昆明市儿童医院商用密码应用安全性评估项目竞争性磋商公告
昆明市儿童医院商用密码应用安全性评估项目竞争性磋商公告
昆明市儿童医院商用密码应用安全性评估项目,欢迎符合资格条件的供应商前来参加。本次对昆明市儿童医院商用密码应用安全性评估项目采用竞争性磋商方式进行采购。
一、采购单位:昆明市儿童医院
二、项目名称:商用密码应用安全性评估项目
预算金额:12万元;
投标单位最终报价不得超过预算价。
项目目标和范围: 本项目的宗旨在于通过对门户网站(三级)开展商用密码应用安全性评估工作,通过密码评估,明确该系统的安全建设现状,检验门户网站系统在密码应用方面是否符合国家相关规范和要求,密码技术、密码产品、密码管理等方面是否符合相关标准,找出存在的安全风险,分析安全建设差距,提出安全整改建议,并以此为基础,进一步制定安全建设整改方案,完善保护措施,使该系统满足我国关于密码应用的具体要求,增加信息系统安全的规范性和有效性,提高本单位的安全意识,增强网络的抗攻击的能力,保证被测系统正常运转。 (一)评估范围 本次评估项目的范围包括如下信息系统: 门户网站系统(三级) (二)评估对象 评估对象涉及信息系统部署相关的机房、网络环境、服务器、数据库、应用、密码技术产品和密码服务、密钥管理、安全管理等方面。 本系统评估的评估范围及对象包括以下几类: 1.机房的电子门禁系统和视频监控系统。 2.整个系统的网络拓扑结构。 3.需要采用密码技术进行安全防护、承载被测系统主要业务或数据的服务器(包括其操作系统和数据库)。 4.需要采用密码技术进行安全防护的管理终端。 5.需要采用密码技术进行安全防护的业务应用系统。 6.信息安全和密码主管人员、各方面的负责人员、具体负责密码管理的当事人、业务负责人。 7.涉及到信息系统密码安全的所有管理制度和记录。 (三)评估依据 评估单位应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准: 1. GB/T*****-2021《信息安全技术 信息系统密码应用基本要求》 2. 《信息系统密码应用测评要求》 3. 《信息系统密码应用测评过程指南》 4. 《信息系统密码应用高风险判定指引》 5. 《商用密码应用安全性评估量化评估规则》 6. 其它国家法律、法规要求 二、服务要求 (一)测评指标 根据被测信息系统密码应用安全要求等级,选择GB/T *****-2021《信息安全技术信息系统密码应用基本要求》中第三级别的安全要求作为本次测评工作的基本指标。 测评单元测评指标数量技术要求物理和环境安全身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性3网络和通信安全身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证5设备和计算安全身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性6应用和数据安全身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性8管理要求管理制度具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存6人员管理了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度5建设运行制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习5应急处置应急策略、事件处置、向有关主管部门上报处置情况3合计41(二)测评方法 密码测评的主要方式有:访谈、检查和测试。 访谈 访谈是指测评人员通过与信息系统有关人员(个人/群体)进行交流、讨论等活动,获取相关证据表明信息系统安全保护措施是否落实的一种方法。在访谈的范围上,应基本覆盖所有的安全相关人员类型,在数量上可以抽样。 检查 检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全等级保护措施是否得以有效实施的一种方法。在检查范围上,应基本覆盖所有的对象种类(设备、文档、机制等),数量上可以抽样。 测试 测试是指测评人员通过对测评对象按照预定的方法/工具使其产生特定的响应等活动,查看、分析响应输出结果,获取证据以证明信息系统安全等级保护措施是否得以有效实施的一种方法。在测试范围上,应基本覆盖不同类型的机制,在数量上可以抽样。 测试过程需采用密码专用分析工具对密码算法实现等内容进行深度测试。 (三)测评原则 本次商用密码应用安全性评估应满足以下原则: 1、保密原则:对评估的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标人的行为,否则甲方有权追究责任。 