******医院网络信息安全等保测评和安全保障服务项目采购征集公告
******医院网络安全需要,拟对以下服务项目进行采购。为了解相关服务及价格等情况,确保采购活动公平、公正和充分竞争,特面向社会诚邀具有合法资质、信誉良好的商(厂)家,携带相关资质证明材料来院报名。
一、征询服务内容清单:
见附件:
二、服务基本要求:
以清单内要求为准。
三、征询时间及预计采购时间:
1. 征询时间:自此公告发布之日起至 2025 年 03 月07日截止。
2. 预计采购时间:以本院官网发布正式招标公告为准
3. 联系人:李先生 联系电话:
******四、征询时需提供以下资料:
(一)公司营业执照、报名公司法人对负责该项目业务代表的授权书,业务代表的身份证复印件及联系方式;
(二)设备彩页(如有);
(三)配置清单及主要技术参数;
******医院近两年内购买该产品的合同或发票,并附配置清单;
(五)服务报价表;
(六)提供厂家相应授权书。
(七)售后服务方案。
注:资质不完整、资质不合格、逾期报名的供应商不予接受。
五、提交方式:
1.资料采用纸质文件递交或邮寄:在征集时间内将上述资料加盖公章后送达或邮寄至我院信息科,投递多项设备请分装好文件袋。并在文件袋封面应注明:递交的产品名称、投递人全称、被授权人姓名及联系方式 。
******医院信息科
收件/联系人:李先生 咨询/联系电话:
******备注:在征集时间内将电子版本(word格式)技术资料,放到一个压缩包内并加密压缩,发送至指定邮箱:
******六、其它补充事宜
(一)本次征集活动仅为征集单位编制设备技术参数使用,非资格预审。不影响投递人参与本项目后续采购活动。投递人相关资料一经递交后,不予退回。
(二)投递人需保证投递资料的真实性,如存在虚假资料,三年内禁止参加我院物资、设备、工程、信息、服务采购相关活动。
(三)无论征集单位是否采用,投递人应保证所递交的技术参数或配置要求,不产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因专利权、商标权或其它知识产权而引起法律和经济纠纷,由投递人承担所有相关责任。对所有自愿递交参数征集资料的投递人,征集单位不给予任何形式的经济和物资补偿,一切费用均由投递人自行承担。
(四)征集单位有权针对技术参数不了解、不清楚的地方对投递人提供的技术负责人进行询问,投递人应保证相关人员能够及时回复征集单位的问题。在规定时间内拒绝回复的,视为自动放弃。
(五)资料递交厂家或公司不得擅自到科室做产品推荐等活动。
******医院信息科
2025年02月28日
附件:
报价书
******医院网络信息安全等保测评和安全保障服务项目
供应商名称:
我司已收悉贵单位询价函,我司报价如下:
| ******医院等保测评及安全保障服务需求清单 |
| 序号 | 服务名称 | 服务描述 | 服务次数 | 单位 | 单价 | 总价(元) | 服务技术动作 | 输出物 | 备注 |
| 1 | 等保测评 | 按照《信息安全技术网络安全等级保护基本要求》(gb/t 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(gb/t 28******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个安全控制层面进行等级保护测评,包含初次测评和验收测评。按照《网络安全等级保护测评过程指南》进行测评准备、方案编制、现场测评、分析及报告编制工作,通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法,找出信息系统的安全保护现状与相应等级的保护要求之间的差距,分析这些差距导致被测系统面临的风险,从而给出等级测评结论,形成测评报告。 | 3 | 元/次 | 0 | 测评报告 | 测评报告 | 3个3级 |
| 2 | 网络安全巡检服务 | 1、安全设备运行状态:定期对安全设备运行状态检查,评估设备的工作状态,排除设备潜在的故障,防范于未然。
2、安全设备日志分析:定期对安全设备日志开展分析,从海量日志中发现未知攻击,apt攻击以及以后攻击信息,梳理相关建议,提供安全策略。 | 4 | 元/年 | 0 | 交付频次确认
前置巡检脚本(可能)确认
登录账号信息确认
巡检实施
记录表登记
周期报告编写 | 《安全巡检报告》 |
| 3 | 漏洞扫描服务 | 通过定制的扫描规则,形成安全扫描策略文档,对服务器、网络设备、安全设备、网站等进行自动化安全扫描,输出安全扫描报告及修复建议 | 4 | 元/次 | 0 | 测试对象授权
