中山大学附属第一(南沙)医院信息技术服务(广州集采)定点议价采购公告
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
广东政府采购智慧云平台电子卖场
定点议价采购公告
中山大学附属第一(南沙)医院采用定点采购议价方式实施本次采购。
一、项目信息
(一)项目名称:中山大学附属第一(南沙)医院信息技术服务(广州集采)定点采购
(二)项目编号:DDYJ-2024-1170586
(三)预算金额:978,300.00
(四)采购需求:
| 编号 | 服务描述 | 需求描述 | 数量 | 控制单价(元) | 计 量 单 位 |
| 1 | 服务内容:我院高度重视网络安全工作,目前部署 安全态势感知、高性能防火墙、流量监测、日志审 计、waf等数十台安全设备,信息化项目部署在租 赁的行业云平台,由于网络安全工作涉及面较广,工作较为繁杂,亟需一个专业的服务团队投入大量 的时间与人力资源维护信息系统的网络安全,才能 有效护航智慧医院的建设和运营。南沙医院作为新 建设的高水平医院,信息化能力和网络安全能力已 成为医院的核心竞争力之一,这对南沙医院信息化 系统的安全稳定运行提出了更高的要求。采购第三 方专业网络安全运维服务是整体网络安全保障的重 要内容,是确保各项网络安全工作有效落地的主要 途径。 需求详细说明: | 我院高度重视网络 安全工作,目前部 署安全态势感知、高性能防火墙、流 量监测、日志审 计、waf等数十台安 全设备,信息化项 目部署在租赁的行 业云平台,由于网 络安全工作涉及面 较广,工作较为繁 杂,亟需一个专业 的服务团队投入大 量的时间与人力资 源维护信息系统的 网络安全,才能有 效护航智慧医院的 建设和运营。南沙 医院作为新建设的 高水平医院,信息 化能力和网络安全 能力已成为医院的 核心竞争力之一,这对南沙医院信息 化系统的安全稳定 运行提出了更高的 要求。采购第三方 专业网络安全运维 服务是整体网络安 全保障的重要内 容,是确保各项网 络安全工作有效落 地的主要途径。 | 1 | 978,300 项 | 项 |
商务需求
| 编号 | 需求内容 |
| 1 | 依据医院当前的需求(包括相关法律法规、行业规范以及国际标准等),分析医院现有安全策略中不完 善、不符合以及不恰当的地方,同时评估当前策略的实施情况。协助医院完成安全管理体系的有效性评 估、风险评估,根据有效性评估的结果对安全管理策略文件进行优化升级、协助医院解决安全管理体系运 行过程中存在的各种问题。 |
| 2 | 开展数据安全专项检查,从数据安全管理措施、数据安全技术措施、数据处理活动安全、个人信息保护措 施等方面开展检查,出具差距分析报告及优化建议。 |
| 3 | 按医院需求配合开展其它专项检查。 |
-第1页-
| 4 | 信息安全事件响应、安全现状分析和报告编制以及安全相关建议; |
| 5 | 针对日常工作中遇到网络安全方面的问题提供解答并协助解决; |
| 6 | 针对网络安全运行中遇到的问题,对各类安全事件闭环管理的情况和效果进行跟踪,同时对风险项提供协 同工作推进服务,实现安全运行流程闭环管理; |
| 7 | 对现有服务器主机台账信息、安全设备台账信息进行汇总和整理。 |
| 8 | 摸排业务访问关系,梳理安全隐患,收敛资产暴露面,进行资产分类和量化管理。 |
| 9 | 优化医院全网信息资产安全基线制度、医院安全基线标准、安全基线配置及检查手册。 |
| 10 | 对现网部署的安全设备进行运行状态检测和运行故障处置,每天开展5*8现场,7*24远程的安全监测服 务,对安全设备进行巡检,安全设备故障上报、诊断与处置,并对发现的重大网络安全事件上报。(1)按需开通及调优安全策略,协助医院调测相关安全设备,并提出安全建议(主要为互联网侧);(2)根 据安全配置核查或安全漏洞扫描的结果,对安全设备开展安全整改加固,协助完成网络设备安全加固;(3)安全设备故障处理与应急事件配合处理; |
| 11 | 针对现网提出安全运营建议,提供日常安全监控标准、告警监测处置标准、网络安全架构优化、安全策略 调优、安全事件分析到处置闭环等优化建议。 |
| 12 | 基于安全监测、漏洞扫描、渗透测试、安全通报、第三方测评、迎检等发现的漏洞来源,针对现网环境进 行复测确认威胁,下发网络安全整改通知书,提出安全加固建议,并监督闭环。 |
