淮北市妇幼保健院网络安全等级保护测评服务项目招标文件
淮北市妇幼保健院网络安全等级保护测评服务项目招标文件
1.1投标人资格要求
(1)投标人应符合《中华人民共和国政府采购法》第二十二条规定;
(2)投标人需具备国家网络安全等级保护工作协调小组办公室颁发的网络安全等级保护测评机构推荐证书;
注:提供测评推荐证书扫描件及入围中国网络安全等级保护网(www.djbh.net)全国等级保护测评机构推荐目录截图(截图需完整显示投标人名称),否则不予认定。
(3)本项目不接受联合体投标。
1.2项目实施背景
2003年中共中央办公厅、国务院办公厅转发了《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号)以及 2004 年 9 月四部委局联合签发的《关于信息安全等级保护工作的实施意见》等信息安全等级保护的文件明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南。”
卫生部2011年印发(卫办发[2011]85号)《卫生行业信息安全等级保护工作的指导意见》的通知,明确卫生行业信息系统实行“定级备案、建设与整改、等级测评”工作。
2017年 6 月《中华人民共和国网络安全法》正式实施,《网络安全法》构成我国网络空间安全管理的基本法律,与《国家安全法》、《反恐怖主义法》、《刑法》、《保密法》、《治安管理处罚法》、《关于加强网络信息保护的决定》、《关于维护互联网安全的决定》、《计算机信息系统安全保护条例》、《互联网信息服务管理办法》等现行法律法规共同构成中国关于网络安全管理的法律系统。《中华人民共和国网络安全法》正式实施,标志着网络安全逐渐被提升到国家安全战略的新高度。网络安全法第三章第一节第二十一条明确规定:
国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改:
(一)、制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任;
(二)、采取防范计算机病毒和网络攻击、网络侵入等危害网络安全行为的技术措施;
(三)、采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于六个月;
(四)、采取数据分类、重要数据备份和加密等措施;
(五)、法律、行政法规规定的其他义务。
为提升我单位的网络安全防护水平、履行网络安全法的要求,针对我单位各重要信息系统开展网络安全等级保护测评工作刻不容缓。
1.3项目实施范围
本次参于网络安全等级保护测评的网络/信息系统范围如下表,控制价:6万元。
序号 | 待测网络/信息系统名称 | 安全保护等级 |
1 | 医院信息(HIS)系统 | 三级 |
1.4项目实施内容
1.4.1工作一:定级备案
协助采购方对重要信息系统在网安部门完成定级备案工作,交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证明。
1.4.2工作二:等级保护测评
依据国家等级保护相关标准《GB/T 22239-2008信息系统安全等级保护基本要求》、《GB/T 28448-2008信息系统安全等级保护测评要求》、《GB/T 22239-2019网络安全等级保护基本要求》、《GB/T 28448-2019网络安全等级保护测评要求》,以《GB/T22240 信息系统安全等级保护定级指南》为基础,开展等级保护测评,内容包括:
1)安全技术测评:包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复等五个方面的安全测评;
2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理、系统运维管理等五个方面的安全测评;
3)安全测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作;
4)整改建议:投标人应根据现场测评中发现的问题,分析与等级保护基本要求,按照信息安全等级保护标准要求提出安全整改报告;
5)编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助招标方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平;
6)编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具符合公安机关要求的各信息系统网络安全等级保护测评报告。
1.5技术服务要求
1.5.1项目团队要求
投标人应按照《关于印发<网络安全等级保护测评机构管理办法>的通知公信安[2018]765号》文件以及根据测评业务系统的数量自行评估并配置测评实施团队,测评实施团队在合同约定期内派驻招标人指定地点办公;投标人在中标后需保证在实施阶段主要技术人员必须是全职。
1.5.2交付成果要求
