一、采购标段

采购计划编号：	2023NCZ003948	项目名称：	北京大学第一医院宁夏妇女儿童医院（宁夏回族自治区妇幼保健院）省域妇幼健康“大手拉小手”行动（2023年）项目
分包名称：	网络安全等级保护测评服务	分包类型：	服务类
采购方式：	公开招标	预算金额	120200.00
报价方式：	总价采购项目	是否属于技术复杂， 专业性强的采购项目：	否
是否为执行国家统一定价标 和固定价格采购项目：	否

发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的，可以在招标公告发布之前在线发起异议，并填写异议内容及事实依据，该异议仅作为社会主体对采购需求内容的监督，采购人查询异议内容后，可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的，应按照《政府采购质疑和投诉办法》规定执行。

二、供应商资格条件

1.满足《中华人民共和国政府采购法》第二十二条规定，应提供以下材料：

1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 （或事业单位法人证书，或社会团体法人登记证书），如投标供应商为自然人的需提供自然人身份证明；
1.2 法人授权委托书、法人及被授权人身份证复印件（法定代表人直接投标可不提供，但须提供法定代表人身份证复印件）；
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函；
1.4 提供履行合同所必需的设备和专业技术能力的证明材料；
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函；
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明；（提供《资格承诺函》）。

2.供应商在中国政府采购网（www.ccgp.gov.cn）未被列入政府采购严重违法失信行为记录名单，在“信用中国”网站（www.creditchina.gov.cn）未被列入失信被执行人、重大税收违法案件当事人名单。


3.（是/否）专门面向中小微企业：

1是

0否


4.合格投标人的其他资格要求：

序号	合格投标人的其他资格要求
1	落实政府采购政策需满足的资格要求：（1）中小微企业参加宁夏政府采购招投标活动，参照《政府采购促进中小企业发展管理办法》（财库﹝2020﹞46 号）、《宁夏回族自治区政府采购促进中小企业发展管理办法实施细则》（宁财规发﹝2021﹞2 号）和《宁夏回族自治区财政厅 发展和改革委员会 工业和信息化厅 住房和城乡建设厅 交通运输厅 水利厅 公共资源交易管理局 中国人民银行银川中心支行关于落实政府采购促进中小企业发展有关措施的通知》（宁财（采）发【2022】275号）文件执行，小型和微型企业的应提供《中小企业声明函》，对报价给予10%的扣除，用扣除后的价格参与评审；（2）监狱企业视同为小型、微型企业，监狱企业应提供证明文件,对报价给予10%的扣除，用扣除后的价格参与评审；残疾人企业应提供声明函，对报价给予10%的扣除，用扣除后的价格参与评审；（3）环境标志产品、节能产品，具体需要提供的证明材料及要求见招标文件；
2	本项目的特定资格要求： 1）各包均需满足的资格要求： （1）本项目允许分公司参与投标，如为分公司参与投标的，须出具总公司针对本项目的专项授权函；同一主体，只能由一家分公司参与采购活动；（2）投标人单位负责人为同一人或者存在直接控股、管理关系的不同投标人，不得参加同一合同项下的政府采购活动；（3）为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商，不得再参加本项目的投标。
3	除上述资格要求外，包3供应商还需满足以下特定资格要求：具备公安部颁发的《网络安全等级测评与检测评估机构服务认证证书》，并在中国网络安全等级保护网的《全国网络安全等级测评与检测评估机构目录》中；

三、商务要求

采购标的交付（实施）的时间（期限）：项目工期要求：根据项目情况，制定合理的时间进度。初步测评应在项目确认上线后 15 个自然日内完成并出具整改建议方案，最终报告应在整改后3周内提供。


采购标的交付地点（范围）：采购人指定地点。


付款条件（进度和方式）：付款方式：合同签订后 10 个工作日内，乙方向甲方提交合同总价 5%的履约保证金；甲方收到履约保证金后，向乙方支付中标金额的 60%；乙方完成测评服务，出具测评报告，经甲方验收合 格后 10 个工作日内，甲方向乙方支付中标金额的 40%，同时甲方向乙方退回履约保证金。

