成都市龙泉驿区中医医院2022年安全服务比选公告
一、项目名称:成都市龙泉驿区中医医院2022年安全服务采购项目
二、项目预算:9.8万元/年三、项目主要内容:医院信息安全服务
四、服务期限:1年
五、比选资料提交时间及地点:
2022年3月9日下午14:00—14:30,提交至成都市龙泉驿区中医医院门诊7楼会议室(龙泉驿区建设路68号,联系人:董老师 联系电话:60613137)。
六、比选资料内容(资料进行密封装袋,并在外加盖公章,否则视为无效报价):
1. 供应商资质证明文件及有效期内的营业执照;2. 填写报价表并加盖单位公章;3. 法人身份证复印件加盖公章,如报价人不是法人,须提供法人授权书,受托人身份证复印件加盖公章;
4. 响应文件。
七、评选
1. 评选时间:2022年3月9日
2. 评选地点:成都市龙泉驿区中医医院门诊7楼会议室(龙泉驿区建设路68号)
八、服务及技术要求
1.安全咨询服务
服务内容:
依据医疗行业等级保护测评的要求,进行差距分析,在定级、评估、整改、运维方面提供支持。参照等级保护测评要求,在网络安全建设方针、安全制度建立和安全人事安排方面,提供合理化建议,制定信息系统安全建设目标和安全规划方案,建立信息安全保障体系框架。
协助甲方达到三级等保要求。
服务频率:不少于每年一次
输出内容:相关文件档案(测评所需)、以及整改建议报告。
2.安全巡检服务
服务内容:
对医院的机房网络设备状态、安全设备状态、应用系统状态进行检查与分析,了解医院当前系统与设备的运行情况,并对发现的安全隐患提供改善建议,并出具安全巡检报告。
服务频率:不少于每季度一次
输出内容:巡检报告。
3.漏洞扫描服务
服务内容:
A.服务器及虚拟机漏洞扫描
对医院的服务器及虚拟机进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
B.应用系统漏洞扫描
对医院的应用系统进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
C.数据库漏洞扫描
对医院的数据库进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
D.网络设备漏洞扫描
对医院的网络设备进行漏洞扫描,从内网和外网两个角度及时发掘扫描对象的脆弱性,输出安全整改建议。
服务频率:不少于每半年一次
输出内容:漏洞扫描报告与整改建议。
*4.渗透测试服务
服务内容:
针对医院互联网应用系统,参考国际先进标准PTEC和CPT,通过使用各类网络黑客攻击技术对网络进行模拟渗透攻击,测试互联网应用系统的安全性和健壮性,借助专业人员的技能与经验,挖掘传统自动化检测工具所无法识别的安全漏洞。
服务频率:不少于每年一次
输出内容:渗透测试报告。
*5.攻防演练服务
服务内容:
(1)针对医院提供的安全事件进行应急演练,以完善信息安全应急响应机制,规范信息安全应急响应工作内容和流程,并提升应急处置能力。
(2)在医院授权的前提下,以模拟黑客攻击的方式针对医院提供但不限于对SQL注入攻击、XSS跨站脚本攻击、命令执行攻击、提权攻击、编码解码、流量分析、取证分析、代码审计、程序逆向等攻击行为进行实战环境攻防演练和培训,查找网站的安全漏洞、评估网站和业务系统的安全状态、提供漏洞修复建议。
服务频率:不少于每年一次
输出内容:《攻防演练报告》
6.配置核查服务
服务内容:
对医院服务器及虚拟机、网络设备、安全设备、应用系统、数据库等进行安全策略的配置核查与整改。定期检查安全策略的配置并根据最新相关安全策略规范进行优化调整,保障系统和设备安全性和合规性。
服务频次:不少于每半年一次
输出内容:配置核查报告
7.安全加固服务
服务内容:
针对漏洞扫描过程中发现的操作系统漏洞、配置核查过程中发现的操作系统、网络设备配置隐患进行安全加固,防范系统漏洞、隐患配置带来的安全风险。
服务频次:不少于每半年一次
输出内容:安全加固报告
8.病毒稽核服务
服务内容:
通过人工和工具相结合的方式对医院服务器及虚拟机和终端进行病毒稽查,及时发现网络和系统中存在的病毒并进行有效的处置,针对新型病毒威胁提供有效的预防措施和安全建议。
