97国产精品视频|欧美国产偷国产精品三区|在线欧美成人网站网址|亚洲在线色情日本无码视频网|高潮喷水在线日韩精品操|真真操逼视频国产免费啪啪片|超大波少妇欧美亚洲精品日韩一区|久久视频精品91午夜视频|亚洲无码成人动漫精品一区二区|中文字幕久久成人

1/19什邡市人民醫(yī)院采購(gòu)合同合同編號(hào)：CGK2024-ZC-N-22采購(gòu)人（甲方）：什邡市人民醫(yī)院供應(yīng)商（乙方）：成都創(chuàng)信華通信息技術(shù)有限公司簽訂時(shí)間：2024年12月30日根據(jù)《中華人民共和國(guó)政府采購(gòu)法》、《中華人民共和國(guó)民法典》及什邡市人民醫(yī)院等保測(cè)評(píng)及網(wǎng)絡(luò)安全服務(wù)項(xiàng)目（項(xiàng)目編號(hào)：N5106822024000156）的成交結(jié)果，甲、乙雙方同意簽訂本合同。詳細(xì)技術(shù)說(shuō)明及其他有關(guān)合同項(xiàng)目的特定信息由合同附件予以說(shuō)明，合同附件及本項(xiàng)目的招標(biāo)文件、投標(biāo)文件、《成交通知書(shū)》等均為本合同不可分割的部分。雙方同意共同遵守如下條款：一、服務(wù)內(nèi)容：1服務(wù)項(xiàng)目序號(hào)服務(wù)名稱服務(wù)描述數(shù)量備注1三級(jí)等保測(cè)評(píng)服務(wù)1、服務(wù)內(nèi)容：根據(jù)信息系統(tǒng)等級(jí)保護(hù)要求，協(xié)助采購(gòu)人完成指定系統(tǒng)等保測(cè)評(píng)工作。全流程參與到系統(tǒng)等級(jí)保護(hù)工作，直至完成測(cè)評(píng)工作取得等級(jí)保護(hù)備案證明。網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求由安全測(cè)評(píng)通用要求和安全測(cè)評(píng)擴(kuò)展要求兩部分組成。安全測(cè)評(píng)通用要求具體分為安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理等十個(gè)方面。安全測(cè)評(píng)擴(kuò)展要求具體分為云計(jì)算安全擴(kuò)展要求、移動(dòng)互聯(lián)安全擴(kuò)展要求、物聯(lián)網(wǎng)安全擴(kuò)展要求、工業(yè)控制系統(tǒng)安全測(cè)評(píng)擴(kuò)展要求等四個(gè)方面。在具體測(cè)評(píng)實(shí)施過(guò)程中根據(jù)不同的等級(jí)保護(hù)對(duì)象組成，選擇安全測(cè)評(píng)通用要求以及合適的安全測(cè)評(píng)擴(kuò)展要求進(jìn)行測(cè)評(píng)；2、測(cè)評(píng)系統(tǒng)：序號(hào)系統(tǒng)名稱備注1互聯(lián)網(wǎng)醫(yī)院三級(jí)2醫(yī)院信息管理系統(tǒng)三級(jí)3PACS系統(tǒng)三級(jí)4HRP系統(tǒng)三級(jí)5OA系統(tǒng)三級(jí)6醫(yī)院信息集成平臺(tái)系統(tǒng)三級(jí)7官方網(wǎng)站二級(jí)5、成果要求（1）信息系統(tǒng)安全問(wèn)題匯總及整改建議。1項(xiàng)/2/19（2）網(wǎng)絡(luò)安全等級(jí)保護(hù)等級(jí)測(cè)評(píng)報(bào)告及過(guò)程資料。6、技術(shù)標(biāo)準(zhǔn)和規(guī)范（1）《信息安全等級(jí)保護(hù)管理辦法》★（2）《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》（GB17859-1999）（3）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南》（GB/T22240-2020）（4）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》（GB/T22239-2019）（5）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求》（GB/T28448-2019）（6）《信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)過(guò)程指南》（GB/T28449-2018）注：以上相關(guān)依據(jù)文件，若有最新版本，則按最新版本要求執(zhí)行。