梧州市工人医院等保测评与网络安全服务采购公告
梧州市工人医院等保测评与网络安全服务采购公告
序号 | 产品名称 | 配置要求描述 | 数量 |
1 | 系统测评服务 | 一、*基本要求 按照新《信息安全技术--信息系统安全等级保护基本要求》《信息系统安全等级保护测评准则》,由具有等级保护测评资质的机构对被测评系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等按照等保2.0标准进行测评服务,并获得等保测评证书,其中工作包含如下:对梧州市工人医院信息集成平台系统开展安全等级(三级)测评工作,合计1个系统按照等保2.0新标准测评。 二、*服务要求 依据标准: 《计算机信息系统安全保护等级划分准则》 (GB *****-1999) 《信息安全等级保护管理办法》(公通字[2007]43号) 《网络安全等级保护定级指南》(GB/T *****-2020) 《网络安全等级保护基本要求》(GB/T *****-2019) 《网络安全等级保护测评要求》(GB/T *****-2019) 《网络安全等级保护测评过程指南》(GB/T *****-2018) 《网络安全等级保护设计技术要求》(GB/T *****-2019) 《网终安全等级保护测试评估技术指南》 (GB/T *****-2018) 对本项目进行等级保护测评,指导采购人制定整改方案和开展整改,使被测系统安全保护状况达到(三级)等级保护要求,完成现场测评后正式等级测评并出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。 三、测评内容及方法 测评内容应包括技术和管理两大类,必要时需提供扩展方面的测评,其中技术类测评应包括对以下方面: 1. 安全物理环境《物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护) 2. 安全通信网络(网络架构、通信传输、可信验证); 3. 安全区域边界(边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证); 4. 安全计算环境(身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护); 5. 安全管理中心(系统管理、审计管理、安全管理、集中管控); 管理类测评应包括对以下方面: 1. 安全管理制度(安全策略、管理制度、制度和发布、评审和修订); 2. 安全管理机构(岗位设置、人员配备、授权和审批、沟通和合作、审核和检查); 3. 安全管理人员(人员录用、人员离岗、安全意识教育和培训、外部人员访问管理); 4. 安全建设管理(定级和各份、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择); 5. 安全运维管理(环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理); 测评方法应在测评实施过程中采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程;检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等》 进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程。测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程;渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 四、*服务成果 测评完成后,出具一式三份符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的网络安全等级保护测评报告。 | 1项 |
2 | 等保测评加固服务 | 对梧州市工人医院做等保加固、风险评估和项目实施服务包括: 1.*本次测评涉及系统:梧州市工人医院信息集成平台系统: 2.*服务周期:从本年度等保测评开始前至测评结束; 3.执行科学的评估方法和分析体系,包含项目的准备及启动、信息系统识别及现状调查、明确等保评估的信息系统范围、制定等保评估工作计划、收集并分析信息系统资料、信息系统安全等级的确定、生成信息系统网络拓扑图、编写定级报告和备案信息。对信息系统的安全现状进行等级保护差距测评,分析信息系统保护现状和信息安全等级保护基本要求之间的差距,为通过信息系统等级保护奠定基础。提交《等级保护差距测评报告》。制定安全需求分析、安全建设与改建方案的制定、制作原信息系统产品加固方案、测评不符合及部分符合项整改建议、制作新的网络拓扑图、制作安全需求分析报告、编制并确认整体信息系统整改方案。 4.等保差距分析和加固服务,在等级保护测评工作开始前对信息系统以及相关环境、设备的安全现状进行等级保护差距分析,根据测评指导手册,通过现场评估、脆弱性评估等技术手段分析被测评系统涉及的资产的所有安全风险,从管理和技术两个层面找出存在的问题并进行加固。安全管理包含安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理,安全技术包含物理安全、网络安全、主机安全、应用安全、数据安全;加固的对象包括应用系统服务器、业务终端、安全设备、网络设备、审计管理等设备,加固的风险项包含并不限于:账户口令策略、三权分立、登录失败处理、访问控制、入侵防御、补丁修复、空闲会话超时处理、剩余信息保护、数据加密存储、日志审计、日志策略备份等。 5.对于需要修改代码等复杂操作需协助或监督应用厂家修改,并在处理后确认修改是否完成;对制度缺失项进行补充,协助补充记录和证据类文档; 6.协助第三方安全测评机构完成等级保护测评数据采集等工作; 7.根据初次等保测评出具相关风险问题列表后,针对仍然存在的高、中风险项,继续按照以上等保加固工作要求再次进行加固,直至完成等保测评; 8.为保障供应商提供的整改加固服务实际产生良性效果,要求测评分数到达 70 分以上(根据测评公司提供的预评估结果分),否则供应商须重新整改。 9.项目实施服务,包括设备的系统调试、安全策略配置服务。提供测评期间现场支持服务。 10.*包含预测评后对应的网络配置改造,策略规范调整以及相应的拓扑架构调整,以保证达到三级保护要求,并顺利通过测评。 11.*供应商在签订合同后需提供驻场服务,直至正式通过测评为止。 12.*包含但不限于按测评要求对机房及整个大楼楼层弱电井的网络及安全设备的安装位置,布线理线,路由位置进行调整施工。 | 1项 |
