****市卫生健康发展研究和数据管理中心****综合服务项目合同
甲方:****市卫生健康发展研究和数据管理中心
联系地址:****市福田区园岭街道上步中路园岭*街*号
法定代表人:和晓峰
乙方:****
联系地址:****市南山区桃源街道龙光社区光前工业区**栋***
法定代表人:王广武
根据****公共资源交易中心(****交易集团有限公司****业务分公司)
***************号招标项目的投标结果,确定乙方为***************项目中标方。
按照《中华人民共和国民法典》和《****经济特区****条例》,经甲方和乙方协商*致,
就乙方为甲方提供****市卫生健康发展研究和数据管理中心****综合服务项目,达
成以下合同条款
第*条项目概况
项目名称:****市卫生健康发展研究和数据管理中心****综合服务项目
项目服务时间:自合同签订之日起*年。本项目为长期服务项目,合同期满可以续签,
但合同履行期限最长不得超过***个月。如甲方对履约情况不满意,甲方不再续约。
合同价款:合同总价为¥*.***,***.**元(**********元整)。合同总价包括
乙方履行本合同义务所发生的*切费用和支出,含*切税、费。本合同总价亦包括乙方为实
施本服务项目所需的服务和技术费用等,为固定不变价格,且不随通货膨胀的影响而波动。
如发生本合同规定的不可抗力,合同总价可经双方友好协商了以调整。
支付方式:分期支付,具体见本合同第*条。
第*条服务内容
乙方为甲方提供的服务包括但不限于以下内容(详见附件):
*、****服务,包括但不限于:安全策略和管理制度修订服务、渗透测试服务、专
项安全检测服务、应急演练服务、安意识培训服务、****联合检查与调研服务、安全
合规评估服务、敏感信息泄漏排查服务、暴露面收敛服务、网站云监测服务、抗****服
务、安全预警服务、实战攻防演练防守服务、应急响应支持服务、驻场安全运维服务、终端
第*页共**页
安全与检测响应服务、安全策略配置基线核查服务、日常运维与审计服务和网络故障紧急恢
复服务等。
*、等级保护测评服务,包括但不限于:对甲方正在运行使用的所有信息系统按照规定
的等级标准开展****等级保护测评工作,*级系统每年*测,具体以甲方实际需求为准
(不少于**个信息系统)。
第*条服务资料归属
*、乙方所有提交给甲方的服务文件及相关的资料的最后文本,包括为履行服务内容所
编制的图纸、计划和证明资料等,都属于甲方的财产,乙方在提交给甲方之前应将上述资料
进行整理归类和编制索引。
*、乙方未经甲方的书面同意,不得将上述资料用于与本服务项目之外的任何用途。
*、合同履行完毕,未经甲方的书面同意,乙方不得保存在履行合同过程中所获得或接
触到的任何资料。
第*条甲方的权利和义务
*、有权向乙方询问工作进展情况及相关的内容。
*、有权阐述对具体问题的意见和建议。
*、当甲方认定乙方人员不按合同履行其职责,或与第*人串通给甲方造成经济损失的,
甲方有权要求更换人员,直至终止合同并要求乙方承担相应的违约/赔偿责任。
*、负责与本服务项目有关的第*方的协调,提供开展服务工作的外部条件。
*、经甲方确认后向乙方提供与本项目服务工作有关的资料。
*、协助配合乙方按《****市电子政务项目检测验收规范》进行验收工作。
第*条乙方的权利和义务
*、乙方在本项目服务过程中,如甲方提供的资料不明确时应向甲方提出书面报告,甲
方应当及时的回应乙方的报告并配合提供相关资料。
*、乙方在本项目服务过程中,有权对第*方提出与本服务业务有关的问题进行核对或
查问。
*、乙方在本项目服务过程中,可以到工程现场勘察。
*、应按照本合同以及***************号招标文件、乙方投标文件要求按期完成本
项目所有服务工作。
*、负责组织项目的实施,保证项目进度和工作质量,并满足相关验收标准。
*、在履行合同期间或合同规定期限内,不得泄露与本合同规定业务活动有关的保密资
第*页共**页
料。
*、应按《****市电子政务项目检测验收规范》要求完成验收工作。
*、未经甲方同意,乙方不得将本项目全部或部分转让给第*人完成
*、乙方提供的服务或服务成果不得侵犯任何第*方的合法权利
第*条人员要求
*、乙方参加本项目服务的人员必须具有国家和有关部门规定的相应资质。
*、乙方参加本项目的服务人员的配置必须与投标文件中的服务承诺书和服务组织实施
方案*致,未经甲方书面同意,乙方不得随意更换服务人员,甲方要求乙方更换服务人员时,
乙方应无条件更换,更换后的人员相应资质/等级不得低于被更换人员,更换人员经过甲方
同意后方能参加本项目。
*、乙方必须以其直属服务人员参与本项目服务,不得使用挂靠队*。
第*条乙方服务工具要求
*、乙方应配备中标项目所需的足够数量的仪器、仪表以及工具等设备。甲方用户不需
向乙方提供施工工具和仪器、仪表。
*、乙方在提供服务过程中应自备车辆。
第*条保密要求
*、由甲方收集的、开发的、整理的、复制的、研究的和准备的与本合同项下工作有关
的所有资料在提供给乙方时,均被视为保密的,乙方只能用于本项目,且不得泄漏给除甲方
或其指定的代表之外的任何人,不管本合同因何种原因终止,本条款*直约束乙方。
*、乙方在履行合同过程中所获得或接触到的任何数据/资料,未经甲方同意,不得向第
