血液管理信息系统安全等级保护测评招标公告
血液管理信息系统安全等级保护测评招标公告
根据有关规定,我站拟通过比选确定安全等级保护评测机构,有关事项公告如下:
一、项目名称
血液管理信息系统安全二级等级保护测评服务。
二、项目区域
攀枝花市。
三、工作任务
对血液管理信息系统进行安全等级保护测评服务。
四、控制价格
本次采用总价控制,总价控制在4万元以内。
五、中标单位确定
本次,采用综合评分法对供应商进行综合,得分最高者为中选供应商。
六、条件
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必须的设备和专业技术能力;
4.具有依法缴纳税收和社会保障资金的良好记录;
5.参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6.具有网络安全等级测评与检测评估机构服务认证证书;
7.本项目不允许联合体参加;
七、报名时间
1.报名截止时间:2022年10月27日下午17点;
八、付款方式
在完成安全等级保护测评,并经相关部门验收通过后20个工作日内一次性支付。
九、其它要求
1.如因新冠疫情防控影响工期的,按要求顺延。
2.本次比选接受远程提交投标文件,投标文件各复印件需加盖鲜章并密封。
附件:技术要求及综合评分要求
联系人:潘老师
联系电话:199*****544
攀枝花市中心血站
2022年10月24日
附件:
技术要求及综合评分要求
1、项目背景攀枝花市中心血站单位依据《中华人民共和国网络安全法》和的相关要求,对本单位的信息系统进行网络安全等级保护测评工作。
本次信息安全等级保护测评涵盖安全技术内容包括:安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。依据相关的测评准则,结合系统的构成特点,确定具体的测评对象,制定测评方案,通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求,找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保其安全防护水平达到信息系统安全等级保护相应能力的要求。
2、适用范围本技术规范提出的是最低限度的技术要求。凡本技术规范中未规定,但在相关国家标准中有规定的规范条文,应按相应标准的条文进行服务供应说明。
如果没有以书面形式对本技术规范的条文提出异议,则认为提供的服务完全符合本技术规范。
本技术规范所建议使用的标准如与所执行的标准不一致,应按更严格标准的条文执行或按双方商定的标准执行。
3、标准和规范下列文件中的条款通过本规范的引用而成为本规范的条款,除本技术规范书特别规定外,所提供的测评标准均应遵循公安部相关文件要求和的相关文件要求,所用的标准必须是其最新版本;如果这些标准内容矛盾时,应按最高标准的条款执行或按双方商定的标准执行。
《中华人民共和国网络安全法》
《信息安全等级保护管理办法》(公通字[2007]43号)
《GB/T*****-2019信息安全技术 网络安全等级保护基本要求》
《GB/T*****-2019信息安全技术 网络安全等级保护定级指南》
《GB/T*****-2010信息安全技术信息系统安全等级保护实施指南》
《GB/T*****-2019信息安全技术 网络安全等级保护测评要求》
《GB/T*****-2018信息安全技术 网络安全等级保护测评过程指南》
4、测评范围系统名称 | 安全保护等级 | 测评地点 |
血液管理信息系统 | 二级 | 攀枝花市中心血站 |
保密性原则:项目实施方应与签订保密协议,对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据侵害的权益,否则有权追究的责任。
标准性原则:测评及评估方案的设计与实施应依据国家的相关标准进行。
规范性原则:项目实施方工作中的过程和文档,应具有规范性,便于项目跟踪和控制。
可控性原则:项目的进度应符合进度安排,保证对测评工作的可控性。
整体性原则:测评及评估的范围和内容应系统、全面、规范,满足等级保护的相关基本要求。
最小影响原则:技术测评及评估工作应尽可能小的影响在线系统和网络的正常运行,不能对现有运行系统造成影响。在线测评及评估应在许可的条件下进行。
应详细描述信息系统安全等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、时间安排、阶段性文档提交和验收标准等。应详细描述测评及评估人员的组成、资质及各自职责的划分。应配置经验丰富的测评及评估人员进行信息系统安全等级保护测评工作。
测评及评估方法包括访谈、检查和测试三种方法,可细化为文档审查、配置检查、工具测试和实地察看等多种方法。
如需对系统安全等级保护测评实施过程中采用在线测评工具,各种工具软件由项目实施方推荐,经确认后由项目实施方提供并在工作中使用。
安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由项目实施方推荐,经确认后由项目实施方提供并在测评中使用。
根据国家等级保护相关标准,本次项目的安全等级保护测评应包括以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
安全计算环境针对边界内部提出了安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。
安全管理中心针对整个系统提出了安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
