广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目招标公告
广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目招标公告
广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目招标公告.doc (73 KB)
采购单位:广州中医药大学第一附属医院
项目名称:采购医院信息系统等级保护测评及整改服务项目
一、最高招标限价:490000.00元(人民币)
二、项目需求书:
(一)项目服务范围
本项目包含的测评系统对象清单如下:
序号 | 系统名称 | 拟定级别 | 备注 |
1 | HRP系统 | 三级 | 本系统暂未完成定级备案工作 |
2 | 检验系统 | 三级 | 本系统暂未完成定级备案工作 |
3 | 医学影像系统 | 三级 | 本系统暂未完成定级备案工作 |
4 | 电子病历系统 | 三级 | 本系统暂未完成定级备案工作 |
5 | 智随访系统 | 三级 | 本系统暂未完成定级备案工作 |
6 | OA系统 | 三级 | 本系统暂未完成定级备案工作 |
7 | 微信订餐系统 | 二级 | 本系统暂未完成定级备案工作 |
(二)项目服务内容
本项目包含的服务内容如下:
序号 | 服务项 | 服务内容 |
1 | 信息系统等保测评服务 | 1.差距测评服务: 根据《GBT*****-2019信息安全技术网络安全等级保护基本要求》,按照国家等级保护相关建设规范和技术要求,结合信息系统的真实情况和具体需求,输出完善、全面、合规的差距问题清单。 2.综合测评服务: 对整改材料进行确认,达标后进行等级保护测评工作,出具并提交公安部要求格式的《网络安全等级保护测评报告》,协助完成到公安部门的备案工作。 |
2 | 信息系统等保整改服务 | 1.针对《差距问题清单》进行整改技术支撑,协助对网络设备、服务器、主机、安全设备的策略加固。 2.针对《差距问题清单》要求对我院的管理制度定期更新,对应急预案进行更新优化,提供满足法律法规及相关规范要求的管理制度。包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。 |
(三)项目内容要求
1、系统定级备案服务要求
服务商需协助我院完成医院系统的定级备案工作,包括定级备案过程中的资产梳理、文档整理、材料编制及递交工作等事项,保证后续等级保护测评工作的顺利开展。
2、等级保护测评服务要求
服务商需委托具有资质的测评机构,根据《网络安全等级保护基本要求》等标准开展信息系统等级保护符合性测评,衡量我院医院系统的安全保护管理措施和技术措施是否符合等级保护三级的相关要求,是否具备相应的安全保护能力。差距测评完成后,测评机构出具《差距问题清单》,罗列医院系统存在的不符合问题项。
我院根据《差距问题清单》完成相应整改后,测评机构针对医院系统进行验收测试,验收测评完成后,测评机构出具《网络安全等级保护测评报告》,评估确认医院系统是否满足等级保护三级相关要求。
3、管理制度修订要求
服务商需按照最新法律法规及《差距问题清单》要求对我院的管理制度更新及修订,对应急预案进行修订优化,提供满足法律法规及相关规范要求的管理制度,包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等,所提供的网络安全管理制度需满足等级保护三级相关要求。
4、整改加固要求
服务商需提供技术支持协助我院开展整改加固工作,对《差距问题清单》中存在的不符合问题项逐一进行整改加固,使其满足等保三级相关要求,整改范围包括主机、数据库、应用系统、网络设备、安全设备等。整改完成后,服务商需提交相应的整改证明材料提交给测评机构做审核。
5、安全保密要求
服务商应当提供与我院的保密协议草拟本,并在中标后与我院签署保密协议,对于安全服务所获取的相关信息进行严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据、信息进行任何侵害我院信息系统的行为。
(四)项目服务要求
1、技术服务团队要求
1.服务商应为本项目提供专业服务团队,该团队包括项目经理和至少四名技术人员。团队所有人员均具有不少于三年网络或信息安全从事经验,同时,技术人员对市场上的安全设备型号具有一定的维护和实施经验,如:熟悉防火墙、态势感知、日志审计、堡垒机、IPS等安全设备的参数配置、性能优化调整等。
