济南市第八人民医院以电子病历为核心的信息系统等保测评推荐性论证公告

济南市第八人民医院以电子病历为核心的信息系统等保测评推荐性论证公告

根据公安部《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)《中华人民共和国网络安全法》《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)《信息安全技术 网络安全等级保护设计技术要求》(GB/T *****-2019)《信息安全技术 网络安全等级保护测评要求》(GB/T *****-2019)《信息安全技术 网络安全等级保护实施指南》(GB/T *****-2019)《信息安全技术 网络安全等级保护测评过程指南》(GB/T *****-2018)等法律法规和制度规定的相关要求,对济南市第八人民医院以电子病历为核心的信息系统开展信息系统等级保护测评工作,在技术和管理两个方面的10个大项(包括但不限于)的内容进行逐一的检查和测试,夯实单位信息系统安全基础,提高信息安全管理水平,消除安全隐患,确保信息网络的安全运行。

一.供应商资质要求:

(一)供应商必须是在中华人民共和国境内注册的具有独立承担民事责任能力且具有提供本项目相关服务的能力,需具有有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;

(二)供应商须具有《网络安全等级测评与检测评估机构服务认证证书》;

(三)供应商近三年(截止时间为开标日前5个工作日的零点)没有被“中国政府采购网”列入政府采购严重违法失信行为信息记录的,没有被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单的。或被“中国政府采购网”列入政府采购严重违法失信行为信息记录,被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单但已过限制期的。

(四)不接受联合体投标。

二、供应商应提供的资信证明

(一)有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;法定代表人参加报名时,提供法定代表人身份证原件;如委托代理人报名时提供法定代表人授权委托书及受委托人身份证原件

(二)《网络安全等级测评与检测评估机构服务认证证书》;

(三)法定代表人身份证或法人授权委托书及委托代理人本人身份证原件;

(四)信用信息查询相关证明材料。

二.报名截止时间:2023年8月31日

地址:济南市第八人民医院

电话:0531-********

联系人:刘斌

三、项目名称

济南市第八人民医院以电子病历为核心的信息系统等级保护测评项目

四、项目服务期

项目服务期:1年

五、项目预算

项目预算:8万元

五、测评范围

系统名称

系统定级

以电子病历为核心的信息系统

三级

六、项目内容

本项目由具备等级保护高级、中级、初级测评师且至少6人的服务团队(至少1人为等级保护高级测评师和至少1人为等级保护中级测评师),严格按照《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)《信息安全技术 网络安全等级保护设计技术要求》(GB/T *****-2019)《信息安全技术 网络安全等级保护测评要求》(GB/T *****-2019)《信息安全技术 网络安全等级保护实施指南》(GB/T *****-2019)《信息安全技术 网络安全等级保护测评过程指南》(GB/T *****-2018)等法律法规和制度规定的相关要求,以及以电子病历为核心的信息系统和网络安全相关内容的检查、测评与修复等工作的具体实施要求,服务内容包括但不限于以下内容:

1、等级保护测评服务:由具备等级保护高级、中级、初级测评师且至少6人的服务团队(至少1人为等级保护高级测评师和至少1人为等级保护中级测评师),供应商承担相关的费用。服务频率一年一次,不少于10个工作日,测评要提供等级保护测评报告,报告要有相关高级测评师签字并加盖中标供应商公章。

1)系统确认

协助单位从应用系统、信息资产、基础架构、规章制度、应急保障等维度进行梳理,全面准确掌握信息系统部署、运行、应用和运维工作基本情况,填写梳理情况表,编制梳理报告。

2)定级备案

协助单位完成信息系统备案工作,协助完成信息系统的定级备案报告的编写和到所属公安机构的等级保护备案工作。

3)安全分析

协助单位结合国家、省、市关于安全等级标准规范和要求,对相应等级指标进行等级保护安全现状分析,逐项明确不符合项及与安全要求之间的差距及可能造成的风险。

4)系统安全现状测评

按照《信息安全技术 网络安全等级保护基本要求》(GB/T *****-2019)的要求进行信息安全等级保护现状测评。

(1)安全技术测评主要包括物理安全测评、网络安全测评、主机安全测评、应用安全测评、数据安全测评等五个方面。

物理安全测评

:根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。

网络安全测评:根据信息系统网络安全测评记录,针对网络方面在“结构安全”、“访问控制”、“安全审计”、“边界完整性检查”、“入侵防范”、“恶意代码防范”、“网络设备防护”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。

主机安全测评:主要是对被测信息系统服务器的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“入侵防护”、“恶意代码防护”、“资源控制”。

