成都市第七人民医院关于网络安全监测服务的询价公告

一、项目名称

网络安全监测服务的询价

二、调研时间：

****年*月*日—****年*月**日

提交时间：****年*月**日**点前

三、项目实施目标

提供****小时网络安全监测、预警及响应服务，实现信息化资产的全面风险可视、精准威胁发现和快速应急处置，保障业务持续稳定运行。

四、报名资格条件

*.需是中华人民共和国境内合法注册、有法人资格和经营许可的国内企业，需提供相关证明文件（三证合一营业执照，提供复印件加盖公章）。

*.近三年在经营活动中没有重大违法记录，提供书面承诺（原件盖公章）。

五、项目要求

（一）参数要求

*.供应商需为采购人提供安全运营服务平台（以下简称“服务平台”）*年的使用权限（费用包含在本次报价内），所提供的服务平台需向采购人提供安全态势可视化展示功能，展示的内容包括采购人遭受的威胁事件信息、脆弱性信息统计，并支持按照资产类别、威胁类型进行定制化筛选查看，能展示采购人风险态势情况，并集成**引擎自动识别威胁、生成可操作的处置建议。

*.供应商需对采购人所有信息化资产（以**地址为单位总资产数≥****个）实施****小时状态探测，服务平台具备资产周期性扫描、在线状态识别、自动发现未知资产等能力，每月生成《资产动态台账》，确保资产识别准确率≥**%。

*.供应商需每季度至少开展*次互联网资产暴露面及威胁检测，系统性识别采购人在互联网暴露的**地址、域名、移动应用、影子资产、数据等全部资产类型，形成《互联网资产台账》（需在响应文件中提供扫描功能以及涵盖所有资产类型的资产台账内容截图并加盖供应商公章）；并出具《暴露面及威胁检测风险分析报告》，详细列出暴露面资产清单，深入分析威胁风险，提出针对性处置方案和优化方案，并在下季度检测前进行相应的处置以及提交本季度扫描问题的处置报告（含具体问题项、处置措施和复测验证结果）。

*.新上线资产须通过漏洞扫描、渗透测试及基线核查三重评估合格后并形成报告，报告提交采购人审核通过后才能进行上线。

*.脆弱性和漏洞扫描要求：

（*）供应商每月**日前须对采购人的所有信息化资产系统执行一次脆弱性评估和***漏洞扫描，并生成《脆弱性和漏洞风险评估报告》，报告包含但不限于漏洞详情、风险分析、处置建议以及优化加固方案。

（*）服务平台需针对发现的漏洞和脆弱性，自动生成工单，保证问题状态处理进度透明化。

（*）针对发现的脆弱性和漏洞进行分析，供应商安全专家需分析脆弱性和漏洞在已有的安全体系发生的风险及发生后可造成的危害。

（*）供应商针对脆弱性和漏洞处置优先级需结合资产重要性、漏洞等级、威胁情报三维度排序（禁止仅以漏洞等级判定，需在响应文件中提供优先级排序相关功能界面截图并加盖供应商公章），处置方案需经采购人审核后进行相应的处置，并在次月扫描前完成本月扫描出现问题的整改情况报告。

（*）供应商需提供脆弱性和漏洞复测措施（在响应文件中提供服务平台支持复测功能截图并加盖供应商公章），及时检验真实修复情况。支持采购人按指定资产或批量/单个脆弱性问题进行复测，降低脆弱性和漏洞复测时的影响范围。

（*）《脆弱性和漏洞风险评估报告》中的优化方案通过采购人审核后，供应商安全专家需针对脆弱性和漏洞进行相应的优化，从根源层面提升信息系统的安全性。

（*）供应商对发现的脆弱性建立状态总览机制，自动化持续跟踪脆弱性情况，能展示脆弱性修复情况，遗留情况以及趋势对比情况。

*.网络安全监测和响应服务要求：

（*）供应商需提供****小时实时网络安全监测和响应服务，能够实时监测采购人信息化资产的网络安全状态，有效结合**技术与人工研判，实现分钟级响应，降低业务中断风险。

