根据医院信息安全建设需求,现对网络安全等级保护测评进行竞争性磋商招标采购,诚邀符合条件的供应商参与投标。
一、对参加议价招标公司的要求:
1、具有独立承担民事责任的能力。(注:①投标供应商若为企业法人:提供“统一社会信用代码营业执照”;②若为事业法人:提供“统一社会信用代码法人登记证书”;③若为其他组织:提供“对应主管部门颁发的准许执业证明文件或营业执照”。以上均提供复印件)
2、投标供应商提供 2020 年度(含)至今(任意一年度) 经审计的财务报告( 包含审计报告和审计报告中所涉及的财务报表和报表附注)。成立不足一年的投标供应商可提供开户银行出具的资信证明原件;也可提供在工商局备案的公司章程或国家市场监督管理局备案的公司章程(复印件)。
3、投标供应商提供2021年以来内任意一个月的纳税、社保缴纳证明材料( 注:证明材料可为银行电子回单或税务部门出具的纳税证明或完税证明或有效票据的复印件,投标供应商营业执照注册时间至投标截止日不足一年的,可提供纳税和社保承诺函);依法免税或不需要缴纳社会保障资金的投标供应商,提供相应证明文件。
4、投标供应商出具参加本次投标前三年内,在经营活动中没有重大违法记录声明函原件;
5、投标供应商提供具有履行合同所必须的设备和专业技术能力的证明材料。(提供承诺函或证明材料)
6、法定代表人身份证明书原件(法定代表人参加投标时提供);
7、法定代表人授权书原件(非法定代表人参加投标时提供);
注:以上证明材料复印件必须加盖投标供应商公章(鲜章),证明材料不齐或未按规定加盖鲜章为无效。
8、针对本项目的特殊性,投标人的资质应具备:具有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书。
9、本项目采购内容不接受联合体投标。
10、其他未尽事宜以现场要求为准。
二、公示时间及流程
1.报名时间:2022年9月7 日至2022年9月9日(报名:上午9:00至12:00;下午15:00至18:00。周六、周日除外)
2.1 供应商报名应提供资料如下:供应商为法人或者其他组织的,经办人员需提供供应商单位开具法人授权书(需注明项目名称、项目编号、日期或有效期)、经办人员身份证复印件(盖公章);报名截止之后医院将不再接收供应商报名。
2.2报名方式:
2.2.1现场报名:供应商如自愿现场报名,经办人员应当现场提交完整报名资料(现场查验身份证原件)。
注:①供应商报名时须如实填写项目信息及供应商信息,如因供应商提供的信息错误导致对其参加的采购活动有影响,后果由供应商自行承担。
②报名截止时间前没有递交报名资料的供应商均不得参加本次采购活动。供应商提供的资料须真实、完整、有效,未按要求提供资料的医院不予受理,提供资料中出现虚假、错误信息等所带来的后果由供应商自行承担。
报名地点:蓬安县人民医院采购办,联系人:韩老师,电话:13990837526
3. 递交投标文件截止时间/竞磋开标时间:2022年9月 13 日上午10:00,投标人需持身份证(并复印件)和法人委托书在医院门诊五楼议价室参与开标。
三、采购项目
1、蓬安县人民医院网络安全等级保护测评采购项目(控制价:29.6万)
|
序号 |
系统名称 |
系统等级 |
|
1 |
HIS |
三级 |
|
2 |
LIS |
三级 |
|
3 |
PACS |
三级 |
|
4 |
EMR |
三级 |
为满足公安机关的监管要求,拟对重要系统开展等级保护测评工作,测评机构需要提供切实有效的整改方案、并提供整改咨询方案;对整改后的信息系统进行回归测评,并出具正式等级保护测评报告。最终达到国家等级保护相关要求,通过公安机关备案手续。参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019 网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及整改工作。测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目最终通过公安部门及相关部门的等级保护检查要求。
(一)、技术标准和要求
《GB 17859—1999 计算机信息系统 安全等级保护划分准则》
《GBT 20269—2006 信息安全技术 信息系统安全管理要求》
《GBT 20271—2006 信息安全技术 网络系统安全通用技术要求》
《GBT 20272—2006 信息安全技术 操作系统安全技术要求》
《GBT 20273—2006 信息安全技术 数据库管理系统安全技术要求》
《GB/T 22240-2020 信息安全技术 网络安全等级保护定级指南》
《GBT 22239—2019 信息安全技术 网络安全等级保护基本要求》
《GB/T25070—2019 信息安全技术 网络安全等级保护设计技术要求》
《GB/T28448—2019 信息安全技术 网络安全等级保护测评要求》
《信息安全等级保护备案实施细则》(公信安[2007]1360 号)
《GB/T 25058-2019 信息安全技术 网络安全等级保护实施指南》
《GB-T28449-2018 信息安全技术 网络安全等级保护测评过程指南》
《公通字[2007]43号 信息安全等级保护管理办法》
本项目实施方案设计与具体实施必须满足以下原则:
保密原则:
对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标方的行为。
标准性原则:
测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
规范性原则:
投标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
可控性原则:
项目安排工作进度要跟上进度表的安排,保证工作的可控性。
最小影响原则:
测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
整体性原则:
测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
