襄阳市妇幼保健院拟对如下项目进行采購(gòu),欢迎符合条件且诚意合作的供应商(shāng)报名参与。
一、项目概述
项目编码:襄采计备[2022]002220号
项目名称:襄阳市妇幼保健院電(diàn)子病历系统三级等保测评项目
项目预算总额:8万元。
项目概述:用(yòng)于核心系统的等保测评
采購(gòu)方式:竞争性磋商(shāng)
二、项目商(shāng)務(wù)资质要求
(一)供应商(shāng)资质要求:
1.公司注册资金不少于 200 万元(必有(yǒu)项)
2.公司注册时间不少于 3 年(必有(yǒu)项)
3.只允许注册法人名下一家公司报名(必有(yǒu)项)
4.公司经营范围需包含本项目(必有(yǒu)项)
①法人授权书
②公司营业执照
③供应商(shāng)须具有(yǒu)公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服務(wù)认证证书》;
④本项目投标截止期前被列入失信被执行人、重大税收违法案件当事人名单、政府采購(gòu)严重违法失信行為(wèi)记录名单(处罚期限尚未届满的),不得参与本项目的投标[以“信用(yòng)中國(guó)”网站(www.creditchina.gov.cn),“中國(guó)政府采購(gòu)网”网站(www.ccgp.gov.cn/)评标当日招标代理(lǐ)机构查询记录為(wèi)准
⑤提供至少3个近两年开展三甲及以上医院信息安全等级保护测评的案例,需同时出具案例合同及验收报告
⑥本项目不接受联合體(tǐ)投标
5.现场样品要求(可(kě)选项)
6.被委托人与委托人签订的劳动合同或劳務(wù)合同和由劳动保障部门提供的社保证明或查询社保网站对单位為(wèi)个人缴纳社保金进行截图。(必有(yǒu)项)
(二)投标文(wén)件要求:
必须提供装订成册一式三套的投标文(wén)件(含一正二副及電(diàn)子版)。包含的内容依次為(wèi):
1.标书目录(注意标明页码)(必有(yǒu)项)
2.投标函、廉洁承诺书(必有(yǒu)项)
3.报价表(响应院方采購(gòu)文(wén)件配置需求一览表表)(必有(yǒu)项)
4.法定代表人身份证(含法人身份证正反面复印件)(必有(yǒu)项)
5.授权委托书(格式详见附件1)(必有(yǒu)项)
6.被委托人与委托人签订的劳动合同或劳務(wù)合同和由劳动保障部门提供的社保证明或查询社保网站对单位為(wèi)个人缴纳社保金进行截图。(必有(yǒu)项)
7.提供现场资质审查的原件资料(与“项目商(shāng)務(wù)资质要求” 中
第4条一一对应;是复印件的需加盖有(yǒu)关联公司的公章)(必有(yǒu)项)
8.项目方案(可(kě)选项)
9.公司财務(wù)状况(可(kě)选项)
10. 提供至少3个近三年开展三级及以上医院信息安全等级保护测评的案例,需同时出具案例合同及验收报告(必须项)
11.其他(tā)事项(可(kě)选项)
(三)注意事项:
1.请注明项目的标配、选配项目价格表及质保期(必有(yǒu)项)
2.与项目有(yǒu)关的承诺、报价单等书面承诺必须有(yǒu)公司受托人签字。
(必有(yǒu)项)
3.各供应商(shāng)代表报价以人民(mín)币报价為(wèi)准,合同价格以院内谈判最
终价格為(wèi)准。(必有(yǒu)项)
4.付款方式按照襄阳市妇幼保健院相关规定执行
三、采購(gòu)项目技术要求
1.1等级保护测评服務(wù)
序号 | 系统名称 | 备注 |
1 | 電(diàn)子病历系统 | 三级 |
参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019 网络安全等级保护测评要求》等标准规范要求,开展信息系统等级保护测评及整改工作。指导用(yòng)户方按照等级保护技术标准完成网络安全整改,使被测评的信息系统达到等级保护相关要求。
测评及整改范围為(wèi)项目目标所涉及的基础网络环境、主机层面、应用(yòng)层、数据库层及相关安全辅助设备与管理(lǐ)制度。服務(wù)目标為(wèi)项目目标最终通过公安部门及相关部门的等级保护检查要求。
1.2标准和规范
《中华人民(mín)共和國(guó)网络安全法》
《GBT 22240—2020 信息安全技术网络安全等级保护定级指南》
