23-04-28 來(lái)源/作者:練市人民醫(yī)院信息科
湖州市南潯區(qū)醫(yī)療集團(tuán)練市院區(qū)詢(xún)價(jià)公告
南潯區(qū)醫(yī)療集團(tuán)練市院區(qū)系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)1批進(jìn)行院內(nèi)公開(kāi)詢(xún)價(jià),歡迎符合條件的供應(yīng)商前來(lái)報(bào)名。
一、 詢(xún)價(jià)項(xiàng)目 :醫(yī)院信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng),預(yù)算10萬(wàn)元;
二、采購(gòu)方式:院內(nèi)招標(biāo)
三、報(bào)名資格條件
(一)在中華人民共和國(guó)境內(nèi)注冊(cè),具有獨(dú)立法人資格、獨(dú)立承擔(dān)民事責(zé)任和履行合同能力,注冊(cè)資金在人民幣50萬(wàn)元(含50萬(wàn)元)以上;
(二)具生產(chǎn)、經(jīng)營(yíng)項(xiàng)目所必須的各類(lèi)資證:
四、報(bào)名
1. 報(bào)名時(shí)間:2023年 4月29日~2022年 5月4日(8:00~11:30,13:15~16:30,節(jié)假日除外);
2. 報(bào)名地點(diǎn):南潯區(qū)醫(yī)療集團(tuán)練市院區(qū)設(shè)備科
3. 聯(lián)系方式:13868298943 陳科長(zhǎng)
4.報(bào)名表:(見(jiàn)附表)
5.測(cè)評(píng)內(nèi)容及評(píng)分標(biāo)準(zhǔn):(見(jiàn)附件1)
五、詢(xún)價(jià)時(shí)間
1. 時(shí)間:另行通知
2. 地點(diǎn):南潯區(qū)醫(yī)療集團(tuán)練市院區(qū)
湖州市南潯區(qū)醫(yī)療集團(tuán)練市院區(qū)
2023年 4月29日
根據(jù)國(guó)家等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn),等級(jí)保護(hù)測(cè)評(píng)的內(nèi)容(包括但不限于)以下內(nèi)容:
| 系統(tǒng)名稱(chēng) | 等級(jí) | 預(yù)算 |
1 | 基礎(chǔ)支撐 | 二級(jí) |
|
2 | 面向患者服務(wù) | 二級(jí) |
|
A. 基于《信息安全技術(shù) 網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求》(GB/T22239-2019)的對(duì)應(yīng)等級(jí)和應(yīng)用場(chǎng)景(以下選擇)的測(cè)評(píng)服務(wù),并提交反映系統(tǒng)安全現(xiàn)狀的系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告。
□安全通用要求(安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全管理中心、安全管理制度、安全管理機(jī)構(gòu)、安全管理人員、安全建設(shè)管理、安全運(yùn)維管理)
□云計(jì)算安全擴(kuò)展要求(安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全建設(shè)管理、安全運(yùn)維管理)
□移動(dòng)互聯(lián)網(wǎng)安全擴(kuò)展要求(安全物理環(huán)境、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全建設(shè)管理)
□物聯(lián)網(wǎng)安全擴(kuò)展要求(安全物理環(huán)境、安全區(qū)域邊界、安全運(yùn)維管理)
□工業(yè)控制系統(tǒng)擴(kuò)展要求(安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境、安全建設(shè)管理)
□大數(shù)據(jù)可參考安全控制要求(安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全計(jì)算環(huán)境、安全建設(shè)管理)
B. 網(wǎng)絡(luò)安全培訓(xùn)2次(管理層面培訓(xùn)、技術(shù)層面培訓(xùn))
C. 漏洞掃描2次
(1)測(cè)評(píng)應(yīng)滿足的原則
本次安全保護(hù)等級(jí)保護(hù)測(cè)評(píng)實(shí)施方案設(shè)計(jì)與具體實(shí)施應(yīng)滿足以下原則:
a、保密原則:對(duì)測(cè)評(píng)的過(guò)程數(shù)據(jù)和結(jié)果數(shù)據(jù)嚴(yán)格保密,未經(jīng)授權(quán)不得泄露給任何單位和個(gè)人,不得利用此數(shù)據(jù)進(jìn)行任何侵害采購(gòu)人的行為,否則采購(gòu)人有權(quán)追究投標(biāo)供應(yīng)商的責(zé)任。
