****新院網(wǎng)絡運維、安全服務等。

按國家及行業(yè)相關標準執(zhí)行。

一、網(wǎng)絡運維

1.1、定制運維服務

1.1.1、電話熱線：7×24小時熱線（電話號碼）服務支持包括對主機系統(tǒng)、網(wǎng)絡系統(tǒng)、系統(tǒng)軟件、數(shù)據(jù)庫系統(tǒng)、應用軟件系統(tǒng)的支持

1.1.2、定期巡檢服務：維護工程師每個月一次到現(xiàn)場進行定期的設備例行巡檢和預防性維護,工程師定期對服務范圍內(nèi)的硬件和操作系統(tǒng)性能進行診斷

1.1.3、遠程支持服務：建****中心，設置專人進行7×24小時值班，

1.1.4、遠程檢查服務：設置專業(yè)網(wǎng)絡工程師，定期遠程檢查和優(yōu)化網(wǎng)絡狀態(tài)

1.1.5、故障響應及維修：在用戶業(yè)務系統(tǒng)因故障導致不能正常運行，通過電話或網(wǎng)絡遠程無法解決，需要提供現(xiàn)場服務的緊急情況下，1小時內(nèi)派出技術工程師到達用戶現(xiàn)場進行處理

1.1.6、應急響應服務：為醫(yī)院制定軟硬件平臺在遇到可能影響生產(chǎn)系統(tǒng)運行的重大故障或意外災難時所要采取的應急處理方案，確保在發(fā)生故障時，生產(chǎn)業(yè)務能在最短時間內(nèi)恢復正常

二、安全服務

2.1、信息資產(chǎn)梳理

2.1.1、資產(chǎn)識別與分類：

2.1.1.1、列出所有機房資產(chǎn)，包括但不限于服務器、網(wǎng)絡設備、安全設備、虛擬機、中間件、數(shù)據(jù)庫和應用系統(tǒng)。

2.1.1.2、對每類資產(chǎn)進行細致的分類，確保每種類型的資產(chǎn)都被準確識別和記錄

2.1.2、資產(chǎn)信息收集：

2.1.2.1、對每一類資產(chǎn)，收集詳細的信息，包括但不限于資產(chǎn)名稱、型號、規(guī)格、授權日期、保修狀態(tài)、存放位置、配置信息、負責人等。

2.1.2.2、對于虛擬機、中間件、數(shù)據(jù)庫和應用系統(tǒng)等軟件資產(chǎn)，需要記錄版本信息、許可狀態(tài)、依賴關系等。

2.1.3、資產(chǎn)狀態(tài)評估：

2.1.3.1、評估每項資產(chǎn)的當前狀態(tài)，包括運行狀態(tài)、維護狀態(tài)、是否過期等。

2.1.3.2、對安全設備進行評估，了解其是否能夠有效地保護網(wǎng)絡資產(chǎn)的安全。

2.1.4、形成資產(chǎn)臺賬：

2.1.4.1、根據(jù)收集的信息和評估結果，建立資產(chǎn)臺賬，確保每項資產(chǎn)都有詳細的記錄。

2.1.4.2、資產(chǎn)臺賬應包含每個資產(chǎn)的基本信息、配置信息、狀態(tài)信息、負責人信息等。

2.1.5、資產(chǎn)臺賬更新與維護：

2.1.5.1、定期對資產(chǎn)臺賬進行更新，確保信息的準確性和完整性。

2.1.5.2、建立資產(chǎn)變動管理流程，對資產(chǎn)的增加、減少、配置變更等操作進行記錄和管理。

2.1.6、合規(guī)性與風險管理：

2.1.6.1、檢查所有資產(chǎn)是否符合相關的合規(guī)性要求，例如是否有必要的許可證、是否滿足安全標準等。

2.1.6.2、識別潛在的風險點，例如過期的硬件、未受保護的軟件系統(tǒng)、未授權的軟件使用等，并制定風險緩解措施。

2.2、風險評估

2.2.1、定期掃描與風險評估：成立的網(wǎng)絡安全團隊，負責每半年至少執(zhí)行一次全面的網(wǎng)絡安全掃描，對關鍵系統(tǒng)和應用進行深度風險評估，識別潛在的安全隱患，定期對掃描和評估結果進行匯報，確保管理層了解當前的網(wǎng)絡安全狀況。

