場(chǎng)值守�,提供7×24小時(shí)實(shí)時(shí)監(jiān)控�,配合對(duì)抗演練及APT攻擊防御,及時(shí)完成攻擊處置和事后總計(jì)及報(bào)告上傳。
演練支持:協(xié)助進(jìn)行網(wǎng)絡(luò)安全應(yīng)急演練�,模擬釣魚郵件/0day漏洞利用等攻擊場(chǎng)景,制定防御策略并修復(fù)暴露面風(fēng)險(xiǎn)�����,提供網(wǎng)絡(luò)安全應(yīng)急演練方案和總結(jié)報(bào)告���。
2.應(yīng)急響應(yīng)與協(xié)同處置
威脅處置時(shí)效:發(fā)現(xiàn)勒索病毒����、DDoS攻擊等事件后�����,1小時(shí)內(nèi)啟動(dòng)應(yīng)急響應(yīng)�,4小時(shí)內(nèi)完成初步處置(如隔離感染主機(jī)、阻斷攻擊流量)�����。
?
三����、供應(yīng)商資質(zhì)要求
1.供應(yīng)商基本資質(zhì)
具備獨(dú)立法人資格�����,提供三證合一營(yíng)業(yè)執(zhí)照及ISO 27001或CISP認(rèn)證證書����。
近3年無重大違法記錄,提供信用報(bào)告及本地化服務(wù)團(tuán)隊(duì)承諾函(2小時(shí)內(nèi)到場(chǎng)支持)�。
2. 服務(wù)方技術(shù)能力
《中國(guó)信息安全測(cè)評(píng)中心(國(guó)測(cè))安全服務(wù)資質(zhì)》一級(jí)及以上;
國(guó)家互聯(lián)網(wǎng)應(yīng)急中心網(wǎng)絡(luò)安全應(yīng)急服務(wù)支撐單位乙級(jí)及以上���;
******醫(yī)院等保測(cè)評(píng)或護(hù)網(wǎng)演練項(xiàng)目案例(附合同復(fù)印件)�����。
提供服務(wù)方原廠授權(quán)(如深信服�、奇安信、天融信等)��。
3. 服務(wù)承諾?
簽訂《服務(wù)效果承諾書》�,明確事件閉環(huán)時(shí)效(高級(jí)威脅/高危事件≤48小時(shí))、響應(yīng)等級(jí)(一級(jí)事件15分鐘響應(yīng))及違約賠償條款�����。?
******醫(yī)院網(wǎng)絡(luò)架構(gòu)及核心業(yè)務(wù)系統(tǒng)數(shù)據(jù)傳輸流程���。?
四�����、報(bào)價(jià)及文件要求?
提供《網(wǎng)絡(luò)安全運(yùn)維服務(wù)方案》我們會(huì)組織相關(guān)專家進(jìn)行方案的評(píng)定和價(jià)格的比對(duì)��,報(bào)價(jià)需要區(qū)分含護(hù)網(wǎng)演練區(qū)和不含護(hù)網(wǎng)演練�;?
技術(shù)方案:需包含服務(wù)內(nèi)容��、護(hù)網(wǎng)演練應(yīng)對(duì)方案��、應(yīng)急響應(yīng)預(yù)案�����、違約責(zé)任等。?
服務(wù)承諾書:明確故障處理時(shí)效�����、保密條款��。?
五���、評(píng)標(biāo)標(biāo)準(zhǔn)?
1. 價(jià)格權(quán)重(35%):報(bào)價(jià)合理性;
2. 技術(shù)方案(45%):護(hù)網(wǎng)演練方案完整性(如紅藍(lán)對(duì)抗流程�����、APT防御策略)����、應(yīng)急響應(yīng)可操作性(如業(yè)務(wù)切換流程);
3.資質(zhì)經(jīng)驗(yàn)(15%):等保測(cè)評(píng)案例數(shù)量�����、護(hù)網(wǎng)演練實(shí)戰(zhàn)經(jīng)驗(yàn)�、技術(shù)支持能力。
4.供應(yīng)商需按照包含護(hù)網(wǎng)值守/不包含護(hù)網(wǎng)值守分項(xiàng)報(bào)價(jià)。
?
六��、其他說明
服務(wù)期內(nèi)需每季度提交《網(wǎng)絡(luò)安全運(yùn)維季報(bào)》���,未達(dá)標(biāo)項(xiàng)按合同扣款5%�����;
******醫(yī)院完成安全鏈路的設(shè)計(jì)與規(guī)劃并完成網(wǎng)絡(luò)拓?fù)湟?guī)劃和年度等保測(cè)評(píng)整改工作�;
