婦幼信息化運(yùn)維及互聯(lián)網(wǎng)接入-信息系統(tǒng)安全服務(wù)項(xiàng)目市場(chǎng)調(diào)研公告 時(shí)間：***????來(lái)源：北京婦幼保健院 保健院辦公室

各（潛在）供應(yīng)商：

我院擬進(jìn)行婦幼信息化運(yùn)維及互聯(lián)網(wǎng)接入-信息系統(tǒng)安全服務(wù)項(xiàng)目采購(gòu)工作，現(xiàn)對(duì)該項(xiàng)目進(jìn)行公開市場(chǎng)調(diào)研，歡迎符合資格條件的供應(yīng)商自公布之日，在規(guī)定時(shí)間內(nèi)按要求提交材料，相關(guān)要求如下：

一、資格條件

(1）在中華人民共和國(guó)境內(nèi)注冊(cè)，具有獨(dú)立承擔(dān)民事責(zé)任的能力和經(jīng)營(yíng)許可，向比選方提供貨物和服務(wù)的法人、其他組織或自然人。

(2）具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度。

(3）具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力。

(4）有依法繳納稅收和社會(huì)保障資金的良好記錄。

(5）近三年內(nèi)，在經(jīng)營(yíng)活動(dòng)中沒有重大違法記錄。

(6）近三年內(nèi)（本項(xiàng)目報(bào)價(jià)截止期前）被“信用中國(guó)”網(wǎng)站列入失信被執(zhí)行人和重大稅收違法案件當(dāng)事人名單的、被“中國(guó)政府采購(gòu)網(wǎng)”網(wǎng)站列入政府采購(gòu)嚴(yán)重違法失信行為記錄名單（處罰期限尚未屆滿的），不得參與本項(xiàng)目的采購(gòu)工作。

(7）符合法律、法規(guī)規(guī)定的其它要求。

二、需提交的材料（應(yīng)包含封面及目錄封面主要信息：服務(wù)名稱、公司、聯(lián)系人、聯(lián)系電話等，目錄按下列順序編排）：

（一）公司簡(jiǎn)介（包括但不限于公司情況，規(guī)模等）

（二）供應(yīng)商的《企業(yè)營(yíng)業(yè)執(zhí)照》復(fù)印件。

（三）企業(yè)法定代表人證明書及法定代表人身份證復(fù)印件或授權(quán)的委托證明書及被授權(quán)人身份證復(fù)印件。

（四）供應(yīng)商資格要求的承諾函及“信用中國(guó)”“中國(guó)執(zhí)行信息公開網(wǎng)”“中國(guó)政府采購(gòu)網(wǎng)”相關(guān)截圖。

（五）根據(jù)項(xiàng)目需求提供服務(wù)建設(shè)方案及服務(wù)報(bào)價(jià)單，可留聯(lián)系方式。

（六）提供發(fā)公告之前三年內(nèi)，不少于三個(gè)同類項(xiàng)目業(yè)績(jī)情況表，內(nèi)容包含：同類服務(wù)中選價(jià)及采購(gòu)合同。

上述材料加蓋公章，電子版壓縮成ZIP文件，文件命名為: 服務(wù)類采購(gòu)項(xiàng)目調(diào)研***+項(xiàng)目名稱+公司名稱。

三、調(diào)研需求

（一）項(xiàng)目?jī)?nèi)容：

一）滲透測(cè)試

服務(wù)內(nèi)容：

在采購(gòu)方的授權(quán)和監(jiān)督下，利用已掌握的漏洞信息，針對(duì)業(yè)務(wù)系統(tǒng)開展非破壞性的模擬黑客攻擊測(cè)試，發(fā)現(xiàn)漏洞不進(jìn)行破壞，并協(xié)助采購(gòu)方進(jìn)行修復(fù)，修復(fù)后進(jìn)行復(fù)測(cè)，以確認(rèn)漏洞是否被完全修復(fù)。

