我院將對信息安全測評項目進行招標采購,相關(guān)要求如下��。請符合報名資格的供應(yīng)商向采購中心報名(報名材料可郵寄)。
一�、項目基本情況:
1、項目名稱:信息安全測評項目
2���、預(yù)算金額:人民幣拾萬元整(¥100000.00)
3����、采購方式:詢價
4�����、服務(wù)期:合同簽訂后2個月內(nèi)完成全部系統(tǒng)測評工作。合作期內(nèi)如遇政策性原因���,導致合同無法履行��,則合同自行終止��。
二����、采購內(nèi)容及技術(shù)要求:
依據(jù)《中華人民共和國計算機信息系統(tǒng)安全保護條例》(國務(wù)院147號令)����、《國家信息化領(lǐng)導小組關(guān)于加強信息安全保障工作的意見》(中辦發(fā)〔2003〕27號)、《關(guān)于信息安全等級保護工作的實施意見》(公通字〔2004〕66號)和《信息安全等級保護管理辦法》(公通字〔2007〕43號)等相關(guān)文件及標準要求���,對系統(tǒng)進行測評�����,出具安全測評報告����,提出整改措施及方案�。
其中包含以下信息系統(tǒng):
系統(tǒng)名稱 | 等級 | 備注 |
基礎(chǔ)支撐系統(tǒng)(含醫(yī)院信息平臺) | 3 |
|
面向病人的綜合業(yè)務(wù)系統(tǒng)(含醫(yī)院信息平臺) | 3 |
|
三���、服務(wù)要求
1、依據(jù)標準
投標人應(yīng)依據(jù)國家等級保護相關(guān)標準開展工作�����,依據(jù)標準(包括但不限于)如下國家標準:
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護基本要求�;
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護安全設(shè)計技術(shù)要求;
GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護測評要求�����;
GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護定級指南�。
本項目服務(wù)要求協(xié)助采購方處理重大突發(fā)信息安全事件�。項目實施過程中使用的工具軟件必須為正版產(chǎn)品,并進行詳細說明��。
2����、測評內(nèi)容
根據(jù)國家等級保護相關(guān)標準,投標人對信息系統(tǒng)完成測評�。信息系統(tǒng)安全等級保護測評的內(nèi)容(包括但不限于)以下內(nèi)容:
根據(jù)用戶單位信息系統(tǒng)的保護等級,并依據(jù)GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級保護基本要求的條款要求�����,全面分析應(yīng)用系統(tǒng)的安全保護措施與等級保護相應(yīng)級別之間的差距,進行合規(guī)性分析����,為系統(tǒng)等級保護加固整改提供客觀依據(jù),配合委托方督促集成商根據(jù)安全改進建議進行適度加固整改��,測評的內(nèi)容包括但不限于以下內(nèi)容:
安全通用要求(安全物理環(huán)境��、安全通信網(wǎng)絡(luò)��、安全區(qū)域邊界���、安全計算環(huán)境���、安全管理中心、安全管理制度����、安全管理機構(gòu)、安全管理人員����、安全建設(shè)管理����、安全運維管理)及擴展項要求���。
3�����、技術(shù)服務(wù)
(1)測評應(yīng)滿足的原則
本次安全保護等級保護測評實施方案設(shè)計與具體實施應(yīng)滿足以下原則:
a���、保密原則:對測評的過程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴格保密,未經(jīng)授權(quán)不得泄露給任何單位和個人�����,不得利用此數(shù)據(jù)進行任何侵害采購人的行為����,否則采購人有權(quán)追究投標人的責任�。
b、標準性原則:測評方案的設(shè)計與實施應(yīng)依據(jù)國家等級保護的相關(guān)標準進行�。
