宁夏/银川-2025-10-16 00:00:00
| 采购计划编号: | ************* | 项目名称: | 宁夏回族自治区宁东医院信息化建设项目 |
|---|---|---|---|
| 分包名称: | 第二标段(商用密码应用安全性评估) | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | ******.** |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: |
否 |
| 是否为执行国家统一定价标 和固定价格采购项目: |
否 | 是否适宜由中小企业提供: | 否 |
| 不适宜由中小企业提供的情形: | (三)面向中小企业预留采购份额无法确保充分供应、充分竞争,或者存在可能影响政府采购目标实现的情形。 | 不适宜面向中小企业证明材料 (专家论证或集体决策或政策依据): |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
*.* 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
*.* 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
*.* 提供具有良好商业信誉和健全的财务会计制度的承诺函;
*.* 提供履行合同所必需的设备和专业技术能力的证明材料;
*.* 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
*.* 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| * | 具有商用密码检测机构资质证书(商用密码应用安全性评估) |
三、商务要求
四、技术要求
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| * | **********测试评估认证服务 | 测试评估认证服务(商用密码应用安全性评估) | (*)对委托评估系统的密码应用方案进行评估,出具加盖检测机构印章的《密码应用方案安全性评估报告》纸质一式三份。 (*)对委托评估系统的关键基础设施、重要应用、网络进行商用密码应用安全性评估。具体包括:商用密码总体要求测评、密码技术应用测评、密钥管理测评、安全管理测评。评估后,出具加盖检测机构印章的《密码应用安全评估报告》纸质一式三份。 | * | ******.** | 标的**测试评估认证服务:*.* 商用密码总体要求测评 (*)密码算法合规性测评:信息系统中使用的密码算法是否符合法律、法规的规定和密码相关国家标准、行业标准的有关要求。 (*)密码技术合规性测评:信息系统中使用的密码技术是否遵循密码相关国家标准和行业标准。 (*)密码产品合规性测评:信息系统中使用的密码产品与密码模块是否通过国家密码管理部门核准。 (*)密码服务合规性测评:信息系统中使用的密码服务是否通过国家密码管理部门许可。 *.* 密码技术应用测评 从物理和环境、网络和通信、设备和计算、应用和数据*个层面对信息系统中应用的密码技术进行分析与评估。 物理和环境层面测评:分析评估信息系统是否合理、合规地利用商用密码完整性、真实性功能,对影响信息系统安全防护效能的物理和环境层面因素进行保护。包括但不限于下列典型因素:重要场所的物理访问控制,监控设备的物理访问控制,以及物理访问记录、监控信息等敏感信息数据完整性。 网络和通信层面测评:分析评估信息系统是否合理、合规地利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的网络和通信层面因素进行保护。包括但不限于下列典型因素:安全认证连接到内部网络的设备,通信双方的身份认证过程,通信数据完整性,敏感信息数据字段机密性,网络边界访问控制信息完整性,系统资源访问控制信息完整性,安全设备、安全组件的集中管理方式和信息传输通道。 设备和计算层面测评:分析评估信息系统是否合理、合规地利用商用密码机密性、完整性、真实性功能,对影响信息系统安全防护效能的设备和计算层面因素进行保护。包括但不限于下列典型因素:登录信息系统设备和计算环境的用户身份鉴别过程,系统设备和计算环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要程序或文件完整性,信息系统设备和计算环境的日志记录完整性。 