服务频次:不少于每季度一次
输出内容:病毒检查报告
*9.应急响应服务
服务内容:
A.应急响应
医院业务系统在发生安全事件后,安全专家依据安全事件的分类与应急响应的目标,及时提供远程或现场应急响应,协助客户进行有效的应急处理,最大程度上减少损失和事件造成的消极影响。
服务频率:第一时间(十分钟内)远程响应,确定事件性质,如需到场,两小时内到场。
输出内容:应急响应报告。
B.提供7*24小时的应急响应服务,根据安全事件等级及时开展多种方式的应急支援服务。
10.安全通告服务
服务内容:
为医院提供专业信息安全通告服务,并通过邮件或电话等方式,提供及时的、针对性的各类安全信息,帮助医院及时的了解最新安全动态与安全预警。
服务频率:不少于每月一次
输出内容:《安全通告》
11.安全风险评估服务
服务内容:
依据国际、国内有关信息技术标准,从业务出发,对关键信息系统资产和控制措施进行识别,对信息系统的威胁、脆弱性和风险等级等安全属性进行全面风险评价。
A.管理层面风险评估
对医院的安全管理机构、安全管理制度、人员安全管理、系统安全建设管理、系统安全运维管理等维度的管理层内容进行风险评估,输出安全管理建议。
B.技术层面风险评估
对医院的物理安全、网络安全、主机安全、应用安全、数据备份与恢复安全等维度的技术层内容进行风险评估,输出安全技术建议。
服务频率:不少于每年一次
输出内容:安全评估报告。
*12.等保咨询整改服务
服务内容:
依据网络安全等级保护2.0要求提供等保定级、备案、建设、整改等全过程相关咨询服务,包括技术体系建设和管理体系建设咨询。并能根据等级保护测评机构出具的整改要求,落实信息系统的等级保护整改工作,包括基线配置、设备调优、安全评估、安全加固、制度完善等内容。
服务频次:按需执行
输出内容:等保整改报告
*13.网络安全培训服务
服务内容:
提供覆盖网络网络安全意识、技术、管理等内容的网络安全基础培训服务,以提升医院员工网络网络安全认知、技术与管理能力。培训内容包括但不限于网络安全意识、网络安全基础知识、安全配置、安全升级、安全政策、Web安全培训、攻防演练培训等内容。
服务频率:全单位员工网络安全培训不少于一年两次
输出内容:安全培训材料。
*14.大运会专项保障服务
“大运会”网络安全保障服务从外部针对互联网业务系统的安全风险,到针对内部环境中生产网、办公网的安全风险,以及针对重保期间提供7×24小时的安全专家服务,综合性整体性的处置各类型的安全风险,提供“事前检查和评估、事中防护监测和事后应急保障”服务体系。
服务频率:大运会期间
输出内容:《大运会专项保障服务报告》。
15.医院各项创建及搬迁工作中的安全服务。
服务频率:按需执行
输出内容:《创建及搬迁工作安全服务报告》。
常规安全服务内容及清单 | |||||
序号 | 工作内容 | 工程师级别 | 投入人数 | 服务频率 | 备注 |
1 | 安全咨询服务 | 具有中级工程师及以上资格 | 1 | 每年一次 |
|
2 | 安全巡检服务 | 具有中级工程师及以上资格 | 1 | 每季度一次 |
|
3 | 漏洞扫描服务 | 具有中级工程师及以上资格 | 1 | 每半年一次 |
|
*4 | 渗透测试服务 | 具有高级工程师及以上资格 | 2 | 每年一次 |
|
*5 | 攻防演练服务 | 具有高级工程师及以上资格 | 2 | 每年一次 |
|
6 | 配置核查服务 | 具有中级工程师及以上资格 | 1 | 每半年一次 |
|
7 | 安全加固服务 | 具有中级工程师及以上资格 | 1 | 每半年一次 |
|
8 | 病毒稽查服务 | 具有中级工程师及以上资格 | 1 | 每季度一次 |
|
*9 | 应急响应服务 | 具有安全中级工程师及以上资格 | 2 | 按需执行 |
|
10 | 安全通告服务 | 具有中级工程师及以上资格 | 1 | 每月一次 |
|
11 | 安全风险评估服务 | 具有高级工程师及以上资格 | 2 | 每年一次 |
|
