四川省人民政府

免费接送/急救电话:0825-2257490 / 2233105    电话预约挂号:0825-5817080    投诉电话:0825-2226870    域名:遂宁市船山区妇幼保健院.公益

您当前的位置:首页 > 医院动态 > 院内新闻
遂宁市船山区妇幼保健院2023年网络安全等级保护测评服务项目采购公告
时间:2023-04-20 17:01:16
遂宁市船山区妇幼保健院
2023网络安全等级保护测评服务项目
采购公告
据《中华人民共和国政府采购法》和《政府采购非招标采购方式管理办法》(财政部令第74号)精神,遂宁市船山区妇幼保健院决定对医院网络安全等级保护测评服务项目进行采购,欢迎具备相应服务能力和资质的公司参与院内采购,现就相关事项公告如下。
一、采购项目基本情况
项目名称:遂宁市船山区妇幼保健院2023年网络安全等级保护测评服务项目
采购人:遂宁市船山区妇幼保健院
二、项目预算
服务期限:签订合同后30日历天内完成项目并验收合格。预算价:9.8万元(大写:人民币玖万捌仟元)。
三、采购方式:竞争性磋商(评分标准见附件)四、供应商资格要求
符合《政府采购法)第二十二条规定条件
1.具有独立承担民事责任的能力;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必须的设备和专业技术能力;
4.具有依法缴纳税收和社会保障资金的良好记录;
5.参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;
6.法律、行政法规规定的其他条件。
采购项目要求的特殊资格性条件
1.具备公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》;
2.本项目不允许联合体投标;
五、项目技术服务及商务要求
(一)项目概况
遂宁市船山区妇幼保健院根据四川省公安厅、四川省卫生健康委员会文件要求,对院内信息系统必须达到计算机信息二级等级保护要求。
(二)项目需求
根据《中华人民共和国网络安全法》以及《信息安全等级保护管理办法》等相关要求,对我单位有关信息系统提供网络安全等级保护测评服务,出具相应测评报告。
根据《中华人民共和国网络安全法》以及《信息安全等级保护管理办法》等相关要求,对采购人相应信息系统进行网络安全等级保护测评服务,协助采购人对系统定级备案。通过测评查找安全隐患,提供差距分析指导安全建设,最终出具相应测评报告,使得采购人的网络安全性既可以满足等级保护的相关要求,又能够提供立体、纵深的安全保障防御体系,保证信息系统整体的安全保护能力。
1.测评内容包括技术和管理测评:
(1)技术安全性测评包括但不限于:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心。
(2)管理安全测评包括但不限于:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理。
2.测评对象及范围
本次等级保护测评系统包括:

系统名称 安全保护等级
1 HIS 第二级
2 电子病历系统 第二级
3.依据标准
(1)《中华人民共和国网络安全法》
(2)GB/T 22239-2019《信息安全技术 网络安全等级保护基本要求》
(3)GB/T 28448-2019《信息安全技术 网络安全等级保护测评要求》
(4)GB/T 28449-2018《信息安全技术 网络安全等级保护测评过程指南》
(5)GB/T 36627-2018《信息安全技术 网络安全等级保护测试评估技术指南》
(6)GB/T 22240-2020《信息安全技术 网络安全等级保护定级指南》
(7)《信息安全等级保护管理办法》公通字 [2007] 43号
(8)《网络安全等级保护测评机构管理办法》公信安 [2018] 765号
4.测评原则
(1)客观性和公正性原则:
虽然测评工作不能完全摆脱个人主张或判断,但测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基于明确定义的测评方式和解释,实施测评活动。
(2)经济性和可重用性原则:
基于测评成本和工作复杂性考虑,鼓励测评工作重用以前的测评结果,包括商业安全产品测评结果和信息系统先前的安全测评结果。所有重用的结果,都应基于结果适用于目前的系统,并且能够反映出目前系统的安全状态基础之上。
(3)可重复性和可再现性原则:
不论谁执行测评,依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者与同一测评者测评结果的一致性有关。
(4)结果完善性原则:
测评所产生的结果应当证明是良好的判断和对测评项的正确理解。测评过程和结果应当服从正确的测评方法以确保其满足了测评项的要求。
(三)测评具体要求
1.安全物理环境

