舟山市中医院信息系统等级保护测评项目询价公告
舟山市中医院信息系统等级保护测评项目询价公告
经医院研究决定,就舟山市中医院信息系统等级保护测评项目采取院内询价确定供应商,现欢迎合格供应商报名参加。
一、项目编号:ZSSZYYXXCG******
二、项目名称:信息系统等级保护测评服务
三、项目内容:
| 项目名称 | 具体标的 | 等级 | 数量(项) | 预算 |
| 信息系统等级保护测评服务 | 网络基础支撑 | 三级等保复测 | 1 | 10万元 |
| 医院门户网站 | 二级等保测评 | 1 | ||
| 面向患者(HIS系统、体检系统) | 二级等保测评 | 1 | ||
| 综合服务平台(信息系统) | 二级等保测评 | 1 |
★供应商必须具有信息系统等级测评与检测评估机构服务认证证书。
四、服务要求:
1、依据标准
投标供应商应依据国家等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:
(1)GB/T *****-2019《信息安全技术网络安全等级保护基本要求》
(2)GB/T *****-2020《信息安全技术 网络安全等级保护定级指南》
(3)GB/T *****-2019《信息安全技术 网络安全等级保护测评要求》
(4)GB/T *****-2018《信息安全技术 网络安全等级保护测评过程指南》
2、测评内容
根据本项目中等级保护对象的安全保护等级,并依据GB/T *****-2019《信息安全技术 网络安全等级保护基本要求》、GB/T*****-2019《信息安全技术 网络安全等级保护测评要求》的条款要求,投标人对舟山市中医院信息系统及基础网络等级保护测评服务,测评的内容包括但不限于以下内容:
1、安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。
2、安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
五、信息系统等级保护测评的具体要求
1、信息系统技术安全测评
(1)、安全物理环境测评:物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
(2)、安全通信网络测评:安全通信网络测评应当包含:网络架构、通信传输、可信验证等。
(3)、安全区域边界主机安全测评:安全区域边界测评应当包含:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)、安全计算环境测评:安全计算环境测评应当包含:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5)、安全管理中心测评:系统管理、审计管理、安全管理、集中管控。
2、信息系统管理安全测评
(1)、安全管理制度测评:安全管理制度测评应当包含:安全策略、管理制度、制定与发布、审批和修订。
(2)、安全管理机构测评:安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
( 3)、安全管理人员测评:安全管理人员测评应当包含:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(4)、安全建设管理测评:安全建设管理测评应当包含:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务。
(5)、安全运维管理测评:安全运维管理测评应当包含:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
3、本次等级保护测评的整体要求
(1) 投标供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2) 投标供应商应详细描述测评人员的组成、资质及各自职责的划分。投标供应商应配置有经验的测评人员进行本次等级保护测评工作。
(3) 本次等级保护测评实施过程中所使用到的各种工具软件由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。在报价文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(5) 安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。
(6) 安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标供应商应详细描述需要的运行环境的具体要求。
(7) 项目完成后必须提交完整的技术文档、测评报告、整改建议等。
4、项目验收
(1) 本项目的目标是输出等级保护测评报告,并配合办理信息系统安全保护定级、备案、测评手续,该项目将产生一定数量的文档。
(2) 投标供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
(3) 投标供应商应提交验收方案,供采购人参考。
(4)采购人将依据本项目的要求,组织相关部门或单位的技术专家对投标供应商提交的项目成果进行验收。
5、项目承诺
