北京市垂杨柳医院网络安全运维服务项目比选公告
- 2025-11-26
项目名称: 北京市垂杨柳医院网络安全运维服务项目比选公告
招标公司: 北京市垂杨柳医院
采购标的物: 信息安全风险评估、网络安全运维服务项目、安全规划咨询
项目地区:北京 北京
现向社会公开比选网络安全运维服务项目的承担单位,有关事项公告如下:
一、 委托单位
北京市垂杨柳医院
二、 申请部门
信息中心
三、 采购项目
1.项目名称:网络安全运维服务项目
2.项目内容:为我院提供网络安全运维服务。
3.技术参数需求
服务类别 服务项目 服务内容 最少服务频率
安全咨询 安全规划咨询 通过对医院的网络安全现状、漏洞扫描以及攻防演习等情况开展差距评估和行业对标,识别业务活动中的薄弱环节,提供局域可实施性的网络和数据安全规划咨询方案,确定未来1-3年的网络和数据安全建设工作任务和行动路线图,为网络和数据安全提供指导建议。
包含:网络安全架构调整、终端管控问题、脆弱性环节、设备管理、密码管理、数据安全等; 全年
安全评估 信息安全风险评估 根据医院信息系统的实际情况开展安全风险进行识别与分析,采用传统的风险评估方法,从资产、威胁、脆弱性的角度,进行风险值量化。通过安全管理体系评估评估安全策略、规章制度、程序、表单体系的完整性,及制度是否得到贯彻执行,是否及时更新,是否全面覆盖需进行网络安全风险评估的信息系统。 1次/年
系统渗透测试 1.根据上级安全监管单位的政策要求,结合医院的实际情况,模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试,目的是侵入系统,获取系统控制权并将入侵的过程和细节产生报告给用户,由此证实用户系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。如存在中高危漏洞则通知相关部门进行漏洞修复,并进行复测,出具漏扫和复测报告。
2.渗透测试包含系统数量:3个系统。 1次/年
新系统上线检测 按需对垂杨柳医院新上线系统进行基线核查、漏洞扫描等方法进行安全检测,收集需上线系统的web组件,开发框架等信息,检验新上线系统的安全问题,并与开发商在上线的全阶段进行密切沟通,在开发商修复后进行闭环复测,确保漏洞修复到位。针对上线检测服务输出检测情况、修复与加固建议。 日常工作
安全合规 完善安全制度 根据风险评估、等保测评结果,按照医院要求对安全管理制度和规范流程进行梳理和调整,保障信息安全管理得到有效执行和部分管理风险得到有效控制。 日常工作
信息安全培训 1.针对垂杨柳医院不同的对象展开不同层面的网络安全培训活动;
2.网络安全法律法规、相关文件的解读培训。 2次/年
网络安全等级保护合规保障 结合等级保护2.0相关标准要求协助医院开展等级保护定级备案、自测评、安全整改以及配合第三方测评的工作,协助医院通过等级保护测评。 1次/年
网络安全联合检查 根据当年度上级监管单位的党组责任制、绩效考核、联合检查等考核要求提供本年度的迎检服务工作。通过编写当年的工作计划以及指标解读,拆解指标完成情况并配合单位落地,在检查前准备联合检查材料资料汇编并协助医院通过现场检查。 日常工作
日常安全运维 驻场运维 根据医院网络安全的实际现状提供1位安全服务工程师驻场现场开展安全运维工作:
1.监控管理安全设备的运行、解决各类安全问题。
2.制订巡检制度、操作规范、应急处理方法等。
3.排除安全隐患、处理紧急事件和重大故障等工作。
4.具备安全产品使用经验,如态势感知、防火墙、EDR、WAF、日志审计等常见安全设备运维及排错能力、具备独立的日志分析、安全设备运营维护能力。
5.驻场工程师定期对医院安全设备进行安全日志巡检、包括但不限于服务器EDR杀毒日志、终端杀毒日志分析处理并进行加固。
6.根据医院需求及威胁安全事件进行汇总报告。 日常工作
基线核查 根据《网络安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)的标准要求,结合垂杨柳医院的实际情况,在不对网络和系统产生影响的情况下采用人工检测、工具核查等方式对医院的主机设备、网络设备、安全设备、数据库、中间件等设备和系统开展例行的安全配置基线核查。 1次/年
漏洞扫描 结合医院的实际情况,采用多套自动化的检测工具,针对医院所有相关信息系统使用的主机、终端、数据库系统、网络设备、安全设备、系统应用以及弱口令等进行漏洞扫描,如存在中高危漏洞则通知相关部门进行漏洞修复,并进行复测,出具漏扫和复测报告。 日常工作
