******医院网络安全等级保护测评项目竞争性磋商文件
采购文件目录
第一部分、采购邀请函;
第二部分、采购项目要求;
第三部分、评标办法;
第四部分、供应商须知;
第五部分、附件;
第一部分 采购邀请函
******医院根据启东市政府采购管理的有关规定,就网络安全等级保护测评项目进行竞争性磋商,邀请具有法律法规规定应具备条件的供应商前来参与投标(不接受联合体投标)。
一、项目编号:qdryxxk******
******医院网络安全等级保护测评项目。
******医院
联 系 人:宋科长
联系电话:0513-******。
联系地址:江苏省启东市民乐中路568号。
四、采购项目说明及需求:具体内容详见采购文件第二部分。
五、本项目最高限价为人民币15万元整,报价超过限价的为无效报价。
******医院。
七、资格要求:
1.具备《政府采购法》第22条所规定的条件。
2.未被“信用中国”网站(******)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单;
3.参加投标活动前三年内,在经营活动中没有重大违法记录
4.本项目的特定资格要求:必须具有公安部第三研究所认证发放的有效期内的《网络安全等级测评与检测评估机构服务认证证书》。
七:招标文件的发布
******医院官方网站。
八:磋商形式
本项目采用竞争性磋商模式,请响应供应商仔细检查采购文件是否齐全,如有缺漏请立即与采购人联系解决。
第二部分 采购项目需求
******医院网络安全等级保护项目需求:
******医院信息系统进行信息安全等级测评,查找与分析现有系统的安全防护能力与标准之间的差距并出具最终的网络安全等级保护测评报告。并完成原有pacs系统备案的撤销及集成平台的备案工作。
******医院(均为三级)
(二)、标准依据
《中华人民共和国网络安全法》
《gb/t22239-2019信息安全技术 网络安全等级保护基本要求》,
《gb/t28448-2019 信息安全技术 网络安全等级保护测评要求》,
《gb/t 28449-2018 信息安全技术 网络安全等级保护测评过程指南》,
《gb/t 25058-2019 信息安全技术 网络安全等级保护实施指南》。
本次信息系统等级测评服务项目的实施流程、技术方法必须严格按照国家相关标准规范执行。
(三)、信息安全等级保护检测
根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
(1)物理安全
测评内容主要包括:机房位置选择、机房物理访问控制、机房防雷击、机房防火、机房防水和防潮、机房防静电、机房温湿度控制、机房供配电、机房电磁防护、设备安全防护、存储介质安全防护等。
(2)网络安全
测评内容主要包括:网络结构安全、网络访问控制、网络安全审计、边界完整性保护、网络入侵防范、网络恶意代码防范、网络设备登录控制、网络备份与恢复等。
(3)主机安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、入侵防范、恶意代码防范、资源控制、可信路径、可执行程序保护、备份与恢复等。
(4)应用安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、检错和容错、资源控制等。
(5)数据安全与备份恢复
测评内容主要包括:数据完整性保护、数据保密性保护、数据备份与恢复等
(6)安全管理机构
测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。
(7)安全管理制度
测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。
(8)人员安全管理
测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。
(9)系统建设管理
测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。
(10)系统运维管理
测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。
(11)完成信息安全等级保护的最终测评,提交各信息系统的测评报告至公安等保办,完成测评工作。
(三)、实施人员和服务工作要求
(1)客观性和公正性原则:
测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
(2)保密原则:
在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
(3)最小影响原则:
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