*方透露提供。
*、乙方实施项目的*切程序都应符合国家安全、保密的有关规定和标准。
*、乙方参加项目的有关人员均需同甲方签订保密协议
第*条验收
乙方提供的服务应达到如下验收标准:
*、乙方已按照合同规定要求,完成所有服务工作。
*、乙方在项目服务过程中,提供相应文档,包括过程文档,服务巡检报告,信息资产、
安全风险台账文档,安全工作过程报告台账,中期****运维报告和终期****运维报
告。
*、服务要求:乙方应提供****小时的服务咨询,并及时反馈处理进展;提供本地化服
第*页共**页
务支持,出现问题需要现场服务时,做到*小时内响应。乙方应提供服务队*名称、资质、
人员配备、联系地址、电话等详细资料,以及书面提出用户人员操作培训。
*、验收依据为***************号招标文件、乙方投标文件,国家和行业有关规范
规程和标准。
第*条付款方式
*、合同金额均须政府财政部门划拨款项到位后支付,甲方不承担因财政审批或拨款延
迟造成延迟付款的任何违约责任。
*、甲乙双方签订合同后,乙方提交项目整体等保与****服务方案,甲方收到并审
核确认后,在**个工作日内向乙方支付合同总价的**%作为预付款,即人民币*,******.**
元(***********元整)
*、乙方运维实施满第*个月,提交中期等保与****服务报告,甲方收到并审核确
认后,在**个工作日内支付合同总价的**%,即人民币*,***,***.**元(*******
*****元整)
*、乙方运维实施期完成后,提交终期等保与****服务报告,甲方收到报告并审核
确认后,在**个工作日内支付合同总价的*%,即人民币***,***.**元(*******
***元整)
*、乙方在甲方付款前应提供合法有效并符合甲方要求的发票。
第**条争议解决办法
因本合同发生的*切争议,由甲乙双方协商解决。若协商不成,任何*方有权向****市
福田区人民法院提起诉讼。
第**条风险责任
*、乙方应完全地按照本合同以及***************号招标文件的要求和乙方投标文
件的承诺完成本项目,出于自身财务、技术、人力等原因导致项日失败的,应承担全部责任。
*、乙方在实施服务过程中应对自身的安全生产负责,若由乙方原因发生的各种事故甲
方不承担任何责任。
第**条违约责任
*、协议任何*方不履行本协议的,守约方可要求违约方支付本协议约定费用总额**%
的违约金,造成其他损失的,还可要求违约方承担损害赔偿责任。
*、乙方提供的服务或服务成果不符合本协议约定的,甲方有权拒绝接受,乙方应当无
条件修改至符合本协议约定、满足甲方使用需求,交付时间不顺延,乙方拒不修改或经*
第*页共**页
次修改仍无法达到符合本协议约定、满足甲方使用需求的,视为乙方无法履行本协议,甲方
有权解除合同,乙方应当向甲方支付本协议总金额**%的违约金,同时,甲方不再支付服
务费用并有权要求乙方退还已收费用;造成甲方其他损失的,方应承担相应的损害赔偿责
任。
*、乙方未能按本协议约定期限完成项目工作的,从逾期之日起每日向甲方支付本协议
约定服务费用总额*%*的违约金;逾期**日以上的,甲方有权终止协议,不再支付服务费
用并要求乙方退还已收费用;造成甲方其他损失的方应承担相应的损害赔偿责任。
*、乙方保证甲方在使用本协议项下的项目成果时生因第*方提出的包括但不不会产生因第*方提出的包括但不
限于侵犯其著作权、专利权、商标权、工业设计权等知识产权及其他权利而引发的纠纷。如
有纠纷,乙方应承担全部责任,甲方因此被追究责任的,甲方可向乙方追偿,追偿范围包括
但不限于律师费、诉讼费、仲裁费、差旅费等费用。同时乙方应当向甲方支付合同总价款
**%的违约金。
*、甲方无正当理由到期拒付服务费用或逾期支付服务费用的,甲方除须依照协议约定
支付应付服务费用之外,还应自逾期之日起每日向乙方支付应付服务费用总额*%*的违约
金。
第**条通知送达
*、甲乙双方之间就本合同的通知,均以书面形式写就并经盖章后按本合同约定的地址、
邮编、传真号码、收件人以直接交付、传真、挂号邮寄、特快专递等方式送达对方,但*方
向另*方发出书面通知更改本条约定的相关信息除外:
甲方:****市卫生健康发展研究和数据管理中心
地址:****市福田区园岭街道上步中路园岭*街*号
邮政编码:******
传真号码:*
收件人:黄成杰****-********
乙方:****
地址:****市南山区桃源街道龙光社区光前工业区**栋***
邮政编码:******
传真号码:*
收件人:********-********
第*页共**页
*、任何与本合同有关的由本合同双方当事人发出的任何文件、通知及其他通讯往来,
必须采取中文书面形式,并送达至上述地址或双方书面通知的其他地址。。*方若指定其他联
系方式或联系方式变更的,须及时以书面形式通知另*方。急于通知的*方应当承担对其不
利的法律后果。
*、电子邮件、任何文件、通知或其他通讯往来,如以邮寄方式,在寄出后第*日将被
视作已送达,邮政局的邮件发送记录将作为有效证明;如以传真方式,则发出之日视作已送
达,以发送报告单将作为有效证明;如以手递的方式,则发至定地址之日视作已送达,以
对方的签收文据为有效证明;如以电子邮件形式发送,则数据电文以联系人发出的首次时间,