2.2.2、密碼策略強化：制定詳細的密碼策略文檔，明確密碼長度、復雜度、更換周期等要求。使用密碼管理工具，強制員工定期更換密碼，并監(jiān)控密碼的使用情況。

2.2.3、漏洞快速響應機制：建立漏洞快速響應團隊，負責漏洞的評估、修復和驗證工作。設立漏洞修復時間表，確保漏洞得到及時處理。

2.2.4、安全審計與合規(guī)性檢查：定期進行網(wǎng)絡安全審計，檢查所有安全措施的執(zhí)行情況。對照相關法規(guī)和行業(yè)標準，評估單位內(nèi)部網(wǎng)絡的合規(guī)性。對于審計中發(fā)現(xiàn)的問題，制定整改措施并跟蹤執(zhí)行情況。

2.2.5、與專業(yè)的網(wǎng)絡安全機構建立**關系，獲取最新的安全情報和技術支持。定期參與網(wǎng)絡安全會議和研討會，了解行業(yè)趨勢和最新技術。與外部安全機構共同開展安全評估和漏洞掃描，提高單位整體的網(wǎng)絡安全防護能力。

2.3、遠程托管安全服務

2.3.1、投標人需提供7*24小時遠程托管安全服務，該服務內(nèi)容包括不僅限于：通過提供資產(chǎn)梳理、漏洞管理、威脅預警及安全事件處置四個重點服務工作，利用云端安全運營平臺和網(wǎng)****醫(yī)院信息科進行協(xié)同配合工作，提升醫(yī)院信息化安全風險管控能力和安全工作效果，協(xié)助醫(yī)院信息科構建7*24小時持續(xù)守護、有效預防和主動閉環(huán)的體系化網(wǎng)絡安全運營能力。提供10個7X24小時核心資產(chǎn)值守服務，提供1名網(wǎng)絡安全廠家原廠****醫(yī)院的安全顧問，服務經(jīng)理通過微信群、電話、****醫(yī)院日常的安全問題，為醫(yī)院提供7*24小時的安全專家在線服務，不論白天、黑夜、節(jié)假日，****醫(yī)院的問題咨詢、事件處置協(xié)助等需求，工作時間承諾15分鐘內(nèi)響應，非工作時間承諾30分鐘內(nèi)響應。在****醫(yī)院提供每日的《節(jié)假日值守報告》。默認由網(wǎng)絡安全廠家專家團隊遠程協(xié)助處置，如遠程無法解決的則安排安全專家上門處置，重大事故應急需在2小時內(nèi)上門處置。從安全日志產(chǎn)生到事件通告的時間小于30分鐘，遏制影響時間小于30分鐘，準確率不低于99%，并且所有安全事件的閉環(huán)處置比例達到100%。遠程****醫(yī)院提供的服務成果展示門戶應具備服務質量可視化展示，醫(yī)院能通過可視化的數(shù)據(jù)，清晰的了解安全專家的服務水平。

▲2.3.2、投標人所投遠程托管安全服務廠商的云端服務平臺原生****醫(yī)院現(xiàn)有外網(wǎng)防火墻、醫(yī)保專線防火墻、核心區(qū)防火墻、WEB防火墻、威脅檢測系統(tǒng)、終端防病毒系統(tǒng)，支持實時接收安全設備檢測到的安全事件信息、安全日志數(shù)據(jù)提供7*24小時的服務（需提供承諾函并加蓋供應商公章）

2.3.3、投標人所投遠程托管安全服務對服務范圍內(nèi)發(fā)現(xiàn)的每一個高危可利用漏洞提供防護規(guī)則，并且承諾防護率達到99%；

▲2.3.4、投標人所投遠程托管安全服務云端服務平臺應當做好嚴格的安全防護，并嚴格按照《信息安全技術—網(wǎng)絡安全等級保護基本要求》完成等級保護測評工作，服務平臺至少通過等級保護三級測評，提供云端服務平臺等級保護三級測評通過證明，提供報告首頁、基本信息表、等級測評結論首頁，以上內(nèi)容中必須明確指出該平臺用于為用戶提供7×24小時的安全托管服務；（敏感內(nèi)容投標方可脫敏展示）

