信息安全三级等保测评服务项目招标公告_采购公告_招聘招采

中医院
微信公众号

供应商拜访
预约登记表

采购公告

网站首页

>招聘招采 >采购公告

信息安全三级等保测评服务项目招标公告

发布时间：2018-12-13 来源：未知阅读量：0

一、招标控制价

本项目招标控制价为10万元（超过招标控制价格作无效报价处理）。

二、项目概述

项目名称：遂宁市中医院PACS系统三级等保测评服务。

为了落实公安部、网信办和医疗卫生应用系统安全等级保护要求，进一步增强系统安全防护能力，确保系统安全稳定运行，防止因系统安全事件引发安全事故依据《信息系统安全等级保护基本要求》（GB/T 22239-2008）、《信息安全等级保护管理办法》（公通字[2007]43号）和《中华人民共和国网络安全法》等标准规范，特开展遂宁市中医院PACS系统等级保护测评工作。

依据国家和行业信息安全的相关标准，全面了解和掌握企业为系统现有安全状况，找出其与《信息系统安全等级保护基本要求》对应级别的差距，及时发现系统存在的安全问题，针对等级保护测评中发现的各种安全风险，测评项目组提出适宜的安全整改建议，最终提交该系统等级保护测评报告。

三、投标人资格要求

（一）基本要求

1、投标人须满足《中华人民共和国政府采购法》第二十二条要求，包括：

（1）具有独立承担民事责任的能力；

（2）具有良好的商业信誉和健全的财务会计制度；

（3）具有履行合同所必须的设备和专业技术能力；

（4）有依法缴纳税收和社会保障资金的良好记录；

（5）参加此采购活动前三年内，在经营活动中没有重大违法记录；

（6）符合法律、法规规定的其他条件。

2、投标人必须购买招标文件并登记备案。

3、本项目不接受联合体投标。

（二）资质性要求：

具有网络安全等级保护测评机构推荐证书资质, 且不处于处罚期内；

（三）其他类似效力要求：

供应商购买招标文件必须携带年检合格营业执照副本、年检合格组织机构代码副本、税务登记证副本、资质证书复印件盖鲜章及授权代表身份证、单位介绍信原件。

四、工作内容及要求

1、遵循的标准

此次测评依据的标准包括但不限于以下内容：

《信息安全等级保护管理办法》（公通字[2007]43号）

《信息安全技术信息系统安全等级保护基本要求》GB/T 22239-2008

《信息安全技术信息系统安全等级保护定级指南》GB/T 22240-2008

《信息安全技术信息系统安全等级保护实施指南》GB/T 25058-2010

《信息安全技术信息安全风险评估规范》GB/T 20984-2007

《信息安全技术信息系统安全等级保护测评要求》GB/T 28448-2012

《信息安全技术信息系统安全等级保护测评过程指南》GB/T 8449-2012

《中华人民共和国网络安全法》

2、测评对象

根据《卫生行业信息安全等级保护工作的指导意见》（卫办发2011[85号文]）,以下重要卫生信息系统安全保护等级原则上不低于第三级：

（1）卫生统计网络直报系统、传染性疾病报告系统、卫生监督信息报告系统、突发公共卫生事件应急指挥信息系统等跨省全国联网运行的信息系统；

（2）国家、省、地市三级卫生信息平台，新农合、卫生监督、妇幼保健等国家级数据中心；

（3）三级甲等医院的核心业务信息系统；

（4）卫生部网站系统；

（5）其他经过信息安全技术专家委员会评定为第三级以上（含第三级）的信息系统。

系统名称	安全等级
PACS系统	等保三级

3、测评要求

根据项目需求，为保障信息安全现场测评过程安全可控，明确测评人员职责分配、规范测评人员操作，保障测评结果有效，至少包括以下几个流程：

序号	关键实施阶段	工作要求
1	确定测评范围	明确本次被测评信息系统的范围，包括每个信息系统的范围、信息系统的边界等。
2	获得信息系统的信息	通过调查或查阅资料的方式，了解被测评信息系统的构成，包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。
3	确定具体的测评对象	初步确定每个信息系统的被测评对象，包括整体对象，如机房、办公环境、网络等，也包括具体对象，如边界设备、网关设备、服务器设备、工作站、应用系统等。
4	确定测评工作的方法	根据信息系统安全等级情况、系统规模大小等，明确本次测评的方法。
5	制定测评工作计划	制定测评工作计划或方案，说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。
6	实施等级保护测评	实施测评，包括人工检查、工具扫描等方式。
7	项目总结	对测评结果进行总结、汇报