视为到达时间。
第**条其他
*、本合同与***************号招标文件、乙方投标文件如有抵触之处,以本合同
条款为准。
*、下列文件均为本合同的组成部分:
(*)***************号招标文件、答疑及补充通知;
(*)投标文件;
(*)本合同执行中共同签署的补充与修正文件。
*、本合同*式*份,甲方执*份,乙方执*份,具有同等法律效力。本合同自
双方签字(盖章)之日起生效。
*、本合同未尽事宜,双方友好协商,达成解决方案,经双方签字后,可作为本合同的
有效附件。
技有*
*、协议签订地:****市福田区。
收
博
甲方:****市卫生健康发展研究和数据管理中心乙方:****市马博上网支有限公
(签章)(签章)市
品年
地址:****市福山区园岭街道上步中路园城地址:****市南山区桃源街道龙
区
*****
*街*号光前工业区**栋***
法定代表人:(签章)法定代表人:(签章)
开户行:中国银行****长城支行开户行:中国银行****观澜支行
人民币帐号:************人民币帐号:************
联系人:黄成杰联系人:****
电话:***********电话:***********
日期:****年*月**日日期:****年*月**日
第*页共**页
附件:
服务内容
| * |
* |
服务注意事 |
*.*.乙方负责对(包括但不限于)市大数据资源管理中心机房托管区、超算中心机房托管区、市卫生健康委机房、****市健 |
| * |
* |
等级保护测评服务 |
*.等级保护测评服务,包括但不限于:对甲方正在运行使用的所有信息系统按照规定的等级标准开展****等级保护测评工作,*级系统每年*测,具体以甲方实际需求为准(不少于**个信息系统) |
|
*.*.完成甲方临时的其他服务要求。 |
|
*.*.以*信任为原则进行安全服务。 |
|
*.*.在中标合同期内,乙方每月需向客户提交安服工作分析报告。报告内容需涵盖:日常工作安排、系统渗透、漏洞扫描等情况。乙方该项目主管领导需每月*次召开工作例会,共同解决设备维护工作遇到的疑难问题,提高维护服务质量。 |
|
*.*.驻点人员作息时间与客户同步,在周末和节假日必须有不少于*名的人员以正常工作或根据甲方时间进行现场或远程值班。 |
|
*.*.乙方须提供****小时的电话及现场故障维护服务。必要时增加固定此项工作的人手和设备,以实现任何时间内,用户都能通过电话申报故障或取得*定的电话技术支持。 |
|
*.*.乙方须遵守国家劳动法,为员工购买国家规定的相应社保,并严格按照国家法规执行加班费管理制度。必须绝对防止因此类问题而导致员工工作积极性受损,或者导致维护团队人员不稳而最终影响安服工作。 |
|
安服项目组管理要求:*.*.乙方必须针对驻点部门建立*套完善合理的规章制度,以制度管理团队。做到责任落实,赏罚分明。提高工作人员的责任感,奖优罚懒,以制度约束和激励政策调动全员工作积极性,以提高工作效率,增加客户满意度。 |
| * |
* |
****服务 |
*.****服务,包括但不限于:安全策略和管理制度修订服务、渗透测试服务、专项安全检测服务、应急演练服务、安全意识培训服务、****联合检查与调研服务、安全合规评估服务、敏感信息泄漏排查服务、暴露面收敛服务、网站云监测服务、抗****服务、安全预警服务、实战攻防演练防守服务、应急响应支持服务、驻场安全运维服务、终端安全与检测响应服务、安全策略配置基线核查服务、日常运维与审计服务和网络故障紧急恢复服务等。 |
| (*)服务总体要求 |
(*)服务总体要求 |
(*)服务总体要求 |
(*)服务总体要求 |
(*)服务总体要求 |
| 序号 |
名称 |
名称 |
技术要求 |
技术要求 |
第*页共**页
| *.****服务要求 |
*.****服务要求 |
*.****服务要求 |
| (*)详细服务要求 |
(*)详细服务要求 |
(*)详细服务要求 |
|
*.**.乙方所派维护服务人员要固定,未经甲方同意,不得随意更换。若维护服务人员由于其自身的原因不能继续为甲方进行维护服务时,乙方应提前*个月通知甲方,并且明确更换人员,报甲方审核,直至双方确定新的维护人员,并在*个月完成工作交接。若甲方认为乙方所派维护服务人员不适合继续从事本项目维护服务时,乙方应在接到甲方通知后*天内暂派其他维护服务人员到甲方现场为甲方提供服务,直至经双方确定新的维护人员。 |
|
*.*.乙方需与派驻现场的维护服务人员签订劳动合同或由与乙方签订合同的专业人力资源派遣机构签订劳动合同,并负责所指派的常驻维护服务人员的工资、奖金、福利待遇及其他*切费用,乙方必须为其维护服务人员购买社会保险,并对员工做好安全教育,如乙方维护服务人员发生工作和人身安全事故,由乙方负责,与甲方无关; |
|
*.*.配合完成信息化合作企业及人员安全审查,并提供项目组成员的无犯罪记录证明; |
|
*.*.鉴于本项目涉及甲方内部涉密数据,双方须在签订合同时*并签订保密协议; |
|
*.*.乙方需按照用户相关模板及管理规定办理驻点人员工服、工作证等,并配合物业等人员做好出人登记、工牌核对、车辆停放等事宜,自觉维护好办公环境及内务秩序; |
|
