广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目招标公告
广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目招标公告20250321.doc (96.51 KB)
采购单位:广州中医药大学第一附属医院
项目名称:采购医院信息系统等级保护测评及整改服务项目
一、最高招标限价:473000.00元(人民币)
二、项目需求书:
(一)项目服务清单
本项目包含的测评系统对象清单如下:
|
序号 |
系统名称 |
拟定级别 |
备注 |
|
1 |
互联网医院系统 |
三级 |
|
|
2 |
5G+数字慢病管理平台 |
三级 |
|
|
3 |
HRP系统 |
三级 |
|
|
4 |
电子病历系统 |
三级 |
|
|
5 |
检验系统 |
三级 |
|
|
6 |
OA系统 |
三级 |
|
|
7 |
智随访系统 |
三级 |
|
(二)项目服务内容
本项目包含的服务内容如下:
|
序号 |
服务项 |
服务内容 |
|
1 |
信息系统等保测评服务 |
1.差距测评服务: 根据《信息安全技术-信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019),按照国家等级保护相关建设规范和技术要求,结合信息系统的真实情况和具体需求,输出完善、全面、合规的差距问题清单。 2.综合测评服务: 对整改材料进行确认,达标后进行等级保护测评工作,出具并提交公安部要求格式的《网络安全等级保护测评报告》,协助完成到公安部门的备案工作。 |
|
2 |
信息系统等保整改服务 |
1.针对《差距问题清单》进行整改技术支撑,协助对网络设备、服务器、主机、安全设备的策略加固。 2.针对《差距问题清单》要求对我院的管理制度定期更新,对应急预案进行更新优化,提供满足法律法规及相关规范要求的管理制度。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 |
(三)项目内容要求
1、等级保护测评服务要求
服务商需委托具有资质的测评机构,根据《网络安全等级保护基本要求》等标准开展信息系统等级保护符合性测评,评估我院医院系统的安全保护管理措施和技术措施是否符合等级保护三级的相关要求,是否具备相应的安全保护能力。差距测评完成后,测评机构出具《差距问题清单》,罗列我院系统存在的不符合问题项。
我院根据《差距问题清单》完成相应整改后,测评机构针对医院系统进行验收测试,验收测评完成后,测评机构出具《网络安全等级保护测评报告》,评估确认医院系统是否满足等级保护三级相关要求。
2、管理制度修订要求
服务商需按照最新法律法规及《差距问题清单》要求对我院的管理制度更新及修订,对应急预案进行修订优化,提供满足法律法规及相关规范要求的管理制度,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等,所提供的网络安全管理制度需满足等级保护三级相关要求。
3、整改加固要求
服务商需提供技术支持协助我院开展整改加固工作,对《差距问题清单》中存在的不符合问题项逐一进行整改加固,使其满足等保三级相关要求,整改范围包括主机、数据库、应用系统、网络设备、安全设备等。整改完成后,服务商需提交相应的整改证明材料提交给测评机构做审核。
4、安全保密要求
服务商应当提供与我院的保密协议草拟本,并在中标后与我院签署保密协议,对于安全服务所获取的相关信息进行严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据、信息进行任何侵害我院信息系统的行为。
(四)项目服务要求
1、技术服务团队要求
1.服务商应为本项目提供专业服务团队,该团队包括项目经理和至少四名技术人员。团队所有人员均具有不少于三年网络或信息安全从事经验,同时,技术人员对市场上的安全设备型号具有一定的维护和实施经验,如:熟悉防火墙、态势感知、日志审计、堡垒机、IPS等安全设备的参数配置、性能优化调整等。
★2.现场测评开展时,服务商必须安排中级或以上的安全工程师(有CISP或CISSP证书)到现场协助我院完成测评工作,以及后续的整改实施,根据系统遗留隐患和不符合项的整改工作量,供应商安排的安全工程师驻场在医院的时间为到服务期结束。