《GBT22239-2019 网络安全等级保护基本要求》
《GB/T25070-2019 网络安全等级保护设计技术要求》
《GB/T28448-2019 网络安全等级保护测评要求》
《GB 17859-1999 计算机信息系统 安全等级保护划分(fēn)准则》
《GBT 20269—2006 信息安全技术 信息系统安全管理(lǐ)要求》
《GBT 20271—2006 信息安全技术 信息系统安全通用(yòng)技术要求》
《GBT 20272—2006 信息安全技术 操作系统安全技术要求》
1.3测评实施原则
本项目实施方案设计与具體(tǐ)实施必须满足以下原则:
保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用(yòng)此数据进行任何侵害招标方的行為(wèi)。
标准性原则:测评方案的设计与实施应依据國(guó)家信息系统安全等级保护的相关标准进行。
规范性原则:投标方的工作中的过程和文(wén)档,具有(yǒu)很(hěn)好的规范性,可(kě)以便于项目的跟踪和控制。
可(kě)控性原则:项目安排工作进度要跟上进度表的安排,保证工作的可(kě)控性。
最小(xiǎo)影响原则:测评工作应尽可(kě)能(néng)小(xiǎo)的影响系统和网络,并在可(kě)控范围内;测评工作不能(néng)对现有(yǒu)信息系统的正常运行、业務(wù)的正常开展产生任何影响。
整體(tǐ)性原则:测评的范围和内容应当整體(tǐ)全面,包括國(guó)家等级保护相关要求涉及的各个层面。
1.4整體(tǐ)要求
(1)供应商(shāng)应详细描述本次信息系统安全等级保护测评的整體(tǐ)实施方案,包括项目概述、等级保护测评方案、测试过程中需使用(yòng)测试设备清单、时间安排、阶段性文(wén)档提交等。
(2)供应商(shāng)应详细描述测评人员的组成、资质及各自职责的划分(fēn)。供应商(shāng)应配置有(yǒu)测评资质的专业人员进行本次信息安全等级保护测评工作。
(3)供应商(shāng)应详细描述测评人员的组成、资质及各自职责的划分(fēn)(参与现场人员的项目经理(lǐ)具备中级及以上测评资质或信息安全管理(lǐ)體(tǐ)系ISO27001主任审核员资质)。供应商(shāng)须具有(yǒu)公安部第三研究所认证发放的《网络安全等级测评与检测评估机构服務(wù)认证证书》,应配置有(yǒu)测评资质的专业人员进行本次信息安全等级保护测评工作。参与测评人员不少于4人,必须提供高级测评师资质证明或中國(guó)网络安全审查技术与认证中心(CCRC)出具的专业信息安全服務(wù)资质(二级或更高级)。
(4)本次信息系统安全等级保护测评实施过程中所使用(yòng)到的各种工具软件由投标人推荐,经招标人确认后由投标人提供并在信息系统等级保护测评中使用(yòng)。
(5)供应商(shāng)应具备本地化服務(wù)能(néng)力,非湖(hú)北區(qū)域内测评机构需提供本地化分(fēn)支机构证明和本地化常驻人员近半年的社保证明。
(6)信息系统安全等级保护测评需要的运行环境(如场地、网络环境等)由招标人提供,供应商(shāng)应详细描述需要的运行环境的具體(tǐ)要求。
1.5专用(yòng)工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用(yòng)于测评的工具主要包括服務(wù)器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用(yòng)系统安全测评工具等。在使用(yòng)前,应对工具进行测评,确保其安全性,如果需要则对工具进行软件或代码升级。
1.6安全管理(lǐ)要求
為(wèi)做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
(1)等级保护测评前
1)对等级保护测评人员要进行安全保密教育,制定安全保密措施;
2)签订安全保密协议。
(2)等级保护测评中
1)对被测单位的性质、机房物(wù)理(lǐ)位置、网络与系统、应用(yòng)与服務(wù)、资料与数据、人员与管理(lǐ)等方面的信息进行严格的安全保密管理(lǐ);
2)等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