| 13 | 通过模拟黑客行为进行渗透测试,发现应用系统存在的深度安全漏洞,验证安全防护体系的有效性。 |
| 14 | 对新信息系统上线和发生变更的信息系统进行安全测评,提出每个组件的安全要求,为系统是否能够上线 运行提供安全检测依据,并监督供应商整改闭环,内容包括但不仅限于基线检查、渗透测试、漏洞扫描。 |
| 15 | 收集整理网络安全相关信息,提供漏洞威胁分析研判、信息录入与维护等日常维护与支持服务。针对所有 网络安全事件、网络安全威胁、网络安全漏洞及其他可能影响医院网络安全的情况等,设计安全风险预警 通报流程,并协助医院对安全事件进行监督闭环。 |
| 16 | 调研医院组织管理架构和网络基础环境,梳理客户应急组织架构、事件场景,明确应急处置程序流程,形 成包含应急管控、应急处置和应急操作三个层面内容的应急预案文档; |
| 17 | 组织策划和开展应急演练,包括制定演练计划、编制演练工作方案、设计演练脚本、配合准备演练环境、动员与培训、演练过程记录和总结等工作; |
| 18 | (1)在医院遇到突发安全事件后,主导应急工作,组织协调各方采取专业的安全措施和行动,并对已经发 生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作;(2)进行事件处置分析,协 同加固,并出具相应报告; |
| 19 | (1)对整体信息系统进行风险评估。(2)重保期间根据采购人要求安排安全人员值守以及值守期间应急 事件处理。(3)重保后进行总结,安全态势分析。 |
| 20 | 配合组织网络安全主管单位(如:卫健委、公安、互联互通、电子病历、三甲复审等)开展的网络安全检 查迎检工作,事前开展迎检自查、问题整改跟进,事中组织检查,事后组织迎检总结。 |
| 21 | 参与各方监管部门组织的护网行动,对全网进行安全风险排查和整改,组织安全攻防演练。护网行动期间 进行7*24 小时安全值守和安全事件处置。 |
| 22 | (1)安全意识培训:对全体员工进行信息安全意识类的培训,包括政策法律法规解读、日常安全防范等,使员工在日常工作中提升信息安全意识。(2)运维安全意识培训:对日常运维技术人员进行技术方面的 日常安全运维方面培训,包括运维安全基础知识、如何提高运维安全水平、服务器常见安全风险、安全与 合规等方面,以提升安全操作意识及安全工作规范。 |
| 23 | 重点讲授路由交换管理、渗透测试、漏洞扫描、安全加固、web安全技术、移动应用安全技术等技术与管 理的知识,通过案例分享,解决IT人员在日常工作过程中遇到的信息安全方面各种困惑与难点,帮助IT人 员在信息化建设过程中提高网络安全水平及防护能力。 |
| 24 | 中标方应承诺在服务期满后,在需要进行服务团队切换时,给予采购人和相关方必要的技术支持和培训。 |
| 25 | 服务供应商应具备中国网络安全审查技术与认证中心(CCRC)颁发的信息系统安全运维服务、信息安全 风险评估服务、信息安全应急处理服务、信息系统安全集成服务等资质; |
| 26 | 项目经理:不少于1名,应具备资质:本科,计算机相关专业,具备5年以上安全行业经验,3年以上安全 服务项目管理经验,并具有网络安全相关证书(如CISP、网络规划设计师)或项目管理师资质(如高级信 息系统项目管理师、信息系统集成项目管理工程师等); |
| 27 | 驻场服务工程师:不少于3名,具备两年或以上安全服务经验,并具有网络、网络安全、风险评估、应急服 务等相关体现能力水平的证书; |
| 28 | 咨询服务工程师:不少于2名,具备三年或以上咨询服务经验,并具有CISSP证书或CISP证书。 |
| 29 | 渗透工程师:渗透工程师2名,具备三年或以上渗透测试经验,并具有CISP-PTE证书。 |
| 30 | 在合同期间,应保证项目团队成员相对固定,中选人未经允许不可随意更换团队项目负责人、工程师,禁 止任何变相更换团队人员的行为(除离职、病假、产假等法定情形外),否则,采购人有权终止项目并收取 合同金额10%的违约金。 |
| 31 | 中标人制定相关服务要求,驻场运维服务人员任务分工明确合理,应努力做到精通业务、吃苦耐劳、文明 礼貌,遵守南沙医院信息管理部门制定的值班规定和文明准则。 |
