晉江市醫(yī)院（上海市第六人民醫(yī)院福建醫(yī)院）關(guān)于2024年度信息安全等級保護建設(shè)項目的采購意向（市場調(diào)研）公告

我院擬采購信息系統(tǒng)服務(wù)等（詳見第一點項目名稱及項目基本要求），為充分了解服務(wù)市場供求價格及服務(wù)質(zhì)量情況，現(xiàn)面向社會開展市場詢價，誠邀信譽、業(yè)績良好，創(chuàng)新能力、服務(wù)能力強的單位報名參與。

一、項目名稱及項目基本要求：

1、項目名稱：2024年度信息安全等級保護建設(shè)項目

2、具體要求詳見附件一（項目內(nèi)容及要求）

二、報名須提供資料（嚴格按照以下順序做成一份Word方案書，不符合格式要求的方案書不予采納，資料上必須加蓋供應(yīng)商公章，以證明其真實性，遞交資料一式兩份，資料不全者，謝絕接收）：

1.報名項目名稱；

2.提供具備與項目相關(guān)的企業(yè)實力證明材料；

3. 提供項目技術(shù)方案、維護方案、質(zhì)保期方案（質(zhì)保期不少于兩年）、報價方案等；；

4.報名公司資質(zhì)證件（有效合格的《企業(yè)法人營業(yè)執(zhí)照》副本、《稅務(wù)登記證》副本或最新版加載統(tǒng)一社會信用代碼的《營業(yè)執(zhí)照》副本復(fù)印件加蓋公章）；

5.報名人身份證復(fù)印件及個人授權(quán)書、聯(lián)系方式(手機號碼及電子郵箱)；

6.報名公司法人身份證復(fù)印件；

7.近三年內(nèi)在經(jīng)營活動中沒有違法記錄的書面聲明或其他有效證明。

三、公示時間：2024年4月25日至2024年5月6日。

四、報名方式：

此次報名采用電子郵件報名，并提供紙質(zhì)密封報價文件。報名材料于公示期內(nèi)發(fā)送到****@126.com（郵件名稱格式為：公司名-報名項目名稱-聯(lián)系人姓名及手機號）。逾期收到的或不符合規(guī)定的材料文件將做無效處理。

郵寄地址：**省**市晉光路**段16號****信息科

五、產(chǎn)品介紹時間及地點另行通知（如有需要）。

六、聯(lián)系電話：信息科 0595-****8718（問題咨詢撥打該號碼）

七、注意事項：

1、報名人提供的設(shè)計方案必須為原創(chuàng)或具有自主知識產(chǎn)權(quán)。若發(fā)生由此造成的任何侵權(quán)糾紛，一切法律責(zé)任及給院方造成的損失由報名人承擔(dān)。

2、凡提交的材料，無論是否采用，均不予退還。

3、凡遞交材料的供應(yīng)商均視為同意并接受以上說明，無須通過書面或其他方式予以確認。

項目內(nèi)容及要求

一、等保咨詢服務(wù)與安全運維服務(wù)

1.服務(wù)期限：合同簽訂之日起不少于1年或測評完成為止。

2.服務(wù)范圍：包括但不限于我院HIS、LIS、PACS、EMR、****醫(yī)院、集成平臺、多媒體綜合業(yè)務(wù)顯示系統(tǒng)及其支撐的軟硬件設(shè)施。

3.服務(wù)內(nèi)容

3.1等保資產(chǎn)分析服務(wù)，服務(wù)頻次不少于1次，根據(jù)等級保護范圍內(nèi)的資產(chǎn)組成，派遣專業(yè)工程師到現(xiàn)場整理各個系統(tǒng)的網(wǎng)絡(luò)結(jié)構(gòu)拓撲以及相關(guān)聯(lián)的資產(chǎn)，對服務(wù)范圍內(nèi)信息系統(tǒng)開展安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、****中心以及安全管理制度進行調(diào)研和梳理。

3.2等保風(fēng)險分析服務(wù)，服務(wù)頻次不少于1次，根據(jù)等級保護基本要求，開展安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、****中心以及安全管理的現(xiàn)狀分析，通過安全訪談、脆弱性評估、登錄檢查、日志分析以及滲透測試等技術(shù)手段對現(xiàn)有的安全資產(chǎn)進行全方位的風(fēng)險評估，結(jié)合信息資產(chǎn)屬性、威脅、脆弱性等基本要素，分析信息系統(tǒng)安全風(fēng)險評估分析。

3.4等保安全加固服務(wù)，服務(wù)頻次不少于1次，根據(jù)等級保護基本要求以及風(fēng)險分析結(jié)果，提供專業(yè)的系統(tǒng)安全加固建議意見，派遣專業(yè)工程師到現(xiàn)場根據(jù)等保安全加固指導(dǎo)書實施邊界防護安全策略優(yōu)化輔導(dǎo)、服務(wù)器病毒檢查與清理，提供主機安全加固建議、數(shù)據(jù)庫安全加固建議以及應(yīng)用安全加固建議。對于需要增加投資，部署新的信息安全產(chǎn)品和技術(shù)的整改措施，雙方根據(jù)整改方案另行協(xié)商和實施。

