招标
德阳市第六人民医院(东汽医院)门户网站等保测评项目采购公告
金额
5万元
项目地址
四川省
发布时间
2020/07/06
公告摘要
公告正文
德阳市第六人民医院(东汽医院)
门户网站等保测评采购项目
项目编号:DYSLYYCGB2020-121号
采购人:德阳市第六人民医院(东汽医院)
招标组织机构:德阳市第六人民医院(东汽医院)
采购项目名称:门户网站等保测评采购项目
采购文件编号:DYSLYYCGB2020-121号
一、 资格要求
(1)、具有独立承担民事责任的能力。
(2)、具有良好的商业信誉和健全的财务制度。
(3)、具有履行合同所必须的设备和专业技术能力。
(4)、具有依法缴纳税收和社会保障资金的良好记录。
(5)、参加本次采购活动前三年内,在经营活动中没有重大违法违规记录。
(6)、法律和行政法规规定的其他条件。
(7)、具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。
(8)、本项目不接受联合体投标。
二、 测评目的
(1)通过等级保护测评,验证信息系统的安全性。
(2)对信息系统的安全状态做出判断,验证其是否符合等级保护要求。同时,将测评结论作为进一步完善系统安全防护措施的依据。
(3)出具信息安全等级保护测评报告。
三、 测评依据
GB/T
22239-2019信息安全技术网络安全等级保护基本要求
GA/T 1389—2017信息安全技术网络安全等级保护定级指南
GB/T
25058-2010信息安全技术信息系统安全等级保护实施指南
GB/T
28449-2012信息安全技术信息系统安全等级保护测评过程指南
GB/T
28448-2012信息安全技术信息系统安全等级保护测评要求
GB/T
20984-2007信息安全技术信息安全风险评估规范
GB/T
18336.1-2008信息技术安全技术信息技术安全性评估准则
四、网络安全等级保护测评服务需求和技术要求
4.1项目概述
本次测评的主要是根据GB
17859-1999《计算机信息系统安全保护等级划分准则》信息安全的相关标准,对德阳市第六人民医院的业务系统,在技术和管理两个方面的10个大项内容进行逐一的检查和测试,其内容涉及信息系统的物理安全、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构等,以核查官方网站信息系统已有的信息安全防护措施是否达到国家关于信息安全等级保护相应等级的防护要求,找出系统在信息安全方面存在的脆弱点,并提出安全整改建议。通过测评来发现问题、解决问题,从而帮助系统的使用者规避信息安全风险。
经我单位初步测算,信息系统共有1个二级信息系统需要进行等级保护测评服务,总预算在5万以下,报价高于这个价格为无效。中标人将在招标人指定地点完成所有信息系统的等级保护测评服务,并提出整改建议。
4.2项目管理
供应商必须提供完整的项目管理方案,投标人需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效投标人。
1、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
2、应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力;
3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。
5、测评工具要求
(1)、采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)、采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)、采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;
(4)、测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。
4.3技术要求
4.3.1网络安全等级保护测评要求
1、投标人应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案等。
2、投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。
4.3.2网络安全等级保护测评的具体要求
1、信息系统技术安全测评
(1)、物理安全测评应当包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(2)、安全通信网络测评应当包含:网络架构、通信传输、可信验证等。
(3)、安全区域边界测评应包含:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)、安全计算环境测评应包含:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5)、安全管理中心测评应当包含:系统管理、审计管理、安全管理、集中管控。
2、信息系统管理安全测评
(1)、安全管理制度测评应当包含:安全策略、管理制度、制定和发布、审批和修订。
(2)、安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(3)、安全管理人员测评应当包含:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(4)、安全建设管理测评应当包含:定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商的选择。
(5)、安全运维管理测评应当包含:环境管理、资产管理、介质管理、设备维护管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