3)对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
4)对测评设备、介质进行严格的保密管理(lǐ);
5)工作过程中对人员要实施封闭式集中管理(lǐ);
6)对进场人员遵守被测单位的相关管理(lǐ)、防疫规定。
(3)等级保护测评后
1)认真清退各种文(wén)档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
2)现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可(kě)执行程序;
3)在其他(tā)风险测评任務(wù)或宣传材料中不涉及被测单位的秘密、敏感情况。
1.7售后服務(wù)
按要求实现本技术规范规定的所有(yǒu)条款及功能(néng)要求,配合完成相关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
针对突发安全应急事件,如:发生网络入侵事件、大规模病毒爆发、遭受拒绝服務(wù)攻击等,在收到应急响应服務(wù)请求,提供半小(xiǎo)时内遠(yuǎn)程响应,以遠(yuǎn)程的方式协助查明安全事件原因,确定安全事件的威胁和破坏的严重程度,安全资深专家1个小(xiǎo)时内到达现场,立即对入侵事件进行分(fēn)析、检测完成后给出应急响应报告。
2.1项目定级备案
投标方应梳理(lǐ)现有(yǒu)的信息系统,严格按照《信息安全技术 信息系统安全保护等级定级指南》的要求,对信息系统的级别进行划定。完成信息系统定级报告及定级材料的准备、整理(lǐ),指导协助用(yòng)户方完成信息系统去公安机关的备案工作。
2.2项目定级备案项目测评内容
根据國(guó)家等级保护相关标准《GBT22239-2019 网络安全等级保护基本要求》,对重要信息系统等级保护测评项目应包括以下内容:
安全技术测评:包括安全物(wù)理(lǐ)环境、安全通信网络、安全區(qū)域边界、安全计算环境、安全管理(lǐ)中心等五个方面的安全测评;
安全管理(lǐ)测评:包括安全管理(lǐ)制度、安全管理(lǐ)机构、安全管理(lǐ)人员、安全建设管理(lǐ)、安全运维管理(lǐ)等五个方面的安全测评。
服務(wù)内容:
1、协助开展系统和重要信息系统的自查自评估工作,对存在的风险隐患和安全问题及时提供有(yǒu)针对性的安全整改建议,保障整改措施的落实,完成重要信息系统的定级、备案等相关工作;
2、依据《信息系统安全等级保护基本要求》,从安全技术和管理(lǐ)两个方面共十个层面对信息系统进行等级测评,出具等级测评报告;
3、针对信息系统等保测评实施过程中发现的安全隐患和薄弱环节,提供安全建设整改和安全加固方面的咨询。
4、提供安全服務(wù),及时发现信息系统中存在安全隐患和威胁,进一步开展安全建设指导工作,及时、有(yǒu)效、正确的预防和阻止各种黑客攻击。职责清晰,能(néng)快速及时的帮助客户处理(lǐ)网络安全事件。
项目 | 服務(wù)内容 | 工作描述 |
等级测评 | 项目准备及现场调研 | 协助对信息系统物(wù)理(lǐ)环境、网络、终端、数据、安全管理(lǐ)等进行调研。 |
信息系统定级、备案 | 疏理(lǐ)信息系统定级工作,完成信息系统定级报告及定级材料的准备; 整理(lǐ)、补充信息系统备案所有(yǒu)相关的文(wén)档,指导用(yòng)户方完成相应信息系统等级保护备案工作。 | |
信息系统差距分(fēn)析 | 对定级的信息系统,依照《信息系统安全等级保护基本要求》进行逐个对照,分(fēn)析信息系统安全情况与等级保护基本要求的差距,完成信息系统等级保护差距分(fēn)析报告。 | |
等级保护安全整改 | 协助落实相关的等级保护建设整改工作,等级保护整改实施具體(tǐ)内容包括安全管理(lǐ)制度修订、安全技术整改、形成安全配置基線(xiàn)、辅助进行安全增强配置和调试指导工作等工作内容,提升信息系统的安全防护能(néng)力,确保信息系统满足國(guó)家等级保护相应等级要求。 | |
等级保护测评 | 参照《GBT22239-2019 网络安全等级保护基本要求》和《GB/T28448-2019 网络安全等级保护测评要求》等标准规范要求,对信息系统开展信息系统等级保护测评工作。 | |
