当前位置:
我院拟对网络数据安全设备及系统项目进行需求调查,现面向社会公示,诚邀符合条件的供应商参加,请于****17:30之前报名。
一、需求调查项目:网络数据安全设备及系统项目
二、需求调查项目简介:
(一)基本功能及性能要求:
| 1 | 数据安全 | 产品 | 功能 | 性能 | 拟需求数量 |
| 数据分类分级系统 | 数据分级分类系统能提升数据管理效率,按重要性、敏感程度等划分数据等级与类别。在安全层面,它便于针对性保护不同级别数据,如加密敏感数据;数据利用上,可助力用户快速定位目标数据,提高检索精准度;同时利于院方遵循数据合规要求,明确使用范围,确保数据处理合法合理。 | 千兆电口≥4个,万兆光口≥2个,硬盘≥8T,扫描速度≥100字段/s,≥300个实例,并结合我院需求提供定制化分类分级模板。 | 1套 | ||
| API应用安全系统 | 数据API应用安全系统用于保护API接口和数据安全。它以身份认证、授权机制防止非法访问,抵御DDoS等网络攻击保障系统稳定,对传输和存储的数据加密,避免数据泄露与篡改,助力院方安全进行数据共享与交互。 | 千兆电口≥6个,千兆光口≥4个,硬盘≥8T,HTTP吞吐量≥3Gbps。 | 1套 | ||
| 数据库安全网关 | 数据库安全网关保障数据库安全,对访问请求做身份认证与权限鉴别,阻止非法访问;监测数据流量,拦截SQL注入等威胁;传输时加密数据防泄露;审计访问行为,记录操作信息以便追溯异常。它全方位守护数据库保密性、完整性和可用性。 | 千兆电口≥4个,千兆光口≥4个,SATA硬盘≥4T,吞吐量≥4Gbit/s,SQL处理性能≥50000条/秒。 | 1套 | ||
| 数据静态脱敏系统 | 数据静态脱敏系统保护敏感数据。在数据共享,比如院方向第三方提供测试、分析数据时,对身份证号、银行卡号等敏感信息变形、替换,隐藏真实内容且保留基本特征;数据迁移时也能防敏感数据泄露。它让开发、测试人员无需接触真实敏感数据就能工作,兼顾业务数据需求与数据安全。 | 千兆电口≥4个,千兆光口≥4个,硬盘≥2T,静态脱敏速率≥20G/时。 | 1套 | ||
| 数据防泄露系统 | 数据防泄露系统保护院方的敏感数据。它监控数据使用与传输,识别异常访问、下载等潜在泄露风险,加密数据防窃取,分类分级重点保护核心数据,阻止敏感数据流出内网,防止员工无意或有意泄露,降低数据泄露导致的经济损失和声誉损害风险。 | 千兆电口≥4个,千兆光口≥4个,万兆光口≥2个,硬盘≥4T,吞吐量≥5Gbps。 | 1套 | ||
| 数据库审计系统 | 数据库审计系统保障数据库安全,实时监测登录、查询、修改等访问活动,记录行为以发现恶意攻击、非法访问等安全威胁,用于合规检查确保数据库使用符合法规和内部政策,出现问题时便于追踪溯源、明确责任,为数据安全和稳定运行提供保障。 | 千兆电口≥6个,千兆光口≥4个,硬盘≥4T,网络吞吐量≥5Gbps,SQL语句处理能力≥50000条/秒。 | 1套 | ||
| 数据分类分级服务 | 数据分级分类服务对数据系统划分,依敏感程度、重要性分级,如公开、内部、机密等;按主题、来源、用途分类,像财务、客户数据等。该服务提升数据管理效率,保障数据安全,助力院方合理分配安全资源,帮用户快速定位和精准使用数据,在数据处理与利用中起关键支撑作用。 | 针对指定核心业务系统,提供不少于100万字段的数据分类分级服务;提供敏感数据识别、数据分类分级、数据风险评估、数据安全管理体系建设、数据安全监测与事件分析、数据安全策略优化、数据安全处置与响应等服务内容。 | 1套 | ||
| 2 | 网络安全 | 产品 | 功能 | 性能 | 数量 |