-第2页-
| 32 | 1.驻场人员工作时间需参考采购人的工作时间。 2.驻场人员的管理参考南沙医院信息管理部门的考勤制 度,驻场人员在工作期间,不得迟到、早退和旷工。 3.驻场人员工作期间每月不多于2天(含)的请假,在不影响工作进度安排的情况下,必须提前24 小时请假并完成工作交接,工作交接按南沙医院信息管理部 门工作交接流程执行。 |
| 33 | 4.驻场人员在工作期间的每次休假(多于2 天的),在不影响工作进度安排的情况下,须提前至少1周向医 院信息管理部门提出申请并完成工作交接,工作交接按南沙医院信息管理部门工作交接流程执行。确认工 作交接后,经南沙医院信息管理部门审批后方可连续请假,否则按违约处理。 5.中标人须根据南沙医院信 息管理部门的要求对驻场人员的工作时长进行必要的调整,并参考南沙医院信息管理部门的考勤管理规定 给予调休,调休需办理工作交接手续,及向南沙医院信息管理部门办理调休申请审批手续。 |
| 34 | 6.对驻场人员的管理和考核均参照南沙医院信息管理部门员工的管理和考核办法执行。 7.在合同期间,中 标人应保证服务人员的稳定,除离职外,不能进行人员调整,如果有因离职引起的调整,需提前书面告知 采购人,并安排一个月的交接期,如采购人对服务人员不满意,中标人必须更换,并在通过采购人审核后方 能安排新人入场,新人未入场时,原服务人员未经采购人允许不得变更。 8.所有驻场公司、驻场人员要 跟医院签保密协议。 |
| 35 | 9.中标人按驻场服务工作对驻场人员进行考核,采购人按季度进行评价;内容包含工作计划执行情况(现 场响应、电话支持)、服务响应时间、服务效率(故障排查效率)、服务质量、服务满意等,评价结果不 合格时,采购人有权进行单方解除本协议,每季度的考核处理应由采购人决定,中标人可依法在采购人作 出决定之日起2日内提出书面异议,否则视为中标人认可采购人的决定。 |
| 36 | 1.驻场工程师响应时间:10分钟内响应工单,完结工单时间根据具体采购人合理要求确定,对未能按照要 求处理的工单,如有特殊原因需及时汇报医院信息管理部门负责人。 2.如需协调远程工程师需向医院信息 管理部门报备后申请远程工程师协助。 3.驻场人员发现意外情况应及时准确地向医院信息管理部门负责人 报告。 |
| 37 | 1.服务提供商必须按照南沙医院的要求管理好项目经理及其成员,不得随意更换项目经理及其成员,不得 随意更换项目需求,如需更换项目成员至少提前一个月通知采购人,采购人同意后方可更换。 2.服务提供 商需要保证对维护服务所涉及技术人员的技术支持和维护技能满足本项目的要求,提供的相关认证必须是 真实有效的。 3.人员的安全保密要求。项目所有成员,含项目经理、驻场人员、二线支持人员等。所提供 人员在南沙医院工作期间掌握的、或因工作上的原因所接触到的一切技术工作信息均属于保密范围。 |
| 38 | 服务所需的工具由中标人自行提供,并在服务现场部署一套安全运营服务管理平台,为安全服务体系化提 供平台支撑。平台功能至少应包括: 1.后台管理平台:主要面向各级网络安全主管领导、信息管理部门各 相关网络安全责任岗位人员、外部服务团队(如安服团队、运维团队等)等,提供相应网络安全治理支撑 功能; 2.个人工作台:主要面向医院医技人员、后勤部门等用户,提供个人网络安全工作平台,主要包 括:了解法规、安全制度、相关技能;了解个人合规及绩效现状;维护个人相关责任资产;查询个人安全 告警及处置告警查看个人在网行为等; |
| 39 | 3.领导工作台:主要面向各相关业务处室领导(或安全联络员),了解本部门合规状况、风险、资产、网 络安全告警等信息,协助推动部门人员处置网络安全告警等; 4.安全分析工作台:对接医院网络安全相关 工具,结合网络安全治理需要,配置网络安全分析策略,对采集的数据进行告警分析,并将分析结果推送 给三个平台进行告警闭环处置; |
| 40 | 5.安全解析工作台:主要对接安全服务过程中工具(如漏扫、配置核查等)、人工服务(渗透、巡检、加 固等)产生的非结构化数据,并将结果推送给三个平台及安全分析引擎进行处理。 6.系统接口:投标人应 为平台提供接口定制,实现与中山大学附属第一医院本部的安全管控平台的对接。 |
