微信公眾號
預(yù)約登記表
采購公告
| 網(wǎng)站首頁 |
|
信息安全三級等保測評服務(wù)項(xiàng)目招標(biāo)公告
發(fā)布時間:2018-12-13 來源:未知 閱讀量:0
一、招標(biāo)控制價
本項(xiàng)目招標(biāo)控制價為10萬元(超過招標(biāo)控制價格作無效報(bào)價處理)。
二、項(xiàng)目概述
項(xiàng)目名稱:遂寧市中醫(yī)院PACS系統(tǒng)三級等保測評服務(wù)。
為了落實(shí)公安部、網(wǎng)信辦和醫(yī)療衛(wèi)生應(yīng)用系統(tǒng)安全等級保護(hù)要求,進(jìn)一步增強(qiáng)系統(tǒng)安全防護(hù)能力,確保系統(tǒng)安全穩(wěn)定運(yùn)行,防止因系統(tǒng)安全事件引發(fā)安全事故依據(jù)《信息系統(tǒng)安全等級保護(hù)基本要求》(GB/T 22239-2008)、《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)和《中華人民共和國網(wǎng)絡(luò)安全法》等標(biāo)準(zhǔn)規(guī)范,特開展遂寧市中醫(yī)院PACS系統(tǒng)等級保護(hù)測評工作。
依據(jù)國家和行業(yè)信息安全的相關(guān)標(biāo)準(zhǔn),全面了解和掌握企業(yè)為系統(tǒng)現(xiàn)有安全狀況,找出其與《信息系統(tǒng)安全等級保護(hù)基本要求》對應(yīng)級別的差距,及時發(fā)現(xiàn)系統(tǒng)存在的安全問題,針對等級保護(hù)測評中發(fā)現(xiàn)的各種安全風(fēng)險,測評項(xiàng)目組提出適宜的安全整改建議,最終提交該系統(tǒng)等級保護(hù)測評報(bào)告。
三、投標(biāo)人資格要求
(一)基本要求
1、投標(biāo)人須滿足《中華人民共和國政府采購法》第二十二條要求,包括:
(1)具有獨(dú)立承擔(dān)民事責(zé)任的能力;
(2)具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會計(jì)制度;
(3)具有履行合同所必須的設(shè)備和專業(yè)技術(shù)能力;
(4)有依法繳納稅收和社會保障資金的良好記錄;
(5)參加此采購活動前三年內(nèi),在經(jīng)營活動中沒有重大違法記錄;
(6)符合法律、法規(guī)規(guī)定的其他條件。
2、投標(biāo)人必須購買招標(biāo)文件并登記備案。
3、本項(xiàng)目不接受聯(lián)合體投標(biāo)。
(二)資質(zhì)性要求:
具有網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦證書資質(zhì), 且不處于處罰期內(nèi);
(三)其他類似效力要求:
供應(yīng)商購買招標(biāo)文件必須攜帶年檢合格營業(yè)執(zhí)照副本、年檢合格組織機(jī)構(gòu)代碼副本、稅務(wù)登記證副本、資質(zhì)證書復(fù)印件蓋鮮章及授權(quán)代表身份證、單位介紹信原件。
四、工作內(nèi)容及要求
1、遵循的標(biāo)準(zhǔn)
此次測評依據(jù)的標(biāo)準(zhǔn)包括但不限于以下內(nèi)容:
《信息安全等級保護(hù)管理辦法》(公通字[2007]43號)
《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)基本要求》GB/T 22239-2008
《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)定級指南》GB/T 22240-2008
《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)實(shí)施指南》GB/T 25058-2010
《信息安全技術(shù)信息安全風(fēng)險評估規(guī)范》GB/T 20984-2007
《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評要求》GB/T 28448-2012