2、规范性原则:评估工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。 3、可控性原则:评估服务的进度要跟上进度表的安排,保证甲方对于评估工作的可控性。 4、整体性原则:评估的范围和内容应当整体全面,包括国家商用密码应用安全性评估相关要求涉及的各个层面。 5、最小影响原则:评估工作应尽可能小的影响系统和网络,并在可控范围内;评估工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响,保证现有系统24小时的不间断、稳定、安全运行。 6、非高峰期原则:漏洞扫描及工具测试时间,应尽量安排在夜间或法定节假日期间,制定切实可行的测试实施细则;对意外导致的宕机等,应提供应急保障方案,切实保证关键系统能正常工作。 评估单位应严格按照上述原则和商用密码应用安全性评估相关标准开展项目实施工作。 (四)测评实施内容 1.信息系统备案 完成商用密码应用安全性评估工作后,将评估结果报国家密码管理部门备案。 2.商用密码应用安全性评估 参照GB/T*****-2021《信息安全技术 信息系统密码应用基本要求》检查被测系统,从物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、管理制度、人员管理、建设运行、应急处置进行差距分析,对系统进行初次安全评估。 通过对系统现状的分析和梳理,发现系统现有安全措施与等级保护基本要求的差距,提出安全整改建议,以指导后续安全整改工作。 (1)物理和环境安全:包括身份鉴别、电子门禁记录数据存储完整性、视频监控记录数据存储完整性等内容。 (2)网络和通信安全:包括身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证等内容。 (3)设备和计算安全:包括身份鉴别、远程管理通道安全、系统资源访问控制信息完整性、重要信息资源安全标记完整性、日志记录完整性、重要可执行程序完整性、重要可执行程序来源真实性等内容。 (4)应用和数据安全:包括身份鉴别、访问控制信息完整性、重要信息资源安全标记完整性、重要数据传输机密性、重要数据存储机密性、重要数据传输完整性、重要数据存储完整性、不可否认性等内容。 (5)管理制度:具备密码应用安全管理制度、密钥管理规则、建立操作规程、定期修订安全管理制度、明确管理制度发布流程、制度执行过程记录留存等内容。 (6)人员管理:涵盖了解并遵守密码相关法律法规和密码管理制度、建立密码应用岗位责任制度、建立上岗人员培训制度、定期进行安全岗位人员考核、建立关键岗位人员保密制度和调离制度等内容。 (7)建设运行:涵盖制定密码应用方案、制定密钥安全管理策略、制定实施方案、投入运行前进行密码应用安全性评估、定期开展密码应用安全性评估及攻防对抗演习等内容。 (8)应急处置:涵盖应急策略、事件处置、向有关主管部门上报处置情况等内容。 3.咨询服务 提供信息系统的密码安全咨询和整改建议等技术支持服务,涵盖系统建设、运维、管理、技术等相关安全问题;协助开展单位内部网络与密码安全检查工作。 4.安全意识和技能培训 针对技术人员、管理层提供《密码法》和商用密码应用安全性评估的相关培训工作。 5.应急支撑 服务范围涵盖影响系统运行的软硬件故障、网络攻击等事件应急支撑服务。 (五)项目成果 本次针对门户网站系统的密码应用安全性评估,将出具至少以下成果报告: 《门户网站系统密码应用安全整改建议》 《门户网站系统密码应用安全性评估报告》 |
6、时间要求: 15天以内完成。
四:供应商资质要求:
1、营业执照
2、具有良好的资信状况和财务状况;
3、有依法缴纳税收和社会保障资金的良好记录;参加政府采购活动前三年内,在经营活动中没有重大违法记录;
4、本项目的特定资格要求:
具备通过国家密码管理局考核认可的安全性评估机构的证明文件,投标人须被列入国家密码管理局2021年第42号文件发布的《商用密码应用安全性评估试点机构目录》。
5、本项目不接受联合体的申请。
五、报名须知:
1、报名时间:2022年 11 月 18 日—2022年 11 月 23 日下午17:00(节假日正常休息);
2、报名要求:
(1)、有效的、独立法人营业执照副本、税务登记证副本、组织机构代码证副本原件或具有有效的三证合一的营业执照原件,复印件加盖公章。
(2)、资质证书副本原件和加盖鲜章的复印件。
(3)、法定代表人身份证明书(原件并附法定代表人身份证复印件)。
(4)、法定代表人授权委托书(原件并附被授权人身份证复印件)。
(5)、同类项目业绩
以上资料中所需证件、证明资料的复印件均须加盖有效公章,并将上述资料整理后装订成册,经核查合格后方可领取采购文件
4、报名地址:(前兴路288号)昆明市儿童医院后勤楼5楼采购中心办公室。
联系人:马老师 电话:0871—********
