一、采购标段

采购计划编号：	2023NCZ(GY)002538	项目名称：	固原市人民医院信息系统网络安全等保测评与数据安全性评估、第三方软件测评及监理服务项目
分包名称：	一标段（信息系统网络安全等保测评与数据安全性评估）	分包类型：	服务类
采购方式：	公开招标	预算金额	550000.00
报价方式：	总价采购项目	是否属于技术复杂， 专业性强的采购项目：	否
是否为执行国家统一定价标 和固定价格采购项目：	否

发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的，可以在招标公告发布之前在线发起异议，并填写异议内容及事实依据，该异议仅作为社会主体对采购需求内容的监督，采购人查询异议内容后，可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的，应按照《政府采购质疑和投诉办法》规定执行。

二、供应商资格条件

1.满足《中华人民共和国政府采购法》第二十二条规定，应提供以下材料：

1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 （或事业单位法人证书，或社会团体法人登记证书），如投标供应商为自然人的需提供自然人身份证明；
1.2 法人授权委托书、法人及被授权人身份证复印件（法定代表人直接投标可不提供，但须提供法定代表人身份证复印件）；
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函；
1.4 提供履行合同所必需的设备和专业技术能力的证明材料；
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函；
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明；（提供《资格承诺函》）。

2.供应商在中国政府采购网（www.ccgp.gov.cn）未被列入政府采购严重违法失信行为记录名单，在“信用中国”网站（www.creditchina.gov.cn）未被列入失信被执行人、重大税收违法案件当事人名单。


3.（是/否）专门面向中小微企业：

1是

0否


4.合格投标人的其他资格要求：

序号	合格投标人的其他资格要求
1	投标人须具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》，并在网络安全等级保护网的全国网络安全等级测评与检测评估机构目录中（复印件加盖公章）。