《信息安全技術(shù)信息系統(tǒng)安全等級保護(hù)測評過程指南》GB/T 8449-2012
《中華人民共和國網(wǎng)絡(luò)安全法》
2、測評對象
根據(jù)《衛(wèi)生行業(yè)信息安全等級保護(hù)工作的指導(dǎo)意見》 (衛(wèi)辦發(fā)2011[85號文]),以下重要衛(wèi)生信息系統(tǒng)安全保護(hù)等級原則上不低于第三級:
(1)衛(wèi)生統(tǒng)計(jì)網(wǎng)絡(luò)直報(bào)系統(tǒng)、傳染性疾病報(bào)告系統(tǒng)、衛(wèi)生監(jiān)督信息報(bào)告系統(tǒng)、突發(fā)公共衛(wèi)生事件應(yīng)急指揮信息系統(tǒng)等跨省全國聯(lián)網(wǎng)運(yùn)行的信息系統(tǒng);
(2)國家、省、地市三級衛(wèi)生信息平臺,新農(nóng)合、衛(wèi)生監(jiān)督、婦幼保健等國家級數(shù)據(jù)中心;
(3)三級甲等醫(yī)院的核心業(yè)務(wù)信息系統(tǒng);
(4)衛(wèi)生部網(wǎng)站系統(tǒng);
(5)其他經(jīng)過信息安全技術(shù)專家委員會評定為第三級以上(含第三級)的信息系統(tǒng)。
系統(tǒng)名稱 | 安全等級 |
PACS系統(tǒng) | 等保三級 |
3、測評要求
根據(jù)項(xiàng)目需求,為保障信息安全現(xiàn)場測評過程安全可控,明確測評人員職責(zé)分配、規(guī)范測評人員操作,保障測評結(jié)果有效,至少包括以下幾個流程:
序號 | 關(guān)鍵實(shí)施階段 | 工作要求 |
1 | 確定測評范圍 | 明確本次被測評信息系統(tǒng)的范圍,包括每個信息系統(tǒng)的范圍、信息系統(tǒng)的邊界等。 |
2 | 獲得信息系統(tǒng)的信息 | 通過調(diào)查或查閱資料的方式,了解被測評信息系統(tǒng)的構(gòu)成,包括網(wǎng)絡(luò)拓?fù)洹I(yè)務(wù)應(yīng)用、業(yè)務(wù)流程、設(shè)備信息、安全措施狀況等。 |
3 | 確定具體的測評對象 | 初步確定每個信息系統(tǒng)的被測評對象,包括整體對象,如機(jī)房、辦公環(huán)境、網(wǎng)絡(luò)等,也包括具體對象,如邊界設(shè)備、網(wǎng)關(guān)設(shè)備、服務(wù)器設(shè)備、工作站、應(yīng)用系統(tǒng)等。 |
4 | 確定測評工作的方法 | 根據(jù)信息系統(tǒng)安全等級情況、系統(tǒng)規(guī)模大小等,明確本次測評的方法。 |
5 | 制定測評工作計(jì)劃 | 制定測評工作計(jì)劃或方案,說明測評范圍、測評對象、工作方法、人員組成、角色職責(zé)、時間計(jì)劃等。 |
6 | 實(shí)施等級保護(hù)測評 | 實(shí)施測評,包括人工檢查、工具掃描等方式。 |
7 | 項(xiàng)目總結(jié) | 對測評結(jié)果進(jìn)行總結(jié)、匯報(bào) |
4、測評內(nèi)容
序號 | 測評名稱 | 測評內(nèi)容 |
1 | 物理安全測評 | 測評信息系統(tǒng)的基礎(chǔ)設(shè)施安全保障情況,主要涉及機(jī)房環(huán)境測評。 |
2 | 網(wǎng)絡(luò)安全測評 | 測評系統(tǒng)的承載網(wǎng)絡(luò),包括網(wǎng)絡(luò)全局和所涉及的重要網(wǎng)絡(luò)設(shè)備。 |
3 | 主機(jī)安全測評 | 測評系統(tǒng)所涉及主機(jī)操作系統(tǒng),包括重要服務(wù)器、終端操作系統(tǒng)、終端安全軟件客戶端。 |
4 | 應(yīng)用安全測評 | 測評系統(tǒng)的安全功能模塊,如身份鑒別、安全審計(jì)和資源控制等。 |
5 | 數(shù)據(jù)安全測評 | 測評系統(tǒng)數(shù)據(jù)的安全,如數(shù)據(jù)保密性和數(shù)據(jù)完整性等。 |
6 | 安全管理測評 | 測評信息安全相關(guān)管理制度、流程、規(guī)范。 |