备注:如有技术问题、看现场,请联系信息技术部丁老师:********
十、竞争性磋商时间及竞争性磋商文件递交截止时间、另行通知
十一、竞争性磋商地点:(前兴路中段)昆明市儿童医院后勤楼3楼中会议室
十二、详细评审
综合评分法:本项目采用综合评分法进行评分。按照竞争性磋商文件中规定的评标方法和及以下评分标准,对资格性检查和符合性检查合格的竞争性磋商文件进行商务和技术评估,综合比较与评价,评标委员会按以下公式计算出各投标人的总得分。
评审类别 | 评审因素 | 评审标准 | |
报价评分 | 最终报价评审(20分) | 最终报价按以下方法进行计算:总分20分。 F1=[C/(B1,B2,…,Bn)]×10 注:C为评标基准价,即满足竞争性磋商文件要求且最终报价最低的;B1,B2,…,Bn为第n个经审查合格满足竞争性磋商文件要求的有效报价。 | |
商务评分 | 同类业绩 (满分15分) | 投标人提供近三年同类项目业绩,每提供一份得2分,此项最高得15分。 | |
企业资质 (满分10分) | 1、投标人具有ISO9001质量管理体系认证证书、ISO*****信息技术服务管理体系认证证书、ISO*****信息安全管理体系认证证书、ISO*****环境管理体系认证证书、ISO*****职业健康安全管理体系认证证书,每有1项得1分,最多得5分; 2、投标人具有CCRC信息安全应急处理服务资质证书(二级及以上),满足此项得1分; 3、投标人具有网络攻防实战经验,提供国家级护网行动相关荣誉证书,满足此项得2分; 4、投标人具有网络安全能力认证培训机构授权证书,满足此项得2分。 | ||
技术评分 | 团队技术能力 (满分15分) | 投标人拟投入本项目的项目经理须通过商用密码应用安全性评估人员测评能力考核(提供成绩合格证书),同时具备PMP(项目管理师证书)、注册信息安全讲师(CISI)证书,满足此项得3分,不满足不得分。 | |
投标人拟投入本项目的技术负责人须通过商用密码应用安全性评估人员测评能力考核(成绩为优秀),并同时具备注册信息系统审计师(CISP-A)资质证书、网络安全能力认证培训讲师资质证书,满足此项得3分,不满足不得分。 | |||
投标人提供拟投入本项目的项目组成员(不包含项目经理及技术负责人)至少2人同时具有商用密码应用安全性评估人员测评能力考核(提供成绩合格证书)、注册信息安全专业人员(CISP)证书、注册信息系统审计师(CISP-A)证书,满足此项得3分,不满足不得分。 | |||
投标人提供拟投入本项目的项目组成员具有国家互联网应急中心颁发的网络安全能力认证证书至少3人,满足此项得3分,不满足不得分。 | |||
组织结构及项目团队 (满分20分) | 根据投标人项目实施团队的组织结构和人员配备优劣进行比较打分: 组织管理机构完善、合理,团队人员构成专业性强、经验丰富符合项目特点的,得12-20分; 组织管理机构健全、合理,团队人员构成和专业性较好,相关经验较丰富,符合项目需求的,得6-12分; 组织管理机构和人员构成基本合理,专业性和相关经验有欠缺或低于其他档次投标人,得0-5分。 | ||
评估方案综合评价 (满分20分) | 根据投标人评估方案(技术服务完备程度、人员配备和团队情况、响应程度)进行综合比较打分: 测评实施计划合理,可操作性强,测评范围阐述清晰,管理措施合理,完全满足或优于招标要求,得13-20 分;测评实施计划较合理,内容较详细,管理措施较合理,可行性较好达到招标要求,得6-12分;方案内容有遗漏,措施欠合理,可行性较差或低于其他档次投标人,得 0-5分。 |
八、最终得分
1、各评委应自主评分并签字确认。各评委的评分应在评标委员会内进行公示,某个评委对某投标文件评分分值低于(高于)所有评委对该投标文件评分分值去掉最高和最低分值的平均分值10分以上(含10分)的,该评委须向评标委员会作出明确解释,理由不充分的该评委应对其评分作修正,若拒不修正的,该评委对此投标文件的评分不得参与计算此投标文件的技术部分得分。
2.统计分数原则:计算算术平均分值为投标人的得分(保留小数点后两位)。
3、根据投标人以上各项得分,汇总后即为该投标人的最终得分。投标人的最终得分将成为评标委员会向招标人推荐中标候选人的唯一依据。
九、推荐中标候选人
1、评标委员会在推荐中标候选人时,应遵照以下原则:
评标委员会按照最终得分由高至低的次序排列,将排序在前的投标人推荐为中标候选人。
2、推荐排名说明:按评审打分后各投标人的最终得分由高到低顺序排列。若最终得分相等时,评标委员会将依次按技术部分得分高优先、价格部分得分高优先、商务部分得分高优先的顺序推荐;所有得分均相等的,按有类似医院服务业绩的顺序推荐中标候选人。
昆明市儿童医院
2022.11.14
招标
|
- 关注我们可获得更多采购需求 |
关注 |
云南
云南
云南
云南
云南
云南
最近搜索
无
热门搜索
无