三、商务要求

采购标的交付（实施）的时间（期限）：自项目合同签订之日起，30 个工作日内出具报告、完成 评估及相关工作。


采购标的交付地点（范围）：固原市人民医院


付款条件（进度和方式）：以实际签订服务合同为准

四、技术要求

货物类

服务类

工程类

标的清单(服务类)
序号	标的名称	服务内容	数量	单价	服务标准及详细要求	服务期限	备注
1	测试评估认证服务	信息系统网络安全等保测评与数据安全性评估	1	550000.00	标的1-测试评估认证服务：1.网络安全等保测评 1.1项目目的 通过等级保护测评工作发现信息系统在网络安全方面的不足之处，找出固原市人民医院的信息系统与国家和行业等级保护标准要求之间的差距，可以有效地提高固原市人民医院网络安全建设的整体水平，并且指明方向，有利于在信息化建设过程中同步建设网络安全设施，保障网络安全与信息化建设相协调；有利于加强对涉及国家安全、经济秩序、社会稳定和公共利益的信息系统的安全保护和管理监督；有利于明确国家、法人和其他组织、公民的安全责任，强化政府监管职能，共同落实各项安全建设和安全管理措施。为信息系统的安全提供合理化建议，并协助固原市人民医院设计详细和合理的等级保护整改方案，通过安全建设整改工作能够使各信息系统达到相应安全保护等级的能力要求。具体如下： ①通过等级保护预测评，对固原市人民医院信息系统安全防护体系能力的分析与确认，发现存在的安全隐患，协助进行整改，全面达到国家网络安全等级保护相关要求； ②对固原市人民医院信息系统的安全状态做出判断，验证其是否符合等级保护要求，提出安全防护相关合理化建议，提升安全运维水平。同时，将测评结论作为进一步完善系统安全防护措施的依据。 ③提升固原市人民医院网络安全事件应急响应及安全事件分析，使技术人员更全面掌握了解信息系统安全状况，提升人员安全威胁处置能力。 ④遵循国家等级保护有关规定的要求，对信息系统安全建设进行符合性测评，出具网络安全等级保护测评报告。 1.2项目内容 ①对以下已完成定级备案的信息系统按照等保2.0相关要求开展信息系统网络安全等级保护测评工作，并对差距项提出整改建议。 序号 系统名称 系统级别 1 医院信息系统 三级 ②测评周期 项目建设期内2024年至2026年每年至少按照要求开展测评工作一次。 ③测评内容 医院现运行的信息系统和本次项目新建的信息系统模块，本次项目新建系统模块如下： 序号 系统名称 建设类型 数量 单位 备注 1 医院管理信息系统（HIS） 升级改造 1 套 2 电子病历系统（EMR） 升级改造 1 套 3 实验室信息系统（LIS） 升级改造 1 套 4 影像信息系统（PACS） 升级改造 1 套 5 手术麻醉信息系统 升级改造 1 套 6 重症监护管理系统 升级改造 1 套 7 血液透析管理系统 升级改造 1 套 8 临床路径管理系统 升级改造 1 套 9 不良事件上报系统 升级改造 1 套 10 危急值管理系统 升级改造 1 套 11 医院感染管理系统 升级改造 1 套 12 血库和临床用血管理系统 升级改造 1 套 13 合理用药管理系统 升级改造 1 套 14 单病种管理系统 升级改造 1 套 15 体检信息管理系统 升级改造 1 套 16 移动护理系统 升级改造 1 套 17 物资管理系统 升级改造 1 套 18 移动决策支持系统 升级改造 1 套 19 DIP和医保控费 升级改造 1 套 20 病理诊断系统 升级改造 1 套 21 病案首页质控系统 升级改造 1 套 22 患者服务平台（微信小程序和支付宝小程序） 升级改造 1 套 23 医院信息平台 新建系统 1 套 24 互联互通四级甲等 25 三级医院等级评审系统 新建系统 1 套 26 管理决策支持系统 新建系统 1 套 27 标准化测评服务 新建系统 1 套 28 静脉配置中心系统 新建系统 1 套 29 业务闭环管理 新建系统 1 套 30 医务管理系统 新建系统 1 套 31 医疗技术信息管理（含手术分级授权） 新建系统 1 套 32 临床辅助决策支持系统（CDSS）（含知识库） 新建系统 1 套 33 AI医学影像智能辅助诊断系统 新建系统 1 套 34 DRG系统 新建系统 1 套 35 围术期医学信息系统（含手术安全监测项） 新建系统 1 套 36 电子病历内涵质控系统 新建系统 1 套 37 老年健康综合医学评估管理 新建系统 1 套 38 营养膳食管理 新建系统 1 套 39 康复系统 新建系统 1 套 40 治疗系统 新建系统 1 套 41 医技统一预约系统 新建系统 1 套 42 手术示教（5G应用） 新建系统 1 套 43 运营一体化平台（HRP） 新建系统 1 套 44 医院IT系统监控运维平台 新建系统 1 套 45 无纸化病案归档系统 新建系统 1 