应用和数据层面测评:分析评估信息系统是否合理、合规地利用商用密码机密性、完整性、真实性以及不可否认性功能,对影响信息系统安全防护效能的应用和数据层面因素进行保护。包括但不限于下列典型因素:登录信息系统应用和数据操作环境的用户身份鉴别过程,系统应用和数据操作环境资源访问控制信息完整性,重要信息资源敏感标记完整性,重要数据传输过程的机密性、完整性,重要信息存储过程的机密性、完整性,重要程序的加载和卸载过程,信息系统应用相关实体行为不可否认性,信息系统应用和数据操作环境的日志记录完整性。 *.* 密钥管理测评 对影响商用密码防护效能的密钥生命周期相关环节,以及相关环节管理和策略制定的全过程进行分析与评估。密钥生命周期相关环节包括但不限于下列典型环节:密钥生成,密钥存储,密钥分发,密钥导入,密钥导出,密钥使用,密钥备份,密钥恢复,密钥归档,密钥销毁。 *.* 安全管理测评 对影响商用密码防护效能的管理制度与措施进行分析与评估。管理制度与措施包括但不限于下列典型维度:安全管理制度,人员管控,信息系统实施,应急预案。 (*)安全管理制度维度,包括但不限于下列内容与措施:密码建设、运维、人员、设备、密钥管理内容,密码相关操作规范、安全操作规范,安全管理制度的合理性和适用性论证与审定,安全管理制度的改进和修订,安全管理制度的发布,安全管理制度的执行。 (*)人员管控维度,包括但不限于下列内容与措施:了解并遵守密码相关法律法规密码产品使用,关键岗位划分,相关人员职责与权限划分,岗位责任制与人员制约、监督机制,管理和使用账号,人员培训、人员选拔,人员考核、奖惩与调离,人员保密措施。 (*)信息系统实施维度,包括但不限于下列内容与措施:信息系统规划,信息系统建设方案,信息系统密码产品、服务选用,信息系统运行前与定期评估,信息系统整改。 (*)应急预案维度,包括但不限于下列内容与措施:应急预案,应急资源准备,应急情况与处置,上级主管部门应急报告,同级密码主管部门应急报告。 *.项目服务时间 (*)自双方签订合同之日起至评估报告得到采购人确认结束; (*)采购人提供密码应用方案后**个工作日内,中标人提交《密码应用方案安全性评估报告》(不包括采购人整改、完善时间); (*)密码应用方案安全性评估通过且系统建设完成具备评估条件后的**个工作日内,中标方完成系统评估工作并提交《密码应用安全性评估报告》(不包括采购人、承建单位整改、完善时间); *. 项目质量要求 (*)中标方提供的评估报告内容及数据应准确、完整、客观、公正; (*)中标方提供的评估服务质量应符合密码应用安全性评估规范相关要求,且评估结果及报告必须提交采购人确认。 | (*)自双方签订合同之日起至评估报告得到采购人确认结束; (*)采购人提供密码应用方案后**个工作日内,中标人提交《密码应用方案安全性评估报告》(不包括采购人整改、完善时间); (*)密码应用方案安全性评估通过且系统建设完成具备评估条件后的**个工作日内,中标方完成系统评估工作并提交《密码应用安全性评估报告》(不包括采购人、承建单位整改、完善时间); | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
五、合同管理安排
合同类型:
服务类
(验收方案附件):
六、评审方法及评审细则
评标方法:
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| * | 投标报价 | **.** | 投标报价得分:即满足招标文件要求且价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的投标报价得分统一按照下列公式你计算: 投标报价得分=(评标基准价÷投标报价)×投标报价权值(**分)×***%(得分保留两位小数)。 (评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响服务质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提供相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效投标处理)。符合招标文件规定的采购政策的投标人,按照扣除后的价格参与评审。 |
| * | 业绩 | *.** | 投标人提供近三年(自****年*月至本项目开标之日)具有类似项目业绩,每提供一个业绩得*分,满分*分。 注:提供合同和中标/成交通知书清晰的扫描件并加盖公章(合同中须能反映项目名称、主要标的物,签订时间和签章清晰可见),否则不得分。 |