7 | 系統(tǒng)總體等級保護(hù)達(dá)標(biāo)情況分析 | 結(jié)合系統(tǒng)定級情況,根據(jù)獲取的系統(tǒng)軟硬件資產(chǎn)和分項(xiàng)測評中發(fā)現(xiàn)的風(fēng)險情況,形成《網(wǎng)絡(luò)安全等級測評報(bào)告》。 |
5、交付產(chǎn)物
包括但不僅限于以下資料:
《網(wǎng)絡(luò)安全等級保護(hù)測評報(bào)告》
6、服務(wù)保障與承諾
①供應(yīng)商應(yīng)嚴(yán)格按照測評人員執(zhí)業(yè)守則,按照國家相關(guān)法規(guī)、規(guī)范、標(biāo)準(zhǔn)及制定的測評方案、項(xiàng)目計(jì)劃書、實(shí)施細(xì)則進(jìn)行測評,在保證質(zhì)量、安全的前提下,確保在項(xiàng)目規(guī)定的期限內(nèi)按期完成。
②供應(yīng)商應(yīng)協(xié)助、配合與主管、監(jiān)管部門的溝通協(xié)調(diào)。
③供應(yīng)商應(yīng)在項(xiàng)目開始前,應(yīng)簽訂保密協(xié)議,嚴(yán)格遵守法律法規(guī),對委托單位的商業(yè)秘密、系統(tǒng)風(fēng)險信息、項(xiàng)目實(shí)施內(nèi)容及成果信息進(jìn)行嚴(yán)格保密,未經(jīng)同意,嚴(yán)禁將上述內(nèi)容與任何第三方透露或用于其他商業(yè)用途,并承擔(dān)由此產(chǎn)生的一切損失。
④幫助業(yè)主單位完成相應(yīng)備案文檔制作,配合完成本次定級備案。
⑤提供培訓(xùn)服務(wù),對業(yè)主單位信息安全管理相關(guān)人員進(jìn)行安全意識教育,指導(dǎo)信息安全管理制度的落實(shí),并針對信息安全事故進(jìn)行應(yīng)急處置培訓(xùn)。
7、人員配置要求
本項(xiàng)目總測評工程師必須具有公安部信息安全等級保護(hù)評估中心頒發(fā)的“信息安全等級測評師(高級)”證書,不具有的將導(dǎo)致嚴(yán)重扣分;本項(xiàng)目派駐的專業(yè)測評工程師必須具有公安部信息安全等級保護(hù)評估中心頒發(fā)的“信息安全等級測評師”證書,不具有的將導(dǎo)致嚴(yán)重扣分。
五、商務(wù)要求
1、服務(wù)期限
在本項(xiàng)目合同簽訂后的3個月內(nèi)完成測評和備案工作。
2、付款方式
合同簽訂后支付合同總金額的30%,本項(xiàng)目實(shí)施結(jié)束,經(jīng)驗(yàn)收合格后,支付合同總金額的60%,備案復(fù)審?fù)ㄟ^后,1個月內(nèi)支付合同總金額的10%。
六、評分辦法
序號 | 評分因素及權(quán)重 | 分值 | 評分標(biāo)準(zhǔn) | 說明 |
1 | 價格15% | 15 | 1.經(jīng)評標(biāo)委員會評審,通過資格性和符合性審查,且投標(biāo)報(bào)價最低的投標(biāo)人的投標(biāo)報(bào)價作為評標(biāo)基準(zhǔn)價; 2.投標(biāo)報(bào)價得分=(評標(biāo)基準(zhǔn)價/投標(biāo)報(bào)價)×15 | |
2 | 測評方案(15%) | 15 | 正確理解信息安全等級測評,測評思路清晰、測評內(nèi)容完整、測評重點(diǎn)突出,優(yōu)秀的得5分,一般的得4分; 根據(jù)測評方案中提供的網(wǎng)絡(luò)合理性分析、防護(hù)能力分析、支持環(huán)境分析等專項(xiàng)分析成果模板進(jìn)行綜合評審,優(yōu)秀的得5分,一般的得4分; 根據(jù)測評方案中提供的專項(xiàng)安全分析方案,證明可針對本項(xiàng)目進(jìn)行網(wǎng)絡(luò)合理性分析、整體防護(hù)能力分析、支撐環(huán)境分析等專項(xiàng)分析,優(yōu)秀的得5分,一般的得4分。 | |
