襄阳市妇幼保健院拟对如下项目进行采购,欢迎符合条件且诚意合作的供应商报名参与。
一、项目概述
项目编码:襄采计备[2022]002220号
项目名称:襄阳市妇幼保健院电子病历系统三级等保测评项目
项目预算总额:8万元。
项目概述:用于核心系统的等保测评
采购方式:竞争性磋商
二、项目商务资质要求
(一)供应商资质要求:
1.公司注册资金不少于 200 万元(必有项)
2.公司注册时间不少于 3 年(必有项)
3.只允许注册法人名下一家公司报名(必有项)
4.公司经营范围需包含本项目(必有项)
①法人授权书
②公司营业执照
③供应商须具有公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》;
④本项目投标截止期前被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(处罚期限尚未届满的),不得参与本项目的投标[以“信用中国”网站(www.creditchina.gov.cn),“中国政府采购网”网站(www.ccgp.gov.cn/)评标当日招标代理机构查询记录为准
⑤提供至少3个近两年开展三甲及以上医院信息安全等级保护测评的案例,需同时出具案例合同及验收报告
⑥本项目不接受联合体投标
5.现场样品要求(可选项)
6.被委托人与委托人签订的劳动合同或劳务合同和由劳动保障部门提供的社保证明或查询社保网站对单位为个人缴纳社保金进行截图。(必有项)
(二)投标文件要求:
必须提供装订成册一式三套的投标文件(含一正二副及电子版)。包含的内容依次为:
1.标书目录(注意标明页码)(必有项)
2.投标函、廉洁承诺书(必有项)
3.报价表(响应院方采购文件配置需求一览表表)(必有项)
4.法定代表人身份证(含法人身份证正反面复印件)(必有项)
5.授权委托书(格式详见附件1)(必有项)
6.被委托人与委托人签订的劳动合同或劳务合同和由劳动保障部门提供的社保证明或查询社保网站对单位为个人缴纳社保金进行截图。(必有项)
7.提供现场资质审查的原件资料(与“项目商务资质要求” 中
第4条一一对应;是复印件的需加盖有关联公司的公章)(必有项)
8.项目方案(可选项)
9.公司财务状况(可选项)
10. 提供至少3个近三年开展三级及以上医院信息安全等级保护测评的案例,需同时出具案例合同及验收报告(必须项)
11.其他事项(可选项)
(三)注意事项:
1.请注明项目的标配、选配项目价格表及质保期(必有项)
2.与项目有关的承诺、报价单等书面承诺必须有公司受托人签字。
(必有项)
3.各供应商代表报价以人民币报价为准,合同价格以院内谈判最
终价格为准。(必有项)
4.付款方式按照襄阳市妇幼保健院相关规定执行
三、采购项目技术要求
1.1等级保护测评服务
序号 | 系统名称 | 备注 |
1 | 电子病历系统 | 三级 |
参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019 网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及整改工作。指导用户方按照等级保护技术标准完成网络安全整改,使被测评的信息系统达到等级保护相关要求。
测评及整改范围为项目目标所涉及的基础网络环境、主机层面、应用层、数据库层及相关安全辅助设备与管理制度。服务目标为项目目标最终通过公安部门及相关部门的等级保护检查要求。
1.2标准和规范
《中华人民共和国网络安全法》
《GBT 22240—2020 信息安全技术网络安全等级保护定级指南》
《GBT22239-2019 网络安全等级保护基本要求》
《GB/T25070-2019 网络安全等级保护设计技术要求》
《GB/T28448-2019 网络安全等级保护测评要求》
《GB 17859-1999 计算机信息系统 安全等级保护划分准则》
《GBT 20269—2006 信息安全技术 信息系统安全管理要求》
《GBT 20271—2006 信息安全技术 信息系统安全通用技术要求》
《GBT 20272—2006 信息安全技术 操作系统安全技术要求》
1.3测评实施原则
本项目实施方案设计与具体实施必须满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害招标方的行为。
标准性原则:测评方案的设计与实施应依据国家信息系统安全等级保护的相关标准进行。
规范性原则:投标方的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
可控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可控性。
最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
1.4整体要求
(1)供应商应详细描述本次信息系统安全等级保护测评的整体实施方案,包括项目概述、等级保护测评方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交等。
(2)供应商应详细描述测评人员的组成、资质及各自职责的划分。供应商应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)供应商应详细描述测评人员的组成、资质及各自职责的划分(参与现场人员的项目经理具备中级及以上测评资质或信息安全管理体系ISO27001主任审核员资质)。供应商须具有公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服务认证证书》,应配置有测评资质的专业人员进行本次信息安全等级保护测评工作。参与测评人员不少于4人,必须提供高级测评师资质证明或中国网络安全审查技术与认证中心(CCRC)出具的专业信息安全服务资质(二级或更高级)。