工作单元名称 工作单元描述
1 物理位置选择 通过访谈、检查机房等信息系统物理场所在位置上是否具有防雷、防风和防雨等多方面的安全防范能力。
2 物理访问控制 通过访谈、检查主机房出入口、机房分区域情况等过程,测评信息系统在物理访问控制方面的安全防范能力。
3 防盗窃和防破坏 通过访谈、检查机房的主要设备、介质和防盗报警系统等过程,测评信息系统是否采取必要的措施预防设备、介质等丢失和被破坏。
4 防雷击 通过访谈、检查机房的设计/验收文档,测评信息系统是否采取相应的措施预防雷击。
5 防火 通过访谈、检查机房的设计/验收文档,检查机房防火设备等过程,测评信息系统是否采取必要的措施防止火灾的发生。
6 防水和防潮 通过访谈、检查机房的除潮设备等过程,测评信息系统是否采取必要措施来防止水灾和机房潮湿。
7 防静电 通过访谈、检查机房是否采取必要措施防止静电的产生。
8 温湿度控制 通过访谈、检查机房温、湿度情况,是否采取必要措施对机房内的温湿度进行控制。
9 电力供应 通过访谈、检查机房供电线路、设备等过程,是否具备提供一定的电力供应的能力。
10 电磁防护 通过访谈、检查是否具备一定的电磁防护能力。
 
2.安全通信网络
序号 工作单元名称 工作单元描述
1 网络架构 通过访谈、检查、测试网络拓扑情况、抽查核心交换机、接入交换机和接入路由器等网络互联设备,测试系统访问路径和网络宽带分配情况等过程,测评分析网络架构与网段划分、隔离等情况的合理性和有效性,以及通信线路、关键设备硬件冗余,系统可用性保证情况。
2 通信传输 通过访谈、检查、测试通信传输过程的数据完整性和保密性保护情况。
3 可信验证 通过访谈、检查通信设备的系统引导、系统程序、重要配置参数和通信应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
 
3.安全区域边界
序号 工作单元名称 工作单元描述
1 边界防护 通过访谈、检查、测试边界完整性检查设备,测评分析跨域边界的访问控制和数据流通过边界设备的控制措施,非法内联、外联、无线准入控制的监测、阻断等能力。
2 访问控制 通过访谈、检查、测试网络访问控制设备策略部署,测试系统对外暴露安全漏洞情况等过程,测评分析对进出网络的数据流量控制以及基于应用协议和应用内容的访问控制能力。
3 入侵防范 通过访谈、检查、测试网络边界处、关键网络节点检测、防止或限制从内部和外部发起网络攻击行为的防护能力,以及网络行为分析、监测、报警能力,特别是新型网络攻击行为的分析,对攻击行为的检测是否涉及攻击源、攻击类型、攻击目标、攻击事件、入侵报警等方面的防范能力。
4 恶意代码和防垃圾邮件 通过访谈、检查、测试关键网络节点处对恶意代码、垃圾邮件进行检测、防护和清除、恶意代码防护机制的升级和更新维护等情况,
5 安全审计 通过访谈、检查网络边界、重要网络节点安全审计情况等,测评分析信息系统审计配置和审计记录保护,审计内容等情况。
6 可信验证 通过访谈、检查边界设备的系统引导、系统程序、重要配置参数和边界防护应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
 
