招标
南通市肿瘤医院2020年度等级保护测评项目需求
金额
-
项目地址
江苏省
发布时间
2020/12/02
公告摘要
公告正文
一、项目需求
委托具备资质的第三方信息安全等级测评机构(以下简称“测评机构”)对南通市肿瘤医院信息系统进行信息安全等级差距测评,查找与分析现有系统的安全防护能力与标准之间的差距并出具最终的网络安全等级保护测评报告。
(一)项目内容:HIS、EMR、PACS、门户网站系统测评
(二)信息安全等级保护检测
根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
(1)物理安全
测评内容主要包括:机房位置选择、机房物理访问控制、机房防雷击、机房防火、机房防水和防潮、机房防静电、机房温湿度控制、机房供配电、机房电磁防护、设备安全防护、存储介质安全防护等。
(2)网络安全
测评内容主要包括:网络结构安全、网络访问控制、网络安全审计、边界完整性保护、网络入侵防范、网络恶意代码防范、网络设备登录控制、网络备份与恢复等。
(3)主机安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、入侵防范、恶意代码防范、资源控制、可信路径、可执行程序保护、备份与恢复等。
(4)应用安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、检错和容错、资源控制等。
(5)数据安全与备份恢复
测评内容主要包括:数据完整性保护、数据保密性保护、数据备份与恢复等
(6)安全管理机构
测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。
(7)安全管理制度
测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。
(8)人员安全管理
测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。
(9)系统建设管理
测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。
(10)系统运维管理
测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。
(11)完成信息安全等级保护的最终测评,提交各信息系统的测评报告至公安等保办,完成测评工作。
(三)实施人员和服务工作要求
(1)客观性和公正性原则:
测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
(2)保密原则:
在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
(3)最小影响原则:
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
(4)规范性原则:
网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
(5)质量保障原则:
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
(6)系统安全原则:
项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
(四)测评标准
(1)GB/T 22239-2019:《信息安全技术 网络安全等级保护基本要求》
(2)GB/T 28448-2019:《信息安全技术 网络安全等级保护测评要求》
以下为本次测评的相关参考标准和文档:
(3)GB/T 28449-2018:《信息安全技术 网络安全等级保护测评过程指南》
二、综合评分法
经确定最终采购需求和提交最后报价的供应商后,由评标小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。
综合评分法,是指响应文件满足需求文件全部实质性要求且按评审因素的量化指标评审得分最高的供应商为成交候选供应商的最终方法。
评标时,小组各成员应当独立对每个有效响应的文件进行评价、打分,然后汇总每个供应商每项评分因素的得分。
(一)审查响应文件的有效性、完整性、响应程度
1、供应商资格是否符合;
2、响应文件是否完整;
3、响应文件是否恰当地签署;
4、是否作出实质性响应(是否有实质性响应,只根据响应文件本身,而不寻求外部证据);
5、是否有计算错误。
(二)误差纠正
