黄山市人民医院信息系统安全等级保护测评

招 标 采 购 文 件

第一部分 招标公告

1.1投标人资格要求：

1.1.1投标人须满足《中华人民共和国政府采购法》第二十二条的相关要求,并提供下列材料：

1.1.2.企业法人营业执照

1.1.3.财务状况报告，依法缴纳税收和社会保障资金的相关材料（投标时需提供上一年度或近期的财务报表﹝至少包含资产负债表和损益表﹞、近期纳税相关材料和近期缴纳社保相关材料）；

1.1.4.具备履行合同所必须的设备和专业技术能力的证明材料（如场所照片或技术人员名单）；

1.1.5.参加政府采购活动前3年内在经营活动中没有重大违法记录或因违法经营被禁止在一定期限内参加政府采购活动但期限已届满的书面声明（投标时需自行提供）；

1.1.6.本项目不接受联合体投标；

2.1、采购内容及预算

本次参与信息系统安全等级保护测评的信息系统共有3个，

其中系统安全保护等级为3级的两个；系统安全保护等级为2级的一个。

本项目招标范围包括对上述3个信息系统的等级保护预测评服务、等级保护测评服务、整改建设咨询服务以及配合黄山市公安局监督检查及备案相关工作。

预算价：13万元

3.1付款方式

预测评服务不得收取服务费，院方整改后，通过测评并获得证书，一次性付清测评费用。

4.1投标文件的递交

投标文件递交截止时间和开标时间：2018年4月26日15时00分，地点：黄山市人民医院门诊六楼2号会议室（具体地址详见招标文件）。逾期送达的或者未送达指定地点的投标文件，采购人不予受理。

5.1联系方式

采购人： 黄山市人民医院

采购人地址： 黄山市屯溪区栗园路4号

联系人： 方家树 联系方式： 0559－*******

6.1监督部门

监督部门： 黄山市人民医院纪检办 监督电话： 0559－*******

7.1其他

7.1.1.本项目需同时递交商务技术标、价格标纸质文件正副本各一份，

7.1.2.商务技术标纸质文件（胶装）、价格标纸质文件（胶装）应当分开封装，并在封套的封口处加盖投标人公章及法定代表人签名或盖章（或代理人签名）。

7.1.3.投标文件封套上必须清楚写明项目的名称、商务技术标、价格标、投标人全称及联系电话。

第二部分 技术要求

2.1概述

2.1.1. 本技术条款是招标人对信息系统进行安全等级保护测评的主要技术服务要求，供投标人编写报价文件之用。

2.1.2. 本技术条款所提出的各项要求，是本次信息系统安全等级保护测评依据，投标人应根据本文件中的相关说明和要求，提供测评方案和报价。

2.1.3. 投标人在测评方案书中，对能提供的信息系统安全等级保护测评进行详细说明，可根据具体情况在项目方案中提出建议，并附详细资料和说明。

2.1.4. 投标人应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权，并对所涉及的专利、知识产权等法律条款承担义务，招标人以上问题不承担任何法律责任。

2.1.5. 招标人在任何时候保留对本文件的解释和修改权，招标人有权在签定合同前，根据需要修改和补充本技术条款，修改补充后的最终规范书将作为合同的附件。

2.2项目描述

2.2.1系统描述

本次参于安全等级保护预测评和正式测评的为3个信息系统及如下描述的服务

2.2.2测评内容

根据国家等级保护相关标准，投标人对黄山市人民医院信息系统安全等级保护测评的内容包括但不限于以下内容：

(1) 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；

(2) 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；

（3）方法步骤要求：对黄山市人民医院信息系统等级保护进行预测评，提出整改意见，院方经过整改后，再进行正式测评。不得收取额外费用。

2.3技术服务

2.3.1. 测评应满足的原则

本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：

（1） 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。

（2） 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。

（3） 规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

（4） 可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。

（5） 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。

（6） 最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。

2.3.2. 本次等级保护测评的整体要求

（1） 投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。

（2） 投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。

（3） 本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。

（4） 安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。

（5） 安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。

2.3.3. 安全测评报告

投标人应对招标人的各个信息系统进行等级保护测评，形成相应的报告。

（1） 投标人在对系统预测评后提出整改意见。

（2） 投标人在测评后出具符合黄山市公安局要求的系统安全保护等级测评报告；

（3） 投标人协助招标人办理信息系统安全保护等级备案手续。

2.4对报价文件的要求

投标人承诺在方案中提到的各项服务均含在本次报价范围内。

2.5项目验收

2.5.1. 本项目的目标是输出等级保护测评报告，并配合办理信息系统安全保护等级备案手续，该项目将产生一定数量的文档。

2.5.2. 投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

2.5.3. 投标人应提交验收方案，供招标人参考。

2.5.4. 招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。

2.6项目承诺

2.6.1. 投标人应满足招标人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。

2.6.2. 保密性要求：投标人必须和招标人签订保密协议和非侵害性协议，投标人必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给招标人。

2.6.3. 投标人具体测评工作和等级保护测评报告的编写，必须在招标人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标人不得带离该地点。

2.6.4. 投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。

2.6.5. 等级保护测评的品质保证：投标人应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。

第三部分 评审标准

评审标准分为商务和技术两个部分，商务占30%，技术占70%。具体内容如下：

3.1商务部分 （30分）

满足招标文件要求且投标报价最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价/投标报价）*30

3.2技术部分（70分）

3.3其他

3.3.1投标人投标书中需要对投标人等级保护测评的过往实施情况做相应说明，并附详细资料。

3.3.2投标人应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。

3.3.3投标人应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。

3.3.4投标人应提出需要招标人配合的工作事项。

3.3.5投标人应提供信息安全等级保护相关知识培训服务。

黄山市人民医院

日期:2018年4月18日