信息系统等级保护测评招标公告(XHRYXXK2023-10)
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
根据《中华人民共和国招标投标法》及相关法律法规,依照公开、公平、公正的原则,兴化市人民医院拟对信息系统等级保护测评进行采购,欢迎符合条件的软件供应商积极报名。
招标编号:XHRYXXK2023-10
招标项目名称:信息系统等级保护测评
项目实施地点:兴化市人民医院
公示时间: 2023年12月19日-2023年12月21日
磋商响应文件递交截止时间:2023年12月22日9:30(北京时间)
磋商时间: 2022年12月22日9:45(北京时间)
磋商响应文件份数:正本1份、副本3份(无论是否成交,磋商响应文件恕不退还)
公示方式:兴化市人民医院官网
本项目采购预算金额:人民币贰拾捌万元整(¥:登录即可免费查看.00元),最后响应报价高于采购预算的,将被判定为无效响应文件。
主要技术及服务要求
(一) 项目背景
根据《信息安全等级保护管理办法》及GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,对兴化市人民医院信息系统相关软硬件进行等级保护测评。
(二) 测评系统级别:
(三) 等保测评内容
根据国家对网络安全等级保护工作的最新相关法律和技术标准要求,结合系统保护等级开展实施与之相应的测评工作,等保测评主要包括以下内容:
1、安全物理环境
安全物理环境具体包括10个控制点:
物理位置的选择、 物理访问控制、防盗窃和防破坏、 防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护
2、安全通信网络
安全通信网络具体包括3个控制点:
网络结构、通信传输、可信验证
3、安全区域边界
安全区域边界具体包括6个控制点:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证
4、安全计算环境
安全计算环境具体包括11个控制点:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信计算、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护
5、安全管理中心
安全管理中心具体包括4个控制点:
系统管理、审计管理、安全管理、集中管控
6、安全管理制度
安全管理制度具体包括3个控制点:
管理制度、制定和发布、评审和修订
7、安全管理机构
安全管理机构具体包括5个控制点:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查
8、安全管理人员
安全管理人员具体包括4个控制点:
人员录用、人员离岗、安全意识教育及培训、外部人员访问管理
9、安全建设管理
安全建设管理具体包括10个控制点:
系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择
10、安全运维管理
安全运维管理具体包括14个控制点:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理
(四) 等保测评服务
对信息系统进行等级保护差距测评,测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理物十大层面。客观的分析信息系统保护现状和网络安全等级保护基本要求之间的差距。
完成网络安全等级保护的测评,提交信息系统的测评报告至本地公安等保办,完成等级保护测评工作。
(五) 测评实施原则
客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
规范性原则:网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项
系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
测评师规范原则:检测实施方工作人员必须通过公安部的等级保护等级测评师认证,持证上岗,经项目委托方确认资格后方可实施检测。
(六) 其它说明
报价要求:本项目采用总价包干的方式。包括收集资料费、调查费、会议费、评审费、人员费、培训费、交通费、办公设备费、食宿费、风险费、保险费、税金、利润等政策性文件规定及合同包含的所有风险、责任等各项应有费用。合同价格不因服务期延长、物价变动及规范性、指导性、政策性文件等发生变化等因素而调整。
供应商必须说明其是否响应采购文件中提出的全部服务内容与要求,如果以其中某些条款不响应时,应在文件中逐条列出,未列出的视同响应。
付款方式
合同服务履行内容结束并交付等保测评报告后,采购人向供应商一次性支付100%款项。
(附评分办法)
一、价格F1(20分)
满足磋商文件要求且最后报价最低的报价为磋商基准价,其价格分为满分20分。其他供应商的价格分按下列公式计算:磋商报价得分=(磋商基准价/最后报价)×20%×100。
二、企业综合实力F2(8分)
1、认证证书(2分):供应商具有有效的经国家认证认可监督管理委员会备案的质量管理体系认证证书、网络安全管理体系认证证书的,每提供一项得1分,最高得2分
