【公告】舟山市中医院信息系统等级保护测评项目询价公告（二次公告）

经医院研究决定，就（略）（略）等级保护测评项目采取院内询价确定供应商，现欢迎合格供应商报名参加。本次采购公告为二次公告，若合格供应商报名仍不足三家将自动转为竞争性磋商或单一来源采购（首次公告于2024年7月19（略）发布，因报名供应商不足三家流标。
一、（略）：ZSSZYYXXCG202403
二、项目名称：（略）
三、项目内容：
项目名称：（略）
具体标的
等级
数量（项）
预算
（略）等级保护测评服务
（略）络基础支撑
三级等保复测
1
10万元
（略）站
二级等保测评
1
面向患者（HIS系统、（略））
二级等保测评
1
（略）（（略））
二级等保测评
1
★（略）等级测评与检测评估机构服务认证证书。
四、服务要求：
1、依据标准
投标供应商应依据国家等级保护相关标准开展工作，依据标准（包括但不限于）如下国家标准：
（1）GB/T（略）《（略）络安全等级保护基本要求》
（2）GB/T（略）《（略）络安全等级保护定级指南》
（3）GB/T（略）《（略）络安全等级保护测评要求》
（4）GB/T（略）《（略）络安全等级保护测评过程指南》
2、测评内容
根据本项目中等级保护对象的安全保护等级，并依据GB/T（略）《（略）络安全等级保护基本要求》、GB/T（略）《（略）络安全等级保护测评要求》的条款要求，投标人对（略）（略）络等级保护测评服务，测评的内容包括但不限于以下内容：
1、安全技术测评：包括安全物理环境、（略）络、（略）域边界、（略）等五个方面的安全测评。
2、安全管理测评：安全管理制度、安全管理机构、安全管理人员、安全建设管理和安全运维管理等五个方面的安全测评。
五、（略）等级保护测评的具体要求
1、（略）技术安全测评
（1）、安全物理环境测评：物理安全检测应当包含：物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等十个单元。
（2）、（略）络测评：（略）络测评应当包含：网络架构、通信传输、可信验证等。
（3）、（略）域边界主机安全测评：（略）域边界测评应当包含：边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、可信验证等。
（4）、安全计算环境测评：安全计算环境测评应当包含：身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护。
（5）、（略）测评：系统管理、审计管理、安全管理、集中管控。
2、（略）管理安全测评
（1）、安全管理制度测评：安全管理制度测评应当包含：安全策略、管理制度、制定与发布、审批和修订。
（2）、安全管理机构测评：安全管理机构测评应当包含：岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。
（3）、安全管理人员测评：安全管理人员测评应当包含：人员录用、人员离岗、安全意识教育和培训、外部人员访问管理。
（4）、安全建设管理测评：安全建设管理测评应当包含：定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、等级测评、服务。
（5）、安全运维管理测评：安全运维管理测评应当包含：环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、（略）安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份与恢复管理、安全事件处置、应急预案管理、外包运维管理。
3、本次等级保护测评的整体要求
(1)投标供应商应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
(2)投标供应商应详细描述测评人员的组成、资质及各自职责的划分。投标供应商应配置有经验的测评人员进行本次等级保护测评工作。
(3)本次等级保护测评实施过程中所使用到的各种工具软件由投标供应商推荐，经采购人：（略）
(4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面，需要符合信息安全等级保护主管部门要求，（略）络隐患检测工具、数据库漏洞检测工具、应用安全检测工具、网站安全检测工具等。
(5)（略）（如笔记本电脑、PC、工作站等）（略）软件等由投标供应商推荐，经采购人：（略）
(6)安全测评需要的运行环境（如场地、网络环境等）由采购人：（略）
(7)项目完成后必须提交完整的技术文档、测评报告、整改建议等。
4、项目验收
(1)本项目的目标是输出等级保护测评报告，（略）安全保护定级、备案、测评手续，该项目将产生一定数量的文档。