| 41 | (一)影响到业务正常开展的故障, 30分钟内到达现场, 60分钟内报告采购人主管负责人,24小时内安 排资源解决。如不能解决,需要二线技术人员提供现场技术支持服务,最迟在 48 小时内解决问题。在故 障解决过程中,保持每 8 小时内1次与客户进行情况汇报。(二)不影响业务正常开展的故障,120分钟 内到达现场,4 小时内报告采购人主管负责人, 5 个工作日内解决。 |
| 42 | 中标人应严格遵守信息安全方面的规定,自觉保守信息资源秘密。项目成果以及采购人为方便项目实施所 提供给中标人的相关资料文档,实施过程中所产生的资料、文档、数据、相关附属品均属于信息资源,中 标人应保证这些信息在项目期间及项目完成后规定时间内的安全。中标人应建立并实际运行项目进展期间 的信息安全管理规范,以确保项目启动、实施及完成后的信息安全。 |
| 43 | 非经采购人书面许可,中标人不得以任何形式泄漏以上材料。因中标人原因导致上述资料、文档、数据安 全受到威胁的,采购人有权要求中标人采取措施消除影响,并赔偿相应损失。如中标后无法履行承诺函、响应文件要求,经采购人沟通后无法解决的,采购人有权终止项目并收取合同金额10%的违约金,并要求 中标单位赔偿医院有关损失。 |
| 44 | 本项目运维工作结束后,应按照项目要求提供验收材料如下,视项目实际运维情况,可按采购人要求合理 调整。 |
| 45 | (1)依据医院当前的需求(包括相关法律法规、行业规范以及国际标准等),分析医院现有安全策略中不 完善、不符合以及不恰当的地方,同时评估当前策略的实施情况。协助医院完成安全管理体系的有效性评 估、风险评估,根据有效性评估的结果对安全管理策略文件进行优化升级、协助医院解决安全管理体系运 行过程中存在的各种问题。(2)开展数据安全专项检查,从数据安全管理措施、数据安全技术措施、数 据处理活动安全、个人信息保护措施等方面开展检查,出具差距分析报告及优化建议。(3)按医院需求 配合开展其它专项检查。 |
| 46 | 交付要求:《信息安全管理体系现状分析与建议报告》《数据安全专项检查报告》 |
-第3页-
| 47 | (1)信息安全事件响应、安全现状分析和报告编制以及安全相关建议;(2)针对日常工作中遇到网络安 全方面的问题提供解答并协助解决;(3)针对网络安全运行中遇到的问题,对各类安全事件闭环管理的 情况和效果进行跟踪,同时对风险项提供协同工作推进服务,实现安全运行流程闭环管理;交付要求: 《安全事件处置报告》《信息安全现状分析报告》《安全运行流程闭环管理执行情况报告》 |
| 48 | (1)对现有服务器主机台账信息、安全设备台账信息进行汇总和整理。(2)摸排业务访问关系,梳理安 全隐患,收敛资产暴露面,进行资产分类和量化管理。交付要求:《信息资产台账》 |
| 49 | 优化医院全网信息资产安全基线制度、医院安全基线标准、安全基线配置及检查手册。交付要求:《安全 基线标准手册》 |
| 50 | 对现网部署的安全设备进行运行状态检测和运行故障处置,每天开展5*8现场,7*24远程的安全监测服 务,对安全设备进行巡检,安全设备故障上报、诊断与处置,并对发现的重大网络安全事件上报。(1)按需开通及调优安全策略,协助医院调测相关安全设备,并提出安全建议(主要为互联网侧);(2)根 据安全配置核查或安全漏洞扫描的结果,对安全设备开展安全整改加固,协助完成网络设备安全加固;(3)安全设备故障处理与应急事件配合处理; |
| 51 | 交付要求:《信息安全巡检周报》《安全设备故障处置报告》《安全策略调整记录表》《安全设备整改加 固报告》《安全事件处置报告》 |
| 52 | 针对现网提出安全运营建议,提供日常安全监控标准、告警监测处置标准、网络安全架构优化、安全策略 调优、安全事件分析到处置闭环等优化建议。交付要求:《安全运营建议》 |
| 53 | 基于安全监测、漏洞扫描、渗透测试、安全通报、第三方测评、迎检等发现的漏洞来源,针对现网环境进 行复测确认威胁,下发网络安全整改通知书,提出安全加固建议,并监督闭环。交付要求:《安全整改通 知书下发情况汇总表》 |
| 54 | 通过模拟黑客行为进行渗透测试,发现应用系统存在的深度安全漏洞,验证安全防护体系的有效性。交付 要求:《渗透测试报告》 |
