首都医科大学附属北京中医医院安全运维服务技术要求.docx

1、首都医科大学附属北京中医医院安全运维服务技术要求首都医科大学附属北京中医医院2019年安全运维服务技术要求一、项目内容及技术要求1. 项目需求为了保障首都医科大学附属北京中医医院（以下简称“中医医院”）核心业务系统持续、稳定的运行，确保信息系统安全方面满足国家相关规范要求，需要按照北京市卫生局关于进一步加强北京卫生行业信息安全等级保护工作的通知京卫办201226号文件和等级保护的基本要求对核心业务系统进行全面的信息安全保障服务。2. 项目内容本次的采购内容：服务类别服务项目服务内容服务周期运维服务安全运维服务 网站安全监控（远程） 网络安全设备定期运行巡查 信息安全等级保护工作检查辅助服务 网

2、络安全运维服务报告全年常态化安全服务网络信息系统安全运行技术设施服务 网络信息系统安全隐患检查服务 网络信息系统脆弱性分析服务 网络信息系统安全整改加固服务 网络信息系统渗透测试服务 网络系统运行故障处置全年网络信息系统安全咨询服务 等级保护咨询服务 人员安全培训服务应急保障服务信息安全重点保障服务 信息安全应急预案编制服务 信息安全动态通告服务 信息安全应急响应服务 信息安全应急演练服务 重大时期安全保障服务全年3. 项目要求3.1. 运维服务3.1.1. 网站安全监控（远程）服务内容：投标人需对中医医院网站进行远程安全监控。（1）漏洞风险感知可对硬件、操作系统、数据库、中间件、框架、脚本语

3、言等各种类型的已知可利用漏洞进行检测，并对检测结果进行综合分析并上传。（2）敏感监测检测站点是否存在敏感信息，包括非法言论、非法链接。（3）恶意篡改监测采用外挂轮询技术，定期监测网站内容，恶意篡改网页内容进行判定。（4）访问流量监测实时获取站点的 URL 访问情况以及各项统计信息，并将访问情况通过大数据进行可视化展示。（5）风险监测报告 对发现风险的资产自动生成并导出专业风险监测报告，根据风险类型、风险级别、资产分类等多维度、全面分析报告。服务频率：全年提交成果：首都医科大学附属北京中医医院网站监测报告3.1.2. 网络安全设备定期运行巡查服务内容：针对日常业务系统的运行情况，投标人应指派专人

4、对中医医院信息系统运行健康状态进行巡查和检测，检查范围包括：服务器、安全设备、网络设备。并将检测结果汇报给中医医院信息部门相关负责人，及时发现并消除日常运行过程中的安全隐患，确保中医医院相关业务持续运行。提供智能信息化运维管理系统用于记录巡检服务工作内容，以便甲方清晰了解巡检服务绩效；投标人应具有智能信息化运维管理系统著作权（取得自招标之日起6个月以上），不会因使用该系统引起未知的知识产权纠纷；提供智能信息化运维管理系统截图（不少于三张），能够清晰展示服务过程，并支持用户评价。服务频率：全年提交成果：首都医科大学附属北京中医医院安全巡查报告3.1.3. 信息安全等级保护工作检查辅助服务服务内容

5、：投标人需辅助中医医院进行信息安全等级保护检查工作，并从技术优化和管理制度完善两个方面制定安全整改与优化方案，在得到中医医院的认可后，协助中医医院完成网络安全、主机安全、数据库安全等问题整改。协助中医医院编制信息安全自查报告和汇报材料。服务频率：全年提交成果：首都医科大学附属北京中医医院信息安全自查报告3.1.4. 网络安全运维服务报告服务内容：（1） 健康检查运维服务为了确保中医医院信息系统长期、稳定的运行，需要投标人定期对信息系统进行检查，了解信息系统整体工作状态。通过健康检查服务排除故障隐患，降低故障率。（2） 安全事件审计运维服务投标人需要定期对各类系统产生的安全日志进行全面、有效的收

