中国康复研究中心作为重点医疗机构,其信息系统承载了非常重要的患者数据。为保证本医院信息系统安全、降低风险,提高管理能力,按照《中华人民国网络安全法》、《信息安全等级保护管理办法》等文件要求,中国康复研究中心为了进一步加强本中心信息系统的整体安全防护能力,全面提升我中心信息系统整体安全防范能力,拟对中心的OA系统进行网络安全等保测评服务进行采购。欢迎符合条件的供货商报名参加院内比选,具体需求如下:
一、 采购需求
项目内容包含网络安全等级保护测评、差距分析报告、渗透测试、漏洞扫描、数据安全测评、系统整改方案咨询服务、网络安全合规及建设咨询服务、应急响应服务、APP个人隐私保护监测等。
项目预算金额:18万元
指标项 | 技术规格要求 |
★服务范围 | OA系统网络安全等级保护测评(二级) |
★服务期限 | 1年 |
总体要求 | 1、对中心OA系统网络和系统开展等级保护测评服务并出具等级保护测评报告; 2、定期对中心OA系统进行渗透测试,并提出整改意见; 3、定期对中心OA系统进行漏洞扫描,出具漏扫报告及整改建议; 4、对中心OA系统进行数据安全测评,并出具测评报告及整改建议; 5、安全培训服务 |
服务内容 | 1、网络安全等级保护测评 按照网络安全等级保护2.0相关要求和标准规范,对中国康复研究中心OA系统网络和系统开展等级保护测评服务,测评结束后,出具等级保护测评报告。 2、差距分析报告 对本次测评的OA系统(包含APP)等级保护2.0进行差距分析服务,通过对信息系统安全差距分析,从信息系统现状出发,明确OA系统中存在的风险和相关脆弱点,并出具《OA系统差距分析报告》。 3、渗透测试 结合攻击者角度,对本次测评的OA系统(包含APP)进行渗透性测试服务,测试过程中发现的可被利用的漏洞和风险提出整改建议,整改完成后进行回归验证。 4、漏洞扫描 对本次测评的OA系统(包含APP)进行漏洞扫描,扫描过程中检测出系统中的弱点并进行安全风险分析和对发现安全隐患提出针对性的解决方案和建议。 5、数据安全测评 对本次测评的OA系统(包含APP)进行数据安全测评,通过访谈、检查等⽅法对数据的完整性、保密性以及灾备能⼒三⽅⾯的保障措施做出有效性评估。 6、系统整改方案咨询服务 根据我中心临时或计划的要求,对整改方案中的所有内容进行逐条应答并形成解决方案。 7、网络安全合规及建设咨询服务 按照国家相关部委监管要求,依据《网络安全法》《密码法》《网络安全等级保护条例》《关键信息基础设施保护条例(征求意见稿)》《网络安全等级保护定级指南》和《网络安全等级保护设计技术要求》等法律法规标准,开展政策合规和安全建设咨询服务。 8、应急响应服务 在重大活动、节假日或发生风险事件时服务人员需在2小时之内响应、4小时之内到现场配合处置。提供一年不少于10人天的重大紧急时期现场值守服务。 9、APP个人隐私保护监测 根据《信息安全技术 移动互联网应用程序(App)收集个人信息基本要求》对我院APP进行测试,并针对问题提出整改建议 |
培训要求 | 1、人员安全意识培训 根据我中心要求,开展1次人员安全意识培训,旨在提高我中心信息部门相关工作人员的安全意识和人员安全防护能力,使相关工作人员充分了解既定的安全策略。 2、安全开发培训 根据我中心要求,开展1次WEB网络开发培训,帮助开发人员了解安全开发流程、常见开发安全问题、程序开发安全措施等。 |
二、比选评分标准
1、采用综合评分法对各个提交报价的供应商进行评审。
评分因素以及权值如下:
序号 | 评审内容 | 评审标准 | 满分 |
价格部分(30分) | |||
1 | 投标报价 | 投标报价得分=(评标基准价/投标报价)×30×100% 评标基准价=所有投标人中有效报价的最低价 | 30 |
商务部分(24) | |||
2 | 服务能力证明 | 供应商至少提供一个近三年(2019年5月1日至今)的安全服务相关案例(包括但不限于安全技术服务和安全类产品销售等)。每提供一个得3分,最高得9分。 投标人业绩须提供合同复印件(至少包括合同首页、服务内容页、签字盖章页)并加盖公章。 | 9 |
3 | 投标人资质 | 提供有效期内的ISO 9001认证证书、IS0 20000体系认证证书、ISO 27001认证证书、ISO14001环境体系证书、ISO45001职业健康体系证书、每提供一个得3分,最高15分。 | 15 |
技术部分(46) | |||
4 | 信息安全等级保护方案 | 针对本项目采购需求中测评服务内容要求,提供信息安全等级保护方案。 服务方案完整,充分考虑用户需求,服务方案针对性及可行性很高:30分 服务方案比较完整,服务方案具有一定的针对性及可行性:20分 服务方案不够完整,且服务方案的针对性及可行性一般:10分 不提供服务方案:0分 | 30 |
5 | 培训方案 | 根据采购需求提供人员安全意识培训、安全开发培训方案。 培训方案 方案充足、完整、科学,可行性高,针对性强,得10分; 方案完整、合理、可行,基本符合要求,但方案通用,缺乏针对性,得5分; 方案有缺漏,或可行性存在欠缺,得0分; | 10 |
6 | 项目质量控制 | 投标人具备完善的项目质量管理能力,确保测评实施流程规范合理,测评结果准确有效。 具有完善的质量控制方案:6分 质量控制方案内容一般:3分 质量控制方案内容较差:1分 | 6 |
三、报名条件
(1)投标人须在中华人民共和国境内注册,具有独立承担民事责任的能力和经营许可,向采购人提供货物和服务的法人、其他组织或自然人,须提供相关证明材料
(2)投标人须具有履行合同所必需的设备和专业技术能力,须附相关证明材料或书面声明。
(3)近三年内(本项目投标截止期前)投标人在经营活动中没有重大违法记录,其中:
重大违法记录是指供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚;
供应商须提供参与本采购活动前三年内在经营活动中没有重大违法记录的书面声明。
(4)投标人符合法律、行政法规规定的其他要求。
四、索取技术需求说明文件
1.索取技术需求说明文件的供货商,提供以下材料文件PDF电子版, 3日内发送至wangtianfang@crrc.com.cn,邮件标题“OA系统网络安全等级保护定级备案与测评项目报名”,邮件内附件标题清晰。我院相关部门按邮件收到时间顺序发送邀标说明,通知入围公司。
报名截止时间:2022年6月27日24:00
接收投标文件截止时间为2022年6月30日17:00
2.提供的所有文件材料均须真实有效并加盖公章,具体如下:
(1) 公司简介
(2) 营业执照复印件
(3) 服务报价单
(4) 提供满足需求的技术及售后服务支持承诺函
五、采购办法
此项目采用比选的方式进行采购。
六、比选时间及地点
比选时间电话通知报名公司 地点为中国康复研究中心西区会议室
七、中选办法
符合采购需求的依照综合评分表进行综合评定。中选后需要与我单位签订为期一年的采购合同。
八、公告期限
自本公告发布之日起3日内有效。
项目联系人:中国康复研究中心计算机室
电话:010-67563322转6420