中山大学附属第七医院2023年网络安全服务项目调研需求书项目整体要求

中山大学附属第七医院年网络安全服务项目调研需求书2023

一、项目整体要求

1、服务期限合同签订之日起1年

2、网络安全服务要求服务提供商具备专业的安全服务团队，团队成员包括项目经理、网络安全工程师、主机安全工程师、终端安全工程师、应用安全工程师、数据安全工程师、安全管理咨询工程师等

3、服务期间，如遇到我院新的网络安全需求，网络安全服务提供商应协助我院提供对应的解决方案

4、服务期间，如遇新的网络安全法律法规（如数据安全法）颁布，须及时予以解读并同时向我院提出系统安全改造、升级方案要求，满足我院的网络安全保护工作

5、年度服务结束后，如我院下一年的服务商还未最终招标确定，则中标人所提供的安全服务工具应无偿顺延至最终确认中标人（时间不超过3个月的期限），且须与下一年的服务商交接相关工作，以便于我院完成接下来安全服务的工作

二、项目需求清单序号服务名称具体参数备注通过安全评估工具对内网资产进行扫描，识别内网的内网IT1每季度一次资产分布情况，减少内网资产的盲区，为发现资产的资产探测高可利用漏洞打好基础互联网暴露面2通过互联网暴露面探测平台以攻击者视角对暴露在公每季度一次检测网的资产网段进行扫描，输出对外开放的资产清单对重要服务器、操作系统、网络设备、安全设备、中间件、数据库等基于信息安全风险的角度进行配置核3基线核查每季度一次查，检测网络设备的安全策略弱点和部分主机的安全配置错误等安全隐患，提出整改建议，指导运维人员优化配置策略，从而达到相应的安全防护要求使用系统漏洞扫描工具对数据库、操作系统、中间件等进行漏洞、端口、弱口令扫描，扫描完成后由技术4漏洞扫描每季度一次人员对漏洞进行确认测试，提出整改建议，协助开发人员整改对新系统上线提供安全检测（渗透测试、漏洞扫描）,提系统安全检测提供不少于20次/个应用系统的5供7*24小时云端网站安全监测服务，在发生安全事件及监测安全检测给出告警信息高级服务工程师采取访谈调研、人工审核、工具检测等手段，评估信息系统安全现状，对信息资产面临的6风险评估威胁、存在的脆弱性、现有防护措施及综合作用而带来的风险发生的可能性进行评估，最终提供全面性的风险评估报告及建设建议提供承载数据的应用系统进行数据安全风险评估，通数据安全风险过调研、资产识别、数据分类分级结合应用系统技术7评估评估手段，识别组织数据安全风险，解决应用系统数据安全问题当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时，提供包括事件检测与分析、风险抑制、问8应急响应题处置、协助业务恢复的服务，能够协助快速止损，最大化降低安全事件带来的影响据相关国家标准或国际标准，提供对应的应急演练场景专项应急预案模板，以指导应急响应团队应对与处置安全事件；制定应急演练方案及脚本并协助开展应9应急演练急演练，模拟安全事件发生及处置的全过程，提高应对安全事件的处置能力，预防和减少安全事件造成的危害和损失根据评估和测评等检测的结果及整改意见，对WEB应10安全加固用、网络设备、操作系统、数据库等不涉及业务的安全配置进行加固包括以下由授权培训机构进行提升安全技术培训服务，内容包含信息安全技术、安具体实施的培训安全技术培训11全管理制度/流程、法律法规和标准、信息安全意识、

1、CISP-PTE/一人服务攻防演练/CTF比赛、定制化培训

2、CISP-DSG/一人

3、CKS（K8s安全）/一人提供网络安全宣传服务，包括宣传展板、宣传手册及全员培训不少于4个课时且内容12必要的网络安全意识培训，提升我院全员网络安全意包括个人信息和数据网络安全宣传识____________________________________________________安全意识__________及意识培训专完成我院三年信息安全体系规划方案设计、数据安全13题安全咨询体系方案设计等安全体系方案设计完成医院勒索风险点梳理、排查、加固，以及在发生14勒索专项服务勒索情况下的应急技术和商务支持（含软硬件支持服务）

三、安全服务需求

3.

