南通市中医院OA系统等保测评项目需求文件
一、项目名称
OA系统等保测评项目
二、项目概述
南通市中医院乃至整个卫生行业网络安全工作是我国卫生事业发展的重要组成部分,做好信息安全等保工作,对于促进卫生信息化健康发展,社保医药卫生体制改革,维护公共利益、社会秩序和国家安全具有重要意义,我院作为卫生行业的一份子,应落国家信息安全等级保护制度。
主要有以下几个原因:
第一、开展等保的最重要原因是为了通过等级保护测评工作,发现我单位系统内、外部存在的安全风险和脆弱性,通过整改之后,提高信息系统的信息安全防护能力,降低系统被各种攻击的风险。我单位内部系统较多,需要通过等级保护去梳理和分析现有的信息系统,将不同系统分不同重要等级进行分等级保护。
梳理出了不同等级的系统后,就要对不同系统进行不同等级的安全防护建设,保证重要的信息系统在有攻击的情况下能够很好地抵御攻击或者被攻击后能够快速的恢复应用,不造成重大损失或影响。
第二、等级保护是我国关于信息安全的基本政策,《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27 号,以下简称“27 号文件”)明确要求我国信息安全保障工作实行等级保护制度,提出“抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。2007年6月发布的关于印发《信息安全等级保护管理办法》的通知(公通字[2007]43 号,以下简称“43号文件”)规定了实施信息安全等级保护制度的原则、内容、职责分工、基本要求和实施计划,部署了实施信息安全等级保护工作的操作办法。
2016年11月7日第十二届全国人民代表大会常务委员会第二十四次会议通过《中华人民共和国网络安全法》,网络安全法第二十一条明确规定:国家实行网络安全等级保护制度。网络运营者应当按照网络安全等级保护制度的要求,履行下列安全保护义务,保障网络免受干扰、破坏或者未经授权的访问,防止网络数据泄露或者被窃取、篡改。
第三、合理地规避风险。等保工作有没有开展就是衡量是否履行《中华人民共和国网络安全法》的一个重要标准,因为等级保护是国家基本信息安全制度要求。
三、项目预算
3万元
四、投标人资格要求
1、符合《政府采购法》第二十二条之规定:具有独立承担民事责任的能力;具有良好的商业信誉和健全的财务会计制度;具有履行合同所必需的设备和专业技术能力;有依法缴纳税收和社会保障资金的良好记录;参加政府采购活动前三年内,在经营活动中没有重大违法记录。
2、参加投标的投标人必须具有公安部信息安全等级保护评估中心颁发的《网络安全等级保护测评机构推荐证书》。
3、本项目不接受联合体投标。
五、测评服务要求
(一)服务清单
|
序号 |
系统名称 |
系统备案登记 |
测评次数 |
|
1 |
OA系统 |
第二级 |
1 |
(二)服务要求:
信息安全等级保护测评服务(1个二级系统) 根据国家对网络和信息系统安全等级保护工作的相关法律和技术标准要求,结合本项目的系统保护等级开展实施与之相应的检查工作,具体检查内容应包括: 1、协助被测评单位开展定级及备案工作。 2、对网络和信息系统系统进行等级保护测评,测评内容包括技术部分和管理部分,其中技术部分为:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心;管理部分为:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。客观的分析网络和信息系统系统保护现状和信息安全等级保护基本要求之间的差距。 3、根据《信息安全等级保护管理办法》和《网络安全等级保护基本要求》协助建立信息安全等级保护管理体系。 4、结合等级保护测评报告提出的安全防护现状与等级保护基本要求之间的差距,明确安全需求,设计符合相应等级要求的网络和信息系统安全技术建设整改方案,协助开展网络和信息系统安全等级保护安全技术措施建设。 5、完成完成测评备案工作、网络和信息系统安全等级保护的最终测评,提交各网络系统的测评报告至公安厅等保办。
六、合同签订日期:自中标(成交)通知书发出之日起15个工作日内按时签约。
