南方医科大学口腔医院网络安全保障运营服务采购项目调研公告
发布时间:2026-04-10 16:26:42
南方医科大学口腔医院网络安全保障运营
服务采购项目调研公告
一、为保障我院诊疗、科研、日常工作的开展,根据政府采购需求管理办法,现针对我院网络安全保障运营服务采购进行调研,欢迎符合条件的单位前来提交相关资料。具体调研内容如下:
1.服务内容及报价:
|
序号 |
服务名称 |
数量 |
报价 |
|
1 |
南方医科大学口腔医院网络安全保障运营项目 |
1 |
|
二、有意参加的供应单位在公告有效期内通过www.51eliao.com上传如下资料(加盖公章的PDF扫描件、按如下顺序,报价页面放最后)。
供应商要求:
1. 供应商应为中华人民共和国境内的独立法人企业或其他组织。
2. 供应商需提供的有效证件包括:营业执照副本、组织机构代码证副本(若有)、国税和地税税务登记证副本或三证合一的营业执照副本、法定代表人(或负责人)身份证。
3. 供应商需通过“信用中国”网站(www.creditchina.gov.cn)查询并提供信用信息记录截图。
4. 供应商须具备以下资质:
(1)信息安全服务资质认证证书(CCRC)(此系列涵盖信息安全风险评估、信息安全应急处理、信息系统安全集成服务等任意两项资质证书);
(2)质量管理体系认证证书(ISO9001认证证书);
(3)信息安全管理体系证书(ISO27001认证证书)。
5.其他要求
(一)为确保项目进度与质量,所有参与项目的人员均需具备相近的工作经验,熟练掌握网络安全技术,并能够对存在的风险进行分析。服务团队应设立1名专职项目经理,负责对整个项目的质量进行把控;安排1名技术服务人员提供驻场服务;二线支持团队人数不少于 10 人,同时需提供技术人员的清单以及所在供应商购买的社保证明材料。
项目经理要求如下:
(1)具备本科及以上学历,所学专业为计算机相关专业,需拥有6年及以上网络安全领域从业经验,并具备相关专业资质(例如CISP、CISAW、CISP - DSG注册数据安全专业人员认证、系统集成项目管理工程师(高级)等),能够提供证明其具备履行合同所必需的专业技术能力的相关材料。
(2)项目经理应依据实际维护服务项目的具体状况,定期组织汇报、技术交流活动以及紧急情况工作会议。
(3)项目经理应具备沟通与项目管理能力,至少每月进行一次现场巡检,定期总结汇报项目工作情况、交流并确定后续方案,以提升服务质量、完善服务方案;及时发现潜在细微问题,防患于未然。遇紧急情况,必要时协调相关部门负责人与技术人员按需召开紧急会议,着重处理紧急问题,确保重大故障及时解决。
驻场人员技能、经验、学习能力和学历要求如下:
计算机相关专业,具备3年及以上网络安全领域工作经验,需提供参与相关项目的证明材料及社保证明,以体现其具备网络安全相关工作经验。
具备CISP或信息网络安全专业技术人员或国家信息安全水平认证相关认证。
具有对信息系统所面临的安全威胁、存在的安全隐患进行信息收集、识别、分析和提供防范措施的能力。
具备良好的沟通能力和处理能力,处理各项告警事件,完成事件的闭环管理。
(二)供应商应提供包含5个及以上同类安全运维服务业绩案例的清单,同时需提供合同复印件作为证明,该复印件应涵盖项目名称、金额、实施内容、合同盖章、签订日期等信息,并加盖单位公章。所提供的证明资料需能够体现供应商具备履行合同所必需的专业技术能力。
三、项目概况
近年来,本院引入第三方专业安全服务机构开展网络安全保障工作,具体涵盖系统安全配置核查、安全管理体系完善、网络安全渗透测试、安全漏洞扫描、安全加固等核心服务;常态化推进网站安全监控、安全托管及专家咨询服务;按需提供应急响应、新系统上线检测、信息安全迎检等支撑服务。
然而,随着国家网络安全法律法规体系不断健全、监管力度持续强化,加之网络安全威胁日趋复杂,网络安全运行与管理工作面临严峻挑战。本年度,本院计划围绕“管理筑基、文化赋能、合规落地、风险防控、保障兜底”五大核心维度,规划安全服务,构建全流程、闭环式网络安全管理体系,以促进医院信息化建设的稳定发展。
四、服务清单
|
编号 |
分类 |
安全服务项 |
服务要求 |
数量 |