*.*.甲方有权进行合理选择。合同期内将不定期对派驻人员进行技术、能力、品德、服务态度、出勤率、用户投诉率进行综合考核,对考核不合格者有权做出相应处理,并追究乙方有关责任; |
|
*.*.所派驻人员应严格遵守甲方的工作时间。工作期间不得从事其他活动。甲方统*加班时,派驻人员也必须安排人员加班,做好运维保障工作; |
|
*.*.所派驻人员服从甲方负责人的统*安排,严格遵守甲方的规章制度和保密制度; |
|
*.*.乙方必须与甲方签订安全保密协议书、安全责任书和消防责任书,乙方派驻甲方现场的维护服务人员必须与甲方签订安全保密协议书。乙方及维护服务人员都不得将维护服务中产生的文档资料、技术资料及各党政机关有关资料提供给第*方。 |
|
项 |
研数管中心(政务云、政务云*期和鲲鹏云)、(晒布办公区)机房、(园岭办公区)网络间和*中心(侨香办公区)网络间,对核心数据机房提供日常安全巡检、安全问题处理、渗透测试、漏洞扫描等驻场服务,并完成甲方交代的其他安全问题工作。在值班、运维过程中发现的安全问题,乙方应按规定时间及时处理,因维护不当不及时造成的损失与安全责任由乙方负责;在值班、运维巡检过程中未发现安全问题而造成的故障,乙方未及时预警,出现的安全责任与损失由乙方负责。 |
| * |
专项安全检测服务 |
*.*.专项安全检测服务。为信息系统进行上线前的专项安全检测服务,从安全管控、从安全评估、安全能力覆盖等维度评进行综合评估,安全管控主要是上线前资产管理,包括服务器、应用系统等资产归属部门、责任人、端口和服务开放情况、远程运维情况、组件版本等信息、默认口令、默认秘钥等,安全评估手段主要包括漏洞扫描 |
| * |
★渗透测试服务 |
*.*.渗透测试服务。被动式信息收集、专业安全扫描工具。按照****市信息安全管理中心安全检测标准和工具,要求运用官方正版授权工具,包括但不限于主机扫描和应用系统扫描工具。针对存在的漏洞提供修复建议,能够提供精准、易懂、可落地的漏洞修复方案、社会工程学探查、漏洞挖掘、漏洞利用、权限维持、内网渗透、报告撰写、安全建议、外部专家交叉验证。在甲方授权的前提下开展渗透测试工作,以模拟黑客攻击的方式,非破坏性对甲方指定业务系统的安全漏洞、安全隐患进行全面检测,最终目标是查找业务系统的安全漏洞、提供漏洞修复的解决方案、评估业务系统的安全状态。在渗透过程中,须采用业界领先的漏洞检测技术、攻击技术、开源攻击工具和专业安全团队编写的脚本。过程分为*步:计划与准备、信息收集、实施渗透、输出报告。信息收集与实施渗透是项目的实施阶段,输出报告主要是汇总和评估项目中发现的安全威胁,并输出文档,对发现并整改的漏洞进行复测。需全流程协同业务厂商落实整改,当相关漏洞整改完毕后,需根据渗透测试报告内容对已发现的漏洞进行复测,以确认先前的安全漏洞得到有效的修复,同时没有产生新的安全漏洞,确保整改工作达到预期目标。服务交付物包括但不限于:《系统渗透测试报告》《系统漏洞复查报告》 |
|
|
|
| * |
★安全策略和管理制度修订服务 |
*.*.安全策略和管理制度修订服务。协助甲方修订针对本单位的****管理制度和安全策略要求,重点关注制度和策略的发布、评审和修订等方面。根据系统的安全等级,依照国家相关法律法规及政策标准,制定工作的总体方针和安全策略,规范各种安全管理活动的管理制度,对管理人员或操作人员执行的日常操作建立操作规程。通过建立信息安全的各项管理规范和技术标准,规范基础设施建设、系统和网络平台建设、应用系统开发、运行管理等重要环节,奠定信息安全的基础,形成由安全政策、管理制度、操作规程等构成的全面的、系统的信息安全管理制度体系。提供安全策略优化服务,主要收集安全设备、网络环境、运维权限及现有安全策略等信息,结合实际业务安全需求对现有安全策略进行差距分析,发现策略缺失、策略穴余、策略未废止等问题并制定相应工作方案开展策略优化工作。汇总所有安全设备的安全策略,形成汇总文件,汇总文件需保留开通记录。服务交付物包括但不限于:按月度/季度/年度输出《安全策略汇总》《安全策略和管理制度》 |
| * |
★****联合检查与 |
*.*.****联合检查与调研服务。根据****市党政机关****联合检查和党委党组责任制等指标要求,开展****迎检工作,包括不限于指标分解、解读、制定绩效考核、安全检查工作计划,按照要求进行落实,完成后进行材料汇编。收集材料并编写汇编文档,在现场检查时提 |
| * |
安全意识培训服务 |
*.*.安全意识培训服务。围绕****法、数据安全法、个人信息保护法、等级保护*.*等法律法规,根据受众不同,分为面向技术人员、面向全员以及面向开发商的培训,培训内容为信息安全意识教育、案例讲解、个人信息安全防护技术、安全开发知识相关培训。通过全员意识培训逐步提高人员安全意识,有效避免安全事故的发生;通过技术培训使技术岗位人员了解信息系统所面临的严峻安全威胁和挑战,以及如何进行全面有效的安全防护;通过安全开发培训从根本上减少因系统安全漏洞被监管单位通报的问题。中标人根据甲方****相关各岗位人员制定针对性培训计划,具体服务要求如下:(*)提供全员培训内容为安全意识培训,加强人员安全意识教育、关注****发展趋势、了解新的防范措施等。(*)提供安全技术培训,培训内容可包括***应用安全、数据安全、供应链安全、攻防演练、安全应急响应、安全等级保护、风险评估与风险管理等****技术知识。(*)安全开发培训应结合甲方的实际情况,按照全生命周期的开发流程协助甲方完善第*方开发公司的开发设计、编码规范、上线检测以及等保测评等流程。服务交付物包括但不限于:《培训计划方案》《安全技能培训***》《安全意识培训***》《安全开发培训***》 |
