全部

全部
產(chǎn)品管理
新聞資訊
介紹內(nèi)容
企業(yè)網(wǎng)點
常見問題
企業(yè)視頻
企業(yè)圖冊

首頁

南通市腫瘤醫(yī)院2020年度等級保護(hù)測評項目需求

發(fā)布時間：

2020-12-02

一、項目需求

委托具備資質(zhì)的第三方信息安全等級測評機(jī)構(gòu)（以下簡稱“測評機(jī)構(gòu)”）對南通市腫瘤醫(yī)院信息系統(tǒng)進(jìn)行信息安全等級差距測評，查找與分析現(xiàn)有系統(tǒng)的安全防護(hù)能力與標(biāo)準(zhǔn)之間的差距并出具最終的網(wǎng)絡(luò)安全等級保護(hù)測評報告。

（一）項目內(nèi)容：HIS、EMR、PACS、門戶網(wǎng)站系統(tǒng)測評

（二）信息安全等級保護(hù)檢測

根據(jù)國家對信息安全等級保護(hù)工作的相關(guān)法律和技術(shù)標(biāo)準(zhǔn)要求，結(jié)合本項目的系統(tǒng)保護(hù)等級開展實施與之相應(yīng)的檢查工作，具體檢查內(nèi)容應(yīng)包括：

（1）物理安全

測評內(nèi)容主要包括：機(jī)房位置選擇、機(jī)房物理訪問控制、機(jī)房防雷擊、機(jī)房防火、機(jī)房防水和防潮、機(jī)房防靜電、機(jī)房溫濕度控制、機(jī)房供配電、機(jī)房電磁防護(hù)、設(shè)備安全防護(hù)、存儲介質(zhì)安全防護(hù)等。

（2）網(wǎng)絡(luò)安全

測評內(nèi)容主要包括：網(wǎng)絡(luò)結(jié)構(gòu)安全、網(wǎng)絡(luò)訪問控制、網(wǎng)絡(luò)安全審計、邊界完整性保護(hù)、網(wǎng)絡(luò)入侵防范、網(wǎng)絡(luò)惡意代碼防范、網(wǎng)絡(luò)設(shè)備登錄控制、網(wǎng)絡(luò)備份與恢復(fù)等。

（3）主機(jī)安全

測評內(nèi)容主要包括：用戶身份鑒別、自主訪問控制、標(biāo)記與強(qiáng)制訪問控制、安全審計、入侵防范、惡意代碼防范、資源控制、可信路徑、可執(zhí)行程序保護(hù)、備份與恢復(fù)等。

（4）應(yīng)用安全

測評內(nèi)容主要包括：用戶身份鑒別、自主訪問控制、標(biāo)記與強(qiáng)制訪問控制、安全審計、檢錯和容錯、資源控制等。

（5）數(shù)據(jù)安全與備份恢復(fù)

測評內(nèi)容主要包括：數(shù)據(jù)完整性保護(hù)、數(shù)據(jù)保密性保護(hù)、數(shù)據(jù)備份與恢復(fù)等

（6）安全管理機(jī)構(gòu)

測評內(nèi)容主要包括：安全管理機(jī)構(gòu)設(shè)置、人員配備及職責(zé)、安全授權(quán)和審批、安全溝通和合作、安全審核和檢查等。

（7）安全管理制度

測評內(nèi)容主要包括：安全管理制度內(nèi)容、制度的制定與發(fā)布、制度的評審和修訂等。

（8）人員安全管理

測評內(nèi)容主要包括：人員崗位管理、人員培訓(xùn)與考核、人員安全意識教育、外部人員訪問管理等。

（9）系統(tǒng)建設(shè)管理

測評內(nèi)容主要包括：安全設(shè)計管理、產(chǎn)品采購使用管理、自行軟件開發(fā)管理、外包軟件開發(fā)管理、安全工程實施管理、安全測試驗收管理、安全系統(tǒng)交付管理、安全服務(wù)選擇管理等。

（10）系統(tǒng)運(yùn)維管理

測評內(nèi)容主要包括：運(yùn)行環(huán)境管理、資產(chǎn)管理、存儲介質(zhì)管理、設(shè)備管理、安全審計管理、入侵防范管理、網(wǎng)絡(luò)安全管理、主機(jī)系統(tǒng)安全管理、用戶授權(quán)管理、備份與恢復(fù)管理、惡意代碼防范管理、安全事件處置管理、應(yīng)急響應(yīng)管理等。