(4)规范性原则:
网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
(5)质量保障原则:
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
(6)系统安全原则:
项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
第三部分 评标办法
经磋商确定最终采购需求和提交最后报价的供应商后,由磋商小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。
综合评分法,是指响应文件满足磋商文件全部实质性要求且按评审因素的量化指标评审得分最高的供应商为成交候选供应商的磋商方法。
磋商时,磋商小组各成员应当独立对每个有效响应的文件进行评价、打分,然后汇总每个供应商每项评分因素的得分。
总分值为100分,其中商务技术分80分,价格分20分。
(一)商务技术分:80分
评分项 评分标准 分值 备注
一、报价部分(20分)
服务价格
(20分) 满足招标文件要求且投标报价最低的报价为评审基准价,其价格为满分。其他投标人的价格分统一按照下列公式计算:报价得分=(评审基准价/报价)×20(小数点后保留两位)。 20分 投标人需满足招标文件要求
二、商务部分(44分)
******委员会检验机构认可证书的得2分。 2分 提供证书复印件并加盖投标人公章
具有iso/iec27001信息安全管理体系认证证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有iso9001质量管理体系认证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有iso/iec20000信息技术服务管理体系认证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有aaaaa级企业标准化管理体系认证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有中国网络安全审查技术与认证中心的信息安全风险评估服务资质认证证书的得2分。 2分
具有中国网络安全审查技术与认证中心的信息安全应急处理服务资质认证证书的得2分。 2分
具有中国网络安全审查技术与认证中心的信息系统安全运维服务资质认证得2分。 2分
具有aaa级企业信用等级证书得2分。 2分
具有aaa级企业资信等级证书得2分。 2分
具有省级及以上软件企业证书得2分。 2分
具有省级及以上高新技术企业证书的得2分。 2分
投标人人员配备
(14分) 项目经理资质
(4分) 项目经理具有高级测评师证书、cisp(注册信息安全专业人员)证书、网络与信息安全管理员职业技能等级证书、信息通信网络运行管理员职业技能等级证书,每证书得1分,最高得4分。 4分 提供证书复印件并加盖投标人公章
项目组成员资质(10分) 项目组成员中具有中级测评师证书的,每人得1分,最多得3分。 3分
项目组成员中具有nsatp-a (注册网络安全渗透评估专业人员)证书的,每人得1分,最多得3分。 3分
项目组成员中具有cisp(注册信息安全专业人员)证书的,每人得1分,最多得2分。 2分
项目组成员中具有dsa(数据安全评估师)证书的,每人得1分,最多得2分。 2分
业绩证明(6分) 2021年以来等级保护测评服务项目案例,每个案例得1分,最高得6分。 6分 提供合同复印件
三、技术部分(36分)
测评方案(20分) 测评内容
******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个安全层面的得20分;每少一个安全层面扣2分。 20分
组织方案(16分) 服务组织架构
(4分) 1、组织架构科学合理,具体负责技术、管理、实施等职责分工清晰明确。(4分)
2、组织架构基本合理,具体负责技术、管理、实施等职责分工基本清晰明确。(3分)
3、组织架构不够合理,具体负责技术、管理、实施等职责分工不够清晰明确。(1分) 4分
项目进度安排
(4分) 1、根据工作量、工作强度和本单位实际情况等项目进度安排合理。(4分)
2、根据工作量、工作强度和本单位实际情况等项目进度安排基本合理。(3分)
3、根据工作量、工作强度和本单位实际情况等项目进度安排不够合理。(1分) 4分
风险管控能力
(4分) 1、具有明确的风险管理方法和切实可行的风险规避措施。(4分)
2、具有较为明确的风险管理方法和基本可行的风险规避措施。(3分)
3、风险管理方法和风险规避措施不够明确或可行性不高。(1分) 4分
保密管控能力
