***市第一人民醫(yī)院擬對如下項目進行采購，歡迎符合條件且誠意合作的供應(yīng)商報名參與。

一、項目概述

項目編碼：XYYYTP-***

項目名稱：網(wǎng)絡(luò)安全服務(wù)項目

項目預(yù)算總額：根據(jù)本項目內(nèi)容，按市場報價***an>

項目概述：全年線上線下網(wǎng)絡(luò)安全服務(wù)。

二、項目商務(wù)資質(zhì)要求

（一）供應(yīng)商資質(zhì)要求：

1.公司注冊資金不少于 200 ***元（必有項）

2.公司注冊時間不少于 2 年（必有項）

3.***報名（必有項）

4.公司經(jīng)營范圍需包含本項目（必有項）

①法人授權(quán)書

②公司營業(yè)執(zhí)照

③近三年須未被列入“信用中國”網(wǎng)站(www***)失信被執(zhí)行人、重大稅收違法案件當事人名單、企業(yè)經(jīng)營異常名錄和“中國政府采購”網(wǎng)站（www***）政府采購嚴重違法失信行為記錄名單（以投標截止當日查詢結(jié)果為準），并提供證明材料。

④投標人具有ITSS信息技術(shù)運行維護證書、高新技術(shù)企業(yè)資質(zhì)、網(wǎng)絡(luò)安全工程師證書。

⑤3年內(nèi)有醫(yī)院網(wǎng)絡(luò)安全服務(wù)的項目案例，要求投標方提供項目合同有效部分復印件。

5.被委托人與委托人簽訂的勞動合同或勞務(wù)合同和由勞動保障部門提供的社保證明或查詢社保網(wǎng)站對單位***。（必有項）

6.本項目不接受聯(lián)合體投標（必有項）

（以上材料加蓋公章）

• 投標文件要求：

必須提供裝訂成冊一式五套的投標文件（含一正四副），包含的內(nèi)容依次為：

1.標書目錄（注意標明頁碼）（必有項）

2.投標函、廉潔承諾書（必有項）

3.報價***方采購文件配置需求一覽表表）（必有項）

4.法定代表人身份證（含法人身份證正反面復印件）（必有項）

5.授權(quán)委托書（格式詳見附件1）（必有項）

6.被委托人與委托人簽訂的勞動合同或勞務(wù)合同和由勞動保障部門提供的社保證明或查詢社保網(wǎng)站對單位***。（必有項）

7.提供現(xiàn)場資質(zhì)審查的原件資料（與“項目商務(wù)資質(zhì)要求” 中

第4條一一對應(yīng)；***的公章）（必有項）

8.項目方案（可選項）

9.公司財務(wù)狀況（可選項）

10.提供盡可能多的與本項目內(nèi)容一致或接近的項目案例，要求投標方提供項目合同有效部分復印件（必有項）

（三）注意事項：

1.請注明服務(wù)項目價***ong>（必有項）

2.宣傳彩頁等等（可選項）

3.與項目有關(guān)的承諾、***受托人簽字。

（必有項）

4.各供應(yīng)商代表報價***價***價***判最

終價***strong>（必有項）

5.付款方式按照***市第一人民醫(yī)院有關(guān)規(guī)定執(zhí)行。

• 采購項目技術(shù)要求

3.1服務(wù)周期

服務(wù)期為自簽訂合同之日起一年

3.2服務(wù)清單

3.2.1線上服務(wù)

3.2.2線下服務(wù)

3.3詳細服務(wù)技術(shù)要求

3.3.1安全運營服務(wù)

基于人機共智模式，對不同安全設(shè)備的安全日志、流量進行關(guān)聯(lián)分析，通過安全專家主動識別網(wǎng)絡(luò)和主機中的安全威脅，主動響應(yīng)，協(xié)助客戶閉環(huán)處置安全事件。