| * | 综合服务能力证明 | *.** | *.投标人具有国家信息安全漏洞库技术支撑单位证书的得*.*分; *.投标人具有网络安全审计服务资质证书的得*.*分。 注:投标文件中提供有效期内的证书扫描件并加盖公章,未提供不得分。 |
| * | 团队服务能力证明 | **.** | *.项目经理(*人):具备商用密码应用安全性评估人员考核证书,在此基础上具有信息安全工程师证书(人社部颁发)的得*分。 *.测评团队成员中(除项目经理外)具有商用密码应用安全性评估人员考核证书,在此基础上具有系统规划与管理师证书(人社部颁发)、注册网络安全渗透评估专业人员高级证书(*******)、数据安全评估师证书(********)、密码安全工程师证书的,每提供一个人得*分,满分**分,一人具有多证按一人计算。 注:须提供证书复印件、由投标人为其缴交的社保证明材料(****年度任意一个月参保记录),并加盖投标人公章,未提供或提供的材料不齐全的不得分。 |
| * | 拟投入密评工具 | **.** | 投标人提供符合本项目服务要求的以下自有测试工具,每提供一类工具得*分,最高**分: *.密码安全协议分析工具; *.密码算法验证测试工具; *.数字证书格式合规性验证工具; *.随机数检测验证工具; *.公私钥对验证测试工具。 注:以上需提供功能截图;自研的检测工具需提供软件著作权证书扫描件,购买的需提供合同和发票, 提供不全或未提供的不得分。 |
| * | 服务方案 | **.** | 投标人提供针对本项目的服务方案:包括但不限于密码应用需求、服务思路、评估指标、评估流程、总体测评要求及测评方法、应用技术测评要求及测评方法、安全管理要求及测评方法、风险分析、评估结论、输出报告等。 方案完整、有效、全面的得**分;方案基本完整、内容基本全面的得*分;方案仅具备基础内容的得*分;内容粗略,无明显针对性的得*分;未提供不得分。 |
| * | 实施方案 | **.** | 投标人需根据项目特点编制组织实施及管理方案:包含但不限于组织管理、实施过程、项目实施规范、运营管理制度、保障措施、实施培训、运行维护服务等。 方案完整、有效、全面的得**分;方案基本完整、内容基本全面的得*分;方案仅具备基础内容的得*分;内容粗略,无明显针对性的得*分;未提供不得分。 |
| * | 质量保障 | **.** | 投标人需针对本项目特点提供质量保障及应急预案:包括但不限于质量管理、服务人员质量职责、服务质量、项目质量,进度安排、进度计划等。 方案完整、有效、全面的得**分;方案基本完整、内容基本全面的得*分;方案仅具备基础内容的得*分;内容粗略,无明显针对性的得*分;未提供不得分。 |
| * | 安全保密措施 | **.** | 投标人根据本项目需求提供项目实施阶段保密措施:包括但不限于保密协议签署、数据安全保密、知识产权保护等。 方案完整、有效、全面的得**分;方案基本完整、内容基本全面的得*分;方案仅具备基础内容的得*分;内容粗略,无明显针对性的得*分;未提供不得分。 |
| ** | 应急预案 | **.** | 投标人根据项目需求制定应急预案:包括但不限于应急原则、网络故障应急处理规范、软件故障应急处理规范、硬件应急处理规范等。 方案完整、有效、全面的得**分;方案基本完整、内容基本全面的得*分;方案仅具备基础内容的得*分;内容粗略,无明显针对性的得*分;未提供不得分。 |
| ** | 售后服务 | **.** | 提供项目售后服务承诺:售后服务承诺全面具体,服务内容详尽,售后服务体系健全,服务流程具有系统性、科学性,有具体的问题解决措施,能快速的响应采购人的服务诉求,售后人员有相应的资质且经验丰富,具有培训方案的得**分;售后服务承诺内容全面,售后服务体系健全,有完整的售后服务流程,问题解决措施但不明确,响应与现场服务到位及时,能提供售后人员但无相应资质或缺乏相关经验的得*分;售后服务承诺内容存在缺漏、描述简单笼统,售后服务体系有欠缺,问题解决方案模糊不清晰,售后服务响应内容简单的得*分;售后服务内容粗略,无明显针对性的得*分;未提供不得分。 |
| 合计: | ***.** | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
免责声明: 本页面提供的内容是按照政府采购有关法律法规要求由采购人或采购代理机构发布的,宁夏政府采购网对其内容概不负责,亦不承担任何法律责任。
