宁夏/银川-2025-09-05 00:00:00
| 采购计划编号: | ************* | 项目名称: | 北京大学第一医院宁夏妇女儿童医院(宁夏回族自治区妇幼保健院)国家妇儿区域医疗中心*北京大学第一医院宁夏妇女儿童医院建设项目信息化建设项目(二期) |
|---|---|---|---|
| 分包名称: | 十一标段:等保测评服务 | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | ******.** |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: |
否 |
| 是否为执行国家统一定价标 和固定价格采购项目: |
否 | 是否适宜由中小企业提供: | 是 |
| 不适宜由中小企业提供的情形: | 不适宜面向中小企业证明材料 (专家论证或集体决策或政策依据): |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
*.* 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
*.* 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
*.* 提供具有良好商业信誉和健全的财务会计制度的承诺函;
*.* 提供履行合同所必需的设备和专业技术能力的证明材料;
*.* 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
*.* 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| * | *)合格投标供应商的其他资格要求:(*)供应商单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动;(*)为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加本项目的采购活动。 |
| * | *)符合政府采购法第二十一条、第二十二条的规定: (*)供应商具有法人或其他组织的营业执照(或事业单位法人证书或社会团体法人登记证书或执业许可证等),如供应商为自然人的须提供自然人身份证明;同时提供法定代表人授权委托书、法定代表人及被授权人身份证件(法定代表人直接投标可不提供,但须提供法定代表人身份证明); (*)供应商须具有良好的商业信誉和健全的财务会计制度,提供资格承诺函或提供相应证明材料; (*)供应商须具有履行合同所必需的设备和专业技术能力,提供资格承诺函或提供相应证明材料; (*)供应商须依法缴纳税收和社会保障资金,提供资格承诺函或提供相应证明材料; (*)供应商参加政府采购活动前三年内,在经营活动中没有重大违法记录,提供资格承诺函或提供相应证明材料。 *)通过“信用中国”网站、中国政府采购网等渠道查询相关主体信用记录,对列入失信被执行人或重大税收违法失信主体名单、政府采购严重违法失信行为记录名单的供应商(处罚期限尚未届满的),拒绝其参与采购活动(以开、评标现场代理机构查询结果为准)。 |
| * | 除上述资格条件外,各包投标人还需满足的资格要求:(*)包**投标人需满足的资格条件:投标人具备《网络安全等级测评与检测评估机构服务认证证书》,并在中国网络安全等级保护网的《全国网络安全等级测评与检测评估机构目录》中; |
三、商务要求
四、技术要求
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| * | **********测试评估认证服务 | 等保测评服务 | 等保测评服务 | * | ******.** | 标的**测试评估认证服务:*.目标 根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等文件规定,按照等级保护基本要求所规定的检查项,完成国家妇儿区域医疗中心*北京大学第一医院宁夏妇女儿童医院建设项目信息化建设项目(二期)平台信息安全等级保护测评项目。主要针对本期平台信息安全逐项进行合规性检测,客观评估安全体系,明确当前信息系统与等级保护要求不符的内容、问题与风险。 *.技术要求 *.*技术服务要求 (*)信息系统安全等级保护测评 投标方应根据《信息安全技术信息系统安全等级保护测评要求》和《信息安全技术信息系统安全等级保护测评过程指南》等相关国家标准,做信息安全等级保护测评服务工作。 (*)信息安全等级保护整改建议咨询服务 投标方系统测评完成后,提供整改建议咨询服务,从技术和管理两方面提出整改建议,协助招标人对建设中的安全部分提供技术指导建议,指导招标人针对系统评估工作中发现问题的整改建议工作。 *.*技术实施要求 (*)项目实施期间人员要求:在项目实施期间提供至少*名实施经验丰富的工程师参与项目测评,其中包括*名高级测评师,*名中级测评师,*名初级测评师。同时,在投标文件中需明确拟投入项目人员组成,并提供资质证书复印件加盖公章。 (*)投标人须提供完善的测评实施方案和计划、测评方案,经招标人审核通过后实施,完成对安全管理制度的补充完善和整理工作,配合招标人信息系统进行整改测评服务。 (*)投标人须与招标人签订项目合同、保密协议和现场评测授权书、风险预判告知书,核实驻场测评师资质与投标时对本项目配备的测评师是否一致。