新闻中心

首页 新闻中心 招投标公告 详细

云南省中医医院2025年网络安全等保测评服务项目方案咨询公告

2025.07.04

云南省中医医院针对2025年网络安全等保测评服务项目方案开展咨询工作,为保证采购工作公正、公平、公开顺利开展,欢迎具有相应资质和服务能力的供应商积极参加,按下列要求提供资料参与本次咨询。现将有关情况公告如下:

一、咨询内容及要求

(一)项目名称

序号

项目

数量

服务时间

1

网络安全等保测评服务

1

自合同签订之日起1年

 

(二)服务内容(十六条)

1、网络安全等级保护测评

按照等级保护 2.0《信息安全技术 网络安全等级保护基本要求》3 级要求对医院指定的8个三级系统从安全物理环境、安全网络通信、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等10个方面进行测评。

定级备案相关工作:需按照2025等保测评最新要求,协助云南省中医医院按照公安机关相关要求,填写表格,协助报送材料,协助获取未取得等级备案证书系统的备案证书。

网络安全管理制度编写:结合云南省中医医院当前的管理制度情况,协助云南省中医医院编写满足网络安全等级保护2.0要求的管理制度(满足网络安全等级保护测评要求中的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)。

2、漏洞扫描及验证

每季度通过人工+工具的形式对医院的网络设备、服务器、业务系统、数据库、中间件等开展漏洞扫描工作,并对发现的风险点进行人工分析及验证,对所发现风险点协助进行整改,输出《漏洞扫描及验证报告》。

3、渗透测试

每季度对云南省中医医院网络应用提供完整地黑客攻击模拟,对目标系统实行全面的渗透测试,验证在当前的安全防护措施下网络、系统抵抗黑客攻击的能力,在可控制范围内找出全部的安全隐患,协助医院进行安全隐患整改加固。输出《渗透测试报告》、《问题整改建议清单》

 

 

4、数据安全风险评估

针对医院重要信息系统每年提供一次网络数据安全风险评估服务,坚持预防为主、主动发现、积极防范,对数据处理者数据安全保护和数据处理活动进行风险评估,掌握医院数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力,为下一步开展数据安全体系建设提供依据,为确立医院数据安全策略和制定数据安全规划提供决策建议。评估内容包括:数据安全管理风险识别、数据处理活动风险识别、数据安全技术风险识别、个人信息保护风险识别方面,对医院系统重要数据资产在采集、传输、存储、加工处理、使用与共享、销毁各阶段的应用场景中可能存在的威胁、脆弱性及相关安全风险进行评估。输出《数据安全风险评估报告》

5、实战攻防演练

需安排不少于2名专业渗透工程师及1名安全工程师结合医院网络安全工作人员组建红蓝队伍开展实战对抗工作,实战攻防对抗时间不少于5个工作日。通过实战攻防演练对网络、系统、应用等进行攻击测试和安全演练,来评估医院的信息安全防御能力,找出潜在的安全风险和缺陷,并提高组织应对安全威胁的能力。 输出《实战演练工作方案》、《实战演练总结报告》

6、临时专项检查支撑

协助完成上级或监管等单位对医院在信息安全方面临时性布置保障的工作任务和整改任务。完成备查材料的准备,检查现场配合及过程资料归档等。出具《专项检查文档》。

7、终端资产测绘

在服务期间每季度通过专业服务工具,使用能够匹配公安部网络威胁情报库漏洞库等手段对云南省中医医院提供系统资产测绘服务,通过主动扫描的方式对网络资产进行全面探测,详细梳理已知资产,并发现未纳入安全管理的未知网络资产。输出《终端资产测绘报告》。

8、安全巡检及加固

在服务期间需每季度安排安全工程师现场进行安全巡检工作,通过人员访谈、现场勘查、文档查看等手段了解医院管理弱点;对网络、安全、业务等如路由器、交换机、防火墙、服务器、数据库等的运行状况、资源利用情况、网络连接情况等进行检查,检查系统健康状态。

9、重要时期安全保障

在敏感时期(如:云南省护网、国家护网、国家重大会议时期及其他)保障医院网络安全运行,提前制定安全保障计划,做到前期安全检查、中期现场值守、后期总结分析,保障医院重保期间重要系统敏感时期业务稳定及数据安全。输出《重保工作方案》、《重保期间每日监测报告》、《重保工作总结报告》。

10、应急演练

在服务期间需至少开展一次网络安全应急演练,并根据医院现状,制定网络安全应急预案,按照网络安全应急预案开展演练,演练场景不少于3个典型的案例,检验医院在遇到网络事件时应急指挥体系组织架构和人员配备以及安全事件响应处理流程的可行性和有效性。输出《应急演练工作方案》、《应急演练总结报告》。

11、安全培训

服务期内按需至少对医院网络安全工作人员提供两次关于网络安全基础知识、渗透测试基础知识、安全政策的专业知识和技能培训,每次培训时间不得低于1小时,出具培训计划、培训PPT、签到记录表和培训小结等培训痕迹成果。输出《网络安全培训PPT》、《网络安全培训小结》。