（*）供应商的服务平台应支持从攻防视角识别持续性攻击，利用安全设备进行实时处置，并形成闭环。

（*）供应商需依托于安全防护组件、检测响应组件等安全设备和大数据处理平台，将威胁情报，攻击日志和异常流量进行数据关联分析，发现各类安全事件，实时监测网络安全状态，对攻击事件自动生成工单。攻击事件包含境外黑客攻击事件、暴力破解攻击事件、持续攻击事件（在响应文件中提供安全事件如暴力破解等相关事件的工单举证截图，需展示当前安全事件的处置状态，并加盖供应商公章）。

（*）针对发现的各类安全事件（具体定义见**条，下同），供应商需分析、处置、复测和优化等措施，实现对采购人信息化资产全生命周期的可视化闭环管理。

（*）针对发现的持续性攻击、病毒入侵、境外黑客或高级黑客攻击，供应商需能联动安全设备，在***要求的时间内（详见第**点）采取行动实时对抗黑客行为（如封锁黑客攻击**），要求供应商使用安全设备进行服务工作（在响应文件中提供产品功能界面截图或承诺函并加盖供应商公章；如提供承诺函，内容须体现供应商负责承担相关厂商协调义务及可能涉及的一切对接费用，并在项目实施前定制开发实现）；

（*）威胁分析与处置：供应商需针对每一类威胁，进行深度分析验证，分析判断是否存在其他可疑主机，将深度关联分析后存在的威胁通过邮件、微信、电话等任一方式在**分钟内告知采购人，针对分析结果提供对应的处置或加固方案，并根据审核后的处置或加固方案完成相应的处置。

（*）流行威胁通告与排查：供应商须依据最新威胁情报对服务资产进行影响评估，并于**小时内告知采购人。双方应协商确定修复时间，并在约定周期内完成漏洞修补、配置加固整改措施。

*.应急响应：全年不限次数向采购人提供应急响应服务。根据“抑制*排查*还原*加固*优化”五个阶段流程执行。对于Ⅰ级、Ⅱ级、Ⅲ级（具体定义见**条，下同）安全事件，驻场期间：驻场专家需在**分钟内响应并处置。非驻场期间：**分钟内响应，*小时内进行现场处置。

*.供应商提供本项目服务的安全服务团队服务人数不少于*人，其中包含专业项目经理*人、技术专家*人、驻场专家*人、云端专家*人，驻场专家需配合云端做好服务。

*.服务平台支持面向采购人提供安全报告与交付物管理，可生成、导出、下载各类安全报告，包括但不限于《安全服务值守日报》、《特殊时期值守报告》、《安全运营月报》、《安全运营年报》。（在响应文件中提供该项要求的界面截图并加盖供应商公章）。

**.供应商需为采购人提供服务监控门户（或用户******，区别于安全感知大屏），采购人可查看服务资产安全评级、运营状态、风险概览及最新情报，需包含漏洞闭环率、漏洞平均响应时长等服务质量指标可视化图表等。（在响应文件中提供监控门户中业务安全状态监控相关和服务质量监控截图证明，并加盖供应商公章）。

**.供应商需对服务范围内发现的每一个高危可利用漏洞提供防护规则，并且承诺防护率达到**%（提供服务承诺书，并加盖供应商公章），且服务平台支持漏洞与防护规则自动匹配（在响应文件中提供自动匹配功能截图并加盖公章）。

**.最新漏洞预警与排查：供应商需实时抓取互联网最新漏洞与详细资产信息进行匹配，对最新漏洞进行预警与排查。预警信息中包含最新漏洞信息、影响资产范围。一旦确认漏洞影响范围后，供应商需提供专业的处置建议，处置建议包含两部分，修复方案以及临时规避措施，处置并对该最新漏洞建立工单进行持续跟踪，直到供应商完成处置和优化，实现完整的闭环管理。

**.供应商所提供的服务平台应支持采购人自定义添加风险排查项且支持一键风险排查，支持纬度至少包含弱密码扫描、勒索高危利用漏洞扫描、高危利用端口扫描、勒索风险策略检查、勒索行为监测，并且供应商支持按照采购人要求设置定时勒索风险排查任务。（在响应文件中提供提供服务平台具备勒索风险排查工具的截图证明，并加盖供应商公章）