成果 | 服務(wù)目标為(wèi)通过公安部门的等级保护检查,输出《信息系统等级保护测评报告》 协助用(yòng)户取得公安机关备案证明。(已备案测评过的信息系统不再出具新(xīn)的备案证明) |
项目开展工作涉及到单位重要信息系统和数据,在测评过程中必须加强安全保密管理(lǐ)与风险控制。
指定项目经理(lǐ)為(wèi)专人负责信息安全测评过程中的安全保密管理(lǐ)工作,对测评活动、测评人员以及相关文(wén)档和数据进行安全保密管理(lǐ),对重点设备的技术检测进行监督,对接入的检测设备进行控制。项目经需理(lǐ)具备中级及以上测评资质或信息安全管理(lǐ)體(tǐ)系ISO27001主任审核员资质,具备丰富的等级保护测评经验。
安全测评工作中可(kě)能(néng)出现的安全风险点,按照检测对象周密制定测评方法,根据被测评对象的不同采取相应的风险控制手段,不限于以下方法:
(1)操作的申请和监护
在实施过程中必须遵守的相关操作章程,以防止敏感信息泄漏和确保及时处理(lǐ)意外事件。
(2)操作时间控制
对测评直接影响系统工作时,尽可(kě)能(néng)避开敏感时期。
(3)人员与数据管理(lǐ)
必须高度重视信息保密工作,加强资料管理(lǐ),确保人员可(kě)靠、稳定和可(kě)控。测评与被测评单位之间应签署長(cháng)期保密协议,测评人员与被测评单位之间也要有(yǒu)相应的约束和控制措施,按國(guó)家有(yǒu)关要求做好保密工作。
(4)制定应急预案
根据测评范围界定的系统情况,在实施前制定应急预案。
(5)关键业務(wù)系统风险控制
对影响较大的重要关键业務(wù)系统在无法搭建模拟环境情况下,原则上不采用(yòng)测评工具,采用(yòng)访谈、测评和简单测试的方式进行。
(6)优化扫描策略
分(fēn)类扫描:对不同的主机和设备类型执行不同的扫描会话,从而减少不必要的脆弱项目测试。针对扫描对象细化扫描策略:对不同类型的主机或设备,需要根据其上不同的应用(yòng)和服務(wù)情况,有(yǒu)针对性地定制扫描策略选项。
(7)数据备份与恢复
对业務(wù)系统和数据库主机,应对其上数据进行备份,防止测评过程中对设备与主机的损伤影响业務(wù)系统的正常运行。
四、采購(gòu)项目综合要求
1、如成交供应商(shāng)发生兼并、重组,由新(xīn)组建的公司按投标文(wén)件承担相应售后服務(wù);
2、供应商(shāng)使用(yòng)的技术装备、设施应当符合《信息安全等级保护管理(lǐ)办法》中对信息安全产品的要求;
3、供应商(shāng)的技术方案中应有(yǒu)完备的保密管理(lǐ)、项目管理(lǐ)、质量管理(lǐ)、人员管理(lǐ)和培训教育等安全管理(lǐ)制度;
4、供应商(shāng)需提供等级保护测评案例合同复印件备查;
五、项目评分(fēn)标准
评委根据本项目承办科(kē)室所提出的各项要求,对投标人进行综合评判,并客观公正地进行推荐排序。
六、谈判程序和方法
(一)本次采購(gòu)為(wèi)价格谈判采購(gòu)。供应商(shāng)应派其授权代表持有(yǒu)效身份证件按采購(gòu)文(wén)件规定的时间递交谈判响应文(wén)件,并准备参加谈判。
(二)供应商(shāng)应当在谈判文(wén)件“供应商(shāng)报名须知”要求的截止时间前,将响应文(wén)件密封送达谈判会议现场。在截止时间后送达的响应文(wén)件為(wèi)无效文(wén)件,谈判小(xiǎo)组拒收。
(三)供应商(shāng)在提交响应文(wén)件截止时间前,可(kě)以对所提交的响应文(wén)件进行补充、修改或者撤回。补充、修改的内容作為(wèi)响应文(wén)件的组成部分(fēn)。补充、修改的内容与响应文(wén)件不一致的,以补充、修改的内容為(wèi)准。
(四)谈判小(xiǎo)组在对响应文(wén)件的有(yǒu)效性、完整性和响应程度进行审查时,可(kě)以要求供应商(shāng)对响应文(wén)件中含义不明确、同类问题表述不一致或者有(yǒu)明显文(wén)字和计算错误的内容等作出必要的澄清、说明或者更正。供应商(shāng)的澄清、说明或者更正不得超出响应文(wén)件的范围或者改变响应文(wén)件的实质性内容。
