一、项目概况

(一)项目名称:黄山市医疗保障局医保信息系统网络安全等级保护测评服务采购项目

(二)项目地点:黄山市医疗保障局所在地

(三)项目单位:黄山市医疗保障局

(四)项目概况:

为了贯彻国家对网络安全保障工作的要求,黄山市医疗保障局对医保信息系统进行安全等级保护测评。依据等级保护的相关管理规范、技术标准,实施本次安全测评工作。网络安全等级保护工作包括定级、备案、建设整改、等级测评、监督检查五个阶段。

(五)资金来源:财政预算

(六)项目预算:9万元

(七)付款方式:自签订合同之日起,到项目备案完成并出具项目整改报告后,支付合同总额20%。中标单位在出具整改报告后,协助业主完成整改,并获得符合性报告后支付余款。

(八)项目类别:采购服务

二、供应商机构资格要求

(一)满足《中华人民共和国政府采购法》第二十二条规定。

(二)落实政府采购政策需满足的资格要求:本项目非专门面向中小微型企业

(三)本项目的特定资格要求:

1.为全国等级保护测评机构推荐目录内测评机构单位,供应商需入围全国等级保护测评机构推荐目录(http://www.djbh.net网址可查询,提供供应商在目录内可搜索到的网页截图或等级保护推荐证书)且持有国家网络安全等级保护工作协调小组办公室颁发的等级测评推荐证书。

2.信誉要求

供应商(含不具有独立法人资格的分公司、不含具备独立法人资格的子公司)存在以下不良信用记录情形之一,不得推荐为成交候选人,不得确定为成交供应商:

①供应商被人民法院列入失信被执行人的;

②供应商或其法定代表人近三年(自开标之日起往前追溯)有行贿犯罪行为的;(供应商需按照本文件规定的格式自行出具《近三年无行贿犯罪行为承诺书》)

③供应商被市场监管部门列入严重违法失信企业名单;

④供应商被税务部门列入重大税收违法案件当事人名单的;

⑤供应商被政府采购监管部门列入政府采购严重违法失信行为记录名单的。

以上情形第①③④⑤以“信用中国”(http://www.creditchina.gov.cn)或其他指定媒介[国家税务总局网站(www.chinatax.gov.cn)、中国政府采购网(www.ccgp.gov.cn)、最高人民法院网站(www.court.gov.cn)、国家企业信用信息公示系统网站(www.gsxt.gov.cn)]发布的为准,有限制期限的按规定期限执行,无限制期限的按投标截止时间前12个月计算。在推荐成交候选人前由代理机构对拟推荐的成交候选人进行查询并将结果反馈至评审小组。

3.本项目不接受联合体投标。

三、文件的获取

(一)获取时间:2020年9月24日9:00至2020年9月28日17:30

(二)获取方式:获取时间内登录黄山市医疗保障局官网(http://ylbz.huangshan.gov.cn/),点击首页的“通知公告”,获取采购文件,并请随时关注网站更正公告。

四、报价时间及地点

(一)报价时间:2020年9月29日9时30分

(二)报价地点:黄山市屯溪区新园东路198号财经大厦五楼510室

(三)报价说明:投标人按年费用标准进行测评服务费报价,包含测评指导和提供黄山市医疗保障局信息安全等级保护三级的等保测评、出具测评分析和整改建议、出具符合安徽省公安厅要求的正式测评报告、测评工时费、食宿费、交通费、培训费、文档工本费、税费、评审费等一切费用(如包含附件、辅材,必须列明所需附件、辅材具体种类、数量),并在投标文件报价表中写明投标的年费用价格。

五、联系方式

地址:黄山市屯溪区新园东路198号财经大厦五楼506室 

联系人:洪先生 

电话:0559-2310711

六、服务、培训要求

(一)定级备案

协助采购方的信息系统在网安部门完成定级备案工作,交付定级报告、专家评审意见表和备案表等内容,并取得相应系统的备案证书。

(二)等级保护测评

工作内容:依据国家等级保护相关标准《GB/T 22239-2008 信息系统安全等级保护基本要求》、《GB/T 28448-2008 信息系统安全等级保护测评要求》、《GB/T 22239-2019 网络安全等级保护基本要求》、《GB/T 28448-2019 网络安全等级保护测评要求》,以《GB/T22240 信息系统安全等级保护定级指南》、《GB/T 28449-2018 信息安全技术网络安全等级保护测评过程指南》为基础,内容包括:

1.安全技术测评:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、主机系统安全、应用安全和数据安全。

2.安全管理测评:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等五个方面的安全测评。

3.工具测试:针对重要信息系统进行定期的漏洞扫描、渗透测试等安全服务工作。供应商需针对网络设备、服务器、应用等进行漏洞扫描并出具漏洞扫描报告,模拟黑客可能使用的攻击技术和漏洞发现技术,对黄山市医疗保障局医保信息系统进行验证性渗透测试。所有测试过程须保证招标人信息系统的正常运行和信息安全。

4. 形成差距分析报告:依据测评结果和《信息系统安全等级保护基本要求》(GB/T 22239-2008),结合ISO/IEC 27001、ISO/IEC 20000和ITIL等行业最佳实践,从信息系统是否具备标准所要求的安全保护设施。安全设施的策略是否达到标准的要求、安全策略是否达到保护的效果三个方面开展差距测评工作。全面的从物理安全、网络安全、主机安全、应用安全、数据安全、安全管理中的所有指标逐项对信息系统中相关的资产进行检查。对各信息系统进行网络安全等级保护现状分析,形成相应的差距分析报告。

5. 整改建议:投标人应根据现场测评中发现的问题,按照信息安全等级保护标准要求提出安全整改报告,并协助用户完成信息系统整改计划,整改建议科学、合理,并承诺及时跟进协助整改。

6.编制和完善安全管理制度:依据《信息系统安全等级保护基本要求》和《信息系统等级保护安全设计技术要求》,协助招标方制订和完善各项信息安全管理制度,规范信息安全日常管理工作,提高信息安全基础管理水平。

7.编制测评报告:完成上述测评工作和整改加固实施后,投标人最后出具符合公安机关要求的各信息系统网络安全等级保护测评报告。

(三)信息安全培训

投标人需要为采购方提供不少于线上、线下各5次的信息安全技术培训,确保管理人员和技术人员掌握关于信息系统等级保护相关规范、信息安全策略、信息保密制度,信息安全管理制度和相关流程等;信息安全培训方式分为以下几种:

1.线下培训:

线下培训,即为集中授课培训。由中标方安排资深信息安全人员,对采购方人员讲解信息安全相关规范、流程、技术等方面的知识。

2.线上培训:

可以采用远程方式,演示系统操作步骤,对使用人员进行培训。

3.即时通讯方式培训:

对于一些情况较为紧急的使用问题,使用电话方式、微信或其他即时通讯,对使用人员进行系统讲解。

4.培训资料:

提供培训课件相关资料。

(四)信息安全规划

投标人需要根据采购方目前业务运行情况及业务发展需要,提供可行的安全规划。

(五)信息安全保障

合同签订后1年内,需要配合招标人提供信息安全保障,包括但不限于安全隐患排查及每年度不少于四次的巡检。

(六)项目服务承诺

1.服务响应

投标人需具备及时响应能力,签订后根据招标人安排的日期时间进行测评,出具整改报告协助完成系统建设整改及完成整体项目。同时如发生故障,在得到用户通知后,2小时内响应,6小时以内到达现场处理,24小时内修复的售后响应能力。

2.保密责任

投标人必须承诺对从招标活动中获得的招标人相关资料承担保密责任。

七、报价要求

评审方式:综合评分法。

 

评审项目

分项

分值

评审细则

技术分

测评方案

10

投标人提供等级保护测评方案,包含测评对象与指标、测评方法与工具、测评相关工作的实施计划。重点评价方案编写的质量符合本项目实际现状,并对方案的客观性、准确性、公正性、符合性等进行评价。

方案编写的质量完全符合本项目技术方案实际现状、客观、准确、公正的,得7-10分;

方案编写的质量符合本项目技术方案实际现状、较为客观准确的,得 4-6 分;

方案编写的质量基本符合本项目技术方案实际现状、相对完整的,得 1-3 分;