3 | 專業(yè)人員 技術(shù)力量45% | 技術(shù)負(fù)責(zé)人10 | 同時具有信息安全等級評測師(高級)證書、信息安全保障人員(CISAW)證書、注冊信息安全專業(yè)人員(CISP)證書、信息安全測評師、國家重要信息系統(tǒng)保護(hù)人員培訓(xùn)證書和計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)人員資格認(rèn)證的信息系統(tǒng)項(xiàng)目管理師(高級)證書,全部提供得10分,部分滿足要求的,得3分,其余不得分。 | 以上人員提供2018年連續(xù)3個月的社保材料。 |
4 | 項(xiàng)目經(jīng)理10 | 項(xiàng)目經(jīng)理同時具有信息安全等級評測師(中級)證書、信息安全測評師、信息安全保障人員(CISAW)證書、注冊信息安全專業(yè)人員(CISP)證書、國家網(wǎng)絡(luò)安全應(yīng)用檢測專業(yè)測評人員(NSATP-A)證書、計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)人員資格認(rèn)證(中級及以上)職稱證書和計(jì)算機(jī)軟件產(chǎn)品檢驗(yàn)員證書全部提供得10分,部分滿足要求的,得3分,其余不得分。 | ||
5 | 測試人員15 | 具有網(wǎng)絡(luò)規(guī)劃師、軟件評測高級工程師、信息系統(tǒng)測評工程師、計(jì)算機(jī)技術(shù)與軟件專業(yè)技術(shù)人員資格認(rèn)證的信息系統(tǒng)項(xiàng)目管理師(高級)證書、信息系統(tǒng)審計(jì)師(CISA)證書之一得3分,最高得15分;每個證書至少要求1個,否則此項(xiàng)最高得3分。 | ||
6 | 培訓(xùn)服務(wù)5 | 投標(biāo)人培訓(xùn)服務(wù)滿足招標(biāo)要求的得2分,優(yōu)于要求的得5分。 | 提供承諾書并加蓋投標(biāo)人公章 | |
7 | 漏洞掃描服務(wù)5 | 投標(biāo)人提供主要設(shè)備漏洞掃描服務(wù)的得5分,未提供不得分。 | 提供承諾書并加蓋投標(biāo)人公章 | |
8 | 投標(biāo)人業(yè)績 | 12 | 2015年1月1日,以來具有信息安全三級等保測評項(xiàng)目案例,每具有1個合同得3分,最多得12分; | 附有效證明文件復(fù)印件(加蓋投標(biāo)人公章,原件備查)。 |
9 | 投標(biāo)人機(jī)構(gòu)情況 | 10 | 1、信息安全風(fēng)險評估服務(wù)資質(zhì)的得4分,未提供相關(guān)證明材料的不得分。 2、具有ISO/IEC 27001 證書的得4分,未提供相關(guān)證明材料的不得分。 | |
10 | 投標(biāo)文件的規(guī)范性 | 3 | 投標(biāo)文件制作規(guī)范,沒有細(xì)微偏差情形的得3分;有一項(xiàng)細(xì)微偏差扣0.5分,扣完為止。 |
七、采購方式及其它要求
1、依據(jù)《中華人民共和國政府采購法》等相關(guān)的法律法規(guī),本次采用競爭性磋商采購方式,均進(jìn)行二輪報(bào)價。
2、投標(biāo)人員需提供投標(biāo)企業(yè)委托書等相關(guān)證件。
3、生產(chǎn)企業(yè)或者生產(chǎn)企業(yè)的授權(quán)代理商均可參加。請授權(quán)代理商現(xiàn)場出示相關(guān)的書面證明材料,否則院方可不接受其參加本次會議。
八、資料的準(zhǔn)備
請參與者根據(jù)提供產(chǎn)品的特點(diǎn),按照“政府采購?fù)稑?biāo)文件模板”制作并裝訂成冊一式叁份,資料內(nèi)含第一次報(bào)價。
九、采購會議時間:2018年12月18日下 午3:00。
會議地點(diǎn):遂寧市中醫(yī)院天峰街7樓二會議室.
聯(lián)系及報(bào)名方式 : 電話: 0825-2255817 肖老師
參加人員請于2018年12月18日下午2:30分到7樓二會議室遞交相應(yīng)資料。
十、如有不明情況,請咨詢曾先生 13508218016
遂寧市中醫(yī)院
2018年12月12日
20181212信息安全三級等報(bào)測評服務(wù)項(xiàng)目招標(biāo)公告.doc
