湖州市南潯區(qū)醫(yī)療集團練市院區(qū)詢價公告
南潯區(qū)醫(yī)療集團練市院區(qū)系統(tǒng)網絡安全等級保護測評1批進行院內公開詢價����,歡迎符合條件的供應商前來報名���。
一、 詢價項目 :醫(yī)院信息系統(tǒng)網絡安全等級保護測評�����,預算10萬元���;
二��、采購方式:院內招標
三���、報名資格條件
(一)在中華人民共和國境內注冊,具有獨立法人資格、獨立承擔民事責任和履行合同能力��,注冊資金在人民幣50萬元(含50萬元)以上���;
(二)具生產�����、經營項目所必須的各類資證:
四�����、報名
1. 報名時間:2023年 4月29日~2022年 5月4日(8:00~11:30��,13:15~16:30���,節(jié)假日除外);
2. 報名地點:南潯區(qū)醫(yī)療集團練市院區(qū)設備科
3. 聯系方式:13868298943 陳科長
4.報名表:(見附表)
5.測評內容及評分標準:(見附件1)
五����、詢價時間
1. 時間:另行通知
2. 地點:南潯區(qū)醫(yī)療集團練市院區(qū)
湖州市南潯區(qū)醫(yī)療集團練市院區(qū)
2023年 4月29日
附件1
測評內容
根據國家等級保護相關標準,等級保護測評的內容(包括但不限于)以下內容:
序號
| 系統(tǒng)名稱 | 等級 | 預算 |
1 | 基礎支撐 | 二級 | |
2 | 面向患者服務 | 二級 | |
A. 基于《信息安全技術 網絡安全等級保護基本要求》(GB/T22239-2019)的對應等級和應用場景(以下選擇)的測評服務�,并提交反映系統(tǒng)安全現狀的系統(tǒng)安全保護等級測評報告。
□安全通用要求(安全物理環(huán)境�、安全通信網絡���、安全區(qū)域邊界����、安全計算環(huán)境、安全管理中心����、安全管理制度、安全管理機構���、安全管理人員����、安全建設管理����、安全運維管理)
□云計算安全擴展要求(安全物理環(huán)境、安全通信網絡��、安全區(qū)域邊界�����、安全計算環(huán)境、安全建設管理�、安全運維管理)
□移動互聯網安全擴展要求(安全物理環(huán)境、安全區(qū)域邊界�、安全計算環(huán)境、安全建設管理)
□物聯網安全擴展要求(安全物理環(huán)境����、安全區(qū)域邊界、安全運維管理)
□工業(yè)控制系統(tǒng)擴展要求(安全物理環(huán)境����、安全通信網絡、安全區(qū)域邊界����、安全計算環(huán)境、安全建設管理)
□大數據可參考安全控制要求(安全物理環(huán)境��、安全通信網絡���、安全計算環(huán)境�、安全建設管理)
B. 網絡安全培訓2次(管理層面培訓���、技術層面培訓)
C. 漏洞掃描2次
技術服務
(1)測評應滿足的原則
本次安全保護等級保護測評實施方案設計與具體實施應滿足以下原則:
a�、保密原則:對測評的過程數據和結果數據嚴格保密�,未經授權不得泄露給任何單位和個人,不得利用此數據進行任何侵害采購人的行為�,否則采購人有權追究投標供應商的責任。
b�����、標準性原則:測評方案的設計與實施應依據國家等級保護的相關標準進行��。
c�����、規(guī)范性原則:投標供應商的工作中的過程和文檔�,具有很好的規(guī)范性���,可以便于項目的跟蹤和控制��。
d���、可控性原則:測評服務的進度要跟上進度表的安排,保證采購人對于測評工作的可控性���。
e����、整體性原則:測評的范圍和內容應當整體全面,包括國家等級保護相關要求涉及的各個層面���。
f����、最小影響原則:測評工作應盡可能小的影響系統(tǒng)和網絡�����,并在可控范圍內����;測評工作不能對現有信息系統(tǒng)的正常運行、業(yè)務的正常開展產生任何影響�。
(2)安全測評報告
a、投標供應商應對采購人的信息系統(tǒng)進行等級保護測評���、上線測試��,形成相應的報告���。
b��、投標供應商在測評后出具符合公安局要求的系統(tǒng)安全保護等級測評報告���;
c、對上述系統(tǒng)不符合信息安全等級保護有關管理規(guī)范和技術標準的��,投標供應商出具可行整改方案并協(xié)助采購人整改服務����。
d����、投標供應商協(xié)助采購人辦理信息系統(tǒng)安全保護等級測評備案手續(xù)。
(3)本次等級保護測評的整體要求
A���、投標供應商應詳細描述本次等級保護測評的整體實施方案���,包括項目概述、等保測評方案���、項目實施方案�����、測試過程中需使用測試設備清單�、時間安排、階段性文檔提交和驗收標準等�。
