依据《中华人民共和国网络安全法》《信息安全等级保护管理办法》的相关要求,对我院信息系统进行等级测评,包括:安全技术测评、安全管理测评等,形成差距分析报告,编制系统安全整改方案,编制和完善安全管理制度等。
1、在中国境内经工商部门登记注册的,具有独立法人资格;
2、投标人必须持有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书;
3、投标人具有良好的商业信誉,近三年在经营活动中无重大违法记录(须提供承诺函,格式不限);
4、本项目不接受联合体投标,不得转包分包。
5、投标人存在以下不良信用记录情形之一的,不得推荐为中标候选人:
1)投标人被人民法院列入失信被执行人的。
2)近三年来(2019年1月1日以来)投标人或其法定代表人或拟派项目经理(项目负责人)有行贿犯罪行为的;
3)投标人被工商行政管理部门列入严重违法失信企业名单的;
4)投标人被税务部门列入重大税收违法案件当事人名单的;
投标文件递交截止时间为北京时间2022年5月24日17:00,将投标文件按要求一式三份(正本一份,副本二份, 正副本叙述有差异时以正本为准,密封提交)送(递)达天长市人民医院信息中心,逾期不予接收。接收人:周工,电话:0550-7041410
一、指导思想和基本准则:
根据公安部、国家保密局、国家密码管理局、国信办联合印发的《信息系统安全等级保护管理办法》(公通字〔2007〕43 号)、《关于信息系统安全等级保护工作的实施意见》(公通字〔2004〕66 号)、《关于开展全国重要信息系统安全等级保护定级工作的通知》(公信安〔2007〕861 号)、公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信[2009]1429 号)、国家发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]2071 号),以及安徽省发改委《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》(发改高技[2008]967 号)等文件精神,现拟我院实施等级保护测评,以进一步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,为信息化建设的健康有序发展提供可靠保障。
二、具体服务内容和成果,包括但不限于下列:
1)提供信息系统等保测评服务
测评范围包括但不限于安全技术测评和安全管理测评:
1.安全技术测评。对系统涉及的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等技术层面进行现场测评和差距分析,记录相关的测评结果。
2.安全管理测评。对天长市人民医院安全管理机构、安全管理制度、人员安全管理、安全建设管理、安全运维管理等管理层面进行现场测评和差距分析,记录相关的测评结果。
3.形成差距分析报告。依据测评结果和测评标准,对系统进行安全现状分析,形成相应的差距分析报告,为下阶段开展整改工作提供依据。
4.编制整改建议书。依据测评标准,结合差距分析结果,编制信息系统整改建议书。
5.编制和完善安全管理制度。依据测评标准,对涉及到安全管理差距部分的整改,协助制订和完善各项安全管理制度。
6.协助等级保护整改。根据整改建议书中的建议,协助完成测评整改工作。
整改完成后,再次对信息系统进行复测,以验证整改有效性。
7.形成等级测评结论及测评报告提交。完成测评工作和整改后出具符合公
安机关要求的《等级保护测评报告》并报市公安局网安支队。
2)提供等保测评相关增值服务
(1) 漏洞扫描服务
(2) 渗透测试服务
(3) 安全巡检服务
(4) 网络安全应急响应服务
(5) 网络边界监测检查服务
(6) 重要时期安全保障服务
(7) 安全问题应急咨询服务
(8) 网络安全应急演练服务
(9) 网络及信息安全类技术培训服务
(10) 新系统上线前安全检测服务
三、工作要求。
(1)实施原则
规范性原则:成交投标人工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制;
可控性原则:测评的工具、方法和过程需在双方认可的范围之内并符合进度表的安排,保证采购人对服务工作的可控性;
整体性原则:测评和分析的范围和内容应当整体全面,包括安全涉及的各个层面,避免由于遗漏造成未来的安全隐患;
最小影响原则:测评工作应尽可能小的影响系统和网络的正常运行,不能对现网的运行和业务的正常提供产生显著影响(包括系统性能明显下降、网络拥塞、服务中断,如无法避免出现这些情况应在应答书上详细描述);
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人网络的行为,否则采购人有权追究责任。
(2)检测方法
2.1 访谈
访谈是指测评人员通过与被测系统有关人员(个人/群体)进行交流、询问
等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测
评过程中,访谈方法主要应用于安全管理机构测评、人员安全管理测评、系统建设管理测评和系统运维管理测评等安全管理类测评任务中。
在安全管理类测评任务中,测评人员依据定制的测评指导书(访谈问题列表)
