我院將對(duì)信息安全測(cè)評(píng)項(xiàng)目進(jìn)行招標(biāo)采購(gòu),相關(guān)要求如下。請(qǐng)符合報(bào)名資格的供應(yīng)商向采購(gòu)中心報(bào)名(報(bào)名材料可郵寄)。
一、項(xiàng)目基本情況:
1、項(xiàng)目名稱:信息安全測(cè)評(píng)項(xiàng)目
2、預(yù)算金額:人民幣拾萬(wàn)元整(¥100000.00)
3、采購(gòu)方式:詢價(jià)
4、服務(wù)期:合同簽訂后2個(gè)月內(nèi)完成全部系統(tǒng)測(cè)評(píng)工作。合作期內(nèi)如遇政策性原因,導(dǎo)致合同無(wú)法履行,則合同自行終止。
二、采購(gòu)內(nèi)容及技術(shù)要求:
依據(jù)《中華人民共和國(guó)計(jì)算機(jī)信息系統(tǒng)安全保護(hù)條例》(國(guó)務(wù)院147號(hào)令)、《國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見》(中辦發(fā)〔2003〕27號(hào))、《關(guān)于信息安全等級(jí)保護(hù)工作的實(shí)施意見》(公通字〔2004〕66號(hào))和《信息安全等級(jí)保護(hù)管理辦法》(公通字〔2007〕43號(hào))等相關(guān)文件及標(biāo)準(zhǔn)要求,對(duì)系統(tǒng)進(jìn)行測(cè)評(píng),出具安全測(cè)評(píng)報(bào)告,提出整改措施及方案。
其中包含以下信息系統(tǒng):
系統(tǒng)名稱 | 等級(jí) | 備注 |
基礎(chǔ)支撐系統(tǒng)(含醫(yī)院信息平臺(tái)) | 3 | |
面向病人的綜合業(yè)務(wù)系統(tǒng)(含醫(yī)院信息平臺(tái)) | 3 |
三、服務(wù)要求
1、依據(jù)標(biāo)準(zhǔn)
投標(biāo)人應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)開展工作,依據(jù)標(biāo)準(zhǔn)(包括但不限于)如下國(guó)家標(biāo)準(zhǔn):
GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求;
GB/T 25070-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)安全設(shè)計(jì)技術(shù)要求;
GB/T 28448-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)要求;
GB/T 22240-2020 信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)指南。
本項(xiàng)目服務(wù)要求協(xié)助采購(gòu)方處理重大突發(fā)信息安全事件。項(xiàng)目實(shí)施過(guò)程中使用的工具軟件必須為正版產(chǎn)品,并進(jìn)行詳細(xì)說(shuō)明。
2、測(cè)評(píng)內(nèi)容
根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),投標(biāo)人對(duì)信息系統(tǒng)完成測(cè)評(píng)。信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容(包括但不限于)以下內(nèi)容:
根據(jù)用戶單位信息系統(tǒng)的保護(hù)等級(jí),并依據(jù)GB/T 22239-2019 信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的條款要求,全面分析應(yīng)用系統(tǒng)的安全保護(hù)措施與等級(jí)保護(hù)相應(yīng)級(jí)別之間的差距,進(jìn)行合規(guī)性分析,為系統(tǒng)等級(jí)保護(hù)加固整改提供客觀依據(jù),配合委托方督促集成商根據(jù)安全改進(jìn)建議進(jìn)行適度加固整改,測(cè)評(píng)的內(nèi)容包括但不限于以下內(nèi)容:
安全通用要求(安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理)及擴(kuò)展項(xiàng)要求。
3、技術(shù)服務(wù)
(1)測(cè)評(píng)應(yīng)滿足的原則