| * |
应急演练服务 |
*.*.应急演练服务。服务对象和范围:演练服务对象为市卫生健康委和市健研数管中心,参演单位为委指定直属单位,包括各医疗卫生机构。演练范围为在用业务系统,应急演练次数不少于*次。结合单位网络与数据安全突发事件应急预案,编制应急演练方案、脚本和演练环境、演练人员角色和职责分工及其它准备工作,并组织开展网络与数据安全突发事件应急演练工作,演练工作结束后将所有的应急演练均形成应急演练材料,包括应急演练脚本(由专业****公司撰写)、参与演练人员、相关视频、相关图片、总结报告及改进措施等内容。提升单位监测预警、研判分析和应急处置等能力,锻炼专业技术人员应急响应能力,熟悉应急响应流程和各自职责分工。服务交付物包括但不限于:《网络与数据安全应急演练报告》《网络与数据安全应急演练服务汇总》 |
|
|
渗透测试等手段进行评估,安全能力覆盖主要包括主机安全、应用安全、安全审计、监测防护等能力、统*运维等内容,评估完出具系统上线安全评估报告,提供安全加固建议,协助进行修复。服务交付物包括但不限于:《专项安全检测报告》 |
| ** |
网站云监测 |
*.**.网站云监测服务。对目标站点(包括但不限于所有外网系统)的关键页面进行实 |
| ** |
暴露面收敛服务 |
*.*.暴露面收敛服务。每季度根据单位互联网域名、重要关键字从多个纬度(互联网搜索引擎、在线文库、网盘、招聘网站、招投标网站、在线代码平台等)对暴露在互联网上的网络资产开展全网探测及梳理分析工作,包括不限于互联网***网站、互联网接口(***)、***、微信小程序、微信公众号、高危端口等,并根据梳理结果协助安全整改,收敛互联网暴露面,降低被攻击风险。服务交付物包括但不限于:月度《互联网资产发现台账》、月度《互联网资产梳理报告》 |
| ** |
敏感信息泄漏排查服务 |
*.*.敏感信息泄漏排查服务。根据****监管单位要求,加强单位敏感信息保护,防止敏感信息泄露。通过关键字、域名、邮箱等信息开展互联网敏感信息排查与梳理。(*)通过单位名称、域名、邮箱等信息匹配等技术手段,包括不限于******/******/*******等代码仓库或者开源社区、网盘等平台等渠道涉及甲方的敏感信息(如:业务数据、个人信息、业务系统源码等)进行排查梳理并输出排查报告。(*)针对已收集的甲方敏感信息提出针对性的整改加固建议,协助清除已发现泄露的敏感信息,加强后续数据防护。(*)协助甲方处理完成敏感信息数据以及安全加固防护后,应进行回归检查。服务交付物包括但不限于:月度《敏感信息排查报告》 |
| ** |
安全合规评估服务 |
*.*.安全合规评估服务。依据国家、省市在网络与数据安全、供应链、个人信息等方面的政策法规要求,开展数据安全风险评估、个人信息合规审计、个人信息安全影响评估、供应链安全风险评估工作,结合存在的风险给出整改建议,并提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,最大程度地保障网络与数据安全,符合法律法规要求与满足个人信息保护国家合规要求等落实保护措施,防止造成安全风险。提供***接口全面识别和评估服务,包括风险识别、风险评估、风险控制、风险监控等过程,可以有效降低***风险。服务交付物包括但不限于:《数据安全风险评估报告》《个人信息合规审计报告》《个人信息安全影响评估报告》《供应链安全风险评估报告》《***资产综合分析报告》 |
|
调研服务 |
供现场支持。根据****法、个人信息保护、数据安全法和医疗行业的相关要求,通过文件查阅、问卷调查、现场访谈、实地勘察等方式开展调研。摸清全市医疗卫生机构****现状,开展专项安全情况调研,统计分析当前全市卫生健康行业的****状况,结合实际情况提出科学合理的改进建议。服务交付物包括但不限于:《年度自查工作总结》《****市党政机关****联合检查资料汇编》 |
| ** |
抗****服务 |
*.**.抗****服务。提供抗****服务,包含**个系统接人授权,并提供云防护功能,满足业务需求。云防护服务提供云端安全防护服务:为用户提供云端***应用安全防护、人侵防护、实时攻击监测模块、*键关停、安全防护报告、安全可视。服务交付物包括但不限于:月度/季度/年度《云防护报告》 |
|
(*)△监测报告,支持按需提供周期性的网站安全云监测服务报告,包括年度报告、季度报告、月度报告、周报告,通过邮件形式自动向用户推送;报告应能对网站安全运行状况、漏洞情况、安全事件情况进行分析,并提供相应的修复建议以指导用户完成问题处置。支持提供监测站点的线上****报告,对网站基础信息进行展示,包括网站名称、*****注册信息***备案信息,支持展示安全漏洞详情和安全事件详情信息,实现无需下载即可了解网站整体安全评估状态 |
|