安全管理机构测评是对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
人员安全管理测评是对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
系统建设管理测评是对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。
系统运维管理测评是对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
5.5、交付文档
序号 | 项目阶段 | 输出成果 |
1 | 测评准备阶段 | 《测评计划书》、《调研结果报告》、《工具清单》、《信息安全等级保护测评方案》、《测评指导书》 |
2 | 现场测评阶段 | 《网络安全等级保护测评过程文档》 |
3 | 现场结果分析 | 《网络等级安全保护测评加固建议方案》 |
4 | 报告编制 | 《网络安全等级保护测评报告》 |
5 | 备案 | 《等保定级报告》《备案表》 |
6 | 安全服务 | 《安全培训方案和相关文档》、《漏洞扫描报告》、《渗透测试报告》 |
6、综合评分表
序号 | 评分因素及权重 | 分值 | 评分标准 | 说明 |
1 | 报价10% | 10分 | 以本次经评审的有效的最低最后报价为基准价,报价得分=(基准价/报价)×10。 报价低于采购预算50%或者低于其他有效投标人报价算术平均价40%的为无效报价。 | |
2 | 项目实施方案10% | 10分 | 1、项目实施方案完备性进行评分: 投标人项目实施方案组成包括项目方案编制、现场测评、报告编制、项目人员安排、项目进度安排等内容得5分,不完整不得分。 2、项目实施方案理解程度进行评分: 能准确理解项目的意义和背景,对项目的需求、目标、意义、以及本项目开展思路和框架有全面、准确的理解,能够明确项目的输出成果,得2分;对项目的需求及输出成果理解不够明确,不得分。 3、项目实施方案合理性与可执行性进行评分: 方案系统整体性强,设计方案统一明晰,项目计划明晰,时间把控准确,服务内容规范明确的得3分;方案中每有一处具有缺陷(缺陷是指:存在不适用项目实际情况的情形、方案中内容前后不一致、前后逻辑错误、涉及的规范及标准错误、内容欠佳等)的每有一处扣0.6分,扣完为止。 | |
3 | 投标人综合实力24% | 24分 | 1、具有中国合格评定国家认可委员会颁发的CNAS证书得4分; 2、具有检验检测机构资质认定证书(CMA证书)得4分; 3、近三年获得过全国网络安全等级保护测评机构先进单位的得4分。 4、具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书得2分; 5、具有ISO9001质量体系认证证书、ISO*****环境管理体系认证证书、ISO*****职业健康安全管理体系认证证书、ISO*****信息安全管理体系认证证书、ISO*****-1服务管理体系认证证书,认证范围包括“网络安全等级保护测评”得10分; | 须提供有效证书复印件并加盖投标人公章。 |
4 | 实施人员能力48% | 48分 | 1、拟派本项目的项目负责人,同时具有信息安全等级测评师(高级)证书、信息系统项目管理师证书(高级),全部提供得4分,每有一项不提供扣2分,扣完为止。 2、拟派本项目的项目经理,同时具有信息安全等级测评师(中级)证书、COBITFoundation信息系统审计认证证书、重要信息系统保护人员CIIP-A(可信计算)证书、ISO*****Foundation信息安全管理体系认证证书、计算机技术与软件专业技术人员资格证书(信息安全工程师)、信息技术应用创新考试评价证书(信息安全工程师)、ISTQB国际软件测试工程师证书、ITILFoundation管理认证证书,全部提供得16分,每有一项不提供扣2分,扣完为止。 3、拟派本项目的质量主管,同时具有信息安全等级测评师(中级)证书、CISAW信息安全保障人员证书、ITILFoundation管理认证证书、ISTQB国际软件测试工程师证书、信息技术应用创新考试评价证书(信息安全工程师)、CCSC网络安全能力认证证书,全部提供得12分,每有一项不提供扣2分,扣完为止。 4、拟派本项目的测评工程师,同时具有信息安全等级测评师(中级)证书、ISTQB国际软件测试工程师证书、信息技术应用创新考试评价证书(信息安全工程师)、计算机技术与软件专业技术人员资格证书(信息安全工程师)、软件工程造价师证书,最高得10分,每少提供一个证书扣2分,不提供不得分。 5、拟派本项目的渗透测试工程师,同时具有信息安全等级测评师(中级)证书、CISP-PTE注册渗透测试工程师证书、信息技术应用创新考试评价证书(数据库工程师中级),全部提供得6分,每有一项不提供扣2分,扣完为止。 | 提供相关人员有效的证书及近半年四川省缴纳社保凭证复印件并加盖投标人公章。 |
5 | 业绩7% | 7分 | 为保证项目实施和效果,供应商应具有在四川开展业务的经历,提供四川省内近三年类似项目业绩证明,每提供一个得1分,最多得10分; | 提供相关证明材料加盖投标人公章。 |
7 | 响应文件规范性1% | 1分 | 响应文件制作规范,没有细微偏差情形的得1分;有一项细微偏差扣0.5分,直至该项分值扣完为止。 |
标签: 血液管理信息
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
四川
四川
最近搜索
无
热门搜索
无