★3.服务商须保证队伍稳定,并由我院项目负责人审核,审核通过后才能参与实施工作;经确认的技术团队,未经我院项目负责人同意,不得更换技术人员;服务商必须遵守我院内部各项规章制度和内部操作规程,履行保密义务,签署保密协议,未经批准不得以任何理由泄露任何保密信息和内部资料;技术团队应具备有利于开展实施工作的工具(包括软件和硬件)。
2、安全服务技术要求
服务商需提供详细的整体服务方案,包括技术方案和实施方案。技术方案包括整体流程、技术方法和服务方案设计等;实施方案包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等。
服务实施过程中所使用到的其他各种工具软件由服务商推荐,系统安全维护的定期扫描服务至少使用一款商用扫描系统。服务商须承诺所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由服务商负完全责任。
服务商应详细描述如何采用手工方法进行服务器本地检查、加固等。服务商应详细描述如何完成安全服务中的各项服务内容,并说明每项服务的流程和方法。
▲为了保障服务质量,服务商需提供相应的服务工具(出具原厂授权书),包括但不限于以下工具:
1)渗透测试工具
1.可实现自动化渗透测试,贯穿整个渗透过程的操作,包括信息收集、指纹管理、漏洞发现、漏洞利用、后渗透攻击等;
2.可以实现自定义的攻击需求;
3.可利用http协议、DNS协议等远程获取带外数据;
4.可通过内置的方法反弹交互shell到平台,执行交互执行操作等功能。
2)漏洞扫描工具(含配置核查工具模块)
1.支持通过多种维度对漏洞进行检索,包括:CVE ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息;
2.可扩展支持等级保护配置核查;
3.支持与堡垒机联动,可从堡垒机获取目标设备密码进行配置核查,全程自动化,防止密码外泄;
4.可导出EXCEL格式,方便筛选分析。
★服务商需承诺,在投标文件中承诺提供的工具系统必须在中国网络安全审查技术与认证中心通过认证的产品,并提供查询证明。我院有权在中标后、项目实施前,进行现场工具检测,与招标文件不符合虚假者,我院有权将按废标处理,并永久列入采购黑名单(承诺函格式自拟)。
▲服务商需提供信息系统等级测评项目的管理工具给我院使用,以便我院积累与利用服务成果。解决合规资产梳理、安全管理、安全检查等方面的管理问题,有效协助客户建立更规范化的网络安全合规管理体系,包括但不限于以下功能:
1)合规专项管理(提供截图证明并原厂盖章)
提供多类合规专项管理能力,可对医院开展的等保测评、风险评估等合规工作进行统一管理,以保证对合规工作的全盘掌控。
2)智能自检(提供截图证明并原厂盖章)
支持对相关系统进行等级保护常态化深度管理,快速自检的同时自动计算得分,并综合呈现技术类与管理类的系统总体缺失安全能力情况。
3)制度台账管理(提供截图证明并原厂盖章)
展示政策法规、管理规范、记录表单、操作规程和清单协议等五大类文件类型。列表内展示文档类型、文档名称、版本号、状态(待生效、有效、已废止)、制定依据、二级标签、所属单位和操作栏。
3、项目管理要求
服务商须根据实际维护服务项目的状况,定期组织汇报与技术交流、紧急情况工作会议,要求如下:
双方技术人员定期(1次/月)开会,就过去遇到问题情况作总结汇报和交流,确定下一步工作方案,以提高和改善服务质量,并根据需求对服务方案不断进行完善;发现潜在和细小问题,防患于未然;其它用户的经验介绍及分享。
对于任何紧急情况,如有必要,应协调相关部门负责人、技术人员,无论何时,根据需要召开紧急会议,重点处理紧急问题,以保证重大故障得到及时解决。
(五)服务期限:签订合同之日起6个月内完成,并提交所有文档(包括但不限于《等级保护测评报告》、《整改加固报告》,取得由公安机关出具的等级保护测评确认文档)。
(六)根据实际情况,在投标文件中提供项目的服务方案。
(七)验收要求:
1、按照国家相关标准及规范进行验收。相关服务无国家标准时按地方相关标准或行业规范进行验收。
2、在符合国家相关标准及规范的前提下,中标人完成项目服务内容后,由中标人提起验收申请,10个工作日内,经招标人同意并签字盖章确认后完成验收。
(八)付款方式:
1. 合同款项将在获得公安机关出具的等级保护测评确认报告文档后支付,付款金额根据实际提交的信息系统等级保护测评及整改服务报告数量确定。
(九)提供近三年(2022年至今)相关类似项目业绩,需提供证明文件(附合同复印件等)。
(十)开标会只允许各投标单位安排一名投标人员参加,且该人员必须与投标报名登记表登记的人员一致,若临时更换投标人员需提前与招标采购中心工作人员联系。