(*)可视化展示,支持提供监测结果可视化大屏,展示内容包括已安全告警次数、已人工核验安全事件、已人工核验漏洞、漏洞类型、断网次数(****、****)、断网时长、扫描被拦截站点数,支持按照漏洞等级、安全事件等级进行排名,并以轮播列表形式展现漏洞、安全事件和断网相关的历史记录信息。 |
|
(*)可用性监测,支持提供可用性监测服务,服务类型包括****和****可用性监测,为保障可用性监测准确性,监测节点应覆盖*大运营商,在全国范围内不少于**个,监测频率应能满足*分钟/次,提供安全解析服务。支持提供站点断网短信告警服务,通过短信内嵌的***链接可查看网站断网详情及原始断网日志信息。 |
|
(*)安全事件监测,支持提供安全事件监测服务,安全事件监测深度支持**层,可监测安全事件类型包括暗链、友情外链、坏链、黑页事件、**挖矿脚本、网页挂马,支持对监测到的安全事件提供***取证或截图取证,并通过服务平台展示。 |
|
(*)脆弱性监测,支持对网站潜在的脆弱性风险提供监测服务,云端监测引擎支持发现包括***注人漏洞、跨站脚本漏洞、命令执行漏洞、敏感信息泄露漏洞、文件包含漏洞、反序列化漏洞等漏洞类型。支持通过漏洞“加*”技术对发现的漏洞进行真实性验证,提升运营服务团队审核效率,并在专家复核后第*时间向用户进行推送,在统*服务平台进行展示。 |
|
服务 |
时算改监测,分钟级算改发现,第*时间通过微信、短信等进行实时告警,并提供主动电话告警。云监测引擎可对页面算改情况进行实时监测,通过采用标签域识别、资源参数化比对以及算改取证等技术,实时发现网站中发生的各类算改事件,帮助管理员尽快得知当前网被算改情况,能够在事发产生恶劣影响前尽快恢复系统正常。服务交付物包括但不限于:月度/季度/年度《云监测服务报告》服务期间提供的网站云监测服务需具备以下要求:: |
| ** |
|
★提供**名驻场安全人员组成安全运营团队,提供驻场安全服务,其中*人为专职高级渗透测试工程师。 |
| ** |
应急响应支持服务 |
*.**.应急响应支持服务。提供*×**小时重大安全事件的应急响应服务,包括但不限于对计算机病毒事件、蟠虫病毒事件、特洛伊木马事件、网页内嵌恶意代码事件、拒绝服务攻击事件、后门攻击事件、漏洞攻击事件、网络扫描窃听事件、信息算改事件、信息假冒事件、信息窃取事件等****事件应急响应工作。当网络、信息系统、终端电脑发生安全事件时,提供紧急的现场应急响应服务,采取有效的措施尽快恢复网络、信息系统、终端电脑的正常运行。提供****事件应急响应服务,在发生安全事件时第*时间协助开展事件分析与处置工作,具体服务要求如下:(*)在****事件发生后及时给出解决方案并提供技术支持,直至系统恢复。(*)提供****小时重大安全事件的应急响应工作,****事件或安全故障发生后,在半小时内响应,在*小时内到达现场。(*)在完成应急事件响应处理后及时向甲方出具信息安全事件或安全故障报告,内容应包括所遇到的问题、处理过程、处理结果及问题整改建议。服务交付物包括但不限于:《****事件应急响应分析报告》 |
| ** |
实战攻防演练防守服务 |
*.**.实战攻防演练防守服务。在上级安全监管单位组织开展的实战攻防演练时期,中标人应加强驻场和人力保障,提供*×**小时重大实战演练期间防守保障服务,做好网络与信息安全隐患排查、安全防护、预警监测等安全保障技术支撑服务,确保业务系统安全运行,避免敏感事件或影响业务的安全事件发生。 |
| ** |
安全预警服务 |
*.**.安全预警服务。提供主动检测预警服务和权威、及时、准确的安全风险预警,主要针对外网的系统提供漏洞预警服务,第*时间将相关风险知会客户,并提供专业的解决方案,便于及时修复漏洞,保障甲方外网系统的安全。 |
| ** |
终端安全与检测响应服 |
*.**.终端安全与检测响应服务。提供专网区终端安全与检测响应服务主机安全保护系统(****点服务端、***点**端)****规则库;互联网区终端安全与检测响应服务现有的主机安全保护系统(***点服务端、*** |
|
(*)工具支持用户自定义系统名称、版权信息和系统的****信息,而无需进行定制化。 |
|
(*)工具支持管理人员可根据系统给出的漏洞参数、****请求响应数据,快速验证,*键验证漏洞。支持对*******远程命令执行漏洞进行命令执行和文件上传的渗透测试验证操作。 |
|
(*)工具支持***代理扫描,可在产品界面添加代理网络配置,实现公有云、隔离网等特殊网络环境下的漏洞扫描。 |
|
驻场安全运维服务 |