b、標(biāo)準(zhǔn)性原則:測(cè)評(píng)方案的設(shè)計(jì)與實(shí)施應(yīng)依據(jù)國(guó)家等級(jí)保護(hù)的相關(guān)標(biāo)準(zhǔn)進(jìn)行。
c、規(guī)范性原則:投標(biāo)供應(yīng)商的工作中的過(guò)程和文檔,具有很好的規(guī)范性,可以便于項(xiàng)目的跟蹤和控制。
d、可控性原則:測(cè)評(píng)服務(wù)的進(jìn)度要跟上進(jìn)度表的安排,保證采購(gòu)人對(duì)于測(cè)評(píng)工作的可控性。
e、整體性原則:測(cè)評(píng)的范圍和內(nèi)容應(yīng)當(dāng)整體全面,包括國(guó)家等級(jí)保護(hù)相關(guān)要求涉及的各個(gè)層面。
f、最小影響原則:測(cè)評(píng)工作應(yīng)盡可能小的影響系統(tǒng)和網(wǎng)絡(luò),并在可控范圍內(nèi);測(cè)評(píng)工作不能對(duì)現(xiàn)有信息系統(tǒng)的正常運(yùn)行、業(yè)務(wù)的正常開(kāi)展產(chǎn)生任何影響。
(2)安全測(cè)評(píng)報(bào)告
a、投標(biāo)供應(yīng)商應(yīng)對(duì)采購(gòu)人的信息系統(tǒng)進(jìn)行等級(jí)保護(hù)測(cè)評(píng)、上線測(cè)試,形成相應(yīng)的報(bào)告。
b、投標(biāo)供應(yīng)商在測(cè)評(píng)后出具符合公安局要求的系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)報(bào)告;
c、對(duì)上述系統(tǒng)不符合信息安全等級(jí)保護(hù)有關(guān)管理規(guī)范和技術(shù)標(biāo)準(zhǔn)的,投標(biāo)供應(yīng)商出具可行整改方案并協(xié)助采購(gòu)人整改服務(wù)。
d、投標(biāo)供應(yīng)商協(xié)助采購(gòu)人辦理信息系統(tǒng)安全保護(hù)等級(jí)測(cè)評(píng)備案手續(xù)。
(3)本次等級(jí)保護(hù)測(cè)評(píng)的整體要求
A、投標(biāo)供應(yīng)商應(yīng)詳細(xì)描述本次等級(jí)保護(hù)測(cè)評(píng)的整體實(shí)施方案,包括項(xiàng)目概述、等保測(cè)評(píng)方案、項(xiàng)目實(shí)施方案、測(cè)試過(guò)程中需使用測(cè)試設(shè)備清單、時(shí)間安排、階段性文檔提交和驗(yàn)收標(biāo)準(zhǔn)等。
B、投標(biāo)供應(yīng)商應(yīng)詳細(xì)描述測(cè)評(píng)人員的組成、資質(zhì)及各自職責(zé)的劃分。投標(biāo)供應(yīng)商應(yīng)配置有經(jīng)驗(yàn)的測(cè)評(píng)人員進(jìn)行本次等級(jí)保護(hù)測(cè)評(píng)工作。
C、本次等級(jí)保護(hù)測(cè)評(píng)實(shí)施過(guò)程中所使用到的各種工具軟件由投標(biāo)供應(yīng)商推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)供應(yīng)商提供并在測(cè)評(píng)中使用。在報(bào)價(jià)文件中應(yīng)詳細(xì)描述所使用的安全測(cè)評(píng)工具(軟硬件型號(hào)、功能和性能描述)、使用的方式和時(shí)間、對(duì)環(huán)境和平臺(tái)的要求以及使用可能對(duì)系統(tǒng)造成的風(fēng)險(xiǎn)等。
D、安全測(cè)評(píng)工具軟件運(yùn)行可能需要的硬件平臺(tái)(如筆記本電腦、PC、工作站等)和操作系統(tǒng)軟件等由投標(biāo)供應(yīng)商推薦,經(jīng)采購(gòu)人確認(rèn)后由投標(biāo)供應(yīng)商提供并在測(cè)評(píng)中使用。
E、安全測(cè)評(píng)需要的運(yùn)行環(huán)境(如場(chǎng)地、網(wǎng)絡(luò)環(huán)境等)由采購(gòu)人提供,投標(biāo)供應(yīng)商應(yīng)詳細(xì)描述需要的運(yùn)行環(huán)境的具體要求。
提交包括且不僅僅包括以下成果:
《信息系統(tǒng)安全整改規(guī)劃》
《信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)報(bào)告》
1、評(píng)標(biāo)方法:
本次評(píng)標(biāo)采用綜合評(píng)分法,投標(biāo)文件滿足招標(biāo)文件全部實(shí)質(zhì)性要求且按照評(píng)審因素的量化指標(biāo)評(píng)審得分由高到低的順序確定中標(biāo)候選人。
2.評(píng)分標(biāo)準(zhǔn):
共100分,其中商務(wù)技術(shù)分80分,報(bào)價(jià)分20分。評(píng)分依下述所列為評(píng)標(biāo)打分依據(jù),分值如下(計(jì)算分值時(shí),按其算術(shù)平均值保留小數(shù)2位)。