4.2.3项目交付文档
项目实施过程及完成后,投标人应向采购人提交包含但不限于以下的文档:
《网络安全等级测评方案》
《网络安全等级整改建议》
《网络安全等级测评报告》
4.4商务要求
1、付款方式: 甲方应于本合同生效且甲方收到乙方开具的等额发票后5个工作日内,甲方向乙方支付合同总金额50%的款项,测评工作完成,乙方出具测评报告经甲方认可,且甲方收到乙方开具的等额发票后5个工作日内,甲方向乙方支付合同金额余下50%的款项。
2、服务期:合同签订后90日历天。
3、服务地点:采购人指定地点。
4、履约与验收:本项目采购人及其委托的采购代理机构将严格按照政府采购相关法律法规以及《四川省政府采购项目需求论证和履约验收管理办法》(川财采〔2015〕32号)的要求进行验收。
五、 评分标准
采购要求:
1、不允许将本项目进行二次分包。
2、以公告之日起7个工作日。提交标书过期不予以接受,请在标书上留上电话号码和联系人
3、标书一正二副,共三份,副件与正件不符时,以正本为准
联系人:贾老师
联系电话:0838—2910890
投标时间:2020你7月6日-2020年7月10日18:00前
投标地址:四川省德阳市旌阳区庐山南路三段35号德阳市第六人民医院(东汽医院)门诊大楼五楼网管办
德阳市第六人民医院(东汽医院)
2020年7月6日
门户网站等保测评采购项目
项目编号:DYSLYYCGB2020-121号
采购人:德阳市第六人民医院(东汽医院)
招标组织机构:德阳市第六人民医院(东汽医院)
采购项目名称:门户网站等保测评采购项目
采购文件编号:DYSLYYCGB2020-121号
一、 资格要求
(1)、具有独立承担民事责任的能力。
(2)、具有良好的商业信誉和健全的财务制度。
(3)、具有履行合同所必须的设备和专业技术能力。
(4)、具有依法缴纳税收和社会保障资金的良好记录。
(5)、参加本次采购活动前三年内,在经营活动中没有重大违法违规记录。
(6)、法律和行政法规规定的其他条件。
(7)、具有国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》。
(8)、本项目不接受联合体投标。
二、 测评目的
(1)通过等级保护测评,验证信息系统的安全性。
(2)对信息系统的安全状态做出判断,验证其是否符合等级保护要求。同时,将测评结论作为进一步完善系统安全防护措施的依据。
(3)出具信息安全等级保护测评报告。
三、 测评依据
GB/T
22239-2019信息安全技术网络安全等级保护基本要求
GA/T 1389—2017信息安全技术网络安全等级保护定级指南
GB/T
25058-2010信息安全技术信息系统安全等级保护实施指南
GB/T
28449-2012信息安全技术信息系统安全等级保护测评过程指南
GB/T
28448-2012信息安全技术信息系统安全等级保护测评要求
GB/T
20984-2007信息安全技术信息安全风险评估规范
GB/T
18336.1-2008信息技术安全技术信息技术安全性评估准则
四、网络安全等级保护测评服务需求和技术要求
4.1项目概述
本次测评的主要是根据GB
17859-1999《计算机信息系统安全保护等级划分准则》信息安全的相关标准,对德阳市第六人民医院的业务系统,在技术和管理两个方面的10个大项内容进行逐一的检查和测试,其内容涉及信息系统的物理安全、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理机构等,以核查官方网站信息系统已有的信息安全防护措施是否达到国家关于信息安全等级保护相应等级的防护要求,找出系统在信息安全方面存在的脆弱点,并提出安全整改建议。通过测评来发现问题、解决问题,从而帮助系统的使用者规避信息安全风险。
经我单位初步测算,信息系统共有1个二级信息系统需要进行等级保护测评服务,总预算在5万以下,报价高于这个价格为无效。中标人将在招标人指定地点完成所有信息系统的等级保护测评服务,并提出整改建议。
4.2项目管理
供应商必须提供完整的项目管理方案,投标人需要针对以下项目管理要求进行项目管理服务要求进行承诺,未提供项目管理服务承诺为无效投标人。
1、供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任;
2、应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力;
3、供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留;
4、供应商的岗位配置要至少配置测评师、项目经理、渗透工程师、质量主管等并明确各个岗位的相关职责。
5、测评工具要求
(1)、采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件;
(2)、采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品;
(3)、采用的测评工具的生产商应为正规厂商,能够对产品进行持续更新并提供质量和安全保障;
(4)、测评机构所使用的测评工具不会对单位系统产生破坏或负面影响。
4.3技术要求
4.3.1网络安全等级保护测评要求
1、投标人应详细描述本次项目整体实施方案,包括项目概述、等保测评服务方案、项目实施方案等。
2、投标人应详细描述服务人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。
4.3.2网络安全等级保护测评的具体要求
1、信息系统技术安全测评
(1)、物理安全测评应当包含:物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等。