6、集、管理、分析等服务，并将结果告知中医医院信息中心相关负责人。（3） 网络行为审计运维服务投标人需要定期对中医医院网络行为进行审计，收集、检查、分析、比较用户网络行为数据。发现违反安全策略的行为，及时进行阻断。（4） 终端安全监控投标人需定期监控中医医院全网终端恶意行为，定期优化终端安全策略，并根据对中医医院终端安全状态的检查结果制定接入可控制策略。（5） 其他提供项目管理系统以支持对项目进行管理，以协助甲方详细记录项目执行过程；投标人应具有项目管理系统著作权（取得自招标之日起6个月以上），不会因使用该系统引起未知的知识产权纠纷；提供项目管理系统截图（不少于三张），能够清晰展示项目运行过程，如

7、项目进度展示及建立项目子任务等。提供资产管理系统以支持对资产进行管理，以协助甲方详细记录资产信息；投标人应具有资产管理系统著作权（取得自招标之日起6个月以上），不会因使用该系统引起未知的知识产权纠纷；提供资产管理系统截图（不少于三张），能够记录资产详细信息，并支持维护资产属性。服务频率：全年提交成果：首都医科大学附属北京中医医院网络安全运维服务报告3.2. 网络信息系统安全运行技术设施服务3.2.1. 网络信息系统安全隐患检查服务服务内容：投标人需对中医医院信息系统现状进行详细调查。对机房内系统的物理资产、系统资产、数据资产以及网络结构等进行了解并分析。对服务器策略、网络设备策略、安全设备策略

8、定级进行检查。服务频率：全年提交成果：首都医科大学附属北京中医医院网络信息系统安全隐患检查报告3.2.2. 网络信息系统脆弱性分析服务服务内容：投标人需根据中医医院现有的网络环境、安全措施对信息系统进行脆弱性检查，脆弱性检查服务内容主要涉及：服务器脆弱性检查、网络设备脆弱性检查、安全设备脆弱性检查等。服务频率：全年提交成果：首都医科大学附属北京中医医院网络信息系统脆弱性分析报告3.2.3. 网络信息系统安全整改加固服务服务内容：投标人需根据国家信息安全等级保护政策和标准，国家信息安全等级保护相应级别的技术要求，对安全设备、网络设备配置及策略评价，如防火墙、网络入侵检测、交换机、上网行为管理、网

9、络综合审计等，重点是对设备采用的安全策略进行评估。完成对中医医院信息系统物理环境、主机安全、网络安全、应用安全、数据安全的加固服务。服务频率：全年提交成果：首都医科大学附属北京中医医院网络信息系统安全整改加固报告3.2.4. 网络信息系统渗透测试服务服务内容：投标人需对中医医院WEB应用系统进行渗透测试服务，检测WEB应用系统的漏洞和安全问题，并验证其他已知的脆弱点。对系统的任何弱点、技术缺陷或漏洞进行主动分析。全面了解和掌握中医医院WEB应用系统的信息安全威胁和风险，为中医医院WEB应用系统开展安全调优及加固建设提供依据及建议。服务频率：全年提交成果：首都医科大学附属北京中医医院网络信息系统

10、渗透测试报告3.2.5. 网络系统运行故障处置服务内容：投标人需在中医医院网络系统运行故障时，协助中医医院信息人员进行及时处置，并生成详细的网络故障处置工单。保障中医医院信息系统正常稳定运行。服务频率：全年提交成果：首都医科大学附属北京中医医院网络故障处置工单3.3. 网络信息系统安全咨询服务3.3.1. 等级保护咨询服务服务内容：投标人需为中医医院设计信息系统功能结构、技术路线方案、应用平台方案、数据库方案、系统安全方案、系统集成方案、系统维护和扩展方案、项目周期、项目收益及风险分析、项目实施方案等提供咨询和帮助；并为中医医院信息化产品选型提供模型、测试方案等。服务频率：全年提交成果：首都医