B、投標供應商應詳細描述測評人員的組成���、資質及各自職責的劃分���。投標供應商應配置有經驗的測評人員進行本次等級保護測評工作。
C��、本次等級保護測評實施過程中所使用到的各種工具軟件由投標供應商推薦�,經采購人確認后由投標供應商提供并在測評中使用。在報價文件中應詳細描述所使用的安全測評工具(軟硬件型號��、功能和性能描述)�、使用的方式和時間、對環(huán)境和平臺的要求以及使用可能對系統(tǒng)造成的風險等����。
D、安全測評工具軟件運行可能需要的硬件平臺(如筆記本電腦���、PC����、工作站等)和操作系統(tǒng)軟件等由投標供應商推薦,經采購人確認后由投標供應商提供并在測評中使用�����。
E�、安全測評需要的運行環(huán)境(如場地、網絡環(huán)境等)由采購人提供��,投標供應商應詳細描述需要的運行環(huán)境的具體要求�����。
項目成果
提交包括且不僅僅包括以下成果:
《信息系統(tǒng)安全整改規(guī)劃》
《信息系統(tǒng)等級保護測評報告》
評分標準:
1��、評標方法:
本次評標采用綜合評分法�����,投標文件滿足招標文件全部實質性要求且按照評審因素的量化指標評審得分由高到低的順序確定中標候選人�����。
2.評分標準:
共100分�,其中商務技術分80分,報價分20分�����。評分依下述所列為評標打分依據�����,分值如下(計算分值時���,按其算術平均值保留小數2位)�����。
2.1商務技術分80分
評分項 | 分值 | 評審要求及打分說明 |
文件響應及技術方案 | 25分 | 1)方案貼近用戶需求��,方案對用戶網絡結構�����、系統(tǒng)組成���、業(yè)務功能的解讀深入性(0-5分) 2)測評��、安全評估內容齊全����、表述準確��、條理清晰���,系統(tǒng)整體設計合理性�,及對采購人實際使用需求的了解程度(0-5分) 3)方案在確保階段性任務實現的同時�����,兼顧總體目標的實現性(0-3分) 4)方案體現測評�、評估過程測評方法的多樣性、有效性�����,先進性�����、合理性(0-5分) 5)投標人對本項目的難點��、要點和關鍵部位闡明情況(0-4分) 6)投標人根據自身經驗對本項目的實施提出具有針對性的優(yōu)化建議����,其可行性(0-3分) |
商務資信 | 25分 | 1)具有ISO9001、ISO27001質量體系認證證書(每個得1分����,共2分); 2)具有信息安全應急處理服務資質證書�、信息安全服務風險評估資證書(每個得1分,共2分)�����; 3)具有CMA認證證書得2分�����; 4)具有源代碼備份漏洞利用工具軟件著作權證書��、源代碼安全審計檢測系統(tǒng)軟件著作權證書���、移動安全檢測系統(tǒng)著作權證書���、驗證碼安全加固認證系統(tǒng)著作權證書�、網站安全掃描工具軟件著作權證書(每個得1分�����,共5分)�����; 5)參與網絡安全等級保護測評高風險判定指引(T/ISEAA001-2020)起草得3分����; 6)參與信息安全技術網絡安全等級保護大數據基本要求(T/ISEAA002-2021)編制得3分; 7)具有國家信息安全漏洞共享平臺漏洞證明證書(每個得1分��,共5分)���; 8)具有高新技術企業(yè)證書得3分���; |
項目經驗 | 5分 | 具有信息系統(tǒng)等級保護測評案例合同,有一份得3分��,兩份得5分���,最高5分���。合同復印件蓋章為依據。 |
項目人員實力 | 20分 | 1)實施團隊具有高級測評師且同時具有公安部科學技術獎證書得3分���; 2)實施團隊具有高級測評師且同時具有全國信息安全標準化技術委員會頒發(fā)的信息安全標準優(yōu)秀應用案例獎證書得3分����; 3) 實施團隊具有大數據技術工程師��、數據中心運維工程師�����、國家重要信息系統(tǒng)保護人員培訓證書(CIIP-E)(每個得2分��,共6分)���; 4) 實施團隊具有Oracle OCP數據庫認證專家得3分��; 5) 項目經理同時具有:高級測評師證書���、國家重要信息系統(tǒng)保護人員培訓證書(CIIP-E)��、大數據技術工程師�、信息安全管理系統(tǒng)審計認證(DNV)�����、信息安全保障人員認證證書(CISAW)���、滲透測試認證證書(NSCP)�����、國家級優(yōu)秀科技成果完成者證書���、商用密碼應用安全性評估人員測評能力證書(部分具備得2分,全部具備得5分)����。 |
售后服務和響應能力 | 5分 | 及時響應能力和售后服務內容的可行性(0-5分)酌情給分。 |
2.2報價分20分
按預算10萬元計算基礎分為12分��,每低1000元加0.1分�。