▲2.3.5、投標人所投遠程托管安全服務云端服務平臺應通****辦公室、****委員會、工業(yè)和信息化部、財政部四部委聯(lián)合組織的云計算服務安全評估，入選“通過云計算服務安全評估的云平臺”名單，以確保平臺的安全性和可控水平。（需提供有效證明材料并加蓋供應商公章）

2.4、安全策略管理：具備策略檢查、策略調優(yōu)、策略備份、策略**等并出具《策略管理檢查列表》《策略備份記錄清單及文件》

2.5、安全漏掃服務

★2.5.1、每半年一次，提供專業(yè)工具指派專業(yè)的且經(jīng)驗豐富的工程師進行漏洞掃描服務，進行整改并出具整改報告。

2.6、滲透測試服務

2.6.1、在項目服務期內(nèi)針每半年一次對應用系統(tǒng)進行滲透測試。滲透測試內(nèi)容包括但不限于數(shù)據(jù)庫系統(tǒng)、中間件、應用系統(tǒng)，以及身份認證等安全機制，具體要求包括但不限于以下內(nèi)容：根據(jù)網(wǎng)絡脆弱性檢測中發(fā)現(xiàn)的脆弱點，模擬黑客對系統(tǒng)中的終端、服務器進行現(xiàn)場滲透性驗證、SQL 注入、XSS (跨站 腳本)、CRLF 注入、代碼執(zhí)行、目錄遍歷、文件包含、輸入驗證、認證、邏輯錯誤、密碼保護區(qū)域猜測、字典攻擊、特定的錯誤頁面檢測、脆弱權限的目錄和危險的HTTP方法（如：PUT、DELETE)等。

2.7、重點時期安全保障服務

★2.7.1、在重點保障期間(包括但不限于攻防演練、重大節(jié)日等。)，提供至少2人的現(xiàn)場安全值守服務，為客戶關鍵信息系統(tǒng)提供：組織架構設計、積極防御、實時檢測、響應處置、攻擊監(jiān)測等安全服務，以提高客戶單位的網(wǎng)絡安全保障能力，保障攻防演練的順利進行，演練完成后需提交演練評估與總結；除攻防演練以外如有相關部門進行檢查，需提供至少1人的現(xiàn)場支持，需對相關部門的檢查內(nèi)容進行整改，整改完成后出具整改報告；以上內(nèi)容不限次數(shù)。

2.8、等保整改加固服務

2.8.1、****公司出具的等保測評報告及整改報告，為醫(yī)院提供等保安全加固服務，服務內(nèi)容包括但不限于：1、操作系統(tǒng)加固、數(shù)據(jù)庫加固、中間件加固、安全設備加固、網(wǎng)絡設備加固。2、依據(jù)現(xiàn)有差距分析問題清單完成現(xiàn)網(wǎng)設備安全基線加固。須承諾依據(jù)等級保護要求提供加固服務，直到設備安全性通過等保測評要求。(如缺少設備供應商需提供，費用包含在投標總價中)

2.9、安全巡檢服務

2.9.1、每月提供一次對主機及網(wǎng)絡設備進行安全巡檢，分析潛在的安全隱患，并針對潛在的安全隱患，提出針對性的安全措施做到早發(fā)現(xiàn)、早預警、早響應，并出具巡檢報告。

2.10、安全培訓服務

★2.10.1、一年不低于一次對全院進行網(wǎng)絡安全培訓，一年不低于四次的對信息科人員網(wǎng)絡安全知識與操作培訓。

2.11、網(wǎng)絡安全應急演練

★2.11.1、一年不低于兩次的網(wǎng)絡安全應急演練，包括但不限于腳本編寫、現(xiàn)場支持、演練總結等。

1、服務期限：三年，合同一年一簽

2、服務地點：采購人指定地點

詳見技術規(guī)格要求

按**市規(guī)定驗收方式進行驗收，標準以采購文件服務標準為準

其他相關要求詳見采購文件