通知公告
2024年信息系统等级保护测评项目的采购公告
2024年信息系统等级保护测评项目的采购公告
一、项目名称及控制价
1.项目名称:遂宁市民康医院2024年信息系统等级保护测评项目
2.预算控制价:14.72万元
3.资金来源:自筹资金
二、项目采购需求:详见附件1
三、供应商需具备的条件
(一)一般资格条件
1.具有独立承担民事责任的能力,证明材料:提供营业执照副本复印件并加盖单位鲜章;
2.具有良好的商业信誉和健全的财务会计制度,证明材料:提供2022年或者2023年经审计的财务报告复印件;
3.具有履行合同所必需的设备和专业技术能力,证明材料:提供供应商办公场地及器材设备图片资料;提供公司技术人员、工作人员配备。
4.具有依法缴纳税收和社会保障资金的良好记录,证明材料:提供近三月的缴纳税收和社保证明。
5.参加本次采购活动前三年内,在经营活动中没有重大违法记录(提供承诺函)。
6.法律、行政法规规定的其他条件(提供承诺函)。
(二)特定资格条件
供应商需具有公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》或《网络安全服务认证证书等级保护测评服务认证》。
备注:以上所需提供的材料原件或复印件及报价单必须加盖投标人鲜章,未提供或提供不全作无效投标处理。
四、采购方式及其它要求
1.医院采用院内比选的采购方式进行综合评分采购活动,需进行两轮报价。
2.本项目不接受联合体。
五、资料的准备
(一)供应商需递交的资料
1.响应函(响应项目);
2.廉洁承诺函(自拟);
3.报价单(参照附件1里面的项目需求表);
4.本公司的证件,包括社会信用代码等相关资质;
5.本公司法人对业务代表的授权委托书(包含授权内容、授权期限、业务员联系电话)、业务代表的身份证复印件;
6.国家法律法规要求应当具备的其他相关资质证明文件。
(二)资料要求及其它事项提醒:请参与者根据本项目的特点,制作采购投标文件并装订成册,共壹份,封面为响应文件;资料内含第一次报价。以上资料均需加盖鲜章并密封。
六、采购会议时间: 2024年11月12日下午15点。
会议地点:遂宁市经开区西宁大道199号(遂宁市民康医院精神医学门诊楼五楼会议室)。
联系人 :熊老师 曾老师 电话: 0825-2623203。
参加人员请于2024年11月12日14:30之前递交相应资料到精神医学门诊楼五楼采购办并签到,逾期未签到不予受理。
附件:1.遂宁市民康医院2024年信息系统等级保护测评项目的采购需求;2.评分细则
附件1:
遂宁市民康医院2024年信息系统等级保护测评项目的采购需求
一、项目概况
遂宁市民康医院按照国家、行业相关的安全要求,需要对其信息系统进行安全等级保护测评。安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。依据相关的测评准则,结合系统的构成特点,确定具体的测评对象,制定测评方案,通过访谈、检查、测评和系统分析等方式判断其安全技术和安全管理的各方面是否达到了相应等级的国家信息系统等级保护要求,找出信息系统中存在的安全隐患,对安全性进行整体评估,制定相关的信息安全整体安全策略和中长期的安全规划,以便对被测系统进行安全方面的调整和改进,确保其安全防护水平达到信息系统安全等级保护相应能力的要求
二、项目需求表
序号 |
测评系统名称 |
级别 |
最高限价(万元) |
1 |
医院HIS系统 |
三级 |
7.36万元 |
2 |
医院LIS系统 |
三级 |
7.36万元 |
三、项目要求
1、项目检测依据
《中华人民共和国网络安全法》
《信息安全技术 信息安全风险评估规范(GB/T 20984-2007)》;
《网络安全等级保护基本要求(GB/T 22239-2019)》
《信息安全等级保护管理办法(公通字﹝2007﹞43 号)》;
《信息安全技术网络安全等级保护定级指南(GBT 22240—2020)》;
《网络安全等级保护设计技术要求(GB/T25070-2019)》;
《网络安全等级保护测评要求(GB/T28448-2019)》;
《信息系统安全等级保护基本要求(GB/T 22239-2019)》;
《信息安全技术 网络安全等级保护实施指南(GB/T 25058-2019)》;
《信息安全技术信息安全风险评估规范(GB/T 20984-2007)》
2、项目测评内容
2.1 信息系统技术安全性测评
2.1.1 安全物理环境
安全物理环境针对物理机房的安全控制要求,主要对象为物理环境、物理设备和物理设施等;涉及的安全控制点包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、安全等级保和电磁防护。
2.1.2 安全通信网络
安全通信网络针对网络架构和通信传输安全控制要求。主要对象为广域网、城域网、局域网的通信传输以及网络架构等;涉及的安全控制点包括网络架构、通信传输和可信验证。
2.1.3 安全区域边界
安全区域边界针对网络边界安全控制要求,主要对象为系统边界和区域边界等;涉及的安全控制点包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计和可信验证。
2.1.4 安全计算环境
安全计算环境针对边界内部安全控制要求,主要对象为边界内部的所有对象,包括网络设备、安全设备、服务器设备、终端设备、应用系统、数据对象和其他设备等;涉及的安全控制点包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证。
2.1.5 安全管理中心
安全管理中心针对整个系统安全管理方面的技术控制要求,通过技术手段实现集中管理;涉及的安全控制点包括系统管理、审计管理、安全管理和集全等级。
2.1.6 安全管理制度
安全管理制度测评是对信息系统的安全管理制度体系和制度内容、制定和发布流程、评审和修订机制等情况进行测评。
2.1.7 安全管理机构
