2024NCZ000606宁夏回族自治区卫生健康委员会信息中心2024年网络安全等级保护测评服务采购宁夏回族自治区卫生健康委员会信息中心2024年网络安全等级保护测评服务采购一标段的采购需求
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
一、采购标段
| 采购计划编号: | 2024NCZ000606 | 项目名称: | 宁夏回族自治区卫生健康委员会信息中心2024年网络安全等级保护测评服务采购 |
|---|---|---|---|
| 分包名称: | 宁夏回族自治区卫生健康委员会信息中心2024年网络安全等级保护测评服务采购一标段 | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | 登录即可免费查看.00 |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
| 是否为执行国家统一定价标 和固定价格采购项目: | 否 |
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.满足《中华人民共和国政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.供应商在中国政府采购网(www.ccgp.gov.cn)未被列入政府采购严重违法失信行为记录名单,在“信用中国”网站(www.creditchina.gov.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业:
1是
0否
4.合格投标人的其他资格要求:
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| 1 | 须具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》,并在网络安全等级保护网的全国网络安全等级测评与检测评估机构目录中(复印件加盖公章)。 |
三、商务要求
采购标的交付(实施)的时间(期限)
自项目合同签订之日起,60日内完成系统梳理和测评工作并出具测评相关报告。
涉及采购标的的知识产权归属和处理方式
乙方为履行本合同而形成的全部技术服务工作成果以及甲方利用乙方提交的技术服务工作成果所完成的技术成果的知识产权,全部归甲方所有。
国家标准、行业标准、地方标准等标准、规范
遵循国家及自治区卫生健康信息化及数据集建设标准、规范。
涉及工程项目的工程质量、项目经理、工程进度、工程计量方式、工程变更、竣工验收、质量保证等要求
竣工验收时,成交供应商须提供第三方代码审计报告。
采购标的交付地点(范围)
宁夏
付款条件(进度和方式)
合同签订后,付合同金额的50%;验收合格后,付合同金额的50%。
售后服务
需提供完善的售后服务
交付标准和方法
通过项目验收专家组评审。
四、技术要求
货物类
服务类
工程类
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| 1 | C16060000-测试评估认证服务 | 测试评估认证服务 | 开展2024年网络安全等级保护测评服务项目 | 1 | 登录即可免费查看.00 | 标的1-测试评估认证服务:1.项目内容 对以下完成定级备案的信息系统严格按照等保2.0相关要求开展信息系统网络安全等级保护测评工作,并对差距项提出整改建议。 序号 系统名称 系统级别 1 居民电子健康卡(码)系统 三级 2 全员人口信息系统 三级 3 宁夏远程医疗服务系统 三级 4 120急救网络一体化系统 三级 5 免疫规划信息系统 三级 6 中医协同应用系统 三级 7 宁夏城乡居民健康档案管理系统 三级 8 宁夏区域医疗卫生信息平台 三级 9 宁夏省院合作远程医疗政策试点信息化项目 三级 10 宁夏卫生统计信息网络直报系统 三级 11 宁夏家庭医生签约服务平台 三级2.项目依据 本项目工作应符合且不限于下列标准和规范: 《中华人民共和国网络安全法》 《中华人民共和国计算机信息系统安全保护条例》(国务院147号令) 《计算机信息系统 安全保护等级划分准则》(GB 17859-1999) 《信息安全技术 云计算服务安全指南》(GB/T 31167-2014) 《信息安全技术 云计算服务安全能力要求》(GB/T 31168-2014) 《信息安全技术 网络安全等级保护实施指南》(GB/T 25058-2019) 《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019) 《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019) 《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020) 《信息安全等级保护备案实施细则》(公信安[2007]1360号) 《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019) 《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018) 《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018) 《网络安全等级保护测评报告模板(2021版)》 3.