**.供应商提供的服务平台已支持的安全检测规则应不少于****个（在响应文件中提供提供规则个数截图证明，并加盖供应商公章），且覆盖内网脆弱性问题，病毒类事件，入侵行为，勒索、挖矿类事件等。

**.供应商需对安全事件服务水平（***）作出承诺（在响应文件中提供提供相应承诺函，并加盖供应商公章）：

（*）从安全日志产生到事件通告给采购人的时间方面，所有安全事件通告时间小于**分钟，可以采用邮件、电话、微信等任一沟通方式通告采购人。

（*）运营服务对于Ⅰ级、Ⅱ级、Ⅲ级安全事件的遏制影响和处置完成时间小于*小时，对于其他事件的遏制影响和处置完成时间小于*小时。

（*）安全事件经过服务人员的确认后，各类安全事件的判断准确率不低于**%，闭环率需达到***%。

（*）对于对重大及以上安全事件（具体定义见**点）应启动应急响应机制。

**.服务期间服务交付物要求如下：

交付物名称：《资产动态台账》，频率：每月一次

交付物名称：《互联网资产台账》，频率：每季度一次

交付物名称：《暴露面及威胁检测风险处置报告》，频率：每季度一次

交付物名称：《脆弱性和漏洞风险评估报告》，报告频率：每月一次

交付物名称：《威胁分析与处置报告》，报告频率：按需提供，不限次数

交付物名称：《事件分析与处置报告》，报告频率：按需触发，不限次数

交付物名称：《安全通告》，报告频率：按需触发，不限次数

交付物名称：《综合分析报告/运营月报》，报告频率：每月一次

交付物名称：《服务质量自评报告》，报告频率：每季度一次

成交后采购人有权要求供应商严格按照上述频率要求提供服务交付物，确保满足采购人安全需求。如供应商未能按时提供，采购人有权终止服务合同，期间产生任何费用由供应商自行承担。

**.现场进行网络安全知识宣讲≥*次，并提供相应的宣讲***。

**.在服务期内，供应商需向采购人提供不少于*次全面的网络安全风险评估报告，通过对基线合规检查、漏洞扫描与渗透测试等措施输出完整的评估报告，报告包括整体风险情况、威胁分析与风险评估以及整改与防护建议。

**.供应商提供至少一次应急演练和钓鱼演练服务，并根据采购人的需求出具相应的报告，并针对演练情况做汇报以及相应的处置。

**.在重大节假日、重大会议等特殊保障期间，供应商需根据采购人需求提供不超过*次****小时现场安全值守服务，包括实时监控、应急响应及故障处置，保障在重保期间“零重大安全事故”。

**.在攻防演练期间，供应商需根据采购人需求提供不超过*次****小时现场安全值守服务，包括攻击溯源、漏洞修复及对抗支持等实战化服务。

**.供应商需派*名驻场专家提供驻场服务，按照采购人工作日上班时间要求，提供安全驻场服务，该人员从事安全运维的工作年限至少*年，同时至少具备****认证或********认证或计算机技术与软件专业技术资格（水平）考试*信息安全工程师资格之一（在响应文件中提供相应的资格证明材料并加盖供应商公章），其工作内容包括但不限于安全事件分析与处置、执行系统优化加固方案、安全评估与建议、网络知识培训、资料撰写和整理以及根据采购人实际需求响应其他必要且合理的安全保障或改进工作。