4.安全计算环境
序号 工作单元名称 工作单元描述
1 身份鉴别 通过访谈、检查、测试对登录的用户进行身份标识和鉴别,是否具有不易被冒用的特点,口令应有复杂度要求并定期更换,以及远程管理安全、双因素鉴别等内容。
2 访问控制 通过访谈、检查、测试是否启用访问控制功能,依据安全策略控制用户对资源的访问;是否根据管理用户的角色分配权限,实现管理用户的权限分离,仅授予管理用户所需的最小权限等内容。
3 安全审计 通过访谈、检查安全审计范围及内容。
4 入侵防范 通过访谈、检查、测试是否能够检测到对重要节点进行入侵的行为,能够记录入侵的源IP、攻击的类型、攻击的目的、攻击的时间,并在发生严重入侵事件时提供报警,是否遵循最小化安全装原则、系统服务、默认共享和高危端口、终端接入限制、数据有效性检验、已知漏洞防护等内容。
5 恶意代码防范 通过访谈、检查、测试是否具有防恶意代码攻击的技术措施或主动免疫可信验证机制,能否及时识别入侵和病毒行为并将其有效阻断等内容。
6 可信验证 通过访谈、通过访谈安全员,检查计算设备的系统引导、系统程序、重要配置参数和应用程序等进行可信验证及应用程序的关键执行环节进行动态可信验证的保护情况。
7 数据完整性 通过访谈、检查、测试重要数据在传输和存储过程中的完整性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
8 数据保密性 通过访谈、检查、测试重要数据在传输和存储过程中的保密性保护情况,包括鉴别数据、重要业务数据、重要审计数据、重要配置数据、重要视频数据和重要个人信息等。
9 数据备份恢复 通过访谈、检查、测试重要数据本地备份与恢复功能,异地实时备份功能,以及重要数据处理系统的热冗余和高可用性保证等。
10 剩余信息保护 通过访谈、检查、测试边界信息在存储空间被释放或重新分配前是否有效清除,存有敏感数据的存储空间被释放或重新分配前是否有效清除等。
11 个人信息保护 通过访谈、检查、测试是否仅采集和保存业务必须的用户个人信息,对用户个人信息的访问和使用等。
 
 

5.安全管理中心
序号 工作单元名称 工作单元描述
1 系统管理 通过访谈、检查、测试对系统管理员身份鉴别、命令或操作管理、操作审计,以及是否通过系统管理对系统资源和运行进行配置、控制和管理等。
2 审计管理 通过访谈、检查、测试对审计管理员身份鉴别、命令或操作管理、操作审计,以及是否通过审计管理员对审计策略、审计记录进行分析、处理等。
3 安全管理 通过访谈、检查、测试对安全管理员身份鉴别、命令或操作管理、操作审计,以及是否通过安全管理员对安全策略、参数进行配置等。
4 集中管控 通过访谈、检查、测试是否具有特定的管理区域,对分布在网络中的安全设备或安全组件进行集中管控,对网络链路、安全设备、网络设备和服务的运行进行集中监测,对分散在各设备上的审计数据进行收集汇总和集中分析,并确保记录留存符合法律法规要求,对安全策略、恶意代码、升级补丁等安全相关事项进行集中管理,对网络中发生的各类安全事件进行识别、报警和分析等。
 
6.安全管理制度
序号 工作单元名称 工作单元描述
1 安全策略 通过访谈、检查网络安全工作的总体方针我安全策略是否全面、完善。
2 管理制度 通过访谈、检查管理制度的制定和发布过程是否遵循一定的流程。
3 制度和发布 通过访谈、检查管理制度定期评审和修订情况。
4 评审和修订 通过访谈、检查管理制度在内容覆盖上是否全面、完善。
 
7.安全管理机构
序号 工作单元名称 工作单元描述
1 岗位设置 通过访谈、检查安全主管部门设置情况以及各岗位设置和岗位职责情况。
2 人员配备 通过访谈、检查各个岗位人员配备情况。
3 授权和审批 通过访谈、检查对关键活动的授权和审批情况。
4 沟通和合作 通过访谈、检查内部部门间、与外部单位间的沟通与合作情况。
5 审核和检查 通过访谈、检查安全工作的审核和检查情况。
 
 
8.安全管理人员
序号 工作单元名称 工作单元描述
1 人员录用 通过访谈、检查录用人员时是否对人员提出要求以及是否对其进行各种审查和考核。
2 人员离岗 通过访谈、检查人员离岗时是否按照一定的手续办理。
3 安全意识教育和培训 通过访谈、检查是否对人员进行安全方面的教育和培训。
4 外部人员访问管理 通过访谈、检查对第三方人员访问(物理、逻辑)系统是否采取必要控制措施。
 