套 46 CA数字签名（软key）医护端、患者端 新建系统 1 套 47 远程会诊会议系统 新建系统 1 套 48 5大中心系统 新建系统 1 套 49 七大专科 新建系统 1 套 ④项目依据 《中华人民共和国网络安全法》 《中华人民共和国计算机信息系统安全保护条例》（国务院147号令） 《计算机信息系统安全保护等级划分准则》（GB 17859-1999） 《信息安全技术 网络安全等级保护实施指南》 (GB/T 25058-2019) 《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019） 《信息安全技术 网络安全等级保护测评要求》（GB/T 28448-2019） 《信息安全技术 网络安全等级保护定级指南》（GB/T 22240-2020） 《信息安全等级保护备案实施细则》（公信安[2007]1360号） 《信息安全技术 网络安全等级保护安全设计技术要求》（GBT 25070-2019） 《信息安全技术 网络安全等级保护测评过程指南》（GB/T 28449-2018） 《信息安全技术 网络安全等级保护测试评估技术指南》（GB/T 36627-2018） 《网络安全等级保护测评报告模板（2021版）》  委托测评协议书等 1.3等级测评工作内容 1.3.1等级测评内容 测评的内容包括但不限于以下内容： ①安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评； ②安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 1.3.1.1安全物理环境 根据固原市人民医院信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。 1.3.1.2安全通信网络 安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。 1.3.1.3安全区域边界 安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 1.3.1.4安全计算环境 安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 1.3.1.5安全管理中心 安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 1.3.1.6安全管理制度 根据现场安全测评记录，针对固原市人民医院信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。 1.3.1.7安全管理机构 根据现场安全测评记录，针对固原市人民医院信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。 1.3.1.8安全管理人员 根据现场安全测评记录，针对固原市人民医院信息系统在人员安全管理方面的“人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。 1.3.1.9安全建设管理 根据现场安全测评记录，针对固原市人民医院信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。 1.3.1.10安全运维管理 根据现场安全测评记录，针对固原市人民医院信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。 1.3.2实施流程及工作内容要求 网络安全等级保护测评工作的流程如下图所示，在开展网络安全等级保护测评工作过程中要求严格遵循如下流程： ①测评准备活动 本活动是开展等级测评工作的前提和基础，是整个等级测评过程有效性的保证。测评准备工作是否充分直接关系到后续工作能否顺利开展。本活动的主要任务是掌握被测评系统的详细情况，准备测评工具，为编制测评方案做好准备。 ②方案编制活动 本活动是开展等级测评工作的关键活动，为现场测评提供最基本的文档和指导方案。本活动的主要任务是确定与被测评信息系统相适应的测评对象、测评指标及测评内容等，并根据需要开发测评指导书，形成测评方案。 ③现场测评活动 本活动是开展等级测评工作的核心活动。本活动的主要任务是按照测评方案的总体要求，严格执行测评指导书，分步实施所有测评项目，包括单位测评和整体测评两个方面，以了解系统的真实保护情况，获取足够证据，发现系统存在的安全问题。 ④分析与报告编制活动 本活动是给出等级测评工作结果的活动，是总结被测系统整体安全保护能力的综合评价活动。