应用安全测评:主要是对被测信息系统应用的测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“剩余信息保护”、“通信完整性”、“通信保密性”、“抗抵赖”、“软件容错”、“资源控制”方面。

数据安全及备份恢复测评:测评信息系统数据安全及备份恢复,包括“数据完整性”、“数据保密性”、“备份和恢复”几个方面的测评。

(2)安全管理测评主要包括安全管理制度、安全管理机构、人员安全管理、系统建设管理和系统运维管理等五个方面。

安全管理制度测评:根据现场安全测评记录,针对信息系统在安全管理制度方面的“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。

安全管理机构测评:根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。

人员安全管理测评:根据现场安全测评记录,针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“人员考核”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。

系统建设管理测评:根据现场安全测评记录,针对信息系统在系统建设管理方面的“系统定级”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“系统备案”、“等级测评”以及“安全服务商选择”等测评指标,判断出与其相对应的各测评项的测评结果。

系统运维管理测评:根据现场安全测评记录,针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备管理”、“网络安全管理”、“系统安全管理”、“恶意代码防范管理”、“密码管理”、“变更管理”、“备份与恢复管理”、“安全事件处置”以及“应急预案管理”等测评指标,判断出与其相对应的各测评项的测评结果。

5)文档交付

依据《公安部信息系统安全等级保护测评报告模板(试行)》制作。

6)保密要求。提供保密声明,自签订合同之日起至项目结束,采取必要的控制措施防止因项目实施造成的任何信息泄漏。

7)风险规避。提供风险规避声明,自签订合同之日起至服务期结束,采取必要的控制措施防止因项目实施造成的系统运行故障事件发生。

8)进度要求。提供详实的进度计划方案,自合同签订之日起3个月内提交信息安全等级保护测评报告和整改方案。

2、漏洞检查服务

对确认的系统实施工具扫描,由具备等级保护高级、中级、初级测评师且至少6人的服务团队(至少1人为等级保护高级测评师和至少1人为等级保护中级测评师),根据被评估系统特点,出具安全漏洞扫描报告。

3、应急响应支持服务

对用户单位提供安全应急响应支撑服务,本项目由具备等级保护中级(含)以上测评师、信息安全专业人员以上等资质证书的人员组成的服务团队(至少1人为等级保护中级以上证书或信息安全专业人员证书),协助配合开展网络安全事件的预防、发现、预警和协调处置等工作。

4、安全培训服务

对用户单位的安全培训服务,由具备等级保护中级(含)以上测评师或信息系统保护人员、信息安全专业人员以上资质证书的人员授课,讲授网络安全管理应知应会和应急管理知识,提高培训对象人员的安全意识和安全管理能力,提高网络安全应对能力。供应商承担相关的培训费用,服务频率一年一次。

5、安全能力评估服务

评估网络安全防护效果,通过模拟真实黑客的技术手段对目标进行漏洞检测,突破系统的安全防护手段,从而验证已部署的安全措施是否按照预期设计工作,帮助挖掘出正常业务流程中隐藏的安全缺陷和漏洞,深入评估漏洞可能造成的实际影响,给出详细的评估结果和安全风险分析,并且结合专业的安全服务专家团队,提供修复建议与解决方案。评估过程中保证资产不受影响,攻击脚本只会对靶标进行安全可控的攻击,不会对系统造成任何的实际侵入和伤害。

6、以上服务内容在每次实施之前,应提前用户单位项目负责人进行详尽的沟通交流,制定详实可行的实施方案,确定带队负责人和组队人员,以及服务项目的详细内容和实施步骤,经XXX项目负责人确认后,按照既定的实施方案执行。具体执行过程中可根据双方协商的情况进行修改、增删等。

七、服务期限

服务合同期暂定为1年,如中标人服务标准达不到采购人服务标准,自动终止合同。

服务地点:采购人指定地点。

八、项目资金来源

财政资金。

九、对项目转包、分包要求

1、该项目不允许转包、分包。

2、采购人发现成交人进行转包、分包的,有权单方解除合同,取消成交人实施项目资格。成交人除赔偿损失外,还须向采购人支付项目合同总价款10%的违约金。

十、其他要求

1、合同项目履行过程中的一切风险,均由供应商综合考虑并承担。

2、磋商费用:供应商须自行承担编制与递交响应文件所涉及的一切费用。不管磋商结果如何,采购人对上述费用不承担任何责任。

3、报价有效期:从递交响应文件的截止之日起计算60日历天。

4、磋商过程中可能实质性变动的内容:采购项目采购需求。

第二章 供应商条件及须提供的资信证明

一、合格供应商的条件

(一)供应商必须是在中华人民共和国境内注册的具有独立承担民事责任能力且具有提供本项目相关服务的能力,需具有有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;

