东莞市卫生统计信息中心全民健康信息数据安全保障服务项目结果公告

正文内容

附件*合同包*：报价明细附件（**君同云科技有限公司）.pdf附件*合同包*：中小企业或残疾人福利单位声明函（**君同云科技有限公司）.pdf 一、项目编号：******-****-***** 二、项目名称：***卫生统计信息中心全民健康信息数据安全保障服务项目 三、采购结果 合同包*(全民健康信息数据安全保障服务): 供应商名称 供应商地址 中标（成交）金额 **君同云科技有限公司 ******西丽街道曙光社区***路****号**产业园A栋*** *,***,***.**元 四、主要标的信息 合同包*(全民健康信息数据安全保障服务): 服务类（**君同云科技有限公司） 品目号 品目名称 采购标的 服务范围 服务要求 服务时间 服务标准 金额(元) *-* 安全运维服务 数据安全体系顶层设计服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 开展数据安全现状分析、合规分析及风险评估等工作，针对所识别的组织、制度、人员、技术等脆弱性及风险，以在满足合规基线要求可接受的差距目标为基准，规划可落实的顶层建设规划方案设计。交付物：输出 《数据安全建设详细设计方案》，服务期内至少*次（要求第四季度完成数据安全体系顶层设计服务，并提供设计方案）。 **,***.** *-* 安全运维服务 数据安全能力评估服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 基于数据安全能力成熟度模型（DSMM）、数据安全治理能力（DSG）等国家、行业以及社会认可的普遍能力目标要求，结合客户自身的安全管理目标诉求，从组织、制度、技术和人员维度，综合评估组织的数据安全能力，明晰组织数据安全能力差距。交付物：输出《数据安全能力评估服务报告》，服务期内至少*次（要求第四季度完成数据安全能力评估服务，并提供服务报告）。 **,***.** *-* 安全运维服务 数据安全合规评估服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 以法律法规、监管办法等为指导，集合系统信息采集、评估分析、结果判定、处置跟踪四步，提供合规风险检查及风险处置规划。交付物：输出《数据安全合规评估服务报告》，服务期内至少*次（要求第四季度完成数据安全合规评估服务，并提供服务报告）。 **,***.** *-* 安全运维服务 数据安全风险评估服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 基于《数据安全法》《个人信息保护法》基线要求，以DSMM、DSG等相关标准的数据安全能力为目标要求，从组织、制度、技术和人员维度，全面评估数据安全能力差距，开展数据安全风险分析，并给予对应的处置建议。交付物：输出《数据安全风险评估服务报告》、《数据安全风险处置建议》，服务期内至少*次（要求第四季度完成数据安全风险评估服务，并提供上述服务报告）。 **,***.** *-* 安全运维服务 数据安全机制保障设计 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 从组织、制度、人员等管理维度，以数据安全管理要求输出数据安全相关标准制度、流程和规范文件，以满足安全管理要求及实质合规要求。交付物：输出 《数据安全管理制度》、《数据安全人员管理制度》、《数据安全应急响应管理制度》，确数据安全组织职能、数据安全组织架构、各岗位的数据安全职责范围和相关要求等，服务期内至少*次（要求第四季度完成机制保障设计，并提供上述管理规范制度）。 **,***.** *-* 安全运维服务 数据安全资产梳理服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 数据安全资产梳理，以系统级、表级的颗粒度开展盘点梳理工作，掌握数据分布及使用情况，输出数据资产目录清单。交付物：输出《数据资产目录清单》，服务期内至少*次（要求第三季度完成资产梳理服务，并提供服务报告）。 **,***.** *-* 安全运维服务 数据安全分类分级服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 基于数据安全合规视角，建立业务系统中的重要数据、个人信息以及组织认定的核心数据等敏感数据识别规范，根据规则通过自动化识别工具结合部分人工服务完成敏感数据识别及分级工作，以满足法律法规、行业监管以及业务风险管控的数据分级保护要求。交付物：输出《敏感数据识别规范》、《敏感数据分类分级报告》、《敏感数据分类分级清单》文件，服务期内至少*次（要求第三季度完成数据分类分级服务，并提供上述服务报告）。 **,***.** *-* 安全运维服务 数据安全现状评估服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 从管理和技术等多维度，制订现状评估计划，拟订调研清单，有序开展现有安全措施现状分析工作，厘清当前的数据安全现状。交付物：输出《数据权限清单》、《数据流向图》、《数据安全现状评估报告》，服务期内至少*次（要求第四季度完成数据安全现状评估服务，并提供上述服务报告）。 **,***.** *-* 安全运维服务 基础环境风险评估服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 漏扫分析，结合对数据库和中间件进行全面的安全配置核查和分析，发现配置的不合规项，提出系统整改修复建议，输出报告。交付物：输出《数据安全基础环境风险清单》、《基线核查报告》，服务期内至少*次（要求第四季度完成基础环境评估服务，并提供上述服务报告）。 **,***.** *-* 安全运维服务 数据安全策略制定及管控建议服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 数据安全管理，数据资产管理，数据流转规范，数据监控管理等，给出具体实施设计方案， 内容包括漏洞修复、基线加固、身份认证、访问控制、数据脱敏、数据加密、安全监控及审计等内容。交付物：输出《数据安全管理技术方案》，服务期内至少*次（要求第一季度完成数据安全策略制定及管控服务，并提供上述服务报告）。 ***,***.