4、测评内容

序号	测评名称	测评内容
1	物理安全测评	测评信息系统的基础设施安全保障情况，主要涉及机房环境测评。
2	网络安全测评	测评系统的承载网络，包括网络全局和所涉及的重要网络设备。
3	主机安全测评	测评系统所涉及主机操作系统，包括重要服务器、终端操作系统、终端安全软件客户端。
4	应用安全测评	测评系统的安全功能模块，如身份鉴别、安全审计和资源控制等。
5	数据安全测评	测评系统数据的安全，如数据保密性和数据完整性等。
6	安全管理测评	测评信息安全相关管理制度、流程、规范。
7	系统总体等级保护达标情况分析	结合系统定级情况，根据获取的系统软硬件资产和分项测评中发现的风险情况，形成《网络安全等级测评报告》。

5、交付产物

包括但不仅限于以下资料：

《网络安全等级保护测评报告》

6、服务保障与承诺

①供应商应严格按照测评人员执业守则，按照国家相关法规、规范、标准及制定的测评方案、项目计划书、实施细则进行测评，在保证质量、安全的前提下，确保在项目规定的期限内按期完成。

②供应商应协助、配合与主管、监管部门的沟通协调。

③供应商应在项目开始前，应签订保密协议，严格遵守法律法规，对委托单位的商业秘密、系统风险信息、项目实施内容及成果信息进行严格保密，未经同意，严禁将上述内容与任何第三方透露或用于其他商业用途，并承担由此产生的一切损失。

④帮助业主单位完成相应备案文档制作，配合完成本次定级备案。

⑤提供培训服务，对业主单位信息安全管理相关人员进行安全意识教育，指导信息安全管理制度的落实，并针对信息安全事故进行应急处置培训。

7、人员配置要求

本项目总测评工程师必须具有公安部信息安全等级保护评估中心颁发的“信息安全等级测评师（高级）”证书，不具有的将导致严重扣分；本项目派驻的专业测评工程师必须具有公安部信息安全等级保护评估中心颁发的“信息安全等级测评师”证书，不具有的将导致严重扣分。

五、商务要求

1、服务期限

在本项目合同签订后的3个月内完成测评和备案工作。

2、付款方式

合同签订后支付合同总金额的30%，本项目实施结束，经验收合格后，支付合同总金额的60%，备案复审通过后，1个月内支付合同总金额的10%。

六、评分办法

序号	评分因素及权重	分值	评分标准	说明
1	价格15%	15	1.经评标委员会评审，通过资格性和符合性审查，且投标报价最低的投标人的投标报价作为评标基准价； 2.投标报价得分=(评标基准价／投标报价)×15
2	测评方案（15%）	15	正确理解信息安全等级测评，测评思路清晰、测评内容完整、测评重点突出，优秀的得5分，一般的得4分；根据测评方案中提供的网络合理性分析、防护能力分析、支持环境分析等专项分析成果模板进行综合评审，优秀的得5分，一般的得4分；根据测评方案中提供的专项安全分析方案，证明可针对本项目进行网络合理性分析、整体防护能力分析、支撑环境分析等专项分析，优秀的得5分，一般的得4分。
3	专业人员技术力量45%	技术负责人10	同时具有信息安全等级评测师（高级）证书、信息安全保障人员（CISAW）证书、注册信息安全专业人员（CISP）证书、信息安全测评师、国家重要信息系统保护人员培训证书和计算机技术与软件专业技术人员资格认证的信息系统项目管理师（高级）证书，全部提供得10分，部分满足要求的，得3分，其余不得分。	以上人员提供2018年连续3个月的社保材料。
4		项目经理10	项目经理同时具有信息安全等级评测师（中级）证书、信息安全测评师、信息安全保障人员（CISAW）证书、注册信息安全专业人员（CISP）证书、国家网络安全应用检测专业测评人员（NSATP-A）证书、计算机技术与软件专业技术人员资格认证（中级及以上）职称证书和计算机软件产品检验员证书全部提供得10分，部分满足要求的，得3分，其余不得分。
5		测试人员15	具有网络规划师、软件评测高级工程师、信息系统测评工程师、计算机技术与软件专业技术人员资格认证的信息系统项目管理师（高级）证书、信息系统审计师(CISA)证书之一得3分，最高得15分;每个证书至少要求1个,否则此项最高得3分。
6		培训服务5	投标人培训服务满足招标要求的得2分，优于要求的得5分。	提供承诺书并加盖投标人公章
7		漏洞扫描服务5	投标人提供主要设备漏洞扫描服务的得5分，未提供不得分。	提供承诺书并加盖投标人公章
8	投标人业绩	12	2015年1月1日，以来具有信息安全三级等保测评项目案例，每具有1个合同得3分，最多得12分；	附有效证明文件复印件（加盖投标人公章，原件备查）。
9	投标人机构情况	10	1、信息安全风险评估服务资质的得4分，未提供相关证明材料的不得分。 2、具有ISO/IEC 27001 证书的得4分，未提供相关证明材料的不得分。	附有效证明文件复印件（加盖投标人公章，原件备查）。
10	投标文件的规范性	3	投标文件制作规范，没有细微偏差情形的得3分；有一项细微偏差扣0.5分，扣完为止。