安徽省庐江县中医院网络安全等级保护测评服务采购公告
安徽省庐江县中医院就网络安全等级保护测评服务项目进行招标采购,欢迎符合条件的供应商参加投标。
、项目名称及内容
1. 项目名称:安徽省庐江县中医院网络安全等级保护测评服务采购项目
2. 项目地点:安徽省庐江县中医院
3. 项目单位:安徽省庐江县中医院
4. 项目预算:18万元
5. 测评周期:合同签署后60日内出具符合安徽省公安厅要求的正式测评报告
二、投标供应商资格要求
1. 符合《中华人民共和国政府采购法》第二十二条规定的投标人资格条件;
2. 投标供应商应入围全国等级保护测评机构推荐目录(网址http://www.djbh.net 可查询);
3. 投标供应商必须持有网络安全等级保护测评机构推荐证书;
4. 本采购项目不接受联合体投标;
三、投标供应商报名和要求
报名方式及报名截止时间
报名截止时间:从本采购公告发布之日起,至 2020年6月 5日17 时
止(北京时间)。
报名方式:凡有意参加投标的供应商,请于报名截止时间前到县中医院招标采购办报名。报名费:300元。
四、项目要求
根据《信息安全技术 信息安全等级保护基本要求》(GB/T
22239-2019) 、 《信
息安全技术 网络安全等级保护安全设计技术要求》(GB/T
25070-2019)、《信息
安全技术 信息系统安全等级保护测评要求》(GB/T28448-2019)等相关标准以及项目单位有关要求,对以下信息系统开展等级保护测评。
|
序号 |
待测网络/信息系统名称 |
安全保护等级 |
|
1. |
面向患者服务系统 |
三级 |
|
2. |
财务系统 |
三级 |
() 项目实施内容
1. 定级备案
协助采购方各重要信息系统在网安部门完成定级备案工作,交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证明。
2. 等级保护测评
投标人须依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)、《信息安全技术 网络安全等级保护测评要求》(GB/T
28448-2019)、《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)和《信息安全技术 网络安全等级保护定级指南》(GA/T
1389-2017)等等级保护相关标准对待测系统进行等级保护测评工作。
等级保护测评内容主要包括以下几个方面:
1) 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评;
2) 安全管理测评:包括安全管理机构、安全管理制度、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评;
3) 工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作;
4) 整改建议:投标人应根据现场测评中发现的问题,分析与GB/T
22239-2019、ISO/IEC
27001、ISO/IEC 20000、ISO
22301、ITIL和ITSS等行业佳实践之间的差距,按照网络安全等级保护标准要求提出安全整改建议;
5) 编制测评报告:完成上述测评工作和整改加固实施后,投标人后出具符合公安机关要求的各信息系统网络安全等级保护测评报告。
3. 等级保护安全培训
投标人需要为采购方提供不少于1次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等。
(二) 项目实施要求
1. 客观性和公正性要求
在小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义
的测评方式和解释,实施评估活动。
2. 保密要求
在测评过程中,需严格遵循保密原则,对服务过程中涉及到的任何用户信息
未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。
3. 小影响要求
测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运
行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法
避免,则应预先做出说明并经业主同意后实施。
4. 规范性要求
信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的
操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。
5. 质量保障要求
在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目
实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。
6. 服务响应要求
投标人需要具备及时响应能力,签订后根据招标人安排的日期时间进场测评,出具整改报告协助完成系统建设整改及完成整体项目。同时如发生故障,在得到用户通知后,4小时内响应,12小时以内到现场处理,24小时内修复的售后响应能力。
7. 项目团队要求
投标人需根据测评业务系统的数量自行评估并配置不少于5人(至少包括1高、2中)的测评实施团队,测评实施团队在合同约定期内派驻招标人指定地点办公;投标人在中标后需保证在实施阶段主要技术人员必须是全职。
五、评标要求
() 投标文件的递交及相关要求
1. 投标文件递交的截止时间:
同前述“报名截止时间”。
2. 投标文件的密封和标记:
投标文件应装订成册并封装,投标人需将投标封装,且封口处应加盖投标人
公章;非胶装成册的按废标处理。
密封袋均应注明:项目名称、投标人名称及“请勿在年月日午时分(投标截
止时间)之前启封”的字样。
如果未按规定封装或加写标记,采购人(项目单位)将不承担投标文件错放