（11）完成信息安全等級保護(hù)的最終測評，提交各信息系統(tǒng)的測評報告至公安等保辦，完成測評工作。

（三）實施人員和服務(wù)工作要求

（1）客觀性和公正性原則：

測評人員應(yīng)當(dāng)沒有偏見，在最小主觀判斷情形下，按照測評雙方相互認(rèn)可的測評方案開展。

（2）保密原則：

在測評過程中，需嚴(yán)格遵循保密原則，雙方簽訂保密協(xié)議，對服務(wù)過程中涉及到的任何用戶信息未經(jīng)允許不向其他任何第三方泄漏，以及不得利用這些信息損害采購方利益。

（3）最小影響原則：

測評工作應(yīng)該盡可能小地影響系統(tǒng)和網(wǎng)絡(luò)的正常運(yùn)行，不能對業(yè)務(wù)的正常運(yùn)行產(chǎn)生明顯的影響（包括系統(tǒng)性能明顯下降、網(wǎng)絡(luò)阻塞、服務(wù)中斷等），如無法避免，則應(yīng)做出說明。

（4）規(guī)范性原則：

網(wǎng)絡(luò)安全等級保護(hù)測評服務(wù)的實施必須由專業(yè)的測評服務(wù)人員依照規(guī)范的操作流程進(jìn)行，對操作過程和結(jié)果要有相應(yīng)的記錄，并提供完整的服務(wù)報告。

（5）質(zhì)量保障原則：

在整個測評過程中，須特別重視項目質(zhì)量管理。項目的實施將嚴(yán)格按照項目實施方案和流程進(jìn)行，并由項目協(xié)調(diào)小組從中監(jiān)督，控制項目的進(jìn)度和質(zhì)量。

（6）系統(tǒng)安全原則：

項目工作人員需遵守等保檢測規(guī)定，采用符合標(biāo)準(zhǔn)的檢測工具和檢測方法實施檢測，如因違規(guī)操作造成對檢測系統(tǒng)的破壞，則應(yīng)承擔(dān)相應(yīng)責(zé)任。

（四）測評標(biāo)準(zhǔn)

(1)GB/T 22239-2019：《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》

(2)GB/T 28448-2019：《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評要求》

以下為本次測評的相關(guān)參考標(biāo)準(zhǔn)和文檔：

(3)GB/T 28449-2018：《信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)測評過程指南》

二、綜合評分法

經(jīng)確定最終采購需求和提交最后報價的供應(yīng)商后，由評標(biāo)小組采用綜合評分法對提交最后報價的供應(yīng)商的響應(yīng)文件和最后報價進(jìn)行綜合評分。

綜合評分法，是指響應(yīng)文件滿足需求文件全部實質(zhì)性要求且按評審因素的量化指標(biāo)評審得分最高的供應(yīng)商為成交候選供應(yīng)商的最終方法。

評標(biāo)時，小組各成員應(yīng)當(dāng)獨立對每個有效響應(yīng)的文件進(jìn)行評價、打分，然后匯總每個供應(yīng)商每項評分因素的得分。

（一）審查響應(yīng)文件的有效性、完整性、響應(yīng)程度

1、供應(yīng)商資格是否符合;

2、響應(yīng)文件是否完整；

3、響應(yīng)文件是否恰當(dāng)?shù)睾炇穑?/span>

4、是否作出實質(zhì)性響應(yīng)（是否有實質(zhì)性響應(yīng)，只根據(jù)響應(yīng)文件本身，而不尋求外部證據(jù)）；

5、是否有計算錯誤。

（二）誤差糾正

1、如果單價匯總金額與總價金額有出入，以單價金額計算結(jié)果為準(zhǔn)；

2、單價金額小數(shù)點有明顯錯位的，應(yīng)以總價為準(zhǔn)；

3、正本與副本有矛盾的，以正本為準(zhǔn)；

4、若文件大寫表示的數(shù)據(jù)與數(shù)字表示的有差別，以大寫表示的數(shù)據(jù)為準(zhǔn)。

（三）出現(xiàn)下列情形之一的，作無效響應(yīng)處理;

