您当前所在的位置: 首页 > 市卫生健康委员会信息公开 > 信息浏览

亳州市卫生计生委智慧医疗信息系统安全等级测评服务采购公告

字体大小:  

一、采购条件

1、项目名称:亳州市卫生计生委智慧医疗信息系统安全等级测评

2、采购人:亳州市卫生和计划生育委员会

3、资金来源:财政资金

该项目已具备招标条件,现进行公开招标,欢迎符合条件的第三方测评机构参加投标。

二、项目概况和采购内容

1、项目概况和采购内容: 亳州市卫生计生委智慧医疗信息系统安全等级测评,具体详见采购文件。

2、资金:5万元。

3、标包划分:共1个标包。

三、投标人资格要求

1、符合《中华人民共和国政府采购法》第二十二条规定的投标人资格条件:

(1)具有独立承担民事责任的能力;

(2)具有良好的商业信誉;

(3)具有履行合同所必需的设备和专业技术能力;

(4)参加政府采购活动前三年内,在经营活动中没有重大违法记录;

(5)法律、行政法规规定的其他条件。

2、投标人应入围全国等级保护测评机构推荐目录(网址http://www.djbh.net可查询);

3、投标人必须持有信息安全等级保护测评机构推荐证书;

4、投标人应提供不少于3名具有等级保护测评资格(提供资格证明原件)、参加过类似测评服务的人员承担本项目(提供案例复印件),并组建合理的测评项目组;

5、投标人应具有3个以上三级信息系统的测评案例(附合同复印件);

四、采购报名和要求

1、报名(投标)时间:从采购公告发布之日起,至2018年10月30日17:00时止(北京时间)。投标人须仔细阅读“投标人资格要求”,谨慎报名。

2、投标方式:现场投标,凡有意参加投标者,请于报名时间内(工作日)到亳州市卫生计生委宣传信息科(713室)报名。

3、采购文件:从本网页底部下载附件。

4、投标文件:根据服务内容和范围作出的投标报价(用信封密封,在封口处加盖单位公章);提供投标文件的真实性及按照要求完成服务内容的承诺书;提供相关资质证明材料及评标所需材料(详见采购文件)。

5、开标时间:另行通知,按照采购文件中综合评标法进行评标,得分最高者中标。(报价不得高于5万元)。

6、时间要求:中标供应商应在中标后协助亳州市卫生计生委做好前期准备工作,准备工作完成后,双方协商确认项目进场时间。自进场开始之日起,30个工作日内出具测评报告;因甲方整改要求,可适当延迟,但最长不超过60个工作日。

7、其他要求:详见采购文件。

五、联系方式

采购人:亳州市卫生和计划生育委员会

地址:亳州市芍花西路568号

联系人:杨靖宇 孙晨曦

电话(传真):0558-5555330  15105671851

电子邮箱:bzwsjsw@126.com

 

亳州市卫生和计划生育委员会

2018年10月24日

 

亳州市智慧医疗信息系统安全等级测评

采购文件

 

一、项目概述

为贯彻落实国家信息安全等级保护制度,根据公安部《关于开展信息安全等级保护安全建设整改工作的指导意见》(公信安[2009]1429号)的要求,以国家等级保护相关标准《信息安全等级保护基本要求》(GB/T 22239-2008)、《信息安全等级保护定级指南》(GB/T 22240-2008)为基础,进一步提高亳州市智慧医疗信息系统安全防护水平,明确信息系统的安全保护水平与国家信息安全等级保护相关要求之间的差距以及系统存在的安全隐患,需对亳州市智慧医疗信息系统实施等级保护测评工作,以便为后续的安全建设和整改工作提供建议和决策依据,以进一步完善信息系统安全管理体系和技术防护体系,切实提高系统信息安全防护能力,为亳州市卫生计生信息化健康发展提供可靠保障。

二、项目要求及系统情况

  1. 要求投标单位为信息系统进行前期分析评估和优化加固服务以及后期巡检、测试、等级测评等服务内容。服务的总体目的是通过专业技术服务团队分步、有序、扎实、全面的对亳州市智慧医疗信息系统进行深入的分析评估,理清各种基础数据和运行情况,发现各种问题和隐患,在此基础上提供针对性的整改建议,配合亳州市智慧医疗信息系统提供后期运行全过程支持服务。
  2. 后期按照国家信息安全等级保护制度的要求,为亳州市卫计委在推进信息安全等级保护工作过程中监督、检查、指导等提供专业技术支持,并提供相关技术咨询服务、信息安全技术培训、信息系统(网络)安全性测评、信息系统安全方案咨询和评审等。
  3. 根据中华人民共和国国家标准《GB/T 22239 信息安全等级保护基本要求》、《GB/T22240-2008信息安全技术信息系统安全等级保护定级指南》以及有关文件要求,将对以下信息系统等级保护测评项目进行公开招标