9.安全建设管理
序号 工作单元名称 工作单元描述
1 定级和备案 通过访谈、检查是否按照一定要求确定系统的安全等级。
2 安全方案设计 通过访谈、检查整体的安全规划设计是否按照一定流程进行。
3 产品采购和使用 通过访谈、检查是否按照一定的要求进行系统的产品采购。
4 自行软件开发 通过访谈、检查自行开发的软件是否采取必要的措施保证开发过程的安全性。
5 外包软件开发 通过访谈、检查外包开发的软件是否采取必要的措施保证开发过程的安全性和日后的维护工作能够正常开展。
6 工程实施 通过访谈、检查建设的实施过程是否采取必要的措施使其在机构可控的范围内进行。
7 测试验收 通过访谈、检查系统运行前是否对其进行测试验收工作。
8 系统交付 通过访谈、检查是否采取必要的措施对系统交付过程进行有效控制。
9 等级测评 通过访谈、检查等级测评、整改情况。
10 服务商选择 通过访谈、检查是否选择符合国家有关规定的安全服务单位进行相关的安全服务工作。
 
10.安全运维管理
序号 工作单元名称 工作单元描述
1 环境管理 通过访谈、检查是否采取必要的措施对机房的出入控制以及办公环境的人员行为等方面进行安全管理。
2 资产管理 通过访谈、检查是否采取必要的措施对系统的资产进行分类标识管理。
3 介质管理 通过访谈、检查是否采取必要的措施对介质存放环境、使用、维护和销毁等方面进行管理。
4 设备维护管理 通过访谈、检查是否采取必要的措施确保设备在使用、维护和销毁等过程安全。
5 漏洞和风险管理 通过访谈、检查安全漏洞和隐患识别、处理情况,以及是否定期开展安全测评以及安全问题的应对措施。
6 网络和系统安全管理 通过访谈、检查是否采取必要的措施对系统的安全配置、系统账户、漏洞扫描和审计日志等方面进行有效的管理。是否采取必要的措施对网络的安全配置、网络用户权限和审计日志等方面进行有效的管理,确保网络安全运行。
7 恶意代码防范管理 通过访谈、检查是否采取必要的措施对恶意代码进行有效管理,确保系统具有恶意代码防范能力。
8 配置管理 通过访谈、检查基本配置信息管理情况
9 密码管理 通过访谈、检查是否能够确保信息系统中密码算法和密钥的使用符合国家密码管理规定。
10 变更管理 通过访谈、检查是否采取必要的措施对系统发生的变更进行有效管理。
11 备份与恢复管理 通过访谈、检查是否采取必要的措施对重要业务信息,系统数据和系统软件进行备份,并确保必要时能够对这些数据有效地恢复。
12 安全事件处置 通过访谈、检查是否采取必要的措施对安全事件进行等级划分和对安全事件的报告、处理过程进行有效的管理。
13 应急预案管理 通过访谈、检查是否针对不同安全事件制定相应的应急预案,是否对应急预案展开培训、演练和审查等。
14 外包运维管理 通过访谈、检查外包运维服务商选择是否符合国家要求,外包运维保密、服务内容管理等。
 
