我院拟采购信息系统服务等（详见第一点项目名称及项目基本要求），为充分了解服务市场供求价格及服务质量情况，现面向社会开展市场询价，诚邀信誉、业绩良好，创新能力、服务能力强的单位报名参与。

一、项目名称及项目基本要求：

1、项目名称：2024年度信息安全等级保护建设项目

2、具体要求详见附件一（项目内容及要求）

二、报名须提供资料（严格按照以下顺序做成一份Word方案书，不符合格式要求的方案书不予采纳，资料上必须加盖供应商公章，以证明其真实性，递交资料一式两份，资料不全者，谢绝接收）：

1.报名项目名称；

2.提供具备与项目相关的企业实力证明材料；

3. 提供项目技术方案、维护方案、质保期方案（质保期不少于两年）、报价方案等；；

4.报名公司资质证件（有效合格的《企业法人营业执照》副本、《税务登记证》副本或最新版加载统一社会信用代码的《营业执照》副本复印件加盖公章）；

5.报名人身份证复印件及个人授权书、联系方式(手机号码及电子邮箱)；

6.报名公司法人身份证复印件；

7.近三年内在经营活动中没有违法记录的书面声明或其他有效证明。

三、公示时间：2024年4月25日至2024年5月6日。

四、报名方式：

此次报名采用电子邮件报名，并提供纸质密封报价文件。报名材料于公示期内发送到jjsyyxxkcg@126.com（邮件名称格式为：公司名-报名项目名称-联系人姓名及手机号）。逾期收到的或不符合规定的材料文件将做无效处理。

邮寄地址：福建省晋江市晋光路罗山段16号晋江市医院（上海市第六人民医院福建医院）信息科

五、产品介绍时间及地点另行通知（如有需要）。

六、联系电话：信息科 0595-85658718（问题咨询拨打该号码）

七、注意事项：

1、报名人提供的设计方案必须为原创或具有自主知识产权。若发生由此造成的任何侵权纠纷，一切法律责任及给院方造成的损失由报名人承担。

2、凡提交的材料，无论是否采用，均不予退还。

3、凡递交材料的供应商均视为同意并接受以上说明，无须通过书面或其他方式予以确认。

晋江市医院（上海市第六人民医院福建医院）

2024年4月24日

附件一

项目内容及要求

一、等保咨询服务与安全运维服务

1.服务期限：合同签订之日起不少于1年或测评完成为止。

2.服务范围：包括但不限于我院HIS、LIS、PACS、EMR、互联网医院、集成平台、多媒体综合业务显示系统及其支撑的软硬件设施。

3.服务内容

3.1等保资产分析服务，服务频次不少于1次，根据等级保护范围内的资产组成，派遣专业工程师到现场整理各个系统的网络结构拓扑以及相关联的资产，对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理制度进行调研和梳理。

3.2等保风险分析服务，服务频次不少于1次，根据等级保护基本要求，开展安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心以及安全管理的现状分析，通过安全访谈、脆弱性评估、登录检查、日志分析以及渗透测试等技术手段对现有的安全资产进行全方位的风险评估，结合信息资产属性、威胁、脆弱性等基本要素，分析信息系统安全风险评估分析。

3.4等保安全加固服务，服务频次不少于1次，根据等级保护基本要求以及风险分析结果，提供专业的系统安全加固建议意见，派遣专业工程师到现场根据等保安全加固指导书实施边界防护安全策略优化辅导、服务器病毒检查与清理，提供主机安全加固建议、数据库安全加固建议以及应用安全加固建议。对于需要增加投资，部署新的信息安全产品和技术的整改措施，双方根据整改方案另行协商和实施。

3.5等保制度建设辅导服务，服务频次不少于1次，协助医院建设安全管理制度，按照等级保护管理部分的标准，从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理5个方面帮助补充及完善等级保护要求的管理体系建设中涉及的制度文档，以及相关记录的完善。包括但不限于信息安全工作职责，信息安全监督、检查机制；辅助编写方针、制度、各类记录表格模板在内的三层结构的安全管理制度，达到等级保护测评要求。

3.6 等保测评辅助服务，服务频次不少于1次，在测评阶段协助准备测评材料，指导医院配合测评中心开展等级测评工作，组织测评整改，并保障顺利通过等保测评获得测评报告。

3.7 安全评估服务，服务频次4次，需交付：《安全评估报告》一年4份。参照等级保护和信息安全技术相关标准，采用漏洞扫描、安全访谈、登录检查、日志分析等手段，对医院现有的安全资产进行全方位的安全评估，对现有的资产进行威胁识别，并对现有的安全措施进行评估，结合信息资产属性、威胁、脆弱性等基本要素，分析出安全风险。

3.8 渗透测试服务，服务频次不少于1次，需交付：《渗透测试报告》1份。通过专业渗透测试团队，从安全攻击链视角对医院的重要系统进行安全渗透测试工作，以全面发现应用系统安全问题与隐患。