1、如果单价汇总金额与总价金额有出入,以单价金额计算结果为准;
2、单价金额小数点有明显错位的,应以总价为准;
3、正本与副本有矛盾的,以正本为准;
4、若文件大写表示的数据与数字表示的有差别,以大写表示的数据为准。
(三)出现下列情形之一的,作无效响应处理;
1、未按照需求文件规定要求装订、密封、签署、盖章的;
2、不具备需求文件中规定的资格要求的;
3、响应报价超出预算的;
4、不符合法律、法规和需求文件中规定的其他实质性要求的。
(四)出现下列情形之一的,示为失败;
1、符合条件的供应商或者对需求文件作实质响应的供应商不足3家的;
2、出现影响采购公正的违法违规行为的;
3、供应商的最后报价均超过了采购预算,采购人不能支付的;
4、因重大变故,采购任务取消的。
除资格性检查认定错误、分值汇总计算错误、分项评分超出评分标准范围、客观分评分不一致、经评标小组一致认定评分畸高、畸低的情形外,采购人、采购人不以任何理由组织重新评审。采购人、采购人发现评标小组未按照需求文件规定的标准进行评标的,重新开展采购活动。
三、评标标准
商务技术部分评审结束后,再开启最后报价计算分值。总分值为100分,加分和减分因素除外,其中商务技术分70分,价格分30分。
(一)商务技术分:70分
供应商得分为评标小组成员的算术平均分。
注意:供应商在开标现场递交最后报价,最后报价不得超过响应文件中的报价。
(二)价格分:30分
综合评分法中的价格分统一采用低价优先法计算,即满足需求文件要求且最后报价最低的供应商的价格为评标基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:
评标报价得分=(基准价/最后报价)×价格权值×100
评标小组认为供应商的报价明显高于或低于其他通过符合性审查供应商的报价,有可能影响服务质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;供应商不能证明其报价合理性的,评标委员会应当将其作为无效处理。
四、变更为其他方式采购的情形
提交响应文件截止时间时参加的供应商不足3家的,及过程中出现符合专业条件的供应商或对需求文件作实质响应的供应商不足3家,除采购任务取消外,视情采取其他方式采购。需求文件中对供应商资质、服务等要求,将作为其他方式采购的基本要求和依据。原已经参加评标并符合要求的供应商,根据自愿原则,参加其他方式采购。
五、出现下列情形之一的,采购活动终止,发布项目终止公告并说明原因,重新开展采购活动:
(一)因情况变化,不再符合规定的采购方式适用情形的;
(二)出现影响采购公正的违法、违规行为的;
(三)在采购过程中符合要求的供应商或者报价未超过采购预算的供应商不足3家的。
六、响应文件组成
响应文件由资格审查证明材料、商务技术响应文件、价格响应文件三部分组成。
(一)资格审查证明材料(一正二副,单独密封并牢固装订):
1、关于资格的声明函;
2、投标供应商法定代表人参加投标的,必须提供法定代表人身份证明及法定代表人本人身份证复印件;非法定代表人参加投标的,必须提供法定代表人签名或盖章的授权委托书原件及被授权人身份证复印件;
3、企业营业执照(提供复印件并加盖公章);
4、符合《中华人民共和国政府采购法》第二十二条规定的书面声明;
5、无重大违法记录声明;
6、供应商的《网络安全等级保护测评机构推荐证书》(提供复印件并加盖公章);
7、其它需要提交的资格审查证明材料。
(二)商务技术响应文件(不能出现报价;一正二副,单独密封并牢固装订):
1、供应商资质及实力相关证明材料(提供复印件并加盖公章);
2、人员资质相关证明材料(提供复印件并加盖公章);
3、业绩相关证明材料(提供复印件并加盖公章);
4、方案及服务
5、评审办法中涉及的事项,为方便磋商评审,请供应商按磋商评审办法中所涉及的事项顺序进行编制,可以补充相关材料。
6、评审办法中未涉及的事项,供应商认为需要提交的其他资料。
(三)价格响应文件,一式三份(单独密封并牢固装订),不得出现在商务技术响应文件部分:
1、报价总表;
2、报价明细表。
注:总报价应包括:完成本项目的全部费用(含一切必须的辅助材料费用)及相关服务费等。本项目委托服务任务完成所需的全部服务,即包括响应及完成委托工作所需的一切费用,包含但不限于如人工、税费、保险、技术支持与培训、代理服务费及相关劳务支出等工作所发生的全部费用以及供应商企业利润、税金、代理服务费和政策性文件规定及合同包含的所有风险、责任,即响应本磋商文件规定的各项应有费用。