四、技术要求

货物类

服务类

工程类

标的清单(服务类)
序号	标的名称	服务内容	数量	单价	服务标准及详细要求	服务期限	备注
1	测试评估认证服务	网络安全等级保护测评	1	120200.00	标的1-测试评估认证服务：（1）技术要求 测评服务内容 序号 服务类别 服务名称 单位 数量 备注 1 测评服务 网络安全等级保护测评服务 项 1 1.服务概述 依据《信息安全技术网络安全等级保护基本要求》（GBT 22239-2019），第三级信息系统应当每年至少进行一次等级测评。 根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等文件规定，按照等级保护基本要求所规定的检查项，完成国家“云上妇幼”远程医疗平台（宁夏）信息安全等级保护测评项目。主要针对国家“云上妇幼”远程医疗平台（宁夏）信息安全逐项进行合规性检测，客观评估安全体系，明确当前信息系统与等级保护要求不符的内容、问题与风险。 2.服务要求 2.1技术服务要求 （1）信息系统安全等级保护测评 服务单位应根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等相关国家标准，做信息安全等级保护测评服务工作。 （2）信息安全等级保护整改建议咨询服务 测评完成后，针对国家“云上妇幼”远程医疗平台（宁夏）提供整改建议咨询服务，从技术和管理两方面提出整改建议，对国家“云上妇幼”远程医疗平台（宁夏）建设中的安全部分提供技术指导建议，指导建设单位针对系统评估工作中发现问题的整改建议工作。 2.2技术实施要求 （1）项目实施期间人员要求：在项目实施期间提供至少 3 名实施经验丰富的工程师参与 项目测评，其中包括 1 名高级测评师，2 名中级测评师，4 名初级测评师。同时，在投标文件中需明确拟投入项目人员组成。 （2）提供完善的测评实施方案和计划、测评方案，经建设单位审核通过后实施，完成对安全管理制度的补充完善和整理工作，配合建设单位信息系统进行整改测评服务。 （3）投标人须与招标人签订项目合同、保密协议和现场评测授权书、风险预判告知书， 核实驻场测评师资质与投标时对本项目配备的测评师是否一致。如因工作调配需更换测评师，需提前 10 个工作日向建设单位书面报备，并提供更换测评师资质证明。 （4）测评结束后，服务单位免费提供为期一年的信息系统等级保护工作的技术支持，以帮助建设单位提高安全防护能力。 3.测评服务内容 根据《信息系统安全等级保护测评要求》、《网络安全等级保护定级指南》、《网络安全等级保护基本要求：第2部分云计算安全扩展要求》等相关国家标准，结合建设单位网站系统实际情况，对本次被测网站信息系统从安全技术测评：包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评；安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 3.1安全物理环境 根据信息系统机房和现场安全测评记录，针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行，判断出与其相对应的各测评项的测评结果。 3.2安全通信网络 安全通信网络现场测评主要针对系统网络架构方面，在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查，判断出与其相对应的各测评项的测评结果。 3.3安全区域边界 安全区域边界现场测评主要针对网络安全区域边界进行测评，测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 3.4安全计算环境 安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评，测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 3.5安全管理中心 安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”等方面的测评。 3.6安全管理制度 根据现场安全测评记录，针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标，判断出与其相对应的各测评项的测评结果。 3.7安全管理机构 根据现场安全测评记录，针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标，判断出与其相对应的各测评项的测评结果。 3.8安全管理人员 根据现场安全测评记录，针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标，判断出与其相对应的各测评项的测评结果。 3.9安全建设管理 根据现场安全测评记录，针对信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标，判断出与其相对应的各测评项的测评结果。 3.10安全运维管理 根据现场安全测评记录，针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、“漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标，判断出与其相对应的各测评项的测评结果。 4.服务原则 4.1客观性和公正性原则 评估人员当没有偏见，在最小主观判断情形下，按照评估双方相互认可的评估方案，基于明确定义的测评方式和解释，实施评估活动。 4.2保密原则 在测评过程中，需严格遵循保密原则，招标方与投标方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害用户利益。 4.3规范性原则 信息安全等级保护测评服务的实施必须由专业的评估服务人员依照规范的操作流程进行，对操作过程和结果要有相的记录，并提供完整的服务报告。 4.4服务成果 完成测评工作后，出具符合公安机关要求的《网络安全等级保护测评报告》，并提出具有针对性的整改建议。 根据《宁夏信息安全等级保护测评活动管理规范》（宁公信安[2017]65号）要求，成果交付物为： 4.1本次被测网站信息系统测评方案； 4.2本次被测网站信息系统正式纸质版测评报告； 4.3本次被测网站信息系统出具纸质整改加固方案； 4.4测评活动原始记录材料。 为保证信息安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。 4.5质量保证 为保证信息安全等级测评项目质量，要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。 投标人必须指派1名高级测评师作为项目经理，负责项目协调和测评工作。	一年