(十一)投标文件要求:6份(1正5副),开标前需密封,每份文件均需按序页码,双面打印。
(十二)项目需求书条款响应情况:投标人必须对项目需求书的内容逐条响应。“★”号的条款为关键条款,必须实质性响应,负偏离(不满足要求)将导致投标无效(若有);带“▲”号条款为重点条款,不作为无效投标条款(若有)。
|
序号 |
招标需求参数 |
投标实际参数(投标人应按投标设备实际数据填写,不能照抄招标要求) |
是否偏离(无偏离/正偏离/负偏离) |
偏离简述 |
|
1 |
|
|
|
|
|
2 |
|
|
|
|
|
… |
|
|
|
|
(十三)投标人应完整、真实、准确的填写招标文件中规定的所有内容,对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受招标采购单位及监督管理部门等对其中任何资料及招标采购单位或监督管理部门认为有必要的资料进行核实的要求。
三、投标人资格
1、投标人必须是在中华人民共和国注册的独立法人,具有有效的营业执照。
2、本项目不接受联合体投标,不得转包、分包、外包投标标的主体。
3、投标人应完整、真实、准确的填写招标文件中规定的所有内容,对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受招标采购单位及监督管理部门等对其中任何资料及招标采购单位或监督管理部门认为有必要的资料进行核实的要求。
4、其他特定资格要求(需提供有效期内的资质证书):
(1) CCRC颁发的信息安全风险评估服务资质认证证书;
(2) CCRC颁发的信息系统安全集成服务资质认证证书;
(3) CCRC颁发的信息安全应急处理服务资质认证证书;
(4) CCRC颁发的信息系统安全运维服务资质认证证书;
(5) 质量管理体系认证证书(ISO9001);
(6) 信息安全管理体系证书(ISO27001);
(7) 信息技术服务管理体系证书(ISO20000);
(8) 信息技术服务标准ITSS(三级)。
四、述标、答辩要求
1.述标部分:述标时间不超过3分钟。述标着重介绍对项目的理解,特别是关键技术层面,述标无需使用PPT。
2.答辩部分:述标之后,由评审小组提问,投标人如实作答。
五、报名时间及地点
1. 报名时间:2025年03月25日至2025年03月30日17:00 ;
2. 报名方式:本项目只接受电子报名,报名邮箱为:gztcm_wlk_cg@gzucm.edu.cn。请各投标人将报名需要提交资料加盖公章后扫描,将扫描件发至报名邮箱,邮件名称:项目名称+单位名称;
3. 报名需提交资料(需加盖公章)
(1)有效的营业执照复印件(如非“三证合一”证照,同时提供税务登记证及组织机构代码证副本复印件)。投标人在经营范围内投标,如营业执照未记载经营范围,同时提供在全国企业信用信息公示系统查询的单位“登记信息”的打印页面并盖章);
(2)企业法人代表证明书、具有法人签名或盖章的被委托人有效授权书(详见附件);
(3)投标报名登记表(详见附件)。
4. 报名所需的资料原件请于开标日当天交至网络数据信息科工作人员处。报名是否成功,以邮件回复为准。
5. 报名成功本项目的投标人,若决定不参与投标,请于2025年03月30日 下午17:00前电话或邮件通知招标人。
六、开标时间及地点
1. 开标时间:2025年03月31日 下午16:00
2. 开标地点:广州中医药大学第一附属医院1号楼门诊南楼7楼网络管理室会议室
3. 投标人员应为报名登记表上登记的负责投标的人员,该人员凭身份证进入开标地点。
七、本招标文件所涉及的时间一律为北京时间
八、联系人:李老师: 020-36591289(项目咨询)
九、咨询时间:上午 8:30-12:00,下午14:30-17:30
广州中医药大学第一附属医院
2025年03月21日
附件:
法定代表人授权书
致:广州中医药大学第一附属医院
本授权书声明:注册于 (国家或地区)的 (投标人名称)的在下面签字的 (法定代表人的姓名、职务)代表本公司授权在下面签字的 (被授权人的姓名、职务)为本公司的合法代表人,就“广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目”招标的 (可选“报名”),以我方的名义处理一切与之有关的事宜。
本授权书于 年 月 日签字生效,特此证明。
随附《法定代表人证明书》
附件:
1、代理人(被授权人)身份证或其他有效的身份证明
注:投标人必须在上述附件上加盖公章。
投标人(法人公章):