序号 | 项目分值 | 评分标准 |
1 | 价格分 (满分30分) | (1)价格分应当采用低价先法计算,即满足投标文件要求且投标价格最低的投标报价为评标基价,其价格分为满分。其他投标人的价格分统一按照下列公示计算:投标报价得分=(评标基准价/投标报价)×30 (2)按照《政府采购促进中小企业发展暂行办法》(财库[2011]181号)的规定,参选单位认定为小型或微型企业且所提供的产品均为小型、微型企业产品的(必须提供中小企业声明函,否则不予以认定),对最终报价给予10%的扣除,扣除后的价格为评标价即评标价=最终报价X(1-10%);除上述情况外,评标价=最终报价。 (3)根据《关于政府采购支持监狱企业发展有关问题的通知%财库[2014]68号)关于我区政府采购支持监狱企业发展有关问题的通知》(桂财采[2018]24号)的规定,监狱企业视同小型、微型企业,享受小型、微型企业评审中价格扣除的政府采购政策。必须提供相关证明文件,否则不予以认定)。 (4)根据《三部门联合发布关于促进残疾人就业政府采购政策的通知》(财库[2017]141号)的规定,残疾人福利性单位视同小型微型企业,享受小型、微型企业评审中价格扣除的政府采购政策。必须提供残疾人福利性单位声明函,否则不予以认定)。 |
2 | 技术服务方案(满分17分) | 一档(5分):对项目需求有了解,提供了项目技术设计方案,系统方案没有明显技术错误,技术方案简单描述了各模块的功能以及实现方式,初步说明采购单位业务各阶段建设需求; 二档(11分):在满足第一档的基础上项目技术、设备配备方案,系统方案能结合用户实际情况,技术方案详细、具有操作性,技术方案内容较合理、针对性较强,方案较合理、针对性较强,对项目需求较为了解的; 三档(17分):在满足第二档的基础上项目需求认知清晰,系统方案紧密结合用户实际情况并充分考虑利用项目现有设备情况,且有独立完成规划完整的网络拓扑图、机房布局图、设备布置图方案,技术方案详细、具有较强的操作性、对项目需求实用性强的。 |
3 | 检测人员配置 (满分13分) | 1.应标商或授权应标商的测评机构服务本项目负责人为高级等保测评师,得6分。 2.应标商或授权应标商的测评机构服务本项目团队成员,具有“中级等保测评师、CISP、CISAW、高级软件工程师、高级网络运维工程师、软件性能测试高级工程师”证书的,每提供一名得1分,最高得6分。注:资质证书证件复印件和最新等级保护网注册测评师截图及相关证明文件。 |
4 | 售后服务 (满分20分) | 根据加固服务方案对应以下要求评分,从加固服务人员配备、本地化服务、定期回访安排、接故障通知到达现场的时间、替代品、培训等方面内容综合评分: 一档(5分):技术培训计划、响应时间、服务承诺等加固方案描述一般,对本项目实际情况有所了解,且驻场服务人员1人及以下,具有一定的可行性,基本满足项目需求。 二档(13分):在满足一档的基础上,对服务管理、服务承诺、健康检查、例行维护、风险控制要求、运维技能培训等方案完整,且驻场服务人员2-3人。其中维修响应在得到采购人通知后8小时内对采购人的服务要求做出响应,一般问题在24小时内解决,响应时间优于招标文件要求,接到维修服务的请求后,技术工程师须在4小时内进行现场维修, 三档(20分):在满足二档的基础上,加固服务方案全面详细,质保期、响应时间、服务团队配备、良好的培训计划、应急预案、故障解决方案等内容切合项目的加固运维服务需求,合理详细的服务流程,且驻场服务人员3人以上,其中维修响应在得到采购人通知后4小时内对采购人的服务要求做出响应,一般问题在12小时内解决,交付时间及响应时间优于招标文件要求,在接到维修服务的请求后,技术工程师须在2小时内,出具详细解决方案并进行现场维修。能提供7*8小时免费服务热线及服务流程(包括故障处理、上门维护、紧急维护、重要服务、电话维护、主动回访等)。 |
5 | 企业信誉 (满分15分) | 1.应标商或授权应标商的测评机构具备“中国网络安全审查技术与认证中心”颁发的安全风险评估服务资质,“ITSS信息技术服务标准”符合性证书的,每项得4.5分,本项最高得9分。 2.应标商或授权应标商的测评机构通过ISO9001质量管理体系认证证书、ISO*****环境管理体系认证证书、ISO*****职业健康安全管理体系认证资质的其中一项的得2分,最高得6分。 备注:需提供证书复印件并加盖应标商公章,原件备查。 |
6 | 业绩分 (满分5分) | 应标商或授权应标商的测评机构提供2021年1月1日以来服务医疗行业同类项目的业绩合同备注:须提供合同关键页(包含:签约时间、项目名称、合同金额、设备清单、双方盖章)复印件作为证明资料,业绩时间以合同签订时间为准。每提供一份得2.5分,本项最高得5分。 |
相关热词搜索:
上一篇:梧州市无污染布草洗涤服务采购意向咨询公告
下一篇:最后一页
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无