绍兴市第七人民医院信息系统安全等级保护测评服务项目征求意见经绍兴市政府采购管理部门批准，绍兴市公共资源交易中心将于近期就绍兴市第七人民医院信息系统安全等级保护测评服务项目进行公开招标采购。现将有关技术需求公布如下,并征求意见。一、征求意见范围：1、是否出现限制品牌、型号；2、是否出现明显的倾向性意见和特定的性能指标；3、影响政府采购“公开、公平、公正”原则的其他情况。二、征求意见的回复：各供应商及专家提出修改意见和建议的，请于2012年9月21日下午17时前（节假日除外）将书面材料密封后送至绍兴市公共资源交易中心政府采购科。同时将书面材料的电子文档发送至以下信箱：ch********@163.com。联系电话：****-******** 联系人 ：陈虹地址：迪荡新城惠利街20号鼎盛时代大厦4楼。三、合格的修改意见和建议书要求：1、供应商提出修改意见和建议的，书面材料须加盖单位公章和经法人代表签字确认，是授权代理人签字的，必须出具针对该项目的法人代表授权书及联系电话。2、专家提出修改意见和建议的，须出具本人与该项目相关专业证书复印件及联系电话。3、各供应商及专家提出修改意见和建议内容必须是真实的，并附相关依据，如发现存在提供虚假材料或恶意扰乱政府采购正常秩序的，一经查实将提请有关政府采购管理机构，列入不良行为记录。四、拟采购项目货物清单及技术要求：01标信息安全等级保护测评服务项目（预算金额：16万元）1导则1.1 项目名称：信息安全等级保护测评服务1.2 招标人：绍兴市第七人民医院1.3 投标人：经审查符合本次招标的相应资质要求，参加招标的投标人。投标人必须为具备公安部信息安全等级保护评估中心颁发的“信息安全等级保护测评机构能力评估合格证书”的测评机构。1.4 中标人：最终授予合同的投标人。2 术语定义保密信息：指双方签订和执行合同过程中接触和产生的所有文件和成果信息，包括所有软件、软件目录、文件、信息、数据、图纸、基准测试、技术规格、商业秘密等。3 项目概况本次参与信息系统安全等级保护测评的信息系统共有 4个，其中 系统安全保护等级为三级的两个 , 安全保护等级为二级的两个 。本次参于安全等级保护测评的 4 个信息系统描述如下：序号系统名称测评等级1基础支撑系统三级2面向患者服务系统三级3内部办公系统二级4门户网站系统二级4招标范围本项目招标范围包括对上述 4 个信息系统的等级保护测评服务、整改建设咨询服务以及配合绍兴市公安局监督检查及备案相关工作。5 投标人要求投标人应满足下面的资格条件：5.1 法人地位：投标人必须是一个依据中华人民共和国有关法律设立，并在中华人民共和国境内正式注册，具有独立法人地位的企业。投标人应提供有效的营业执照副本（复印件加盖公章，原件备查）。5.2 商业信誉：投标人应具有良好的商业信誉和业绩，并获得用户的好评。5.3 财务状况：投标人应具备良好的财务状况，具有足够的流动资金来承担招标范围各事项。5.4 投标人资质：投标人必须为具备公安部信息安全等级保护评估中心颁发的“信息安全等级保护测评机构能力评估合格证书”的测评机构。5.5 主要人员要求：执行本项目实施服务的主要人员不得少于5人，必须具备从事等级保护测评工作资格，具有参加等级保护测评服务项目的经验、案例。5.6 投标人技术能力要求：投标人应具有针对本项目要求的技术手段。5.7 投标人应仔细阅读本招标文件，严格按照本招标文件的内容和要求编制应答文件，并承担应答文件编制和递交过程中的一切费用和风险。5.8 投标人必须承诺对从招标活动中获得的招标人相关资料承担保密责任。6依据标准投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南信息系统安全等级保护测评要求（报批稿）7测评内容根据国家等级保护相关标准，投标人对绍兴市第七人民医院信息系统安全等级保护测评的内容包括但不限于以下内容：(1) 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；(2) 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；8技术服务8.1测评应满足的原则本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：（1）保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。（2）标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。（3）规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。（4）可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。（5）整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。（6）最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。8.2本次等级保护测评的整体要求（1）投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。（2）投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。 （3）本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。（4）安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。（5）安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。8.3安全测评报告投标人应对招标人的各个信息系统进行等级保护测评，形成相应的报告。（1）投标人在测评后出具符合绍兴市公安局要求的系统安全保护等级测评报告；（2）对上述系统不符合信息安全等级保护有关管理规范和技术标准的，投标人出具可行整改方案并协助招标人整改和整改项的再次测评服务。（3）投标人协助招标人办理信息系统安全保护等级备案手续。9项目验收9.1本项目的目标是输出等级保护测评报告，并配合办理信息系统安全保护等级备案手续，该项目将产生一定数量的文档。9.2投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。9.3投标人应提交验收方案，供招标人参考。9.4招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交9.5的项目成果进行验收。10项目承诺10.1投标人应满足招标人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。10.2保密性要求：投标人必须和招标人签订保密协议和非侵害性协议，投标人必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给招标人。10.3投标人具体测评工作和等级保护测评报告的编写，必须在招标人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标人不得带离该地点。10.4投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。10.5等级保护测评的品质保证：投标人应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。11其他11.1投标人投标书中需要对投标人等级保护测评的过往实施情况做相应说明，并附详细资料。11.2投标人应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。11.3投标人应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。投标人应提出需要招标人配合的工作事项。五、评分方法及标准1、评分方法本次评标采用综合评分法，即在最大限度满足招标文件实质性要求前提下，由评标委员会对各投标人报价、投标设备技术参数与功能配置、品牌、市场占有率、售后服务承诺、评委印象等方面进行综合评审。经各评委独立打分，按总得分从高到低顺序推荐确定中标候选人。2.评分标准：总分100分，其中技术分70分，商务分30分。评分依下述所列为评标打分依据，分值如下（本次评标评委由5人或5人以上单数组成，评分计算技术分时，去掉一个最高分，去掉一个最低分，平均值保留小数2位））：1、2.1技术分（70分）：项目名称评标细项分值评 分 细 则公司资信（14分）公司资质、人员资质及成功案例14具有信息安全管理体系ISO27001认证（4分）安全等级保护测评机构资信等级证书及相关认证（4分）实施人员中有高级测评工作师、注册信息安全专业人员CISP等（3分）等级保护测评成功实施案例（3分）方案设计（34分）技术方案18据投标人对本项目的理解程度，投标人在体现信息系统等级测评的专业能力:好18-14分，较好13-8分，一般7-4分。1、项目实施计划安排合理契合实际情况2、具有较完整的风险说明及风险规避处置措施等级评测关键点的方案7针对本项目情况找准关键点，并提出切实可行的措施，好7-6分，较好5-4分，一般3-1分。项目管理和质量保证91、应标人按招标人要求有明确的建设质量目标，质量保证措施，并具有详细可行的实施内容等。(好5-4分，较好3-2分，一般1-0.5分)2、投标单位具有ISO9001质量管理体系认证，把质量管理体系融合本项目管理过程中。（好4分，较好3分，一般2-1分）服务承诺(20分)整改咨询5测评完成之后，协助本单位完成信息系统整改，投标人所提供的整改建议科学、合理、有效、并承诺及时跟进的。好6-5分，较好4-3分，一般2-1分。售后服务15针对本项目情况提出优惠条件和售后服务承诺情况，及其可实现程度等；视投标人对用户的售后服务承诺情况打分。好15-12分，较好11-7分，一般6-3分。文件质量（2分）投标文件质量2编排合理、条款清晰、整洁美观.好2分，较好1分，一般0.5分。3.2商务分——投标报价（30分）评标基准价：即满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=(评标基准价／投标报价)×价格权值×100注：如投标文件未按规定制作、密封封装的，技术总分评标委员会将酌情予以15分的扣分。六、投标方资质要求1、符合政府采购法第二十二条之供应商资格规定，2、具备本中心政府采购供应商会员资格。3、多家具有投标资质的关联企业只接受其中一家参加招投标活动。绍兴市公共资源交易中心2012年9月19日