【公告】舟山市中医院信息系统等级保护测评项目询价公告(二次公告)
· 2024-07-26
经医院研究决定,就舟山市中医院信息系统等级保护测评项目采取院内询价确定供应商,现欢迎合格供应商报名参加。本次采购公告为二次公告,若合格供应商报名仍不足三家将自动转为竞争性磋商或单一来源采购(首次公告于2024年7月19日在我院官网发布,因报名供应商不足三家流标。
一、项目编号:ZSSZYYXXCG202403
二、项目名称:信息系统等级保护测评服务
三、项目内容:
nn
| n 项目名称 n | n n 具体标的 n | n n 等级 n | n n 数量(项) n | n n 预算 n | n
| n 信息系统等级保护测评服务 n | n n 网络基础支撑 n | n n 三级等保复测 n | n n 1 n | n n 10万元 n | n
| n 医院门户网站 n | n n 二级等保测评 n | n n 1 n | n ||
| n 面向患者(HIS系统、体检系统) n | n n 二级等保测评 n | n n 1 n | n ||
| n 综合服务平台(信息系统) n | n n 二级等保测评 n | n n 1 n | n
★供应商必须具有信息系统等级测评与检测评估机构服务认证证书。
四、服务要求:
1、依据标准
投标供应商应依据国家等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准:
(1)GB/T 22239-2019《信息安全技术网络安全等级保护基本要求》
(2)GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
(3)GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
(4)GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
2、测评内容
根据本项目中等级保护对象的安全保护等级,并依据GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》、GB/Tn28448-2019《信息安全技术 网络安全等级保护测评要求》的条款要求,投标人对舟山市中医院信息系统及基础网络等级保护测评服务,测评的内容包括但不限于以下内容:
1、安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境和安全管理中心等五个方面的安全测评。
2、安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
五、信息系统等级保护测评的具体要求
1、信息系统技术安全测评
(1)、安全物理环境测评:物理安全检测应当包含:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
(2)、安全通信网络测评:安全通信网络测评应当包含:网络架构、通信传输、可信验证等。
(3)、安全区域边界主机安全测评:安全区域边界测评应当包含:边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
(4)、安全计算环境测评:安全计算环境测评应当包含:身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
(5)、安全管理中心测评:系统管理、审计管理、安全管理、集中管控。
2、信息系统管理安全测评
(1)、安全管理制度测评:安全管理制度测评应当包含:安全策略、管理制度、制定与发布、审批和修订。
(2)、安全管理机构测评:安全管理机构测评应当包含:岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
(3)、安全管理人员测评:安全管理人员测评应当包含:人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
(4)、安全建设管理测评:安全建设管理测评应当包含:定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务。
(5)、安全运维管理测评:安全运维管理测评应当包含:环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
3、本次等级保护测评的整体要求
(1) 投标供应商应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2) 投标供应商应详细描述测评人员的组成、资质及各自职责的划分。投标供应商应配置有经验的测评人员进行本次等级保护测评工作。n
(3) 本次等级保护测评实施过程中所使用到的各种工具软件由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。在报价文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求,包括但不仅仅包括网络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(5) 安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标供应商推荐,经采购人确认后由投标供应商提供并在测评中使用。
(6) 安全测评需要的运行环境(如场地、网络环境等)由采购人提供,投标供应商应详细描述需要的运行环境的具体要求。
(7) 项目完成后必须提交完整的技术文档、测评报告、整改建议等。
4、项目验收
(1) 本项目的目标是输出等级保护测评报告,并配合办理信息系统安全保护定级、备案、测评手续,该项目将产生一定数量的文档。
(2) 投标供应商应对所有正式交付件的综合质量审查负责,指定各交付件的相关责任人,明确相关职责。
(3) 投标供应商应提交验收方案,供采购人参考。
(4)采购人将依据本项目的要求,组织相关部门或单位的技术专家对投标供应商提交的项目成果进行验收。
5、项目承诺
(1)投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
(2)保密性要求:投标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签订时一并提供给采购人。
(3)投标供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。
(4)投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。
(5)等级保护测评的品质保证:投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
6、其它要求
(1)投标供应商在测评方案书中,对能提供的信息系统安全等级保护测评进行详细说明,可根据具体情况在项目方案中提出建议,并附详细资料和说明。
(2)投标供应商应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权,并对所涉及的专利、知识产权等法律条款承担义务,采购人以上问题不承担任何法律责任。
(3)若投标供应商的设备和系统包含自己的专用标准,应在建议书中具体说明,并附上相应的详细技术资料。
六、要求项目交付文档
项目实施过程及完成后,应向采购人提交包含但不限于以下的文档:
《网络安全等级测评方案》
《网络安全等级测评整改建议》
《网络安全等级测评报告》
《公安部门备案证明》
《渗透测试报告》
注:《网络安全等级测评方案》应在正式测评前提交,《网络安全等级测评整改建议》应在测评中提交,《网络安全等级测评报告》及《渗透测试报告》应在正式测评结束后15个工作日后提交。
七、项目实施要求:
1、实施方应保证在确定中标供应商以后立即开展实施,协助采购方办理定级备案。
2、保证本项目实施,项目负责人需具有3年以上等保+密评测评工作经验,具备以下任一证书:商用密码应用安全性评估人员培训合格证书且为高级测评师、信息安全保障人员认证证书(CISAW)、信息技术(信息安全)高级工程师职称、渗透测试高级工程师证书、数据治理工程师证书。
3、项目验收完成后,要求提供为期一年的安全咨询服务,以保证项目正常运行。
八、评分标准:
| n 序号 n | n n 评分因素 n | n n 评分细则 n | n n 分值(分) n | n
| n 一 n | n n 履约能力 n | n n n | nn n | n
| n 1 n | n n 供应商情况 n | n n 供应商具有有效的中国合格评定国家认可委员会检验机构认可证书(CNAS),且能力范围需包含云计算安全扩展要求和工业控制系统安全扩展、商用密码应用安全性评估内容得2分。证明材料:证书复印件,加盖投标供应商公章。 n供应商具有信息技术服务管理体系认证证书(ISO20000资质范围:网络安全等级保护测评服务)、信息安全管理体系认证证书(ISO27001资质范围:网络安全等级测评服务)、环境管理体系认证证书(ISO14001资质范围:网络安全等级保护测评、软件检测、商用密码应用安全性评估),全部满足得3分,缺项不得分。 n具有源代码备份漏洞利用工具软件著作权证书、具有有效的CMA检验检测机构资质认证证书、移动安全检测系统著作权证书、验证码安全加固认证系统著作权证书、网站安全扫描工具软件著作权证书每类证书1分,最高得4分; n具有国家信息安全漏洞共享平台漏洞证明证书每个得1分,最高得3分; n(提供相关证书复印件加盖公章) n说明:根据响应文件中提供的有效证书进行评分,未提供或不符合以上条件不得分。 n | n n 12 n | n
文章推荐:
更多商机查看,下载保标APP
扫码关注小程序,获取商机更容易