c、規(guī)范性原則:投標人的工作中的過程和文檔��,具有很好的規(guī)范性,可以便于項目的跟蹤和控制���。
d����、可控性原則:測評服務(wù)的進度要跟上進度表的安排����,保證采購人對于測評工作的可控性。
e����、整體性原則:測評的范圍和內(nèi)容應(yīng)當整體全面,包括國家等級保護相關(guān)要求涉及的各個層面�。
f、最小影響原則:測評工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò)�,并在可控范圍內(nèi);測評工作不能對現(xiàn)有信息系統(tǒng)的正常運行��、業(yè)務(wù)的正常開展產(chǎn)生任何影響�。
(2)安全測評報告
a、投標人應(yīng)對采購人的信息系統(tǒng)進行等級保護測評����,形成相應(yīng)的報告�����。
b����、投標人在測評后出具符合公安局要求的系統(tǒng)安全保護等級測評報告�����;
c���、對上述系統(tǒng)不符合信息安全等級保護有關(guān)管理規(guī)范和技術(shù)標準的�����,投標人出具可行整改方案并協(xié)助采購人整改服務(wù)����。
d��、投標人協(xié)助采購人辦理信息系統(tǒng)安全保護等級測評備案手續(xù)�����。
(3)本次等級保護測評的整體要求
a�、投標人應(yīng)詳細描述本次等級保護測評的整體實施方案,包括項目概述����、等保測評方案、項目實施方案�、測試過程中需使用測試設(shè)備清單、時間安排����、階段性文檔提交和驗收標準等。
b����、投標人應(yīng)詳細描述測評人員的組成、資質(zhì)及各自職責的劃分��。投標人應(yīng)配置有經(jīng)驗的測評人員進行本次等級保護測評工作����。
c、本次等級保護測評實施過程中應(yīng)使用公安部授權(quán)正版測評工具箱����。使用前應(yīng)充分考慮對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等�。工具箱至少應(yīng)包括:安全評估系統(tǒng)(即安全脆弱性掃描)工具���、主機安全配置檢查工具��、主機病毒檢查工具��、主機木馬檢查工具����、網(wǎng)站惡意代碼檢查工具��、網(wǎng)絡(luò)及安全設(shè)備配置檢查工具��、弱口令檢查工具��、數(shù)據(jù)庫安全檢查工具��、網(wǎng)站安全檢查工具���、系統(tǒng)漏洞檢查工具等對重要服務(wù)器����、網(wǎng)絡(luò)設(shè)備�����、客戶端進行漏洞掃描等�����。
d���、安全測評工具軟件運行可能需要的硬件平臺(如筆記本電腦���、PC、工作站等)和操作系統(tǒng)軟件等由投標人推薦����,經(jīng)采購人確認后由投標人提供并在測評中使用。
e�、安全測評需要的運行環(huán)境(如場地、網(wǎng)絡(luò)環(huán)境等)由采購人提供����,投標人應(yīng)詳細描述需要的運行環(huán)境的具體要求。
f��、本次測評實施骨干人員至少包含1名高級測評師。本項目負責人必須具有5年以上的測評工作經(jīng)驗����;承擔本次項目的負責人或項目組成員具有網(wǎng)絡(luò)安全等級保護測評師證書或國家網(wǎng)絡(luò)安全應(yīng)用檢測專業(yè)測評人員(NSATP-A)證書。上述人員須提供相關(guān)資質(zhì)證書復(fù)印件并加蓋公章及近3個月社保證明�����。
4����、項目驗收
(1)本項目的目標是輸出等級保護測評報告,并配合辦理信息系統(tǒng)安全保護測評評備案手續(xù)�����,該項目將產(chǎn)生一定數(shù)量的文檔�。
(2)投標人應(yīng)對所有正式交付件的綜合質(zhì)量審查負責,指定各交付件的相關(guān)責任人�,明確相關(guān)職責。
(3)投標人應(yīng)提交驗收方案�����,供采購人參考�。
(4)采購人將依據(jù)本項目的要求����,對投標人提交的項目成果進行驗收����。
5�����、項目承諾
(1)投標人應(yīng)滿足采購人提出的標準性���、規(guī)范性��、可控性�����、整體性���、最小影響性及保密性原則,做到守時��、保質(zhì)�。