对相关人员进行访谈,获取与安全管理有关的测评证据用于判断特定的安全管理
措施是否符合国家相关标准以及委托方的实际需求。
在安全功能检查任务中,测评人员依据定制的测评指导书(访谈问题列表)
对相关人员进行访谈,为后续的检查和测试收集必要的系统基本信息并提供参考
数据。
2.2 检查
检查是指测评人员通过对测评对象进行观察、查验、分析等活动,获取证据以证明信息系统安全保护措施是否有效的一类方法。在本次测评过程中,检查方法的应用范围覆盖了物理安全测评、主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等技术类测评任务,以及安全管理类测评任务。
在物理安全测评任务中,测评人员采用文档查阅与分析和现场观测等检查方法来获取测评证据(如机房的温湿度情况),用于判断目标系统在机房安全方面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。
在主机安全测评、网络安全测评、应用安全测评和数据安全及备份恢复等测评任务中,测评人员综合采用文档查阅与分析、安全配置核查和网络监听与分析等检查方法来获取测评证据(如相关措施的部署和配置情况,特定设备的端口开放情况等),用于判断目标系统在主机、网络和应用层面采用的特定安全技术措施是否符合国家相关标准以及委托方的实际需求。
在安全管理类测评任务中,测评人员主要采用文档查阅与分析的检查方法来获取测评证据(如制度文件的编制情况),用于判断特定的安全管理措施是否符合国家、行业相关标准的要求以及委托方的实际需求。
2.3 测试
测试是指测评人员使用预定的方法/工具使测评对象产生特定的行为,通过
查看、分析这些行为的结果,获取证据以证明信息系统安全保护措施是否有效的
一类方法。在本次测评过程中,测试方法主要应用在手工验证、漏洞扫描等测评
任务中。
在网络安全、主机安全和应用安全等测评任务中,测评人员将综合采用手工
验证和工具测试方法对特定安全技术措施的有效性进行测试,测试结果用于判断
。
目标系统在网络、主机或应用层面采用的特定技术措施是否符合国家相关标准以及委托方的实际需求,并进一步应用于对目标系统进行安全性整体分析。
本项目报总价,报价包含完成本项目服务期间所产生的一切费用(含验收费用),成交后采购人不再另行追加任何费用,供应商应自行考虑报价风险。
1.预算金额:玖万元整(90000.00)。
2.最高限价:玖万元整(90000.00)。投标人报价必须不高于该最高限价,否则按无效标处理。
3.合同履行期限:1 年
五、人员配备及要求
中标人拟派的安全服务团队不得少于 4 人。项目经理需满足中级及以上测评师资质。现场测评结束后,提供一年的售后服务,既售后服务期内根据业主需求能及时安排参与现场测评的测评师到达现场协助和指导整改工作。
六、验收标准
中标供应商应于进场测评,按等保要求,完成规定工作内容,合同签订后3 个月(整改时间不计入内)内出具测评报告;因甲方整改要求,可适当延迟,但最长不超过180个工作日(整改时间不计入内)。
七、付款方式
测评工作完成并出具符合公安机关要求的《等级保护测评报告》后,开具发票接收后,十个工作日内支付。
第三章 项目需求及说明
本次等级保护测评项目范围为本单位共计1个三级系统。合同签订后 3 个月内(整改时间不计入内)交付所有信息系统测评报告;因甲方整改要求,可适当延迟,但最长不超过180个工作日(整改时间不计入内)。
序号 | 待测系统名称 | 系统等级 | 备注 |
1 | 天长市人民医院信息系统 | 三级 | 等级保护测评服务 |
1、本说明中提出的技术方案仅为参考,如无明确限制,供应商可以进行优化,提供满足用户实际需要的更优(或者性能实质上不低于的)服务方案;
2、中标人必须确保整体通过用户方及有关主管部门验收,所发生的验收费用由中标人承担;投标人应自行勘察项目现场,如投标人因未及时勘察现场而导致的报价缺项漏项废标、或成交后无法完工,投标人自行承担一切损失。
综合评分法
1、磋商小组按照下表对进入综合评分的所有供应商的响应文件进行综合评分。
2、本项目综合评分满分为 100 分,其中:技术资信分值占总分值的权重为90%,价格分值占总分值的权重为 10%。具体评分细则如下:
序号 | 评分因素 | 评审细则 | 分值 | |
1、 | 资信分(30 分) | 投标人业绩 | 投标人自 2019 年 1 月 1 日以来(以合同签订时间为准),每为一个单位提供过一个及以上三级系统测评业绩的得 2 分,满分 8 分。 注:响应文件中提供业绩合同扫描件,如合同中无法体现项目签订时间,项目内容等关键评审因素的,须另附业主证明扫描件(不区分履约中业绩和履约完成业绩)。 | 0-8 |
投标人必须持有公安部第三研究所颁发的网络安全等级测评与检测评估机构服务认证证书 | ||||
得3分; | ||||
注:提供测评机构推荐证书扫描件,否则此项不得分。 | ||||
2、投标人自 2019 年 1 月 1 日以来, | ||||
每提供一个中国合格评定国家认可 | ||||
委员会与信息产业信息安全测评中 | ||||
心联合颁发的能力验证计划结果证 | ||||
书的,得 1 分,满分 4 分。 | ||||
