宁夏/银川-2025-04-16 00:00:00
| 采购计划编号: | ************* | 项目名称: | 宁夏回族自治区卫生健康委员会信息中心****年网络安全等级保护测评服务采购项目 |
|---|---|---|---|
| 分包名称: | 宁夏回族自治区卫生健康委员会信息中心****年网络安全等级保护测评服务采购二标段 | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | ******.** |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: |
否 |
| 是否为执行国家统一定价标 和固定价格采购项目: |
是 | 是否适宜由中小企业提供: | 是 |
| 不适宜由中小企业提供的情形: | 不适宜面向中小企业证明材料 (专家论证或集体决策或政策依据): |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
*.* 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
*.* 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
*.* 提供具有良好商业信誉和健全的财务会计制度的承诺函;
*.* 提供履行合同所必需的设备和专业技术能力的证明材料;
*.* 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
*.* 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| * | (*)须具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》,并在网络安全等级保护网的全国网络安全等级测评与检测评估机构目录中;(*)供应商单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动;(*)为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加本项目的采购活动。 |
三、商务要求
四、技术要求
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| * | **********测试评估认证服务 | 测试评估认证服务 | 开展****年网络安全等级保护测评服务项目 | * | ******.** | 标的**测试评估认证服务:*.项目内容 对以下完成定级备案的信息系统严格按照等保*.*相关要求开展信息系统网络安全等级保护测评工作,并对差距项提出整改建议。 二标段 序号系统名称系统级别 *自治区妇幼健康信息平台系统三级 *自治区妇幼云***系统三级 *宁夏互联网医院监管平台三级 *宁夏全员核酸信息采集检测管理平台三级 *宁夏“互联网+医疗健康”一体化平台三级 *宁夏互联网医院系统三级 *一站式电子票据系统三级 *满意度一键评行风监管系统二级 *直属公立医院预算管理及成本核算二级 **疫情直报视频二级 **全区基层人工智能辅助诊断管理系统拟定三级 *.项目依据 本项目工作应符合且不限于下列标准和规范: 《中华人民共和国网络安全法》 《中华人民共和国计算机信息系统安全保护条例》(国务院***号令) 《计算机信息系统 安全保护等级划分准则》(** **********) 《信息安全技术 云计算服务安全指南》(**/* **********) 《信息安全技术 云计算服务安全能力要求》(**/* **********) 《信息安全技术 网络安全等级保护实施指南》(**/* **********) 《信息安全技术 网络安全等级保护基本要求》(**/* **********) 《信息安全技术 网络安全等级保护测评要求》(**/* **********) 《信息安全技术 网络安全等级保护定级指南》(**/* **********) 《信息安全等级保护备案实施细则》(公信安[****]****号) 《信息安全技术 网络安全等级保护安全设计技术要求》(**/* **********) 《信息安全技术 网络安全等级保护测评过程指南》(**/* **********) 《信息安全技术 网络安全等级保护测试评估技术指南》(**/* **********) 《网络安全等级保护测评报告模板(****版)》 《信息安全技术 信息安全风险评估实施指南》(**/* **********) 《信息安全技术 信息安全风险评估方法》(**/* **********) *.项目要求 (*)自项目合同签订之日起,**日内完成系统梳理和测评工作并出具测评相关报告。 (*)现场测评活动中,必须使用漏洞扫描、渗透测试等验证性测试方法,对自治区卫生健康委员会的信息系统进行全面的工具测试,确保全面的找出系统漏洞薄弱点,并协助建设方完成漏洞修复或风险降低工作。 (*)在自治区网安、网信、政办及国家卫健委等网络与数据安全行业主管部门和上级单位开展年度网络与数据安全攻防演练时派专业人员全程参与现场值守保障; (*)在信息中心组织自治区卫健行业攻防演练时,派遣专业攻击队伍,并取得实质性成果; (*)全年配合自治区卫健委在进行网络安全等级保护检查、调研时提供技术支持工作。 (二)测评工作内容 *.等级测评内容 测评的内容包括但不限于以下内容: 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等方面的安全测评。 