3.5等保制度建設(shè)輔導(dǎo)服務(wù)，服務(wù)頻次不少于1次，協(xié)助醫(yī)院建設(shè)安全管理制度，****管理部分的標(biāo)準，從安全管理制度、安全管理機構(gòu)、人員安全管理、系統(tǒng)建設(shè)管理、系統(tǒng)運維管理5個方面幫助補充及完善等級保護要求的管理體系建設(shè)中涉及的制度文檔，以及相關(guān)記錄的完善。包括但不限于信息安全工作職責(zé)，信息安全監(jiān)督、檢查機制；輔助編寫方針、制度、各類記錄表格模板在內(nèi)的三層結(jié)構(gòu)的安全管理制度，達到等級保護測評要求。

3.6 等保測評輔助服務(wù)，服務(wù)頻次不少于1次，在測評階段協(xié)助準備測評材料，****中心開展等級測評工作，組織測評整改，并保障順**過等保測評獲得測評報告。

3.7 安全評估服務(wù)，服務(wù)頻次4次，需交付：《安全評估報告》一年4份。參照等級保護和信息安全技術(shù)相關(guān)標(biāo)準，采用漏洞掃描、安全訪談、登錄檢查、日志分析等手段，對醫(yī)院現(xiàn)有的安全資產(chǎn)進行全方位的安全評估，對現(xiàn)有的資產(chǎn)進行威脅識別，并對現(xiàn)有的安全措施進行評估，結(jié)合信息資產(chǎn)屬性、威脅、脆弱性等基本要素，分析出安全風(fēng)險。

3.8 滲透測試服務(wù)，服務(wù)頻次不少于1次，需交付：《滲透測試報告》1份。通過專業(yè)滲透測試團隊，從****醫(yī)院的重要系統(tǒng)進行安全滲透測試工作，以全面發(fā)現(xiàn)應(yīng)用系統(tǒng)安全問題與隱患。

3.9 安全加固服務(wù)，服務(wù)頻次4次，需交付：《安全加固報告》一年4份。根據(jù)安全評估、基線核查服務(wù)的結(jié)果，提供應(yīng)用安全加固輔導(dǎo)、服務(wù)器安全加固、Web服務(wù)器（中間件）加固輔導(dǎo)、數(shù)據(jù)庫安全加固建議，提升系統(tǒng)整體安全性，并提交報告。

3.10 應(yīng)急演練服務(wù)，服務(wù)頻次不少于1次，需交付：《安全應(yīng)急預(yù)案》、《應(yīng)急演練報告》各1份，定期開展信息安全應(yīng)急演練，進行體驗式的安全意識教育。

(1)網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急預(yù)案：

根據(jù)醫(yī)院實際需求，定制1個預(yù)案場景的《安全應(yīng)急預(yù)案》。

(2)網(wǎng)絡(luò)與系統(tǒng)安全應(yīng)急演練

針對1個預(yù)案場景進行應(yīng)急演練，并提交《安全應(yīng)急演練報告》。

3.11 應(yīng)急響應(yīng)服務(wù)，服務(wù)頻次為按需提供，按需提供相應(yīng)的《應(yīng)急響應(yīng)報告》。****醫(yī)院的網(wǎng)絡(luò)安全，預(yù)防和遏制業(yè)務(wù)系統(tǒng)突發(fā)安全事件的發(fā)生和應(yīng)對安全檢查，提供遠程安全響應(yīng)服務(wù)及現(xiàn)場應(yīng)急響應(yīng)服務(wù)支持。

3.12攻防演練值守保障服務(wù)，服務(wù)范圍：醫(yī)院內(nèi)外網(wǎng)基礎(chǔ)網(wǎng)絡(luò)，以及HIS、LIS、PACS、EMR、****醫(yī)院、集成平臺、多媒體綜合業(yè)務(wù)顯示系統(tǒng)及其支撐的軟硬件設(shè)施；服務(wù)人員及頻次：現(xiàn)場提供安全服務(wù)工程師1人，提供10*8小時現(xiàn)場值守保障服務(wù)。

服務(wù)項目：

（1）監(jiān)測保障服務(wù)：結(jié)合態(tài)勢感知平臺等安全監(jiān)測相關(guān)工具，****醫(yī)院現(xiàn)場，提供安全威脅分析服務(wù)，對網(wǎng)絡(luò)中異常流量進行檢測分析，及時發(fā)現(xiàn)可疑的執(zhí)行文件和網(wǎng)絡(luò)流量，針對潛在的未知攻擊進行預(yù)警。