(2)保密性要求:投標人必須和采購人簽訂保密協(xié)議和非侵害性協(xié)議���,投標人必須要與參加此次測評項目的所有項目組成員簽訂保密協(xié)議和非侵害性協(xié)議,在合同簽定時一并提供給采購人�����。
(3)投標人具體測評工作和等級保護測評報告的編寫�����,必須在采購人的指定地點進行����。對于測評中的重要資料和結(jié)果,在測評期間和測評結(jié)束后��,投標人不得帶離該地點���。
(4)投標人對本規(guī)范書中的內(nèi)容及在應(yīng)標過程中接觸的設(shè)備信息�����、數(shù)據(jù)資料等負有保密責任�����,不得泄露給任何第三方���。無論投標人中標與否��,其對上述內(nèi)容的保密責任將長期存在����。
(5)等級保護測評的品質(zhì)保證:投標人應(yīng)承諾指派工作經(jīng)驗豐富����、技術(shù)實力雄厚的安全顧問��,結(jié)合技術(shù)領(lǐng)先���、結(jié)論可靠的測評工具為客戶作全面等級保護測評�。承諾測評過程按照國家標準進行�,并保證對客戶的資料嚴格保密。
(6)投標人須承諾在中標后��,初次測評后發(fā)現(xiàn)無法達到等級保護要求的情況下����,投標人需提供復(fù)測服務(wù)����,確保系統(tǒng)通過網(wǎng)絡(luò)安全等級保護測評�����。復(fù)測產(chǎn)生的相關(guān)費用包含在本次報價中�����。
6���、其它要求
(1)投標人需按照網(wǎng)絡(luò)安全等級保護2.0制度要求來進行檢測����。
(2)投標人在測評方案書中�,對能提供的信息系統(tǒng)安全等級保護測評進行詳細說明,可根據(jù)具體情況在項目方案中提出建議���,并附詳細資料和說明����。
(3)投標人應(yīng)對提供測評服務(wù)時所使用的設(shè)備及軟件保證擁有設(shè)備軟硬件的知識產(chǎn)權(quán)和所有權(quán)�,并對所涉及的專利��、知識產(chǎn)權(quán)等法律條款承擔義務(wù)��,采購人以上問題不承擔任何法律責任��。
(4)若投標人的設(shè)備和系統(tǒng)包含自己的專用標準���,應(yīng)在建議書中具體說明,并附上相應(yīng)的詳細技術(shù)資料����。
7�、項目成果
提交包括且不限于以下成果:
《信息系統(tǒng)等級保護備案表》
《信息系統(tǒng)等級保護測評報告》(每個系統(tǒng)一份)
《信息系統(tǒng)等級保護整改建議》
8、付款方式:
合同簽訂后2個月內(nèi)完成全部系統(tǒng)測評工作���,并提交完整服務(wù)成果資料���,通過官方認證的等保測評后,一次性支付全部合同金額���。
四�����、報名資質(zhì):
1�����、符合《中華人民共和國政府采購法》第二十二條對投標主體規(guī)定的���、處在良性循環(huán)的�、有供貨能力的供應(yīng)商�,經(jīng)營范圍需涵蓋我院采購的物品,出具營業(yè)執(zhí)照���;
2���、具有良好的商業(yè)信譽和健全的財務(wù)會計制度;
3�����、具有依法繳納稅收和社會保障資金的良好記錄�;
4、參加本次采購活動前三年內(nèi)�,未被責令停產(chǎn)停業(yè)、暫扣或者吊銷許可證、暫扣或者吊銷執(zhí)照�����,在經(jīng)營活動中沒有重大違法記錄�;
5、具有履行合同所必需的場地���、設(shè)備和專業(yè)技術(shù)能力�����;
6�、具有公安部頒發(fā)的網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認證證書�����;
7�、提供近三年在衛(wèi)生醫(yī)療領(lǐng)域(2021年1月1日-至今��,以合同簽訂時間為準)簽署的同類項目(信息安全等級保護測評相關(guān))合同至少三個�,須附合同復(fù)印件(內(nèi)容至少包括合同首頁、檢測內(nèi)容頁��、簽字蓋章頁)并加蓋公章����;
8�、本次測評實施骨干人員至少包含1名高級測評師���。本項目負責人必須具有5年以上的測評工作經(jīng)驗�����;承擔本次項目的負責人或項目組成員具有網(wǎng)絡(luò)安全等級保護測評師證書或國家網(wǎng)絡(luò)安全應(yīng)用檢測專業(yè)測評人員(NSATP-A)證書�。
