海曙区第三医院网络安全服务采购要求

1、海曙区第三医院网络安全服务采购要求一、服务对象及范围服务对象海曙区第三医院内应用程序、安全软硬件设施、服务器和操作系统等等。服务时间合同签订起一年。二、服务内容要求基线建设及维护针对用户现有IT资产，设置各类操作系统、网络设备、安全设备、中间件的安全配置要求，建立各类型IT资产的基线配置清单，并在服务期内，帮助用户完成安全基线规范提供维护管理，保证安全基线规范的先进性和可靠性。安全咨询服务安全咨询服务包括管理咨询服务、技术咨询服务和合规咨询服务。1）管理咨询服务：服务商需在用户现行安全管理制度基础上，依据国家相关标准，协助用户进行安全管理制度的梳理和建设，建立健全网络层、系统层、应用层、以及数

2、据层的安全管理制度及规范，并且建立起覆盖信息系统开发和运维生命周期的管理规范。同时也包括应急管理体系的建设和服务期间合规性的维护。2）技术咨询服务：针对用户在服务周期内产生的与信息安全技术有关的咨询需求，服务商需提供专业的咨询意见。安全技术咨询的范围包括计算机网络、网络安全设备、服务器主机系统、数据库与中间件、应用系统等。3）合规咨询服务：根据网信办、公安及上级主管单位检查要求，配合完成材料准备、自查等迎检工作。主机安全运维1）主机漏洞扫描：服务商需每季度一次对服务器进行漏洞扫描，掌握服务器的安全状况，要求服务商提供主机漏洞扫描报告，提出有效的修复、加固建议，并协助管理员进行优化加固。2）安全

3、配置优化：服务商需根据建立的规范标准，全面核查服务器安全配置项，并通过配置优化、策略加固等方式，让服务器达到既定的安全要求。在满足信息系统安全需求的同时，符合等级保护等国家相关规范标准对信息系统的安全要求。3）主机安全加固：服务商需建立严格的安全加固规范，制定严谨的加固实施流程，详细记录判断依据、实施步骤、测试与回退等内容，确保加固过程安全、有效、可控，将加固存在的风险控制到最低。无线网络安全运维1）无线网络安全检测：服务商需每半年一次对用户中无线相关资产进行安全检测，使用人工和工具相结合的方式，采用配置核查、信道检测、漏洞扫描和人工测试等方式，检测可能存在于无线网络中的以下安全隐患。2）无线

4、网络安全加固：无线网络安全加固服务是根据安全检测发现的隐患进行加固、优化以解决或降低风险的服务。服务次数与无线网络安全检测保持一致，通常在无线网络安全检测报告提交后进行。安全软硬件运维1）巡检服务：每月对网络安全软硬件设备的健康状况进行检查，保证网络安全设备正常提供服务。3）配置加固：每季度一次对网络安全软硬件设备的配置进行核查并对不符合项进行加固。4）策略管理：根据信息系统的威胁状况，同时考虑系统的安全需求，动态调整设备的防护策略。响应支持服务1）应急响应服务：服务商针对网络和信息系统突发的重大故障和安全事件提供7*24小时的服务，30分钟赶到现场进行故障排查定位，全力恢复网络和系统正常工作

5、，同时查明故障或入侵来源、时间，并提供应急处置报告。2）应急演练服务：服务商每年一次协助用户针对应急预案组织开展应急演练，优化应急预案与处置程序，提升应急处置能力。3）节假日保障：重大节假日、国家及地方重大会议或活动前，对系统进行重点专项检查；期间，加大对系统的监测力度，同时应急响应团队值班待命。服务能力要求服务方必须提供项目组人员名单（5人或以上），其中项目经理1名，负责整体项目沟通与协调、进度把控；咨询工程师1名，负责管理制度编写及规划咨询；运维工程师2名，负责安全检测、加固等日常工作实施。实施项目组所有成员应持有CISP（国家注册信息安全专业人员）认证证书。服务方具有较强的本地化服务能力

6、，要求在宁波有常驻服务和技术支持机构（以工商营业执照为准），配有较强的技术队伍，能提供快速的售后服务响应，能够独立承担本项目实施，并有良好的工作业绩和履约记录。服务方应具有服务所需的必要工具，包括运维服务台、主机漏洞扫描、应用漏洞扫描。（提供各种工具截图证明）服务方需具有类似网络安全服项目经验，要求提供近两年宁波大市范围内五个以上安全服务案例（非第三方外包、集成类），单个金额不低于10万。（提供合同复印件）四、技术方案要求投标人需进行现场踏勘，踏勘结果需要得到业主方签章确认，没有进行现场踏勘的供应商无中标资格。踏勘截止时间2019年7月18日16：30分，过时不候。踏勘地点：海曙区第三医院。联

7、系人：陈华、联系方式：55011399要求提供详细的安全运维服务技术方案，方案中应包含对服务对象的详细调研报告，包括网站及应用程序清单、主机操作系统情况、网络及安全设备情况。要求服务人员提供基于IT运维规范的信息化工作管理流程，包括服务台管理、事件管理、变更管理、资产配置管理、问题管理等。要求服务人员在配合进行安全加固整改时，需要提供专业的安全加固文档，同时需要指出可能会产生影响的加固项，提供备份恢复方案，并在非业务期间进行该项工作，一旦发现问题，要求能够进行有效回退，最终保障加固工作有效完成。报告管理：规范提供管理报告、事件处置报告及其他相关服务报告，方案中须明确各阶段交付的报告清单。五、服务响应要求常规服务请求：需提供5*8小时服务，15分钟内进行远程响应，如远程无法处理需赶到现场提供服务；一般事件：需提供5*8小时服务，15分钟内进行远程响应，如远程无法处理需1小时赶到现场处置，4小时内完成事件处置；紧急事件：需提供7*24小时服务，5分钟内进行远程响应，如远程无法处理需30分钟内赶到现场处置，2小时内完成事件处置；现场处置完成后，及时反馈问题信息和处理过程，24小时内提供故障分析处理报告。六、其它要求本项目履约保证金为中标金额的10%，履约保证金需在中标人与买方签订经济合同前递交。履约保证金在