| 数据中心防火墙 | 数据中心防火墙保护数据中心网络安全,阻止外部未经授权访问,防范黑客攻击和恶意软件入侵,检测过滤进出流量,仅允许合法流量通过,划分安全区域如内部办公区和外部服务区,实施不同访问策略,保障数据机密性和完整性,确保数据中心稳定安全运行。 | 千兆电口≥8个,千兆光口≥8个,万兆光口≥8个,100G/40G自适应光口≥4个,整机吞吐量≥50Gbps,深度解析混合吞吐量≥20G。 | 2套 | ||
| 边界防火墙 | 边界防火墙保护内部网络安全,阻止黑客攻击、恶意软件入侵等外部非法访问,隔离内部网络与外部互联网。它管控进出流量,仅允许授权流量通过,如院方员工访问特定外部网站,还记录网络活动,便于事后审计、发现异常,为网络安全提供保障。 | 1.硬件参数:硬盘≥128G SSD,接口:≥8千兆电口≥2万兆光口。网络层吞吐量≥20Gbps。 | 4套 | ||
| 网闸 | 网闸隔离不同安全级别的网络,阻止网络直接连接,实现物理隔离下的适度数据交换。例如在政务办公网与互联网间,防止内部敏感信息泄露,安全交换非敏感数据,如更新杀毒软件病毒库。同时有效抵御黑客入侵、恶意软件传播等外部网络攻击,是保障网络尤其是涉密网络安全的关键设备。 | 内外网各配置:千兆电口≥4个,千兆光口≥4个,万兆光口≥2个,硬盘≥1T;最大吞吐量≥4Gbps,并发连接数:≥20W。 | 2套 | ||
| 终端安全管理系统 | 终端安全管理系统保障电脑、手机等终端设备安全。它实时监测、扫描,防范病毒、木马入侵;管控软件安装与使用权限,规避未授权软件风险;加密传输和存储数据,防止泄露;管理设备接入,仅允许符合安全策略的设备入网,维护网络安全稳定。 | 1.采用B/S+C/S架构,标配1个管理中心,PC客户端授权:2000,包含病毒查杀、漏洞管理、微隔离、移动存储介质管理、防暴力破解、系统登录防护、桌面管控及基线检查等功能,支持国产桌面操作系统 | 1套 | ||
| 服务器安全管理系统 | 防范病毒、木马等恶意软件入侵,通过实时监测和扫描来及时发现威胁。 | 提供≧500个服务器端的终端安全管理软件授权。支持国产操作系统。 | 1套 | ||
| 网络探针 | 潜伏威胁探针融合网络入侵检测与流量采集,具备高性能、高安全性、高可靠性和易操作性,拥有资产识别、脆弱性识别、原始网络流量解析、全面威胁检测及持续威胁开放共享五大功能,为用户带来优质安全体验。 | 接口:≥6千兆电口≥2万兆光口,硬盘容量:≥480GB SSD,吞吐量:≥2Gbps | 2套 | ||
| 3 | 整体要求 | 1.本项目涉及所有设备需提供对应数量的原厂多模模块。 2.本项目涉及所有设备需提供三年以上质保服务并列出质保期后每年续保费用。 3.边界防火墙、终端安全管理系统、服务器安全管理系统、网络探针需支持与医院现有安全体系双向联动。 | |||
(二)实施原则及基本项目要求
1.项目实施应满足的原则
本项目实施方案设计与具体实施应满足以下原则:
1.1保密原则:对项目实施过程中产生的数据和结果等严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害院方的行为,否则院方有权追究供应商的责任。
1.2标准性原则:实施方案的设计与实施应依据国家相关法律法规国家标准等进行。
1.3规范性原则:供应商在工作中产生的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
1.4可控性原则:项目实施的进度要跟上进度表的安排,保证院方对于本项目的可控性。
1.5整体性原则:项目实施的范围和内容应当整体全面,包括各相关法律法规国家标准等各个层面。
1.6最小影响原则:项目实施工作应尽可能小的影响系统和网络,并在可控范围内;项目实施工作不能对现有信息系统的正常运行、业务的正常开展产生非必要影响。
供应商应严格依照上述原则开展项目实施工作。
2.本项目实施的整体要求