威脅分析和預(yù)警：建立威脅模型，實時監(jiān)測網(wǎng)絡(luò)安全狀態(tài)，并自動生成工單。云端專家針對每一類威脅，進行深度分析驗證分析判斷是否存在其他可疑主機將深度關(guān)聯(lián)分析的結(jié)果通過郵件、微信等方式告知用戶。

流行威脅通告與排查：結(jié)合威脅情報，云端專家排查是否對用戶資產(chǎn)造成威脅，通知用戶。

主動響應(yīng)服務(wù):病毒類：提供病毒處置工具，協(xié)助用戶查殺病毒；攻擊類：提供處置建議漏洞利用類：驗證是否利用成功，提供工具協(xié)助處置；失陷類：協(xié)助用戶處置，并提供溯源服務(wù)。

3.3.2漏洞掃描服務(wù)

采用專業(yè)安全掃描工具與人工檢查相結(jié)合的方式，對應(yīng)用系統(tǒng)進行安全掃描，發(fā)現(xiàn)漏洞，提供掃描報告，并根據(jù)掃描報告給出漏洞整改或修復建議。

專業(yè)安全掃描工具：支持對Windows系統(tǒng)漏洞進行掃描評估檢查；支持對Linux、Unix系統(tǒng)漏洞進行掃描評估檢查；支持對網(wǎng)絡(luò)設(shè)備和防火墻等系統(tǒng)漏洞進行掃描評估檢查；支持對數(shù)據(jù)庫、中間件系統(tǒng)的漏洞進行掃描評估檢查；支持對郵件、操作系統(tǒng)等本地系統(tǒng)安全進行掃描評估檢查；支持對各種系統(tǒng)的遠程服務(wù)進行掃描評估檢查；支持對各種系統(tǒng)服務(wù)項進行掃描評估檢查；支持對Oracle、MySQL、SQLserver等數(shù)據(jù)庫的SQL注入攻擊漏洞進行掃描評估檢查；支持對XSS跨站腳本攻擊漏洞進行掃描評估檢查；支持對Apache、Tomcat、IIS等系統(tǒng)漏洞進行掃描評估檢查；支持對網(wǎng)絡(luò)爬蟲、掃描器的信息泄露、目錄遍歷等攻擊方式進行掃描評估檢查；支持對CSRF、Shell上傳文件等漏洞進行掃描評估；支持五種以上Web掃描深度策略，高危漏洞、中危漏洞、低危漏洞、SQL注入漏洞、跨站腳本攻擊漏洞等。

3.3.3應(yīng)急響應(yīng)

服務(wù)內(nèi)容

對于應(yīng)用系統(tǒng)中出現(xiàn)的影響業(yè)務(wù)正常運行的任何異常事件進行現(xiàn)場服務(wù)支持并且保證數(shù)據(jù)安全。如：重大業(yè)務(wù)調(diào)整、網(wǎng)絡(luò)中斷、故障排查、策略修改等需要的故障修復或協(xié)助服務(wù)；破壞應(yīng)用系統(tǒng)的完整性、系統(tǒng)資源拒絕服務(wù)、通過滲透或者入侵的方式來對系統(tǒng)進行非法訪問，系統(tǒng)資源的濫用以及任何可能對系統(tǒng)造成損害的行為等，都屬于應(yīng)急響應(yīng)服務(wù)的內(nèi)容。

投標人需要提供的應(yīng)急響應(yīng)包括三個級別的應(yīng)急響應(yīng)支持：緊急事件應(yīng)急響應(yīng)：1小時內(nèi)到達現(xiàn)場并且4小時內(nèi)解決故障；一般事件應(yīng)急響應(yīng)：4小時內(nèi)到達響應(yīng)現(xiàn)場并且24小時內(nèi)解決故障。同時還需提供對以下的事件進行響應(yīng)：