本次安全保護(hù)等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案設(shè)計(jì)與具體實(shí)施應(yīng)滿足以下原則:
a、保密原則:對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人,不得利用此數(shù)據(jù)進(jìn)行任何侵害采購(gòu)人的行為,否則采購(gòu)人有權(quán)追究投標(biāo)人的責(zé)任。
b、標(biāo)準(zhǔn)性原則:測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。
c、規(guī)范性原則:投標(biāo)人的工作中的過(guò)程和文檔,具有很好的規(guī)范性,可以便于項(xiàng)目的跟蹤和控制。
d、可控性原則:測(cè)評(píng)服務(wù)的進(jìn)度要跟上進(jìn)度表的安排,保證采購(gòu)人對(duì)于測(cè)評(píng)工作的可控性。
e、整體性原則:測(cè)評(píng)的范圍和內(nèi)容應(yīng)當(dāng)整體全面,包括國(guó)家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。
f、最小影響原則:測(cè)評(píng)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò),并在可控范圍內(nèi);測(cè)評(píng)工作不能對(duì)現(xiàn)有信息系統(tǒng)的正常運(yùn)行、業(yè)務(wù)的正常開展產(chǎn)生任何影響。
(2)安全測(cè)評(píng)報(bào)告
a、投標(biāo)人應(yīng)對(duì)采購(gòu)人的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng),形成相應(yīng)的報(bào)告。
b、投標(biāo)人在測(cè)評(píng)后出具符合公安局要求的系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告;
c、對(duì)上述系統(tǒng)不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,投標(biāo)人出具可行整改方案并協(xié)助采購(gòu)人整改服務(wù)。
d、投標(biāo)人協(xié)助采購(gòu)人辦理信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)備案手續(xù)。
(3)本次等級(jí)保護(hù)測(cè)評(píng)的整體要求
a、投標(biāo)人應(yīng)詳細(xì)描述本次等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案,包括項(xiàng)目概述、等保測(cè)評(píng)方案、項(xiàng)目實(shí)施方案、測(cè)試過(guò)程中需使用測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。
b、投標(biāo)人應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)人應(yīng)配置有經(jīng)驗(yàn)的測(cè)評(píng)人員進(jìn)行本次等級(jí)保護(hù)測(cè)評(píng)工作。
c、本次等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中應(yīng)使用公安部授權(quán)正版測(cè)評(píng)工具箱。使用前應(yīng)充分考慮對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等。工具箱至少應(yīng)包括:安全評(píng)估系統(tǒng)(即安全脆弱性掃描)工具、主機(jī)安全配置檢查工具、主機(jī)病毒檢查工具、主機(jī)木馬檢查工具、網(wǎng)站惡意代碼檢查工具、網(wǎng)絡(luò)及安全設(shè)備配置檢查工具、弱口令檢查工具、數(shù)據(jù)庫(kù)安全檢查工具、網(wǎng)站安全檢查工具、系統(tǒng)漏洞檢查工具等對(duì)重要服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶端進(jìn)行漏洞掃描等。
