安徽省廬江縣中醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)采購公告
安徽省廬江縣中醫(yī)院就網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)項(xiàng)目進(jìn)行招標(biāo)采購,歡迎符合條件的供應(yīng)商參加投標(biāo)。
、項(xiàng)目名稱及內(nèi)容
1. 項(xiàng)目名稱:安徽省廬江縣中醫(yī)院網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)采購項(xiàng)目
2. 項(xiàng)目地點(diǎn):安徽省廬江縣中醫(yī)院
3. 項(xiàng)目單位:安徽省廬江縣中醫(yī)院
4. 項(xiàng)目預(yù)算:18萬元
5. 測評周期:合同簽署后60日內(nèi)出具符合安徽省公安廳要求的正式測評報(bào)告
二、投標(biāo)供應(yīng)商資格要求
1. 符合《中華人民共和國政府采購法》第二十二條規(guī)定的投標(biāo)人資格條件;
2. 投標(biāo)供應(yīng)商應(yīng)入圍全國等級保護(hù)測評機(jī)構(gòu)推薦目錄(網(wǎng)址http://www.djbh.net 可查詢);
3. 投標(biāo)供應(yīng)商必須持有網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦證書;
4. 本采購項(xiàng)目不接受聯(lián)合體投標(biāo);
三、投標(biāo)供應(yīng)商報(bào)名和要求
報(bào)名方式及報(bào)名截止時(shí)間
報(bào)名截止時(shí)間:從本采購公告發(fā)布之日起,至 2020年6月 5日17 時(shí)
止(北京時(shí)間)。
報(bào)名方式:凡有意參加投標(biāo)的供應(yīng)商,請于報(bào)名截止時(shí)間前到縣中醫(yī)院招標(biāo)采購辦報(bào)名。報(bào)名費(fèi):300元。
四、項(xiàng)目要求
根據(jù)《信息安全技術(shù) 信息安全等級保護(hù)基本要求》(GB/T
22239-2019) 、 《信
息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)安全設(shè)計(jì)技術(shù)要求》(GB/T
25070-2019)、《信息
安全技術(shù) 信息系統(tǒng)安全等級保護(hù)測評要求》(GB/T28448-2019)等相關(guān)標(biāo)準(zhǔn)以及項(xiàng)目單位有關(guān)要求,對以下信息系統(tǒng)開展等級保護(hù)測評。
|
序號 |
待測網(wǎng)絡(luò)/信息系統(tǒng)名稱 |
安全保護(hù)等級 |
|
1. |
面向患者服務(wù)系統(tǒng) |
三級 |
|
2. |
財(cái)務(wù)系統(tǒng) |
三級 |
() 項(xiàng)目實(shí)施內(nèi)容
1. 定級備案
協(xié)助采購方各重要信息系統(tǒng)在網(wǎng)安部門完成定級備案工作,交付定級報(bào)告、專家評審意見表和備案表等內(nèi)容,并取得相應(yīng)系統(tǒng)的備案證明。
2. 等級保護(hù)測評
投標(biāo)人須依據(jù)《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》(GB/T 22239-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》(GB/T
28448-2019)、《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》(GB/T 28449-2018)和《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)定級指南》(GA/T
1389-2017)等等級保護(hù)相關(guān)標(biāo)準(zhǔn)對待測系統(tǒng)進(jìn)行等級保護(hù)測評工作。
等級保護(hù)測評內(nèi)容主要包括以下幾個(gè)方面:
1) 安全技術(shù)測評:包括安全物理環(huán)境、安全通信網(wǎng)絡(luò)、安全區(qū)域邊界、安全計(jì)算環(huán)境和安全管理中心等五個(gè)方面的安全測評;
2) 安全管理測評:包括安全管理機(jī)構(gòu)、安全管理制度、安全管理人員、安全建設(shè)管理和安全運(yùn)維管理等五個(gè)方面的安全測評;
