等保测评项目招标报名公告

等保测评项目招标报名公告

根据《中华人民共和国政府采购法》等相关法律法规的规定,泰兴市中医院就以下项目进行公开招标,欢迎符合资格条件的供应商前来参与。

一、招标项目情况:

等保测评项目(2个三级系统),采购预算10万元人民币。项目编号 ZYYZBXX2024-2.

二、报名资格条件:

1、满足《中华人民共和国政府采购法》第二十二条规定:

(1)具有独立承担民事责任的能力?。

?(2)具有良好的商业信誉和健全的财务会计制度?。

?(3)具有履行合同所必需的设备和专业技术能力?。

?(4)有依法缴纳税收和社会保障资金的良好记录?。

?(5)参加政府采购活动前三年内,在经营活动中没有重大违法记录?。

?(6)法律、行政法规规定的其他条件?。

2、提供的资格、资质文件和业绩情况均真实有效,具有良好的商业信誉;

3、具备类似经验或业绩及服务能力,并具备相关证明材料;

4、提供的产品和解决方案必须全新、具有厂家质量合格证明、符合相关行业资质要求和满足院方需求等。

三、报名时参与企业需提供但不限于以下资料(加盖公章并装订成册):

1、有效合格的企业法人营业执照(副本)及税务登记证、法人及授权代表身份证明;

2、提供委托代理人近6个月以来纳税和社保缴费证明材料;

3、提供两家以上近三年二级甲等医院以上销售同款同型号技术参数、配置清单、彩页资料、市场报价、用户名单(使用科室、联系人、联系方式)、销售合同复印件(提供合同内容不得遮盖、涂改,否则将视为无效资料);;

4、参加政府采购活动前3年内,在经营活动中没有重大违法记录的书面声明;

5、具有履行合同所必须的设备和专业技术能力,参与企业认为需要提供的其他商务资料。

四、关于招标说明

报名截止时间:即日起至2024年10月11日下午5:00。

报名方式(邮箱报名及纸质):

网上报名:邮箱:*********@qq.com

(1)电子邮件需按下表提供:(电子版)

项目名称

报名供应商名称

法人或授权代表姓名

联系电话

备注

考察单位及联系人电话

(2)参与报名相关资料需在报名截止日期前送至泰兴市中医院招标办张先生收,电话:135*****442,逾期送达将拒绝接收。

招标时间:电话通知。

招标地点:泰兴市中医院综合楼六楼会议室。

本项目招标文件自制,含所有投标资格文件、报价等一正四副。

本项目不接受联合体投标。

五、公告发布媒体:

泰兴市中医院网(http://www.txszyy.com/)。

六、招标单位联系方式:

项目报名咨询:张先生 电话:0523-******** 135*****442

业务技术咨询:陈先生 电话:0523-******** 136*****100

泰兴市中医院招标采购办公室

2024年09月28日

附件

等保测评项目内容及评分标准

一、项目背景

等级保护是我国关于信息安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43号)进一步强调了开展信息安全等级保护工作的重要意义,规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。27 号文件和43号文件不但为各行业开展信息安全等级保护工作指明了方向,同时也为各行业如何根据自身特点做好信息安全等级保护工作提出了更高的要求。

目前,国内国际信息安全形式非常严峻,我国各重要信息化基础设施面临的网络攻击、破坏、窃密等安全威胁日益增多,时刻威胁着我国的国家安全、社会秩序与公民利益。2014年2月中共中央成立了以习近平总书记为组长的中央网络安全和信息化领导小组,明确指出“没有网络安全就没有国家安全,没有信息化就没有现代化”。

根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》(公通字[2007]43号)、《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)、《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)等文件精神,泰兴市中医院拟于近期开展网络安全等级保护测评工作。

二、项目依据

1、政策依据

(1) 《中华人民共和国网络安全法》(2017年6月1日实施)

(2)《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)

(3)《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)

(4)《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)

(5)《信息安全等级保护管理办法》(公通字〔2007〕43号)

(6)《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)