| 55 | 对新信息系统上线和发生变更的信息系统进行安全测评,提出每个组件的安全要求,为系统是否能够上线 运行提供安全检测依据,并监督供应商整改闭环,内容包括但不仅限于基线检查、渗透测试、漏洞扫描。 交付要求:《入网安全测评报告》 |
| 56 | 收集整理网络安全相关信息,提供漏洞威胁分析研判、信息录入与维护等日常维护与支持服务。针对所有 网络安全事件、网络安全威胁、网络安全漏洞及其他可能影响医院网络安全的情况等,设计安全风险预警 通报流程,并协助医院对安全事件进行监督闭环。交付要求:《安全事件通报报告》 |
| 57 | 调研医院组织管理架构和网络基础环境,梳理客户应急组织架构、事件场景,明确应急处置程序流程,形 成包含应急管控、应急处置和应急操作三个层面内容的应急预案文档;交付要求:《应急预案》 |
| 58 | 组织策划和开展应急演练,包括制定演练计划、编制演练工作方案、设计演练脚本、配合准备演练环境、动员与培训、演练过程记录和总结等工作;交付要求:《应急演练报告》 |
| 59 | (1)在医院遇到突发安全事件后,主导应急工作,组织协调各方采取专业的安全措施和行动,并对已经发 生的安全事件进行监控、分析、协调、处理、保护资产等安全属性的工作;(2)进行事件处置分析,协 同加固,并出具相应报告;交付要求:《应急响应处置报告》 |
| 60 | (1)对整体信息系统进行风险评估。(2)重保期间根据采购人要求安排安全人员值守以及值守期间应急 事件处理。(3)重保后进行总结,安全态势分析。交付要求:《重要时期安全保障方案》《重保总结报 告》 |
| 61 | 配合组织网络安全主管单位(如:卫健委、公安、互联互通、电子病历、三甲复审等)开展的网络安全检 查迎检工作,事前开展迎检自查、问题整改跟进,事中组织检查,事后组织迎检总结。交付要求:《迎检 自检报告》 |
| 62 | 参与各方监管部门组织的护网行动,对全网进行安全风险排查和整改,组织安全攻防演练。护网行动期间 进行7*24 小时安全值守和安全事件处置。交付要求:《防守日报》《防守方演练总结报告》《问题整改 跟进记录》 |
| 63 | (1)安全意识培训:对全体员工进行信息安全意识类的培训,包括政策法律法规解读、日常安全防范等,使员工在日常工作中提升信息安全意识。(2)运维安全意识培训:对日常运维技术人员进行技术方面的 日常安全运维方面培训,包括运维安全基础知识、如何提高运维安全水平、服务器常见安全风险、安全与 合规等方面,提升安全操作意识及安全工作规范。交付要求:《安全意识培训记录表》 |
| 64 | 重点讲授路由交换管理、渗透测试、漏洞扫描、安全加固、web安全技术、移动应用安全技术等技术与管 理的知识,通过案例分享,解决IT人员在日常工作过程中遇到的信息安全方面各种困惑与难点,帮助IT人 员在信息化建设过程中提高网络安全水平及防护能力。交付要求:《安全技能培训记录表》 |
(五)议价发起时间:2024年05月24日
(六)本项目采用的是按项目的报价方式。
二、需求信息
合同份数:4
争议处理方式:向采购单位所在地的人民法院提交诉讼解决
发票类型:增值税普通发票
-第4页-
三、供应商报价须知
(一)被邀请的供应商应根据议价信息的要求,在满足采购需求的前提下,于规定时间内对项目做出报价。
(二)供应商应在报价时,可通过系统提供采购需求中所要求的全部资料与数据的,应当通过系统提交。供应商不得在所上传的 附件中填写项目报价信息,如系统报价与附件材料不一致,则附件报价无效,以系统报价为准。
(三)供应商应认真核对报价信息,确保符合采购需求,并对其真实性负责。若与实际不符,一经查实,将视为弄虚作假,当次 报价无效,并按政府采购相关规定给予处理。
四、定点议价规则
(一)报价规则。
(1)供应商的报价应是总价。
(2)供应商的报价不得高于最高限价。
(二)成交规则、终止规则。
(1)成交规则:采购人接受供应商报价的,议价成交。
(2)终止规则:在定点议价公告期间,采购人因故取消采购任务;或者采购人不接受供应商报价的,议价终止。
五、项目联系方式
联系方式:余老师 15914503905
采购单位:中山大学附属第一(南沙)医院
2024年05月24日
-第5页-
-第6页-
微信扫码关注