a．通過失陷主機功能分析其失陷確定性為“已失陷”的事件；

b．通過失陷主機功能分析其失陷確定性為“高可疑”的事件。

事件響應(yīng)的內(nèi)容包括：

a．對事件的失陷確定性進行判斷

b．對確定失陷的主機進行清理，清除感染的惡意程序或被植入的網(wǎng)頁木馬。

c．對病毒的感染方式或者業(yè)務(wù)被入侵的途徑進行分析

d．對事件的預(yù)防給出加固建議

成果交付：交付物包括以下文檔：《應(yīng)急響應(yīng)服務(wù)報告》

服務(wù)頻次

不限次/年，且如有必要隨叫隨到。

服務(wù)交付物

《應(yīng)急響應(yīng)報告》

3.3.4系統(tǒng)漏洞加固

對于通過各種措施發(fā)現(xiàn)的安全漏洞、安全弱點、安全風險，需要通過多方面的安全加固措施進行修補，確保每個系統(tǒng)的安全性。

安全加固服務(wù)主要包括以下類型：

（1）操作系統(tǒng)補丁服務(wù)

供應(yīng)商在發(fā)現(xiàn)系統(tǒng)的BUG或在服務(wù)器中發(fā)現(xiàn)針對主機業(yè)務(wù)系統(tǒng)對應(yīng)的BUG或安全補丁，及時通知甲方并提交此BUG風險評估以及安全補丁對業(yè)務(wù)的影響分析報告，由雙方確認是否進行升級和安裝補丁

①分析BUG和安全補丁對業(yè)務(wù)系統(tǒng)的影響并提交分析報告。

②在相關(guān)業(yè)務(wù)測試機或備機上進行測試補丁安裝，并測試業(yè)務(wù)是否正常交易。

③在測試通過后對生產(chǎn)系統(tǒng)進行備份

④在生產(chǎn)系統(tǒng)上安裝補丁

⑤在生產(chǎn)系統(tǒng)上測試業(yè)務(wù)

（2）數(shù)據(jù)庫漏洞補丁服務(wù)

供應(yīng)商需要定期進行數(shù)據(jù)庫安全補丁檢查，防患于未然，使用數(shù)據(jù)庫漏洞掃描工具，對生產(chǎn)域中數(shù)據(jù)庫的安全現(xiàn)狀進行全面檢測。安全漏洞項包括：弱口令、缺省口令、弱安全策略、權(quán)限寬泛、敏感數(shù)據(jù)發(fā)現(xiàn)、權(quán)限提升漏洞、補丁升級等，評估是否存在安全漏洞并提供修復建議。

①對當前系統(tǒng)中重要數(shù)據(jù)庫進行全面的安全漏洞檢測，有效暴露當前數(shù)據(jù)庫系統(tǒng)的安全問題。

②提出漏洞修復的建議，進行整體安全加固，提升數(shù)據(jù)庫系統(tǒng)整體的安全性。

③對數(shù)據(jù)庫中重要敏感信息的安全保護，從存儲層、數(shù)據(jù)庫訪問控制層、應(yīng)用安全層面實現(xiàn)全方位防止敏感信息泄密。

④分析內(nèi)部不安全配置，防止越權(quán)訪問：通過只讀賬戶，實現(xiàn)由內(nèi)到外的檢測；提供現(xiàn)有數(shù)據(jù)的漏洞透視圖和數(shù)據(jù)庫配置安全評估；避免內(nèi)外部的非授權(quán)訪問。

漏洞掃描發(fā)現(xiàn)的高風險：

通過每季度漏洞掃描發(fā)現(xiàn)的各類高風險漏洞，需要進行安全加固，以消除高風險安全漏洞。

安全設(shè)備加固服務(wù)：

協(xié)助用戶調(diào)整安全設(shè)備的安全策略，如增加服務(wù)器、減少服務(wù)器而需要改變安全設(shè)備的通行端口等內(nèi)容。

3.3.5 重要時期安全保障

運維工程師和技術(shù)服務(wù)商組織的專家隊伍須保障節(jié)假日和國家重大會議期間的網(wǎng)絡(luò)和信息安全，提供實時值守監(jiān)控服務(wù)，做好防攻擊、防篡改、防病毒、防癱瘓、防劫持、防泄密等工作，做到第一時間響應(yīng)并處置各類網(wǎng)絡(luò)信息安全突發(fā)事件，保障期間需每日提供《信息安全保障值守報告》。