*.**.驻场安全运维服务。协助市卫生健康委和甲方开展日常的安全检查工作,配合甲方整理相关材料,以及保障重点防护时期的****。安全产品运行维护:安全设备运行状态监测,每天对安全设备进行至少*次巡检,包括安全设备硬件状态巡检、安全设备软件状态巡检、安全设备性能状态巡检、日志检查、规则库检查。日常运维服务:针对现有的网络设备及本次采购的设备提供日常的威胁监测、处置、日志分析、策略的优化、调整、安全建设建议、应急处置等服务,协助市健研数管中心制定应用系统资产登记表,内容包括**、域名、端口、使用的组件及版本、开发单位、联系方式等信息并完成台账登记表,排查频率每月最少*次。风险评估:对全网所有资产,从安全管理和技术*个维度进行全面评估,识别我单位****风险,提供安全加固建议资产覆盖到服务器、网络设备、安全设备、应用等。信息资产台账管理:按照****管理标准要求,设计制定客户信息资产台账管理规范和配套工具表单,并将管理规范向相关方进行宣贯培训和发布。每季度发布资产更新盘点计划,收集审核各相关方提交的资产信息台账,并集中归档管理。安全风险闭环管理:使用具备销售许可证的国产应用层、主机层和数据库层检测工具开展全年常态化安全漏洞扫描工作,根据漏洞扫描的结果制定安全风险台账管理流程规范和相关配套工具表单,包括不限于系统***、**、漏洞名称、责任人、修复状态等信息,按照规范要求汇总整理客户安全工作过程中发现的各类安全风险清单,并通过有效的手段进行集中跟踪管理,确保所有已发现的安全风险均能够实现闭环管理,持续提升安全风险管理水平,降低因已知安全风险导致安全事件的可能性安全工作过程报告台账管理:将客户安全运营管理过程中的所有安全工作制度、报表和报告等进行分类分级集中管理,并建立相关管理规范,确保制度、报表和报告的可用性、完整性和查阅的便捷性、安全性,以有效支撑安全运营管理。服务交付物包括但不限于:月度《安全产品运行维护报告》、月度《日常运维服务报告》、年度《风险评估报告》服务期间提供的安全评估工具需具备以下要求: |
第**页共**页
|
*.*.防护等级要求:*****; |
|
*.*.警告/监测系统要求:支持通过继电器输出进行故障报警,支持通过系统日志记录和浏览事件******上报,支持****通过****发出事件警告通知; |
|
*.*.稳定性要求:正常工作条件下,连续工作****,不出现电、机械或操作系统的故障(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
*.*.支持射频电磁场辐射抗扰,在按**/******.*中的相关标准进行射频电磁场辐射抗扰度试验后,设备按预期持续正常且数据传输不受影响。(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
*.*.支持静电、放电抗扰,在按**/******.*中的相关标准进行静电、放电抗扰度试验后,设备的工作状态正常,数据传输完整性不受影响。(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
*.*.工作温度范围≥-**℃~**℃; |
|
(*)交换机参数要求:服务所提供的工具要求:*.*.支持不少于*个*兆电口,不少于*个*兆***口; |
| ** |
网络故障紧急恢复服务 |
*.**.网络故障紧急恢复服务。遇到紧急情况时,须通过使用交换机、能耗监测终端和上网行为管理等工具提供对网络故障恢复服务进行保障,所提供的工真归中标人所有,详细规格要求如下: |
| ** |
日常运维与审计服务 |
*.**.日常运维与审计服务。为通过处理内部业务工单的形式为托管于运维审计系统的用户提供运维工作支撑,资产授权数不限,中标人须无条件满足甲方需求。包括:账号管理、授权管理、设备管理、设备托管、提供运维操作回潮审计等。配合建立针对客户单位所属业务系统及网站账号运维操作的审计方法,定期对范围内账号操作进行审计并提交审计报告,在发现可疑操作行为时发出预警,降低因误操作或恶意内部人员造成重大信息安全事故的概率。对堡垒机日常维护服务,包括:堡垒机策略及审计日志维护工作、运维审计系统(堡垒机)运维账号配置与授权、故障处置,保证堡垒机正常运行,并且对密码托管进行安全管控。 |
| ** |
安全策略配置基线核查服务 |
*.**.安全策略配置基线核查服务。采用人工以及现场设备检查的方式,每季度对单位服务器、安全设备和网络设备等进行全面的安全配置核查和分析,包括不限于账号策略、密码策略、安全审计等内容,发现配置的不合规项,结合业务实际情况提供安全整改建议,协助开展安全加固,输出安全核查报告。服务交付物包括但不限于:季度《基线核查报告》 |
|
务 |
点**端)****规则库。服务交付物包括但不限于:月度/季度/年度《全网终端安全威胁分析报告》 |
第**页共**页
|
*.*支持******逃生,支持选择不逃生、全部用户逃生和已认证用户逃生等方式;可基于****、***、***等方式探测认证服务器(提供***配置界面截图) |
|
*.*支持自定义应用,包括但不限于数据包方向、协议、端口、**地址、目标域名、关键字识别等维度,数据包方向包括任意、请求数据、响应数据,关键字匹配模式支持文本或正则表达式:支持***域名学习模式,可引用数据包特征中的目标域名或指定域名。 |
|
*.*应用特征不少于****个,移动应用不少于****个。 |
|
*.*支持针对搜索引擎、****、网页内容进行关键字过滤并实时生成日志记录,日志级别包括但不少于紧急、告警、严重、通知、信息、调试、不记录等,方便管理员快速区分用户上网行为属性和定位日志级别。以上参数提供***配置界面截图。(所投产品须提供具备(中国合格评定国家认可委员会)资质的第*方权威机构关于“采用关键字过滤等方式实现对应用访问的控制”产品功能检测报告) |
|
(*)上网行为管理参数要求服务所提供的工具要求:上网行为管理*台,须提供原厂服务,功能全部授权与启用。 |