序号

系统名称

等级

备注

1

亳州市智慧医疗信息系统

三级

等级保护测评服务

三、测评要求

依据国家相关文件、标准、系统安全保护等级和《信息系统安全等级保护测评要求》对被测系统进行等级保护测评。

1. 等级保护测评内容

等级保护测评内容主要包括以下几个方面:

(1)安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评。

(2)安全管理测评:包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评。

(3)形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB /T 22239-2008),对各信息系统进行安全现状分析,形成相应的差距分析报告。

(4)编制系统安全整改方案:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,结合差距分析结果,编制针对各信息系统的安全整改建设方案。

(5)编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助建设方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。

(6)等级保护安全培训:为采购方提供不少于2次的信息安全技术培训,确保技术人员了解、掌握关于信息系统等级保护相关规定,信息安全策略、信息保密制度,授权使用系统流程,信息安全管理制度和相关流程等。为采购方开展全方位信息安全业务培训,全面提升信息化人才队伍的安全意识和专业技能水平。

(7)编制等级测评报告:完成上述测评工作和建设方实施整改后,出具符合公安机关要求的(年度)信息系统安全保护等级测评报告。

  1. 其他要求

(1)工期要求

中标供应商应于中标后10个工作日内进场测评,30个工作日内出具测评报告;因甲方整改要求,可适当延迟,但最长不超过60个工作日。

(2)报价要求

报价应包含完成该项目所发生的一切费用,包括但不限于现场调查考察费、基础资料收集费、方案咨询人员差旅费,税金、保险、交通费、通信费、办公费、人员生活费等各项费用。采购人将不予支付投标人任何其他费用,并认为此项目的费用已包括在投标报价中。

四、测评服务成果验证

投标方技术文件中须清晰陈述其在项目各阶段拟实现的项目成果的构成和形式、项目成果验证方法、项目成果的呈报及验收程序与活动的组织方式等。包含但不限于以下成果

序号

工作阶段

项目成果

构成和形式

项目成果验证

1

测试准备

等级测评项目

启动

应包含测试的进度安排、人力资源计划、质量保证、风险管理、沟通管理等内容。

2

信息收集与分析

应完成信息收集与分析,形成相关文件。

3

工具和表单准备

涉及表单应包含:单位基本情况、参与人员名单、物理环境情况、信息系统基本情况、信息系统承载业务(服务)情况、信息系统网络结构(环境)情况、外联线路及设备端口(网络边界)情况、网络设备情况、安全设备情况、服务器设备情况、终端设备情况、系统软件情况、应用系统软件情况、业务数据情况、数据备份情况、应用系统软件处理流程(多表)、业务数据流程(多表)、管理文档情况、安全威胁情况等。

4

测评方案编制

 

测评对象确定和测评指标确定

完成测评对象及测评指标的确定。

5

测评工具接入点确定

完成测评工具的接入。

6

测评指导书开发

测评指导书应包括:安全管理机构操作指导书、安全管理制度操作指导书、人员安全管理操作指导书、系统建设管理操作指导书、系统运维管理操作指导书、物理安全操作指导书、网络安全操作指导书、主机安全操作指导书、应用安全操作指导书、工具测试操作指导书等。

7

测评方案编制

测评方案应包括:被测系统描述、测评对象、测评指标、测评工具和接入点、测评内容、测评指导书等。

8

现场测评

测评实施准备

完成测评实施的准备工作。

9

现场测评和结果记录

测评项应包括:安全技术测评包括物理安全、网络安全、主机安全、应用安全、数据安全及备份恢复。安全管理测评包括安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理。不计具体设备的数量,每个三级系统至少进行的测评项为406项。

10

结果确认和资料归还

提交完整的测评结果,应包括问题描述、状态、严重程度、优先级等内容;归还相关资料。

11

测试结束

分析与报告编制

单项测评结果判定、单元测评结果判定、整体测评、风险分析、等级测评结论形成、测评报告编制等。

12

测评报告

提交正式测评报告,测评报告包括:测评项目概述、被测信息系统情况、等级测评范围与方法、单元测评、整体测评、测评结果汇总、风险分析和评价、等级测评结论、安全建设整改建议等。

五、项目实施要求

  1. 客观性和公正性要求:

在最小主观判断情形下,按照评估双方相互认可的评估方案,基于明确定义的测评方式和解释,实施评估活动。

  1. 保密要求:

在测评过程中,需严格遵循保密原则,对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害采购方利益。

  1. 互动要求:

在整个测评过程中,强调采购方的互动参与,每个阶段都能够及时根据采购方的要求和实际情况对测评的内容、方式做出相关调整,进而更好的进行风险评估工作。

  1. 最小影响要求:

测评工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明显的影响(包括系统性能明显下降、网络阻塞、服务中断等),如无法避免,则应预先做出说明并经业主同意后实施。

  1. 规范性要求:

信息安全等级保护测评服务的实施必须由专业的测评服务人员依照规范的操作流程进行,对操作过程和结果要有相应的记录,并提供完整的服务报告。

  1. 质量保障要求:

在整个测评过程中,须特别重视项目质量管理。项目的实施将严格按照项目实施方案和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。

六、测评人员要求

  1. 投标供应商参与本项目的成员中至少有1人具备信息安全等级保护高级测评师资质、2人具备信息安全等级保护中级测评师资质。投标文件中须提供资质证书复印件或扫描件。
  2. 投标供应商为本项目成立等级保护测评项目部,由项目经理统一负责,项目经理须具有一定的技术管理知识和经验,能够容易地与客户沟通,能够很好地执行并完成测评服务工作,并能根据一些特殊的情况可以适当增加服务人员,接受用户与单位的统一管理。

七、资质及要求

  1. 投标人应入围全国等级保护测评机构推荐目录(网址http://www.djbh.net可查询);
  2. 投标人必须持有信息安全等级保护测评机构推荐证书;
  3. 投标人应提供不少于3名具有等级保护测评资格(提供原件)的人员承担本项目,并组建合理的测评项目组;
  4. 投标人应具有3个以上三级信息系统的测评案例(附合同复印件);
  5. 在测评实施前,承诺协助用户对信息系统进行自测评,发现系统可能存在的不足项提前进行完善;
  6. 承诺协助用户完成测评材料的准备、测评方案的制定、配合测评实施、测评技术支持等活动;
  7. 承诺协助制定详细日常管理维护服务方案;
  8. 承诺为了形成安全防护体系,为后期的购买软硬件进行整改提出指导;
  9. 投标人所提供任何材料均真实可靠,凡发现投标文件中涉及资质、案例等任何一处弄虚作假者,均一票否决,直接取消中标资格,并依次递补下一个中标人。

八、评审标准

本次项目采用综合评标法得分最高者中标。

备注:1.评分所需证书及合同原件请单独装袋,并在封面附上清单目录同时注明投标人名称及联系方式以便核对,与投标文件一并递交,评审结束后立即退还。

  1. 需提供原件备查的评审项,必须提供原件,如未按要求提供原件,该项不得分。

九、评标

本项目采用综合评标法。

评分细则(满分100分)

目名称

分值

评分细则

基本资质

否决指标

投标机构须在全国等级保护测评机构推荐目录内,否则取消评标资格。

资质分

机构

资质

10分

1. 投标人具有中国合格评定国家认可委员会颁布的(CNAS)检验机构认可证书(2分);

2. 投标人具有检验检测机构资质认定证书及质量管理体系认证证书(每个证书各2分,共4分);

3. 投标人具有公安部颁发的全国网络安全等级保护测评机构先进单位证书(4分)。

项目

团队

资质

15分

1. 亳州智慧医疗测评项目(以下简称“本项目”)项目经理应具有息安全等级测评师证书(高级、中级、初级分别得4分、2分、0分,最多得4分);

2. 本项目团队其他成员中应具备注册信息安全专业人员(CISP)或注册信息安全专家(CISSP)证书(每1人得2分,最多得8分);

3. 本项目团队成员具有公安部颁发的全国网络安全等级保护测评机构先进个人证书(每个1分,最多得3分)。

项目案例

20分

等保三级项目案例(同行业案例,省级、市级、县级每个分别得7分、5分、3分;非同行业案例,省级、市级、县级每个分别得5分、3分、2分。评分时选3个分值最高的案例计分,最高不超过20分)。

服务承诺

15分

  1. 具有相关培训经历(2分);
  2. 培训内容充实完备,培训计划科学可行(4分);
  3. 承诺1年内为亳州市卫生计生委及相关单位提供信息安全相关培训(每次3分,最多得6分);
  4. 提供完善的本地化服务,能在24小时内做出应急响应(3分)。

价格分

40分

按照下列公式计算:投标人价格得分=(最低报价/投标报价)×价格满分基数(40分)。

每个评委对各投标人的评分的算术平均值(精确到小数点后两位)即为该投标人的商务得分。

本项目采用综合评标法,按投标人的最终评标得分由高到低顺序排列。投标得分相同的,按价格分得分由高到低顺序排列,如仍不能确定排序,由评标委员会按照少数服从多数的原则投票确定。