• 采購項目綜合要求

1.服務(wù)原則

（1）標準性原則

信息安全服務(wù)方案的設(shè)計與實施嚴格依據(jù)國內(nèi)及國際的相關(guān)標準進行。

（2）保密原則

對信息安全服務(wù)的過程和結(jié)果嚴格保密，未經(jīng)授權(quán)不得泄露給任何單位***。

（3）規(guī)范性原則

在信息安全服務(wù)工作中的過程和文檔，須具有很好的規(guī)范性，可以便于項目的跟蹤和控制。

（4）可控性原則

信息安全服務(wù)所使用的工具、方法和過程在認可的范圍之內(nèi)，服務(wù)進度遵守進度表的安排，保證服務(wù)工作的可控性。

（5）整體性原則

信息安全服務(wù)的范圍和內(nèi)容整體全面，包含安全涉及的各個層面，避免由于遺漏造成未來的安全隱患。

（6）高效性原則

信息安全服務(wù)遵循高效性原則，響應(yīng)迅速，問題故障解決快速。

2.售后服務(wù)要求

投標人針對本項目服務(wù)內(nèi)容成立專門的安全運維專家團隊以提供

后備技術(shù)保障力量。

出現(xiàn)重大信息安全事件時，投標人工程師需不多于4小時內(nèi)到達現(xiàn)場并且2小時內(nèi)解決故障；針對一般事件應(yīng)急響應(yīng)：投標人工程師需不多于8小時內(nèi)到達響應(yīng)現(xiàn)場并且24小時內(nèi)解決故障。

3.技術(shù)服務(wù)風險評估

我院若在招標完成后但未簽訂合同前的這段時間內(nèi)出現(xiàn)關(guān)于網(wǎng)絡(luò)安全方面的突發(fā)應(yīng)急事故需要支持，擬成交商需無條件全力支持。

若我院在一年服務(wù)期內(nèi)的重保時間段（僅包含供應(yīng)商在現(xiàn)場維護期間且我院按照供應(yīng)商提供的可行性安全防護方案進行配合時）發(fā)生重大網(wǎng)絡(luò)安全事故且未能及時處理而造成惡劣影響，我院有權(quán)在無任何責任的情況下直接與供應(yīng)商解除合同，同時供應(yīng)商需按合同要求賠償金錢等各種損失。

• 項目評分標準

評委根據(jù)本項目承辦科室所提出的各項要求，對投標人進行綜合評判，并客觀公正地進行推薦排序。

六、談判程序和方法

（一）本次采購為價***。供應(yīng)商應(yīng)派其授權(quán)代表持有效身份證件按采購文件規(guī)定的時間遞交談判響應(yīng)文件，并準備參加談判。

（二）供應(yīng)商應(yīng)當在談判文件“供應(yīng)商報名須知”要求的截止時間***，將響應(yīng)文件密封送達談判會議現(xiàn)場。在截止時間***，談判小組應(yīng)當拒收。

（三）供應(yīng)商在提交響應(yīng)文件截止時間***，可以對所提交的響應(yīng)文件進行補充、修改或者撤回。補充、修改的內(nèi)容作為響應(yīng)文件的組成部分。補充、修改的內(nèi)容與響應(yīng)文件不一致的，以補充、修改的內(nèi)容為準。

（四）談判小組在對響應(yīng)文件的有效性、完整性和響應(yīng)程度進行審查時，可以要求供應(yīng)商對響應(yīng)文件中含義不明確、同類問題表述不一致或者有明顯文字和計算錯誤的內(nèi)容等作出必要的澄清、說明或者更正。供應(yīng)商的澄清、說明或者更正不得超出響應(yīng)文件的范圍或者改變響應(yīng)文件的實質(zhì)性內(nèi)容。

