23-04-28 来源/作者:练市人民医院信息科
湖州市南浔区医疗集团练市院区询价公告
南浔区医疗集团练市院区系统网络安全等级保护测评1批进行院内公开询价,欢迎符合条件的供应商前来报名。
一、 询价项目 :医院信息系统网络安全等级保护测评,预算10万元;
二、采购方式:院内招标
三、报名资格条件
(一)在中华人民共和国境内注册,具有独立法人资格、独立承担民事责任和履行合同能力,注册资金在人民币50万元(含50万元)以上;
(二)具生产、经营项目所必须的各类资证:
四、报名
1. 报名时间:2023年 4月29日~2022年 5月4日(8:00~11:30,13:15~16:30,节假日除外);
2. 报名地点:南浔区医疗集团练市院区设备科
3. 联系方式:13868298943 陈科长
4.报名表:(见附表)
5.测评内容及评分标准:(见附件1)
五、询价时间
1. 时间:另行通知
2. 地点:南浔区医疗集团练市院区
湖州市南浔区医疗集团练市院区
2023年 4月29日
根据国家等级保护相关标准,等级保护测评的内容(包括但不限于)以下内容:
| 系统名称 | 等级 | 预算 |
1 | 基础支撑 | 二级 |
|
2 | 面向患者服务 | 二级 |
|
A. 基于《信息安全技术 网络安全等级保护基本要求》(GB/T22239-2019)的对应等级和应用场景(以下选择)的测评服务,并提交反映系统安全现状的系统安全保护等级测评报告。
□安全通用要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理)
□云计算安全扩展要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理、安全运维管理)
□移动互联网安全扩展要求(安全物理环境、安全区域边界、安全计算环境、安全建设管理)
□物联网安全扩展要求(安全物理环境、安全区域边界、安全运维管理)
□工业控制系统扩展要求(安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理)
□大数据可参考安全控制要求(安全物理环境、安全通信网络、安全计算环境、安全建设管理)
B. 网络安全培训2次(管理层面培训、技术层面培训)
C. 漏洞扫描2次
(1)测评应满足的原则
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
a、保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任。
b、标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
c、规范性原则:投标供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
d、可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
e、整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
f、最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
(2)安全测评报告
a、投标供应商应对采购人的信息系统进行等级保护测评、上线测试,形成相应的报告。
b、投标供应商在测评后出具符合公安局要求的系统安全保护等级测评报告;
c、对上述系统不符合信息安全等级保护有关管理规范和技术标准的,投标供应商出具可行整改方案并协助采购人整改服务。
d、投标供应商协助采购人办理信息系统安全保护等级测评备案手续。
(3)本次等级保护测评的整体要求
A、投标供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
B、投标供应商应详细描述测评人员的组成、资质及各自职责的划分。投标供应商应配置有经验的测评人员进行本次等级保护测评工作。
C、本次等级保护测评实施过程中所使用到的各种工具软件由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。在报价文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
D、安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。
E、安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标供应商应详细描述需要的运行环境的具体要求。
提交包括且不仅仅包括以下成果:
《信息系统安全整改规划》
《信息系统等级保护测评报告》
1、评标方法:
本次评标采用综合评分法,投标文件满足招标文件全部实质性要求且按照评审因素的量化指标评审得分由高到低的顺序确定中标候选人。
2.评分标准:
共100分,其中商务技术分80分,报价分20分。评分依下述所列为评标打分依据,分值如下(计算分值时,按其算术平均值保留小数2位)。
2.1商务技术分80分
评分项 | 分值 | 评审要求及打分说明 |
文件响应及技术方案 | 25分 | 1)方案贴近用户需求,方案对用户网络结构、系统组成、业务功能的解读深入性(0-5分) 2)测评、安全评估内容齐全、表述准确、条理清晰,系统整体设计合理性,及对采购人实际使用需求的了解程度(0-5分) 3)方案在确保阶段性任务实现的同时,兼顾总体目标的实现性(0-3分) 4)方案体现测评、评估过程测评方法的多样性、有效性,先进性、合理性(0-5分) 5)投标人对本项目的难点、要点和关键部位阐明情况(0-4分) 6)投标人根据自身经验对本项目的实施提出具有针对性的优化建议,其可行性(0-3分) |
商务资信 | 25分 | 1)具有ISO9001、ISO27001质量体系认证证书(每个得1分,共2分); 2)具有信息安全应急处理服务资质证书、信息安全服务风险评估资证书(每个得1分,共2分); 3)具有CMA认证证书得2分; 4)具有源代码备份漏洞利用工具软件著作权证书、源代码安全审计检测系统软件著作权证书、移动安全检测系统著作权证书、验证码安全加固认证系统著作权证书、网站安全扫描工具软件著作权证书(每个得1分,共5分); 5)参与网络安全等级保护测评高风险判定指引(T/ISEAA001-2020)起草得3分; 6)参与信息安全技术网络安全等级保护大数据基本要求(T/ISEAA002-2021)编制得3分; 7)具有国家信息安全漏洞共享平台漏洞证明证书(每个得1分,共5分); 8)具有高新技术企业证书得3分; |
项目经验 | 5分 | 具有信息系统等级保护测评案例合同,有一份得3分,两份得5分,最高5分。合同复印件盖章为依据。 |
项目人员实力 | 20分 | 1)实施团队具有高级测评师且同时具有公安部科学技术奖证书得3分; 2)实施团队具有高级测评师且同时具有全国信息安全标准化技术委员会颁发的信息安全标准优秀应用案例奖证书得3分; 3) 实施团队具有大数据技术工程师、数据中心运维工程师、国家重要信息系统保护人员培训证书(CIIP-E)(每个得2分,共6分); 4) 实施团队具有Oracle OCP数据库认证专家得3分; 5) 项目经理同时具有:高级测评师证书、国家重要信息系统保护人员培训证书(CIIP-E)、大数据技术工程师、信息安全管理系统审计认证(DNV)、信息安全保障人员认证证书(CISAW)、渗透测试认证证书(NSCP)、国家级优秀科技成果完成者证书、商用密码应用安全性评估人员测评能力证书(部分具备得2分,全部具备得5分)。 |
售后服务和响应能力 | 5分 | 及时响应能力和售后服务内容的可行性(0-5分)酌情给分。 |
2.2报价分20分
按预算10万元计算基础分为12分,每低1000元加0.1分。