如因工作调配需更换测评师,需提前**个工作日向招标人书面报备,并提供更换测评师资质证明。 (*)测评结束后,投标人需免费提供为期一年的信息系统等级保护工作的技术支持,以帮助招标人提高安全防护能力。 (*)项目工期要求。根据国家妇儿区域医疗中心*北京大学第一医院宁夏妇女儿童医院建设项目信息化建设项目(二期)平台系统情况,制定合理的时间进度。初步测评应在项目中标后**天内完成并出具整改建议方案,最终报告应在整改后*周内提供。 *.测评内容 根据《信息系统安全等级保护测评要求》和《网络安全等级保护定级指南》、《网络安全等级保护基本要求:第*部分云计算安全扩展要求》等相关国家标准,结合招标人网站系统实际情况,对本次被测信息系统从安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 (*)安全物理环境 根据信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、 “电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 (*)安全通信网络 安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 (*)安全区域边界 安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 (*)安全计算环境 安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据保密性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 (*)安全管理中心 安全管理中心现场测评包括“系统管理”、“审计管理”、“安全管理”、“集中管控”等方面的测评。 (*)安全管理制度 根据现场安全测评记录,针对信息系统在安全管理制度方面的“安全策略”、“管理制度”、 “制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 (*)安全管理机构 根据现场安全测评记录,针对信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 (*)安全管理人员 根据现场安全测评记录,针对信息系统在人员安全管理方面的“人员录用”、“人员离岗”、“安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 (*)安全建设管理 根据现场安全测评记录,针对信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 (**)安全运维管理 根据现场安全测评记录,针对信息系统在系统运维管理方面的“环境管理”、“资产管理”、 “介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、“应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 *.项目原则 (*)客观性和公正性原则 评估人员当没有偏见,在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。 (*)保密原则 在测评过程中,需严格遵循保密原则,招标方与投标方签订保密协议,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害用户利益。 (*)规范性原则 信息安全等级保护测评服务的实施必须由专业的评估服务人员依照规范的操作流程进行,对操作过程和结果要有相的记录,并提供完整的服务报告。 *.成果交付物 根据《宁夏信息安全等级保护测评活动管理规范》(宁公信安〔****〕**号)要求,成果交付物为: (*)本次被测网站信息系统测评方案; (*)本次被测网站信息系统正式纸质版测评报告; (*)本次被测网站信息系统出具纸质整改加固方案; (*)测评活动原始记录材料。 *.质量保证 为保证信息安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评、过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。 | *个月 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
五、合同管理安排
合同类型:
服务类
(验收方案附件):
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| * | 投标报价 | **.** | 按满足招标文件要求且报价最低的投标报价做为评标基准价, 其价格分为满分**分;其他投标人报价得分按以下公式计算: 投标报价得分=(评标基准价/投标报价)×**。 |
| * | 企业资信 | *.** | 投标人具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务资质一级证书得 * 分,二级得 * 分。 注:投标文件附以上资质证书或证明文件的复印件并加盖公章, 提供不全或未提供的不得分。 |