安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面的安全测评。 *.安全物理环境 根据自治区卫生健康委员会信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 *.安全通信网络 安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 *.安全区域边界 安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 *.安全计算环境 安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 *.安全管理中心 安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 *.安全管理制度 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 *.安全管理机构 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 *.安全管理人员 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在人员安全管理方面的“人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 **.安全建设管理 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 **.安全运维管理 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (三)项目实施要求 *.保密要求 测评机构对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务: (*)测评机构应按要求与自治区卫生健康委员会信息中心签署保密协议。 (*)主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。 (*)不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的自治区卫生健康委员会信息中心关于该项目的商业秘密。 (*)不得向不承担同等保密义务的任何第三人披露自治区卫生健康委员会信息中心关于该项目的商业秘密。 (*)不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用自治区卫生健康委员会信息中心关于该项目的商业秘密。 (*)不论何种原因终止参与自治区卫生健康委员会信息中心关于该项目的工作后,都不得利用该项目之商业秘密为其他与自治区卫生健康委员会信息中心有竞争关系的企业(包括自办企业)服务。 (*)该项目的商业秘密所有权始终全部归属自治区卫生健康委员会信息中心,测评机构不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前测评机构已依法具有某些所有权者除外。 (*)如发现自治区卫生健康委员会信息中心关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向自治区卫生健康委员会信息中心报告。 (*)完成工作后,对工作当中所触及到的资料,承诺资料不外泄,并出具承诺函。 *.服务要求 (*)提供给自治区卫生健康委员会信息中心与项目相关的技术文档。 (*)一旦收到自治区卫生健康委员会信息中心的服务请求,测评机构项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,测评机构工程师在 ** 小时内到达用户现场,提供服务。 (*)提供技术服务热线,并安排专业人员为自治区卫生健康委员会信息中心解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应。 (*)其它要求 ① 出具项目范围信息系统《信息安全风险评估报告》; ② 在自治区网安、网信、政办及国家卫健委等网络与数据安全行业主管部门和上级单位开展年度网络与数据安全攻防演练时参与项目系统的相关防守工作,防守期间需派专人在信息中心驻场防守; ③ 在信息中心组织自治区卫健行业攻防演练时,至少派遣一支不少于*人的专业攻击队伍,并取得实质性成果; ④ 出具项目范围信息系统《风险评估报告》,其他服务按自治区卫健委信息中心要求,做好全区卫健行业等级保护检查、调研技术支持工作。至少安排两名具有相关安全认证证书、配备有漏扫渗透等工具的专业人员(食宿交通自理)。 (以上②③④项如验收时未完成,需要提供未尽工作承诺书)。 *.交付物 (*)根据《网络安全等级保护测评机构管理办法》(公信安〔****〕***)号要求,网络安全等级保护测评及其他相关服务成果交付物为: 所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告*套。 所有登记备案的信息系统出具纸质安全整改建议方案*套。 测评活动原始记录材料*份。 (*)所有登记备案的信息系统出具纸质《信息安全风险评估报告》*套。 *.质量保证 (*)为保证网络安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。 (*)参与等级测评的每个人都应具有等级测评师安全服务资质。 (*)等级测评结果必须通过自治区卫生健康委员会信息中心组织的评审和审批。 | 合同签订之日起,**日内完成 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
