1、首都医科大学附属北京胸科医院安全服务项目工作内容及技术要求1 项目背景为了保障首都医科大学附属北京胸科医院(以下简称“胸科医院” )核心业务系统持续、稳定的运行,确保信息系统安全满足国家相关标准、规范要求,需要按照北京市卫生局关于进一步加强北京卫生行业信息安全等级保护工作的通知京卫办201226 号文件和等级保护的基本要求,对核心业务系统即HIS 系统(三级)开展安全服务工作。2 项目服务清单本次服务采购内容:序号 服务名称 服务数量1. 安全巡检 122. 杀毒软件维保 5003. 应急响应 64. 风险评估 15. 策略维护 16. 安全加固 17. 等保咨询 18. 等级保护管理体系修订
2、 19. 辅助测评 110. 等保测评 13 项目服务要求1) 安全巡检服务内容:针对日常业务系统的运行情况,投标人应指派专人每月对胸科医院信息系统运行健康状态进行巡查和检测,并将检测结果定期汇报给胸科医院信息部门相关负责人,及时发现并消除日常运行过程中的安全隐患,确保胸科医院相关业务持续运行。服务频率:12 次/年交付成果:安全巡检报告2) 杀毒软件维保投标人需为胸科医院目前所使用的 500 台终端提供 360 杀毒软件升级服务,保证客户端按时进行病毒库的升级,全面检测已知和未知的各种病毒。服务频率:1 次/年交付成果:厂商授权 500 个点 liscence3) 应急响应服务内容:在出现突
3、发、紧急安全事件时,投标人应提供 7*24 小时的应急响应服务,协助胸科医院进行有效的应急处理,最大限度地减少信息系统的损失和负面影响。投标人应具备完整的应急体系,应急响应服务应满足:1 小时响应,2 小时到达用户现场,4 小时恢复系统运行的指标。服务频率:6 次/年交付成果:应急响应报告4) 风险评估服务内容:投标人结合等级保护相关要求对胸科医院的信息系统开展风险评估工作,具体工作内容包括:资产识别、威胁识别、脆弱性识别、安全措施识别、风险分析服务频率:1 次/年交付成果:信息系统风险评估报告5) 策略维护服务内容:胸科医院系统网络拓扑结构相对复杂,医院的信息系统也将根据实际需要临时调整和增
4、加。因此,每次系统结构的优化调整,都将会影响信息安全整体目标的调整。投标人需要辅助优化信息系统结构,提出合理的优化加固方案,调整软硬件策略逐步趋于合理,从整体结构上提高抗风险能力。投标人需根据需求及信息安全最新态势,制定安全设备的安全防护策略,定期进行维护,确保安全设备能够抵御最新的安全威胁。服务频率:1 次/年交付成果:策略维护报告6) 安全加固服务内容:投标人需根据国家信息安全等级保护相关要求,结合胸科医院实际情况在服务期内对网络设备、安全设备和服务器系统(操作系统、数据库、中间件)进行安全策略加强、调优等,以加强网络、系统和设备抵御攻击和威胁的能力,整体提高胸科医院信息系统安全防护水平。
5、服务频率:12 次/年交付成果:安全加固报告7) 等保咨询服务内容:投标人需为胸科医院设计信息系统功能结构、技术路线方案、应用平台方案、数据库方案、系统安全方案、系统集成方案、系统维护和扩展方案、项目周期、项目收益及风险分析、项目实施方案等提供咨询和帮助;并为胸科医院信息化产品选型提供模型、测试方案等。服务频率:1 次/年交付成果:项目申报方案8) 等级保护管理体系修订服务内容:投标人需参照胸科医院原有信息安全管理制度,结合国家关于等级保护的要求,对机房管理、资产管理、系统上线、系统变更、口令管理、网络安全、审计监控和数据备份等安全管理制度进行适应性修订;并组织运维人员对制度进行论证,确保制度
6、贴合医院实际,具有可操作性。服务频率:1 次/年交付成果:安全管理制度修订版9) 辅助测评服务内容:投标人需针对胸科医院的重要信息系统提供现场测评辅助,在测评机构对重要信息系统测评期间,需派驻专业工程师提供全流程的测评辅助服务,配合测评机构完成重要信息系统的现场测评工作。针对测评机构测评过程中发现的问题,从技术优化和管理制度完善两个方面制定安全整改与优化方案,在得到医院的认可后,协助医院完成网络安全、主机安全、数据库安全等问题整改。提供复测期间的辅助服务,针对测评机构在复测期间的测评工作进行配合,并针对复测期间发现的问题及时进行整改,以使重要信息系统达到安全等级测评要求。服务频率:1 次/年交
7、付成果:无10) 等保测评服务内容:投标人选用具备信息安全等级保护测评资质的机构针对胸科医院 HIS 系统开展信息安全等级测评,信息系统安全等级测评是依据国家相关政策文件要求,遵循公开、公平和公正原则,对医院信息系统的安全保障状况进行符合性安全测试和评估,评价该信息系统是否满足安全等级测评要求中的各项安全技术指标和安全考核目标。服务频率:1 次/年交付成果:信息系统等级测评报告4 服务方式服务方式分为远程和现场两种,投标单位根据工作的实际情况合理安排安全工程师的服务方式,胸科医院应配合投标单位在办公室、机房进行相关服务工作。5 其他要求1. 中标人成立独立项目组,确定项目经理,负责项目整体管理