不提供不得分。

项目  管理

方案

10

投标人应提供针对本次项目的项目管理方案,方案要求有明确的建设质量目标,质量保证措施,并具有详细可行的实施内容等,由磋商小组进行综合评分:

项目管理方案目标明确,质量保证措施及实施内容详细可行的,得7-10 分;

项目管理方案目标较为明确,质量保证措施及实施内容基本可行的,得4-6分;

项目管理方案目标明确性一般,质量保证措施及实施内容一般的,得1-3分;

无相关内容不得分。

测评工具

5

供应商具有满足项目实施要求的测试设备及工具,包括但不限于漏洞扫描工具、WEB测试工具、脆弱性评估工具、渗透测试工具、配置核查工具、流量分析工具、等保工具箱、威胁检测工具、恶意代码检测工具等,每提供一项得1分。满分5分。

注:供应商必须提供相关工具的自有产权证明或者采购合同、授权书等证明材料扫描件或影印件。

商务分

企业

资质

30

1、投标人入围全国等级保护测评机构推荐目录(http://www.djbh.net网址可查询,提供投标人在目录内可搜索到的网页截图或等级保护推荐证书)且持有国家网络安全等级保护工作协调小组办公室颁发的等级测评推荐证书的,得5分;

2、投标人具有中国网络安全审查技术与认证中心颁发的“信息安全风险评估”服务资质证书、“信息安全应急处理”服务资质证书的,每个得5分,共10分;

3、投标人具有经中国国家认证认可监督管理委员会批准的认证机构颁发的ISO 9001质量管理体系认证证书、环境管理体系认证证书(GB/T 24001-2016)、职业健康安全管理体系认证证书(GB/T 28001-2011)的,每个得3分,共9分;

4、投标人具有经中国国家认证认可监督管理委员会批准的认证机构颁发的ISO/IEC 27001信息安全管理体系认证证书、ISO/IEC 20000信息技术服务管理体系认证证书,且认证范围包含“等级保护测评”的,每个得3分,共6分;

人员资质

25

1、投标人提供的项目经理具有高级测评师证书,得5分;

2、项目经理具有省级或以上人社部门颁发的信息系统项目管理师(高级)认证的,高级得5分;

3、项目经理具有公安部直属研究所颁发的网络安全等级保护2.0标准应用工程师认证证书的,得5分;

4、项目经理具有中国信息安全测评中心颁发的CISI资质证书的,得5分;

5、项目经理具有CIW中国网络安全讲师认证的,得5分。

注:1)投标人需指定一名项目管理经验丰富、沟通能力强且技术过硬的高级以上测评师为本项目的项目经理;

2)响应文件中须提供该项证书扫描件并加盖公章;

3)响应文件中须提供投标人为上述人员缴纳的近半年以来的社保证明材料扫描件。

业绩案例

10

自2018年以来,承担安徽省范围内行政事业单位信息系统安全等级三级(含三级)以上测评案例的,1个得2分,最高10分。

注:有效案例须为已服务完毕业绩,响应文件中提供合同复印件或扫描件、测评报告签字页加盖投标人公章。

价格分

10

价格采用低价优先法计算,即满足招标文件要求且最终报价最低的价格为评审基准价,其价格分为满分,其他投标人的价格分按照下列公式计算:最终报价得分=(评审基准价/最终报价)×10%×100。

 

 


   八、投标文件的组成

 

 

 供应商报名需提供以下资料:    

(一)法人代表或代理人(授权委托书)。

(二)身份证明材料

(三)财务状况报告

(四)依法缴纳税收相关材料

(五)依法缴纳社会保障资金的相关材料;

(六)具备履行合同所必须的设备和专业技术能力的证明材料;

(七)参加政府采购活动(以开标时间为准)前3年内在经营活动中没有重大违法记录以及本项目开标时未被禁止参加本项目所在地的政府采购活动的书面声明。

(八)资质证明(等级测评推荐证书等)

(九)测评工程师资格证书(复印件、原件备查)

(十)业绩案例(合同复印件、原件备查)

(十一)投标报价单(表)

(十二)其他在评审标准中要求的相关材料