|
|
安全 管理 |
安全运营驻点服务 |
指定至少一名网络安全运营工程师,协助医院监督、协调并推进日常安全运营工作,促进医院网络安全运行效能的提升,协助医院完善网络安全运行组织管理体系。具体职责如下: ①负责医院安全设备巡检与运维,确保安全策略最优,发挥最佳防护作用。 ②负责安全事件闭环处理,针对勒索病毒等安全事件,及时通报隐患,处置恶意文件,消除或减轻影响;结合防御体系提供加固建议并整改,防止再次入侵。 ③负责网络安全设备配置、调试与测试。 ④依据医院需求,配合完成其他网安工作。 ⑤负责终端和服务器安全监控与保障,发现告警及时处置。 ⑥同时开展网安隐患自查与整改。 服务频率:每周提供3天现场网络安全运维驻点服务。 服务交付包括但不限于按需提交周报,其他文档报告按需提供。 |
1年 |
|
|
管理体系合规建设服务 |
依据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国密码法》以及网络安全等级保护等相关管理要求,结合医院实际业务状况与现有制度情况,协助医院梳理安全管理体系中存在的问题,开展安全制度建设,进行查漏补缺。具体包括协助医院制定单位安全方针,构建信息安全策略框架制度;明确安全管理制度,落实各项安全管理标准文档以及各项管理相关表单。 交付包括但不限于新增或修订后的制度、流程与工作记录、工作方案、工作计划等。 |
按需 |
|
|
|
安全规划咨询服务 |
综合评估医院安全态势、安全管理和安全防护情况,提供医院整体安全评估报告,并协助医院完善年度安全工作规划。 交付物包括但不限于《需求书》(按需)、《规划方案》(按需)、《解决方案》《沟通记录》(按需)、《服务工作记录单》(按需)等。 |
按需 |
|
|
|
安全 文化 |
安全意识培训 |
开展不少于一次面向全体人员的网络与信息安全意识培训,增设医护人员专项培训模块,培训内容包含医疗数据隐私保护规范、办公终端医疗数据防泄露操作等。以典型安全事件作为导入,着重强调漠视信息安全所导致的严重后果,提升个人隐私保护及常规攻击防护能力,培训形式为现场授课与演示。 交付内容包括但不限于《培训方案》《培训课件》《培训记录》。 |
1次/年 |
|
|
政策解读及科普宣传服务 |
跟踪研究新发布或已发布的网络与数据安全相关的法律法规和标准,输出解读报告,并按需开展交流、培训和科普。每季度提供1篇安全科普宣传材料,材料内容涵盖但不限于政策解读、安全资讯、安全知识等。 交付材料包括但不限于《交流记录》《安全资讯》《政策解读文章》《安全知识》以及其他宣传支持材料。 |
按需 |
|
|
|
风险 管控 |
安全预警通报及闭环管理服务 |
采集网络与数据安全相关政策和安全态势资讯,及时向医院通报业界安全动态及重大安全事件,对医院的网络及信息系统面临的安全隐患、安全风险及时提出预警、整改建议。 交付包括但不限于《安全告警》《沟通记录》(按需)、《解决方案》(按需)、《服务工作记录单》(按需)。 |
按需 |
|
|
安全基线核查及闭环管理服务 |
根据相关标准和最佳实践,按需协助医院完善相关安全基线规范标准和加固操作规范,帮助医院完善相关流程和规范。 交付包括但不限于《安全基线评估报告》《风险隐患台账》《服务工作记录单》(按需)、《沟通记录》(按需)。 频次: |
按需 |
|
|
|
主机漏洞检测及闭环管理服务 |
采用通过国家网络安全专用产品安全认证的漏洞扫描工具,每季度对医院现网服务器资产进行细致全面的漏洞扫描(包括但不限于:系统漏洞、中间件漏洞、数据库漏洞等),并输出安全评估报告,包含漏洞整改建议。 交付包括但不限于《主机漏洞检测报告》《风险隐患台账》《服务工作记录单》(按需)、《整改通知书》(按需)、《沟通记录》(按需)。 |
1项 |
|
|
|
WEB应用漏洞检测及闭环管理服务 |
采用通过国家网络安全专用产品安全认证的漏洞扫描工具,对WEB业务系统进行应用漏洞检测,出具WEB应用扫描报告和加固建议。 交付包括但不限于《WEB应用漏洞检测报告》《风险隐患台账》《服务工作记录单》(按需)、《整改通知书》(按需)、《沟通记录》(按需)。 |
按需 |
|
|
|