1、未按照需求文件規(guī)定要求裝訂、密封、簽署、蓋章的；

2、不具備需求文件中規(guī)定的資格要求的；

3、響應(yīng)報價超出預(yù)算的；

4、不符合法律、法規(guī)和需求文件中規(guī)定的其他實質(zhì)性要求的。

（四）出現(xiàn)下列情形之一的，示為失敗；

1、符合條件的供應(yīng)商或者對需求文件作實質(zhì)響應(yīng)的供應(yīng)商不足3家的；

2、出現(xiàn)影響采購公正的違法違規(guī)行為的；

3、供應(yīng)商的最后報價均超過了采購預(yù)算，采購人不能支付的；

4、因重大變故，采購任務(wù)取消的。

除資格性檢查認(rèn)定錯誤、分值匯總計算錯誤、分項評分超出評分標(biāo)準(zhǔn)范圍、客觀分評分不一致、經(jīng)評標(biāo)小組一致認(rèn)定評分畸高、畸低的情形外，采購人、采購人不以任何理由組織重新評審。采購人、采購人發(fā)現(xiàn)評標(biāo)小組未按照需求文件規(guī)定的標(biāo)準(zhǔn)進(jìn)行評標(biāo)的，重新開展采購活動。

三、評標(biāo)標(biāo)準(zhǔn)

商務(wù)技術(shù)部分評審結(jié)束后，再開啟最后報價計算分值?？偡种禐?/font>100分，加分和減分因素除外，其中商務(wù)技術(shù)分70分，價格分30分。