2.1供应商必须严格遵循《网络安全法》《数据安全法》《个人信息保护法》《医疗卫生机构网络安全管理办法》《信息安全技术健康医疗数据安全指南》等法律法规及行业标准。
2.2供应商应配合院方建立三级等保2.0合规体系,完成差距评估、安全建设、等级测评及整改闭环。
2.3供应商应配合院方构建覆盖网络边界防护、入侵检测、病毒防护、漏洞管理、日志审计的全方位安全防护体系,关键系统日志留存6个月以上。
2.4供应商应配合院方实施医疗数据分类分级管理,落实加密传输存储、数据脱敏、访问控制、操作审计等措施,保障门诊数据、电子病历、基因信息等敏感数据安全。
2.5供应商应配合医院制定网络安全事件应急预案,每年开展攻防演练及数据泄露应急演练≥1次,响应处置时效≤1小时。
2.6供应商应配合院方规范第三方服务安全管理,供应商需通过ISO27001认证,签订数据安全协议,实施API接口安全管控。
2.7供应商应配合医院部署医疗物联网设备准入控制,实现医疗设备资产全生命周期管理,无线网络采用WPA3加密协议。
2.8供应商应配合医院建立网络安全态势感知平台,对接医院HIS、PACS等核心系统,实现威胁情报联动和自动化处置。
2.9供应商应配合院方针对云计算、大数据、AI等新技术的应用场景,实施专项安全评估和安全加固方案。
2.10供应商应配合医院定期开展供应链安全审查,重点审核医疗设备厂商、云服务商、系统集成商的安全资质及服务能力。
2.11供应商应详细描述本项目的整体实施方案,包括项目概述、现有情况、改进措施、实施方案、设备清单、时间安排、阶段性文档提交和验收标准等。供应商应独立于信息安全产品制造方和使用方,提供公正、合理、独立的信息安全服务和系统整改建议,不得限制院方信息安全整改中购置设备或软件的选型。
2.12对项目实行总工程师负责制。执行本项目实施服务的主要人员不得少于5人,必须具备从事信息安全服务资格,具有参加医疗行业信息安全服务项目的经验、案例。供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有经验的技术人员进行本项目实施工作。
(三)基本商务要求:
1、服务能力:
1.1供应商应为在中华人民共和国境内合法注册能够独立承担民事责任的法人、其他组织或者自然人。
1.2供应商具有良好的商业信誉和健全的财务会计制度,具有履行合同所必需的设备和专业技术能力。
1.3供应商须提供以下资质证明文件原件或复印件(复印件必须加盖单位公章)。
1.3.1供应商《营业执照》(复印件)等。
1.3.2经“信用中国”网站查询,供应商未被列入失信被执行人名单。(公司需提供查询页面截图)。
1.3.3如产品涉及软件著作权证书,提供相关信息系统软件著作权证书情况。
1.3.4法定代表人授权书原件(含法定代表人身份证及被授权人身份证复印件)。
2.服务案例:
供应商提供医疗行业(三甲医院)的成功案例,并通过客户验收的证明资料;
3.人员要求:
提供商的技术团队成员应具备相关的专业认证,如CISSP(注册信息系统安全专家)、CISP(注册信息安全专业人员)等。以确保其有能力处理复杂的网络安全和数据安全问题。
4培训要求:
供应商制定培训计划,包括:培训对象、培训内容、培训时间等,对本产品涉及的直接及间接使用者进行全方位的培训,直至能熟练操作。
5.后续服务:
5.1项目验收
5.1.1本项目的目标是完善院方网络安全和数据安全体系建设,需供应商配合院方编撰完善网络安全和数据安全相关的制度文档。
5.1.2供应商应对所有涉及项目实施产生的正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
5.1.3供应商应提交验收方案,供院方参考。
5.1.4院方将依据本项目的要求,组织相关部门或单位的技术专家对供应商提交的项目成果进行验收。
5.2项目承诺