（2）溯源分析服務(wù)：現(xiàn)場保障值守人員對監(jiān)測發(fā)現(xiàn)的網(wǎng)絡(luò)風(fēng)險、主機風(fēng)險、網(wǎng)站風(fēng)險進行統(tǒng)籌溯源分析（現(xiàn)場溯源以及結(jié)合遠程溯源），其中對流量日志、主機日志、應(yīng)用日志進行分析、審計、溯源等操作，找出事件根源所在。

（3）應(yīng)急處置服務(wù)：現(xiàn)場保障值守人員進行協(xié)調(diào)、處置，根據(jù)現(xiàn)場值守人員反饋的攻擊信息，對正在發(fā)生或者已經(jīng)發(fā)生的安全事件加以處理，及時修復(fù)漏洞、復(fù)查漏洞、整改問題，控制安全事件的進一步擴大，確保系統(tǒng)的安全、可靠運行。

（4）對現(xiàn)有的安全設(shè)備包括安全感知與運營管理平臺（黑盾V2.0/HD-NGSOC-1156-6）1臺、網(wǎng)絡(luò)入侵檢測系統(tǒng)（黑盾V5.0/HD-NGIDS-APT-1156-6）1臺，提供三年維保服務(wù)。對現(xiàn)有的核心防火墻病毒庫、IPS庫提供三年升級服務(wù)。

（5）對醫(yī)院現(xiàn)有的護理、體檢、病案三個系統(tǒng)進行備案。

二、等保測評服務(wù)

依照 GB/T 22239-2019《信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求》和《行業(yè)網(wǎng)絡(luò)安全等級保護基本要求》對HIS、EMR、PACS、LIS、****醫(yī)院、集成平臺、多媒體視頻系統(tǒng)、護士系統(tǒng)、體檢系統(tǒng)、病案系統(tǒng)等十個系統(tǒng)進行等級保護測評，確定不同等級業(yè)務(wù)系統(tǒng)當(dāng)前安全防護現(xiàn)狀，以及與國家和行業(yè)等級保護要求間的差距；分析其所面臨的威脅及其存在的脆弱性，提出有針對性的抵御威脅的防護策略和整改措施，為防范和化解信息安全風(fēng)險，將風(fēng)險控制在可接受的水平，最大限度地防止由于信息系統(tǒng)安全事件引發(fā)安全事故，全面提高信息系統(tǒng)安全防護水平提供科學(xué)依據(jù)。

等級測評將覆蓋安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、****中心、安全管理制度等方面的內(nèi)容，內(nèi)容包括但不限于以下內(nèi)容：

（1）總體要求測評：包括總體技術(shù)要求、總體管理要求；

（2）安全技術(shù)測評：安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計算環(huán)境、****中心等五個方面的安全測評；

（3）安全管理測評：安全管理制度、安全管理機構(gòu)、安全管理人員、安全建設(shè)管理和安全運維管理等五個方面的安全控制測評；

（4）測評通過后最終出具：對應(yīng)系統(tǒng)的《信息安全等級保護測評報告》

三、安全托管服務(wù)

（1）結(jié)合我院服務(wù)器終端殺毒以及互聯(lián)網(wǎng)出口防火墻提供配套的7*24小時安全托管服務(wù)，重點監(jiān)測≥30個院內(nèi)IP**，服務(wù)期限≥3年。

（2）每季度針對服務(wù)資產(chǎn)的系統(tǒng)漏洞和Web漏洞進行全量掃描，并分析發(fā)現(xiàn)的漏洞可造成的危害。

（3）支持的安全檢測規(guī)則應(yīng)超過1000個，覆蓋脆弱性、病毒類、入侵等，服務(wù)平臺應(yīng)通過等保三級測評。

（4）實時抓取互聯(lián)網(wǎng)最新漏洞，對最新漏洞進行通告與排查，提供7*24小時持續(xù)安全專家服務(wù)，對我院服務(wù)資產(chǎn)爆發(fā)勒索、挖礦、webshell、僵尸網(wǎng)絡(luò)等安全事件，經(jīng)分析確認后實時通過專屬微信服務(wù)群向我院通告，并提供處置建議。

（5）聯(lián)動我院互聯(lián)網(wǎng)防火墻、服務(wù)器終端殺毒，經(jīng)授權(quán)后進行自動化封鎖攻擊IP地址，隔離失陷服務(wù)器，指導(dǎo)我院進行安全加固。

（6）每季度對服務(wù)器終端殺毒以及互聯(lián)網(wǎng)出口防火墻防護策略進行檢查，確保安全策略始終處于最優(yōu)水平。

（7）提供專屬的服務(wù)監(jiān)管Web界面，可隨時查看服務(wù)范圍內(nèi)業(yè)務(wù)資產(chǎn)安全狀態(tài)，能夠在線展示所有脆弱性、威脅、事件工單的處置進程和結(jié)果。

（8）提供《首次安全威脅分析報告》、《漏洞舉證報告》、《漏洞清單》、《威脅情報》、《安全運營周報》、《安全運營月報》、《年度總結(jié)匯報》等服務(wù)過程性材料。

2024年4月24日