投标人应严格按照项目建设内容要求提供服务,各阶段交付成果包括但不限于以下内容:
项目阶段 | 项目成果 |
项目启动阶段 | 项目实施计划书 测评方案 |
现状调研阶段 | 完成信息系统的《定级报告》、《专家评审意见表》、《信息系统定级备案表》等 |
等级测评实施阶段 | 1、输出信息的《整改加固建议》 2、测评完成后的《等级保护测评报告》 3、配合用户从网安部门获取《备案证明》 |
验收阶段 | 《XXXX网络安全等级保护测评服务验收报告》 |
1.5.3服务响应要求
投标人需要具备及时响应能力,签订后根据招标人安排的日期时间进场测评,出具整改报告协助完成系统建设整改及完成整体项目
1.5.4保密责任要求
投标人必须承诺对从招标活动中获得的招标人相关资料承担保密责任。
1.6※评审标准(综合评标法)
基于本项目在网络安全方面的深层次需求,对本项目定标采取综合评分法(技术80%+商务20%),具体评分要求如下:
评分项目 | 分值 | 要求及说明 | |
价格分(20分) | 20 | 价格分统一采用低价优先法,即满足磋商文件要求且报价最低的报价为评标基准价,其价格分为满分20分。其他投标供应商的价格分统一按照下列公式计算:报价得分=(评标基准价/报价)×20%×100 | |
资信分(50分) | 企业 实力 | 20 | 1、投标单位从事3年及以上等级保护测评工作的得3分,其他得得2分; 2、投标单位具有信息安全风险评估资质,得5分; 3、投标单位具有ISO27001/ISO9001/ISO20000等管理体系资质证书,每提供一个得2分,合计6分; 4、投标单位具有中国合格评定国家认可委员会颁布的(CNAS)颁发的检验机构认可证书,得4分,没有得0分。; 5、投标单位具有检验检测机构资质认定证书(CMA)得2分,没有得0分。 以上证书,提供复印件加盖公章 |
测评团队实力 | 19 | 1、投标单位满足1 名高级测评师,5名中级测评师的得10分,不满足得0分;每增加1名高级测评师得1分,最高得2分;本项合计12分。 2、拟派项目测评团队人员,具有注册信息安全专业人员(CISP)资格证书、信息安全保障人员认证证书(CISAW)的,且同一人员具有以上两种证书的可累计加分,每个证书得1分,最高得7分 以上人员需提供等保测评师证书复印件、人员社保证明(近三个月中任意一个月)复印件、中国网络安全等级保护网人员信息截图,加盖公司公章。 | |
业绩 案例 | 11 | 1、投标单位自2016年以来承担境内重要信息系统三级及以上等保测评案例,每提供1个得3分,最高得9分; 2、除以上业绩外,投标单位具有境内医疗卫生行业业绩,每个得1分,最高得2分; 以上业绩证明,需提供合同复印件加盖公章。 | |
技术分(30分) | 等保测评方案 | 10 | 投标单位应提供等级保护测评方案,方案包含定级、备案、测评过程、实施方法等内容,方案要求描述清晰、科学规范、可行。 测评方案全面合理,完全符合招标文件要求,得8-10分; 测评方案较合理,基本符合招标文件要求,得4-7分; 测评方案基本合理,部分符合招标文件要求,得0-3分; |
检测 工具 | 7 | 1、投标单位应具有满足项目实施要求的测试仪器设备,主要涵盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全和软件产品安全测试等方面工具,每满足一项得1分,最高得5分; 2、具有自主研发的等保测评服务工具得2分;提供软件著作权证书; | |
服务及质量保证 | 8 | 1、投标单位测评经验丰富,企业实力强,能够有效的保障后续服务,且有大型安全保障服务经验,得6-8分 2、投标单位测评经验较丰富,企业实力较强,提供了有效的售后服务承诺,保证项目后续能得到专业的安全技术支持,得3-5分。 3、投标单位测评经验一般,企业实力一般,提供了有效的售后服务承诺,不能保证项目后续能得到专业的安全技术支持的得0-1分。 | |
其他方案 | 5 | 1、投标文件格式和内容严格按照招标文件要求编制;同时文字清晰、内容完整、装订整齐,目录清晰、查找方便;正文有页码、表格等有编号等,满分5分;优得3-5分,一般得0-2分。 | |
2、其他要求:
付款方式:测评进入实施阶段支付项目金额的30%,验收完成并取得网安部门的三级等保测评《备案证明》后支付剩余70%。
投标文件:一正三副。
四、项目工期:2019年11月10日前完成三级等保测评报告。
五、开标时间和地点:
投标截止时间:2019年9月3日上午9点(周二)(逾期将拒收投标文件);
开标时间: 2019年9月3日上午9点 (周二);
开标地点:妇幼保健院保健楼六楼党员会议室(若招标公告内容与招标文件不一致之处,以招标文件为准)
六、其他:
联系人: 李彬 联系电话:138*****235
淮北市妇幼保健院
2019年08月26日
|
招标
|
- 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