d、安全測(cè)評(píng)工具軟件運(yùn)行可能需要的硬件平臺(tái)(如筆記本電腦、PC、工作站等)和操作系統(tǒng)軟件等由投標(biāo)人推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)人提供并在測(cè)評(píng)中使用。
e、安全測(cè)評(píng)需要的運(yùn)行環(huán)境(如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等)由采購(gòu)人提供,投標(biāo)人應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求。
f、本次測(cè)評(píng)實(shí)施骨干人員至少包含1名高級(jí)測(cè)評(píng)師。本項(xiàng)目負(fù)責(zé)人必須具有5年以上的測(cè)評(píng)工作經(jīng)驗(yàn);承擔(dān)本次項(xiàng)目的負(fù)責(zé)人或項(xiàng)目組成員具有網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)師證書或國(guó)家網(wǎng)絡(luò)安全應(yīng)用檢測(cè)專業(yè)測(cè)評(píng)人員(NSATP-A)證書。上述人員須提供相關(guān)資質(zhì)證書復(fù)印件并加蓋公章及近3個(gè)月社保證明。
4、項(xiàng)目驗(yàn)收
(1)本項(xiàng)目的目標(biāo)是輸出等級(jí)保護(hù)測(cè)評(píng)報(bào)告,并配合辦理信息系統(tǒng)安全保護(hù)測(cè)評(píng)評(píng)備案手續(xù),該項(xiàng)目將產(chǎn)生一定數(shù)量的文檔。
(2)投標(biāo)人應(yīng)對(duì)所有正式交付件的綜合質(zhì)量審查負(fù)責(zé),指定各交付件的相關(guān)責(zé)任人,明確相關(guān)職責(zé)。
(3)投標(biāo)人應(yīng)提交驗(yàn)收方案,供采購(gòu)人參考。
(4)采購(gòu)人將依據(jù)本項(xiàng)目的要求,對(duì)投標(biāo)人提交的項(xiàng)目成果進(jìn)行驗(yàn)收。
5、項(xiàng)目承諾
(1)投標(biāo)人應(yīng)滿足采購(gòu)人提出的標(biāo)準(zhǔn)性、規(guī)范性、可控性、整體性、最小影響性及保密性原則,做到守時(shí)、保質(zhì)。
(2)保密性要求:投標(biāo)人必須和采購(gòu)人簽訂保密協(xié)議和非侵害性協(xié)議,投標(biāo)人必須要與參加此次測(cè)評(píng)項(xiàng)目的所有項(xiàng)目組成員簽訂保密協(xié)議和非侵害性協(xié)議,在合同簽定時(shí)一并提供給采購(gòu)人。
(3)投標(biāo)人具體測(cè)評(píng)工作和等級(jí)保護(hù)測(cè)評(píng)報(bào)告的編寫,必須在采購(gòu)人的指定地點(diǎn)進(jìn)行。對(duì)于測(cè)評(píng)中的重要資料和結(jié)果,在測(cè)評(píng)期間和測(cè)評(píng)結(jié)束后,投標(biāo)人不得帶離該地點(diǎn)。
(4)投標(biāo)人對(duì)本規(guī)范書中的內(nèi)容及在應(yīng)標(biāo)過(guò)程中接觸的設(shè)備信息、數(shù)據(jù)資料等負(fù)有保密責(zé)任,不得泄露給任何第三方。無(wú)論投標(biāo)人中標(biāo)與否,其對(duì)上述內(nèi)容的保密責(zé)任將長(zhǎng)期存在。
(5)等級(jí)保護(hù)測(cè)評(píng)的品質(zhì)保證:投標(biāo)人應(yīng)承諾指派工作經(jīng)驗(yàn)豐富、技術(shù)實(shí)力雄厚的安全顧問(wèn),結(jié)合技術(shù)領(lǐng)先、結(jié)論可靠的測(cè)評(píng)工具為客戶作全面等級(jí)保護(hù)測(cè)評(píng)。承諾測(cè)評(píng)過(guò)程按照國(guó)家標(biāo)準(zhǔn)進(jìn)行,并保證對(duì)客戶的資料嚴(yán)格保密。
(6)投標(biāo)人須承諾在中標(biāo)后,初次測(cè)評(píng)后發(fā)現(xiàn)無(wú)法達(dá)到等級(jí)保護(hù)要求的情況下,投標(biāo)人需提供復(fù)測(cè)服務(wù),確保系統(tǒng)通過(guò)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)。復(fù)測(cè)產(chǎn)生的相關(guān)費(fèi)用包含在本次報(bào)價(jià)中。
