招标
杨凌示范区医院信息系统等级保护测评服务项目招标公告
金额
9万元
项目地址
-
发布时间
2020/08/20
公告摘要
公告正文
一、项目名称:信息系统等级保护测评服务项目
二、采购预算:9万元
三、招标方式:竞争性磋商
四、采购时间安排:
报名时间:2020年8月20日- 2020年8月26日17:00前
报名地点:信息科(门诊综合楼2层)
招标时间:具体时间另行通知
五、资质要求:
(一)营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);
(二)法定代表人委托授权书,法定代表人或事业单位法人参加招标只需提供其身份证;
(三)具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》;
(四)供应商应提供所有测评师近三个月的社保证明;
(五)本项目不接受联合体投标。
备注:以上资质文件现场提供复印件加盖公章查验。
六、采购内容及技术要求
(一)总体要求
本项目必须严格按照《信息安全等级保护管理办法》(公通字[2007]43号)与《信息安全技术网络安全等级保护基本要求》GB/T22239-2019以及《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)和《陕西省信息安全等级保护安全建设整改工作指导意见》(陕等保办2011 2号)等相关文件要求对我院“中联HIS、LIS医院信息管理系统”、“中联PACS医院系统”、“北京嘉禾美康电子病历V6.0系统”按照三级网络安全等级保护2.0标准实施测评工作并在医院就测评中的问题整改完成后配合医院对以上三个系统在公安机关完成备案。等级测评工作须覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容,并根据现场实际情况完成风险分析工作,最终为完善等级保护安全防护体系提供指导依据。
(一)项目主要服务内容
系统调研:在系统相关人员的协助下,对信息系统进行调研和梳理,了解当前信息系统资产现状,形成测评指导书及方案等文件。 现场测评:根据国家等级测评的相关标准及已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。 分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,提供差异化测评服务,并进行风险分析,可根据现场情况出具科学合理的整改建议及整改方案,配合采购单位安全整改工作。 结论报告:根据前述工作内容,分析当前信息系统安全保护能力是否符合相应等级的安全要求,针对整改项进行再次测评,提供安全等级符合性测评服务,出具相关系统测评报告。 配合验收:整理项目过程中所有相关的过程文档,提交系统相关人员。
(二)其他要求
本次项目除等级保护测评服务外,还需测评机构提供应急响应、安全培训服务、整改咨询服务,需在参选方案中明确提供以上服务的方案和能力证明文件。保证所供服务均应按国内外通行的现行标准和相应的技术规范执行,这些标准和技术规范应为最新公布发行的标准和技术规范。
1.等级保护测评服务要求
测评机构应在被测评单位统一组织协调下,按照定级、备案、等级测评、安全建设整改和配合监督检查等5个环节开展测评工作。参选人为本项目至少配备5人的服务团队,至少包含1名高级测评师、2名中级测评师、并根据现场情况适当增加测评人员。
2.建设整改咨询
建设整改咨询工作以等级测评、渗透检测后发现的安全问题为工作重点,编写《信息系统安全建设整改建议》;将信息系统的安全建设整改需求落实到可操作的安全技术和管理上,提出能够实现的技术参数或制度及其具体规范。
之后在杨凌示范区医院依据相关《信息系统安全建设整改建议》开展建设整改工作时,服务方将提供建设整改过程中的与建设整改相关的咨询服务
3.安全培训服务
一方面开展网络安全意识培训,内容包含近期网络安全事件,个人及组织面临的安全风险以及网络安全法要求等,有效提升全员网络安全意识;另一方面根据等级保护测评发现的安全问题和安全隐患,面向技术人员开展基于安全通信网络、安全区域边界、安全计算环境、安全管理中心及相关整改方面的培训至少一次。
4.应急响应服务