*12 | 等保咨询整改服务 | 具有安全中级工程师及以上资格 | 1 | 按需执行 |
|
*13 | 网络安全培训 | 具有高级工程师及以上资格 | 1 | 一次 |
|
*14 | 大运会专项保障服务 | 具有高级工程师及以上资格 | ≥2 | 7*24小时安全保障服务 |
|
15 | 医院各项创建及搬迁工作中的安全服务 | 具有安全中级工程师及以上资格 | 1 | 按需执行 |
|
八、评选办法
(一)评选方式
通过资格后审、符合性审查及报价评审后,以综合得分最高作为中选候选人。排名第一的中选候选人放弃中选或因不可抗力因素提出不能履约合同,比选人可以确定排名第二的中选候选人为中选人,依此类推。
(二)评分表
序号 | 评分因素及权重 | 分值 | 评分标准 | 说明 |
1 | 投标报价 | 10分 | 以本次最低有效投标报价为基准价,投标报价得分=(基准价/投标报价)×10 |
|
2 | 履约能力 | 12分 | 1、一体化智能运维管理系统的生产厂商符合软件成熟度集成模型证书具有CMMI5认证得3分,CMMI4得2分,CMMI3得1分。 2、所投操作系统安全增强系统扩容的制造商具有自主知识产权的数据库系统并应用在该产品中,同时提供“数据库系统”的国家版权局《计算机软件著作权登记证书》,提供证书得4分。 3、入侵检测系统生产厂商具备由国家工业和信息化部认证颁发的ITSS认证证书(云服务类型为SaaS服务),得2分。 4、全网准入控制系统生产厂商具有国家信息安全测评信息安全服务资质-安全工程类证书,(三级)证书得3分,(二级)证书得2分,(一级)证书得1分。 |
|
3 | 服务内容及技术要求响应 | 42 | 投标人针对招标文件的一般技术服务条款的响应,每响应一项,得2分(其中带*号条款得4分)共记42分。 |
|
4 | 服务实施方案 | 10分 | 报价人提供针对本项目的服务实施方案,服务方案包含但不限于:服务保障、服务进度、安全保障、人员保障,应急保障等内容。完全提供五项内容得10分,少提供一项或有一项不适用本项目的扣2分,本项分值扣完为止。 |
|
5 | 投标人业绩 | 3分 | 投标供人2019年1月1日至今,具有类似项目业绩,每提供一个得0.5分,最多得3分。 注:提供中标(成交)通知书和合同复印件并加盖投标人鲜章。 |
|
5 | 投示软件信誉与技术实力 | 11 | 1、投标人需满足信息安全项目能力和信息安全服务交付等能力,应持有《信息安全服务软件安全开发资质》、《信息系统安全运维服务资质》、《信息安全风险评估服务资质》、《信息安全应急处理服务资质》,每具有一个证书得2分,共8分。 2、本项目包含安全服务-漏洞扫描服务,投标人为信息安全漏洞库技术支撑单位得3分。 |
|
6 | 售后服务 | 10分 | 1、投标人配备的项目经理1名,同一人具有CISP认证、ITIL认证、PMP认证,项目经理证书、全部满足得2分,差一个证书扣0.5分,扣完为止。(提供证书复印件或证明材料及投标人单位在职证明;否则该项不予计分); 2、其他专业技术人员不少于5人,具备注册信息安全工程师(CISP)2人、网络工程师(CCIE认证)2人、业务安全服务人员(信息系统业务安全服务认证)1人,全部满足得5分,差一项扣1分,扣完为止。(提供证书复印件或证明材料及投标人单位在职证明;否则该项不予计分); 3、根据供应商提供的完善的售后服务支持方案,包含但不限于质保期限、响应时间、服务内容、应急策略、人员资历和本地化售后服务情况,以前内容提供完整得3分,有一项未提供扣0.5分,扣完为止,未提供不得分。 |
|
7 | 投标文件规范性 | 2分 | 投标文件制作规范,得2分;有一项细微偏差扣1分,直至该项分值扣完为止。 |
|
九、合同签订
中中选人在发布中选公告2日后与比选人签订书面合同。
十、付款方式
合同签订后30日内支付本项目维保服务费30%,服务期满验收合格后支付维保服务费70%。
十一、其他要求:1. 符合国家及行业现行规范标及要求。
2. 询价人不负责报价人准备文件和递交文件所发生的任何成本和费用。
成都市龙泉驿区中医医院
2022年3月4日
扫一扫 手机端浏览