11.安全扩展要求
按照所测评系统的具体情况选用云计算安全扩展要求、移动互联安全扩展要求、物联网安全扩展要求、工业控制系统安全扩展要求。
12.验证测试相关要求
按照等级保护测评要求,测评过程中应配备必要的工具、仪器/设备对信息系统进行验证测试,采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
验证测试内容包括但不限于以下内:
1渗透测试
验证安全策略正确性;保证用户登录窗体身份验证的安全性;非授权用户不能浏览到未授权内容;不存在跨站点脚本攻击漏洞;脚本不存在SQL、Cookie注入漏洞;安全的处理异常,没有出错页面泄露系统信息;应用和系统漏洞及其他,并提出整改建议。验证内容包括(但不限于)以下几个方面:
注入 失效的身份认证
敏感信息泄露 XML外部实体(XXE)
失效的访问控制 安全配置错误
跨站脚本(XSS) 不安全的反序列化
使用含有已知漏洞的组件 不足的日志记录和监控
2性能测试
通过模拟手段对网络(包括丢包、时延、带宽等)、软件系统(包括负载、响应)、负载下硬件占用(包含CPU、内存)等进行全面的测评评估验证系统的可靠性、可用性,通过对测试结果的分析,给出相应的整改建议。
3漏洞扫描
据相关标准、规范要求对重要信息系统的安全漏洞进行测评。分析总结系统中存在的主要安全漏洞,指出系统中可能被利用的安全漏洞、系统配置错误等缺陷以及相应的安全加固意见、建议。
测评工作步骤
测评机构对信息系统的等级测评可以分为四项活动:测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。供应商应对等级保护测评各阶段具体工作内容进行描述。
1.准备活动阶段:对被测系统进行调研分析,明确测评对象、测评方法等工作。
2.方案编制阶段:制定信息安全等级保护测评项目计划书、测评实施方案,并提交委托方确认。
3.现场测评阶段:按照等级保护相关标准规范要求从访谈、检查、测试几方面进行测试评估并出具《整改意见》,并在整改过程中提供技术咨询服务。
4.分析与报告编制:向委托方提交被测信息系统安全等级保护测评报告以及相应文档。
实施要求
1.系统梳理
协助完成待测信息系统梳理工作。
2.初测
对本项目所涉及信息系统进行现场测评,初次测评完成后提交初评的整改意见报告。
3.整改加固协助
协助对测评过程中发现的安全问题进行技术整改加固工作,并进行整改后的回归测评。
4.成果递交
整理测评结果,提交被测信息系统安全等级保护测评报告以及相应文档。
5.项目管理与实施保障
对项目进行科学严格的管理,通过系统计划、有序组织、科学指导和有效控制,促进项目全面顺利实施,供应商必须提供完整的项目管理方案,并符合以下要求:
(1)供应商及其测评人员应当严格执行有关国家信息安全等级保护相关标准和有关规定,提供客观、公平、公正、有效的等级保护测评服务,并承担相应的法律责任。
(2)应具备能够保证其公正性、独立性的质量体系,确保测评活动不受任何可能影响测评结果的商业、财务、健康、环境等方面的压力。
(3)供应商在对被测评单位开展等级保护测评服务之前需与被测评单位签订保密协议,测评过程中向被测评单位借阅的文档资料应在测评工作结束后全部归还被测评单位,未经被测评单位允许,不得擅自复制、保留。
(4)供应商的岗位配置要至少配置项目经理(或总测评师)、技术负责人、质量负责人、保密安全员和档案管理员,其中项目经理(或总测评师)、技术负责人、质量负责人、保密安全员和档案管理员应独立配置,不能有兼任的情况。
(5)测评人员要求
供应商派驻的参与此次等级保护测评项目的人员应符合以下要求:
①开展此次等级保护测评工作的人员仅限于中华人民共和国境内的中国公民,且无犯罪记录。
②开展此次等级保护测评工作的主要人员应具备等级测评师证书。
③测评人员在对开展等级保护测评工作之前需签订保密协议。
(6)测评工具要求
① 采用的测评工具必须获得正版授权,并在有效期内,不得使用盗版软件。
②采用的测评工具在功能、性能等满足使用要求前提下,应优先采用具有国内自主知识产权的同类产品。
③采用的测评工具的生产商应为正规厂商,具有一定的研发和服务能力,能够对产品进行持续更新并提供质量和安全保障。
④测评机构所使用的测评工具不会对系统产生破坏或负面影响。
(7)专用工具要求
本项目涉及工程实施和验收测试所需的工具,由投标方负责提供。用于测评的工具主要包括服务器安全测评工具、网络设备安全测评工具、终端计算机安全测评工具、网站等应用系统安全测评工具等。在使用前,应对工具进行测评,如果需要则对工具进行软件或代码升级。