针对本次项目,服务方提供7X24的常规应急响应及灾难恢复专家服务。在接到用户故障报修电话10分钟内响应。对客户信息网络应用系统突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后分析的方法及过程。
5.安全咨询及售后服务
服务方需免费提供一年技术咨询服务,包括信息系统整改建设咨询服、安全咨询服务、应急响应、安全监测、配合检查、电话支持等服务在内的安全维保服务,一旦接到用户的服务请求,技术服务工程师将立即开始提供服务,帮助客户解决信息安全相关技术问题,全面配合杨凌示范区医院做好业务系统全保障工作。
七、保密责任与赔偿承诺
(一)服务商应承诺
1.服务商应严格遵守杨凌示范区医院会有关保密的相关规定,不得泄漏杨凌示范区医院的任何机密;
2.在技术服务期间及合理年限范围内,服务商对接触到的有关杨凌示范区医院工作活动、商业活动、技术情报和技术资料等文件进行保密。
(二)赔偿承诺与措施
1.在测评服务期间,如果出现因服务商责任,未能在承诺时间内恢复业务运行,杨凌示范区医院有权请第三方进行解决处理,由此所产生的一切费用由服务商承担。
2.测评服务期间,服务商不符合或达不到合同中要求的技术服务标准,杨凌示范区医院可以提前终止或解除合同。
八、交付内容
《信息系统安全等级保护定级备案证明》;
《信息系统安全等级测评报告》;
《信息系统整改建议书》;
九、项目工期要求:
每次测评工期要求10天出报告。
十、采购评审方式和办法
本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、项目实施方案、项目人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行分项评审,评审得分计入总得分。
(一)商务及技术标评分办法表
(二)评标规则
各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。 评标过程中,各种数字计算均精确至小数点后两位。 评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。 评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况待评标委员会研究确定后,再行评定。 评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。
6. 本评标办法解释权归采购人。
十一、其他
我院将组建采购小组,严格按本公告要求对参与的供应商进行资格审查,采用公开形式,评价采用综合报价、技术及质量保证、服务承诺、资质等,综合评分。
采购报名联系人:杨凌示范区医院信息科徐旺
联系电话:029-87010034
监督电话: 029-87015782
二、采购预算:9万元
三、招标方式:竞争性磋商
四、采购时间安排:
报名时间:2020年8月20日- 2020年8月26日17:00前
报名地点:信息科(门诊综合楼2层)
招标时间:具体时间另行通知
五、资质要求:
(一)营业执照副本(事业单位法人证书副本)、税务登记证副本(非盈利性事业单位不提供)、组织机构代码证副本或者统一社会信用代码证(三证合一);
(二)法定代表人委托授权书,法定代表人或事业单位法人参加招标只需提供其身份证;
(三)具有国家信息安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》;
(四)供应商应提供所有测评师近三个月的社保证明;
(五)本项目不接受联合体投标。
备注:以上资质文件现场提供复印件加盖公章查验。
六、采购内容及技术要求
(一)总体要求
本项目必须严格按照《信息安全等级保护管理办法》(公通字[2007]43号)与《信息安全技术网络安全等级保护基本要求》GB/T22239-2019以及《关于推动信息安全等级保护测评体系建设和开展等级测评工作的通知》(公信安[2010]303号)和《陕西省信息安全等级保护安全建设整改工作指导意见》(陕等保办2011 2号)等相关文件要求对我院“中联HIS、LIS医院信息管理系统”、“中联PACS医院系统”、“北京嘉禾美康电子病历V6.0系统”按照三级网络安全等级保护2.0标准实施测评工作并在医院就测评中的问题整改完成后配合医院对以上三个系统在公安机关完成备案。等级测评工作须覆盖安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的内容,并根据现场实际情况完成风险分析工作,最终为完善等级保护安全防护体系提供指导依据。