安全管理机构测评对信息系统的安全管理组织和岗位设置、人员配备、授权和审批、沟通和合作、审核和检查等情况进行测评。
2.1.8 安全管理人员
人员安全管理测评对信息系统相关内部人员的人员录用、人员离岗、人员考核、安全意识教育和培训,以及外部人员访问管理等情况进行测评。
2.1.9 安全建设管理
系统建设管理测评对信息系统建设过程中的系统定级、安全方案设计、产品采购和使用、自主软件开发、外包软件开发、工程实施、测试验收、系统交付、系统定级备案、等级测评、安全服务商选择等情况进行测评。
2.1.10 安全运维管理
系统运维管理测评对信息系统运行维护过程中的环境管理、资产管理、介质管理、设备管理、监控管理和安全管理中心、网络安全管理、系统安全管理、恶意代码防范管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理等情况进行测评。
2.2 等级保护要求的相关内容
3、项目测评要求
3.1 按照国家相关标准要求,完成在公安局完成信息安全等级保护定级备案所有工作。
3.2 对遂宁市民康医院信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理共 10 个层面通过访谈、检查、测评等方法进行初测评,找出差距、安全漏洞和隐患并分析其风险,制订出整改建议报告。
3.3 根据相关要求及测评的整改意见,协助被测信息系统的安全修复、系统加固等工作。
4、项目测评交付资料
项目测评后需提交《遂宁市民康医院HIS应用等级测评报告》、《遂宁市民康医院LIS应用等级测评报告》、《系统整改建议报告》、HIS应用系统信息安全等级保护备案证明、LIS应用系统信息安全等级保护备案证明等资料。
四、商务要求
1.服务要求
1.1.项目现场实施配备人员不得少于 5 名,其中网络安全等级测评师(高级)不少于 1 名,网络安全等级测评师(中级)不少于 2 名,网络安全等级测评师(初级)不少于 2 名,提供上述人员的近一年社保证明材料加盖公章,要求上述人员在项目过程中务必到场实施。
1.2.服务期限:1 年
1.3.服务地点:遂宁市民康医院指定地点
1.4.免费提供一次全院级别的信息安全培训会议。
2.服务保障与承诺
2.1.服务提供商应严格按照测评人员执业守则,按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评,在保证质量、安全的前提下,确保在项目规定的期限内按期完成。
2.2.服务提供商应协助、配合与上级监管部门、公安机关的沟通协调。在测评过程中和测评完成后,协助、配合进行相关的信息系统安全整改。
2.3.服务提供商应在项目期内向提供 7*24 小时电话咨询服务,必要时上门服务。跟踪信息安全等级保护的最新发展情况,及时告之,提供相应解决方案及建议,协助其持续符合信息系统信息安全等级保护工作的要求。
2.4.服务提供商应在项目实施过程中,对相关人员进行安全方面的技术培训,明确项目实施的思路、方案、技术路线,提升技术人员的安全意识,可以独立的对信息安全等级保护的国家安全政策和法规进行把握,了解测评整改手段,掌握测评整改方法。
2.5.服务提供商应在项目开始前,签订保密协议,严格遵守法律法规,对商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密,未经同意,严禁将上述内容与任何第三方透露或用于其他商业用途,并承担由此产生的一切法律后果。
附件2:
评分细则
说明:投标供应商提供的佐证资料应清晰并完整,若存在模糊不清、缺页缺项等情况可视为无效依据。
评分因素 |
分值 |
评分标准 |
备注 |
价格 (30%) |
30分 |
以本次有效投标的最低投标报价为基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算价格得分=(基准价/投标报价)×30。 |
|
履约能力20% |
20分 |
供应商提供类似项目业绩一个得5分,本项最高得20分。(类似项目指信息系统等级测评项目) |
提供合同复印件或验收单加盖供应商单位鲜章。 |
服务方案(30%) |
30分 |
对提供的测评服务方案进行评审,内容包含对信息系统的安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理共 10 个层面,针对10个层面制定方案。说明:上述方案内容全面、措施完善、针对性强的得30分,每缺少一项内容扣3分,有一项内容有缺陷扣1.5分,扣完为止(内容缺陷指:存在项目名称错误、地点区域错误、内容与本项目需求无关、方案内容矛盾不合理或表述前后不一致、仅有框架或标题、明显复制其他项目内容等任意一种情形)。 |
|
后续保障20% |
20分 |
内容至少包含:1.本项目施工组织架构管理体系:①其中项目现场实施配备人员不得少于 5 名,至少包含网络安全等级测评师(高级) 1 名,网络安全等级测评师(中级) 2 名,网络安全等级测评师(初级) 2 名,提供上述人员的近三月社保证明材料及证书并加盖公章。 本项满分5分,高级1人得1分,中级1人得1分,初级1人得1分,多于或优于以上人数不加分。②拟派人员中具有计算机技术与软件专业资格信息安全工程师(软考类)、注册数据安全治理专业人员(CISP-DSG)、注册渗透测试专家(CISP-PTS)、国家信息安全水平证书(一级)、系统架构师(高级),提供上述人员的近三月社保证明材料及证书并加盖公章。本项满分5分,满足一项得1分,多于或优于以上人数不加分。2.针对本项目实施过程中:①重难点分析②应急应对措施③制定信息安全整体安全策略和中长期的安全规划④后期服务保障承诺方案;(内容全面、措施完善、针对性强的得10分,每缺少一项内容扣2.5分,有一项内容有缺陷扣1.25分,扣完为止。内容缺陷指:存在项目名称错误、地点区域错误、内容与本项目需求无关、方案内容矛盾不合理或表述前后不一致、仅有框架或标题、明显复制其他项目内容等任意一种情形)。
|
|