** *-* 安全运维服务 数据库加密存储服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 根据合规要求，结合实际情况，建立数据安全存储管理体系与技术规范，通过数据库加密存储工具实现对敏感、重要、核心数据提供落盘加密，防止拖库以及内部人员非法拷贝，保障数据安全。交付物：输出《数据安全存储管理规范》，服务期内至少*次（要求第一季度完成数据库存储加密服务，并提供服务报告）。 **,***.** *-* 安全运维服务 数据库保障服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 数据库应急响应服务、数据灾难挽救服务。交付物：输出《数据库巡检报告》、《AWR解读报告》，服务期内至少*次（要求按每季度完成数据库保障服务，并提供上述服务报告）。 **,***.** *-* 安全运维服务 数据库安全加固服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 包括数据库漏洞修复、数据库基线设计加固、运维人员身份认证及访问控制策略制定、敏感数据脱敏、数据加密存储、安全监控及审计等内容。交付物：输出《数据安全加固建议方案》，服务期内至少*次（要求第一季度完成数据安全加固服务，并提供服务方案）。 **,***.** *-* 安全运维服务 数据安全管控服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 根据合规要求，结合实际情况，提供数据安全实时风险感知分析，通过数据安全管控服务工具实时监控数据整体的运行情况，展示数据的安全情况，出现风险时可快速定位当前被攻击的数据及发起攻击的客户端，让数据更安全，并且数据安全风险感知分析对注入攻击、漏洞攻击、敏感访问、系统运行等进行**小时实时监控。交付物：输出《数据安全态势分析服务报告》，服务期内至少*次（要求第二季度完成数据安全态势分析服务，并提供服务报告）。 ***,***.** *-* 安全运维服务 数据备份扩容服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 现有一套火星舱数据备份系统，为提高循环备份需求，提供现有数据备份容灾单元设备基础上扩容服务，配置≥**TB裸容量（要求配置≥*块*TB硬盘）；扩容多模光纤双端口万兆以太网卡(SFP) 。（要求第一季度完成数据备份扩容服务）。 **,***.** *-* 安全运维服务 数据库安全防护服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 根据合规要求，结合实际情况，建立数据库安全防护体系，通过数据库安全防护服务工具对数据库进行来自外部危险隔离，消除应用程序业务逻辑漏洞或者缺陷所导致的数据库安全问题，通过事前探测、事中防护、事后审计，实现数据库的漏洞发现、访问行为控制、危险操作阻断、可疑行为审计，防止外部黑客对数据库入侵行为。交付物：输出《数据库安全防护服务报告》，服务期内至少*次（要求第一季度完成数据库安全防护服务，并提供服务报告）。 ***,***.** *-* 安全运维服务 API安全监测服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 提供接口发现模板，自动发现接口并进行快速梳理API资产台账；输出《API安全监测服务报告》，服务期内至少*次。（要求第一季度完成API资产梳理与监测服务，并提供服务报告）。 **,***.** *-* 安全运维服务 敏感数据脱敏服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 根据合规要求，参照《**省健康医疗数据脱敏技术规范》(标准号：T/GZBC **-****)，结合实际情况，通过服务配套工具对敏感数据进行脱敏处理，根据数据安全应用场景提供静态脱 敏和动态脱敏服务，防止各部门对敏感数据使用过程中造成的敏感数据泄露。交付物：输出《数据脱敏报告》，服务期内至少*次（要求第一季度完成敏感数据脱敏服务，并提供服务报告）。 ***,***.** *-* 安全运维服务 数据库访问控制服务 按照招标文件及采购人要求执行 按照招标文件及采购人要求执行 *年 根据合规要求，结合实际情况，对各部门业务、管理充分调研，实现不同岗位、职责人员数据安全管理体系与安全防护策略建设，包括运维人员、开发人员、业务操作人员的正确识别，避免非岗位、职责人员利用岗位、职责工具访问。对敏感数据进行定义与分类分级，对特权账户进行统一管理，防止敏感数据被越权。同时为避免误操作行为，通过数据库访问控制服务工具建立危险操作访问控制与数据恢复机制。交付物：输出《数据库访问权控防护报告》，服务期内至少*次（要求第一季度完成数据库访问控制服务，并提供服务报告）。 **,***.** 五、评审专家（单一来源采购人员）名单： 王鹏、尹校彬、黄惠嫦、胡铨、黄国胜（采购人代表） 六、代理服务收费标准及金额： 代理服务收费标准 中标服务费参照国家计委[计价格[****]****号]文和国家发改委[发改价格[****]***号]文及相关规定向中标单位收取，按差额定率累进法计算，以中标通知书中确定的中标总金额作为收费的计算参照。 合同包号 合同包名称 代理服务费金额（万元） 收取对象 * 全民健康信息数据安全保障服务 *.**** 中标（成交）供应商 七、公告期限 自本公告发布之日起*个工作日。 八、其他补充事宜 合同包*(全民健康信息数据安全保障服务): 供应商 资格性审查 符合性审查 技术得分 商务得分 价格得分 综合得分 得分排名 推荐排名 **君同云科技有限公司 通过 通过 **.** **.** **.** **.** * * **政创软件科技有限公司 通过 通过 **.** *.** **.** **.** * * **申腾信息技术有限公司 通过 通过 **.** *.** **.** **.** * * 九、凡对本次公告内容提出询问，请按以下方式联系。 *.采购人信息 名称：***卫生统计信息中心 地址：*****街道**路*号报业大厦附楼*楼 联系方式：****-******** *.采购代理机构信息 名称：*************** 地址：*****街道鸿福西路**号国际商会大厦***室 联系方式：****-********-*** *.项目联系方式 项目联系人：王佳涛 电话：****-********-*** *************** ****年**月**日 相关附件： 合同包*：中小企业或残疾人福利单位声明函（**君同云科技有限公司）.pdf 合同包*：报价明细附件（**君同云科技有限公司）.pdf