|
*.*.应具备物理防拆与电子防拆报警的双防拆机制,保证了终端与被监测设备的强绑定,防止误拆卸与人为的拆卸调换(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
*.*.配置*****聚合物锂电池,保障被监测的用电设备在不通电的闲置状态下,实现设备的定位功能。 |
|
*.*.可支持定位功能,可在监测设备工作状态的同时,对设备进行位置定位(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
*.*.保障了在检测通电状态的情况下,需支持通过旁路电压检测方式,避免了终端出现故障时影响用电设备的使用(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
*.*.支持监测用电设备的工作状态、电量消耗、定位信息,工作/待机时长检测、通电次数统计等功能(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
|
(*)能耗监测终端参数要求服务所提供的工具要求:*.*.支持蓝牙技术标准的定位,支持蓝牙****.*,支持*******协议,支持低功耗物联网通信。 |
|
|
*.*.△重载丢包率:以端口能力***%发送数据,计算丢包率,交换机因资源不足引起的包丢失率为*(须提供具备(中国合格评定国家认可委员会)资质的第*方机构出具的检测报告) |
第**页共**页
|
*.*.*****等级保护测评依据《信息安全等级保护管理办法》(公通字[****]**号)《信息安全技术****等级保护测评要求》和《信息安全技术****等级保护基本要求》(**/******-****)标准,对单位所有已定级备案的信息系统,根据安全保护现状开展信 |
|
*.*.*****等级保护定级备案对已确定级别的新建信息系统,在定级报告基础上,按照公安网监部门要求进行定级备案工作,并将相关材料按要求提交上级教育主管部门及公安网监部门,完成定级备案工作。提交材料包括:《信息系统安全等级保护定级报告》(*式*份)、《备案单位表》(*式*份)、《备案系统表》(*式*份)《信息安全等级保护工作小组名单表》(*份),《专家评审意见》(*份),纸质材料于封面加盖单位公章、骑缝章,同时提交电子版光盘。服务交付物包括但不限于:由公安网监主管部门印发的《信息系统安全等级保护备案证明》 |
| ** |
服务要求 |
*.*服务要求:*.*.*信息系统等级保护定级信息系统等级保护定级:根据上级主管部门关于信息系统等级保护的工作要求,对单位新建的应用系统进行定级,同时按照公安网监部门及教育主管部门要求填写《信息系统安全等级保护定级报告》。服务交付物包括但不限于:确定为等级保护*级及以上信息系统出具《信息系统安全等级保护定级报告》 |
| ** |
服务范围 |
*.*服务范围:对甲方正在运行使用的所有信息系统按照规定的等级标准开展****等级保护测评工作,具体以甲方实际需求为准(不少于**个信息系统)。 |
| ** |
基本要求 |
*.*基本要求:根据《****法》要求,针对甲方正在运行使用的所有信息系统,落实开展年度****等级保护测评工作,按照等级保护国家标准规范要求进行评测,找出存在的差距和不足,提出整改修复意见和建议。 |
| *.等级保护测评服务 |
|
|
|
*.*支持基于线路和多层通道嵌套的带宽管理和流量控制功能,提供至少*层管道嵌套;支持基于地址、用户、服务、应用、时间、终端型号、****、****等匹配条件进行流量控制;并支持配置保障带宽、最大带宽、每**带宽、每用户带宽、带宽优先级等***动作。(所投产品须提供具备(中国合格评定国家认可委员会)资质的第*方机构关于“采用线路和通道流控策略实现对应用、服务、用户、地址等对象的流量控制”产品功能检测报告) |
|
|
*.*支持本地安全防护,包括但不限于人侵防御、病毒防护、***防护、威胁情报等,人侵防御规则不少于****条,病毒防护规则不少于****。 |
第**页共**页
|
*.*.*信息系统等级保护整改方案设计如果测评报告结论为“不符合”,则需要依据《信息安全技术****等级保护基本要求》********-****和《信息安全技术****等级保护安全设计技术要求》**/******-****,针对等级测评报告中的现状问题,按照“*个中心*重防护”技术体系架构,基于可信计算技术和主动防御体系,为单位网络环境进行****保障体系整体方案设计。由于信息系统运行在整个网络环境中,因此等级保护整改方案应分别从计算环境、区域边界、通信网络和管理中心等方面进行安全技术和安全管理的体系设计与整改建议。方案设计工作内容包括:网络信息安全现状分析;与****国家标准对照性分析;****技术体系设计;****管理体系设计。服务交付物包括但不限于:《****保障体系整体设计方案》 |
|
|
息系统等级保护测评,并编写等保测评报告。服务交付物包括但不限于:《信息系统等级保护测评报告》 |
第**页共**页
功能介绍
换一批
放大
缩小
公告内容:
您当前为:
招标采购
询价订单
分包项目
直采订单
拟在建项目
业主委托