12、新系统上线检测及协助整改

按照医院的实际需求,针对医院新上线系统及升级改造系统,使用能够匹配公安部网络威胁情报库漏洞库等手段,最低通过安全评估、漏洞扫描、渗透测试、安全巡检、APP检测、基线核查、漏洞复测等检测措施,全面评估新系统存在的安全风险,并协助医院进行整改,及时掌握系统安全状况和面临的威胁,减少安全风险,提高应急处置能力,确保信息系统持续安全稳定运行,避免因应用系统开发过程中的疏漏或技术局限造成的经济损失和社会影响。输出《新系统上线检测报告》

13、日常威胁发现及处置

需派驻一名具有资质的安全工程师提供驻场服务,每个工作日在现场对全网安全设备、网络设备、服务器等资产的日志进行各类安全数据分析并记录,挖掘潜在的安全威胁,根据分析结果,每日输出安全值守监控分析报告,并针对安全事件提供合理的整改措施建议。同时协助医院对等保测评、风险评估所发现的安全风险点进行统筹及加固,确保安全风险在逐步减少。输出《安全值守监控分析报告》、《风险处置报告》。

14、安全态势监测

需提供专业安全态势监测工具,针对医院互联网边界提供7*24小时实时的安全监测服务,通过工具与公安部网络威胁情报库联动。在基于情报的基础上,对所有访问源地址进行分析,实时识别攻击IP,并对攻击源IP进行封禁;对内部资产外联远控行为进行7*24小时安全检测,实时对服务器/虚拟机外联黑域名、黑IP的行为进行阻断;对内部系统弱口令登录7*24小时实时检测,当访问者采用弱口令访问目标系统时,能够自动阻断请求行为;对攻击源IP进行追溯,统计攻击源IP的历史攻击轨迹;能够将网络攻击、外联行为进行统计及可视化展示。

15、API接口资产梳理

每年对医院内部的所有API接口进行一次全面的识别、分类、记录和管理,协助医院建立API接口资产管理台账,完善API接口管理制度,帮助医院降低运营成本、增强安全性和合规性。

16、舆情检测及威胁预警

需每半年对互联网侧关于医院不良言论进行排查,通过资产指纹信息(规则)与多维语义分析技术进行精准识别,并对特定平台上的敏感数据进行实时监控,为医院提供全面的安全态势感知与决策支持。协助医院收集并整理公众对特定事件、话题或组织的态度、情感和观点,帮助医院了解社会舆论动态、预测风险趋势、改善公众形象和维护声誉。在完成舆情检测的同时,需对医院不定期的提供威胁预警服务,对互联网上的漏洞情报进行监控、收集,结合安全专家对威胁情报进行研判及内部资产的梳理,最终实现外部威胁与内部资产联动,精准定位内部资产威胁。输出《舆情检测报告》、《威胁情报报告》。

(三)服务标准、期限、效率等要求

合同签订后30个工作日内完成未备案系统的备案工作,并完成现场等级测评工作,并出具初评报告。管理制度编写及最终报告于半年内完成,其他安全服务按照服务规划按期进行。服务期内需提供驻场人员审核材料及无犯罪记录,除技能不能满足工作需要外,不得随意更换人员,提供各项工作报告及工作日志(月报,季报)。

(四)其他技术、服务等要求

服务需满足国家相关标准及要求,执行国家相关标准、规范参考如下:《中华人民共和国网络安全法》《中华人民共和国数据安全法》《卫生医疗机构网络安全管理办法》《网络安全等级保护测评过程指南》GB/T28449-2018《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019《信息安全技术 信息系统安全通用技术要求》GB/T 20271—2006《信息安全技术 信息系统安全管理要求》GB/T 20269—2006《信息安全技术 网络基础安全技术要求》GB/T 20270—2006《信息安全技术 操作系统安全技术要求》GB/T 20272—2019《信息安全技术 数据库管理系统安全技术要求》GB/T 20273—2019《网络安全等级保护测评机构管理办法》公信安〔2018〕765号《关于进一步做好网络安全等级保护有关工作的通知》公网安〔2025〕1001号

 

二、报名材料要求

1、供应商须为中华人民共和国境内登记注册的企业(事业)法人或非法人组织,具备有效的营业执照(或其他类型法人机构法定证明文件)。

2、供应商法人身份证复印件、经办人身份证复印件、经办人授权书、无犯罪承诺书以及供应商在本项目谈判截止时间前未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人及中国政府采购网(www.ccgp.gov.cn) “政府采购严重违法失信行为信息记录名单”截图;

3、服务方案:包括但不限于服务内容细化,工作进度规划、人员保障、服务报价、售后服务能力、相关实施案例合同等(方案无报价视为无效)。

4、投标人须提供具备履行合同所必需的设备和专业技术能力的证明材料。

5、投标人须具备公安部第三研究所颁发的《网络安全服务认证证书等级保护测评服务认证》(复印件加盖公章)。

6、少于三家供应商提交方案咨询响应文件,本次方案咨询结果无效。以上材料均需加盖公章并扫描成PDF文件(请确保PDF文件内容清晰)。

三、报名方式

1、网上报名:提供上述材料的电子文档发送至邮箱ynszyyyxxzx@163.com

2、材料提交截止时间:发布公告后5个工作日内。

3、报名联系人:常老师

联系电话:0871-63629514

原标题:

扫一扫,手机端浏览