我院将于2022年6月27日上午10点,在急诊综合楼9楼会议室对信息系统安全等级评测项目进行询价,预算金额为人民币贰拾万元整(200000.00元),相关参数要求如下。请符合报名资格的供应商向采购中心报名,也可将相关资料邮寄报名。
依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发〔2003〕27号)、《关于信息安全等级保护工作的实施意见》(公通字〔2004〕66号)、《信息安全等级保护管理办法》(公通字〔2007〕43号)和中华人民共和国网络安全法等相关文件及标准要求,对我院信息系统进行测评。其中包含以下信息系统:
序号 |
系统名称 |
系统等级 |
1 |
基础支撑系统(含医院信息平台) |
3级 |
2 |
面向病人的综合业务(含医院信息平台) |
3级 |
1、符合《中华人民共和国政府采购法》第二十二条对投标主体规定的、处在良性循环的、有供货能力的供应商,经营范围需涵盖我院采购的物品,出具企业组织机构代码、税务登记证、营业执照;
2、供应商未被列入“信用中国”网(www.creditchina.gov.cn)和“中国政府采购网”(www.ccgp.gov.cn)失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单且尚处于禁止参加政府采购活动期内;
3. 不接受联合体投标;
4、法律、行政法规规定的其他条件。
三、服务要求
投标供应商应依据国家等级保护相关标准开展工作,依据标准(包括但不限于)如下国家标准
《信息安全等级保护管理办法》
《计算机信息系统安全保护等级划分准则》- GB17859-1999
《网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《网络安全等级保护测评要求》(GB/T 28448-2019)
《网络安全等级保护实施指南》(GB/T25058-2019)
《信息系统安全等级保护定级指南》(GB/T 22240-2020)
《网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 信息系统通用安全技术要求》(GB/T20271-2006)
《信息安全技术 网络基础安全技术要求》(GB/T20270-2006)
《信息安全技术 操作系统安全技术要求》(GB/T30284-2020)
本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则:
1. 保密原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害采购人的行为,否则采购人有权追究投标供应商的责任。
2. 标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
3. 规范性原则:投标供应商的工作中的过程和文档,具有很好的规范性,可以便于项目的跟踪和控制。
4. 可控性原则:测评服务的进度要跟上进度表的安排,保证采购人对于测评工作的可控性。
5. 整体性原则:测评的范围和内容应当整体全面,包括国家等级保护相关要求涉及的各个层面。
6. 最小影响原则:测评工作应尽可能小的影响系统和网络,并在可控范围内;测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。
根据国家等级保护相关标准,投标供应商对信息系统完成测评。信息系统安全等级保护测评的内容(包括但不限于)以下内容:
根据我院两个信息系统的保护等级,并依据GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求的条款要求,全面分析相关网络的安全保护措施与等级保护相应级别之间的差距,进行合规性分析,为系统等级保护加固整改提供客观依据。并对我院两个信息系统进行十个安全层面的等级保护安全测评(物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复、安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理)。
其中安全测评分为差距测评和整体验收测评。差距测评主要针对我院信息已定级备案系统执行国家标准的安全测评,差距测评交付差距测评报告以及差距测评整改方案;差距整改完毕后协助完成系统配置方面的整改。最后进行整体验收测评,整体验收测评将按照国家标准和国家公安承认的测评要求对差距整改完成的系统执行系统安全验收测评,交付具有国家承认的测评报告。
信息系统安全等级保护测评包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
安全控制测评使用测评单元方式组织,分为安全技术测评和安全管理测评两大类。安全技术测评包括:物理安全、网络安全、主机系统安全、应用安全和数据安全五个层面上的安全控制测评;安全管理测评包括:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理五个方面的安全控制测评。
系统整体测评涉及到信息系统的整体拓扑、局部结构,也关系到信息系统的具体安全功能实现和安全控制配置,与特定信息系统的实际情况紧密相关。在安全控制测评的基础上,重点考虑安全控制间、层面间以及区域间的相互关联关系,分析评估安全控制间、层面间和区域间是否存在安全功能上的增强、补充和削弱作用以及信息系统整体结构安全性、不同信息系统之间整体安全性。
综合测评总结将在安全控制测评和系统整体测评两个方面的内容基础上进行,由此而获得信息系统对应安全等级保护级别的符合性结论。
1. 投标供应商应对采购人的信息系统进行等级保护测评,形成相应的结果报告。
2. 投标供应商在测评后出具符合公安局要求的系统安全保护等级测评报告;
3. 对上述系统不符合信息安全等级保护有关管理规范和技术标准的,投标供应商出具可行整改方案并协助采购人整改服务。
4. 投标供应商协助采购人办理信息系统安全保护等级测评备案手续。
1.投标供应商应满足采购人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则,做到守时、保质。
2.保密性要求:投标供应商必须和采购人签订保密协议和非侵害性协议,投标供应商必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议,在合同签定时一并提供给采购人。
3.投标供应商具体测评工作和等级保护测评报告的编写,必须在采购人的指定地点进行。对于测评中的重要资料和结果,在测评期间和测评结束后,投标供应商不得带离该地点。
4.投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任,不得泄露给任何第三方。无论投标供应商中标与否,其对上述内容的保密责任将长期存在。
5.等级保护测评的品质保证:投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问,结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行,并保证对客户的资料严格保密。
1. 具有较强的服务能力及应急响应能力,提供不少于四人具体从事本次等级保护测评工作。测评工作实施过程中,及后期整改过程需提供对应技术支持配合服务,一年内的网络安全咨询服务,承诺2小时响应服务时间。
2. 本次等级保护测评实施过程中应使用正规测评工具箱,同时因技术服务系统复杂度高,要求供应商提供测评结果数据分析生成图表,通过雷达图直观了解系统安全差距情况,分析软件需为自主研发或研发单位提供授权使用证明,提供知识产权证明及案例分析,截图为准。
3.合同签订后两个月内完成测评工作。
u 中标后签订合同前需提供以上相关证书截图等证明文件,无法提供相应证明文件者做废标处理,对于恶意报价者采购方保留进一步追究处理的权利。
提交包括且不限于以下成果:
《信息系统等级保护测评报告》
《信息系统等级保护整改建议》
四、报名材料:
1、营业执照复印件;
2、法人授权委托书(需附被委托人身份证复印件并注明联系方式)。
3、2019年以来最终用户同类业绩合同至少1个;
以上材料均需加盖公章
五、询价方式:
1、投标人所报价格不得超过预算金额,否则当无效标处理。
2、各项技术功能参数均需满足医院要求且注明总价,总价最低的供应商为中标人,所报价格应含等级测评实施过程中产生的所有费用及全额发票等税费。
3、报价单格式见附件一,投标文件一式两份,开标当天密封上交。
投标文件的组成:
1. 报价单;
2. 法定代表人授权书;
3. 企业法人有效营业执照复印件;
4. 相关资质证明文件;
5. 业绩证明复印件;
6. 技术功能参数偏离表;
7. 售后服务说明文件;
8. 投标人认为需要提供的其他技术资料。
以上复印件均需加盖公章。
六、其他:
报名时间:2022年6月22日至2022年6月24日(作息时间:上午8:00-11:30,下午1:30-5:00)。
报名地点:温州市鹿城区锦绣路75号温州市中西医结合医院急诊综合楼611室。
联系人:黄工 0577-88913746 邮箱:649078137@qq.com
附件1 报价单 /wzupload/site_5/wzupload/site_5/upload/202206/22/202206220940236303.doc