1、项目经理提供一名项目经理，负责工作内容沟通、组织协调、项目质量把控、项目进度跟踪，总结汇报等工作项目经理需要向我院实时汇报项目进展，识别项目风险，并提前处理，确保项目交付质量，确认我院安全工作目标，制定项目实施计划，安排实施人员，更新项目实施甘特图，汇报项目实施各阶段里程碑，提交各项工作交付物

3.

2、系统安全检测及监测服务新系统上线前，开展安全检测，包括渗透测试、漏洞扫描等，对发现的安全隐患，指导修复并复测，确保信息系统所有安全隐患修复完成，保障系统安全后再上线，为我院系统上线落实完善的管理流程，系统上线经过安全检测后记录在册，保障资产清单及时更新，系统上线后7*24小时监测系统安全

3.

3、网络安全宣传及意识培训服务根据我院信息安全宣传需要，为我院提供网络安全宣传服务，如网络安全周等期间，包括宣传展板、宣传手册、宣传海报，信息安全意识培训等对我院信息安全技术人员及全员开展安全培训，培训方式包括线下专业技能培训、线上远程专家培训、安全工作专题培训，以及在日常工作中向我院人员传递实战技能培训课题包括信息安全技术、安全管理制度/流程、法律法规和标准、信息安全意识、攻防演练/CTF比赛、定制化培训等

3.

4、项目团队要求

3.

5、团队，团队成员不少于6人配置1名专属项目经理作为项目管理人员,不具体参与技术服务类工作，具备PMP、CCSK、ISO27001Foundation.CISP、CNVD等认证;项目团队配备安全风险评估专家一名，具有CISP证书（注册信息安全专业人员）、CISAW风险管理证书、CISAW应急服务等证书；项目团队配置安全咨询顾问1名，具备PMP,ISO27001LA,CCIE等证书；为本项目配置项目开展所需的其他技能服务工程师，包括但不限于数据安全工程师、安全管理咨询顾问、应用安全工程师、安全攻防专家、安全设备工程师、应急保障工程师等所有项目组成员需遵从我院作息时间及指定办公地点

3.5实施要求服务过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档，在项目结束后全部移交给甲方服务过程中涉及到渗透测试、漏洞扫描等会影响业务系统稳定的敏感操作，须在甲方许可的时间、环境并且在甲方授权的情况下方可操作，开展工作前须要制定严格的执行方案和预案，首要保障业务系统的稳定，完成后提交全部过程文档供应商必须对本项目进行全程管理，管理内容包括项目计划、项目人员组织、项目例会、项目资料收集、项目日报周报、项目总结等最终服务提供商提交详细的实施方案、安全工具清单、服务痕迹管理清单、招标明确须要完成的服务清单，人员组织方式、实施计划、质量保障体系、项目管理等；服务方案，要求条理清晰、内容合理，要求提供详细的服务流程及说明，以及服务过程中采用的技术和方法，要求进行详细介绍服务成果物要求的文档均为包括但不限于所列文档

3.6响应时间要求售后服务计划保障有力、组织合理，故障相应时间满足规范要求，针对突发安全事件和故障的响应时间满足规范要求，发生故障要求问题响应时间W10分钟，到达现场时间W2小时，安全事件和故障解决时间W4小时；加强信息系统的风险应急和处置，对突发的信息安全事件提供7*24小时响应服务

3.7保密要求中标人对我院所有业务有保守秘密的义务，要求签署三方保密协议中标人进行系统安全检查及渗透测试服务必须经过系统管理员和安全管理员共同确定后方可执行，执行过程必须按照既定方案进行运维服务人员保证遵守国家有关的政策、法律、法规和制度，保证按照工作规范进行工作，凡接收到的重大服务请求，在未经用户同意的情况下不得擅自行动运维服务人员保证不向外泄漏任何业务和相关数据；保证不向外泄漏任何用户资料

3.8网络勒索损失在服务期间内，医院发生网络安全事件受网络攻击、网络安全威胁而被勒索、敲诈，导致产生下列损失和费用，供应商需进行全额赔付赎金；咨询处理网络勒索事件第三方专业机构的费用；对能提供逮捕、定罪勒索人信息的举报人的奖励。