或提前开封的责任,并可能导致投标无效。
3. 迟交的投标文件
投标文件须在投标截止时间前送达,否则采购人(项目单位)将拒收迟交的
投标文件,即投标供应商的投标无效。
六、评分细则
本项目评标办法采用综合评分法。
本项目技术分值占总分值的权重为 60%,资信分值占总分值的权重为30%,价格分值占总分值的权重为 10%。具体评分细则如下:
|
类别 |
评分内容 |
评分标准 |
分值范围 |
|
技术分(60分) |
服务方案 |
1、项目实施方案:工作范围清晰,具有完整的风险说明及风险规避处置措施,项目实施计划和测评内容以及项目管理方案可行性合理。评委对各家测评实施方案进行横向比较,详实:10-15、良好:5-9 般:1-3、较差:0。
2、培训宣贯方案:工作范围清晰,具有完整的培训计划、培训方案以及线上线下结合的培训方案和配套工具,提供实际培训、宣贯案例介绍。评委对各家培训宣贯方案进行横向比较,详实:3-5、般:1-2、较差:0。
3、项目管理方案:工作范围清晰,具有完整的项目管理方法论和内容。评委对各家项目管理方案进行横向比较,详实:3-5、般:1-2、较差:0。 |
0-25分 |
|
项目人员配备 |
投标人针对本项目拟配备的项目团队需设置项目经理、质量经理、渗透测试工程师,具体指标如下:
1、项目团队组成:参与本项目的人员配备,在满足低要求(1名高级、5名中级、2名初级)的基础上,每增加1名网络安全等级保护中级(含)以上评测师,得0.5分;满分5分。
2、项目经理:具有测评师(中级及以上)证书,得2分;具有CISP证书,得1分;具有CCSRP证书,得1分;具有CISAW证书或者信息安全管理体系审核员证书的,得1分;满分5分。
3、质量经理:具有测评师证书(中级及以上),得2分;具有CISP或者CCSRP证书,得1分;具有CISAW证书或者信息安全管理体系审核员证书,得1分;满分4分。
4、渗透测试工程师:具有测评师证书(中级及以上)得1分;具有NSATP-A渗透测试类证书,得1分;满分2分。
5、培训讲师:具有测评师高级证书,得1分;具有CISI培训讲师证书,得1分;具有CCSRP培训讲师证书,得1分;具有CISP或者CISAW证书,得1分;满分4分。
注:以上证书须提相关证明材料并加盖公章,且提供持证人员近三个月在投标单位的社保证明。 |
0-20分 |
|
|
项目服务保障能力 |
1、自2017年1月1日以来,投标人获得网络安全等级保护工作协调小组办公室颁发的全国网络安全等级保护测评机构“先进单位”称号证书得5分;获得省级信息安全等级保护协调小组办公室颁发的“测评机构星级称号(星级及以上)”证书得3分;否则不得分。
2、自2017年01月01日以来,投标人获得公安部门、网信办或数据资源管理局颁发的重大安保支撑、网络安全攻防演练相关荣誉证书、感谢信或表彰函的,省级(含)以上每提供个得3分,市级的每提供个得2分;多得7分。
注:
(1)第1项须在投标文件中提供获奖证书扫描件;
(2)其他项须在投标文件中提供获奖证书、批复、颁奖单位颁奖文件、网上公示截图(具有其中之即可)等证明材料,以上材料提供扫描件或影印件,须能体现投标人名称,如无法体现,须另附颁奖单位的相关证明材料,未提供或提供不全的不得分。 |
0-15分 |
|
|
资信分(30分) |
投标人业绩 |
投标人提供自2017年01月01日以来等保测评服务业绩合同(以合同签订日期为准):
1、具有类似服务业绩,每提供个得1分;高得5分。
2、具有省级(含)以上等保测评服务业绩,每个得0.5分;高得5分。
注:
(1)上述类似服务业绩指的是单个合同额包括5个(含)以上待测信息系统的成功案例;
(2)投标文件中须提供业绩合同的扫描件,合同扫描件至少提供封面、服务内容和签字盖章页。
(3)同业绩按照高分计分,不重复得分。 |
0-10分 |
|
投标人实力 |
1、投标人测评师团队达到40人(含)以上,得5分;30-39人,得2分;30人以下,得1分。
2、投标人具有中国合格评定认可委员会(CNAS)认可的认证机构颁发的ISO 9001质量管理体系认证证书、ISO/IEC 20000信息技术服务管理体系认证证书、ISO/IEC 27001信息安全管理体系认证证书,每个证书得1分,满分3分。
3、投标人具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质证书的,得2分。
注:
(1)第1项投标文件中提供投标人在中国网络安全等级保护网(www.djbh.net)网站“全国等级保护测评机构推荐目录”查询截图;
(2)其他项须提供证书扫描件或影印件。 |
0-10分 |
|
|
售后服务能力 |
1、投标人在完成测评工作后应为甲方提供常态化的技术支撑、网络与信息安全培训、宣贯服务,提供售后服务承诺书,得4分;
2、投标人具有网络与信息安全、等级保护等网络安全技能认证(如CCSRP、CISP、CIIPT、NISP、CISAW、CSA等)相关授权培训机构资质证书或者授权培训合作协议的,每个证书得2分,满分6分。
注:
(2)第2项须在投标文件中提供证书扫描件或者授权培训合作协议等证明材料。 |
0-10分 |
|
|
价格分(10分) |
投标报价 |
(1)投标人的投标总报价大于高投标限价时,其投标文件作无效标处理,该投标人的商务标将不予评审,其投标报价不参与评标基准价的确定。
(2)评标基准价的确定:取所有有效投标报价的低价做为评标基准价。
(3)投标报价评审以评标基准价为评分依据。投标报价等于评标基准价的,得分为10分。其他投标人的价格分统按照下列公式计算:
投标报价得分=(评标基准价/投标报价)×10 %×100
(取小数点后两位,第三位的数字四舍五入) |
0-10分 |
|
投标人得分计算方法 |
各投标人的技术标得分为各评委所评技术标合计分值的算术平均值(取小数点后两位,第三位的数字四舍五入)。
投标人总得分=技术分得分+资信分得分+价格分得分 |
||