(一)项目主要服务内容
系统调研:在系统相关人员的协助下,对信息系统进行调研和梳理,了解当前信息系统资产现状,形成测评指导书及方案等文件。 现场测评:根据国家等级测评的相关标准及已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。 分析整改:根据前述工作内容,分析信息系统安全情况与等级保护基本要求的差距,提供差异化测评服务,并进行风险分析,可根据现场情况出具科学合理的整改建议及整改方案,配合采购单位安全整改工作。 结论报告:根据前述工作内容,分析当前信息系统安全保护能力是否符合相应等级的安全要求,针对整改项进行再次测评,提供安全等级符合性测评服务,出具相关系统测评报告。 配合验收:整理项目过程中所有相关的过程文档,提交系统相关人员。
(二)其他要求
本次项目除等级保护测评服务外,还需测评机构提供应急响应、安全培训服务、整改咨询服务,需在参选方案中明确提供以上服务的方案和能力证明文件。保证所供服务均应按国内外通行的现行标准和相应的技术规范执行,这些标准和技术规范应为最新公布发行的标准和技术规范。
1.等级保护测评服务要求
测评机构应在被测评单位统一组织协调下,按照定级、备案、等级测评、安全建设整改和配合监督检查等5个环节开展测评工作。参选人为本项目至少配备5人的服务团队,至少包含1名高级测评师、2名中级测评师、并根据现场情况适当增加测评人员。
2.建设整改咨询
建设整改咨询工作以等级测评、渗透检测后发现的安全问题为工作重点,编写《信息系统安全建设整改建议》;将信息系统的安全建设整改需求落实到可操作的安全技术和管理上,提出能够实现的技术参数或制度及其具体规范。
之后在杨凌示范区医院依据相关《信息系统安全建设整改建议》开展建设整改工作时,服务方将提供建设整改过程中的与建设整改相关的咨询服务
3.安全培训服务
一方面开展网络安全意识培训,内容包含近期网络安全事件,个人及组织面临的安全风险以及网络安全法要求等,有效提升全员网络安全意识;另一方面根据等级保护测评发现的安全问题和安全隐患,面向技术人员开展基于安全通信网络、安全区域边界、安全计算环境、安全管理中心及相关整改方面的培训至少一次。
4.应急响应服务
针对本次项目,服务方提供7X24的常规应急响应及灾难恢复专家服务。在接到用户故障报修电话10分钟内响应。对客户信息网络应用系统突发的信息安全事件进行响应、处理、恢复、取证、跟踪、事后分析的方法及过程。
5.安全咨询及售后服务
服务方需免费提供一年技术咨询服务,包括信息系统整改建设咨询服、安全咨询服务、应急响应、安全监测、配合检查、电话支持等服务在内的安全维保服务,一旦接到用户的服务请求,技术服务工程师将立即开始提供服务,帮助客户解决信息安全相关技术问题,全面配合杨凌示范区医院做好业务系统全保障工作。
七、保密责任与赔偿承诺
(一)服务商应承诺
1.服务商应严格遵守杨凌示范区医院会有关保密的相关规定,不得泄漏杨凌示范区医院的任何机密;
2.在技术服务期间及合理年限范围内,服务商对接触到的有关杨凌示范区医院工作活动、商业活动、技术情报和技术资料等文件进行保密。
(二)赔偿承诺与措施
1.在测评服务期间,如果出现因服务商责任,未能在承诺时间内恢复业务运行,杨凌示范区医院有权请第三方进行解决处理,由此所产生的一切费用由服务商承担。
2.测评服务期间,服务商不符合或达不到合同中要求的技术服务标准,杨凌示范区医院可以提前终止或解除合同。
八、交付内容
《信息系统安全等级保护定级备案证明》;
《信息系统安全等级测评报告》;
《信息系统整改建议书》;
九、项目工期要求:
每次测评工期要求10天出报告。
十、采购评审方式和办法
本项目评审使用综合评分法,评标委员会将按照客观、公正、科学、择优的原则,结合项目实际情况,以项目报价、企业技术实力、项目实施方案、项目人员从业经验、业务开展情况等多个因素为评价指标,依据评标办法,进行分项评审,评审得分计入总得分。
(一)商务及技术标评分办法表