(4)本次信息系统安全等级保护测评实施过程中所使用到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在信息系统等级保护测评中使用。
(5)供应商应具备本地化服务能力,非湖北区域内测评机构需提供本地化分支机构证明和本地化常驻人员近半年的社保证明。
(6)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,供应商应详细描述需要的运行环境的具体要求。
1.5专用工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,确保其安全性,如果需要则对工具进行软件或代码升级。
1.6安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
(1)等级保护测评前
1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
2)签订安全保密协议。
(2)等级保护测评中
1)对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
4)对测评设备、介质进行严格的保密管理;
5)工作过程中对人员要实施封闭式集中管理;
6)对进场人员遵守被测单位的相关管理、防疫规定。
(3)等级保护测评后
1)认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;
3)在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
1.7售后服务
按要求实现本技术规范规定的所有条款及功能要求,配合完成相关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
针对突发安全应急事件,如:发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等,在收到应急响应服务请求,提供半小时内远程响应,以远程的方式协助查明安全事件原因,确定安全事件的威胁和破坏的严重程度,安全资深专家1个小时内到达现场,立即对入侵事件进行分析、检测完成后给出应急响应报告。
2.1项目定级备案
投标方应梳理现有的信息系统,严格按照《信息安全技术 信息系统安全保护等级定级指南》的要求,对信息系统的级别进行划定。完成信息系统定级报告及定级材料的准备、整理,指导协助用户方完成信息系统去公安机关的备案工作。
2.2项目定级备案项目测评内容
根据国家等级保护相关标准《GBT22239-2019 网络安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下内容:
安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评;
安全管理测评:包括安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。
服务内容:
1、协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全问题及时提供有针对性的安全整改建议,保障整改措施的落实,完成重要信息系统的定级、备案等相关工作;
2、依据《信息系统安全等级保护基本要求》,从安全技术和管理两个方面共十个层面对信息系统进行等级测评,出具等级测评报告;
3、针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建设整改和安全加固方面的咨询。
4、提供安全服务,及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设指导工作,及时、有效、正确的预防和阻止各种黑客攻击。职责清晰,能快速及时的帮助客户处理网络安全事件。
项目 | 服务内容 | 工作描述 |
等级测评 | 项目准备及现场调研 | 协助对信息系统物理环境、网络、终端、数据、安全管理等进行调研。 |
信息系统定级、备案 | 疏理信息系统定级工作,完成信息系统定级报告及定级材料的准备; 整理、补充信息系统备案所有相关的文档,指导用户方完成相应信息系统等级保护备案工作。 | |
信息系统差距分析 | 对定级的信息系统,依照《信息系统安全等级保护基本要求》进行逐个对照,分析信息系统安全情况与等级保护基本要求的差距,完成信息系统等级保护差距分析报告。 | |
等级保护安全整改 | 协助落实相关的等级保护建设整改工作,等级保护整改实施具体内容包括安全管理制度修订、安全技术整改、形成安全配置基线、辅助进行安全增强配置和调试指导工作等工作内容,提升信息系统的安全防护能力,确保信息系统满足国家等级保护相应等级要求。 | |
等级保护测评 | 参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019 网络安全等级保护测评要求》等标准规范要求,对信息系统开展信息系统等级保护测评工作。 | |
成果 | 服务目标为通过公安部门的等级保护检查,输出《信息系统等级保护测评报告》 协助用户取得公安机关备案证明。(已备案测评过的信息系统不再出具新的备案证明) |
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全保密管理与风险控制。
指定项目经理为专人负责信息安全测评过程中的安全保密管理工作,对测评活动、测评人员以及相关文档和数据进行安全保密管理,对重点设备的技术检测进行监督,对接入的检测设备进行控制。项目经需理具备中级及以上测评资质或信息安全管理体系ISO27001主任审核员资质,具备丰富的等级保护测评经验。