(2)、安全通信网络测评应当包含:网络架构、通信传输、可信验证等。
(3)、安全区域边界测评应包含:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)、安全计算环境测评应包含:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5)、安全管理中心测评应当包含:系统管理、审计管理、安全管理、集中管控。
2、信息系统管理安全测评
(1)、安全管理制度测评应当包含:安全策略、管理制度、制定和发布、审批和修订。
(2)、安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(3)、安全管理人员测评应当包含:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(4)、安全建设管理测评应当包含:定级和备案、安全方案设计、安全产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商的选择。
(5)、安全运维管理测评应当包含:环境管理、资产管理、介质管理、设备维护管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
4.2.3项目交付文档
项目实施过程及完成后,投标人应向采购人提交包含但不限于以下的文档:
《网络安全等级测评方案》
《网络安全等级整改建议》
《网络安全等级测评报告》
4.4商务要求
1、付款方式: 甲方应于本合同生效且甲方收到乙方开具的等额发票后5个工作日内,甲方向乙方支付合同总金额50%的款项,测评工作完成,乙方出具测评报告经甲方认可,且甲方收到乙方开具的等额发票后5个工作日内,甲方向乙方支付合同金额余下50%的款项。
2、服务期:合同签订后90日历天。
3、服务地点:采购人指定地点。
4、履约与验收:本项目采购人及其委托的采购代理机构将严格按照政府采购相关法律法规以及《四川省政府采购项目需求论证和履约验收管理办法》(川财采〔2015〕32号)的要求进行验收。
五、 评分标准
| 序号 | 评分因素及权重 | 分值 | 评分标准 | 说明 |
| 1 | 报价20% | 20分 | 以本次经评审的有效的最低最后报价为基准价,报价得分=(基准价/报价)×20。 | 报价为n个系统的等级保护测评费用 |
| 2 | 项目实施方案10% | 10分 | 1、项目实施方案完备性进行评分: 投标人项目实施方案组成包括项目实施标准、测评准备、方案编制、现场测评、报告编制、项目人员安排、项目实施周期等内容得5分,不完整不得分。 2、项目实施方案理解程度进行评分: 能准确理解项目的意义和背景,对项目的需求、目标、意义、以及本项目开展思路和框架有全面、准确的理解,能够明确项目的输出成果,得2分;对项目的需求及输出成果理解不够明确,不得分。 3、项目实施方案合理性与可执行性进行评分: 方案系统整体性很强,设计方案统一明晰,项目计划明晰,时间把控非常合理,服务内容的安排十分明确、合理,制定了详细、规范的项目计划,得3分;方案缺乏系统整体性,设计方案不够统一,项目计划不明晰,时间把控不够合理,服务内容的得1分;安排不够明确、合理,没有详细项目计划,不得分。 | |
| 3 | 投标人综合实力20% | 20分 | 1、供应商具有中国合格评定国家认可委员会颁发的CNAS证书得5分; 2、供应商具有ISO9001质量体系认证证书,认证范围包括“网络安全等级保护测评”得3分; 3、供应商具有ISO14001环境管理体系认证证书,认证范围包括“网络安全等级保护测评”得3分; 4、供应商具有ISO45001职业健康安全管理体系认证证书,认证范围包括“网络安全等级保护测评”得3分。 5、供应商具有ISO27001信息安全管理体系认证证书,认证范围包括“网络安全等级保护测评”得3分。 6、供应商具有ISO20000-1服务管理体系认证证书,认证范围包括“信息系统测试服务”得3分。 | 须提供有效证书复印件并加盖投标人公章。 |
| 4 | 实施人员能力42% | 42分 | 1、拟派本项目的项目负责人同时具有信息安全等级测评师(高级)证书、信息系统项目管理师证书(高级)、咨询师证书,得9分,每少提供一个证书扣3分,直至扣完为止。 2、拟派本项目的项目经理同时具有信息安全等级测评师(中级)证书、CISP证书、CISAW证书、ISO27001证书、COBIT证书,得15分,每少提供一个证书扣3分,直至扣完为止。 3、拟派本项目的测评人员同时具有信息安全等级测评师(中级)证书、CISAW证书、ITIL证书得9分,每少提供一个证书扣3分,直至扣完为止。 4、拟派本项目的其他测评人员具有CISP-PTE证书、ISO27001证书、ITIL证书,每具有一个证书得3分(每个证书不能重复得分),最多9分。 | 提供相关人员有效的证书复印件并加盖投标人公章。 |
| 5 | 业绩6% | 6分 | 具有测评服务的能力,提供一个项目案例得1分,最多得6分。 | 提供相关证明材料加盖投标人公章。 |
| 6 | 响应文件规范性2% | 2分 | 响应文件制作规范,没有细微偏差情形的得1分;有一项细微偏差扣0.5分,直至该项分值扣完为止。 | |
采购要求:
1、不允许将本项目进行二次分包。
2、以公告之日起7个工作日。提交标书过期不予以接受,请在标书上留上电话号码和联系人
3、标书一正二副,共三份,副件与正件不符时,以正本为准
联系人:贾老师
联系电话:0838—2910890
投标时间:2020你7月6日-2020年7月10日18:00前
投标地址:四川省德阳市旌阳区庐山南路三段35号德阳市第六人民医院(东汽医院)门诊大楼五楼网管办
德阳市第六人民医院(东汽医院)
2020年7月6日
解决方案
联系我们
返回顶部