(五) 谈判小(xiǎo)组所有(yǒu)成员集中与单一供应商(shāng)分(fēn)别进行谈判,给予所有(yǒu)参加的供应商(shāng)平等的谈判机会。
七、谈判资格评审
谈判小(xiǎo)组将依据磋商(shāng)文(wén)件要求,对所有(yǒu)供应商(shāng)提交的谈判文(wén)件进行资格评审;对未实质性响应文(wén)件要求的,谈判小(xiǎo)组应现场告知供应商(shāng),取消其参加评标资格。
八、抽签及参与谈判
(一)实质性响应谈判文(wén)件资格要求的供应商(shāng)按所抽取的谈判顺序,依次与谈判小(xiǎo)组分(fēn)别进行谈判。
(二)谈判小(xiǎo)组将就谈判文(wén)件中的技术、服務(wù)要求、合同草(cǎo)案条款等与供应商(shāng)一一洽谈。
(三)谈判小(xiǎo)组可(kě)以根据谈判文(wén)件和谈判情况实质性变动采購(gòu)需求中的技术、服務(wù)要求以及合同草(cǎo)案条款。
(四)对谈判文(wén)件作出实质性变动是谈判或谈判文(wén)件的有(yǒu)效组成部分(fēn),应当以书面形式同时通知所有(yǒu)参加谈判的供应商(shāng)。
(五)谈判期间,谈判小(xiǎo)组将要求不少于三家参加谈判的供应商(shāng)在规定时间内提交最后报价,提交最后报价的供应商(shāng)不少于3家。最后报价是供应商(shāng)谈判响应文(wén)件的有(yǒu)效组成部分(fēn)。
(六)响应供应商(shāng)的报价均超过了采購(gòu)预算,谈判活动终止。
(七)价格谈判共有(yǒu)两轮报价。两轮报价后,评委对供应商(shāng)承诺的事项进行综合评议,若出现不能(néng)明确推荐第一名或第二名的供应商(shāng)时,组织与之相对应的供应商(shāng)进行第三轮报价。
九、确定成交候选人
经谈判,在确定最终采購(gòu)需求和提交最后报价的供应商(shāng)后,推荐完全响应谈判文(wén)件所提出的要求、且价格最低的供应商(shāng),為(wèi)第一成交候选人。
十、合同条款
根据《中华人民(mín)共和國(guó)合同法》,采購(gòu)人和中标人(成交供应商(shāng))之间的权力和义務(wù),应当按照平等、自愿的原则,依据文(wén)件要求和响应文(wén)件承诺,签订合同。
十一、供应商(shāng)报名须知
(一)报名起止时间
2023年1月4日至2023年1月6日,8:00-12:00,14:30-17:30。
(二)报名地点:襄阳市妇幼保健院
(三)报名联系電(diàn)话: 0710-3069686
(四)报名资料清单:(因疫情原因,采用(yòng)電(diàn)话报名,资质要求和标书等文(wén)件在谈判会议现场一并提交,复印件均需加盖公司原章)
1.法人证明或法人授权委托书(请严格按照附件1格式出具法人和受托人的身份证复印件)
2.营业执照
3.按照本采購(gòu)文(wén)件“项目商(shāng)務(wù)资质要求”提供相关证明材料。
4.公司承诺书(对本公司提供报名资料复印件真实性的承诺)。
(五)注意事项:
1.请报名的供应商(shāng)在接到会议通知后,按要求准备好标书五份(一正四副)、项目受托人身份证原件等各类资料证件;采購(gòu)文(wén)件中若要求提供样品,则供应商(shāng)必须携带样品入场,否则视為(wèi)自动弃权。
2.请供应商(shāng)准时到达会场,迟到者,视為(wèi)自动放弃,不再另行通知。
3.若采購(gòu)会议前更换受托人,新(xīn)受托人需携带新(xīn)的法人授权委托书和相关资料到现场。
附件1:
法定代表人授权委托书
致:
我(姓名) 系(单位名称) 的法定代表人,现授权委托本单位(姓名) 為(wèi)该项目代理(lǐ)人,代表我单位参加贵院组织的(项目名称) (项目编号為(wèi): )采購(gòu),授权事项:。
委托期限: 受托人在办理(lǐ)上述事宜过程中以其自己名义签署的所有(yǒu)文(wén)件我公司均予以承认。受托人无权转让委托权。
受托人在本单位的任职部门及职務(wù):
受托人身份证号:
受委托人的联系方式(手机):
附:1、单位法定代表人身份证复印件(复印正、反两面)
2、受托人身份证复印件(复印正、反两面)
委托单位(供应商(shāng)): (公章)
法定代表人(签字或个人印章):
受委托人(签字):
授权日期: 年 月 日