6、其它要求
(1)投標(biāo)人需按照網(wǎng)絡(luò)安全等級(jí)保護(hù)2.0制度要求來(lái)進(jìn)行檢測(cè)。
(2)投標(biāo)人在測(cè)評(píng)方案書中,對(duì)能提供的信息系統(tǒng)安全等級(jí)保護(hù)測(cè)評(píng)進(jìn)行詳細(xì)說(shuō)明,可根據(jù)具體情況在項(xiàng)目方案中提出建議,并附詳細(xì)資料和說(shuō)明。
(3)投標(biāo)人應(yīng)對(duì)提供測(cè)評(píng)服務(wù)時(shí)所使用的設(shè)備及軟件保證擁有設(shè)備軟硬件的知識(shí)產(chǎn)權(quán)和所有權(quán),并對(duì)所涉及的專利、知識(shí)產(chǎn)權(quán)等法律條款承擔(dān)義務(wù),采購(gòu)人以上問(wèn)題不承擔(dān)任何法律責(zé)任。
(4)若投標(biāo)人的設(shè)備和系統(tǒng)包含自己的專用標(biāo)準(zhǔn),應(yīng)在建議書中具體說(shuō)明,并附上相應(yīng)的詳細(xì)技術(shù)資料。
7、項(xiàng)目成果
提交包括且不限于以下成果:
《信息系統(tǒng)等級(jí)保護(hù)備案表》
《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告》(每個(gè)系統(tǒng)一份)
《信息系統(tǒng)等級(jí)保護(hù)整改建議》
8、付款方式:
合同簽訂后2個(gè)月內(nèi)完成全部系統(tǒng)測(cè)評(píng)工作,并提交完整服務(wù)成果資料,通過(guò)官方認(rèn)證的等保測(cè)評(píng)后,一次性支付全部合同金額。
1、符合《中華人民共和國(guó)政府采購(gòu)法》第二十二條對(duì)投標(biāo)主體規(guī)定的、處在良性循環(huán)的、有供貨能力的供應(yīng)商,經(jīng)營(yíng)范圍需涵蓋我院采購(gòu)的物品,出具營(yíng)業(yè)執(zhí)照;
2、具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;
3、具有依法繳納稅收和社會(huì)保障資金的良好記錄;
4、參加本次采購(gòu)活動(dòng)前三年內(nèi),未被責(zé)令停產(chǎn)停業(yè)、暫扣或者吊銷許可證、暫扣或者吊銷執(zhí)照,在經(jīng)營(yíng)活動(dòng)中沒有重大違法記錄;
5、具有履行合同所必需的場(chǎng)地、設(shè)備和專業(yè)技術(shù)能力;
6、具有公安部頒發(fā)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書;
7、提供近三年在衛(wèi)生醫(yī)療領(lǐng)域(2021年1月1日-至今,以合同簽訂時(shí)間為準(zhǔn))簽署的同類項(xiàng)目(信息安全等級(jí)保護(hù)測(cè)評(píng)相關(guān))合同至少三個(gè),須附合同復(fù)印件(內(nèi)容至少包括合同首頁(yè)、檢測(cè)內(nèi)容頁(yè)、簽字蓋章頁(yè))并加蓋公章;
8、本次測(cè)評(píng)實(shí)施骨干人員至少包含1名高級(jí)測(cè)評(píng)師。本項(xiàng)目負(fù)責(zé)人必須具有5年以上的測(cè)評(píng)工作經(jīng)驗(yàn);承擔(dān)本次項(xiàng)目的負(fù)責(zé)人或項(xiàng)目組成員具有網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)師證書或國(guó)家網(wǎng)絡(luò)安全應(yīng)用檢測(cè)專業(yè)測(cè)評(píng)人員(NSATP-A)證書。
9、本項(xiàng)目不接受聯(lián)合體投標(biāo)。
五、報(bào)名材料:
1、營(yíng)業(yè)執(zhí)照復(fù)印件;
2、法人授權(quán)委托書(需附法人及被委托人身份證復(fù)印件,格式詳見附件);
3、公安部頒發(fā)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書;