(4分) 1、具有明确的保密管理要求和切实可行的保密管理措施。(4分)
2、具有较为明确的保密管理要求和基本可行的保密管理措施。(3分)
3、保密管理要求和保密管理措施不够明确或可行性不高。(1分) 4分
第四部分 供应商须知
一、投标文件须包括下列内容:
1、投标人身份证复印件(加盖供应商公章)。
2、合法有效的营业执照副本复印件(加盖供应商公章)。
3、根据附件提供的报价表格式填写,必须加盖供应商公章。
4、招标公告要求提交的材料
5、供应商认为需要提交的其他材料。
二、投标文件其它要求:
1、响应文件提供2份(正、副本各一份)。
2、投标截止时间:2024年10月16日14:00(北京时间)
开标时间:2024年10月16日14:00(北京时间)
******医院门诊七楼716会议室
3、投标文件密封加盖公章。
三、商务部分要求
1.验收:成交供应商须提供符合采购需求的服务,须在中标后30个工作日内完成测评工作。
2.质量要求:供应商须提供符合采购需求、符合国家相关标准的产品。
3.交货时间和地点:交货时间及地点具体以采购单位通知时间为准。
4. 报价须含货物运输、搬运、税金、检测、质保、售后服务等所有相关费用,请各供应商在报价时充分考虑各种因素。
5.付款方式:测评完成并验收后10个工作日内支付合同总额。
四、合同的签订及注意事项:
1、成交供应商因自身原因不能订立******医院的采购资格。
2、成交供应商因自身原因不能履行******医院的采购资格。
第五部分:附件
附件一:报 价 表
******医院网络安全等保项目报价表
序号 名称 单位 数量 报价(元) 备注
1 网络安全等保测评项目 套 1
供应商盖章: 时间:
法人代表或授权代表(签字或盖章):
附件二:报价承诺书
报 价 承 诺 书
******医院:
******医院网络信息安全等级保护测评项目询价的有关活动,并宣布同意如下:
1.我方愿意按照报价文件的全部要求进行报价(报价内容及价格以报价文件为准)。
2.我方完全理解并同意放弃对询价公告有不明及误解的权利。
3.我方将按询价公告的规定履行合同责任和义务。
4.我方同意提供按照贵方可能要求的与其报价有关的一切数据或资料,理解并同意贵方的评标办法。
5.我方的报价文件自开标后60天内有效。
6.与本报价有关的一切往来通讯请寄:
地址: 邮编:
电话: 传真:
报价单位代表姓名: 职务:
报价单位名称:(加盖单位公章)
年 月 日
【打印此页】【返回】【顶部】
采购文件目录
第一部分、采购邀请函;
第二部分、采购项目要求;
第三部分、评标办法;
第四部分、供应商须知;
第五部分、附件;
第一部分 采购邀请函
******医院根据启东市政府采购管理的有关规定,就网络安全等级保护测评项目进行竞争性磋商,邀请具有法律法规规定应具备条件的供应商前来参与投标(不接受联合体投标)。
一、项目编号:qdryxxk******
******医院网络安全等级保护测评项目。
******医院
联 系 人:宋科长
联系电话:0513-******。
联系地址:江苏省启东市民乐中路568号。
四、采购项目说明及需求:具体内容详见采购文件第二部分。
五、本项目最高限价为人民币15万元整,报价超过限价的为无效报价。
******医院。
七、资格要求:
1.具备《政府采购法》第22条所规定的条件。
2.未被“信用中国”网站(******)列入失信被执行人、重大税收违法案件当事人名单、政府采购严重失信行为记录名单;
3.参加投标活动前三年内,在经营活动中没有重大违法记录
4.本项目的特定资格要求:必须具有公安部第三研究所认证发放的有效期内的《网络安全等级测评与检测评估机构服务认证证书》。
七:招标文件的发布
******医院官方网站。
八:磋商形式
本项目采用竞争性磋商模式,请响应供应商仔细检查采购文件是否齐全,如有缺漏请立即与采购人联系解决。
第二部分 采购项目需求
******医院网络安全等级保护项目需求:
******医院信息系统进行信息安全等级测评,查找与分析现有系统的安全防护能力与标准之间的差距并出具最终的网络安全等级保护测评报告。并完成原有pacs系统备案的撤销及集成平台的备案工作。
******医院(均为三级)
(二)、标准依据
《中华人民共和国网络安全法》
《gb/t22239-2019信息安全技术 网络安全等级保护基本要求》,
《gb/t28448-2019 信息安全技术 网络安全等级保护测评要求》,
《gb/t 28449-2018 信息安全技术 网络安全等级保护测评过程指南》,
《gb/t 25058-2019 信息安全技术 网络安全等级保护实施指南》。
本次信息系统等级测评服务项目的实施流程、技术方法必须严格按照国家相关标准规范执行。
(三)、信息安全等级保护检测