| * | 服务方案 | **.** | *.总体方案 项目测评方案包括但不限于安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理及过程文档描述完整、清晰、准确: 测评实施方案中测评内容详实、描述清晰明了,对测评内容及方法描述准确的得*分;实施方案内容全面,描述准确,但缺少对测评方法描述的得*分;对测评内容有缺项漏项或测评实施内容不完善的得*分;提供测评实施内容但无法满足采购人实际需求的,难以保证项目顺利开展的得*分;未提供不得分。 *.实施安排 项目实施流程包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动: 实施流程活动安排规范、条理性强、完全满足采购人实际需求,且运用图表示例清晰描述测评实施流程的得*分;实施流程活动安排合理、满足采购人实际需求,但未运用图表示例,基本描述测评实施流程的得*分;实施流程活动安排有缺项漏项的得*分;提供实施流程活动安排但无法满足采购人实际需求的,难以保证项目顺利展开的得*分;未提供不得分。 *.质量控制 项目质量控制方案中对流程控制、过程控制、变更控制、项目沟通、实施进度控制、过程文档管理: 质量控制措施全面,质量控制流程及内容描述详细,完全满足采购人实际需求的得*分;质量控制措施合理,但未详细描述质量控制流程的得*分;提供质量保证措施缺项漏项但具备操作性的得*分;提供质量控制措施,但控制措施不符合测评项目情况,难以保证项目顺利展开的得*分;未提供不得分。 *.风险防范 项目实施方案中具备完善的风险管理和应急处置,针对临时性、突发性工作任务安全方面等: 应急预案完整、有效、全面、即时性强,能够有效解决临时、突发状况的,对风险进行提前识别并提供应对措施的得*分;应急预案内容全面、应急响应流程完善,但对识别风险未能提供有效应对措施的得*分;有应急预案,但内容不详细,没有充分考虑涉及本项目可能出现的风险因素,应对措施不具体的得*分;应急预案不健全,措施不完整,实施性差,难以保证项目顺利开展的得*分;未提供应急预案的不得分。 *.整改建议 根据等保测评结果,提供协助系统整改及安全加固建议方案,整改加固建议内容、方式、加固方案示例、风险规避措施描述详细、完整、满足采购人要求: 提供的整改建议描述详细、完整、具有可执行性,切实满足采购人实际需求的得*分;整改建议描述详细、完整,但未提供详细整改的举措的得*分;整改建议有缺项漏项的得*分;具备基础的整改建议描述,但不能切实满足采购人实际需求的得*分;未提供不得分。 |
| * | 人员配备 | **.** | 为保障项目进度和测评质量,在项目实施中,投标人应安排足够的测评师和技术力量参与本项目: *.项目实施团队*名以上,至少包含*名高级测评师、*名中级测评师、*名初级测评师,满足得*分,不满足不得分;在此基础上,每增加*名高级测评师得*分,每增加*名中级测评师得*分,加至*分为止。 *.项目实施团队配备的等级保护测评师具备注册信息安全专业人员证书(****)、注册渗透测试工程师证书(********)或注册网络安全渗透评估(*******)、信息安全保障人员认证(*****)、信息安全工程师、云计算安全认证(****)、网络安全技术能力认证(****),每有一个证书得*分,满分**分,一人具有多证按一证计算。 注:须提供人员名单及证书复印件、由投标人为其缴交的社保证明材料(****年度任意一个月参保记录),并加盖投标人公章,未提供或提供的材料不齐全的不得分。 |
| * | 业绩 | *.** | 投标人提供近三年(自****年*月至今)的类似项目业绩,每有一项得*分,最高得*分。 注:提供合同及中标/成交通知书清晰的扫描件并加盖公章(合同中须能反映项目名称、主要标的物,签订时间和签章清晰可见),否则不得分,时间以合同签订时间为准。 |
| * | 服务承诺 | **.** | 提供项目售后服务承诺:售后服务承诺全面具体,服务内容详尽,售后服务体系健全,服务流程具有系统性、科学性,有具体的问题解决措施,能快速的响应服务诉求,售后人员有相应的资质且经验丰富,具有培训方案的得**分;售后服务承诺内容全面,售后服务体系健全,有完整的售后服务流程,问题解决措施但不明确,响应与现场服务到位及时,能提供售后人员但无相应资质或缺乏相关经验的得*分;售后服务承诺内容存在缺漏、描述简单笼统,售后服务体系有欠缺,问题解决方案模糊不清晰,售后服务响应内容简单的得*分;售后服务内容粗略,无明显针对性的得*分;未提供售后服务承诺的不得分。 |
| * | 检测工具 | **.** | 投标人应具有满足项目实施要求的检测设备,应当配备满足等级保护测评工作需要的测评设备和工具:涵盖主机配置检查、系统漏洞检查、网络安全检查、网络及安全设备配置检查、数据库安全检查、弱口令安全检查基于等级保护*.*通用安全要求检查的功能,每满*项功能的得*分,满分得**分,不具备不得分。 注:以上需提供功能截图;自研的检测工具需提供软件著作权证书扫描件或采购的检测工具需提供相关采购证明, 提供不全或未提供的不得分。 |
| 合计: | ***.** | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
免责声明: 本页面提供的内容是按照政府采购有关法律法规要求由采购人或采购代理机构发布的,宁夏政府采购网对其内容概不负责,亦不承担任何法律责任。