委托具备资质的第三方信息安全等级测评机构(以下简称“测评机构”)对南通市肿瘤医院信息系统进行信息安全等级差距测评,查找与分析现有系统的安全防护能力与标准之间的差距并出具最终的网络安全等级保护测评报告。
(一)项目内容:HIS、EMR、PACS、门户网站系统测评
(二)信息安全等级保护检测
根据国家对信息安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括:
(1)物理安全
测评内容主要包括:机房位置选择、机房物理访问控制、机房防雷击、机房防火、机房防水和防潮、机房防静电、机房温湿度控制、机房供配电、机房电磁防护、设备安全防护、存储介质安全防护等。
(2)网络安全
测评内容主要包括:网络结构安全、网络访问控制、网络安全审计、边界完整性保护、网络入侵防范、网络恶意代码防范、网络设备登录控制、网络备份与恢复等。
(3)主机安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、入侵防范、恶意代码防范、资源控制、可信路径、可执行程序保护、备份与恢复等。
(4)应用安全
测评内容主要包括:用户身份鉴别、自主访问控制、标记与强制访问控制、安全审计、检错和容错、资源控制等。
(5)数据安全与备份恢复
测评内容主要包括:数据完整性保护、数据保密性保护、数据备份与恢复等
(6)安全管理机构
测评内容主要包括:安全管理机构设置、人员配备及职责、安全授权和审批、安全沟通和合作、安全审核和检查等。
(7)安全管理制度
测评内容主要包括:安全管理制度内容、制度的制定与发布、制度的评审和修订等。
(8)人员安全管理
测评内容主要包括:人员岗位管理、人员培训与考核、人员安全意识教育、外部人员访问管理等。
(9)系统建设管理
测评内容主要包括:安全设计管理、产品采购使用管理、自行软件开发管理、外包软件开发管理、安全工程实施管理、安全测试验收管理、安全系统交付管理、安全服务选择管理等。
(10)系统运维管理
测评内容主要包括:运行环境管理、资产管理、存储介质管理、设备管理、安全审计管理、入侵防范管理、网络安全管理、主机系统安全管理、用户授权管理、备份与恢复管理、恶意代码防范管理、安全事件处置管理、应急响应管理等。
(11)完成信息安全等级保护的最终测评,提交各信息系统的测评报告至公安等保办,完成测评工作。
(三)实施人员和服务工作要求
(1)客观性和公正性原则:
测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
(2)保密原则:
在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
(3)最小影响原则:
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
(4)规范性原则:
网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
(5)质量保障原则:
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
(6)系统安全原则:
项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
(四)测评标准
(1)GB/T 22239-2019:《信息安全技术 网络安全等级保护基本要求》
(2)GB/T 28448-2019:《信息安全技术 网络安全等级保护测评要求》
以下为本次测评的相关参考标准和文档:
(3)GB/T 28449-2018:《信息安全技术 网络安全等级保护测评过程指南》
二、综合评分法
经确定最终采购需求和提交最后报价的供应商后,由评标小组采用综合评分法对提交最后报价的供应商的响应文件和最后报价进行综合评分。
综合评分法,是指响应文件满足需求文件全部实质性要求且按评审因素的量化指标评审得分最高的供应商为成交候选供应商的最终方法。
评标时,小组各成员应当独立对每个有效响应的文件进行评价、打分,然后汇总每个供应商每项评分因素的得分。
(一)审查响应文件的有效性、完整性、响应程度
1、供应商资格是否符合;
2、响应文件是否完整;
3、响应文件是否恰当地签署;
4、是否作出实质性响应(是否有实质性响应,只根据响应文件本身,而不寻求外部证据);
5、是否有计算错误。
(二)误差纠正
1、如果单价汇总金额与总价金额有出入,以单价金额计算结果为准;
2、单价金额小数点有明显错位的,应以总价为准;
3、正本与副本有矛盾的,以正本为准;
4、若文件大写表示的数据与数字表示的有差别,以大写表示的数据为准。