注:提供证书扫描件,证书上单位名 | ||||
投标人实力 | 称与投标人名称须一致,否则此项不 | 0-20 | ||
得分。 | ||||
3、投标人具有 ISO9001 质量管理体 | ||||
系认证证书、ISO45001 职业健康安全 | ||||
管理体系认证证书、ISO14001 环境管 | ||||
理体系认证证书的, | ||||
每提供一个得 1 分,满分 3 分。 | ||||
4、增值服务 | ||||
(1)漏洞扫描服务; | ||||
(2)渗透测试服务; | ||||
(3)安全巡检服务; | ||||
(4)网络安全应急响应服务; |
(5)网络边界监测检查服务; | ||||
(6)重要时期安全保障服务; | ||||
(7)安全问题应急咨询服务; | ||||
(8)网络安全应急演练服务; | ||||
(9)网络及信息安全类技术培训服 | ||||
务; | ||||
(10)新系统上线前安全检测服务。 | ||||
投标人每承诺提供上面一项增 | ||||
值服务得 1 分,满分 10 分。 | ||||
注:投标文件中投标人承诺的增值服 | ||||
务,项目结束后均由业主签字验收。 | ||||
投标人在本地注册成立或在本地具 | ||||
有分支机构或承诺合同签订后即设 | ||||
本地化服务能力 | 立本地化服务机构的得 2 分,否则不 | 0-2 | ||
得分,满分 2 分。 | ||||
注:上述“本地”系指“安徽省”。 | ||||
投标人提供测评方案,方案符合政策 | ||||
及行业要求,服务需求是否响应招标 | ||||
文件要求、方法原理清晰,具有可操 | ||||
作性,评审小组酌情评审。 | ||||
1. 测评方案至少应包含:项目概述、 | ||||
技术评分标准(60 分) | 测评方案 | 被测系统描述、测评对象和指标、测 | 0-9 | |
评方法与工具、测评内容和实施、人 | ||||
员安排、服务质量保证、服务风险控 | ||||
制等方面的内容,测评内容、服务质 | ||||
量及风险控制内容,具有完整的风险 | ||||
说明及风险规避处置措施。 | ||||
评委小组根据投标人提供的方案进 | ||||
网络边界监测 | 根据专网情况,提供有效手段监测 终端计算机(windows 主机、linux 主机)、网闸及交换机两网互联或 脱离专网环境的情况,事件发生后 及时通过邮件或短信通知,确保 专网数据安全(0-5分)。 优秀得 5分(含),良好得3分(含), 一般得 1 分,差或未提供不得分。 | 0-5 | ||
安全事件处置与应急响应 | 提供网络安全应急支撑服务, 对网络和系统具体安全事件 进行处置与应急响应(0-7 分)。 评委小组对应急技术、服务 响应时间等内容进行综合评审, 方案详细全面、响应及时、 可操作性强的得 7(含)分, 方案基本完整、但内容欠缺得 4(含)分,没有内容不得分。 | 0-7 | ||
人员配备 | 1、投标人为本项目配备的项目经理具有高级网络安全等级测评师证书高级得 3 分,中级得 2 分,其余不得分,满分 3 分。 2、除项目经理外,投标人为本项目 配备的项目测评人员具有网络安全 等级测评师证书(中级及以上的), 每提供 1 人得 2 分,满分为 8 分。 | 0-23 |
3、投标人为本项目配备的安全服务 | |||||
人员具有中国网络安全审查技术与 | |||||
认证中心(原中国信息安全认证中 | |||||
心)颁发的网络安全保障人员认证 | |||||
(CISAW)类证书,每提供 1 人得 3 分, | |||||
满分6分。 | |||||
4、投标人为本项目配备的安全服务 | |||||
人员具有工业和信息化部人才交流 | |||||
中心颁发的全国工业和信息化应用 | |||||
人才测评证书,每提供一人得 3 分, | |||||
满分6分。 | |||||
注:除项目经理外,同一人员具有多 | |||||
个证书的可累计计分。响应材料须同 | |||||
时提供: | |||||
(1)证书扫描件或影印件并加盖投 | |||||
标人公章。 | |||||
(2)以上人员需提供近 3 个月人员 | |||||
社保证明并加盖投标人公章。 | |||||
如不满足上述要求,投标人所提供的 | |||||
材料均被认定为无效材料,不得分 | |||||
(1)投标人的投标总报价大于最高投标限价时,其投 | |||||
标文件作无效标处理,该投标人的商务标将不予评审, | |||||
2 | 其投标报价不参与评标基准价的确定。 | ||||
投标报价评分标准 | (2)价格分统一采用低价优先法,即满足招标文件要 | 10 分 | |||
求且最终报价最低的价格作为评标基准价,其价格分为 | |||||
满分 10 分。其他投标人的价格分统一按照下列公式计 | |||||
算(四舍五入保留至小数点后两位数): | |||||
报价得分=(评标基准价/投标报价)×10 %×100 | |||||
注:以上涉及资质、资格、证书、证明材料等资料投标文件中均须提供证明材料。投标人必须对其投标时提供的有关资料的真实性负责,一旦查出有弄虚作假行为,将不予退还其投标保证金,并按有关法律法规处理。