工具选型确认
扫描策略选型
账号信息收集(按需)
扫描工具执行
报告导出与检查 | 《漏洞扫描报告》 |
| 4 | 安全基线配置核查服务 | 根据既定的检查规范及方法,采用人工检查用表(checklist)、脚本程序或基线扫描工具对评估目标范围内的主机系统安全、数据库安全、中间件安全等进行系统的策略配置、服务配置、保护措施以及系统和软件升级、更新情况,是否存在后门等内容进行检查。 | 4 | 元/次 | 0 | 测试对象授权
工具选型确认
基线检查策略选型
账号信息收集(按需)
检查工具执行/手工执行
报告导出与检查 | 《基线核查报告》 |
| 5 | 渗透测试服务 | 根据业务特点,采用可控制、非破坏性质的方法和手段,完全模拟黑客可能使用的攻击技术和漏洞发现技术,对目标系统的安全做模拟攻击操作,发现系统脆弱环节。按服务次数提供渗透测试报告。 | 4 | 元/系统/次 | 0 | 网站授权
测试信息收集
测试手段确认
测试实施
成果输出、审核、交付 | 《渗透测试报告》 |
| 6 | 网络安全风险评估服务 | 基于信息系统现状,参照国家信息安全风险评估规范,对资产、威胁、脆弱性、安全措施进行识别和分析,确定风险计算模型,从物理层、网络层、系统层和应用层进行评估,全面分析系统面临的信息安全风险。 | 2 | 元/次 | 0 | 测试对象授权
网元/系统边界范围确认
实施信息收集
测试手段确认
资产识别
威胁、脆弱性识别
风险分析
风险匹配与风险建议
成果输出、审核、交付 | 《网络安全评估报告》 |
| 7 | 网络安全事件响应 | 当发现各类安全威胁、安全攻击事件时,有针对性的提供安全事件协助处置服务,帮助管理部门合理应对安全事件,最小化负面影响。按响应次数提供应急响应处置报告。 | 1 | 元/系统/年 | 0 | 事件信息收集
服务对象组织架构确认
安全设备检查分析
威胁承载对象登录检查
威胁情报分析
成果输出、审核、交付 | 《网络安全事件应急响应报告》 |
| 8 | 安全培训服务 | 根据用户需求,提供网络安全意识形态、网络安全法、数据安全法、个人隐私保护法、网络安全漏洞原理等内容的安全培训。 | 2 | 元/次 | 0 | 培训科目确认
培训地理、人员、时间信息确认
赋能人确认
培训材料准备
现场实施与证明留存 | 《签到表》
《培训ppt》 |
| 10 | 应急演练服务-模拟平台场景演练 | 根据用户实际网络环境情况,提供多个场景下的模拟演练服务,检验应急预案、应急流程的完整性、可行性,提高应急处理能力。按服务次数提供应急演练报告。 | 2 | 元/次 | 0 | 演练方式确认
演练科目确认
演练地理、人员、时间信息确认
材料单位实际信息匹配
模拟环境搭建
培训材料准备
现场实施与证明留存 | 《总结报告》 |
| 11 | 重保值守服务 | 在全国性、行业性等视角的重大活动期间,提供重要保障值守服务。可选7*24h、5*8h现场或远程值守与响应服务包,开展安全检查、驻场保障以及应急值守等工作,对客户重要系统进行安全保障。 | 1 | 元/1年节假日 | 0 | 重保通知确认
重保值守方式确认
演练地理、人员、时间信息确认
网络架构调研
安全设备信息确认
值守实施
成果输出、交付 | 《每日值守报告》
《重保总结》 |
| 12 | 安全策略优化服务 | 一、服务概述
提供对网络和安全设备的安全策略优化服务,对客户当前部署的网络和安全设备进行等保合规性配置检查,并根据等保合规要求调整优化安全配置。
二、服务内容
1、帐号和口令管理:对网络设备的管理员进行分级管理,权限更高的管理员的帐号和口令的管理要求必须保证是最严格等级,同时对其他管理员的帐号和口令的复杂度进行优化;
2、认证和授权策略调整:对网络设备的登录帐号进行加固,使其满足一定强度的认证要求,并对不同级别的授权策略进行优化;
3、网络与服务加固:网络安全设备的服务配置方面,必须遵循最小化服务原则,关闭网络安全设备不必要的所有服务,修复网络服务或网络协议自身存在的安全漏洞以降低网络的安全风险;
4、访问控制策略增强:针对网络安全设备管理设置访问安全限制策略,只允许特定主机访问网络设备;
5、日志审核策略增强:根据安全级别要求,开启网络设备必需的监控日志记录,并支持一定周期的日志本地存储或外置存储;
6、安全设备价值实现:未使用安全设备上线使用,安全设备功能和策略优化启用等。
三、服务交付物
《安全策略优化报告》 | 1 | 元/年 | 0 | 测评过程中有策略整改 | 《优化总结报告》 |
| 合计(元): | 0 |
单位公章:
时间:年月日