**.安全事件的定义由高到低划分为Ⅰ级（特别重大级）、Ⅱ级（重大级）、Ⅲ级（较大级）、Ⅳ级（一般级）*个级别。

**.*符合下列情形之一的，为Ⅰ级网络与信息安全事件

（*）信息系统中断运行≥*小时，特别严重影响采购人单位业务开展。

（*）信息系统中的数据丢失或被窃取、篡改、假冒，导致≥**万数据泄露。

（*）其他对采购人单位正常业务开展和日常办公、社会秩序、经济建设和公众利益构成特别严重威胁、造成特别严重影响的网络安全事件。

**.*符合下列情形之一且未达到Ⅰ级网络与信息安全事件的，为Ⅱ级网络与信息安全事件：

（*）信息系统中断运行≥*小时，严重影响采购人业务开展。

（*）信息系统中的数据丢失或被窃取、篡改、假冒，导致****—**万（不含）数据泄露。

（*）其他对采购人单位正常业务开展和日常办公、社会秩序、经济建设和公众利益构成严重威胁、造成严重影响的网络安全事件。

**.*符合下列情形之一且未达到Ⅱ级网络与信息安全事件的，为Ⅲ级网络与信息安全事件：

（*）信息系统中断运行在**分钟**小时，影响医院业务开展。

（*）信息系统中的数据丢失或被窃取、篡改、假冒，导致****条以下数据泄露。

**.*除上述情形外，对采购人单位运行、社会秩序、经济建设和公众利益构成威胁、造成的影响，但未达到Ⅲ级事件标准的网络安全事件为Ⅳ级网络与信息安全事件。

**.供应商为满足服务要求需自行提供的设备及其相关费用，均须包含在报价中，采购人不再另行支付。

**.供应商需按照采购人的要求，完成资料的撰写和整理，包括但不限于技术要求中的交付文件、整改函、整改报告以及制度（包含但不限于外部人员访问管理、信息资产安全管理、信息系统权限管理、人员安全管理、信息安全管理、应急预案、数据安全管理、采购安全管理、数据共享和交互管理、介质管理），同时需协助采购人完成迎检和检查资料的整理、装订。

注：以上要求均为实质性要求。

（一）商务要求

*.付款方式：

（*）供应商完成首次全面安全风险评估及采购人确认的问题处置后，采购人收到供应商开具的合法真实有效的增值税发票后的**个工作日内支付合同总金额**%。

（*）服务期结束后，采购人收到供应商开具的真实有效的增值税普通发票及服务期间应交付的全部报告后的**个工作日内支付合同总金额的**%。

如有扣款项则在相应支付阶段进行扣除，开具发票金额需和实际支付金额一致。

*.售后要求：（比如质保期、产品升级、备品备件等）

（*）服务期限：自合同签订之日起一年。服务期内需要配合采购人进行网络安全的相关问题的处置，按照技术参数服务要求执行，如无法处置的按照违约条款执行。

（*）供应商向采购人提供的安全服务平台在服务期内出现问题的，由供应商负责处理解决并承担一切费用。

（*）供应商需每季度向采购人提交《服务自评报告》，采购人将基于同期《供应商服务评估报告》，与该自评报告进行逐项比对分析。若供应商自评中存在明显虚高评分、未能识别关键不足点或与采购人评估结论出现实质性偏差（例如差异率达*%及以上）的情况，供应商须限期内落实优化措施。

（*）其他：供应商须按照合同约定的驻场人数向采购人支付能耗费用，支付标准为：**元/人·月，所产生的能耗费用（包括但不限于电费、水费）需由供应商自行承担；合同到期前最后一个月内向采购人支付。

*.工作考核及处理方法：

每个季度对供应商提供的服务进行考核，评分内容包含：资产识别、漏洞处置、应急响应和安全值守，满分***分。综合评价得分≥**分视为考核合格；综合得分在**分至**分（包含**分和**分）扣除****元整，综合得分在**分至**分的（包含**分和**分）扣除*****元整；综合得分不足**分视为当前季度考核不合格，并扣除*****元整。累计*次考核不合格，采购人有权终止合同，由此造成的所有损失由供应商承担。

*.项目交付的时间和地点：

（*）项目交付的时间：自合同签订之日起**个工作日内完成服务平台的搭建和应用，后续按照本项目服务要求提供服务。

（*）项目交付的地点：成都市第七人民医院指定地点。

*.验收的标准及时间:

*.*验收标准：参照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》（财库〔****〕*** 号）以及《政府采购需求管理办法》（财库〔****〕** 号）的要求及按照采购文件的技术指标和商务要求、成交供应商的响应文件及承诺与本项目合同约定标准进行验收，双方如对技术指标和商务要求的约定标准有相互抵触或异议的事项，由采购人在采购文件与成交供应商的响应文件中按技术指标和商务要求比较优胜的原则确定标准进行验收。验收时如发现供应商提供的服务不符合标准及本项目合同规定之情形者，由双方签署备忘录，由此产生的时间延误与有关费用由供应商承担，且验收期限相应顺延。