系统风险检测及闭环管理服务 |
根据GB-T 20984-2022《信息安全技术 信息安全风险评估方法》等国家相关标准要求,对医院指定的相关业务系统进行安全风险检测,评估的内容包括但不限于风险评估、渗透测试和入网安全评估等,评估安全风险、提出整改建议,并按需生成对应的安全检测报告,如《渗透测试报告》《入网安全评估报告》等。 根据不同的风险检测类型输出不同的检测包括类型包括但不限于《渗透测试报告》《入网安全评估报告》,并输出《风险隐患台账》《服务工作记录单》(按需)、《整改通知书》(按需)、《沟通记录》(按需)。 |
按需 |
|
|
|
威胁检测与处置服务 |
通过在医院网络中部署蜜罐,主动分析内部网络各VLAN的攻击探测行为,弥补态势感知探针未能分析二层网络中的攻击流量,将攻击对象诱捕至蜜罐,实现攻击诱捕和事件分析。对蜜罐监测到的攻击事件进行研判分析,输出分析报告和整改建议。对蜜罐发现的安全风险隐患,建立风险隐患台账,跟踪处置情况,并为风险隐患处置提供技术支持,协助医院实现风险隐患闭环管理。 交付包括但不限于《攻击分析报告》《风险隐患台账》《整改通知书》《沟通记录》等。 |
1年 |
|
|
|
安全加固服务 |
根据安全基线核查、风险评估、渗透测试等安全性测评报告中存在的问题清单和实际安全需求,对医院网络设备、安全产品、操作系统、应用系统、数据库等信息资产的安全配置策略和漏洞实施安全加固。 交付包括但不限于《加固记录》《沟通记录》(按需)、《服务工作记录单》(按需)。 |
按需 |
|
|
|
态势感知全天候安全监测服务(MSS安全运营服务) |
在服务期内通过安全监测平台,实现针对医院数据中心资产的网络流量的安全监测与分析,集流量分析、异常检测、威胁识别为一体,实时捕获医院的网络流量,还原正在发生的网络行为,精准识别异常行为、异常流量以及潜在的恶意活动。同时,云端安全专家会对上传的监测数据和异常信息进行深度研判,借助安全运营数字化协作平台,为医院提供7×24小时的流量安全监测和实时威胁告警服务,并输出月度报告。 每月输出网络威胁监测报告,每年4次安全总结分析服务、每年1次安全规划咨询服务,协助用户实现威胁管理工作的闭环和持续改进。 |
1年 |
|
|
|
网站安全监测 |
提供专用 SAAS 平台开展 7*24 小时监测,覆盖漏洞扫描、木马分析、篡改监测、关键字监测、网站可用性监测。重点监测医院官方网站、线上服务平台等资产,开展网站状态监测、安全事件报警响应、漏洞检测及报告编制工作。 交付包括但不限于《网站安全监测报告》 |
1年 |
|
|
|
安全 保障 |
安全巡检服务 |
每月对医院指定的现有网络及安全设备进行检查,保障设备安全运行,安全检查完成后提交安全检查报告。检查内容不限于: -设备特征库/病毒库/规则库等更新情况; -策略的有效性或是否存在僵尸策略; -安全设备日志备份的有效性; -灾备系统备份的有效性; -根据合规和安全管理要求需要检查的其他内容。 交付包括但不限于《安全巡检报告》《风险隐患台账》(按需)、《服务工作记录单》(按需)、《整改通知书》(按需)、《沟通记录》(按需)。 |
1次/季度 |
|
|
IT资产管理服务 |
参与医院IT资产管理,针对医院内、外网进行IT资产信息的搜集与整理,包括资产的IP、端口信息、网络状态、主机应用、操作系统、开发语言、WEB应用/框架及第三方软件等各类指纹信息,协助医院梳理和完善IT资产信息,实现准确定位问题资产,根据安全风险情况做出有针对性的安全防护。 交付包括但不限于《资产台账》《网络拓扑图》及其他相关材料。 |
1年 |
|
|
|
重点时期安全值守 |
在重大活动或迎检等特殊时期,以“事前准备、事中保障(值守、监控、应急、处置)、事后总结(复盘、提升)”的思路来保障医院信息系统的安全。服务方式包括但不限于:现场或者远程,以医院的实际需求为准。 交付包括但不限于《重保安全保障值班表》《网络安全保障工作方案》(按需)、《网络安全保障工作计划》(按需)、《网络安全保障日报》《网络安全保障工作总结》(按需)。 |
按需 |
|
|
|
网络安全应急支撑服务 |