本活动的主要任务是根据现场测评结果和行标的有关要求，通过单项测评结果判定、单元测评结果判定、整体测评和风险分析等方法，找出整个系统的安全保护现状与相应等级的保护要求之间的差距，并分析这些差距导致被测评系统面临的风险，提出整改意见并配合被测评单位完成整改，从而给出等级测评结论，形成测评报告文本。 1.3.3保密要求 投标方对项目实施过程中所获得数据及文档等保密信息，承担以下保密义务： ①中标方应按要求与固原市人民医院签署保密协议。 ②主动采取加密措施对上述所列及之保密信息进行保护，防止不承担同等保密义务的任何第三者知悉及使用。 ③不得刺探或者以其他不正当手段（包括利用计算机进行检索、浏览、复制等）获取与本职工作或本身业务无关的甲方关于该项目的商业秘密。 ④不得向不承担同等保密义务的任何第三人披露甲方关于该项目的商业秘密。 ⑤不得允许（包括出借、赠与、出租、转让等行为）或协助不承担同等保密义务的任何第三人使用甲方关于该项目的商业秘密。 ⑥不论何种原因终止参与甲方关于该项目的工作后，都不得利用该项目之商业秘密为其他与甲方有竞争关系的单位（包括自办企业）服务。 ⑦该项目的商业秘密所有权始终全部归属甲方，乙方不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权，在本协议签订前乙方已依法具有某些所有权者除外。 ⑧如发现甲方关于该项目的商业秘密被泄露或者自己过失泄露秘密，应当采取有效措施防止泄密进一步扩大，并及时向甲方报告。 2.数据安全风险评估服务 2.1项目内容 落实《中华人民共和国数据安全法》、《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》等法律法规，按照《信息安全技术网络数据处理安全要求》（GB/T 41479—2022）《信息安全技术信息安全风险评估方法》(GB/T 20984-2022)《网络安全标准实践指南——网络数据分类分级指引》等行业标准要求，以固原市人民医院重要数据为评估对象，以数据全生命周期所面临的风险为评估内容，对固原市人民医院重要数据开展数据安全风险评估工作。 2.2项目依据 本项目工作应符合且不限于下列标准和规范：  《中华人民共和国数据安全法》  《中华人民共和国个人信息保护法》  《卫生健康行业数据分类分级指南(试行)》  《政务数据安全风险评估规范》（DB3212/T 1117-2022）  《政府数据 数据分类分级指南》（DB52/T 1123-2016）  《信息安全技术 健康医疗数据安全指南》（GB/T 39725-2020）  《信息安全技术 个人信息安全规范》（GB/T 35273-2020）  《信息安全技术 数据安全能力成熟度模型》（GB/T 37988-2019）  《数据安全治理能力评估方法》（T/1SC-0011-2021）  《数据管理能力成熟度评估模型》（ GB/T 73-2018） 2.3项目要求 开展数据安全风险评估服务，通过人工评估、工具扫描和测试的方式开展，主要为以下几个方面： 配合开展数据梳理、分级分类； 识别潜在的数据安全威胁，包括内部和外部威胁，如恶意软件、黑客攻击、员工疏忽等； 分析潜在威胁的概率和影响程度，评估风险等级；出具风险评估报告，协助完成风险整改。通过数据安全风险评估，组织可以更好地了解自身的数据安全状况，及时发现潜在威胁并采取相应措施，从而保障组织的信息安全。 2.4项目工作内容 （一）评估工作内容 1.数据识别安全评估 数据识别是数据安全评估的基础。通过对数据的识别，可以确定数据在业务系统的内部分布、确定数据是如何被访问的、当前的数据访问账号和授权状况。数据识别能够有效解决运营者对数据安全状况的摸底管理工作。基于国家、行业的法律法规及标准要求，数据识别通常包括业务流识别、数据流识别、数据安全责任识别和数据分级分类识别。 2.数据保护现状分析 对信息的业务特征或服务、现有的组织职责、人员权限、信息系统环境、已有保护措施、日常操作与管理等内容进行调研分析，明确单位数据安全现状。 具体工作包括： 收集与数据安全有关的管理制度、规范、手册等相关文件； 调研主要业务对数据安全的需求； 调研领导层对数据安全建设的期望； 调研各部门的数据安全管理状况； 调研所有已建、在建及计划中建设信息系统的数据安全状况与需求。 3.数据安全法律遵从性评估 数据安全符合相关法律要求是开展一切数据处理活动的前提和基础，也是最受关注的安全保障能力之一。数据安全法律遵从性评估核心在于依据国家、行业的法律法规及标准要求，重点评估运营者及其他数据处理者关于数据安全在相关法律法规中的落实情况，包括个人信息保护情况、重要数据出境安全情况、网络安全审查情况、密码技术落实情况、机构人员的落实情况、制度建设情况、分类分级情况、数据安全保障措施落实情况，以及其他法律法规、政策文件和标准规范落实情况等。