7、安全要求在項(xiàng)目實(shí)施過(guò)程中，必須遵守以下技術(shù)原則：（1）保密原則：對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密，未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人，不得利用此數(shù)據(jù)進(jìn)行任何侵害比選人的行為，否則比選人有權(quán)追究比選申請(qǐng)人的責(zé)任。（2）標(biāo)準(zhǔn)性原則：測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。（3）規(guī)范性原則：比選申請(qǐng)人的工作中的過(guò)程和文檔，具有很好的規(guī)范性，可以便于項(xiàng)目的跟蹤和控制，測(cè)評(píng)出具的報(bào)告須符合公安部頒布的《信息系統(tǒng)安全等級(jí)測(cè)評(píng)報(bào)告模板》。（4）可控性原則：等保測(cè)評(píng)服務(wù)的進(jìn)度要按照招標(biāo)文件的要求，保證比選人對(duì)于測(cè)評(píng)工作的可控性。（5）整體性原則：等保測(cè)評(píng)服務(wù)的范圍和內(nèi)容應(yīng)當(dāng)整體全面，包括國(guó)家等級(jí)保護(hù)相關(guān)要求測(cè)評(píng)要求涉及的各個(gè)層面。（6）安全性原則：等保測(cè)評(píng)服務(wù)工作應(yīng)不得影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行；測(cè)評(píng)工作不得對(duì)現(xiàn)有信息系統(tǒng)的正常運(yùn)行、業(yè)務(wù)的正常開(kāi)展產(chǎn)生任何影響。2網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估1、服務(wù)內(nèi)容：按照國(guó)家相關(guān)風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn)，結(jié)合采購(gòu)人信息安全現(xiàn)狀，對(duì)網(wǎng)絡(luò)信息系統(tǒng)涉及的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。風(fēng)險(xiǎn)分析過(guò)程主要由資產(chǎn)識(shí)別、威脅識(shí)別、脆弱性識(shí)別、已有安全措施評(píng)估和影響評(píng)估組成。在實(shí)施風(fēng)險(xiǎn)分析的過(guò)程中，首先要對(duì)上述這些因素進(jìn)行識(shí)別評(píng)估，然后在這些分析結(jié)果的基礎(chǔ)上，對(duì)風(fēng)險(xiǎn)進(jìn)行綜合分析和評(píng)估，得出風(fēng)險(xiǎn)分析報(bào)告。2、服務(wù)要求：服務(wù)開(kāi)展過(guò)程中保證采購(gòu)人相關(guān)業(yè)務(wù)系統(tǒng)的正常運(yùn)行，嚴(yán)格遵循保密原則，確保采購(gòu)人相關(guān)信息的保密性和安全性。3、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展1次。4、服務(wù)輸出：《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評(píng)估報(bào)告》。1項(xiàng)/3/193重要時(shí)期保護(hù)1、服務(wù)內(nèi)容：針對(duì)節(jié)慶日、大型會(huì)議等重要時(shí)期提供安全保障服務(wù)。根據(jù)采購(gòu)人需求在重保前中后期提供網(wǎng)絡(luò)安全資產(chǎn)梳理、風(fēng)險(xiǎn)隱患排查、駐場(chǎng)技術(shù)支持保障、安全策略調(diào)優(yōu)等服務(wù)。