根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
(1)物理安全
测评内容主要包括:机房位置选择、机房物理访问控制、机房防雷击、机房防火、机房防水和防潮、机房防静电、机房温湿度控制、机房供配电、机房电磁防护、设备安全防护、存储介质安全防护等。
(2)网络安全
测评内容主要包括:网络结构安全、网络访问控制、网络安全审计、边界完整性保护、网络入侵防范、网络恶意代码防范、网络设备登录控制、网络备份与恢复等。
(3)主机安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、入侵防范、恶意代码防范、资源控制、可信路径、可执行程序保护、备份与恢复等。
(4)应用安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、检错和容错、资源控制等。
(5)数据安全与备份恢复
测评内容主要包括:数据完整性保护、数据保密性保护、数据备份与恢复等
(6)安全管理机构
测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。
(7)安全管理制度
测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。
(8)人员安全管理
测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。
(9)系统建设管理
测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。
(10)系统运维管理
测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。
(11)完成信息安全等级保护的最终测评,提交各信息系统的测评报告至公安等保办,完成测评工作。
(三)、实施人员和服务工作要求
(1)客观性和公正性原则:
测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
(2)保密原则:
在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
(3)最小影响原则:
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
(4)规范性原则:
网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
(5)质量保障原则:
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
(6)系统安全原则:
项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
第三部分 评标办法
经磋商确定最终采购需求和提交最后报价的供应商后,由磋商小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。
综合评分法,是指响应文件满足磋商文件全部实质性要求且按评审因素的量化指标评审得分最高的供应商为成交候选供应商的磋商方法。
磋商时,磋商小组各成员应当独立对每个有效响应的文件进行评价、打分,然后汇总每个供应商每项评分因素的得分。
总分值为100分,其中商务技术分80分,价格分20分。
(一)商务技术分:80分
评分项 评分标准 分值 备注
一、报价部分(20分)
服务价格
(20分) 满足招标文件要求且投标报价最低的报价为评审基准价,其价格为满分。其他投标人的价格分统一按照下列公式计算:报价得分=(评审基准价/报价)×20(小数点后保留两位)。 20分 投标人需满足招标文件要求
二、商务部分(44分)
******委员会检验机构认可证书的得2分。 2分 提供证书复印件并加盖投标人公章
具有iso/iec27001信息安全管理体系认证证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有iso9001质量管理体系认证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有iso/iec20000信息技术服务管理体系认证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有aaaaa级企业标准化管理体系认证证书,且认证范围包含网络安全等级保护测评的得2分。 2分
具有中国网络安全审查技术与认证中心的信息安全风险评估服务资质认证证书的得2分。 2分
具有中国网络安全审查技术与认证中心的信息安全应急处理服务资质认证证书的得2分。 2分
具有中国网络安全审查技术与认证中心的信息系统安全运维服务资质认证得2分。 2分