五、合同管理安排
合同类型:
服务类
(验收方案附件):
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| * | 投标报价 | **.** | 满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分(**分)。其他供应商的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×** |
| * | 现场实施能力 | **.** | 为保障项目进度和测评质量,在项目实施中,投标人应安排足够的测评师和技术力量参与本项目: *.项目实施团队*名以上,至少包含*名高级测评师、*名中级测评师、*名初级测评师,满足得*分,不满足不得分;在此基础上,每增加*名高级测评师得*分,每增加*名中级测评师得*分,满分*分。 (必须承诺以上投标项目实施人员为现场项目实施人员并指定一名项目负责人。) *.项目实施团队配备的等级保护测评师具备注册信息安全专业人员证书(****)、注册渗透测试工程师证书(********)、重要信息系统保护人员(*****)、信息安全保障人员认证(*****)、网络安全能力认证(****)、信息安全工程师,每有一个证书得*分,满分**分;证书重复不计分。 (投标文件附相关人员资质证书和开标之日前三个月任意一个月社保证明复印件加盖公章,两者提供不全或未提供的不得分。) |
| * | 企业资信 | **.** | *.具有适用于网络安全信息技术咨询服务的信息安全管理体系********得*分、信息技术服务管理体系********得*分,不具备不得分,满分*分; *.具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务证书得*分,缺项或不具备不得分; *.具有中国网络安全审查技术与认证中心颁发的信息安全应急处理服务证书得*分,缺项或不具备不得分。 (投标文件附以上资质证书或证明文件的复印件并加盖公章, 提供不全或未提供的不得分) |
| * | 案例业绩 | *.** | 具有近三年(****年*月至今)的类似项目业绩,每提供一个得*.*分,满分*分。(投标文件中附中标/成交通知书及合同复印件加盖公章,不提供不得分。) |
| * | 服务方案 | **.** | 总体方案:测评实施步骤中对各测评阶段的流程、内容及过程文档描述完整、清晰、准确、运用图表示例。内容丰富详实、描述清晰明了、方案准确得*分,内容较为完整、具有一定过程描述、部分方案准确得*分;内容具有基本要素、基本合理得*分;内容粗略,无明显针对性的得*分;未提供不得分。 实施安排:项目实施过程、组织机构、人员安排、项目实施安排规范性、可实施性。实施方案安排规范、合理、可行性强得*分,实施方案安排基本规范、合理、可行性较强得*分;实施方案具备基础的实施内容得*分;内容粗略,无明显针对性的得*分;未提供不得分。 质量控制:对控制流程、过程控制、变更控制、项目沟通、实施进度、过程文档管理、保密管理方面及质量保证措施合理,可操作性强。质量保证措施合理,可操作性强得*分,质量保证措施基本合理,具备一定的操作性得*分;具备基本的质量保证措施得*分;内容粗略,无明显针对性的得*分;未提供不得分。 风险防范:具备完善的风险管理和应急处置,应对现场突发情况,应急预案完整、有效、全面。应急预案完整、有效、全面得*分,应急预案基本完整、内容基本全面得*分;应急预案具备基础的内容得*分;内容粗略,无明显针对性的得*分;未提供不得分。 |
| * | 服务承诺 | **.** | *.提供近五年内未在等保测评业务范围内被公安相关部门通报处分的承诺函,并自行提供历年通报公示,具有相关承诺函得*分,缺少、不提供或无效承诺不得分; *.提供项目售后服务承诺:售后服务承诺全面具体,服务内容详尽,售后服务体系健全,服务流程具有系统性、科学性,有具体的问题解决措施,能快速的响应采购人的服务诉求,售后人员有相应的资质且经验丰富,具有培训方案的得**分;售后服务承诺内容全面,售后服务体系健全,有完整的售后服务流程,问题解决措施但不明确,响应与现场服务到位及时,能提供售后人员但无相应资质或缺乏相关经验的得*分;售后服务承诺内容存在缺漏、描述简单笼统,售后服务体系有欠缺,问题解决方案模糊不清晰,售后服务响应内容简单的得*分;售后服务内容粗略,无明显针对性的得*分;未提供售后服务承诺的不得分。 |
| * | 检测工具 | *.** | 投标人应具有满足项目实施要求的检测设备,应当配备满足等级保护测评工作需要的测评设备和工具,至少包括*大类*项功能:安全问题发现类(网络漏洞扫描、主机漏洞扫描、***安全检测、恶意行为检测、数据库管理系统安全检测);安全问题分析与定位类工具(网络协议分析、源代码安全审计);安全问题验证类工具(渗透测试、性能压力测试)。所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。配备工具中每满足*项功能得*分,满分得*分,不具备不得分。(以上需提供功能截图;自研的检测工具需提供软件著作权证书扫描件,采购的检测工具需提供相关采购证明(合同或发票), 提供不全或未提供的不得分) |
| 合计: | ***.** | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
免责声明: 本页面提供的内容是按照政府采购有关法律法规要求由采购人或采购代理机构发布的,宁夏政府采购网对其内容概不负责,亦不承担任何法律责任。