2.1商務(wù)技術(shù)分80分
評(píng)分項(xiàng) | 分值 | 評(píng)審要求及打分說(shuō)明 |
文件響應(yīng)及技術(shù)方案 | 25分 | 1)方案貼近用戶需求,方案對(duì)用戶網(wǎng)絡(luò)結(jié)構(gòu)、系統(tǒng)組成、業(yè)務(wù)功能的解讀深入性(0-5分) 2)測(cè)評(píng)、安全評(píng)估內(nèi)容齊全、表述準(zhǔn)確、條理清晰,系統(tǒng)整體設(shè)計(jì)合理性,及對(duì)采購(gòu)人實(shí)際使用需求的了解程度(0-5分) 3)方案在確保階段性任務(wù)實(shí)現(xiàn)的同時(shí),兼顧總體目標(biāo)的實(shí)現(xiàn)性(0-3分) 4)方案體現(xiàn)測(cè)評(píng)、評(píng)估過(guò)程測(cè)評(píng)方法的多樣性、有效性,先進(jìn)性、合理性(0-5分) 5)投標(biāo)人對(duì)本項(xiàng)目的難點(diǎn)、要點(diǎn)和關(guān)鍵部位闡明情況(0-4分) 6)投標(biāo)人根據(jù)自身經(jīng)驗(yàn)對(duì)本項(xiàng)目的實(shí)施提出具有針對(duì)性的優(yōu)化建議,其可行性(0-3分) |
商務(wù)資信 | 25分 | 1)具有ISO9001、ISO27001質(zhì)量體系認(rèn)證證書(shū)(每個(gè)得1分,共2分); 2)具有信息安全應(yīng)急處理服務(wù)資質(zhì)證書(shū)、信息安全服務(wù)風(fēng)險(xiǎn)評(píng)估資證書(shū)(每個(gè)得1分,共2分); 3)具有CMA認(rèn)證證書(shū)得2分; 4)具有源代碼備份漏洞利用工具軟件著作權(quán)證書(shū)、源代碼安全審計(jì)檢測(cè)系統(tǒng)軟件著作權(quán)證書(shū)、移動(dòng)安全檢測(cè)系統(tǒng)著作權(quán)證書(shū)、驗(yàn)證碼安全加固認(rèn)證系統(tǒng)著作權(quán)證書(shū)、網(wǎng)站安全掃描工具軟件著作權(quán)證書(shū)(每個(gè)得1分,共5分); 5)參與網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)高風(fēng)險(xiǎn)判定指引(T/ISEAA001-2020)起草得3分; 6)參與信息安全技術(shù)網(wǎng)絡(luò)安全等級(jí)保護(hù)大數(shù)據(jù)基本要求(T/ISEAA002-2021)編制得3分; 7)具有國(guó)家信息安全漏洞共享平臺(tái)漏洞證明證書(shū)(每個(gè)得1分,共5分); 8)具有高新技術(shù)企業(yè)證書(shū)得3分; |
項(xiàng)目經(jīng)驗(yàn) | 5分 | 具有信息系統(tǒng)等級(jí)保護(hù)測(cè)評(píng)案例合同,有一份得3分,兩份得5分,最高5分。合同復(fù)印件蓋章為依據(jù)。 |
項(xiàng)目人員實(shí)力 | 20分 | 1)實(shí)施團(tuán)隊(duì)具有高級(jí)測(cè)評(píng)師且同時(shí)具有公安部科學(xué)技術(shù)獎(jiǎng)證書(shū)得3分; 2)實(shí)施團(tuán)隊(duì)具有高級(jí)測(cè)評(píng)師且同時(shí)具有全國(guó)信息安全標(biāo)準(zhǔn)化技術(shù)委員會(huì)頒發(fā)的信息安全標(biāo)準(zhǔn)優(yōu)秀應(yīng)用案例獎(jiǎng)證書(shū)得3分; 3) 實(shí)施團(tuán)隊(duì)具有大數(shù)據(jù)技術(shù)工程師、數(shù)據(jù)中心運(yùn)維工程師、國(guó)家重要信息系統(tǒng)保護(hù)人員培訓(xùn)證書(shū)(CIIP-E)(每個(gè)得2分,共6分); 4) 實(shí)施團(tuán)隊(duì)具有Oracle OCP數(shù)據(jù)庫(kù)認(rèn)證專(zhuān)家得3分; 5) 項(xiàng)目經(jīng)理同時(shí)具有:高級(jí)測(cè)評(píng)師證書(shū)、國(guó)家重要信息系統(tǒng)保護(hù)人員培訓(xùn)證書(shū)(CIIP-E)、大數(shù)據(jù)技術(shù)工程師、信息安全管理系統(tǒng)審計(jì)認(rèn)證(DNV)、信息安全保障人員認(rèn)證證書(shū)(CISAW)、滲透測(cè)試認(rèn)證證書(shū)(NSCP)、國(guó)家級(jí)優(yōu)秀科技成果完成者證書(shū)、商用密碼應(yīng)用安全性評(píng)估人員測(cè)評(píng)能力證書(shū)(部分具備得2分,全部具備得5分)。 |
售后服務(wù)和響應(yīng)能力 | 5分 | 及時(shí)響應(yīng)能力和售后服務(wù)內(nèi)容的可行性(0-5分)酌情給分。 |
2.2報(bào)價(jià)分20分
按預(yù)算10萬(wàn)元計(jì)算基礎(chǔ)分為12分,每低1000元加0.1分。