9�����、本項目不接受聯(lián)合體投標�����。
五���、報名材料:
1��、營業(yè)執(zhí)照復(fù)印件�;
2、法人授權(quán)委托書(需附法人及被委托人身份證復(fù)印件����,格式詳見附件);
3���、公安部頒發(fā)的網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認證證書��;
4�����、近三年在衛(wèi)生醫(yī)療領(lǐng)域(2021年1月1日-至今��,以合同簽訂時間為準)簽署的同類項目(信息安全等級保護測評相關(guān))合同至少三個�,須附合同復(fù)印件(內(nèi)容至少包括合同首頁�、檢測內(nèi)容頁、簽字蓋章頁)���。
5�����、本次測評實施骨干人員至少包含1名高級測評師。本項目負責人必須具有5年以上的測評工作經(jīng)驗;承擔本次項目的負責人或項目組成員具有網(wǎng)絡(luò)安全等級保護測評師證書或國家網(wǎng)絡(luò)安全應(yīng)用檢測專業(yè)測評人員(NSATP-A)證書��。上述人員須提供相關(guān)資質(zhì)證書復(fù)印件并加蓋公章及近3個月社保證明����。
6、“信用中國”網(wǎng)(www.creditchina.gov.cn)和“中國政府采購網(wǎng)”(www.ccgp.gov.cn)的查詢結(jié)果網(wǎng)頁截圖��,查詢截止時點:投標截止時間前1周內(nèi)���。
以上材料復(fù)印件均需加蓋公章���。
六、詢價方式:
1�、投標人所報總價不得超過預(yù)算金額,否則當無效標處理�����。
2�、各項技術(shù)功能參數(shù)需滿足醫(yī)院要求,所報價格應(yīng)應(yīng)含一切人員的符合國家規(guī)定的工資、各項管理服務(wù)�����、勞務(wù)、運輸費用�、利潤、稅金�����、保險����、檢測驗收、技術(shù)支持與培訓����、專利、售后服務(wù)與維保��、政策性文件規(guī)定及合同包含的所有風險��、責任等各項應(yīng)有費用��,實行固定費用總包干�����。
3���、投標文件一式兩份���,開標當天密封上交。
七��、定標辦法
1�、評標委員會依據(jù)投標單位的最終投標報價,根據(jù)所報投標報價的從小到大順序確定為該項目的第一和第二中標候選人�。
2、中標候選人并列的����,采取隨機抽取的方式確定。
3����、如中標人放棄中標;或未能在規(guī)定時間內(nèi)與采購單位簽訂合同的���;或者經(jīng)質(zhì)疑����,采購人審查后�����,確因排名第一的候選人在本次采購活動中存在違法違規(guī)行為或其他原因使質(zhì)疑成立的,采購人可以視情況直接確定排名第二的候選人為中標人����。
八、投標文件的組成:
1�����、報價單(格式詳見附件)�����;
2��、法定代表人授權(quán)書(格式詳見附件)���;
3�、企業(yè)法人有效營業(yè)執(zhí)照復(fù)印件����;
4、公安部頒發(fā)的網(wǎng)絡(luò)安全等級測評與檢測評估機構(gòu)服務(wù)認證證書�;
5���、承諾函(格式詳見附件);
6��、業(yè)績證明復(fù)印件�;
7����、投標人認為需要提供的其他技術(shù)資料。
以上復(fù)印件均需加蓋公章����。
九、開標時間:2024年7月19日上午9點整
十����、開標地點:溫州市中西醫(yī)結(jié)合醫(yī)院5號樓(急診綜合樓)9樓會議室
十一、其他:
報名時間:2024年7月16日至2024年7月18日(作息時間:周一至周五����,上午8:00-11:30,下午1:30-5:00)。
地點:溫州市鹿城區(qū)錦繡路75號溫州市中西醫(yī)結(jié)合醫(yī)院急診綜合樓617室�����。
聯(lián)系人:鄭老師 0577-88911085 郵箱:394808588@qq.com
采購監(jiān)督:溫州市中西醫(yī)結(jié)合醫(yī)院監(jiān)察室 聯(lián)系方式:0577-88913742
附件.docx