- 供货(服务)时间和地点
1.服务时间:成交单位须在签订合同后两个月内完成等级保护测评服务。
2.交付地点:具体地点由采购人指定。
八、付款方式:提交测评报告30天内一次性支付全额服务款。
九、评审标准
商务技术部分评审结束后,再开启最后报价计算分值。总分值为100分,加分和减分因素除外。
1、商务技术分:70分
如果磋商小组由3人组成,供应商得分为磋商小组3个成员的平均分;如果磋商小组由5人以上组成,供应商得分为磋商小组成员评分中去除一个最高分和一个最低分后的平均分,分值保留小数点后两位。以下所设分值均为各条评分最大得分值,请评委根据各条评分内容在0~所设分值之间酌情打分。
|
评分因素 |
评分标准 |
|
公司资质(8分) |
1.具有中国网络安全审查技术与认证中心(CCRC)颁发的信息安全风险评估服务资质的得2分,没有不得分。 2.具有中国网络安全审查技术与认证中心(CCRC)颁发的信息系统安全运维服务资质的得2分,没有不得分。 3.具有信息安全管理体系认证证书(ISO27001)的得2分,没有不得分。 4.具有质量管理体系认证证书(ISO9001)的得2分,没有不得分。 证明材料: (1)提供证明材料复印件并加盖供应商公章。 |
|
技术实力(36分) |
1.投标企业连续三年在CNAS能力验证结果均为“满意”的得5分。 2.投标企业出具任意一年CNAS能力验证计划结果通知单,总得分最高的得3分。 证明材料: (1)提供中国合格评定国家认可委员会出具的能力验证计划结果证书、能力验证计划结果通知单复印件并加盖投标企业公章。 |
|
承担本次项目的项目负责人(唯一)具备: 3.高级测评师得2分。 4.重要信息系统安全等级保护培训证书(CIIP-T)得2分。 5.信息安全保障人员认证证书(CISAW)得2分。 6.注册信息安全工程师(CISP)得2分。 7.(ISC)²注册信息系统安全专家(CISSP)得2分。 证明材料: (1)以上资料复印件加盖公章。 (2)提供近三个月社保记录复印件并加盖投标企业公章。 |
|
|
承担本次项目的项目团队人员具备: 8.高级测评师,每有一人得2分,最高得4分。 9.信息安全保障人员认证证书(CISAW),每有一个证书得2分,最高得6分。 10.重要信息系统安全等级保护培训证书(CIIP-T),每有一个证书得2分,最高得4分。 11.ISG技能鉴定证书(合格)得2分。 12.中华人民共和国人力资源和社会保障部、工业和信息化部批准颁发的“信息安全工程师”证书得2分。 证明材料: (1)以上资料复印件加盖公章。 (2)提供近三个月社保记录复印件并加盖投标企业公章。 |
|
|
成功案例(4分) |
提供等保服务相关案例 1.2019年1月1日起等保测评服务合同,每个合同得1分,最高得4分。 证明材料: (1)须提供合同复印件并加盖供应商公章。 |
|
服务能力(22分) |
1.要求提供的等保测评方案科学合理,清晰完善优秀的得16-10分,方案良好的得9-5分,方案一般的得4-0分。 |
|
2.安全事件应急响应服务能力:安全事件应急响应服务时间,0.5小时内到场响应且响应时间最快的得6分,其次得3分。到场响应时间超过2小时不得分。 证明材料: (1)安全事件应急响应服务时间以百度地图(map.baidu.com)截图为准。“起点”以投标企业营业执照中“住所”地址为准。 |
|
|
注:上述条款技术商务标的资料需提供复印件并加盖单位公章。 |
|
2、价格分:30分
综合评分法中的价格分统一采用低价优先法计算,即满足磋商文件要求且最后报价最低的供应商的价格为磋商基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:
磋商报价得分=(磋商基准价/最后磋商报价)×价格权值×100
项目评审过程中,不得去掉最后报价中的最高报价和最低报价。
评标委员会认为供应商的报价明显低于其他通过符合性审查供应商的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;供应商不能证明其报价合理性的,评标委员会应当将其作为无效投标处理。