2、服務(wù)要求：提供技術(shù)支持保障的人員技術(shù)能力需要采購(gòu)人認(rèn)可，不認(rèn)可需及時(shí)更換。3、服務(wù)頻次：按需提供。1項(xiàng)/4入網(wǎng)安全評(píng)估1、服務(wù)內(nèi)容：采取滲透測(cè)試、漏洞掃描、配置檢查等多樣化評(píng)估手段，按需開(kāi)展入網(wǎng)安全評(píng)估，發(fā)現(xiàn)安全SQL注入、XSS、文件上傳、信息泄露、業(yè)務(wù)邏輯、弱口令等安全隱患，并提出科學(xué)、合理解決方案，協(xié)助進(jìn)行隱患處置，跟蹤隱患處置狀態(tài)，防止“帶病”入網(wǎng)，確保新系統(tǒng)、新設(shè)備、新應(yīng)用入網(wǎng)安全，通過(guò)入網(wǎng)評(píng)估輔助逐步減少存量安全漏洞。2、服務(wù)范圍：采購(gòu)人內(nèi)外網(wǎng)中新上線的業(yè)務(wù)。3、服務(wù)頻次：新系統(tǒng)正式入網(wǎng)使用前進(jìn)行，按需提供。4、服務(wù)輸出：《入網(wǎng)安全評(píng)估報(bào)告》1項(xiàng)/5基線核查1、服務(wù)內(nèi)容：為保障網(wǎng)絡(luò)設(shè)備、主機(jī)、中間件、操作系統(tǒng)等各類組件的配置合規(guī)有效，指派安全工程師利用基于自動(dòng)檢查腳本對(duì)采購(gòu)人以上各類組件進(jìn)行全面的安全配置核查及時(shí)發(fā)現(xiàn)不合規(guī)項(xiàng)，并提供功能解決建議協(xié)助完成整改，以確保其符合預(yù)先設(shè)定的安全基線，降低系統(tǒng)遭受攻擊的風(fēng)險(xiǎn)。2、服務(wù)要求：選取合適時(shí)間開(kāi)展安全基線核查工作，確保不會(huì)對(duì)各類組件正常運(yùn)行造成影響。3、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展2次。4、服務(wù)輸出：《基線核查報(bào)告》。1項(xiàng)/6漏洞掃描1、服務(wù)內(nèi)容：為保障采購(gòu)人網(wǎng)絡(luò)安全，按照采購(gòu)人提供的最新網(wǎng)絡(luò)資產(chǎn)清單以本地+遠(yuǎn)程相結(jié)合的掃描方式，對(duì)存在的Web漏洞、主機(jī)漏洞、中間件、數(shù)據(jù)庫(kù)、開(kāi)放服務(wù)端口等進(jìn)行全面漏洞掃描和漏洞排查梳理，及時(shí)發(fā)現(xiàn)潛在的漏洞及風(fēng)險(xiǎn)，提交漏洞掃描報(bào)告及整改建議，并配合進(jìn)行漏洞整改復(fù)核。2、服務(wù)要求：服務(wù)正式開(kāi)展前需仔細(xì)評(píng)估采購(gòu)人當(dāng)前網(wǎng)絡(luò)狀況，選取合適方式與時(shí)間開(kāi)展漏洞掃描工作，保證不影響采購(gòu)人業(yè)務(wù)正常開(kāi)展。3、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展4次。4、服務(wù)輸出：《漏洞掃描報(bào)告》。1項(xiàng)/7安全巡檢（六）安全巡檢1、服務(wù)內(nèi)容：對(duì)采購(gòu)人所有安全設(shè)備進(jìn)行周期性的巡檢，全面檢查和分析其運(yùn)行狀態(tài)，對(duì)網(wǎng)絡(luò)性能進(jìn)行分析，分析日志文件與可能出現(xiàn)的安全隱患，并提供有效的解決方案，保障安全設(shè)備安全穩(wěn)定的運(yùn)行。2、服務(wù)要求：對(duì)于安全巡檢中發(fā)現(xiàn)的問(wèn)題，需形成符合要求的《安全巡檢報(bào)告》與對(duì)應(yīng)解決方案或措施，上報(bào)采購(gòu)人相關(guān)責(zé)任人，在獲得批準(zhǔn)后及協(xié)助完成整改加固。1項(xiàng)/4/193、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展6次4、服務(wù)輸出：《安全巡檢報(bào)告》。