(三)出现下列情形之一的,作无效响应处理;
1、未按照需求文件规定要求装订、密封、签署、盖章的;
2、不具备需求文件中规定的资格要求的;
3、响应报价超出预算的;
4、不符合法律、法规和需求文件中规定的其他实质性要求的。
(四)出现下列情形之一的,示为失败;
1、符合条件的供应商或者对需求文件作实质响应的供应商不足3家的;
2、出现影响采购公正的违法违规行为的;
3、供应商的最后报价均超过了采购预算,采购人不能支付的;
4、因重大变故,采购任务取消的。
除资格性检查认定错误、分值汇总计算错误、分项评分超出评分标准范围、客观分评分不一致、经评标小组一致认定评分畸高、畸低的情形外,采购人、采购人不以任何理由组织重新评审。采购人、采购人发现评标小组未按照需求文件规定的标准进行评标的,重新开展采购活动。
三、评标标准
商务技术部分评审结束后,再开启最后报价计算分值。总分值为100分,加分和减分因素除外,其中商务技术分70分,价格分30分。
(一)商务技术分:70分
供应商得分为评标小组成员的算术平均分。
| 序号 | 评分点名称 | 分值 | 评审标准 |
| 1 | 公司资质 | 8 | 需提供证明材料复印件并加盖供应商公章。 |
| 1.1 | 具有中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质 | 2 | 具备中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质得2分,没有不得分。 |
| 1.2 | 具有中国网络安全审查技术与认证中心(CCRC)颁发的信息系统安全运维服务资质 | 2 | 具备中国网络安全审查技术与认证中心(CCRC)颁发的信息系统安全运维服务资质得2分,没有不得分。 |
| 1.3 | 具有信息安全管理体系认证证书(ISO27001) | 2 | 具备信息安全管理体系认证证书(ISO27001)得2分,没有不得分。 |
| 1.4 | 具有质量管理体系认证证书(ISO9001) | 2 | 具备质量管理体系认证证书(ISO9001)得2分,没有不得分。 |
| 2 | 技术实力(一) | 18 | 需提供证明供应商的技术实力材料并加盖供应商公章 |
| 2.1 | 投标企业连续四年在CNAS能力验证结果 | 4 | 连续四年在CNAS能力验证结果均为“满意”的得4分,其余不得分。证明材料:提供中国合格评定国家认可委员会出具的能力验证计划结果证书复印件并加盖投标企业公章。 |
| 2.2 | 投标企业出具任意一年CNAS能力验证计划结果通知单 | 4 | 总得分最高得4分,总得分第二得2分,总得分第三得1分,其余不得分。证明材料:提供中国合格评定国家认可委员会出具的能力验证计划结果通知单复印件并加盖投标企业公章。 |
| 2.3 | 高级测评师证书 | 2 | 具备高级测评师证书得2分,没有不得分。 |
| 2.4 | 重要信息系统安全等级保护培训证书 | 2 | 具备重要信息系统安全等级保护培训证书(CIIP-T)得2分,没有不得分。 |
| 2.5 | 信息安全保障人员认证证书(CISAW) | 2 | 具备信息安全保障人员认证证书(CISAW)得2分,没有不得分。 |
| 2.6 | 注册信息安全工程师证书(CISP) | 2 | 具备注册信息安全工程师证书(CISP)得2分,没有不得分。 |
| 2.7 | (ISC)²注册信息系统安全专家证书(CISSP) | 2 | 具备(ISC)²注册信息系统安全专家证书(CISSP)得2分,没有不得分。 |
| 3 | 技术实力(二) | 18 | 需提供承担本次项目的项目团队资质证明材料并加盖供应商公章。(技术实力(二)与技术实力(一)提供为同一人不重复得分)。 |
| 3.1 | 高级测评师 | 4 | 每有一人得2分,最高得4分。证明材料:提供项目组成员高级测评师证书复印件加盖公章并提供近三个月社保记录复印件加盖投标企业公章。 |
| 3.2 | 信息安全保障人员 | 6 | 每有一人得2分,最高得6分。证明材料:提供项目组成员信息安全保障人员认证证书(CISAW)复印件加盖公章并提供近三个月社保记录复印件加盖投标企业公章。 |
| 3.3 | 重要信息系统安全等级保护培训人员 | 4 | 每有一人得2分,最高得4分。证明材料:提供项目组成员重要信息系统安全等级保护培训证书(CIIP-T)证书复印件加盖公章并提供近三个月社保记录复印件加盖投标企业公章。 |