法律遵从性评估的目的不仅在于应对风险，更多的是在于找出差距，驱动固原市人民医院数据安全建设合法化，完善数据安全治理体系。 4.数据处理安全评估 数据处理安全的评估是围绕数据处理活动的收集、存储、使用、加工、传输、提供、公开等环节开展。主要针对固原市人民医院数据处理过程中收集的规范性、存储机制安全性、传输安全性、加工和提供的安全性、公开的规范性等开展评估。 5.数据环境安全评估 数据环境安全是固原市人民医院数据全生命周期安全的环境支撑，可以在多个生命周期环节内复用，主要包括主机、网络、操作系统、数据库、存储介质等环境基础设施。针对数据支撑环境的安全评估主要包括通信环境安全、存储环境安全、计算环境安全、供应链安全和平台安全等方面。 （二）评估工作方法 1.文档查验 文档查验是指评估人员查阅数据安全相关文件资料，对固原市人民医院数据安全管理制度、业务技术资料和其他相关文件，用以评估数据安全管理相关制度文件是否符合标准要求的一种方法。通常在评估准备阶段以及数据安全管理类基线评估部分使用该方法，单位需要事先完整准备上述文档以供评估人员查阅。 2.人员访谈 人员访谈是指评估人员通过与被评估单位相关人员进行交流、讨论、询问等活动，以评估数据安全保障措施是否有效的一种方法。 3.系统演示 系统演示是固原市人民医院相关人员演示、评估人员查看承载数据的应用、系统、网络，包括数据采集界面、数据展示界面、数据存储界面、数据操作日志记录等，以评估数据安全保障措施是否有效的一种方法。通常在评估过程中深入单位现场调研时使用，单位需要安排相关人员进行现场演示，评估人员根据系统演示情况进行查验。如系统存在高度保密性、可用性的要求，评估可通过事后提供日志列表或测试环境等方式进行。 4.测评验证 测评验证是指评估人员通过实际测试承载数据的应用、系统、网络，查看、分析被测试响应输出结果，以评估数据安全保障措施是否有效的一种方法。通常是评估人员针对数据全生命周期涉及的相关技术指标进行验证时使用，评估人员需要事先进行业务注册、准备验证工具等以完成相关评估指标。 （三）数据安全风险评估综合判定 风险分析的原理主要是通过资产识别、脆弱性识别及威胁识别，分别计算出威胁造成损失的严重程度以及该安全事件发生的可能性，然后利用损失严重程度与事件发生的可能性得到风险值，最后赋予风险等级。分析和确定数据全风险的方法是，考虑已知威胁利用数据资产已知脆弱性的可能性，以及如果发生这种利用所产生的后果或不利影响（即危害程度），使用威胁和脆弱性信息以及可能性和后果/影响信息定性或定量地确定数据安全风险。在分析中重点要围绕“数据生命周期”或者“数据应用场景”，最终的评估结果是某个业务或威胁场景之下利用某个资产的某个脆弱性造成某种破坏，该破坏的可能性有多大，破坏后影响有多大，进而综合评价风险有多大。 1.可能性分析 可能性是指攻击事件可能导致任务能力丧失的概率。可能性判定应该考虑威胁假设，即阐明数据资产以及支撑环境可能面临的威胁类型，如网络安全威胁、自然灾害或物理安全威胁；还要考虑实际基于业务场景的数据安全脆弱性信息，包括识别的系统、数据或支撑环境的脆弱性；可能性分析要综合考虑利用漏洞成功利用的难度并将其与威胁信息相结合，在其实际应用场景下确定风险评估过程中成功攻击的可能性。 2.影响分析 影响分析是一个关联分析过程，由数据所涉及的系统、数据的价值以及数据被破坏后对组织的影响等因素综合考虑。影响分析很大程度上要结合脆弱性被威胁利用的可能性，以及被评估单位管理者基于业务角度对风险的决策的判断，最终决定对风险是否接受、避免、减轻、分担或转移。 3.风险结论 数据安全风险评估的结论应涵盖三个层级的风险。一是根据被评估组织或行业的性质和重要程度，可形成国家组织或者行业层面的数据安全战略风险报告。二是根据关键信息基础设施业务使命和形式，形成各自层面的数据安全风险报告。三是依据数据本身的特点或场景，形成面向系统级别、数据级别或者供应链级别等重点关注方面的风险评估报告。风险评估的结论应包括潜在破坏数据安全的可能性和影响，特定场景和特定数据的风险发生的可能性以及目前现有的数据安全防护措施的有效性和差距性，进而为被评估单位数据安全系统建设、支撑环境建设以及数据安全整体规划做决策依据。 （四）数据安全检查 检查内容主要包括数据安全基础性管理、技术能力检查及数据生命周期管理三大内容。 基础性管理检查主要包括机构人员、制度保障、分类分级、安全评估、权限管理、安全审计、合作方管理、应急响应、投诉处理、教育培训等内容； 技术能力检查包括数据识别、安全审计、数据防泄漏、接口安全、个人信息保护、远程接入等内容； 数据生命周期管理评估主要包括数据采集、数据传输、数据存储、数据使用、数据开放共享、数据销毁等内容。 （五）汇总总结 针对数据安全检查过程中发现的问题，将逐条给出整改建议，形成检查整改建议报告、汇总分析报告，为后续数据安全管理工作提供参考。	三年