5.2.1供应商应满足院方提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
5.2.2保密性要求:供应商必须和院方签订保密协议和非侵害性协议,供应商必须要与参加本项目的所有项目组成员签订保密协议和非侵害性协议,在合同签定时一并提供给院方。
5.2.3供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论供应商中标与否,其对上述内容的保密责任将长期存在。
5.2.4项目实施的品质保证:供应商尽量指派在医疗行业信息安全项目有经验的技术人员,以便能够更好地为医院量身定制安全解决方案并承诺项目实施过程中严格按照国家标准进行,并保证对客户的资料严格保密。
5.3其他
5.3.1供应商响应文件中需要对供应商现有网络安全和数据安全体系状况做出合理评估,并结合本项目提供建设方案。
5.3.2供应商应提供机构背景材料、安全服务资质及其他认为可以体现技术能力的资质。
5.3.3供应商应提供项目参与成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。
5.3.4供应商应提出需要院方配合的工作事项。
5.3.5供应商应提供产品操作指南、相关知识的培训服务。
5.3.6项目实施结束后供应商应提供整改后的网络拓扑图、安全设备配置信息等相关技术文档。
5.3.7项目实施后期服务承诺:应标人对院方现有信息系统扩建的网络,提供安全性分析服务,并对发现的相关问题提出合理化建议。
6.售后服务:
6.1本项目涉及所有设备需提供三年以上质保服务并列出质保期后每年续保费用。
6.2售后服务体系:供应商应具备完善的售后服务体系,包括售后服务流程、售后服务团队、售后服务热线等,能够提供7×24小时的技术支持和应急响应服务。
6.3本地化服务能力:考虑到医院的实际需求,供应商最好具备本地化服务能力,能够在短时间内到达现场解决问题,减少设备故障对院方院业务的影响。
7.本项目实施工期及服务方案要求:
7.1项目要求在合同签订后90个日历日内完成所有工作和资料交付。
7.2供应商应遵循本项目涉及的法律法规及标准等开展工作,包括但不限于:
7.2.1国家法律法规
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《关键信息基础设施安全保护条例》
7.2.2医疗行业专项规范
《医疗卫生机构网络安全管理办法》
《国家卫生健康委关于印发医院信息互联互通标准化成熟度测评方案的通知》
《电子病历应用管理规范》
7.2.3等级保护要求(等保2.0)
《信息安全技术 网络安全等级保护基本要求》GB/T 22239-2019
《信息安全技术 网络安全等级保护测评要求》GB/T 28448-2019
《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2020)
《信息技术 安全技术 网络安全 第 1 部分:架构》GB/T 25068.1-2020
《信息安全技术 个人信息安全规范》GB/T 35273-2020
《信息安全技术 大数据服务安全能力要求》GB/T 37932-2019
7.2.4数据安全相关标准
《重要数据识别指南》(GB/T 39725-2020)
《信息安全技术 健康医疗数据安全指南》(GB/T 39725-2021)
《信息安全技术 数据出境安全评估指南》
7.2.5医疗设备安全标准
《医疗器械网络安全注册审查指导原则》
《医疗设备网络安全基本要求》GB 35142-2017
7.2.6国际标准参考
信息安全管理体系(ISMS)认证ISO/IEC 27001
医疗信息隐私管理ISO 27799
7.2.7政府采购要求
《政府采购法》
《招投标法》
《网络安全审查办法》
