经医院研究决定,就舟山市中医院网络安全等级测评服务项目采取公开招标确定供应商,现欢迎合格供应商报名参加。
一、项目编号:ZSSZYYXXCG
******二、项目名称:网络安全等级测评服务
三、项目内容:
| 序号 | 系统名称 | 数量 | 预算 | 备注 |
| 1 | 网络安全等级测评服务 | 1批 | 4.5万元 | 基础支撑三级,复测 |
★供应商必须具有网络安全等级测评与检测评估机构服务认证证书。
四、服务要求:
1、依据标准
投标供应商应依据国家等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:
1)《GBT
*****-2017 信息安全技术 信息系统安全等级保护定级指南》
2)《GB/T
*****-2010信息安全技术 信息系统安全等级保护实施指南》
3)GB/T
*****-2019《信息安全技术 网络安全等级保护基本要求》;
4)GB/T
*****-2019《信息安全技术 网络安全等级保护测评要求》。
2、测评内容
根据国家网络安全等级保护相关标准,投标供应商对信息系统安全等级保护测评的内容(包括但不限于)以下内容:
安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)及扩展项要求。
五、技术服务
1、测评原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
(1) 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任。
(2)标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
(3) 规范性原则:投标供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
(4) 可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
(5) 整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(6) 最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。
2、安全测评报告
(1) 投标供应商应对采购人的信息系统进行等级保护测评,形成相应的报告。
(2) 投标供应商在测评后出具符合公安局要求的系统安全保护等级测评报告。
(3) 对上述系统不符合信息安全等级保护有关管理规范和技术标准的,投标供应商出具可行整改方案并协助采购人整改服务。
(4) 投标供应商协助采购人办理信息系统安全保护等级测评备案手续等相关工作。
3、本次等级保护测评的整体要求
(1) 投标供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2) 投标供应商应详细描述测评人员的组成、资质及各自职责的划分。投标供应商应配置有经验的测评人员进行本次等级保护测评工作。
(3) 本次等级保护测评实施过程中所使用到的各种工具软件由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。在报价文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(5) 安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。
(6) 安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标供应商应详细描述需要的运行环境的具体要求。
(7) 项目完成后必须提交完整的技术文档、测评报告、整改建议等。
4、项目验收
(1) 本项目的目标是输出等级保护测评报告,并配合办理信息系统安全保护定级、备案、测评手续,该项目将产生一定数量的文档。
(2) 投标供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
(3) 投标供应商应提交验收方案,供采购人参考。
(4)采购人将依据本项目的要求,组织相关部门或单位的技术专家对投标供应商提交的项目成果进行验收。
5、项目承诺
(1)投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
(2)保密性要求:投标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购人。
(3)投标供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。
(4)投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。
(5)等级保护测评的品质保证:投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
6、项目成果
提交包括且不仅仅包括以下成果:
(1)《信息系统安全整改规划》;
(2)《信息系统等级保护测评报告》。
7、其它要求
(1)投标供应商在测评方案书中,对能提供的信息系统安全等级保护测评进行详细说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
(2)投标供应商应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人以上问题不承担任何法律责任。
(3)若投标供应商的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料。
六、项目实施要求:
1、实施方应保证在确定中标供应商以后立即开展实施,协助采购方办理定级备案。
2、保证本项目实施,项目实施骨干人员至少包含1名高级测评师(提供证书复印件)。本项目负责人必须具有5年以上的测评工作经验,并参与过具有大型复杂测评项目的实施经验;承担本次项目的项目经理必须同时具有高级测评师、国家级优秀科技成果完成者证书、信息安全保障人员认证证书(CISAW)、国家重要信息系统保护人员培训证书(CIIPT)、信息安全管理系统审计认证(DNV)、商用密码应用安全性评估人员测评能力证书(合同签订时提供证书复印件,中标供应商不能提供的做废标处理)。
3、实施方具有国家信息安全标准化委员会成员单位资格优先。
4、实施方参与网络安全等级保护测评高风险判定指引(T/ISEAA001-2020)编制的;参与信息安全技术网络安全等级保护大数据基本要求(T/ISEAA002-2021)编制的;供应商参与个人信息处理法律合规性评估指引(T/CLAST 001-2021)编制的优先。
5、项目验收完成后,要求提供为期一年的安全咨询服务,以保证项目正常运行。
七、评分标准:
| 评分内容 | 分值 | 评分细则 |
商务技术得分
(70分) | 18分 | 1)具有信息安全应急处理服务资质证书得3分;
2)具有信息安全服务风险评估资质得5分;
3)具有源代码备份漏洞利用工具软件著作权证书、源代码安全审计检测系统软件著作权证书、移动安全检测系统著作权证书、验证码安全加固认证系统著作权证书、网站安全扫描工具软件著作权证书每类证书1分,共计5分;
4)具有国家信息安全漏洞共享平台漏洞证明证书每个得1分,共得5分;
(提供相关证书复印件加盖公章) |
| 5分 | 业绩情况:2020年1月1日至今具有同类网络安全等级保护测评项目案例,每提供一个得1分,最高得5分。(提供合同复印件加盖公章) |
| 18分 | 1)供应商具有国家密码管理局颁布的商用密码应用安全性评估机构推荐目录的,提供证明文件得3分。
2) 投标单位人员具有高级测评师证书;(每人次得2分,共4分)
3) 投标单位人员具有中级测评师证书;(每个证书得1分,共3分)。
4) 项目团队成员具有商用密码应用安全性评估人员测评能力考核证书且成绩优秀的,每人得1分,最高得3分,提供证明材料,没有不得分;
5) 项目负责人具有:国家重要信息系统保护人员培训证书(CIIPT)、信息安全管理系统审计认证(DNV)、信息安全保障人员认证证书(CISAW)、渗透测试认证证书(NSCP)、国家级优秀科技成果完成者证书、商用密码应用安全性评估人员测评能力证书的,每有1个得1分,最高不超过5分,没有不得分。(提供证书复印件及社保证明,复印件加盖公章) |
| 10分 | 项目整体测评方案(包括各项工作程序和步骤)的严密性、合理性、有序性和可行性:
方案有序、严密、合理:10分,
方案较有序、严密、合理:5分,
方案一般:2分,完全不合理不得分。 |
| 8分 | 对项目重点、难点的把握,解决方案:
项目重点、难点的把握准确,解决方案完整:6-8分,
项目重点、难点把握较准确,解决方案较完整:3-5分,
一般得1-2分,没有不得分。 |
| 5分 | 售后服务体系、响应时间等情况:
售后服务体系完整,响应时间快:5分;
售后服务体系较完整,响应时间较快:3-4分;
一般的得1-2分,没有不得分。 |
| 4分 | 提供培训计划和培训人员配置符合项目实际需求程度:
方案可行、合理:4分;方案较合理:2分;方案一般:1分,没有不得分。 |
| 2分 | 针对项目推进和实施中可能会出现的问题和存在的困难,进行客观仔细地分析,并结合自身专业、经验等实际情况,提出合理化建议(解决对策),每提出一条得1分,最高2分。 |
投标报价
(30分) | 30分 | 采用低价优先法计算,即以满足招标文件要求且价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)*30*100%(四舍五入,保留两位小数)。 |
注:1、各评审小组成员自行按以上参考分值评分,技术商务评分保留小数点后一位数,价格分保留小数点后二位。
五、供应商资格条件:
1、供应商必须是中华人民共和国内经工商管理部门批准成立的独立法人机构或个体营业户;
2、供应商营业执照经营范围必须包含本项目采购内容;
3、本项目不允许转包,不允许分包,不接受联合体响应报价。
4、供应商须提供近三年内无重大违法记录的证明。
5、投标文件一式伍份(一正四副)。
八、投标文件内容包括:
(一)资格证明文件
1、投标函;
2、提供投标企业营业执照、组织代码证、税务登记证等相关资质证明;复印件加盖公章并携带相关证件原件备查;(三证合一只提供营业执照);
3、独立法人机构需提供法人授权委托书及法人身份证复印件与被授权人身份证复印件;(若投标人系法定代表人,投标文件无须提供授权委托书);个体营业户需提供经营者委托书及经营者身份证复印件与被授权人身份证复印件;(若投标人系经营者本人,投标文件无须提供授权委托书);
4、《法定代表人授权函》原件,非法定代表人参加投标时用;
注:以上相关资料及证书证明复印件均需加盖公章。
九、报名时间及地点:
报名时间:2023年4月24日—2023年4月 28日。
报名地点:舟山市中医院信息科(定海区新桥路355号食堂4楼402室)。
联系人:叶先生 联系电话:
136*****284 邮箱:
**********@qq.com">
**********@qq.com
报名方式:现场报名或电话报名,选择电话报名,请将报名材料发送至邮箱。
备注:如报名成功后无故缺席开标,将被列入医院征信名单,一年之内不得参与医院信息类招标。
八、开标时间及地点:
开标时间:2023年5月 5日 15:00
开标地点:舟山市定海区新桥路136号(原九天揽月酒店)六楼舟山市中医院行政区评标室