具有aaa级企业信用等级证书得2分。 2分
具有aaa级企业资信等级证书得2分。 2分
具有省级及以上软件企业证书得2分。 2分
具有省级及以上高新技术企业证书的得2分。 2分
投标人人员配备
(14分) 项目经理资质
(4分) 项目经理具有高级测评师证书、cisp(注册信息安全专业人员)证书、网络与信息安全管理员职业技能等级证书、信息通信网络运行管理员职业技能等级证书,每证书得1分,最高得4分。 4分 提供证书复印件并加盖投标人公章
项目组成员资质(10分) 项目组成员中具有中级测评师证书的,每人得1分,最多得3分。 3分
项目组成员中具有nsatp-a (注册网络安全渗透评估专业人员)证书的,每人得1分,最多得3分。 3分
项目组成员中具有cisp(注册信息安全专业人员)证书的,每人得1分,最多得2分。 2分
项目组成员中具有dsa(数据安全评估师)证书的,每人得1分,最多得2分。 2分
业绩证明(6分) 2021年以来等级保护测评服务项目案例,每个案例得1分,最高得6分。 6分 提供合同复印件
三、技术部分(36分)
测评方案(20分) 测评内容
******管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理10个安全层面的得20分;每少一个安全层面扣2分。 20分
组织方案(16分) 服务组织架构
(4分) 1、组织架构科学合理,具体负责技术、管理、实施等职责分工清晰明确。(4分)
2、组织架构基本合理,具体负责技术、管理、实施等职责分工基本清晰明确。(3分)
3、组织架构不够合理,具体负责技术、管理、实施等职责分工不够清晰明确。(1分) 4分
项目进度安排
(4分) 1、根据工作量、工作强度和本单位实际情况等项目进度安排合理。(4分)
2、根据工作量、工作强度和本单位实际情况等项目进度安排基本合理。(3分)
3、根据工作量、工作强度和本单位实际情况等项目进度安排不够合理。(1分) 4分
风险管控能力
(4分) 1、具有明确的风险管理方法和切实可行的风险规避措施。(4分)
2、具有较为明确的风险管理方法和基本可行的风险规避措施。(3分)
3、风险管理方法和风险规避措施不够明确或可行性不高。(1分) 4分
保密管控能力
(4分) 1、具有明确的保密管理要求和切实可行的保密管理措施。(4分)
2、具有较为明确的保密管理要求和基本可行的保密管理措施。(3分)
3、保密管理要求和保密管理措施不够明确或可行性不高。(1分) 4分
第四部分 供应商须知
一、投标文件须包括下列内容:
1、投标人身份证复印件(加盖供应商公章)。
2、合法有效的营业执照副本复印件(加盖供应商公章)。
3、根据附件提供的报价表格式填写,必须加盖供应商公章。
4、招标公告要求提交的材料
5、供应商认为需要提交的其他材料。
二、投标文件其它要求:
1、响应文件提供2份(正、副本各一份)。
2、投标截止时间:2024年10月16日14:00(北京时间)
开标时间:2024年10月16日14:00(北京时间)
******医院门诊七楼716会议室
3、投标文件密封加盖公章。
三、商务部分要求
1.验收:成交供应商须提供符合采购需求的服务,须在中标后30个工作日内完成测评工作。
2.质量要求:供应商须提供符合采购需求、符合国家相关标准的产品。
3.交货时间和地点:交货时间及地点具体以采购单位通知时间为准。
4. 报价须含货物运输、搬运、税金、检测、质保、售后服务等所有相关费用,请各供应商在报价时充分考虑各种因素。
5.付款方式:测评完成并验收后10个工作日内支付合同总额。
四、合同的签订及注意事项:
1、成交供应商因自身原因不能订立******医院的采购资格。
2、成交供应商因自身原因不能履行******医院的采购资格。
第五部分:附件
附件一:报 价 表
******医院网络安全等保项目报价表
序号 名称 单位 数量 报价(元) 备注
1 网络安全等保测评项目 套 1
供应商盖章: 时间:
法人代表或授权代表(签字或盖章):
附件二:报价承诺书
报 价 承 诺 书
******医院:
******医院网络信息安全等级保护测评项目询价的有关活动,并宣布同意如下:
1.我方愿意按照报价文件的全部要求进行报价(报价内容及价格以报价文件为准)。
2.我方完全理解并同意放弃对询价公告有不明及误解的权利。
3.我方将按询价公告的规定履行合同责任和义务。
4.我方同意提供按照贵方可能要求的与其报价有关的一切数据或资料,理解并同意贵方的评标办法。
5.我方的报价文件自开标后60天内有效。
6.与本报价有关的一切往来通讯请寄:
地址: 邮编:
电话: 传真:
报价单位代表姓名: 职务:
报价单位名称:(加盖单位公章)
年 月 日
【打印此页】【返回】【顶部】