★2.现场测评开展时,服务商必须安排中级或以上的安全工程师(有CISP或CISSP证书)到现场协助我院完成测评工作,以及后续的整改实施,根据系统遗留隐患和不符合项的整改工作量,供应商安排的安全工程师驻场在医院的时间为到服务期结束。
3.服务商须保证队伍稳定,并由我院项目负责人审核,审核通过后才能参与实施工作;经确认的技术团队,未经我院项目负责人同意,不得更换技术人员;服务商必须遵守我院内部各项规章制度和内部操作规程,履行保密义务,签署保密协议,未经批准不得以任何理由泄露任何保密信息和内部资料;技术团队应具备有利于开展实施工作的工具(包括软件和硬件)。
2、安全服务技术要求
服务商需提供详细的整体服务方案,包括技术方案和实施方案。技术方案包括整体流程、技术方法和服务方案设计等;实施方案包括人员组织、时间安排、阶段性文档提交、验收标准、质量保证和风险规避措施等。
服务实施过程中所使用到的其他各种工具软件由服务商推荐,系统安全维护的定期扫描服务至少使用一款商用扫描系统。服务商须承诺所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件可用性和可靠性。由此产生的一切责任由服务商负完全责任。
服务商应详细描述如何采用手工方法进行服务器本地检查、加固等。服务商应详细描述如何完成安全服务中的各项服务内容,并说明每项服务的流程和方法。
为了保障服务质量,服务商需提供相应的服务工具(出具原厂授权书),包括但不限于以下工具:
1)渗透测试工具
1、可实现自动化渗透测试,贯穿整个渗透过程的操作,包括信息收集、指纹管理、漏洞发现、漏洞利用、后渗透攻击等;
2、可以实现自定义的攻击需求;
3、可利用http协议、DNS协议等远程获取带外数据;
4、可通过内置的方法反弹交互shell到平台,执行交互执行操作等功能;
2)漏洞扫描工具(含配置核查工具模块)
1、支持通过多种维度对漏洞进行检索,包括:CVE ID、CNCVE ID、CNVD ID、CNNVD ID、MS 编号、风险等级、漏洞名称、是否使用危险插件、漏洞发布日期等信息;
2、可扩展支持等级保护配置核查;
3、支持与堡垒机联动,可从堡垒机获取目标设备密码进行配置核查,全程自动化,防止密码外泄;
4、可导出EXCEL格式,方便筛选分析。
★服务商需承诺,在投标文件中承诺提供的工具系统必须在中国网络安全审查技术与认证中心通过认证的产品,并提供查询证明。我院有权在中标后、项目实施前,进行现场工具检测,与招标文件不符合虚假者,我院有权将按废标处理,并永久列入采购黑名单(承诺函格式自拟)。
3、项目管理要求
服务商须根据实际维护服务项目的状况,定期组织汇报与技术交流、紧急情况工作会议,要求如下:
双方技术人员定期(1次/月)开会,就过去遇到问题情况作总结汇报和交流,确定下一步工作方案,以提高和改善服务质量,并根据需求对服务方案不断进行完善;发现潜在和细小问题,防患于未然;其它用户的经验介绍及分享。
对于任何紧急情况,如有必要,应协调相关部门负责人、技术人员,无论何时,根据需要召开紧急会议,重点处理紧急问题,以保证重大故障得到及时解决。
(五)服务期限:签订合同之日起6个月内完成,并提交所有文档(包括但不限于《等级保护测评报告》、《整改加固报告》,取得由公安机关出具的等级保护测评确认文档)。
(六)根据实际情况,在投标文件中提供项目的服务方案。
(七)验收要求:
1、按照国家相关标准及规范进行验收。相关服务无国家标准时按地方相关标准或行业规范进行验收。
2、在符合国家相关标准及规范的前提下,中标人完成项目服务内容后,由中标人提起验收申请,10个工作日内,经招标人同意并签字盖章确认后完成验收。
(八)付款方式:
1. 合同款项将在获得公安机关出具的等级保护测评确认报告文档后支付,付款金额根据实际提交的信息系统等级保护测评及整改服务报告数量确定。
(九)提供近三年(2021年至今)相关类似项目业绩,需提供证明文件(附合同复印件等)。
(十)开标会只允许各投标单位安排一名投标人员参加,且该人员必须与投标报名登记表登记的人员一致,若临时更换投标人员需提前与招标采购中心工作人员联系。
(十一)投标文件要求:6份(1正5副),开标前需密封,每份文件均需按序页码,双面打印。
(十二)项目需求书条款响应情况:投标人必须对项目需求书的内容逐条响应。“★”号的条款为关键条款,必须实质性响应,负偏离(不满足要求)将导致投标无效(若有);带“▲”号条款为重点条款,不作为无效投标条款(若有)。
序号 | 招标需求参数 | 投标实际参数(投标人应按投标设备实际数据填写,不能照抄招标要求) | 是否偏离(无偏离/正偏离/负偏离) | 偏离简述 |
1 | ||||
2 | ||||
… |