（一）商務(wù)技術(shù)分：70分

供應(yīng)商得分為評標(biāo)小組成員的算術(shù)平均分。

序號	評分點名稱	分值	評審標(biāo)準(zhǔn)
1	公司資質(zhì)	8	需提供證明材料復(fù)印件并加蓋供應(yīng)商公章。
1.1	具有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）頒發(fā)的信息安全風(fēng)險評估服務(wù)資質(zhì)	2	具備中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）頒發(fā)的信息安全風(fēng)險評估服務(wù)資質(zhì)得2分，沒有不得分。
1.2	具有中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）頒發(fā)的信息系統(tǒng)安全運(yùn)維服務(wù)資質(zhì)	2	具備中國網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心（CCRC）頒發(fā)的信息系統(tǒng)安全運(yùn)維服務(wù)資質(zhì)得2分，沒有不得分。
1.3	具有信息安全管理體系認(rèn)證證書(ISO27001)	2	具備信息安全管理體系認(rèn)證證書(ISO27001)得2分，沒有不得分。
1.4	具有質(zhì)量管理體系認(rèn)證證書（ISO9001）	2	具備質(zhì)量管理體系認(rèn)證證書（ISO9001）得2分，沒有不得分。
2	技術(shù)實力（一）	18	需提供證明供應(yīng)商的技術(shù)實力材料并加蓋供應(yīng)商公章
2.1	投標(biāo)企業(yè)連續(xù)四年在CNAS能力驗證結(jié)果	4	連續(xù)四年在CNAS能力驗證結(jié)果均為“滿意”的得4分，其余不得分。證明材料：提供中國合格評定國家認(rèn)可委員會出具的能力驗證計劃結(jié)果證書復(fù)印件并加蓋投標(biāo)企業(yè)公章。
2.2	投標(biāo)企業(yè)出具任意一年CNAS能力驗證計劃結(jié)果通知單	4	總得分最高得4分，總得分第二得2分，總得分第三得1分，其余不得分。證明材料：提供中國合格評定國家認(rèn)可委員會出具的能力驗證計劃結(jié)果通知單復(fù)印件并加蓋投標(biāo)企業(yè)公章。
2.3	高級測評師證書	2	具備高級測評師證書得2分，沒有不得分。
2.4	重要信息系統(tǒng)安全等級保護(hù)培訓(xùn)證書	2	具備重要信息系統(tǒng)安全等級保護(hù)培訓(xùn)證書（CIIP-T）得2分，沒有不得分。
2.5	信息安全保障人員認(rèn)證證書（CISAW）	2	具備信息安全保障人員認(rèn)證證書（CISAW）得2分，沒有不得分。
2.6	注冊信息安全工程師證書（CISP）	2	具備注冊信息安全工程師證書（CISP）得2分，沒有不得分。
2.7	(ISC)²注冊信息系統(tǒng)安全專家證書（CISSP）	2	具備(ISC)²注冊信息系統(tǒng)安全專家證書（CISSP）得2分，沒有不得分。
3	技術(shù)實力（二）	18	需提供承擔(dān)本次項目的項目團(tuán)隊資質(zhì)證明材料并加蓋供應(yīng)商公章。（技術(shù)實力（二）與技術(shù)實力（一）提供為同一人不重復(fù)得分）。
3.1	高級測評師	4	每有一人得2分，最高得4分。證明材料：提供項目組成員高級測評師證書復(fù)印件加蓋公章并提供近三個月社保記錄復(fù)印件加蓋投標(biāo)企業(yè)公章。
3.2	信息安全保障人員	6	每有一人得2分，最高得6分。證明材料：提供項目組成員信息安全保障人員認(rèn)證證書（CISAW）復(fù)印件加蓋公章并提供近三個月社保記錄復(fù)印件加蓋投標(biāo)企業(yè)公章。
3.3	重要信息系統(tǒng)安全等級保護(hù)培訓(xùn)人員	4	每有一人得2分，最高得4分。證明材料：提供項目組成員重要信息系統(tǒng)安全等級保護(hù)培訓(xùn)證書（CIIP-T）證書復(fù)印件加蓋公章并提供近三個月社保記錄復(fù)印件加蓋投標(biāo)企業(yè)公章。
3.4	ISG技能鑒定合格	2	具備得2分，沒有不得分。證明材料：提供項目組成員ISG技能鑒定證書（合格）證書復(fù)印件加蓋公章并提供近三個月社保記錄復(fù)印件加蓋投標(biāo)企業(yè)公章。
3.5	中華人民共和國人力資源和社會保障部、工業(yè)和信息化部批準(zhǔn)頒發(fā)的“信息安全工程師”	2	具備得2分，沒有不得分。證明材料：提供項目組成員中華人民共和國人力資源和社會保障部、工業(yè)和信息化部批準(zhǔn)頒發(fā)的“信息安全工程師”證書復(fù)印件加蓋公章并提供近三個月社保記錄復(fù)印件加蓋投標(biāo)企業(yè)公章。
4	成功案例	4	提供等保服務(wù)相關(guān)案例：近三年起等保測評服務(wù)合同，每個合同得1分，最高得4分。證明材料：提供合同復(fù)印件并加蓋供應(yīng)商公章。
5	服務(wù)能力	22	需提供供應(yīng)商的服務(wù)能力證明并加蓋公章
5.1	要求提供的等保測評方案科學(xué)合理，清晰完善	16	方案優(yōu)秀的得16-10分，方案良好的得9-5分，方案一般的得4-0分。
5.2	安全事件應(yīng)急響應(yīng)服務(wù)能力	6	安全事件應(yīng)急響應(yīng)服務(wù)時間，0.5小時內(nèi)響應(yīng)，1小時到場響應(yīng)且響應(yīng)時間最快的得6分，2-4小時到場響應(yīng)得4分其次得2分。證明材料：安全事件應(yīng)急響應(yīng)服務(wù)時間以百度地圖（map.baidu.com）截圖為準(zhǔn)。

注意：供應(yīng)商在開標(biāo)現(xiàn)場遞交最后報價，最后報價不得超過響應(yīng)文件中的報價。

(二）價格分：30分

綜合評分法中的價格分統(tǒng)一采用低價優(yōu)先法計算，即滿足需求文件要求且最后報價最低的供應(yīng)商的價格為評標(biāo)基準(zhǔn)價，其價格分為滿分。其他供應(yīng)商的價格分統(tǒng)一按照下列公式計算：

評標(biāo)報價得分=（基準(zhǔn)價/最后報價）×價格權(quán)值×100

評標(biāo)小組認(rèn)為供應(yīng)商的報價明顯高于或低于其他通過符合性審查供應(yīng)商的報價，有可能影響服務(wù)質(zhì)量或者不能誠信履約的，應(yīng)當(dāng)要求其在評標(biāo)現(xiàn)場合理的時間內(nèi)提供書面說明，必要時提交相關(guān)證明材料；供應(yīng)商不能證明其報價合理性的，評標(biāo)委員會應(yīng)當(dāng)將其作為無效處理。

