1、惠州市第一人民医院网络安全检测项目招标文件招标编号:HZSY-XX-2017001招标单位:惠州市第一人民医院时 间:二一七年十月1 第 1 页 目 录第一部分 投标邀请函第二部分 采购项目内容第三部分 投标人须知第四部分 商务要求第五部分 投标文件格式2 第 2 页 第 一 部 分 招 标 邀 请 函3 第 3 页 招标邀请函各(潜在)供应商:惠州市第一人民医院对网络安全检测项目进行招标采购,欢迎符合资格条件的供应商投标。一、采购项目编号: HZSY-XX-2017001二、采购项目名称:网络安全检测项目三、采购项目内容及要求:(采购项目技术规格、参数及要求)1. 项目内容:标的名称 数量
2、预算(元)网络安全检测项目 1项 880002. 项目技术规格、参数及要求:详见招标文件第二部分3投标人应对包内项目所有内容进行投标,不允许只对其中部分内容进行投标,如有缺漏或超出预算金额,将导致投标无效。四、供应商资格:1.供应商应具备政府采购法第二十二条规定的条件。2.投标人应是来自中华人民共和国的独立法人,具备独立的法人地位和独立承担民事责任及履行合同的能力。3.供应商应遵守国家有关的法律、法规和条例;本项目不接受联合体投标。五、符合资格的供应商获取招标文件的时间、地点、方式:1. 时间:2017 年 10月 12日起至 2017年 10月 16日(上午4 第 4 页 08:00-12:
3、00,下午 14:30-17:30)2.报名的地点: 惠州市第一人民医院信息部3.获取招标文件的方式:可以直接从本公告的附件中下载谈判文件。4.参加本项目报名的企业须提供以下资料:1) 法定代表人证明书、法定代表人授权委托书(复印件加盖公章);2) 法定代表人或投标人授权代表身份证(复印件加盖公章);3) 营业执照副本、税务登记证副本、组织机构代码证副本或三证合一的营业执照副本(复印件加盖公章);六、投标文件递交时间、截止时间、开评标时间及地点:1投标文件送达地点:惠州市惠城区江北三新南路 20号惠州市第一人民医院综合楼二楼会议室2投标文件递交时间:开标现场提交。投标书需密封在同一个文件袋内。
4、开标后采购单位有权保留所有投标文件,不予退还投标人。3开评标时间: 2017 年 10月 17日 15时 00分(北京时间)4开评标地点:惠州市惠城区江北三新南路 20号惠州市第一人民医院综合楼二楼会议室5其他: 请供应商密切留意我院网站最新公告、通知,所有在本网站发布的公告、通知均视为有效送达(包括预中标结果)。 5 第 5 页 本招标文件解释权归惠州市第一人民医信息部。6.公告信息查询:惠州市第一人民医院官网7. 采购项目联系人:陈先生/刘先生 电话:0752-2883193/2883806惠州市第一人民医院二一七年十月十二日 6 第 6 页 第 二 部 分 采 购 项 目 内 容7 第
5、7 页 采购项目内容一、招标产品服务规格、要求和数量序号 阶段实施内容 具体工作内容描述 输出成果1. 项目启动 项目整体实施方案项目整体实施方案项目联系人表会议纪要保密协议2. IT资产核查服务 利用工具收集、梳理全网网络和信息系统资产,并人工进行核实 资产调研表一份、资产清单一份3. 内网系统安全检测 对内网业务系统安全进行检测 内网系统安全检测报告一份4. 外网系统安全检测 对外网 WEB系统安全进行检测 外网系统安全检测报告一份5. 管理制度编制落实保密协议、建立安全追责制度。按照国家标准以及行业规范,为单位编制一系列的安全管理制度,以及信息化系统建设和运维管理制度相关管理制度一份6.
6、 应急预案编制完善信息安全应急制度、应急预案,针对特定场景开展信息安全应急演练应急管理办法一份应急预案一份7. 应急预案演练 根据应急预案开展应急演练 应急演练报告一份本项目安全评估内容要求如下: IT资产核查全面摸清医院内部网络与信息系统情况,梳理信息系统、网站、服务器、主机以及 WIFI无线上网热点,逐一登记造册,建立工作台账。梳理长期无人管理、无人访问及废弃的网站;测试信息系统、服务器及相关设备等形成资产清单,提交资产清单给医院管理人员。 内网重要系统安全检测对医院内网重要系统安全检测,量化风险,为后期安全规划及风险优先处置提供依据,目的全面排查内网安全风险隐患,提升业务系统安全防护能力
7、。检测手段不限于符合性检查、基线配置核查、漏洞扫描、内网渗透、网络架构安全分析等。 外网网站渗透测试通过外网渗透对医院的网站进行测试,外网渗透测试是模拟渗透攻击者对系统进行渗透,检测系统抵抗攻击的能力,但与恶意的攻击者不同,这种模拟的渗透攻击不会对被测试系统造成损害。检测漏洞不限于如下: 操作系统漏洞8 第 8 页 数据库系统漏洞 Web服务漏洞 中间件漏洞 网络设备漏洞 Ftp服务漏洞 邮件服务漏洞 远程控制漏洞 网络边界漏洞 信任机制漏洞 恶意代码漏洞 管理制度编制根据国家相关法律法规要求,结合等级保护测评、备案工作,开展信息安全管理评估,包括制度建立情况、制度落实情况等,以发现信息安全管理制度方面的不符合情况。根据评估结果,结合单位实际情况,对不全面和不规范的制度进一步完善或重新修订。 应急预案编制根据网络安全法和网络安全等级保护要求,针对网络安全攻击场景(网站遭受 DDOS攻击、网站页面被篡改或挂马、网络病毒爆发等)等进行本医院应急预案评估,根据评估结果进行修订、完善应急预案。 应急演练提供一次应急演练。根据制定的应急预案进行实际演练,演练前制定演练方案、搭建演练环境和组织人员应急演练。并根据应急演练结果,更新应急预案,提出相关问题的改进建议,并协助医院开展整改工作,完善信息安全应急响应体系。9 第 9 页 第 三 部 分 投 标 人 须 知