(二)供应商须具有《网络安全等级测评与检测评估机构服务认证证书》;

(三)供应商近三年(截止时间为开标日前5个工作日的零点)没有被“中国政府采购网”列入政府采购严重违法失信行为信息记录的,没有被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单的。或被“中国政府采购网”列入政府采购严重违法失信行为信息记录,被“信用中国”网站列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信名单但已过限制期的。

(四)不接受联合体投标。

二、供应商应提供的资信证明

(一)有效的营业执照、组织机构代码证、税务登记证副本或统一社会信用代码的营业执照;法定代表人参加报名时,提供法定代表人身份证原件;如委托代理人报名时提供法定代表人授权委托书及受委托人身份证原件

(二)《网络安全等级测评与检测评估机构服务认证证书》;

(三)法定代表人身份证或法人授权委托书及委托代理人本人身份证原件;

(四)信用信息查询相关证明材料。

评分标准

2.1 评分因素以及分值

评分因素

商务部分

技术部分

总分

分值比重

50分

50分

100分

2.2 商务部分

评分因素

分数

评分标准

报价

30分

满足采购文件要求且响应价格(或者最终价格)最低的报价为评审基准价,其价格分为满分。

其它报价得分=评审基准价÷(响应报价或者最终价格)×30。

企业业绩

10分

自2020年1月1日至今已完成的同类等级保护测评项目案例,每份案例得2分,最高得10分。

供应商须提供合同复印件加盖公章,否则不得分。

同类等级保护测评项目案例时间以合同签订时间为准。

企业认证

7分

供应商通过ISO9001质量管理体系认证的,得1分;

供应商具有ISO*****信息安全管理体系认证的,得1分。

供应商具有ISO*****信息技术服务管理体系认证的,得1分。

供应商具有中国网络安全审查技术与认证中心颁发的“信息安全风险评估服务资质认证”证书的,得2分。

供应商具有检验检测机构计量认证CMA的,得2分。

投标时供应商须提供证书复印件加盖公章,否则不得分。

企业荣誉

3分

自2019年1月1日至今供应商或其所投产品或服务获得全国网络安全等级保护测评机构先进单位的,得3分。

须提供获奖(荣誉)证书或证明复印件加盖公章,否则不得分。

2.3技术部分

评分因素

分数

评分标准

响应情况

10分

基础分为8分。

优于采购文件实质性要求的,每有1条加0.5分,最高加1分;对非实质性要求,每出现1条正偏离,加0.5分,最高加1分。

每出现1条负偏离,扣除基础分2分,出现3条及以上负偏离的,响应情况项不得分。

技术方案

15分

供应商对本项目提出的测试方案先进,措施得力的,优得5-4分,良得3-2分,一般得1分;

供应商针对本项目工作流程合理,衔接得当的,优得5-4分,良得3-2分,一般得1分;

供应商针对本项目组织方案良好,组织措施得力的,优得5-4分,良得3-2分,一般得1分。

服务定位

5分

从服务好业主角度出发对项目的整体统筹规划强、认识深刻、定位合理的,得5-3分;对项目的整体统筹规差、认识不深刻、定位不合理的,得2-1分,未提供者不得分。

服务能力

10分

供应商自主拥有主动监视入侵和攻击的技术手段的,得2分。

供应商自主拥有防止或限制网络攻击行为的技术手段的,得2分。

以上均须提供技术平台相关截图及国家级第三方软件检测机构出具的测试报告复印件加盖供应商公章,否则不得分。

供应商自主拥有漏洞库软件的,得2分。须提供漏洞库软件著作权复印件加盖供应商公章,否则不得分。

供应商具有中国合格评定国家认可委员会颁发的《检验机构认可证书》得2分,提供证书复印件加盖公章,否则不得分。

供应商具有中国合格评定国家认可委员会颁发的《实验室认可证书》得2分,提供证书复印件加盖公章,否则不得分。

服务保证

5分

供应商组织机构及服务质量保证措施、保密措施等能做到机构健全,建立完整的工作台帐、工作信息收集、反馈等客户质量保证措施完善,得5-3分;供应商组织机构及服务质量保证措施、保密措施等能做到机构不健全,建立的工作台帐不完整、工作信息收集、反馈等客户质量保证措施差的,得2-1分,未提供者不得分。

人员配备

5分

供应商提供的专业技术人员的构成、配备科学合理,满足岗位要求并提供优质服务的,得5-3分;专业技术人员的构成、配备基本合理,基本能满足岗位要求并提供服务的,得3-1分;专业技术人员的构成、配备不合理,满足岗位要求未能提供服务的,得1-0分。


标签: 以电子病历为

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询

最近搜索

热门搜索