(二)、整体要求
投标人应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
投标人应完成信息系统定级报告及定级材料的准备、整理,完成信息系统去公安机关的备案工作。
投标人应组织不少于4人的具备专业测评资质人员,开展本项目的测评工作。
本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。
信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,投标人应详细描述需要的运行环境的具体要求。
投标人应提供本次信息系统安全等级保护整改的整体实施方案,包括项目时间安排、阶段性文档提交等,并负责实施整改。
(7)专用工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。
(8)安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
A、等级保护测评前
对等级保护测评人员要进行安全保密教育,制定安全保密措施;
签订安全保密协议。
B、等级保护测评中
对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
对测评设备、介质进行严格的保密管理;
工作过程中对人员要实施封闭式集中管理;
对进场人员遵守被测单位的相关管理规定。
C、等级保护测评后
认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
(三) 、商务要求
1、合同签订期:自中标通知书发出之日起7日内。
2、交货时间:成交合同签订后30日内完成测评、培训,达到等级保护测评要求。
3、交货地点:将货物送达到采购人指定地点。
6、付款方式:等保测评完成验收后,取得南充市公安局等保备案证明后,采购人接到成交供应商通知与合格票据凭证资料后支付本项目的合同测评费的90%,余款验收期满一年后无息支付。
(四)评分办法
|
序号 |
评分因素及权重 |
分值 |
评分标准 |
|
1 |
报价20% |
20分 |
满足磋商文件要求且最后响应价格最低的响应报价为基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:报价得分=(基准价/报价)*20*100%(保留两位小数)。 注:本项目专门面向中小企业采购,故报价分不予扣除。 |
|
2 |
认证证书14% |
14分 |
1、供应商具有相关部门颁发的ISO9001质量管理体系认证证书,ISO/IEC27001信息安全管理体系认证证书,每提供一个得1分,全部满足得2分。 2、供应商具有ISO20000信息技术服务管理体系认证证书,ISO14001环境管理体系认证证书ISO45001职业环境健康管理体系认证证书,每提供一个得2分,全部满足得6分。 3、供应商具有ISO27701隐私信息管理体系认证证书的得6分。 注:以上均须提供在有效期内的证书复印件并加盖供应商公章,否则不得分。 |
|
3 |
业绩5% |
5分 |
提供2019年1月以来开展信息安全等级保护测评的相关案例,每提供一个得1分,最高得5分。(需提供合同复印件或中标(成交)通知书复印件,加盖供应商公章) |
|
4 |
项目质量5% |
5分 |
供应商至少与一个国家级或省级网络安全科研平台建立战略合作交流体系,并与其成立了联合研究实验室,可以为项目提供准确、全面的测评技术保障的得5分(提供研究实验室证明文件复印件加盖公章) |
|
4 |
项目人员配置14% |
14分 |
1、项目经理(1名): 具备PMP项目管理师、CISSP、信息系统监理师资质(中级及以上)、信息系统项目管理师资质(中级及以上)的得4分,每有一项不提供扣1分,扣完为止。 2、供应商拟派本项目团队的的项目组技术负责人(1名): CISP-CISO注册信息安全专业人员证书、系统分析师证书的得6分,每有一项不提供扣3分,扣完为止。 3、供应商拟派本项目团队的的项目组成员: 供应商拟派本项目团队的的项目组成员中具有信息系统审计师ISA的,每提供一个得1分,最高得4分,未提供不得分。 注:以上证书需提供有效证明并加盖公章。 |
|
5 |
供应商实力18% |
18分 |
1、供应商具有信息技术服务标准符合性证书ITSS运行维护认证的得4分,否则不得分。 2、供应商拥有中国网络安全审查技术与认证中心(CCRC)出具的信息安全应急处理服务资质,提供三级及以上资质得3分,没有不得分。 3、供应商拥有中国网络安全审查技术与认证中心(CCRC)出具的信息系统安全运维服务资质,提供三级及以上资质得3分,没有不得分。 4、。供应商拥有中国网络安全审查技术与认证中心(CCRC)出具的网络安全审计服务资质,提供三级及以上资质得4分,没有不得分。 5、供应商拥有中国网络安全审查技术与认证中心(CCRC)出具的信息安全风险评估服务资质,提供二级及以上更高级资质得4分,没有不得分。 注:以上证书须提供在有效期内的证书复印件并加盖供应商公章。 |
|
6 |
等保测评方案20% |
20分 |
供应商针对项目提供的等保测评方案中包含:①测评计划;②测评依据;③测评范围;④测评工具;⑤测评工作内容及计划;⑥测评质量控制及保证措施;⑦最小影响控制措施;⑧应急预案;⑨安全培训;⑩保密控制措施。 以上内容符合实际情况、内容完善详细、完全响应采购要求的得20分,每缺漏一项扣2分,所提供的方案中每有一处具有缺陷(缺陷是指:分析内容描述不清晰;阐述存在逻辑错误;涉及内容无重点;语言错误或存在歧义;与本项目实际需求不相符等)的扣1分,扣完为止。 |
|
7 |
服务期保障承诺4% |
4分 |
响应文件中提供: 服务期保障承诺。承诺针对信息系统中的每个测评系统,在该系统通过等保测评验收后一年内,如采购人有需要,供应商还应提供等保测评咨询服务,不另行增加费用。 提供书面承诺并加盖供应商单位公章得4分,否则不得分。 |