安全测评工作中可能出现的安全风险点,按照检测对象周密制定测评方法,根据被测评对象的不同采取相应的风险控制手段,不限于以下方法:
(1)操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处理意外事件。
(2)操作时间控制
对测评直接影响系统工作时,尽可能避开敏感时期。
(3)人员与数据管理
必须高度重视信息保密工作,加强资料管理,确保人员可靠、稳定和可控。测评与被测评单位之间应签署长期保密协议,测评人员与被测评单位之间也要有相应的约束和控制措施,按国家有关要求做好保密工作。
(4)制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
(5)关键业务系统风险控制
对影响较大的重要关键业务系统在无法搭建模拟环境情况下,原则上不采用测评工具,采用访谈、测评和简单测试的方式进行。
(6)优化扫描策略
分类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要根据其上不同的应用和服务情况,有针对性地定制扫描策略选项。
(7)数据备份与恢复
对业务系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备与主机的损伤影响业务系统的正常运行。
四、采购项目综合要求
1、如成交供应商发生兼并、重组,由新组建的公司按投标文件承担相应售后服务;
2、供应商使用的技术装备、设施应当符合《信息安全等级保护管理办法》中对信息安全产品的要求;
3、供应商的技术方案中应有完备的保密管理、项目管理、质量管理、人员管理和培训教育等安全管理制度;
4、供应商需提供等级保护测评案例合同复印件备查;
五、项目评分标准
评委根据本项目承办科室所提出的各项要求,对投标人进行综合评判,并客观公正地进行推荐排序。
六、谈判程序和方法
(一)本次采购为价格谈判采购。供应商应派其授权代表持有效身份证件按采购文件规定的时间递交谈判响应文件,并准备参加谈判。
(二)供应商应当在谈判文件“供应商报名须知”要求的截止时间前,将响应文件密封送达谈判会议现场。在截止时间后送达的响应文件为无效文件,谈判小组拒收。
(三)供应商在提交响应文件截止时间前,可以对所提交的响应文件进行补充、修改或者撤回。补充、修改的内容作为响应文件的组成部分。补充、修改的内容与响应文件不一致的,以补充、修改的内容为准。
(四)谈判小组在对响应文件的有效性、完整性和响应程度进行审查时,可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。
(五) 谈判小组所有成员集中与单一供应商分别进行谈判,给予所有参加的供应商平等的谈判机会。
七、谈判资格评审
谈判小组将依据磋商文件要求,对所有供应商提交的谈判文件进行资格评审;对未实质性响应文件要求的,谈判小组应现场告知供应商,取消其参加评标资格。
八、抽签及参与谈判
(一)实质性响应谈判文件资格要求的供应商按所抽取的谈判顺序,依次与谈判小组分别进行谈判。
(二)谈判小组将就谈判文件中的技术、服务要求、合同草案条款等与供应商一一洽谈。
(三)谈判小组可以根据谈判文件和谈判情况实质性变动采购需求中的技术、服务要求以及合同草案条款。
(四)对谈判文件作出实质性变动是谈判或谈判文件的有效组成部分,应当以书面形式同时通知所有参加谈判的供应商。
(五)谈判期间,谈判小组将要求不少于三家参加谈判的供应商在规定时间内提交最后报价,提交最后报价的供应商不少于3家。最后报价是供应商谈判响应文件的有效组成部分。
(六)响应供应商的报价均超过了采购预算,谈判活动终止。
(七)价格谈判共有两轮报价。两轮报价后,评委对供应商承诺的事项进行综合评议,若出现不能明确推荐第一名或第二名的供应商时,组织与之相对应的供应商进行第三轮报价。
九、确定成交候选人
经谈判,在确定最终采购需求和提交最后报价的供应商后,推荐完全响应谈判文件所提出的要求、且价格最低的供应商,为第一成交候选人。
十、合同条款
根据《中华人民共和国合同法》,采购人和中标人(成交供应商)之间的权力和义务,应当按照平等、自愿的原则,依据文件要求和响应文件承诺,签订合同。
十一、供应商报名须知
(一)报名起止时间
2023年1月4日至2023年1月6日,8:00-12:00,14:30-17:30。
(二)报名地点:襄阳市妇幼保健院
(三)报名联系电话: 0710-3069686
(四)报名资料清单:(因疫情原因,采用电话报名,资质要求和标书等文件在谈判会议现场一并提交,复印件均需加盖公司原章)
1.法人证明或法人授权委托书(请严格按照附件1格式出具法人和受托人的身份证复印件)
2.营业执照
3.按照本采购文件“项目商务资质要求”提供相关证明材料。
4.公司承诺书(对本公司提供报名资料复印件真实性的承诺)。
(五)注意事项:
1.请报名的供应商在接到会议通知后,按要求准备好标书五份(一正四副)、项目受托人身份证原件等各类资料证件;采购文件中若要求提供样品,则供应商必须携带样品入场,否则视为自动弃权。
2.请供应商准时到达会场,迟到者,视为自动放弃,不再另行通知。
3.若采购会议前更换受托人,新受托人需携带新的法人授权委托书和相关资料到现场。
附件1:
法定代表人授权委托书
致:
我(姓名) 系(单位名称) 的法定代表人,现授权委托本单位(姓名) 为该项目代理人,代表我单位参加贵院组织的(项目名称) (项目编号为: )采购,授权事项:。
委托期限: 受托人在办理上述事宜过程中以其自己名义签署的所有文件我公司均予以承认。受托人无权转让委托权。
受托人在本单位的任职部门及职务:
受托人身份证号:
受委托人的联系方式(手机):
附:1、单位法定代表人身份证复印件(复印正、反两面)
2、受托人身份证复印件(复印正、反两面)
委托单位(供应商): (公章)
法定代表人(签字或个人印章):
受委托人(签字):
授权日期: 年 月 日