地 址:
法定代表人(签字或盖章):
职 务:
被授权人(签字或盖章):
被授权人身份证号码:
职 务:
日期:
(投标人可使用下述格式,也可使用广东省工商行政管理局统一印制的法定代表人证明书格式)
法定代表人证明书
现任我单位 职务,为法定代表人,特此证明。
有效期限:
附:代表人性别: 年龄: 身份证号码:_________
企业注册号码: 企业类型:_____________________________________
经营范围:
。
注:投标人必须在上述附件上加盖公章。
投 标 人(法人公章):
日 期:
|
投标报名登记表 |
||||
|
项目名称 |
|
报名日期 |
年 月 日 |
|
|
报名单位名称 |
|
|||
|
地址(营业执照) |
|
邮编 |
|
|
|
报名人 |
姓名 |
身份证号码 |
手机 |
传真 |
|
|
|
|
|
|
|
投标人(负责投标的人员) |
姓名 |
身份证号码 |
手机 |
电子邮箱 |
|
|
|
|
|
|
广州中医药大学第一附属医院
采购医院信息系统等级保护测评及整改服务项目合同模板
甲方: 广州中医药大学第一附属医院
乙方: XXXXXXXXXXXXXXX
广州中医药大学第一附属医院
采购医院信息系统等级保护测评及整改服务项目合同模板
甲方:广州中医药大学第一附属医院
乙方:XXXXXXXXXX
根据《中华人民共和国民法典》及国家有关法律、法规,广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目招标文件的要求,本着自愿、平等、诚信的原则,甲、乙双方经协商确定,甲方向乙方订购医院信息系统等级保护测评及整改服务,为明确双方责任和权利,特签订本合同,共同遵守。具体条款如下:
第1条 定义
下列词语应具有本条所赋予的含义:
1.1 “甲方”指广州中医药大学第一附属医院,包括其法定的承继者和经许可的受让人。
1.2 “乙方”指提供维保服务的法人或其他组织,包括其法定的承继者。
1.3 “合同”指甲方和乙方就维保服务所订立的合同,包括合同正文、合同附件以及上述文件明确构成合同的其他文件。
1.4 “合同价格”指根据本合同约定的条件,在乙方完全履行本合同义务后甲方应支付给乙方的费用。
1.5 “日(天)、月、年”指公历的日、月、年;“日(天)”是指24小时;“周”是指7天。
1.6 除本合同另有约定外,“以上”、“以下”、“以内”、“届满”,均包括本数;“不满”、“以外”,不包括本数;“×日前”“×日后”不包括当日。按照日、月、年计算期间的,开始的当天不算入,从下一天开始计算。期间的最后一天不是工作日的,该期间应于下一个工作日终止。
第2条 乙方服务项目
2.1 服务要求:见附件一《广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目服务要求清单》
2.2服务内容:
|
序号 |
服务项 |
服务内容 |
|
1 |
信息系统等保测评服务 |
1.差距测评服务: 根据《GBT22239-2019信息安全技术网络安全等级保护基本要求》,按照国家等级保护相关建设规范和技术要求,结合信息系统的真实情况和具体需求,输出完善、全面、合规的差距问题清单。 2.综合测评服务: 对整改材料进行确认,达标后进行等级保护测评工作,出具并提交公安部要求格式的《网络安全等级保护测评报告》,协助完成到公安部门的备案工作。 |
|
2 |
信息系统等保整改服务 |
1.针对《差距问题清单》进行整改技术支撑,协助对网络设备、服务器、主机、安全设备的策略加固。 2.针对《差距问题清单》要求对医院的管理制度定期更新,对应急预案进行更新优化,提供满足法律法规及相关规范要求的管理制度。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 |
第3条 合同价格和付款方式
3.1 合同价格:XXXXXXXXXXXXXXXXXXXXXX
3.2合同价款的支付
3.2.1甲方应以电汇/汇票/支票方式向乙方支付合同价款,乙方应提供等额发票。
3.2.2 付款方式按以下形式支付:
合同款项将在获得公安机关出具的等级保护测评确认报告文档后支付,付款金额根据实际提交的信息系统等级保护测评及整改服务报告数量确定。
3.2.3乙方收款信息:
公司名称:XXXXXXXX
纳税人识别号:
开户银行:
银行账号:
地址:
联系电话:
第4条 服务时间
签订合同之日起6个月内完成,并提交所有文档(包括但不限于《等级保护测评报告》、《整改加固报告》,取得由公安机关出具的等级保护测评确认文档)。