五、合同管理安排
合同类型：
货物类

服务类

工程类

服务类

服务内容：1.等保测评服务内容 2.软件测评服务内容 3.商用密码安全性评估服务内容


履约保证金：合同签订后10个工作日内，乙方向甲方提交合同总价 %的履约保证金；甲方收到履约保证金后，向乙方支付中标金额的 %；乙方完成测评服务，出具测评报告，经甲方验收合格后10个工作日内，甲方向乙方支付中标金额的 %，同时甲方向乙方退回履约保证金。


甲方责任：在合同中具体约定


乙方责任：在合同中具体约定


违约责任：乙方无正当理由未履行测评义务时，甲方可向乙方发出要求其履行合同义务的书面通知。乙方应在通知发出之日起7个工作日内采取补救措施，逾期仍未采取措施的，甲方有权解除合同。乙方未履行本合同约定义务，应承担相应的赔偿责任，并向甲方支付合同总金额 %的违约金。 8.2 因不可抗力导致本合同全部或部分不能履行，双方互不承担责任。


不可抗力：合同中不可抗力指地震、台风、火灾、水灾、战争、罢工以及其他双方共同认同的不能预见、不能避免并不能克服的客观情况。 10.2 如发生不可抗力，以至于任何一方因这种事件的发生而无法履行或无法完全履行其义务，一方对另一方因此而造成的损失不承担责任。但在不可抗力发生期间及结束之后，在合同的履行仍有意义时，受影响的一方仍应在可能的范围内履行己方的义务，以尽可能减少损失的发生。 10.3 遇有上述不可抗力事件的一方，应在可能的时候立即将事件情况通知对方，并在该事件发生后15日内向对方提供政府部门开具的有效证明文件，同时提出合同需要延期履行或不能完全履行或不能履行的理由。按照该事件对合同履行的影响程度，由双方友好协商决定继续履行合同或终止合同。 10.4 一方迟延履行后发生不可抗力的，仍应承担违约责任。


保密：具体保密内容详见双方签署的附件2《保密协议》。


服务期限：服务期：自合同签订之日起至项目验收完成后。


争议解决：因履行本合同或与本合同有关的一切争议，双方当事人应通过友好协商方式解决，若发生争议协商未成，双方均可向甲方所在地人民法院提起诉讼处理。 11.2 在诉讼过程中，除各方有争议的部分外，本合同其它部分继续有效。


合同生效及其他：本合同自双方法定代表人或授权代表签字盖章之日起生效，至双方履行完合同规定的义务后自行终止。


验收标准（附验收方案）：在合同中具体约定


服务地点（范围）：甲方指定地点


付款条件（进度和方式）：合同签订后10个工作日内，乙方向甲方提交合同总价 %的履约保证金；甲方收到履约保证金后，向乙方支付中标金额的 %；乙方完成测评服务，出具测评报告，经甲方验收合格后10个工作日内，甲方向乙方支付中标金额的 %，同时甲方向乙方退回履约保证金。