(7)《信息安全技术 信息系统安全等级保护实施指南》(GB/T *****-2010)

(8)《计算机信息系统安全保护等级划分准则》(GB *****-1999 )

(9)《信息安全技术信息系统安全等级保护定级指南》(GBT *****—2008)

(10)《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)

2、技术标准

(1)《信息安全技术 信息系统安全等级保护基本要求》(GBT *****-2008)

(2)《信息安全技术信息系统安全等级保护测评要求》(GB/T *****-2012)

(3)《信息安全技术信息系统安全等级保护测评过程指南》(GB/T *****-2012)

(4)《信息安全技术 信息系统通用安全技术要求》(GB/T*****-2006)

(5)《信息安全技术 网络基础安全技术要求》(GB/T*****-2006)

(6)《信息安全技术 操作系统安全技术要求》(GB/T*****-2006)

(7)《信息安全技术 数据库管理系统安全技术要求》(GB/T*****-2006)

(8)《信息安全技术 终端计算机系统安全等级技术要求》(GA/T671-2006)

(9)《信息安全技术 信息系统安全管理要求》(GB/T *****—2006)

(10)《信息安全技术 信息系统安全管理测评》(GA/T 713-2007)

(11)《信息技术 安全技术 信息安全管理体系要求》(GB/T*****-2008)

(12)《信息技术 安全技术 信息安全管理实用规则》(GB/T*****-2008)

三、工作原则

1、客观性原则

测评人员应当没有偏见,在最小主观判断情形下,按照双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。

2、连续性原则

确保在高速变化的信息安全环境中,在有效的服务期间内,保证采购人测评结论的准确性和及时性,对于采购人单位新增设的信息资产和服务,或新建立的信息化项目,进行局部系统的重新评估。

3、扩展性原则

在测评过程结束后,信息安全测评过程要保持扩展性,从扩展的属性上进一步加强测评结束后采购人的安全管理有效性和可用性。

4、保密原则

在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及的任何用户信息未经允许不向其他任何第三方泄露,以及不得利用这些信息损害采购人利益。

5、互动原则

在整个测评过程中,强调采购人的互动参与,每个阶段都能够及时根据采购人的要求和实际情况对测评的内容、方式做出相关调整,进而更好地进行测评工作。

6、最小影响原则

测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应作出说明。

7、规范性原则

信息安全测评的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。

8、质量保障原则

在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,保证项目的进度和质量。

四、项目内容

序号

测评系统

测评等级

1

HIS系统等级保护

三级

2

Pacs系统等级保护

三级

通过开展等级保护测评工作,查找信息系统各安全层面与相应安全保护等级标准的差距,明确存在的安全问题,提出信息安全建设整改建议、编制提交《信息系统安全等级测评报告》,并以此报告指导后续的安全整改。

具体工作内容如下:

1、信息收集:对项目涉及的所有信息系统开展调研工作,明确所有系统的物理环境及机房基础设施情况,网络架构,网络设备、安全设备部署情况,服务器分布及操作系统、数据库系统使用情况,应用系统业务流程、数据流向、用户群体情况,数据传输及存储备份情况,系统的高可用性需求情况,安全管理制度建设及执行情况。

2、方案编制:根据收集的基础信息,识别各信息系统网络结构及其网络覆盖范围、系统构成,明确测评目的及流程、明确测评对象及指标、明确测评方法及工具扫描接入点、明确测评实施步骤及配合需求、明确测评实施计划。并据此编制《测评方案》、开发《测评指导书》。

3、现场实施:依据《测评方案》、参照《测评指导书》,通过访谈、检查、测试、实地查看等方法开展现场测评活动,详细记录每个测评对象的安全现状,形成《现场测评记录表》。

4、汇总分析:根据现场测评记录,按照物理安全、网络安全、主机安全、应用安全、数据安全、安全管理几个安全层面,汇总各安全层面测评对象的安全现状,形成《安全问题汇总表》。