项目要求 (1)自项目合同签订之日起,60日内完成系统梳理和测评工作并出具测评相关报告。 (2)现场测评活动中,必须使用漏洞扫描、渗透测试等验证性测试方法,对自治区卫生健康委员会的信息系统进行全面的工具测试,确保全面的找出系统漏洞薄弱点,并协助建设方完成漏洞修复或风险降低工作。 四、测评工作内容 1.等级测评内容 测评的内容包括但不限于以下内容: 安全技术测评:包括安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个方面的安全测评。 安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。 2.安全物理环境 根据自治区卫生健康委员会信息系统机房和现场安全测评记录,针对机房和现场在“物理位置选择”、“物理访问控制”、“防盗窃和防破坏”、“防雷击”、“防火”、“防水和防潮”、“防静电”、“温湿度控制”、“电力供应”和“电磁防护”等物理安全方面所采取的措施进行,判断出与其相对应的各测评项的测评结果。 3.安全通信网络 安全通信网络现场测评主要针对系统网络架构方面,在“网络架构”、“通信传输”、“可信验证”等网络安全方面所采取的措施进行检查,判断出与其相对应的各测评项的测评结果。 4.安全区域边界 安全区域边界现场测评主要针对网络安全区域边界进行测评,测评内容包括“边界防护”、“访问控制”、“入侵防范”、“恶意代码防范和垃圾邮件防范”、“安全审计”、“可信验证”等。 5.安全计算环境 安全计算环境现场测评主要针对系统网络设备、安全设备、服务器、数据库、应用系统等资产进行现场测评,测评内容包括“身份鉴别”、“访问控制”、“安全审计”、“入侵防范”、“恶意代码防范”、“可信验证”、“数据完整性”、“数据备份和恢复”、“剩余信息保护”、“个人信息保护”等方面。 6.安全管理中心 安全管理中心现场测评包括“系统管理”、“审计管理”等方面的测评。 7.安全管理制度 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在安全管理制度方面的“安全策略”、“管理制度”、“制定和发布”以及“评审和修订”等测评指标,判断出与其相对应的各测评项的测评结果。 8.安全管理机构 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在安全管理机构方面的“岗位设置”、“人员配备”、“授权和审批”、“沟通和合作”以及“审核和检查”等测评指标,判断出与其相对应的各测评项的测评结果。 9.安全管理人员 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在人员安全管理方面的“人员录用”、“人员离岗”、 “安全意识教育和培训”以及“外部人员访问管理”等测评指标,判断出与其相对应的各测评项的测评结果。 10.安全建设管理 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在系统建设管理方面的“定级和备案”、“安全方案设计”、“产品采购和使用”、“自行软件开发”、“外包软件开发”、“工程实施”、“测试验收”、“系统交付”、“等级测评”以及“服务供应商选择”等测评指标,判断出与其相对应的各测评项的测评结果。 11.安全运维管理 根据现场安全测评记录,针对自治区卫生健康委员会信息系统在系统运维管理方面的“环境管理”、“资产管理”、“介质管理”、“设备维护管理”、 “漏洞和风险管理”、“网络和系统安全管理”、“恶意代码防范管理”、“配置管理”、“密码管理”、“变更管理”、“备份和恢复管理”、“安全事件处置”、 “应急预案管理”以及“外包运维管理”等测评指标,判断出与其相对应的各测评项的测评结果。 五、项目实施要求 1.保密要求 测评机构对项目实施过程中所获得数据及文档等保密信息,承担以下保密义务: (1)测评机构应按要求与自治区卫生健康委员会信息中心签署保密协议。 (2)主动采取加密措施对上述所列及之保密信息进行保护,防止不承担同等保密义务的任何第三者知悉及使用。 (3)不得刺探或者以其他不正当手段(包括利用计算机进行检索、浏览、复制等)获取与本职工作或本身业务无关的自治区卫生健康委员会信息中心关于该项目的商业秘密。 (4)不得向不承担同等保密义务的任何第三人披露自治区卫生健康委员会信息中心关于该项目的商业秘密。 (5)不得允许(包括出借、赠与、出租、转让等行为)或协助不承担同等保密义务的任何第三人使用自治区卫生健康委员会信息中心关于该项目的商业秘密。 (6)不论何种原因终止参与自治区卫生健康委员会信息中心关于该项目的工作后,都不得利用该项目之商业秘密为其他与自治区卫生健康委员会信息中心有竞争关系的企业(包括自办企业)服务。 (7)该项目的商业秘密所有权始终全部归属自治区卫生健康委员会信息中心,测评机构不得利用自身对项目不同程度的了解申请对于该项目的商业秘密所有权,在本协议签订前测评机构已依法具有某些所有权者除外。 (8)如发现自治区卫生健康委员会信息中心关于该项目的商业秘密被泄露或者自己过失泄露秘密,应当采取有效措施防止泄密进一步扩大,并及时向自治区卫生健康委员会信息中心报告。 (9)完成工作后,对工作当中所触及到的资料,承诺资料不外泄,并出具承诺函。 2.服务要求 (1)提供给自治区卫生健康委员会信息中心与项目相关的技术文档。 (2)一旦收到自治区卫生健康委员会信息中心的服务请求,测评机构项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,测评机构工程师在 24 小时内到达用户现场,提供服务。 (3)提供技术服务热线,并安排专业人员为自治区卫生健康委员会信息中心解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应。 3.交付物 根据《网络安全等级保护测评机构管理办法》(公信安〔2018〕765)号要求,成果交付物为: 1.所有登记备案的信息系统出具由测评机构法人审签的正式纸质测评报告2套。 2.所有登记备案的信息系统出具纸质安全整改建议方案2套。 3.测评活动原始记录材料1份。 4.质量保证 1.为保证网络安全等级测评项目质量,要求在测评过程中就等级测评过程控制、等级测评过程监督、等级测评结果的验证等方面严格按照国家相关标准要求执行。 2.参与等级测评的每个人都应具有等级测评师安全服务资质。 3.等级测评结果必须通过自治区卫生健康委员会信息中心组织的评审和审批。 | 合同签订后60日内完成 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
| 政府采购项目采购需求.docx |
五、合同管理安排
合同类型:
货物类
服务类
工程类
服务类
服务内容
2024年网络安全等级保护测评服务
涉及采购标的的知识产权归属和处理方式
乙方为履行本合同而形成的全部技术服务工作成果以及甲方利用乙方提交的技术服务工作成果所完成的技术成果的知识产权,全部归甲方所有。
国家标准、行业标准、地方标准等标准、规范
遵循国家及自治区卫生健康信息化及数据集建设标准、规范。
履约保证金
中标供应商提供合同的5%的银行保函
甲方责任
按照合同要求如期如数支付服务费用;全力配合乙方的技术服务工作,包括但不限于提供有关场地、设备、技术资料、数据、样品和符合要求的工作条件和环境以及协调软件或系统开发商(供应商)等。
乙方责任
必须遵守法律法规的规定,乙方提供的服务标准应当与甲方的要求相符,并符合该等行业的服务标准和要求。委派受过良好专业培训的人员,以精湛的技艺、勤勉的态度来履行合同规定的服务,并遵循相关法律、法规。在项目实施过程中,对甲方提出的和项目相关的问题给予详实、专业的解答等。
违约责任
因乙方原因不能提供服务致使甲方无法实现合同目的,乙方应向甲方偿付合同总金额5%的违约金。若因乙方原因逾期交付验收的,每逾期一天甲方扣除合同总额的5‰作为违约金,违约金累计不超过合同金额的5%。乙方按要求提供相应技术服务,若无问题,甲方提出终止服务,由甲方赔偿乙方的损失费用。甲方逾期付款的,按逾期付款额的5‰/天偿付乙方违约金。
不可抗力
地震、台风、水灾、火灾、战争以及其它本合同各方不能预见,并且对其发生和后果不能防止或不能避免且不可克服的客观情况。
保密
乙方对甲方所提供的所有资料以及在本合同签订、履行过程中所接触到的甲方的商业秘密、技术资料、客户信息等资料和信息(统称“保密资料”)负有保密义务。未经甲方书面许可,乙方不得向任何第三方披露,不得将保密资料的部分或全部用于本合同约定事项以外的其他用途。乙方有义务对保密资料采取不低于对其本身商业秘密所采取的保护手段予以保护。乙方可仅为本合同目的向其内部有知悉保密资料必要的雇员披露保密资料,但同时须指示其雇员遵守本条规定的保密及不披露义务。 乙方只能为履行本合同之目的对保密资料进行复制。乙方不得以任何方式(如软硬盘、图纸、彩样、照片、菲林、光盘等)留存保密资料。乙方应当在完成委托事项或本合同终止或解除时将保密资料原件全部返还甲方,并销毁所有复制件。乙方应当妥善保管保密资料,并对保密资料在乙方期间发生的被盗、泄露或其他有损保密资料保密性的事件承担全部责任,由此造成甲方损失的,乙方应负责赔偿。
服务期限
合同签订后60日内完成
争议解决
甲、乙双方在履行本合同期间发生任何争议的,均应先通过友好协商方式解决。如果协商不成的,则任何一方有权向甲方所在地人民法院提起诉讼。
验收标准(附验收方案)
符合招标文件、成交供应商响应文件及双方签订的政府采购合同的所有标准要求。 (验收方案附件):技术要求.docx
服务地点(范围)
宁夏
付款条件(进度和方式)
合同签订后,付合同金额的50%;验收合格后,付合同金额的50%。
售后服务
按照合同约定提供售后服务。