(2)投标供应商应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。
(3)投标供应商应提交验收方案，供采购人：（略）
(4)采购人：（略）
5、项目承诺
（1）投标供应商应满足采购人：（略）
（2）保密性要求：投标供应商必须和采购人：（略）
（3）投标供应商具体测评工作和等级保护测评报告的编写，必须在采购人：（略）
（4）投标供应商对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标供应商中标与否，其对上述内容的保密责任将长期存在。
（5）等级保护测评的品质保证：投标供应商应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。
6、其它要求
（1）投标供应商在测评方案书中，（略）安全等级保护测评进行详细说明，可根据具体情况在项目方案中提出建议，并附详细资料和说明。
（2）投标供应商应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权，并对所涉及的专利、知识产权等法律条款承担义务，采购人：（略）
（3）（略）包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。
六、要求项目交付文档
项目实施过程及完成后，应向采购人：（略）
《网络安全等级测评方案》
《网络安全等级测评整改建议》
《网络安全等级测评报告》
《公安部门备案证明》
《渗透测试报告》
注：《网络安全等级测评方案》应在正式测评前提交，《网络安全等级测评整改建议》应在测评中提交，《网络安全等级测评报告》及《渗透测试报告》应在正式测评结束后15个工作日后提交。
七、项目实施要求：
1、实施方应保证在确定中标供应商以后立即开展实施，协助采购方办理定级备案。
2、保证本项目实施，项目负责人需具有3年以上等保+密评测评工作经验，具备以下任一证书：商用密码应用安全性评估人员培训合格证书且为高级测评师、信息安全保障人员认证证书(CISAW)、信息技术（信息安全）高级工程师职称、渗透测试高级工程师证书、数据治理工程师证书。
3、项目验收完成后，要求提供为期一年的安全咨询服务，以保证项目正常运行。
八、评分标准：
（略）
评分因素
评分细则
分值（分）
一
履约能力
1
供应商情况
供应商具有有效的中国合格评定国家认可委员会检验机构认可证书（CNAS），且能（略）安全扩展、商用密码应用安全性评估内容得2分。证明材料：证书复印件，加盖投标供应商公章。
供应商具有信息技术服务管理体系认证证书(（咨询申报：（略））ISO20000资质范围：网络安全等级保护测评服务)、信息安全管理体系认证证书(（咨询申报：（略））ISO27001资质范围：网络安全等级测评服务)、环境管理体系认证证书（（咨询申报：（略））ISO14001资质范围：网络安全等级保护测评、软件检测、商用密码应用安全性评估)，全部满足得3分，缺项不得分。
具有源代码备份漏洞利用工具软件著作权证书、具有有效的CMA检验检测机构资质认证证书、（略）著作权证书、（略）著作权证书、网站安全扫描工具软件著作权证书每类证书1分，最高得4分；
（略）漏洞证明证书每个得1分，最高得3分；
（提供相关证书复印件加盖公章）
说明：根据响应文件中提供的有效证书进行评分，未提供或不符合以上条件不得分。
12
2
供应商业绩情况
供应商提供2021年1月1日以来（以合同签订时间为准）（略）络安全等级保护2.0测评项目相关案例，每一个得1分，最高得4分。
说明：根据响应文件中提供的对应业绩合同进行评分，无法证明其符合以上条件的不得分。
4
二
技术服务水平
1
重点难点分析
重点难点分析及响应解决方案内容完善性、科学合理性、可实施性全面分析及理解：
①全面且合理的得4分；
②存在欠缺但基本全面、合理的得3分；
③部分符合项目情况的得2分；
④不全面或不合理的得1分；
⑤未提供的得0分。
4
2
等保方案、流程、管理
等级保护测评整体测评方案内容完善性、科学合理性、可实施性全面分析及理解：
①全面且合理的得4分；
②存在欠缺但基本全面、合理的得3分；
③部分符合项目情况的得2分；
④未提供或完全不合理的得0-1分。
12
等级保护测评工作流程内容完善性、科学合理性、可实施性全面分析及理解：
①全面且合理的得4分；
②存在欠缺但基本全面、合理的得3分；
③部分符合项目情况的得2分；
④未提供或完全不合理的得0-1分。
等级保护测评项目管理规范和实施计划根据采购需求要求符合情况进行评分：
①全面且合理的得4分；
②存在欠缺但基本全面、合理的得3分；
③部分符合项目情况的得2分；
④未提供或完全不合理的得0-1分。
4
项目保密及风险
管理
供应商对项目管理以及风险控制风险说明及风险规避处置措施是否有针对性、合理性进行综合评分。