五、合同管理安排
合同类型：
货物类

服务类

工程类

服务类

服务内容：信息系统网络安全等保测评及数据安全性评估


服务地点（范围）：固原市人民医院


付款条件（进度和方式）：以实际签订服务合同为准

六、评审方法及评审细则
评标方法：

最低评标价法


综合评分法

评审细则类别： 服务类细则类别

服务类细则类别
序号	评审项目	权重分	评分标准
1	投标报价	10	价格分采用低价优先法计算，即满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价／投标报价）×100%×权重分值。（四舍五入后保留小数点后两位）对于高于项目采购预算金额的投标报价不予接受，视为无效投标。
2	商务条款响应情况	5	不能实质性满足招标文件商务条款要求的为无效标书。满足招标文件商务条款的得 3 分，以此为基础，投标人商务条款优于招标文件规定的相应商务条款的，每有一项加 1 分，加至标准分时为止。
3	专业人员配备	15	为保障项目进度和测评质量，在项目实施中投标人应安排足够的测评师和技术力量参与本项目： 1、项目实施人员至少由 5 人组成，至少配备 2 名高级等级测评师和 2 名中级等级测评师的得 5 分；配备 1 名高级等级测评师和 2 名中级等级测评师的得 2分；未配备高级等级测评师不得分。 2、技术主管由高级测评师担任，具备通信互联网技术工程师证书（国家人社部颁发）和数据安全官认证（CCRC-DSO）证书得 5 分。 3、项目组长由中级测评师担任，具备安全管理能力评价证书（CCSS-M）和信息安全保障人员专业级（CISAW）证书得 5 分。 注：提供相关人员证书原件复印件加盖公章，并装订在标书相应位置，如出现模糊无法辨认的情况，评委有权视其为不合格资料，未提供不得分。
4	类似业绩	5	供应商2020年1月1日至今具有类似项目业绩，每提供一份得1分，最多得5分；未提供不得分。 注：投标人需提供业绩的合同或中标通知书的原件的复印件，并放置在投标文件相应位置，需保证所复印的资料完整并清晰可辨。如出现模糊无法辨认的情况，评委有权视其为 不合格资料，未提供不得分。
5	检测工具	5	投标人应具有满足项目实施要求的检测设备，需涵盖主机系统安全、应用系统安全、数据库系统安全、网络系统安全、基于等级保护2.0设备基线配置核查5项功能，配备工具中每满足1项功能得1分，满分得5分，不具备不得分。 注：以上功能需提供设备功能截图、工具购买发票和合同复印件。
6	技术实施方案	60	1、项目测评实施方案：测评实施步骤中对各测评阶段的流程、内容及过程文档描述完整、清晰、准确、运用图表示例。内容丰富详实、描述清晰明了、方案准确得12分，内容较为完整、具有一定过程描述、部分方案准确得8分；内容具有基本要素、基本合理得4分，方案未提供此项内容不得分。 2、项目测评实施方案：项目实施过程、组织机构、人员安排、项目实施安排规范性、可实施性。实施方案安排规范、合理、可行性强得12分，实施方案安排基本规范、合理、可行性较强得8分；实施方案具备基础的实施内容得4分，方案未提供此项内容不得分。 3、项目质量控制方案中对控制流程、过程控制、变更控制、项目沟通、实施进度、过程文档管理、保密管理方面及质量保证措施合理，可操作性强。质量保证措施合理，可操作性强得12分，质量保证措施基本合理，具备一定的操作性得8分；具备基本的质量保证措施得4分，方案未提供此项内容不得分。 4、项目实施方案中具备完善的风险管理和应急处置，应对现场突发情况，应急预案完整、有效、全面。应急预案完整、有效、全面得12分，应急预案基本完整、内容基本全面得8分；应急预案具备基础的内容得4分，方案未提供此项内容不得分。 5、根据等保测评结果，提供协助系统整改及安全加固建议方案，整改加固建议内容、方式、加固方案示例、风险规避措施描述详细、完整、可操作性。措施描述详细、完整、可操作性强得12分，措施描述基本详细、完整、具有较强的可操作性得8分；具备基础的措施描述得4分，方案未提供此项内容不得分。
合计：		100

发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的，可以在招标公告发布之前在线发起异议，并填写异议内容及事实依据，该异议仅作为社会主体对采购需求内容的监督，采购人查询异议内容后，可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的，应按照《政府采购质疑和投诉办法》规定执行。