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| 1 | 投标报价 | 10 | 满足招标文件要求且报价最低的投标报价做为评标基准价,其价格分为满分10分;其他投标人报价得分按以下公式计算:投标报价得分=(评标基准价/投标报价)×10 注:符合政府采购政策规定的小微企业报价给与10%的扣除,用扣除后的价格参加评审。 |
| 2 | 服务方案 | 32 | 1.总体方案:测评实施步骤中对各测评阶段的流程、内容及过程文档描述完整、清晰、准确、运用图表示例。内容丰富详实、描述清晰明了、方案准确得8分,内容较为完整、具有一定过程描述、部分方案准确的得5分;内容具有基本要素、基本合理的得3分;内容粗略,无明显针对性的得1分;未提供不得分。2.实施安排:项目实施过程、组织机构、人员安排、项目实施安排规范性、可实施性。实施方案安排规范、合理、可行性强得8分,实施方案安排基本规范、合理、可行性较强的得5分;实施方案具备基础的实施内容的得3分;内容粗略,无明显针对性的得1分;未提供不得分。3.质量控制:对控制流程、过程控制、变更控制、项目沟通、实施进度、过程文档管理、保密管理方面及质量保证措施合理,可操作性强。质量保证措施合理,可操作性强的得8分,质量保证措施基本合理,具备一定的操作性的得5分;具备基本的质量保证措施的得3分;内容粗略,无明显针对性的得1分;未提供不得分。4.风险防范:具备完善的风险管理和应急处置,应对现场突发情况,应急预案完整、有效、全面。应急预案完整、有效、全面的得8分;应急预案基本完整、内容基本全面的得5分;应急预案具备基础的内容的得3分;内容粗略,无明显针对性的得1分;未提供不得分。 |
| 3 | 类似业绩 | 5 | 投标人具有近三年(2021年2月至今)的同类项目业绩,每提供一个得0.5分,满分5分。(投标文件中附中标/成交通知书及合同复印件加盖公章,不提供不得分。) |
| 4 | 现场实施能力 | 17 | 为保障项目进度和测评质量,在项目实施中,投标人应安排足够的测评师和技术力量参与本项目: 1.项目实施团队5名以上,至少包含1名高级测评师、2名中级测评师、2名初级测评师,满足得3分,不满足不得分;在此基础上,每增加1名高级测评师得2分,每增加1名中级测评师得1分,满分5分。 (必须承诺以上投标项目实施人员为现场项目实施人员。) 2.项目实施团队配备的等级保护测评师具备注册信息安全专业人员证书(CISP)、注册渗透测试工程师证书(CISP-PTE)、重要信息系统保护人员(CIIPT)、信息安全保障人员认证(CISAW)、注册网络安全渗透评估(NSATP-A)、信息安全工程师,每有一个证书得2分,满分12分;证书重复不计分。 (投标文件附相关人员资质证书和2023年至今任意一个月社保证明复印件加盖公章,两者提供不全或未提供的不得分。) |
| 5 | 企业资信 | 12 | 1.投标人具有适用于网络安全信息技术咨询服务的信息安全管理体系ISO27001得2分、信息技术服务管理体系ISO20000得2分,不具备不得分,满分4分; 2.投标人具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务证书得4分,不具备不得分; 3.投标人具有中国网络安全审查技术与认证中心颁发的信息安全应急处理服务证书得4分,不具备不得分。 (投标文件附以上资质证书或证明文件的复印件并加盖公章, 提供不全或未提供的不得分) |
| 6 | 服务 承诺 | 15 | 1.提供近五年内未在等保测评业务范围内被公安部通报处分的承诺函,并自行提供历年通报公示,具有相关承诺函的得5分,缺少或不提供不得分。 2.提供项目售后服务承诺:售后服务承诺全面具体,服务内容详尽,售后服务体系健全,服务流程具有系统性、科学性,有具体的问题解决措施,能快速的响应采购人的服务诉求,售后人员有相应的资质且经验丰富,具有培训方案的得10分;售后服务承诺内容全面,售后服务体系健全,有完整的售后服务流程,问题解决措施但不明确,响应与现场服务到位及时,能提供售后人员但无相应资质或缺乏相关经验的得7分;售后服务承诺内容存在缺漏、描述简单笼统,售后服务体系有欠缺,问题解决方案模糊不清晰,售后服务响应内容简单的得4分;售后服务内容粗略,无明显针对性的得1分;未提供售后服务承诺的不得分。 |
| 7 | 检测工具 | 9 | 投标人应具有满足项目实施要求的检测设备,应当配备满足等级保护测评工作需要的测评设备和工具,至少包括3大类9项功能:安全问题发现类(网络漏洞扫描、主机漏洞扫描、WEB安全检测、恶意行为检测、数据库管理系统安全检测);安全问题分析与定位类工具(网络协议分析、源代码安全审计);安全问题验证类工具(渗透测试、性能压力测试)。所使用的设备和工具应当符合《信息安全等级保护管理办法》对信息安全产品的要求。配备工具中每满足1项功能得1分,满分得9分,不具备不得分。(以上需提供功能截图;自研的检测工具需提供软件著作权证书扫描件,采购的检测工具需提供相关采购证明, 提供不全或未提供的不得分) |
| 合计: | 100 | ||
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
微信扫码关注