①风险控制方案详细完善、规范合理、可实施性好的得3分；
②风险控制方案内容详细完善性、规范合理性、可实施性尚可的得2分；
③风险控制方案内容详细完善性、规范合理性、可实施性一般的得1分；
④未提供相关内容的得0分。
3
供应商对本次实施评估服务过程中收集的数据资料的保密性的保证措施，方案内容是否具有针对性、合理性及可实施性评估。
①保密方案详细完善、规范合理、可实施性好的得3分；
②保密方案详细完善性、规范合理性、可实施性尚可的得2分；
③保密方案内容详细完善性、规范合理性、可实施性一般的得1分；
④未提供或完全不合理的得0分。
3
5
测评工具情况
供应商具有5台及以上等保工具箱且具有不少于2个厂商的等保工具箱，满足得3分，等保工具箱需提供合同复印件，否则不得分；
投标人具有等保测评相关的检测工具、具有专利自主产权的证书，或取得相关软著证书，提供专利证书或软件著作权证书，每项得1分，最高得3分。
详细描述所使用的安全测评工具（（略）、功能和性能描述）、使用的方式：（略）
8
6
售后服务内容
服务质量与故障应急机制服务方案的合理性、科学性、有效性，从有利于项目实施角度进行评分。①服务方案详细完善、规范合理、可实施性好的得3分；②服务方案内容详细完善性、规范合理性、可实施性一般的得1-2分；③未提供相关内容的得0分。3
供应商提供的整体售后服务方案、培训方案，根据针对性，实用性进行综合评分。①售后服务方案、培训方案详细完善、规范合理、可实施性好的得3分；②售后服务方案内容详细完善性、规范合理性、可实施性一般的得1-2分；③未提供相关内容的得0分。3
7
拟派项目组负责人能力情况
项目组负责人能力情况
项目负责人具有3年以上等保+密评测评工作经验并提供业主盖章证明材料、商用密码应用安全性评估人员培训合格证书且为高级测评师、信息安全保障人员认证证书(CISAW)、信息技术（信息安全）高级工程师职称、渗透测试高级工程师证书、数据治理工程师证书，具备以上任一证书的得1分，最高不超过6分。
注：提供证书复印件及参加投标前连续3个月的社保证明，复印件加盖公章
6
8
拟派项目组其他成员能力情况
项目组其他成员能力情况
本项目的实施人员具有中级或高级测评师且具有商用密码应用安全性评估人员培训合格证书的，每人次得1分，最高得分2分；需提供等保或密评项目经验证明材料。
（略）络安全服务能力评价证书和软件性能测试高级工程师证书的，每人得1分，最多得2分，缺项不得分；
投标单位：（略）
（略）络安全测评专业人员（NSATP）证书的每人得1分，最高得2分；
注：提供证书复印件及参加投标前连续3个月的社保证明，复印件加盖公章
8
9
验收方案
验收方案，根据验收的方案合理性、规范性和可实施性进行综合评审。
①验收方案详细完善、规范合理、可实施性好的得4分；
②验收方案详细完善性、规范合理性、可实施性尚可的得3分；
③验收方案内容详细完善性、规范合理性、可实施性一般的得1-2分；
④未提供相关内容的得0分。
4
三
价格
价格分
价格评分将在有效响应文件范围内进行，最高得30分，最低得0分（小数点后保留二位小数，第三位四舍五入）。满足采购文件要求且最后报价最低的供应商的价格为基准价，其价格分为满分。其他供应商的价格分统一按照下列公式计算：
报价得分=（基准价／最后报价）×30%×100
30
总分
100
注：1、各评审小组成员自行按以上参考分值评分，技术商务评分保留小数点后一位数，价格分保留小数点后二位。
九、供应商资格条件：
1、供应商必须是中华人民共和国内经工商管理部门批准成立的独立法人机构或个体营业户；
2、供应商营业执照经营范围必须包含本项目采购内容；
3、本项目不允许转包，不允许分包，不接受联合体响应报价。
4、供应商须提供近三年内无重大违法记录的证明。
5、投标文件一式伍份（一正四副）。
十、投标文件内容包括：
（一）资格证明文件
1、投标函；
2、提供投标企业营业执照、组织代码证、税务登记证等相关资质证明；复印件加盖公章并携带相关证件原件备查；（三证合一只提供营业执照）；
3、独立法人机构需提供法人授权委托书及法人身份证复印件与被授权人身份证复印件；（若投标人系法定代表人，投标文件无须提供授权委托书）；个体营业户需提供经营者委托书及经营者身份证复印件与被授权人身份证复印件；（若投标人系经营者本人，投标文件无须提供授权委托书）；
4、《法定代表人授权函》原件，非法定代表人参加投标时用；
注：以上相关资料及证书证明复印件均需加盖公章。
十一、报名时间及地点：（略）
报名时间：2024年7月26日—2024年8月1日17：30。
报名地点：（略）
联系人：（略）
报名方式：（略）
备注：如报名成功后无故缺席开标，（略）征信名单，（略）信息类招标。
十二、询价时间及地点：（略）
询价时间：2024年8月2日15:00
询价地点：（略）