11、科大学附属北京中医医院项目申报书3.3.2. 人员安全培训服务服务内容：为提高中医医院安全运维人员的安全技能、加强中医医院信息安全保障人员的安全意识。本次服务要求投标人，针对中医医院运维人员的实际情况，每年对中医医院进行信息安全意识培训和安全专项技术培训。培训内容如下： 安全意识培训 安全管理标准理论和知识培训 安全管理和技术发展趋势介绍 安全风险评估理论和技术方法 安全技术能力培训服务频率：全年提交成果：首都医科大学附属北京中医医院培训报告3.4. 信息安全重点保障服务3.4.1. 信息安全应急预案编制服务服务内容：投标人需要为中医医院编制信息安全应急预案。服务频率：全年提交成果：首都医科大

12、学附属北京中医医院信息安全预案3.4.2. 信息安全动态通告服务服务内容：为了更及时掌握信息安全态势，投标人需要全年为中医医院提供信息安全保障信息，及时发现并提供与中医医院信息资产有关的漏洞信息、系统补丁信息、病毒信息，确保中医医院人员第一时间内获知相关信息。服务频率：全年提交成果：首都医科大学附属北京中医医院信息安全通告3.4.3. 信息安全应急响应服务服务内容：全年在出现突发、紧急安全事件时，中标人应提供7*24小时的应急响应服务，协助中医医院进行有效的应急处理，最大限度地减少信息系统的损失和负面影响。中标人应具备完备的应急体系，应急响应服务应满足2小时到达用户现场，4小时恢复系统运行的服

13、务响应指标。服务频率：全年提交成果：首都医科大学附属北京中医医院信息安全应急响应工单3.4.4. 信息安全应急演练服务服务内容：投标人需定期与中医医院依据信息安全应急预案开展信息安全应急演练服务，完善应急预案的实用性和可操作性，做好应急准备工作，提高应急处置能力、提升对信息安全事件的应对能力，降低信息安全事件所产生的影响，尽力保障信息系统安全稳定运行。服务频率：全年提交成果：首都医科大学附属北京中医医院信息安全演练报告3.4.5. 重大时期安全保障服务服务内容：投标人需在重大时期为中医医院提供现场值守服务，保障业务正常运行。服务频率：全年提交成果：首都医科大学附属北京中医医院信息安全值守报告4

14、. 服务要求（1）、投标人公司财务状况良好，需提供上一年度财务审计报告。（2）、投标人成立独立项目组，确定项目经理，负责项目整体管理。（3）、投标人拟派的项目经理需具备CISP资质、高级项目经理资质、ITIL Foundation资质及信息安全等级保护安全建设专业技术人员证书，项目实施过程中不得更换项目经理。（4）、投标人应按照ISO 27001的服务管理规范思路，针对安全服务运维工作提交运维实施方案，针对运维工作结合中医医院工作现状和管理需要，协助中医医院优化运维管理制度。（5）、对中医医院网络设备、安全设备、服务器设备进行安全加固和优化，确保中医医院通信安全。（6）、提供7*24小时技术支

15、持，按中医医院实际工作需要，提供应急支持。（7）、现场服务的安全工程师应服从中医医院统一的工作安排，严格遵守作息时间，工作期间不得从事其它活动；严格遵守中医医院的规章制度和保密制度。5. 项目管理要求（1）、实施计划：根据招标文件要求，投标人需描绘项目目标、范围，合理安排实施人员，编制进度计划，对项目各阶段进行合理划分，并明确各阶段应完成的工作和提交的产品及文档。（2）、项目管理：投标人对项目管理的理解，内容包含进度管理、质量保证、文档要求、沟通管理、项目验收等内容。（3）、项目风险管理：投标人需对项目进行风险管理，包括项目风险及应对措施、项目保密风险控制、风险预防与监控实施、项目实施安全预案。（4）、服务保障：投标人需提供服务保障措施方案，服务质量保证措施详细、可操作性强、符合招标人业务特点。（5）、服务承诺：投标人应在投标文件中将服务承诺单列一章，服务承诺应包括对服务内容的响应程度。