当医院发生安全事件时(如:感染病毒事件、恶意攻击事件等),迅速响应并进行安全事件处理及溯源。在事件处理结束后,根据实际情况编写应急总结报告。 根据不同的应急情况输出不同的报告,报告类型包括但不限于《应急事件分析报告》《应急事件处置报告》《应急事件总结报告》,并输出其他过程记录如《沟通记录》等。 |
按需 |
|
|
|
迎检支持服务 |
派遣专业安全技术人员,协助医院完成由本院、上级部门、监管部门、公安部门等下达的安全检查、安全排查、安全加固和安全建设等相关安全工作。 服务频率:服务次数不设限制,依据医院实际需求,并按需提供相关交付物支持。 |
按需 |
|
|
|
安全应急演练服务 |
为完善医院网络运行应急机制,检验网络与信息安全预案及工作机制有效性,验证相关组织和人员应急处置能力,满足突发状况下网络与信息系统运行保障及故障恢复需求,确保信息系统安全稳定运行,本次服务期内将开展1次安全应急演练,以提升各科室应急工作水平与效率,发现应急预案不足并进一步优化。 交付包括但不限于《应急演练方案》《应急演练脚本》《应急演练总结报告》《应急预案》修订(按需)等。 |
1次/年 |
|
|
|
|
安全设备维保升级 |
针对医院安全设备及软件提供升级维保服务(详见表2)根据医院的安全设备情况,服务提供商需对下列清单中的设备进行维保升级,并提供一年的原厂维保升级支撑服务。 |
项 |
表2:安全设备续保清单
|
设备名称 |
数量 |
备注 |
|
奇安信网络安全态势感知平台 |
1台 |
提供1年原有模块升级维保授权。 |
|
奇安信探针 |
1台 |
提供1年原有模块升级维保授权。 |
|
奇安信防火墙 |
2台 |
提供1年原有模块升级维保授权。 |
|
奇安信网闸 |
1台 |
提供1年原有模块升级维保授权。 |
|
奇安信WAF |
1台 |
提供1年原有模块升级维保授权。 |
|
安恒防火墙 |
6台 |
提供1年原有模块升级维保授权。 |
|
安恒日志审计 |
1台 |
提供1年原有模块升级维保授权。 |
|
安恒数据库审计 |
1台 |
提供1年原有模块升级维保授权。 |
|
安恒运维审计 |
1台 |
提供1年原有模块升级维保授权。 |
|
上网行为管理 |
1台 |
提供1年原有模块升级维保授权。 |
|
深信服防火墙 |
1台 |
提供1年原有模块升级维保授权,并新增云威胁情报模块。 |
|
防病毒软件 |
1套 |
提供原800个客户端和100服务器端3年续费,新增200个点客户端扩容 |
五、递交资料时间:2026年4月13日至2026年4月17日
六、其他说明
1、本次需求调查仅为采购需求的编制提供参考,非资格预审。投递人相关资料一经递交后,不予退回。采购单位不给予任何形式的经济和物质补偿,一切费用均由投递人自行承担。
2、无论采购单位是否采用,投递人应保证所递交的资料,不产生因第三方提出侵犯其专利权、商标权或其他知识产权而引起的法律和经济纠纷,如因专利权、商标权或其他知识产权而引起法律和经济纠纷,由投递人承担所有相关责任。
3、投递人对所投递的资料内容的真实性负责。
4、采购单位不组织现场勘察,投递人可自行现场勘察,一切费用均由投递人自行承担。
5、采购单位有权针对征集内容不了解、不清楚的地方对投递人进行询问,投递人应保证相关人员能够及时回复。在规定时间内未回复的,视为自动放弃。
七、其他
1、参与方式:登录网址www.51eliao.com
2、获取项目附件流程:在本页面“注册(新用户)/登录(已有账号)”→“可参与项目”→选择要参加的项目“报名”→“我的采购需求调查”→“下载”项目附件(如有,部分项目可能没有附件)。报名过程中,如遇注册或资料提交问题请致电“平台使用咨询电话”解决。
3、参与需求调查流程:按照上述1完成报名→“我的采购需求调查”→“参与”→选择要参加的品目→填写调查内容和上传响应文件→“提交”。
4、项目联系人及电话:郭老师 020-84245208
5、采购联系人及电话:潘老师 020-84427043 电子邮箱:nky_zwk@163.com
6、平台使用咨询电话:胡先生、陈先生、张先生 0731-82889851。
番禺院区
海珠广场院区
盘福院区
粤公网安备44010502003112号