四、變更為其他方式采購的情形

提交響應(yīng)文件截止時間時參加的供應(yīng)商不足3家的，及過程中出現(xiàn)符合專業(yè)條件的供應(yīng)商或?qū)π枨笪募鲗嵸|(zhì)響應(yīng)的供應(yīng)商不足3家，除采購任務(wù)取消外，視情采取其他方式采購。需求文件中對供應(yīng)商資質(zhì)、服務(wù)等要求，將作為其他方式采購的基本要求和依據(jù)。原已經(jīng)參加評標(biāo)并符合要求的供應(yīng)商，根據(jù)自愿原則，參加其他方式采購。

五、出現(xiàn)下列情形之一的，采購活動終止，發(fā)布項目終止公告并說明原因，重新開展采購活動：

（一）因情況變化，不再符合規(guī)定的采購方式適用情形的；

（二）出現(xiàn)影響采購公正的違法、違規(guī)行為的；

（三）在采購過程中符合要求的供應(yīng)商或者報價未超過采購預(yù)算的供應(yīng)商不足3家的。

六、響應(yīng)文件組成

響應(yīng)文件由資格審查證明材料、商務(wù)技術(shù)響應(yīng)文件、價格響應(yīng)文件三部分組成。

（一）資格審查證明材料（一正二副，單獨密封并牢固裝訂）：

1、關(guān)于資格的聲明函；

2、投標(biāo)供應(yīng)商法定代表人參加投標(biāo)的，必須提供法定代表人身份證明及法定代表人本人身份證復(fù)印件；非法定代表人參加投標(biāo)的，必須提供法定代表人簽名或蓋章的授權(quán)委托書原件及被授權(quán)人身份證復(fù)印件；

3、企業(yè)營業(yè)執(zhí)照（提供復(fù)印件并加蓋公章）；

4、符合《中華人民共和國政府采購法》第二十二條規(guī)定的書面聲明；

5、無重大違法記錄聲明；

6、供應(yīng)商的《網(wǎng)絡(luò)安全等級保護(hù)測評機(jī)構(gòu)推薦證書》（提供復(fù)印件并加蓋公章）；

7、其它需要提交的資格審查證明材料。

（二）商務(wù)技術(shù)響應(yīng)文件（不能出現(xiàn)報價；一正二副，單獨密封并牢固裝訂）：

1、供應(yīng)商資質(zhì)及實力相關(guān)證明材料（提供復(fù)印件并加蓋公章）；

2、人員資質(zhì)相關(guān)證明材料（提供復(fù)印件并加蓋公章）；

3、業(yè)績相關(guān)證明材料（提供復(fù)印件并加蓋公章）；

4、方案及服務(wù)

5、評審辦法中涉及的事項，為方便磋商評審，請供應(yīng)商按磋商評審辦法中所涉及的事項順序進(jìn)行編制，可以補(bǔ)充相關(guān)材料。

6、評審辦法中未涉及的事項，供應(yīng)商認(rèn)為需要提交的其他資料。

（三）價格響應(yīng)文件，一式三份（單獨密封并牢固裝訂），不得出現(xiàn)在商務(wù)技術(shù)響應(yīng)文件部分：

1、報價總表；

2、報價明細(xì)表。

注：總報價應(yīng)包括：完成本項目的全部費(fèi)用(含一切必須的輔助材料費(fèi)用)及相關(guān)服務(wù)費(fèi)等。本項目委托服務(wù)任務(wù)完成所需的全部服務(wù)，即包括響應(yīng)及完成委托工作所需的一切費(fèi)用，包含但不限于如人工、稅費(fèi)、保險、技術(shù)支持與培訓(xùn)、代理服務(wù)費(fèi)及相關(guān)勞務(wù)支出等工作所發(fā)生的全部費(fèi)用以及供應(yīng)商企業(yè)利潤、稅金、代理服務(wù)費(fèi)和政策性文件規(guī)定及合同包含的所有風(fēng)險、責(zé)任，即響應(yīng)本磋商文件規(guī)定的各項應(yīng)有費(fèi)用。