评审内容 | 评分标准 | 分值 | 汇总 | |
报价 | 价格 | 综合评分法中的价格分采用平均价优先法计算,即满足采购文件要求的投标价格,取其平均值作为评标基准价,其价格分为满分20分。 投标报价每偏离基准价5%扣1分,计算公式如下:投标得分=20-【(投标报价-基准价)】/(基准价*5%)。 | 20 | 20 |
技术 | 服务方案及措施评审 | 供应商结合采购单位实际需求,提供完整的项目工作流程和实施方案,对等级测评各个工作阶段的工作内容、工作方法及工作成果具有详细说明。优计10-8分,良计7-3分,差计3-0分。 | 10 | 30 |
对渗透测试的人员配置、渗透测试说明、渗透测试工作方法、工作成果具有详细说明。人员配置优秀,工作方法科学合理、完善。优计10-8分,良计7-3分,差计3-0分。。 | 10 | |||
对项目组成员工作分配及项目实施进度具有科学合理安排;按照方案响应程度。成员工作分配科学,进度安排科学紧凑。优计5分,良计4-2分,差计1-0分。 | 5 | |||
具有明确保密责任与承诺;具有严格的项目质量管理方案、过程控制及监控手段;具有严格的风险管理方案。优计5分,良计4-2分,差计1-0分。 | 5 | |||
团队技术能力 | 针对本项目派往现场的测评团队中至少包含3名高级测评师,2名中级测评师,满足条件得5分。 项目组在3名高级测评师基础上,每增加一名高级测评师加5分。本项最多加10分。 本项最多得15分。以近三个月社保缴纳证明为准。 | 15 | 30 | |
针对本项目项目组成员具有测评师证书及网络安全应用检测专业测评人员证书(NSATP-A)每提供1个得1分,最多5分。需提供社保证明原件,不提供不得分 | 5 | |||
针对本项目,项目经理应具备信息安全等级测评师高级证书、高级工业互联网安全评估师证书、项目经理-PMP证书、信息安全保障人员-CISAW证书和国家重要信息系统保护人员-CIIP_I(工控)证书,同时具备5证书得5分,同时具备3证书得1分,其他情况不得分。以近三个月社保缴纳证明为准。 | 5 | |||
针对本项目,项目团队要求具备网络、运维、测评及攻防能力。所有成员都必须具备等级保护测评师证书。 项目组成员具备工业和信息化部电子工业标准化研究院颁发的ITSS证书,得1分; 项目组成员具备陕西省人力资源和社会保障厅职称资格颁发的网络工程师证书,得1分; 项目组成员具备ISTQB证书,得2分; 项目组成员具备国家信息安全漏洞库CNNVD原创漏洞提交证明得1分; 本项共计5分。以近三个月社保缴纳证明为准。 | 5 | |||
商务及荣誉 | 公司实力 | 团队应具备优秀的渗透攻防实力,参加过近三年(2017-2019)中国合格国家认可委员会组织的全国测评机构CNAS比赛(全国网络安全等级保护测评能力验证暨攻防大赛),获得一等奖得10分,获得二等奖得6分,获得三等奖得2分。并出具有关证明文件。 | 10 | 20 |
服务商具有质量管理体系认证证书ISO9001得2分; 服务商具备信息安全管理体系认证证书ISO27001得3分; | 5 | |||
业绩 | 服务商具有近一年同行业项目经验的,每个案例得1分,最高累计至5分。业绩证明文件需提供合同并加盖单位公章,其他情况不得分。 | 5 | ||
(二)评标规则
各评委必须按照本办法据实评分。凡评分不符合本办法规定者,为无效评分。 评标过程中,各种数字计算均精确至小数点后两位。 评标委员会根据总分由高到低对供应商进行排名;得分相同的,按投标报价由低到高进行排名;得分且报价相同的,按技术标得分由高到低排名。按照上述排名办法由评标委员会推荐前三名供应商为中标候选人。 评定标过程中,若出现本办法以外的特殊情况时,将暂停评标,有关情况待评标委员会研究确定后,再行评定。 评标委员会经评审,认为投标供应商的投标不符合采购文件要求的,可以否决其投标。
6. 本评标办法解释权归采购人。
十一、其他
我院将组建采购小组,严格按本公告要求对参与的供应商进行资格审查,采用公开形式,评价采用综合报价、技术及质量保证、服务承诺、资质等,综合评分。
采购报名联系人:杨凌示范区医院信息科徐旺
联系电话:029-87010034
监督电话: 029-87015782
解决方案
联系我们
返回顶部