(1)投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
(2)保密性要求:投标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购人。
(3)投标供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。
(4)投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。
(5)等级保护测评的品质保证:投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
6、其它要求
(1)投标供应商在测评方案书中,对能提供的信息系统安全等级保护测评进行详细说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
(2)投标供应商应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人以上问题不承担任何法律责任。
(3)若投标供应商的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料。
六、要求项目交付文档
项目实施过程及完成后,应向采购人提交包含但不限于以下的文档:
《网络安全等级测评方案》
《网络安全等级测评整改建议》
《网络安全等级测评报告》
《公安部门备案证明》
《渗透测试报告》
注:《网络安全等级测评方案》应在正式测评前提交,《网络安全等级测评整改建议》应在测评中提交,《网络安全等级测评报告》及《渗透测试报告》应在正式测评结束后15个工作日后提交。
七、项目实施要求:
1、实施方应保证在确定中标供应商以后立即开展实施,协助采购方办理定级备案。
2、保证本项目实施,项目实施骨干人员至少包含1名高级测评师(提供证书复印件)。本项目负责人必须具有5年以上的测评工作经验,并参与过具有大型复杂测评项目的实施经验;承担本次项目的项目经理必须同时具有高级测评师、国家级优秀科技成果完成者证书、信息安全保障人员认证证书(CISAW)、国家重要信息系统保护人员培训证书(CIIPT)、信息安全管理系统审计认证(DNV)、商用密码应用安全性评估人员测评能力证书(合同签订时提供证书复印件,中标供应商不能提供的做废标处理)。
3、实施方具有国家信息安全标准化委员会成员单位资格优先。
4、实施方参与网络安全等级保护测评高风险判定指引(T/ISEAA001-2020)编制的;参与信息安全技术网络安全等级保护大数据基本要求(T/ISEAA002-2021)编制的;供应商参与个人信息处理法律合规性评估指引(T/CLAST001-2021)编制的优先。
5、项目验收完成后,要求提供为期一年的安全咨询服务,以保证项目正常运行。
八、评分标准:
| 序号 | 评分因素 | 评分细则 | 分值(分) |
| 一 | 履约能力 | ||
| 1 | 供应商情况 | 供应商具有有效的中国合格评定国家认可委员会检验机构认可证书(CNAS),且能力范围需包含云计算安全扩展要求和工业控制系统安全扩展、商用密码应用安全性评估内容得2分。证明材料:证书复印件,加盖投标供应商公章。 供应商具有信息技术服务管理体系认证证书(ISO*****资质范围:网络安全等级保护测评服务)、信息安全管理体系认证证书(ISO*****资质范围:网络安全等级测评服务)、环境管理体系认证证书(ISO*****资质范围:网络安全等级保护测评、软件检测、商用密码应用安全性评估),全部满足得3分,缺项不得分。 具有源代码备份漏洞利用工具软件著作权证书、源代码安全审计检测系统软件著作权证书、移动安全检测系统著作权证书、验证码安全加固认证系统著作权证书、网站安全扫描工具软件著作权证书每类证书1分,最高得4分; 具有国家信息安全漏洞共享平台漏洞证明证书每个得1分,最高得3分; (提供相关证书复印件加盖公章) 说明:根据响应文件中提供的有效证书进行评分,未提供或不符合以上条件不得分。 | 12 |
| 2 | 供应商业绩情况 | 供应商提供2021年1月1日以来(以合同签订时间为准)具有网络安全等级保护项目相关案例,每一个得1分,最高得4分。 说明:根据响应文件中提供的对应业绩合同进行评分,无法证明其符合以上条件的不得分。 | 4 |
| 二 | 技术服务水平 | ||
| 1 | 重点难点分析 | 重点难点分析及响应解决方案内容完善性、科学合理性、可实施性全面分析及理解: ① 全面且合理的得4分; ② 存在欠缺但基本全面、合理的得3分; ③ 部分符合项目情况的得2分; ④ 不全面或不合理的得1分; ⑤ 未提供的得0分。 | 4 |
| 2 | 等保方案、流程、管理 | 等级保护测评整体测评方案内容完善性、科学合理性、可实施性全面分析及理解: ① 全面且合理的得4分; ② 存在欠缺但基本全面、合理的得3分; ③ 部分符合项目情况的得2分; ④ 未提供或完全不合理的得0-1分。 | 12 |
| 等级保护测评工作流程内容完善性、科学合理性、可实施性全面分析及理解: ① 全面且合理的得4分; ② 存在欠缺但基本全面、合理的得3分; ③ 部分符合项目情况的得2分; ④ 未提供或完全不合理的得0-1分。 | |||