5、问题交流:通过交流会的形式,对《安全问题汇总表》中的内容进行沟通交流,明确安全问题是否真实存在,如有遗漏或不确定项需进行补充测评并详细记录结果。

6、报告编制:对现场测评结果进行汇总分析、整体测评、风险评价,提出建设整改建议,给出等级测评结论,编制、评审、提交《信息系统安全等级保护测评报告》。

五、项目要求

1、项目实施过程中,投标人如需采购人配合,投标人需要详细描述需要配合的内容。

2、投标人应配置有经验的测评工程师进行本项目的服务工作,在确定项目组人员组成后未经采购人确认不允许随意更换。

3、本项目中可能需要的软硬件平台(如笔记本电脑、测试软件等)均由成交供应商提供,采购人可按照相关要求对设备进行必要的处理。投标人在服务期间未经采购人许可不得使用任何未经确认的存储设备对测评数据进行复制。投标人必须保证所使用的所有工具和软件不具有所有权和知识产权纠纷,并保证工具和软件的可用性和可靠性。由此产生的一切责任由投标人负完全责任。

4、投标人需要给出在进行调研时所需要提供的信息列表。采购人有权利拒绝提供任何信息列表以外的采购人资产信息。

5、成交供应商应向各方提供详细的测评材料、各种表单及结果报告。

6、测评工作的范围、内容、形式、标准等,应符合国家及行业的有关标准及规范要求。

7、测评期限要求:项目启动后30工作日内完成等级保护测评并出具测评报告。

六、评分标准

评分因素和分值

评分因素细则

价格部分

(30分)

采用低价优先法计算,即满足采购文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×30

技术部分

(40分)

测评内容

(10分)

投标人所提供的测评实施方案内容应包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理共10个方向,每少1个扣1分。

实施方案

(10分)

实施方案须包括:人员组织架构、时间计划安排、项目质量管理、保密控制管理、风险分析与控制措施。实施方案完整得10分,每少一个扣2分。

人员配备

(20分)

投标人需建立服务项目组,组内实施人员均为网络安全等级保护测评师。

1.项目经理具备等级保护高级测评师资质、信息系统安全专业认证证书(CISSP)、CISP注册信息安全工程师、ITSS服务项目经理、重要信息系统安全保护人员证书(CISAW),具备1个得2分,最多得10分;

2.项目组成员中每具有1名高级及以上测评师的得2分,最高得10分。

以上证书提供复印件证明材料加盖公章,原件备查。

商务部分

(30分)

企业资质

(24分)

1.投标人具有国际标准化组织授权认证机构颁发的质量管理体系认证证书(ISO9001系列)且认证范围包含信息安全测评的得3分;

2.投标人具有国际标准化组织授权认证机构颁发的信息安全管理体系认证证书(ISO *****系列)且认证范围包含信息安全测评的得3分;

3.投标人具有中国合格评定国家认可委员会颁发的《中国合格评定国家认可委员会检验机构认可证书》(CNAS)且认证范围包含信息安全等级保护测评的得3分;

4.投标人具有中国合格评定国家认可委员会颁发的《中国合格评定国家认可委员会实验室认可证书》的3分;

5.投标人具有中国信息安全测评中心颁发的国家信息安全测评信息安全服务资质证书(风险评估)得3分;

6.投标人具有有效的中国信息安全测评信息安全服务资质证书(安全工程类)的得3分;

7.投标人具有中国信息安全测评中心颁发的国家信息安全漏洞库(CNNVD)技术支撑单位等级证书的得3分;

8.投标人具有中国网络安全审查技术与认证中心颁发的信息安全服务资质认证证书(CCRC)的得3分。

以上证书提供复印件证明材料加盖公章,原件备查。

业绩案例

(6)

投标人提供2021年以来三级等保测评服务案例,每提供1个得2分,最多6分。(提供合同复印件)


联系人:郝工
电话:010-68960698
邮箱:1049263697@qq.com

标签: 等保测评

0人觉得有用

招标
业主

-

关注我们可获得更多采购需求

关注
相关推荐
 
查看详情 免费咨询

最近搜索

热门搜索