8重要滲透測(cè)試1、服務(wù)內(nèi)容：在漏洞掃描基礎(chǔ)上，指派專業(yè)滲透測(cè)試人員利用專業(yè)的滲透測(cè)試工具從外部或內(nèi)部網(wǎng)絡(luò)收集采購(gòu)人信息系統(tǒng)的相關(guān)信息開(kāi)展?jié)B透測(cè)試服務(wù)，分析系統(tǒng)的存在的重大安全隱患，探查出邏輯性更強(qiáng)、更深層次的漏洞，提供對(duì)漏洞進(jìn)行詳細(xì)的描述和驗(yàn)證過(guò)程記錄,并指導(dǎo)完成重大漏洞的安全修復(fù)與系統(tǒng)加固整改工作。2、服務(wù)要求：滲透測(cè)試前應(yīng)仔細(xì)評(píng)估現(xiàn)狀，采取合適的技術(shù)手段、工具和策略，不得對(duì)采購(gòu)人的信息系統(tǒng)造成影響。3、服務(wù)范圍序號(hào)系統(tǒng)名稱備注1互聯(lián)網(wǎng)醫(yī)院服務(wù)期內(nèi)開(kāi)展2次2醫(yī)院信息管理系統(tǒng)服務(wù)期內(nèi)開(kāi)展2次3PACS系統(tǒng)服務(wù)期內(nèi)開(kāi)展2次4HRP系統(tǒng)服務(wù)期內(nèi)開(kāi)展2次5OA系統(tǒng)服務(wù)期內(nèi)開(kāi)展2次6醫(yī)院信息集成平臺(tái)系統(tǒng)服務(wù)期內(nèi)開(kāi)展2次7官方網(wǎng)站服務(wù)期內(nèi)開(kāi)展2次4、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展2次。5、服務(wù)輸出：《滲透測(cè)試報(bào)告》。9安全培訓(xùn)1、服務(wù)內(nèi)容：提供對(duì)采購(gòu)人全院職工、醫(yī)工信息部專業(yè)技術(shù)人員兩個(gè)層次人員的安全培訓(xùn)會(huì)各一次，以此提升相關(guān)人員的基礎(chǔ)安全意識(shí)及技術(shù)能力。安全培訓(xùn)內(nèi)容包括但不限于網(wǎng)絡(luò)安全形勢(shì)、相關(guān)法律法規(guī)、網(wǎng)絡(luò)安全技術(shù)等方面的內(nèi)容。2、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展2次。3、服務(wù)輸出：培訓(xùn)開(kāi)展相關(guān)的《安全培訓(xùn)計(jì)劃》《安全培訓(xùn)課件》。10攻防演練1、服務(wù)內(nèi)容：為進(jìn)一步提高采購(gòu)人網(wǎng)絡(luò)安全技術(shù)小組的業(yè)務(wù)水平，提升網(wǎng)絡(luò)安全專業(yè)人員在演練、測(cè)試過(guò)程中的參與感，提高攻擊反制和溯源能力。以實(shí)戰(zhàn)攻防演練的方式，檢驗(yàn)實(shí)戰(zhàn)環(huán)境下采購(gòu)人內(nèi)部網(wǎng)絡(luò)安全防御與快速處置能力，提升采購(gòu)人內(nèi)部網(wǎng)絡(luò)安全管理能力。2、服務(wù)要求：提供具有豐富經(jīng)驗(yàn)的演練團(tuán)隊(duì)，紅隊(duì)從攻擊者的思路對(duì)采購(gòu)人網(wǎng)絡(luò)進(jìn)行全面滲透和攻擊，藍(lán)隊(duì)協(xié)助采購(gòu)人安全團(tuán)隊(duì)利用自身安全防御體系和技術(shù)手段進(jìn)行快速發(fā)現(xiàn)和處置，提高在實(shí)戰(zhàn)對(duì)抗中的對(duì)抗能力。3、服務(wù)頻次：服務(wù)期內(nèi)開(kāi)展1次。4、服務(wù)輸出：《攻防演練方案》。11網(wǎng)絡(luò)安全分析1、服務(wù)內(nèi)容：對(duì)采購(gòu)人網(wǎng)絡(luò)安全設(shè)備采集的數(shù)據(jù)進(jìn)行深入挖掘和分析，對(duì)設(shè)備的告警信息進(jìn)行驗(yàn)證、核對(duì)，幫助采購(gòu)人發(fā)現(xiàn)內(nèi)部失陷主機(jī)、外部攻擊、內(nèi)部違規(guī)和內(nèi)部風(fēng)險(xiǎn)等關(guān)鍵信息安全問(wèn)題，能實(shí)現(xiàn)從攻擊鏈的維度將攻擊行為進(jìn)行重新劃分，對(duì)告警進(jìn)行深