第5条 项目实施与项目验收
5.1 甲、乙双方按附件一《广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目服务要求清单》进行实施;
5.2 按照国家相关标准及规范进行验收。相关服务无国家标准时按地方相关标准或行业规范进行验收。
5.3 在符合国家相关标准及规范的前提下,乙方完成项目服务内容后,由乙方提起验收申请,10个工作日内,经甲方同意并签字盖章确认后完成验收。
5.4 甲、乙任何一方因故推迟验收时间,须提前通知另一方。
第6条 软件产权及相关责任
乙方保证在提供维保服务过程中不侵害第三方知识产权等合法权益,否则,由此引起的争议,后果概由乙方自行解决、承担,并赔偿因此给甲方带来的经济损失(包括但不限于直接经济损失,且以实际遭受损失为限)。
第7条 保密
7.1乙方应对在履行本合同过程中获悉的甲方的有关数据机密、文档资料、商业秘密及甲方要求保密的其他信息,如患者隐私(以下简称“保密信息”)严格保密,并采取相应的保密措施。乙方应承担的保密义务包括但不限于:
7.1.1 未经甲方书面同意,不得将上述保密信息披露给任何第三人;
7.1.2 不得将上述保密信息用于本合同以外的其他目的;
7.1.3 在本合同终止或解除后或甲方要求时,及时将上述保密信息返还甲方或按甲方要求作适当处理。
7.2上述保密义务的期限至保密信息正式向社会公开之日或甲方书面解除乙方本合同项下保密义务之日止。
第8条 合同考核
在合同期内,甲方按附件一《广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目服务要求清单》对乙方进行考核,如出现考核结果不符合相关条款的要求,甲方有权对合同余款进行每次扣除合同总款0.5%的金额作为违约金,直至扣减完余款。
第9条 违约责任
本合同签订即具有法律效力,双方必须严格遵守,如有一方违约,其必须承担违约责任并赔偿对方因此而遭受的损失。
9.1 如出现乙方无履行合同能力,甲方有权解除合同,并要求乙方承担有关责任。
9.2 如出现甲方未能按合同规定时间付款,乙方有权解除合同。
第10条 不可抗力
10.1 不可抗力是指不能预见、不能避免并不能克服的客观情况。
10.2 任何一方由于不可抗力而影响合同义务履行时,可根据不可抗力的影响程度和范围延迟或免除履行部分或全部合同义务。但是受不可抗力影响的一方应尽量减小不可抗力引起的延误或其他不利影响,并在不可抗力影响消除后,立即通知对方。任何一方不得因不可抗力造成的延迟而要求调整合同价格。
第11条 适用法律
本合同的订立、解释、履行及争议解决,均适用中华人民共和国法律。
第12条 争议解决
12.1 双方发生争议时,应本着诚实信用原则,通过友好协商解决。
12.2 若争议经协商仍无法解决的,按以下第1种方式处理:
(1)仲裁:提交广州仲裁委员会,按照申请仲裁时该仲裁机构有效的仲裁规则进行仲裁。仲裁裁决是终局的,对双方均有约束力。
(2)诉讼:向甲方所在地人民法院提起诉讼。
12.3 在争议解决期间,合同中未涉及争议部分的条款仍须履行。
第13条 合同生效
本合同自双方法定代表人(负责人)或其授权代表签署并加盖双方公章或合同专用章,合同自最后一方签字盖章之日起即时生效。
第14条 合同解除
如一方严重违反合同,另一方决定解除合同的,合同自另一方按合同约定的联系地址寄出解除通知之日起解除。
第15条 其他约定事项
本合同一式伍份,甲方持肆份、乙方持壹份,具有同等法律效力。
第16条 附件
有关补充文件作为合同附件,经双方确认后与本合同具有同等法律效力。 附件名称:
附件一:《广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目服务要求清单》
(以下无正文,为合同之签章页)
甲 方:广州中医药大学第一附属医院 乙 方:XXXXXXXXX
法定代表人或授权代表人: 法定代表人或授权代表人:
日 期: 日 期:
纳税人识别码:12440000455860170T 地 址:
地 址:广州市机场路16号 电 话:
附件一:《广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目服务要求清单》
(一)项目内容要求
1、系统定级备案服务要求
乙方协助甲方完成医院系统的定级备案工作,包括定级备案过程中的资产梳理、文档整理、材料编制及递交工作等事项,保证后续等级保护测评工作的顺利开展。