3) 工具測試:針對重要信息系統(tǒng)進(jìn)行定期的漏洞掃描、滲透測試等安全服務(wù)工作;
4) 整改建議:投標(biāo)人應(yīng)根據(jù)現(xiàn)場測評中發(fā)現(xiàn)的問題,分析與GB/T
22239-2019、ISO/IEC
27001、ISO/IEC 20000、ISO
22301、ITIL和ITSS等行業(yè)佳實(shí)踐之間的差距,按照網(wǎng)絡(luò)安全等級保護(hù)標(biāo)準(zhǔn)要求提出安全整改建議;
5) 編制測評報(bào)告:完成上述測評工作和整改加固實(shí)施后,投標(biāo)人后出具符合公安機(jī)關(guān)要求的各信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)測評報(bào)告。
3. 等級保護(hù)安全培訓(xùn)
投標(biāo)人需要為采購方提供不少于1次的信息安全技術(shù)培訓(xùn),確保管理人員和技術(shù)人員掌握關(guān)于信息系統(tǒng)等級保護(hù)相關(guān)規(guī)范、信息安全策略、信息保密制度,信息安全管理制度和相關(guān)流程等。
(二) 項(xiàng)目實(shí)施要求
1. 客觀性和公正性要求
在小主觀判斷情形下,按照評估雙方相互認(rèn)可的評估方案,基于明確定義
的測評方式和解釋,實(shí)施評估活動(dòng)。
2. 保密要求
在測評過程中,需嚴(yán)格遵循保密原則,對服務(wù)過程中涉及到的任何用戶信息
未經(jīng)允許不向其他任何第三方泄漏,以及不得利用這些信息損害采購方利益。
3. 小影響要求
測評工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行,不能對業(yè)務(wù)的正常運(yùn)
行產(chǎn)生明顯的影響(包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等),如無法
避免,則應(yīng)預(yù)先做出說明并經(jīng)業(yè)主同意后實(shí)施。
4. 規(guī)范性要求
信息安全等級保護(hù)測評服務(wù)的實(shí)施必須由專業(yè)的測評服務(wù)人員依照規(guī)范的
操作流程進(jìn)行,對操作過程和結(jié)果要有相應(yīng)的記錄,并提供完整的服務(wù)報(bào)告。
5. 質(zhì)量保障要求
在整個(gè)測評過程中,須特別重視項(xiàng)目質(zhì)量管理。項(xiàng)目的實(shí)施將嚴(yán)格按照項(xiàng)目
實(shí)施方案和流程進(jìn)行,并由項(xiàng)目協(xié)調(diào)小組從中監(jiān)督,控制項(xiàng)目的進(jìn)度和質(zhì)量。
6. 服務(wù)響應(yīng)要求
投標(biāo)人需要具備及時(shí)響應(yīng)能力,簽訂后根據(jù)招標(biāo)人安排的日期時(shí)間進(jìn)場測評,出具整改報(bào)告協(xié)助完成系統(tǒng)建設(shè)整改及完成整體項(xiàng)目。同時(shí)如發(fā)生故障,在得到用戶通知后,4小時(shí)內(nèi)響應(yīng),12小時(shí)以內(nèi)到現(xiàn)場處理,24小時(shí)內(nèi)修復(fù)的售后響應(yīng)能力。
7. 項(xiàng)目團(tuán)隊(duì)要求
投標(biāo)人需根據(jù)測評業(yè)務(wù)系統(tǒng)的數(shù)量自行評估并配置不少于5人(至少包括1高、2中)的測評實(shí)施團(tuán)隊(duì),測評實(shí)施團(tuán)隊(duì)在合同約定期內(nèi)派駐招標(biāo)人指定地點(diǎn)辦公;投標(biāo)人在中標(biāo)后需保證在實(shí)施階段主要技術(shù)人員必須是全職。
五、評標(biāo)要求
() 投標(biāo)文件的遞交及相關(guān)要求
1. 投標(biāo)文件遞交的截止時(shí)間:
同前述“報(bào)名截止時(shí)間”。
2. 投標(biāo)文件的密封和標(biāo)記:
投標(biāo)文件應(yīng)裝訂成冊并封裝,投標(biāo)人需將投標(biāo)封裝,且封口處應(yīng)加蓋投標(biāo)人
公章;非膠裝成冊的按廢標(biāo)處理。
密封袋均應(yīng)注明:項(xiàng)目名稱、投標(biāo)人名稱及“請勿在年月日午時(shí)分(投標(biāo)截
止時(shí)間)之前啟封”的字樣。
如果未按規(guī)定封裝或加寫標(biāo)記,采購人(項(xiàng)目單位)將不承擔(dān)投標(biāo)文件錯(cuò)放