六、评审方法及评审细则
评标方法：

最低评标价法


综合评分法

评审细则类别： 服务类细则类别

服务类细则类别
序号	评审项目	权重分	评分标准
1	投标报价	15	价格分采用低价优先法计算，即满足招标文件要求且投标价格最低的投标报价为评标基准价，其价格分为满分。其他投标人的价格分统一按照下列公式计算：投标报价得分=（评标基准价／投标报价）×100%×权重分值。（四舍五入后保留小数点后两位）对于高于项目采购预算金额的投标报价不予接受，视为无效投标。
2	企业实力	2	投标人具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质一级证书得2分，二级得1分。 注：以电子投标文件中附的证书复印件加盖公章为准，否则不得分。
3	驻场服务方案	8	投标供应商编制的驻场服务方案（包括服务承诺、体系、内容、响应及时程度）全面具体，服务体系完善，服务内容较详细，问题解决方案全面具体，服务响应及时的得8分；驻场服务方案较全面，服务体系较完善且问题解决方案较全面，服务响应及时的得5分；驻场服务方案一般，服务体系一般、服务响应不够及时的得3分；未提供驻场服务方案的不得分。
4	人员配置	10	1.测评小组至少包括1名高级测评师，2名中级测评师，4名初级测评师，在此基础上每增加1名高级测评师得2分、每增加1名中级测评师得1分、每增加1名初级测评师得0.5分，最多得4分。 2.项目团队配备的等级保护测评师具备注册渗透测试工程师证书（CISP-PTE）、重要信息系统保护人员（CIIPT)、云计算安全认证（CCSK）、网络安全技术能力认证（CCSC），每有一个证书得1.5分，满分6分，同一人员具有多个证书，不重复计分。 （上述人员须在电子投标文件中提供在投标单位2023年6月至今任意一个月的社保缴纳证明复印件并加盖投标单位公章，还须提供相应有效期内证书复印件并加盖投标单位公章，否则不得分）
5	类似业绩	5	提供近三年（2020年11月至今）类似项目业绩，每提供一项业绩得1分，最多得5分。 注：以电子投标文件中附的合同或中标（成交）通知书复印件加盖公章为准，时间以合同签订时间或中标通知书时间为准，否则不得分。
6	项目理解	10	1、评测方案能清晰理解采购人业务需求，并能全面覆盖项目设计所有功能业务需求，合理、有效地体现评测过程且能抓住项目整体工作的重点与难点，得10分； 2、评测方案能理解采购人业务需求，并能覆盖项目设计所有功能业务需求，基本能抓住项目整体工作的重点与难点，得7分； 3、评测方案未能清晰理解用户需求，针对本项目没有详细的团队工作方案和计划，以及有效的服务承诺，得4分。 4、没有提供测评方案则不得分。
7	项目实施	10	1、有针对性的对评测方向从评测内容、评测方向、评测重点、需求分析、评测方法等几个方面进行分析，内容全面、分析深入、方法详细的得10分； 2、实施方案基本能够覆盖用户需求，但仅简要描述了评测内容、评测方向、评测重点、需求分析及评测方法或缺失任意一项的得7分； 3、测试内容未能全面覆盖用户需求，同时也未从测试角度进行深入需求分析，只有服务承诺，并且测试方法简单的得4分。 4、没有提供则不得分。
8	质量管理	10	有完善的质量保障体系，可行的质量保障措施，有对项目质量的承诺（提供承诺函并加盖公章）。提供规范化的项目文档的得10分； 2、有质量保障体系，可行的质量保障措施，有对项目质量的承诺（提供承诺函并加盖公章）的得7分； 3、质量保障体系没有或不完整，缺少可行的质量保障措施，没有对项目质量的承诺的得4分。 4、没有提供则不得分。
9	风险管理	10	能够全面识别风险、风险应对措施详细的得10分；基本能够识别风险、风险应对措施较详细的得7分；基本识别风险、风险应对措施一般的得4分；没有提供则不得分。
10	应急服务方案	10	能够与项目安全应急服务结合，能够完全确保服务工作交付的得10分；能够提供基本的安全应急服务方案，能够基本确保服务工作交付的得7分；只具备基础的应急服务方案得4分；不具备不得分。
11	检测工具	10	投标人应配备满足项目实施要求的测试工具设备，包括但不限于主机配置检查、系统漏洞检查、网络安全检查、网络及安全设备配置检查、数据库安全检查、弱口令安全检查等基于等级保护 2.0 通用安全要求检查的功能，以上功能需提供工具功能截图、配备的工具需提供公安部计算机信息系统安全产品销售许可证明；购买的工具需提供发票和合同复印件，自行研发的工具提供软件著作权证明；满足一项得 2 分，此项最高得 10 分。
合计：		100

发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的，可以在招标公告发布之前在线发起异议，并填写异议内容及事实依据，该异议仅作为社会主体对采购需求内容的监督，采购人查询异议内容后，可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的，应按照《政府采购质疑和投诉办法》规定执行。