*.* 验收时间：合同履约结束，供应商提出验收申请后十个工作日内采购人进行验收。

*.本项目是否收取履约保证金及收取金额、退还规则：

收取履约保证金为合同总金额的**%。

交款方式：履约保证金可以以支票、汇票、本票或者金融机构、担保机构出具的保函等非现金形式提交（包括网银转账，电汇等方式）。

收款单位：成都市第七人民医院

开户行：中国建设银行股份有限公司成都第一支行。

银行账号：********************。

交款时间：成交通知书发放后，采购合同签订前。

履约保证金退还方式：由采购人直接以银行转账的方式无息退还至成交供应商的基本账户。保函形式的，采购项目在采购人出具验收通过资料后自动失效。

履约保证金退还时间：合同履约期结束且采购人出具验收通过资料后，采购人在**日内无息全额退还履约保证金。

履约保证金不予退还情形：在履约过程中，出现因供应商原因导致未履约或履约不完全的情况，履约保证金将不予退还。

*.违约责任：

（*）若供应商开具的发票为虚假发票，或提供由他人开具的与实际经营业务不符的发票。因此引起发票无法认证、认证不符或其他任何因发票瑕疵导致发票作废等情形。由供应商承担相关责任。

（*）保密要求：供应商须与采购人签订信息安全保密协议，供应商在服务过程中从医院获知的技术秘密、医院信息、临床科室信息等一切信息均负有保密责任。未经医院事先书面授权，供应商不得以任何方式向其它任何组织或个人泄露、转让、交换、赠与该信息或与任何其他组织或个人共同使用该信息。因为供应商违反规定造成信息泄漏给采购人造成损失的，采购人有权中止合同，不再支付后续款项，且采购人有权追究其法律责任。本保密要求不因合同的终止、解除等情形而失效。

（*）供应商必须要求工作人员严格按照采购人现场管理要求和工作纪律行事，对于供应商人员因工作原因在采购人处引起的各种工伤、安全事故，采购人免于一切责任，由供应商承担全部责任。

（*）如因供应商工作人员在履行职务过程中的疏忽、失职、过错等故意或者过失原因给采购人造成损失或侵害，包括但不限于采购人本身的财产损失、由此而导致的采购人对任何第三方的法律责任等，供应商对此均应承担全部的赔偿责任。

（*）供应商逾期完成服务的，每逾期一天，应按合同总金额的*‰作为违约金支付给采购人，或由采购人从待付款项中扣除。逾期超过约定日期**个工作日不能完成服务的，采购人可解除本合同。供应商因逾期实施服务或因其他违约行为导致采购人解除合同的，供应商应向采购人支付合同总金额*‰的违约金，如造成采购人损失超过违约金的，超出部分由供应商继续承担赔偿责任。

（*）供应商所交付的服务内容不符合合同规定，采购人有权拒绝该服务，供应商愿意更换服务内容但逾期提供的，按供应商逾期处理。供应商拒绝提供服务的，采购人可单方面解除合同。

（*）因供应商违约行为给采购人造成损失的，违约金不足以弥补采购人损失的，采购人有权向供应商主张全部损失，包含但不限于：鉴定费、公证费、律师费、诉讼费、保全费、保全担保费等实现债权的全部费用。

（*）因供应商内部问题导致采购人受到互联网领域（包括抖音、小红书、今日头条、微信公众号、快手、微博、问政四川等）负面影响，应向采购人承担****元/条的经济赔偿，并且供应商应在*小时内控制负面影响，且采购人有权解除合同，并追究供应商相关责任。

（*）供应商在参与本项目采购过程中，因自身围标、串标或提供虚假材料（承诺）、恶意竞标（成交后无法实质性响应采购要求等）谋取中标/成交/中选等行为被质疑成立、投诉成立或被相关上级部门通报处罚的，采购人有权解除合同，并追究供应商相关责任。

（**）因供应商逾期履行合同义务，采购人寻找第三人完成本项目全部或部分工作的，由供应商赔偿采购人的损失及承担违约责任。

（**）采购人应保证所提供的服务完全符合中标/成交文件要求。否则采购人有权解除合同，供应商应退回已付合同价款并按合同总价的**%支付违约金，如违约金不足以弥补采购人因此遭受的损失（包括行政处罚等）的，应当予以全额补足。如供应商拒不支付赔偿款的，采购人有权从应付费用中扣除。

*.其它：无

以上商务要求为实质性要求。

六、资料提交地点及联系方式：

*.资料：服务整体报价单、资格证明文件等。

*.联系人：任老师

联系电话：************

*. 资料递交邮箱：*********@***.***

七、其他：

*.为便于资料归集，电子版材料需盖章发送至指定邮箱。

*.本次为询价公告，不属于招标行为。

成都市第七人民医院

****年*月*日