| 3.4 | ISG技能鉴定合格 | 2 | 具备得2分,没有不得分。证明材料:提供项目组成员ISG技能鉴定证书(合格)证书复印件加盖公章并提供近三个月社保记录复印件加盖投标企业公章。 |
| 3.5 | 中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的“信息安全工程师” | 2 | 具备得2分,没有不得分。证明材料:提供项目组成员中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的“信息安全工程师”证书复印件加盖公章并提供近三个月社保记录复印件加盖投标企业公章。 |
| 4 | 成功案例 | 4 | 提供等保服务相关案例:近三年起等保测评服务合同,每个合同得1分,最高得4分。证明材料:提供合同复印件并加盖供应商公章。 |
| 5 | 服务能力 | 22 | 需提供供应商的服务能力证明并加盖公章 |
| 5.1 | 要求提供的等保测评方案科学合理,清晰完善 | 16 | 方案优秀的得16-10分,方案良好的得9-5分,方案一般的得4-0分。 |
| 5.2 | 安全事件应急响应服务能力 | 6 | 安全事件应急响应服务时间,0.5小时内响应,1小时到场响应且响应时间最快的得6分,2-4小时到场响应得4分其次得2分。证明材料:安全事件应急响应服务时间以百度地图(map.baidu.com)截图为准。 |
注意:供应商在开标现场递交最后报价,最后报价不得超过响应文件中的报价。
(二)价格分:30分
综合评分法中的价格分统一采用低价优先法计算,即满足需求文件要求且最后报价最低的供应商的价格为评标基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:
评标报价得分=(基准价/最后报价)×价格权值×100
评标小组认为供应商的报价明显高于或低于其他通过符合性审查供应商的报价,有可能影响服务质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;供应商不能证明其报价合理性的,评标委员会应当将其作为无效处理。
四、变更为其他方式采购的情形
提交响应文件截止时间时参加的供应商不足3家的,及过程中出现符合专业条件的供应商或对需求文件作实质响应的供应商不足3家,除采购任务取消外,视情采取其他方式采购。需求文件中对供应商资质、服务等要求,将作为其他方式采购的基本要求和依据。原已经参加评标并符合要求的供应商,根据自愿原则,参加其他方式采购。
五、出现下列情形之一的,采购活动终止,发布项目终止公告并说明原因,重新开展采购活动:
(一)因情况变化,不再符合规定的采购方式适用情形的;
(二)出现影响采购公正的违法、违规行为的;
(三)在采购过程中符合要求的供应商或者报价未超过采购预算的供应商不足3家的。
六、响应文件组成
响应文件由资格审查证明材料、商务技术响应文件、价格响应文件三部分组成。
(一)资格审查证明材料(一正二副,单独密封并牢固装订):
1、关于资格的声明函;
2、投标供应商法定代表人参加投标的,必须提供法定代表人身份证明及法定代表人本人身份证复印件;非法定代表人参加投标的,必须提供法定代表人签名或盖章的授权委托书原件及被授权人身份证复印件;
3、企业营业执照(提供复印件并加盖公章);
4、符合《中华人民共和国政府采购法》第二十二条规定的书面声明;
5、无重大违法记录声明;
6、供应商的《网络安全等级保护测评机构推荐证书》(提供复印件并加盖公章);
7、其它需要提交的资格审查证明材料。
(二)商务技术响应文件(不能出现报价;一正二副,单独密封并牢固装订):
1、供应商资质及实力相关证明材料(提供复印件并加盖公章);
2、人员资质相关证明材料(提供复印件并加盖公章);
3、业绩相关证明材料(提供复印件并加盖公章);
4、方案及服务
5、评审办法中涉及的事项,为方便磋商评审,请供应商按磋商评审办法中所涉及的事项顺序进行编制,可以补充相关材料。
6、评审办法中未涉及的事项,供应商认为需要提交的其他资料。
(三)价格响应文件,一式三份(单独密封并牢固装订),不得出现在商务技术响应文件部分:
1、报价总表;
2、报价明细表。
注:总报价应包括:完成本项目的全部费用(含一切必须的辅助材料费用)及相关服务费等。本项目委托服务任务完成所需的全部服务,即包括响应及完成委托工作所需的一切费用,包含但不限于如人工、税费、保险、技术支持与培训、代理服务费及相关劳务支出等工作所发生的全部费用以及供应商企业利润、税金、代理服务费和政策性文件规定及合同包含的所有风险、责任,即响应本磋商文件规定的各项应有费用。
解决方案
联系我们
返回顶部