2、等级保护测评服务要求
乙方委托具有资质的测评机构,根据《网络安全等级保护基本要求》等标准开展信息系统等级保护符合性测评,衡量甲方医院系统的安全保护管理措施和技术措施是否符合等级保护三级的相关要求,是否具备相应的安全保护能力。差距测评完成后,测评机构出具《差距问题清单》,罗列医院系统存在的不符合问题项。
甲方根据《差距问题清单》完成相应整改后,测评机构针对医院系统进行验收测试,验收测评完成后,测评机构出具《网络安全等级保护测评报告》,评估确认医院系统是否满足等级保护三级相关要求。
3、管理制度修订要求
乙方按照最新法律法规及《差距问题清单》要求对我院的管理制度更新及修订,对应急预案进行修订优化,提供满足法律法规及相关规范要求的管理制度,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等,所提供的网络安全管理制度需满足等级保护三级相关要求。
4、整改加固要求
乙方提供技术支持协助甲方开展整改加固工作,对《差距问题清单》中存在的不符合问题项逐一进行整改加固,使其满足等保三级相关要求,整改范围包括主机、数据库、应用系统、网络设备、安全设备等。整改完成后,乙方提交相应的整改证明材料提交给测评机构做审核。
5、安全保密要求
乙方提供与甲方的保密协议草拟本,并在中标后与甲方签署保密协议,对于安全服务所获取的相关信息进行严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据、信息进行任何侵害甲方信息系统的行为。
(二)项目服务要求
1、技术服务团队要求
1.1乙方应为本项目提供专业服务团队,该团队包括项目经理和五名技术人员。团队所有人员均具有不少于三年网络或信息安全从事经验,同时,技术人员对市场上的安全设备型号具有一定的维护和实施经验,如:熟悉防火墙、态势感知、日志审计、堡垒机、IPS等安全设备的参数配置、性能优化调整等。
1.2现场测评开展时,乙方必须安排中级或以上的安全工程师(有CISP或CISSP证书)到现场协助甲方完成测评工作,以及后续的整改实施,根据系统遗留隐患和不符合项的整改工作量,乙方安排的安全工程师驻场在医院的时间为到服务期结束。
1.3乙方须保证队伍稳定,并由甲方项目负责人审核,审核通过后才能参与实施工作;经确认的技术团队,未经甲方项目负责人同意,不得更换技术人员;乙方必须遵守甲方内部各项规章制度和内部操作规程,履行保密义务,签署保密协议,未经批准不得以任何理由泄露任何保密信息和内部资料;技术团队应具备有利于开展实施工作的工具(包括软件和硬件)。
2、安全服务技术要求
服务实施过程中所使用到的其他各种工具软件由乙方推荐,系统安全维护的定期扫描服务至少使用一款商用扫描系统。乙方须承诺所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由乙方负完全责任。
乙方应详细描述如何采用手工方法进行服务器本地检查、加固等。乙方应详细描述如何完成安全服务中的各项服务内容,并说明每项服务的流程和方法。
为了保障服务质量,乙方需提供相应的服务工具(出具原厂授权书),包括但不限于以下工具:
2.1渗透测试工具
2.1.1、可实现自动化渗透测试,贯穿整个渗透过程的操作,包括信息收集、指纹管理、漏洞发现、漏洞利用、后渗透攻击等;
2.1.2、可以实现自定义的攻击需求;
2.1.3、可利用http协议、DNS协议等远程获取带外数据;
2.1.4、可通过内置的方法反弹交互shell到平台,执行交互执行操作等功能;
2.2)漏洞扫描工具(含配置核查工具模块)
2.2.1、支持通过多种维度对漏洞进行检索,包括:CVE ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息;
2.2.2、可扩展支持等级保护配置核查;
2.2.3、支持与堡垒机联动,可从堡垒机获取目标设备密码进行配置核查,全程自动化,防止密码外泄;
2.2.4、可导出EXCEL格式,方便筛选分析。
3、项目管理要求
乙方须根据实际维护服务项目的状况,定期组织汇报与技术交流、紧急情况工作会议,要求如下:
双方技术人员定期(1次/月)开会,就过去遇到问题情况作总结汇报和交流,确定下一步工作方案,以提高和改善服务质量,并根据需求对服务方案不断进行完善;发现潜在和细小问题,防患于未然;其它用户的经验介绍及分享。
对于任何紧急情况,如有必要,应协调相关部门负责人、技术人员,无论何时,根据需要召开紧急会议,重点处理紧急问题,以保证重大故障得到及时解