（五） 談判小組所有成員應(yīng)當集中與單一供應(yīng)商分別進行談判，并給予所有參加的供應(yīng)商平等的談判機會。

七、談判資格評審

談判小組將依據(jù)磋商文件要求，對所有供應(yīng)商提交的談判文件進行資格評審；對未實質(zhì)性響應(yīng)文件要求的，談判小組應(yīng)現(xiàn)場告知供應(yīng)商，取消其參加評標資格。

八、抽簽及參與談判

（一）實質(zhì)性響應(yīng)談判文件資格要求的供應(yīng)商按所抽取的談判順序，依次與談判小組分別進行談判。

（二）談判小組將就談判文件中的技術(shù)、服務(wù)要求、合同草案條款等與供應(yīng)商一一洽談。

（三）談判小組可以根據(jù)談判文件和談判情況實質(zhì)性變動采購需求中的技術(shù)、服務(wù)要求以及合同草案條款。

（四）對談判文件作出實質(zhì)性變動是談判或談判文件的有效組成部分，應(yīng)當以書面形式同時通知所有參加談判的供應(yīng)商。

（五）談判結(jié)束后，談判小組將要求不少于三家參加談判的供應(yīng)商在規(guī)定時間內(nèi)提交最后報價***報價***少于3家。最后報價***判響應(yīng)文件的有效組成部分。

（六）響應(yīng)供應(yīng)商的報價***購預(yù)算，談判活動終止。

（七）價***叁輪報價***后，評委對供應(yīng)商承諾的事項進行綜合評議，若出現(xiàn)不能明確推薦第一名或第二名的供應(yīng)商時，組織與之相對應(yīng)的供應(yīng)商進行第四輪報價***an>

九、確定成交候選人

經(jīng)談判，在確定最終采購需求和提交最后報價***，推薦完全響應(yīng)談判文件所提出的要求、且價***應(yīng)商,為第一成交候選人。

十、合同條款

根據(jù)《中華人民共和國合同法》，采購人和中標人（成交供應(yīng)商）之間的權(quán)力和義務(wù)，應(yīng)當按照平等、自愿的原則，依據(jù)文件要求和響應(yīng)文件承諾，簽訂合同。

十一、供應(yīng)商報名須知

（一）報名起止時間：******月***日-******月***日下午***時***分截止。

（二）報名地點：

***市第一人民醫(yī)院采購管理辦公室。

（三）報名聯(lián)系電話：采購管理辦公室 ***

（四）報名資料清單：（現(xiàn)場報名，***原章）

1.法人證明或法人授權(quán)委托書（請嚴格按照附件1格式出具法人和受托人的身份證復印件）

2.營業(yè)執(zhí)照

3.按照本采購文件“項目商務(wù)資質(zhì)要求”提供相關(guān)證明材料。

4.公司承諾書（***提供報名資料復印件真實性的承諾）。

（五）注意事項：

1.請報名的供應(yīng)商在接到會議通知后，按要求準備好標書五份（一正四副）、項目受托人身份證原件等各類資料證件。

2.請供應(yīng)商準時到達會場，遲到者，視為自動放棄，不再另行通知。

3.若采購會議前更換受托人，新受托人需攜帶新的法人授權(quán)委托書和相關(guān)資料到現(xiàn)場。

附件1：

法定代表人授權(quán)委托書

致：

我（姓名）系（單位***） 的法定代表人，現(xiàn)授權(quán)委托本單位（姓名）為該項目代理人，代表我單位***（項目名稱） （項目編號***le=“color:purple“>）采購，授權(quán)事項:

。

委托期限： 。***均予以承認。受托人無權(quán)轉(zhuǎn)讓委托權(quán)。

受托人在本單位***：

受托人身份證號：

受委托人的聯(lián)系方式（手機）：

附：1、單位***（復印正、反兩面）

2、受托人身份證復印件（復印正、反兩面）

委托單位（供應(yīng)商）： （公章）

法定代表人（簽字或個人印章）：

受委托人（簽字）：

授權(quán)日期：年月日