| 等级保护测评项目管理规范和实施计划根据采购需求要求符合情况进行评分: ① 全面且合理的得4分; ② 存在欠缺但基本全面、合理的得3分; ③ 部分符合项目情况的得2分; ④ 未提供或完全不合理的得0-1分。 | |||
| 4 | 项目保密及风险 管理 | 供应商对项目管理以及风险控制风险说明及风险规避处置措施是否有针对性、合理性进行综合评分。 | 3 |
| 供应商对本次实施评估服务过程中收集的数据资料的保密性的保证措施,方案内容是否具有针对性、合理性及可实施性评估。 | 3 | ||
| 5 | 测评工具情况 | 供应商具有5台及以上等保工具箱且具有不少于2个厂商的等保工具箱,满足得3分,等保工具箱需提供合同复印件,否则不得分; 投标人具有等保测评相关的检测工具、具有专利自主产权的证书,或取得相关软著证书,提供专利证书或软件著作权证书,每项得1分,最高得3分。 详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等,根据响应文件响应情况及对有利于本项目实施的角度进行评分,得2分。 | 8 |
| 6 | 售后服务内容 | 服务质量与故障应急机制服务方案的合理性、科学性、有效性,从有利于项目实施角度进行评分。 | 2 |
供应商提供的整体售后服务方案、培训方案,根据针对性,实用性进行综合评分。 | 3 | ||
| 7 | 拟派项目组负责人能力情况 | 项目组负责人能力情况 项目负责人具有3年以上等保+密评测评工作经验并提供业主盖章证明材料、商用密码应用安全性评估人员培训合格证书且为高级测评师、信息安全保障人员认证证书(CISAW)、信息技术(信息安全)高级工程师职称、渗透测试高级工程师证书、数据治理工程师证书,具备以上任一证书的得1分,最高不超过6分。 注:提供证书复印件及参加投标前连续3个月的社保证明,复印件加盖公章 | 6 |
| 8 | 拟派项目组其他成员能力情况 | 项目组其他成员能力情况 本项目的实施人员具有中级或高级测评师且具有商用密码应用安全性评估人员培训合格证书的,每人次得1分,最高得分2分;需提供等保或密评项目经验证明材料。 本项目的实施人员同时具有网络安全服务能力评价证书和软件性能测试高级工程师证书的,每人得1分,最多得2分,缺项不得分; 投标单位人员具有中级测评师证书;(每个证书得1分,共3分)。 本项目的实施人员具有数据治理工程师证书的每人得1分,最高得2分; 本项目的实施人员具有注册网络安全测评专业人员(NSATP)证书的每人得1分,最高得2分; 注:提供证书复印件及参加投标前连续3个月的社保证明,复印件加盖公章 | 10 |
| 9 | 验收方案 | 验收方案,根据验收的方案合理性、规范性和可实施性进行综合评审。 | 3 |
| 三 | 价格 | ||
| 价格分 | 价格评分将在有效响应文件范围内进行,最高得30分,最低得0分(小数点后保留二位小数,第三位四舍五入)。满足采购文件要求且最后报价最低的供应商的价格为基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算: 报价得分=(基准价/最后报价)×30%×100 | 30 | |
| 总分 | 100 |
注:1、各评审小组成员自行按以上参考分值评分,技术商务评分保留小数点后一位数,价格分保留小数点后二位。
九、供应商资格条件:
1、供应商必须是中华人民共和国内经工商管理部门批准成立的独立法人机构或个体营业户;
2、供应商营业执照经营范围必须包含本项目采购内容;
3、本项目不允许转包,不允许分包,不接受联合体响应报价。
4、供应商须提供近三年内无重大违法记录的证明。
5、投标文件一式伍份(一正四副)。
十、投标文件内容包括:
(一)资格证明文件
1、投标函;
2、提供投标企业营业执照、组织代码证、税务登记证等相关资质证明;复印件加盖公章并携带相关证件原件备查;(三证合一只提供营业执照);
3、独立法人机构需提供法人授权委托书及法人身份证复印件与被授权人身份证复印件;(若投标人系法定代表人,投标文件无须提供授权委托书);个体营业户需提供经营者委托书及经营者身份证复印件与被授权人身份证复印件;(若投标人系经营者本人,投标文件无须提供授权委托书);
4、《法定代表人授权函》原件,非法定代表人参加投标时用;
注:以上相关资料及证书证明复印件均需加盖公章。
十一、报名时间及地点:
报名时间:2024年7月19日—2024年7月25日 17:30。
报名地点:舟山市中医院信息科(定海区新桥路355号食堂4楼402室)。
联系人:张先生 联系电话:135*****069 邮箱:********@qq.com%5C%22">********@qq.com
报名方式:现场报名或电话报名,选择电话报名,请将报名材料发送至邮箱。
备注:如报名成功后无故缺席开标,将被列入医院征信名单,一年之内不得参与医院信息类招标。
十二、询价时间及地点:
询价时间:2024年7月26日 15:00
询价地点:舟山市定海区新桥路136号(原九天揽月酒店)六楼舟山市中医院行政区评标室
标签: 信息系统
0人觉得有用|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