8、。2. 投标人遵循国家信息安全等级保护相关管理规范和标准,针对安全服务工作提交实施方案,并定期(每月、每季、每年)进行运维工作现状分析,针对运维工作结合胸科医院工作现状和管理需要,协助胸科医院优化运维管理制度。3. 按胸科医院要求,投标人应定期召开运维工作专题例会,编写月度、季度、半年、整年服务报告向胸科医院提交。4. 应开展但不限于对胸科医院信息系统及支撑信息设备、安全设备采取巡检、实时监测、维护调试等方式,确保及时发现信息系统和网络运行异常并及时响应,确保胸科医院不出现重大信息安全事件,保障胸科医院信息系统和整体网络安全运转。5. 每月定期对胸科医院安全设备日志进行集中分析,掌握信息安全情
9、况,向胸科医院提交月度信息安全态势分析报告及全网安全优化建议。6. 对胸科医院安全设备进行策略维护和优化,确保胸科医院通信安全。7. 提供 7*24 小时技术支持,按胸科医院实际工作需要,提供应急支持。8. 项目经理需具备 CISP 资质证书、高级项目经理资质证书、具备ISO/IEC 27001-Foundation Examination 资质证书。9. 项目组成员中至少有 2 名成员具备 CISP 资质证书。10. 投标人需提供至少 2 名具有 ISO/IEC 27001-Foundation Examination资质证书的安全工程师,至胸科医院进行现场服务。11. 现场服务的安全工程师
10、应服从胸科医院统一的工作安排,严格遵守作息时间,工作期间不得从事其它活动;严格遵守胸科医院的规章制度和保密制度; 12. 投标人应根据胸科医院实际工作需要,参加统一的专项工作,包括但不限于信息系统高峰期或业务数据报告敏感期时的应急值守工作、上级单位安全检查工作、单位整体网络和终端网络改善性工作,做好应急保障工作。6 时间要求本项目的服务周期为 1 年,自合生效之日起开始计算。在此期间应答机构须完成本文件规定的所有服务内容。7 评分标准本次评标采用综合评分法。即指在最大限度地满足招标文件实质性要求的前提下,按照招标文件中规定的各项因素进行综合评审后,以评标总得分最高的供应商作为中标候选供应商或中
11、标供应商的评标方法。序号 评分内容 得分公司财务状况(根据供应商提供的上一年度会计师事务所审计报告内容评审。未提供审计报告不得分) 3 分具有 ISO9001 质量管理体系认证证书。 (提供复印件得 2 分.未提供不得分) 2 分投标人资质与实力 近三年(2015 年 1 月 1 日起)从事过本项目类似的信息安全服务(不含设备采购)业绩(单个合同金额不低于 20 万元) ,每一个得 2 分(0-6 分) 。(须提供合同首页、合同金额页、盖章页、关键服务内容页的复印件,并加盖本单位公章)6 分1商务部分(15分)测评机构资质对投标人选择的测评机构要求:具有中国合格评定国家认可委员会(CNAS)认
12、可的实验室证书 1 分,否则得 0 分 具有中国合格评定国家认可委员会(CNAS)认可的检验机构证书 1 分,否则得 0 分 具有信息安全风险评估一级资质证书(中国信息安4 分全认证中心颁发)1 分,否则得 0 分 具有国家信息安全等级保护工作协调(领导)小组办公室推荐的测评机构 1 分,否则得 0 分服务方案1.对目前招标人信息安全现状了解程度,对服务需求理解深刻、清晰(0-5 分) ;2.投标方案(0-30 分) ;安全巡检(0-3 分);杀毒软件维保(0-3 分);应急响应(0-3 分);风险评估(0-3 分);策略维护(0-3 分);安全加固(0-3 分);等保咨询(0-3 分);等级
13、保护管理体系修订(0-3 分);辅助测评(0-3 分);等保测评(0-3 分)。3.服务质量保证措施详细、可操作性强、符合招标人业务特点(0-10 分) ;方案最优者得 10 分,其余不得分。4.服务承诺全面、详细、可操作性强特点(0-10分) ;方案最优者得 10 分,其余不得分。55 分2技术部分(70分)服务团队1.项目经理要求(0-7 分)(1)具备 CISP 资质证书(0-2 分);(现场审核原件)(2)具备高级项目经理资质证书(0-2 分);(3)具备 ISO/IEC 27001-Foundation Examination 资质证书(0-1 分);(现场审核原件)(4)具备信息安全等级保护安全建设专业技术人员资质证书(0-2 分);2.项目人员要求(0-8 分);(1)项目组成员至少有两名人员具备 CISP 资质证书(0-4 分) ;(现场审核原件)(2)项目组成员至少有 2 名人员具备 ISO/IEC 27001-Foundation Examination 资质证书(0-4 分);(现场审核原件)15 分3价格分(15 分) 投标报价得分(评标基准价/评标价)价格权重(10%)100(注:1.实质性响应招标文件要求且最低评标价为评标基准价 2.投标人报价低于成本的除外。)15 分