2、供应商业绩(6分):供应商具有同类项目业绩的,每有一项得1分,最高得6分。(提供合同复印件)
三、工作方案F3(58分)
1、供应商针对服务内容及服务方法进行详细说明,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得16分;上述方案较具体、较合理、具有一定可操作性的得14.5分;上述方案内容片面的得13分,未提供的本项不得分。
2、供应商针对本项目制定规范的服务标准及详细工作流程,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得16分;上述方案较具体、较合理、具有一定可操作性的得14.5分;上述方案内容片面的得13分,未提供的本项不得分。
3、供应商针对等级保护测评过程中的风险制定完善的规避措施,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得13分;上述方案较具体、较合理、具有一定可操作性的得11.5分;上述方案内容片面的得10分,未提供的本项不得分。
4、供应商针对本项目制定施工组织设计,包括项目时间计划、工具配备及人员的分工安排等,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得13分;上述方案较具体、较合理、具有一定可操作性的得11.5分;上述方案内容片面的得10分,未提供的本项不得分。
四、人员配备F4(14分)
1、项目负责人资质:供应商拟配备的项目负责人具有高级测评师的,得2分;具有IT服务项目经理资格证书(ITSS)的,得2分。满分4分。(提供证书复印件)
2、除项目负责人外,项目团队中具有注册网络安全专业人员(CISP)证书,有1个得1分,最高得4分;具有重要信息系统安全保护人员(CIIPT)证书,有1个得1分,最高得4分;具有信息安全保障人员证书(风险管理方向),得2分。本项目满分10分。(提供证书复印件)
以上所有人员均须提供近六个月任意一个月(不含磋商当月)由供应商为其缴纳的社保证明复印件。
综合得分=F1+F2+F3+F4
声明:当出现损害国家和采购人利益情况时,采购人有选择或拒绝任何供应商的权利,并对所采取的行为不主动说明原因。
兴化市人民医院
2023年12月19日
招标编号:XHRYXXK2023-10
招标项目名称:信息系统等级保护测评
项目实施地点:兴化市人民医院
公示时间: 2023年12月19日-2023年12月21日
磋商响应文件递交截止时间:2023年12月22日9:30(北京时间)
磋商时间: 2022年12月22日9:45(北京时间)
磋商响应文件份数:正本1份、副本3份(无论是否成交,磋商响应文件恕不退还)
公示方式:兴化市人民医院官网
本项目采购预算金额:人民币贰拾捌万元整(¥:登录即可免费查看.00元),最后响应报价高于采购预算的,将被判定为无效响应文件。
主要技术及服务要求
(一) 项目背景
根据《信息安全等级保护管理办法》及GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》,对兴化市人民医院信息系统相关软硬件进行等级保护测评。
(二) 测评系统级别:
| 序号 | 系统名称 | 测评级别 |
| 1 | HIS系统 | 三级 |
| 2 | LIS系统 | 三级 |
| 3 | PACS系统 | 三级 |
| 4 | EMR系统 | 三级 |
| 5 | 信息集成平台 | 三级 |
| 6 | 门户网站 | 二级 |
(三) 等保测评内容
根据国家对网络安全等级保护工作的最新相关法律和技术标准要求,结合系统保护等级开展实施与之相应的测评工作,等保测评主要包括以下内容:
1、安全物理环境
安全物理环境具体包括10个控制点:
物理位置的选择、 物理访问控制、防盗窃和防破坏、 防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护
2、安全通信网络
安全通信网络具体包括3个控制点:
网络结构、通信传输、可信验证
3、安全区域边界
安全区域边界具体包括6个控制点:
边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证
4、安全计算环境
安全计算环境具体包括11个控制点:
身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信计算、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护
5、安全管理中心
安全管理中心具体包括4个控制点:
系统管理、审计管理、安全管理、集中管控
6、安全管理制度
安全管理制度具体包括3个控制点:
管理制度、制定和发布、评审和修订
7、安全管理机构
安全管理机构具体包括5个控制点:
岗位设置、人员配备、授权和审批、沟通和合作、审核和检查
8、安全管理人员
安全管理人员具体包括4个控制点:
人员录用、人员离岗、安全意识教育及培训、外部人员访问管理
9、安全建设管理
安全建设管理具体包括10个控制点:
系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务供应商选择
10、安全运维管理
安全运维管理具体包括14个控制点:
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理
(四) 等保测评服务
对信息系统进行等级保护差距测评,测评内容包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理物十大层面。客观的分析信息系统保护现状和网络安全等级保护基本要求之间的差距。
完成网络安全等级保护的测评,提交信息系统的测评报告至本地公安等保办,完成等级保护测评工作。
(五) 测评实施原则
客观性和公正性原则:测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案开展。
保密原则:在测评过程中,需严格遵循保密原则,双方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
最小影响原则:测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应做出说明。
规范性原则:网络安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
质量保障原则:在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项
系统安全原则:项目工作人员需遵守等保检测规定,采用符合标准的检测工具和检测方法实施检测,如因违规操作造成对检测系统的破坏,则应承担相应责任。
测评师规范原则:检测实施方工作人员必须通过公安部的等级保护等级测评师认证,持证上岗,经项目委托方确认资格后方可实施检测。
(六) 其它说明
报价要求:本项目采用总价包干的方式。包括收集资料费、调查费、会议费、评审费、人员费、培训费、交通费、办公设备费、食宿费、风险费、保险费、税金、利润等政策性文件规定及合同包含的所有风险、责任等各项应有费用。合同价格不因服务期延长、物价变动及规范性、指导性、政策性文件等发生变化等因素而调整。
供应商必须说明其是否响应采购文件中提出的全部服务内容与要求,如果以其中某些条款不响应时,应在文件中逐条列出,未列出的视同响应。
付款方式
合同服务履行内容结束并交付等保测评报告后,采购人向供应商一次性支付100%款项。
(附评分办法)
一、价格F1(20分)
满足磋商文件要求且最后报价最低的报价为磋商基准价,其价格分为满分20分。其他供应商的价格分按下列公式计算:磋商报价得分=(磋商基准价/最后报价)×20%×100。
二、企业综合实力F2(8分)
1、认证证书(2分):供应商具有有效的经国家认证认可监督管理委员会备案的质量管理体系认证证书、网络安全管理体系认证证书的,每提供一项得1分,最高得2分
2、供应商业绩(6分):供应商具有同类项目业绩的,每有一项得1分,最高得6分。(提供合同复印件)
三、工作方案F3(58分)
1、供应商针对服务内容及服务方法进行详细说明,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得16分;上述方案较具体、较合理、具有一定可操作性的得14.5分;上述方案内容片面的得13分,未提供的本项不得分。
2、供应商针对本项目制定规范的服务标准及详细工作流程,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得16分;上述方案较具体、较合理、具有一定可操作性的得14.5分;上述方案内容片面的得13分,未提供的本项不得分。
3、供应商针对等级保护测评过程中的风险制定完善的规避措施,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得13分;上述方案较具体、较合理、具有一定可操作性的得11.5分;上述方案内容片面的得10分,未提供的本项不得分。
4、供应商针对本项目制定施工组织设计,包括项目时间计划、工具配备及人员的分工安排等,由磋商小组横向比较打分,上述方案全面具体、科学合理、操作可行的得13分;上述方案较具体、较合理、具有一定可操作性的得11.5分;上述方案内容片面的得10分,未提供的本项不得分。
四、人员配备F4(14分)
1、项目负责人资质:供应商拟配备的项目负责人具有高级测评师的,得2分;具有IT服务项目经理资格证书(ITSS)的,得2分。满分4分。(提供证书复印件)
2、除项目负责人外,项目团队中具有注册网络安全专业人员(CISP)证书,有1个得1分,最高得4分;具有重要信息系统安全保护人员(CIIPT)证书,有1个得1分,最高得4分;具有信息安全保障人员证书(风险管理方向),得2分。本项目满分10分。(提供证书复印件)
以上所有人员均须提供近六个月任意一个月(不含磋商当月)由供应商为其缴纳的社保证明复印件。
综合得分=F1+F2+F3+F4
声明:当出现损害国家和采购人利益情况时,采购人有选择或拒绝任何供应商的权利,并对所采取的行为不主动说明原因。
兴化市人民医院
2023年12月19日
微信扫码关注