4、近三年在衛(wèi)生醫(yī)療領(lǐng)域(2021年1月1日-至今,以合同簽訂時(shí)間為準(zhǔn))簽署的同類項(xiàng)目(信息安全等級(jí)保護(hù)測(cè)評(píng)相關(guān))合同至少三個(gè),須附合同復(fù)印件(內(nèi)容至少包括合同首頁(yè)、檢測(cè)內(nèi)容頁(yè)、簽字蓋章頁(yè))。
5、本次測(cè)評(píng)實(shí)施骨干人員至少包含1名高級(jí)測(cè)評(píng)師。本項(xiàng)目負(fù)責(zé)人必須具有5年以上的測(cè)評(píng)工作經(jīng)驗(yàn);承擔(dān)本次項(xiàng)目的負(fù)責(zé)人或項(xiàng)目組成員具有網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)師證書或國(guó)家網(wǎng)絡(luò)安全應(yīng)用檢測(cè)專業(yè)測(cè)評(píng)人員(NSATP-A)證書。上述人員須提供相關(guān)資質(zhì)證書復(fù)印件并加蓋公章及近3個(gè)月社保證明。
6、“信用中國(guó)”網(wǎng)(www.creditchina.gov.cn)和“中國(guó)政府采購(gòu)網(wǎng)”(www.ccgp.gov.cn)的查詢結(jié)果網(wǎng)頁(yè)截圖,查詢截止時(shí)點(diǎn):投標(biāo)截止時(shí)間前1周內(nèi)。
以上材料復(fù)印件均需加蓋公章。
六、詢價(jià)方式:
1、投標(biāo)人所報(bào)總價(jià)不得超過(guò)預(yù)算金額,否則當(dāng)無(wú)效標(biāo)處理。
2、各項(xiàng)技術(shù)功能參數(shù)需滿足醫(yī)院要求,所報(bào)價(jià)格應(yīng)應(yīng)含一切人員的符合國(guó)家規(guī)定的工資、各項(xiàng)管理服務(wù)、勞務(wù)、運(yùn)輸費(fèi)用、利潤(rùn)、稅金、保險(xiǎn)、檢測(cè)驗(yàn)收、技術(shù)支持與培訓(xùn)、專利、售后服務(wù)與維保、政策性文件規(guī)定及合同包含的所有風(fēng)險(xiǎn)、責(zé)任等各項(xiàng)應(yīng)有費(fèi)用,實(shí)行固定費(fèi)用總包干。
3、投標(biāo)文件一式兩份,開標(biāo)當(dāng)天密封上交。
七、定標(biāo)辦法
1、評(píng)標(biāo)委員會(huì)依據(jù)投標(biāo)單位的最終投標(biāo)報(bào)價(jià),根據(jù)所報(bào)投標(biāo)報(bào)價(jià)的從小到大順序確定為該項(xiàng)目的第一和第二中標(biāo)候選人。
2、中標(biāo)候選人并列的,采取隨機(jī)抽取的方式確定。
3、如中標(biāo)人放棄中標(biāo);或未能在規(guī)定時(shí)間內(nèi)與采購(gòu)單位簽訂合同的;或者經(jīng)質(zhì)疑,采購(gòu)人審查后,確因排名第一的候選人在本次采購(gòu)活動(dòng)中存在違法違規(guī)行為或其他原因使質(zhì)疑成立的,采購(gòu)人可以視情況直接確定排名第二的候選人為中標(biāo)人。
八、投標(biāo)文件的組成:
1、報(bào)價(jià)單(格式詳見附件);
2、法定代表人授權(quán)書(格式詳見附件);
3、企業(yè)法人有效營(yíng)業(yè)執(zhí)照復(fù)印件;
4、公安部頒發(fā)的網(wǎng)絡(luò)安全等級(jí)測(cè)評(píng)與檢測(cè)評(píng)估機(jī)構(gòu)服務(wù)認(rèn)證證書;
5、承諾函(格式詳見附件);
6、業(yè)績(jī)證明復(fù)印件;
7、投標(biāo)人認(rèn)為需要提供的其他技術(shù)資料。
以上復(fù)印件均需加蓋公章。
九、開標(biāo)時(shí)間:2024年7月19日上午9點(diǎn)整
十、開標(biāo)地點(diǎn):溫州市中西醫(yī)結(jié)合醫(yī)院5號(hào)樓(急診綜合樓)9樓會(huì)議室
十一、其他:
報(bào)名時(shí)間:2024年7月16日至2024年7月18日(作息時(shí)間:周一至周五,上午8:00-11:30,下午1:30-5:00)。
地點(diǎn):溫州市鹿城區(qū)錦繡路75號(hào)溫州市中西醫(yī)結(jié)合醫(yī)院急診綜合樓617室。
聯(lián)系人:鄭老師 0577-88911085 郵箱:394808588@qq.com
采購(gòu)監(jiān)督:溫州市中西醫(yī)結(jié)合醫(yī)院監(jiān)察室 聯(lián)系方式:0577-88913742