服務(wù)頻次：3個(gè)系統(tǒng)每個(gè)系統(tǒng)滲透測(cè)試服務(wù)2次。

服務(wù)交付物：《系統(tǒng)滲透檢測(cè)報(bào)告》《系統(tǒng)滲透復(fù)測(cè)報(bào)告》。

二）安全配置基線核查

服務(wù)內(nèi)容：

利用配置核查工具與專家人工核查結(jié)合的方法對(duì)各對(duì)象逐個(gè)進(jìn)行檢查分析，服務(wù)對(duì)象包括但不限于主機(jī)、操作系統(tǒng)、數(shù)據(jù)庫(kù)、中間件、信息系統(tǒng)等系統(tǒng)的賬號(hào)、口令、授權(quán)、日志安全要求、不必要的服務(wù)、啟動(dòng)項(xiàng)、注冊(cè)表、會(huì)話設(shè)置等安全配置脆弱性進(jìn)行全面核查；可對(duì)網(wǎng)絡(luò)、安全設(shè)備的訪問(wèn)控制安全策略進(jìn)行分析和核查。

服務(wù)頻次：1次。

服務(wù)交付物：《系統(tǒng)基線配置核查報(bào)告》。

三）Web安全事件監(jiān)控

服務(wù)內(nèi)容：

對(duì)Web應(yīng)用系統(tǒng)開展安全監(jiān)測(cè)，及時(shí)發(fā)現(xiàn)異常訪問(wèn)行為及潛在攻擊行為，并對(duì)監(jiān)測(cè)到的安全事件進(jìn)行分析研判，協(xié)助采購(gòu)方開展安全處置工作。針對(duì)發(fā)現(xiàn)的安全問(wèn)題提出處置建議，并協(xié)助相關(guān)人員進(jìn)行安全處置。

服務(wù)頻次：1年。

服務(wù)交付物：《Web安全事件處置報(bào)告》。

四）應(yīng)急響應(yīng)處置

服務(wù)內(nèi)容：

當(dāng)任一信息系統(tǒng)（包括：應(yīng)用系統(tǒng)、網(wǎng)絡(luò)設(shè)備、服務(wù)器、終端等）發(fā)生確切的安全事件時(shí)，組織網(wǎng)絡(luò)安全應(yīng)急響應(yīng)人員及時(shí)采取處置措施，限制事件擴(kuò)散和影響的范圍，阻止對(duì)信息系統(tǒng)的持續(xù)破壞，控制潛在風(fēng)險(xiǎn)損失，對(duì)安全事件追蹤溯源。

服務(wù)頻次：5人天。

服務(wù)交付物：《應(yīng)急處置記錄與響應(yīng)報(bào)告》。

五）重大時(shí)期安全保障

服務(wù)內(nèi)容：

在重要時(shí)期（包括但不限于重要節(jié)假日、重要活動(dòng)、重要會(huì)議等），提供7****小時(shí)安全值守保障服務(wù)，主要工作內(nèi)容：檢查日志服務(wù)器或日志綜合管理系統(tǒng)等設(shè)備的相關(guān)運(yùn)行日志、威脅日志等信息，并分析其存在的風(fēng)險(xiǎn)，出具報(bào)告。若安全事件發(fā)生時(shí)，確保能夠第一時(shí)間快速處置。

服務(wù)頻次：5人天/年。

服務(wù)交付物：《重要時(shí)期安全保障總結(jié)報(bào)告》。

六）安全加固服務(wù)

服務(wù)內(nèi)容：

對(duì)發(fā)現(xiàn)的安全問(wèn)題，依據(jù)國(guó)家網(wǎng)絡(luò)安全相關(guān)標(biāo)準(zhǔn)及等保要求，提供安全加固、漏洞修復(fù)、策略優(yōu)化、風(fēng)險(xiǎn)修復(fù)等風(fēng)險(xiǎn)閉環(huán)整改服務(wù)，形成完整的安全加固方案、實(shí)施記錄與驗(yàn)收?qǐng)?bào)告，確保系統(tǒng)安全合規(guī)、風(fēng)險(xiǎn)可控。