(十三)投标人应完整、真实、准确的填写招标文件中规定的所有内容,对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受招标采购单位及监督管理部门等对其中任何资料及招标采购单位或监督管理部门认为有必要的资料进行核实的要求。
三、投标人资格
1.投标人必须是在中华人民共和国注册的独立法人,具有有效的营业执照。
2.营业执照有相关的营业范围。
3.本项目不接受联合体投标,不得转包、分包、外包投标标的主体。
4. 投标人应完整、真实、准确的填写招标文件中规定的所有内容,对投标文件所提供的全部资料的真实性承担法律责任,并无条件接受招标采购单位及监督管理部门等对其中任何资料及招标采购单位或监督管理部门认为有必要的资料进行核实的要求。
5、其他特定资格要求(需提供有效期内的资质证书):
(1)具备安全运维服务资质认证证书;
(2)具备风险评估服务资质认证证书;
(3)具备安全集成服务资质认证证书;;
(4)具备信息安全管理体系证书(ISO*****);
(5)具备信息技术服务管理体系证书(ISO*****)。
四、述标、答辩要求
1.述标部分:述标时间不超过3分钟。述标着重介绍对项目的理解,特别是关键技术层面,述标无需使用PPT。
2.答辩部分:述标之后,由评审小组提问,投标人如实作答。
五、报名时间及地点
1. 报名时间:2024年04月11日至2024年04月17日 17: 00 ;
2. 报名方式:本项目只接受电子报名,报名邮箱为:gztcm_wlk_cg@gzucm.edu.cn。请各投标人将报名需要提交资料加盖公章后扫描,将扫描件发至报名邮箱,邮件名称:项目名称+单位名称;
3. 报名需提交资料(需加盖公章)
(1)有效的营业执照复印件(如非“三证合一”证照,同时提供税务登记证及组织机构代码证副本复印件)。投标人在经营范围内投标,如营业执照未记载经营范围,同时提供在全国企业信用信息公示系统查询的单位“登记信息”的打印页面并盖章);
(2)企业法人代表证明书、具有法人签名或盖章的被委托人有效授权书(详见附件);
(3)投标报名登记表(详见附件)。
4. 报名所需的资料原件请于开标日当天交至网络数据信息科工作人员处。报名是否成功,以邮件回复为准。
5. 报名成功本项目的投标人,若决定不参与投标,请于2024年04月17日17:00前电话或邮件通知招标人。
六、开标时间及地点
1. 开标时间:2024年04月18日 下午16:00
2. 开标地点:广州中医药大学第一附属医院1号楼门诊南楼7楼网络管理室会议室
3. 投标人员应为报名登记表上登记的负责投标的人员,该人员凭身份证进入开标地点。
七、本招标文件所涉及的时间一律为北京时间
八、联系人:李老师:020-36591289(项目咨询)
九、咨询时间:上午 8:30-12:00,下午14:30-17:30
广州中医药大学第一附属医院
2024年04月11日
附件:
法定代表人授权书
致:广州中医药大学第一附属医院
本授权书声明:注册于 (国家或地区)的 (投标人名称)的在下面签字的 (法定代表人的姓名、职务)代表本公司授权在下面签字的 (被授权人的姓名、职务)为本公司的合法代表人,就“广州中医药大学第一附属医院采购医院信息系统等级保护测评及整改服务项目”招标的 (可选“报名”),以我方的名义处理一切与之有关的事宜。
本授权书于 年 月 日签字生效,特此证明。
随附《法定代表人证明书》
附件:
1、代理人(被授权人)身份证或其他有效的身份证明
注:投标人必须在上述附件上加盖公章。
投标人(法人公章):
地 址:
法定代表人(签字或盖章):
职 务:
被授权人(签字或盖章):
被授权人身份证号码:
职 务:
日期:
(投标人可使用下述格式,也可使用广东省工商行政管理局统一印制的法定代表人证明书格式)
法定代表人证明书
现任我单位 职务,为法定代表人,特此证明。
有效期限:
附:代表人性别: 年龄: 身份证号码:_________
企业注册号码: 企业类型:_____________________________________
经营范围:
。
注:投标人必须在上述附件上加盖公章。
投 标 人(法人公章):
日 期:
投标报名登记表 | ||||
项目名称 | 报名日期 | 年 月 日 | ||
报名单位名称 | ||||
地址(营业执照) | 邮编 | |||
报名人 | 姓名 | 身份证号码 | 手机 | 传真 |
投标人(负责投标的人员) | 姓名 | 身份证号码 | 手机 | 电子邮箱 |
标签: 信息系统
0人觉得有用
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无