3.9 安全加固服务，服务频次4次，需交付：《安全加固报告》一年4份。根据安全评估、基线核查服务的结果，提供应用安全加固辅导、服务器安全加固、Web服务器（中间件）加固辅导、数据库安全加固建议，提升系统整体安全性，并提交报告。

3.10 应急演练服务，服务频次不少于1次，需交付：《安全应急预案》、《应急演练报告》各1份，定期开展信息安全应急演练，进行体验式的安全意识教育。

(1)网络与系统安全应急预案：

根据医院实际需求，定制1个预案场景的《安全应急预案》。

(2)网络与系统安全应急演练

针对1个预案场景进行应急演练，并提交《安全应急演练报告》。

3.11 应急响应服务，服务频次为按需提供，按需提供相应的《应急响应报告》。为了保障医院的网络安全，预防和遏制业务系统突发安全事件的发生和应对安全检查，提供远程安全响应服务及现场应急响应服务支持。

3.12攻防演练值守保障服务，服务范围：医院内外网基础网络，以及HIS、LIS、PACS、EMR、互联网医院、集成平台、多媒体综合业务显示系统及其支撑的软硬件设施；服务人员及频次：现场提供安全服务工程师1人，提供10*8小时现场值守保障服务。

服务项目：

（1）监测保障服务：结合态势感知平台等安全监测相关工具，通过安全专家在医院现场，提供安全威胁分析服务，对网络中异常流量进行检测分析，及时发现可疑的执行文件和网络流量，针对潜在的未知攻击进行预警。

（2）溯源分析服务：现场保障值守人员对监测发现的网络风险、主机风险、网站风险进行统筹溯源分析（现场溯源以及结合远程溯源），其中对流量日志、主机日志、应用日志进行分析、审计、溯源等操作，找出事件根源所在。

（3）应急处置服务：现场保障值守人员进行协调、处置，根据现场值守人员反馈的攻击信息，对正在发生或者已经发生的安全事件加以处理，及时修复漏洞、复查漏洞、整改问题，控制安全事件的进一步扩大，确保系统的安全、可靠运行。

（4）对现有的安全设备包括安全感知与运营管理平台（黑盾V2.0/HD-NGSOC-1156-6）1台、网络入侵检测系统（黑盾V5.0/HD-NGIDS-APT-1156-6）1台，提供三年维保服务。对现有的核心防火墙病毒库、IPS库提供三年升级服务。

（5）对医院现有的护理、体检、病案三个系统进行备案。

二、等保测评服务

依照 GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》和《行业网络安全等级保护基本要求》对HIS、EMR、PACS、LIS、互联网医院、集成平台、多媒体视频系统、护士系统、体检系统、病案系统等十个系统进行等级保护测评，确定不同等级业务系统当前安全防护现状，以及与国家和行业等级保护要求间的差距；分析其所面临的威胁及其存在的脆弱性，提出有针对性的抵御威胁的防护策略和整改措施，为防范和化解信息安全风险，将风险控制在可接受的水平，最大限度地防止由于信息系统安全事件引发安全事故，全面提高信息系统安全防护水平提供科学依据。

等级测评将覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度等方面的内容，内容包括但不限于以下内容：

（1）总体要求测评：包括总体技术要求、总体管理要求；

（2）安全技术测评：安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；

（3）安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全控制测评；

（4）测评通过后最终出具：对应系统的《信息安全等级保护测评报告》

三、安全托管服务

（1）结合我院服务器终端杀毒以及互联网出口防火墙提供配套的7*24小时安全托管服务，重点监测≥30个院内IP资源，服务期限≥3年。

（2）每季度针对服务资产的系统漏洞和Web漏洞进行全量扫描，并分析发现的漏洞可造成的危害。

（3）支持的安全检测规则应超过1000个，覆盖脆弱性、病毒类、入侵等，服务平台应通过等保三级测评。

（4）实时抓取互联网最新漏洞，对最新漏洞进行通告与排查，提供7*24小时持续安全专家服务，对我院服务资产爆发勒索、挖矿、webshell、僵尸网络等安全事件，经分析确认后实时通过专属微信服务群向我院通告，并提供处置建议。

（5）联动我院互联网防火墙、服务器终端杀毒，经授权后进行自动化封锁攻击IP地址，隔离失陷服务器，指导我院进行安全加固。

（6）每季度对服务器终端杀毒以及互联网出口防火墙防护策略进行检查，确保安全策略始终处于最优水平。

（7）提供专属的服务监管Web界面，可随时查看服务范围内业务资产安全状态，能够在线展示所有脆弱性、威胁、事件工单的处置进程和结果。

（8）提供《首次安全威胁分析报告》、《漏洞举证报告》、《漏洞清单》、《威胁情报》、《安全运营周报》、《安全运营月报》、《年度总结汇报》等服务过程性材料。