资产梳理 针对垂杨柳医院所有生产系统及网络设备、安全设备、终端和移动终端,应用系统、存储,利用工具扫描资产,建立台账;颗粒度为IP地址、MAC地址、服务器版本、操作系统版本、中间件版本、网络设备型号、安全设备型号、安全设备规则库版本、数据库版本、系统开发使用的开源架构、打印机版本、个人生产运维终端版本、移动终端型号版本等。 日常工作
漏洞评估 对所有的扫描漏洞、公开披露漏洞、紧急发现漏洞等,出具相关评估,划分漏洞整改等级和必要性以及整改对系统和设备的影响。列出计划表,规定整改时限。 日常工作
"重保"专项保障 在重要节日、重大活动、护网行动等重保时期,加强驻场和人力保障,做好网络与数据安全隐患排查、安全防护、预警监测等安全保障技术支撑服务,必要时增派2-3人。确保垂杨柳医院业务系统安全运行,避免敏感事件或影响业务的安全事件发生。 日常工作
安全通告服务 利用最新漏洞研究,通过多种方式(电话、邮件、短信等)及时对互联网爆发的新型漏洞进行预警,对重大安全事件进行通告,协助垂杨柳医院及时了解最新外部安全环境和最新的漏洞信息,及时规避新安全漏洞带来的风险。 全年
应急演练 根据实际情况,为医院提供应急预案编写,结合应急预案,制定详细的年度综合性网络与网络安全应急演练方案,并协助开展应急演练,应急演练前,组织全体参演人员学习演练脚本并解说注意事项,通过应急演练加强安全应急预案的可执行性。 1次/年
应急响应 根据医院实际情况,提供信息安全应急响应工作,包括应急预案、事件处置及问题修复、报告输出。提供为期一年的365×7×24小时重大安全事件的应急响应工作,半小时以内响应,通过电话、电子邮件、或通过远程控制等方式提供非现场技术支持服务。重大安全事件4小时内到现场,应急响应主要针对突发的网站安全故障、网络安全事件、应用系统安全事件、主机安全事件、黑客攻击事件等进行诊断、分析并协助解决。在网络或安全设备发生故障之后,评估网络环境、配置、状况、备份等因素,判断是否可以进行修复。在做好数据的备份、现场的记录之后,对配置进行紧急修复,尽可能的减少故障时间。 全年
其他 其他 协助完成其他现场支持类网络安全工作。 全年
4.预算经费:29.8万元
5.服务期限:三年有效,首年后,每年根据满意度情况签订合同
四、 具体要求
(一)比选单位要求
1. 供应商应遵守有关的国家法律、法规和条例,具备《中华人民共和国政府采购法》和本文件中规定的条件;
2. 投标人应具有独立法人资格,持有工商行政管理部门核发的企业法人营业执照;
3. 参加此采购活动前三年内,在经营活动中没有重大违法记录;
4. 具有履行合同所必需的设备和专业技术能力;
5. 符合法律、行政法规规定的其它要求。
(二)比选资料要求
1. 提交有效的营业执照(或事业法人登记证或身份证等相关证明)副本复印件(复印件加盖公章);
2. 法人授权委托书(原件加盖公章);
3. 比选人近三年服务项目业绩一览表;
4. 法人代表身份证复印件(复印件加盖公章);
5. 受托人身份证复印件(复印件加盖公章);
6. 提供比选截止日前6个月内任意1个月依法缴纳税收和社会保障资金的相关材料。如依法免税或不需要缴纳社会保障资金的,提供相应证明材料;
7. 比选人必须具有良好的商业信誉和健全的财务会计制度(提供2024年度财务状况报告或基本开户行出具的资信证明或财务报表);
8. 材料中须留有联系人姓名及其手机号码。
五、 申报和评审事宜
1. 申报期限:自本公告发布之日起 3个工作日(2025年11月28日17:00前)。申请单位将盖章的《附件1 承办申请书》盖章电子扫描件提交至邮箱cylxxzx@,并在邮件主题处注明“网络安全运维服务项目-承办申请书-公司名称”字样。未按时提交材料视为申报不成功。
2. 提交材料:自本公告发布之日起 7个工作日(2025年12月4日17:00前)。申请单位将盖章的《比选文件》盖章电子扫描件提交至邮箱cylxxzx@,并在邮件主题处注明“网络安全运维服务项目-比选文件-公司名称”字样。相关纸质资料一正一副盖章并密封好,(包括投标人资质证明、产品介绍、报价等)与承办申请书纸质版一同送至北京市垂杨柳医院门诊楼3层 信息中心 。未按时提交材料视为放弃该项目比选资格。
3. 组织评审:北京市垂杨柳医院将根据实际情况,适时组织评审小组,从项目报价、企业实力、相关业绩、工作方案等方面,对申请单位进行评估,择优比选1家项目承担单位。
4. 结果公示:评审结果将在医院官网予以公示。
六、 联系方式
联 系 人:周老师、黄老师
联系电话:查看完整信息
附件1_承办申请书
附件2_网络安全运维服务比选方案
北京市垂杨柳医院
2025年11月26日