7.3供应商所提供的所有设备需符合以下国家标准:
7.3.1《信息技术 安全技术 网络安全 第 3 部分:使用安全机制的安全连接》GB/T 25068.3-2020
7.3.2《信息安全技术 云计算服务安全能力要求 第 1 部分:基础设施即服务(IaaS)》GB/T 32918.1-2016
7.3.3《信息安全技术 信息系统安全等级保护 数据安全技术要求》GB/T 31505-2015
7.3.4提供公安部信息安全产品检测证书(GA/T 1163-2014)
7.3.5支持等保 2.0 合规性检查接口(GB/T 28451-2012)
8.知识产权
院方在中华人民共和国境内使用供应商提供的系统及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控,供应商应承担由此而引起的一切法律责任和费用。未经院方同意,供应商不得以任何单位或个人名义,对外泄露或公开报告内容及相关文件资料、数据信息、重要结论等。
三、供应商应具备的条件及需要递交的资料:
(一)供应商应具备的条件
1.具有独立承担民事责任的能力(提供承诺函);
2.具有良好的商业信誉和健全的财务会计制度(提供承诺函);
3.具有履行合同所必需的设备和专业技术能力(提供承诺函);
4.有依法缴纳税收和社会保障资金的良好记录(提供承诺函);
5.参加本次需求调查活动前三年内,在经营活动中没有重大违法记录(提供承诺函);
6.法律、行政法规规定的其他条件(提供承诺函);
7.遵守国家法律法规,具有良好的信誉和诚实的商业道德,供应商在参加本次采购活动前的信用记录未列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信等行为(提供证明材料);
8.所供的产品及服务符合国家相关法律法规及行业标准(提供承诺函)。
(二)供应商需递交的资料
1.承诺函、报名函、授权书、报价单、相关产业发展情况及市场供给情况、同类采购项目历史成交信息情况(见附件);
2.中小企业承诺函(见附件)(非中小企业则不填);
3.廉洁承诺书+防止利益冲突报备表(见附件);
4.资质证明文件:营业执照等。按生产厂家及各级代理商资质证件和各公司层级授权委托书、产品资质证件的顺序,明确体现证件齐全及各层级授权关系,包括营业执照、生产/经营许可证、医疗器械注册证/备案信息、彩页、产品使用说明书等,以上资质不涉及不提供;
5.采购项目技术参数、功能需求及商务要求响应情况(见附件);
6.提交的所有资料须合法、真实、有效、清晰,并加盖鲜章,按以上顺序编订成册(一正两副共三份),并在首页编制目录,提交资料未按要求提供,医院有权拒绝签收。资料提交不完整的,视为报名不成功。
四、其他
本公告为医院需求调查,非采购行为,请各供应商知悉。
五、报名方式
方式一:报名截止时间前现场递交报名资料;
方式二:报名截止时间之前邮寄出报名资料并发送电子版至邮箱:****@qq.com后再电话联系通知,在邮寄的情况下未在截止时间内发送电子版视为未报名成功。
需求调查方式:线下需求调查,具体需求调查时间另行电话通知。未按通知时间到达现场签到视为放弃本项目。(参加需求调查的供应商请在医院外自行停车,院区内停车主要为病人及家属提供)
六、联系方式
如有其他疑问,请及时联系,联系人:刘老师,电话:****(上班时间:08:00-12:00,14:30-17:30),邮寄地址:自贡市****点击登录查看采购科。
1.需求调查封面.doc2.需求调查-货物类承诺函+报价单.doc3.中小企业声明函.doc4.采购项目技术参数、功能需求及商务要求响应情况.doc点击登录查看廉洁承诺书+防止利益冲突报备表(供应商).doc" target="_blank">5.点击登录查看廉洁承诺书+防止利益冲突报备表(供应商).doc
点击登录查看采购科
****