或提前開封的責(zé)任,并可能導(dǎo)致投標(biāo)無效。
3. 遲交的投標(biāo)文件
投標(biāo)文件須在投標(biāo)截止時(shí)間前送達(dá),否則采購人(項(xiàng)目單位)將拒收遲交的
投標(biāo)文件,即投標(biāo)供應(yīng)商的投標(biāo)無效。
六、評分細(xì)則
本項(xiàng)目評標(biāo)辦法采用綜合評分法。
本項(xiàng)目技術(shù)分值占總分值的權(quán)重為 60%,資信分值占總分值的權(quán)重為30%,價(jià)格分值占總分值的權(quán)重為 10%。具體評分細(xì)則如下:
|
類別 |
評分內(nèi)容 |
評分標(biāo)準(zhǔn) |
分值范圍 |
|
技術(shù)分(60分) |
服務(wù)方案 |
1、項(xiàng)目實(shí)施方案:工作范圍清晰,具有完整的風(fēng)險(xiǎn)說明及風(fēng)險(xiǎn)規(guī)避處置措施,項(xiàng)目實(shí)施計(jì)劃和測評內(nèi)容以及項(xiàng)目管理方案可行性合理。評委對各家測評實(shí)施方案進(jìn)行橫向比較,詳實(shí):10-15、良好:5-9 般:1-3、較差:0。
2、培訓(xùn)宣貫方案:工作范圍清晰,具有完整的培訓(xùn)計(jì)劃、培訓(xùn)方案以及線上線下結(jié)合的培訓(xùn)方案和配套工具,提供實(shí)際培訓(xùn)、宣貫案例介紹。評委對各家培訓(xùn)宣貫方案進(jìn)行橫向比較,詳實(shí):3-5、般:1-2、較差:0。
3、項(xiàng)目管理方案:工作范圍清晰,具有完整的項(xiàng)目管理方法論和內(nèi)容。評委對各家項(xiàng)目管理方案進(jìn)行橫向比較,詳實(shí):3-5、般:1-2、較差:0。 |
0-25分 |
|
項(xiàng)目人員配備 |
投標(biāo)人針對本項(xiàng)目擬配備的項(xiàng)目團(tuán)隊(duì)需設(shè)置項(xiàng)目經(jīng)理、質(zhì)量經(jīng)理、滲透測試工程師,具體指標(biāo)如下:
1、項(xiàng)目團(tuán)隊(duì)組成:參與本項(xiàng)目的人員配備,在滿足低要求(1名高級、5名中級、2名初級)的基礎(chǔ)上,每增加1名網(wǎng)絡(luò)安全等級保護(hù)中級(含)以上評測師,得0.5分;滿分5分。
2、項(xiàng)目經(jīng)理:具有測評師(中級及以上)證書,得2分;具有CISP證書,得1分;具有CCSRP證書,得1分;具有CISAW證書或者信息安全管理體系審核員證書的,得1分;滿分5分。
3、質(zhì)量經(jīng)理:具有測評師證書(中級及以上),得2分;具有CISP或者CCSRP證書,得1分;具有CISAW證書或者信息安全管理體系審核員證書,得1分;滿分4分。
4、滲透測試工程師:具有測評師證書(中級及以上)得1分;具有NSATP-A滲透測試類證書,得1分;滿分2分。
5、培訓(xùn)講師:具有測評師高級證書,得1分;具有CISI培訓(xùn)講師證書,得1分;具有CCSRP培訓(xùn)講師證書,得1分;具有CISP或者CISAW證書,得1分;滿分4分。
注:以上證書須提相關(guān)證明材料并加蓋公章,且提供持證人員近三個(gè)月在投標(biāo)單位的社保證明。 |
0-20分 |
|
|
項(xiàng)目服務(wù)保障能力 |
1、自2017年1月1日以來,投標(biāo)人獲得網(wǎng)絡(luò)安全等級保護(hù)工作協(xié)調(diào)小組辦公室頒發(fā)的全國網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)“先進(jìn)單位”稱號證書得5分;獲得省級信息安全等級保護(hù)協(xié)調(diào)小組辦公室頒發(fā)的“測評機(jī)構(gòu)星級稱號(星級及以上)”證書得3分;否則不得分。
2、自2017年01月01日以來,投標(biāo)人獲得公安部門、網(wǎng)信辦或數(shù)據(jù)資源管理局頒發(fā)的重大安保支撐、網(wǎng)絡(luò)安全攻防演練相關(guān)榮譽(yù)證書、感謝信或表彰函的,省級(含)以上每提供個(gè)得3分,市級的每提供個(gè)得2分;多得7分。
注:
(1)第1項(xiàng)須在投標(biāo)文件中提供獲獎(jiǎng)證書掃描件;
(2)其他項(xiàng)須在投標(biāo)文件中提供獲獎(jiǎng)證書、批復(fù)、頒獎(jiǎng)單位頒獎(jiǎng)文件、網(wǎng)上公示截圖(具有其中之即可)等證明材料,以上材料提供掃描件或影印件,須能體現(xiàn)投標(biāo)人名稱,如無法體現(xiàn),須另附頒獎(jiǎng)單位的相關(guān)證明材料,未提供或提供不全的不得分。 |