服務(wù)頻次：1次。

服務(wù)交付物：《安全加固清單記錄表》、《安全加固方案》。

七）應(yīng)急演練

服務(wù)內(nèi)容：

結(jié)合網(wǎng)絡(luò)安全防護(hù)重點(diǎn)及日常發(fā)現(xiàn)的風(fēng)險(xiǎn)點(diǎn)，協(xié)助開展應(yīng)急演練工作，根據(jù)客戶提出的固定主題，制定應(yīng)急演練方案、應(yīng)急演練計(jì)劃和腳本，搭建特定的應(yīng)急演練環(huán)境，開展應(yīng)急演練，模擬發(fā)生確切安全事件情形，檢驗(yàn)安全保障體系是否具備安全事件的監(jiān)測(cè)能力、應(yīng)急演練預(yù)案是否適用、安全運(yùn)維人員是否有基本的安全事件處置能力等，并完成演練和總結(jié)。

服務(wù)頻次：1次。

服務(wù)交付物：《應(yīng)急演練方案》、《應(yīng)急演練總結(jié)報(bào)告》。

八）安全巡檢

服務(wù)內(nèi)容：

針對(duì)網(wǎng)絡(luò)環(huán)境下的安全設(shè)備，安排技術(shù)人員定期對(duì)安全設(shè)備及關(guān)鍵資產(chǎn)進(jìn)行檢查工作，掌握重點(diǎn)資產(chǎn)、設(shè)備狀態(tài)及運(yùn)行情況。包括但不限于對(duì)網(wǎng)絡(luò)安全設(shè)備及各業(yè)務(wù)系統(tǒng)運(yùn)行狀況開展日常巡檢，漏洞管理、安全監(jiān)測(cè)、及時(shí)響應(yīng)信息系統(tǒng)故障并協(xié)助處置，排除網(wǎng)絡(luò)信息系統(tǒng)安全隱患。

服務(wù)頻次：***次/年。

服務(wù)交付物：《安全巡檢報(bào)告》。

九）駐場(chǎng)及培訓(xùn)服務(wù)

1、駐場(chǎng)服務(wù)

每周至少安排兩天現(xiàn)場(chǎng)值守運(yùn)維。包含但不限于現(xiàn)場(chǎng)協(xié)助采購(gòu)方開展漏洞管理、安全監(jiān)測(cè)、安全檢查、安全運(yùn)維等相關(guān)工作。做到運(yùn)維事件第一時(shí)間發(fā)現(xiàn)、響應(yīng)和處理。

2、培訓(xùn)服務(wù)

通過(guò)開展全面實(shí)用的安全意識(shí)培訓(xùn)，向相關(guān)崗位人員宣貫信息安全知識(shí)與防護(hù)技能。培訓(xùn)內(nèi)容將緊密結(jié)合行業(yè)合規(guī)要求與采購(gòu)方實(shí)際業(yè)務(wù)場(chǎng)景，重點(diǎn)提升相關(guān)人員在日常工作中識(shí)別網(wǎng)絡(luò)安全威脅、保護(hù)敏感數(shù)據(jù)信息以及應(yīng)對(duì)信息安全事件的能力，強(qiáng)化全員安全意識(shí)。

服務(wù)頻次：***人天。

服務(wù)交付物：《安全工作月報(bào)》、《安全意識(shí)培訓(xùn)課件》、《培訓(xùn)簽到表》。

（二）項(xiàng)目服務(wù)期限：簽訂合同日起***個(gè)月。

四、提交材料時(shí)間及咨詢方式

（一）提交材料時(shí)間：***年4月3日至***年4月***日。

（二）提交材料方式：發(fā)送郵件至： *** ，郵件名稱格式：服務(wù)類采購(gòu)項(xiàng)目調(diào)研***+項(xiàng)目名稱+公司名稱。不接受其他遞交方式。

（三）咨詢方式

1.聯(lián)系電話：***

2.聯(lián)系人：賈老師 安老師

五、特別說(shuō)明：

本工作僅為對(duì)擬采購(gòu)項(xiàng)目進(jìn)行市場(chǎng)調(diào)研，我院不對(duì)參與報(bào)送的服務(wù)及方案作任何承諾。

北京婦幼保健院

保健院辦公室

***年4月2日