0-15分 |
|
|
資信分(30分) |
投標(biāo)人業(yè)績 |
投標(biāo)人提供自2017年01月01日以來等保測評服務(wù)業(yè)績合同(以合同簽訂日期為準(zhǔn)):
1、具有類似服務(wù)業(yè)績,每提供個(gè)得1分;高得5分。
2、具有省級(含)以上等保測評服務(wù)業(yè)績,每個(gè)得0.5分;高得5分。
注:
(1)上述類似服務(wù)業(yè)績指的是單個(gè)合同額包括5個(gè)(含)以上待測信息系統(tǒng)的成功案例;
(2)投標(biāo)文件中須提供業(yè)績合同的掃描件,合同掃描件至少提供封面、服務(wù)內(nèi)容和簽字蓋章頁。
(3)同業(yè)績按照高分計(jì)分,不重復(fù)得分。 |
0-10分 |
|
投標(biāo)人實(shí)力 |
1、投標(biāo)人測評師團(tuán)隊(duì)達(dá)到40人(含)以上,得5分;30-39人,得2分;30人以下,得1分。
2、投標(biāo)人具有中國合格評定認(rèn)可委員會(CNAS)認(rèn)可的認(rèn)證機(jī)構(gòu)頒發(fā)的ISO 9001質(zhì)量管理體系認(rèn)證證書、ISO/IEC 20000信息技術(shù)服務(wù)管理體系認(rèn)證證書、ISO/IEC 27001信息安全管理體系認(rèn)證證書,每個(gè)證書得1分,滿分3分。
3、投標(biāo)人具有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心頒發(fā)的信息安全風(fēng)險(xiǎn)評估服務(wù)資質(zhì)證書的,得2分。
注:
(1)第1項(xiàng)投標(biāo)文件中提供投標(biāo)人在中國網(wǎng)絡(luò)安全等級保護(hù)網(wǎng)(www.djbh.net)網(wǎng)站“全國等級保護(hù)測評機(jī)構(gòu)推薦目錄”查詢截圖;
(2)其他項(xiàng)須提供證書掃描件或影印件。 |
0-10分 |
|
|
售后服務(wù)能力 |
1、投標(biāo)人在完成測評工作后應(yīng)為甲方提供常態(tài)化的技術(shù)支撐、網(wǎng)絡(luò)與信息安全培訓(xùn)、宣貫服務(wù),提供售后服務(wù)承諾書,得4分;
2、投標(biāo)人具有網(wǎng)絡(luò)與信息安全、等級保護(hù)等網(wǎng)絡(luò)安全技能認(rèn)證(如CCSRP、CISP、CIIPT、NISP、CISAW、CSA等)相關(guān)授權(quán)培訓(xùn)機(jī)構(gòu)資質(zhì)證書或者授權(quán)培訓(xùn)合作協(xié)議的,每個(gè)證書得2分,滿分6分。
注:
(2)第2項(xiàng)須在投標(biāo)文件中提供證書掃描件或者授權(quán)培訓(xùn)合作協(xié)議等證明材料。 |
0-10分 |
|
|
價(jià)格分(10分) |
投標(biāo)報(bào)價(jià) |
(1)投標(biāo)人的投標(biāo)總報(bào)價(jià)大于高投標(biāo)限價(jià)時(shí),其投標(biāo)文件作無效標(biāo)處理,該投標(biāo)人的商務(wù)標(biāo)將不予評審,其投標(biāo)報(bào)價(jià)不參與評標(biāo)基準(zhǔn)價(jià)的確定。
(2)評標(biāo)基準(zhǔn)價(jià)的確定:取所有有效投標(biāo)報(bào)價(jià)的低價(jià)做為評標(biāo)基準(zhǔn)價(jià)。
(3)投標(biāo)報(bào)價(jià)評審以評標(biāo)基準(zhǔn)價(jià)為評分依據(jù)。投標(biāo)報(bào)價(jià)等于評標(biāo)基準(zhǔn)價(jià)的,得分為10分。其他投標(biāo)人的價(jià)格分統(tǒng)按照下列公式計(jì)算:
投標(biāo)報(bào)價(jià)得分=(評標(biāo)基準(zhǔn)價(jià)/投標(biāo)報(bào)價(jià))×10 %×100
(取小數(shù)點(diǎn)后兩位,第三位的數(shù)字四舍五入) |
0-10分 |
|
投標(biāo)人得分計(jì)算方法 |
各投標(biāo)人的技術(shù)標(biāo)得分為各評委所評技術(shù)標(biāo)合計(jì)分值的算術(shù)平均值(取小數(shù)點(diǎn)后兩位,第三位的數(shù)字四舍五入)。
投標(biāo)人總得分=技術(shù)分得分+資信分得分+價(jià)格分得分 |
||