7.整体要求
对信息系统安全等级保护状况进行测试评估,应包括两个方面的内容:一是安全控制测评,主要测评信息安全等级保护要求的基本安全控制在信息系统中的实施配置情况;二是系统整体测评,主要测评分析信息系统的整体安全性。其中,安全控制测评是信息系统整体安全测评的基础。
对安全控制测评的描述,使用工作单元方式组织。工作单元分为安全技术和安全管理两大类。安全技术测评包括:安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面;安全管理测评包括:安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面。
8.安全管理要求
为做好全过程的安全保密工作,在等级保护测评前、中、后三个阶段都要做好安全保密工作。
(1)等级保护测评前
对等级保护测评人员要进行安全保密教育,制定安全保密措施;签订安全保密协议。
(2)等级保护测评中
对被测单位的性质、机房物理位置、网络与系统、应用与服务、资料与数据、人员与管理等方面的信息进行严格的安全保密管理;
等级保护测评工具应经过严格测试和检验,确保不对被测评系统造成损失,工作结束后不驻留任何程序;
对被测单位信息系统的信息资产、发现的脆弱性和发生过的安全事件等威胁情况要控制知情范围;
对测评设备、介质进行严格的保密管理;
工作过程中对人员要实施封闭式集中管理;
进场人员遵守被测单位的相关管理规定。
(3)等级保护测评后
认真清退各种文档、资料和数据并予以销毁,确保工作过程中敏感数据不被泄漏;
现场工作结束后,按被测单位的要求及时还原系统,确保系统中不遗留任何代码或可执行程序;
在其他风险测评任务或宣传材料中不涉及被测单位的秘密、敏感情况。
9.文档要求
文档或报告的编写应完整清晰、用词规范、简明扼要,指出的问题应明确合理、符合逻辑、且有证据,出具的结论应公正客观、实事求是,提出的建议应符合国家标准规范、富有建设性和可操作性。
10.测评公司综合实力要求
投标方应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。
11.售后服务
投标方承诺能按要求实现本技术规范规定的所有条款及功能要求,配合完成相关政府部门的信息安全等级保护相关(登记、整改等)工作要求。
12.由于测评工作存在一定的风险,包括但不限于:数据丢失、配置参数丢失、网络中断、服务中断等隐患,供应商应当充分识别测评工作可能带来的风险并告知委托方,委托方应当就测评工作存在潜在风险采取必要措施进行确认后方可开展测评。
13. 2023年、2024年每年进行一次漏洞扫描的增值服务。
  • 商务要求
1.采购项目服务期限和地点
(1)服务期限:相关系统具备测评条件后30日内完成测评工作并出具测评报告(不含系统缺陷整改时间)。
(2)履约地点:采购人指定地点
2.付款方式
(1)双方签订合同后十五个工作日内,供应商提供合同总价30%的增值税专用发票,采购人办理合同总价30% 的支付手续;
(2)供应商完成本项目中所有系统测评并出具最终的《信息系统安全等级保护测评报告》对系统定级备案,提交合同总价70%的增值税专用发票,采购人收到发票后十五个工作日内,支付余下合同款的 70% 。
3.履约、验收要求与标准
采购人将严格按照政府采购相关法律法规以及《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)的要求以及采购文件的要求、供应商的响应(投标)文件及承诺与本项目合同约定标准进行验收。
六、参加报名的供应商需递交的资料及要求
()供应商需递交的资料
1.响应函(响应项目)。
2.廉洁承诺函。
3.报价单。
4.信息系统等保服务方案。
5.相同项目价格佐证材料。
6.本公司的证件,包括营业执照、税务登记证、组织机构代码证等。
7.本公司法人对业务代表的授权委托书(包含授权内容、授权期限、业务员联系电话、电子邮箱信息)、业务代表的身份证复印件。
8.国家法律法规要求供应商及产品设备应当具备的其他相关资质证明文件。
()资料要求及其他事项提醒
供应商根据所提供的产品的特点,参照“政府采购投标文件模板”制作并装订成册(封面为响应文件),一式三份;以上资料均需加盖鲜章,并按照以上顺序进行装订密封。
特别提醒:我院对此耗材暂行采购方式为院内自主采购,故响应文件封面名称为“...响应文件”,切忌写成“投标文件”。
七、报名及递交资料时间
()报名时间即日起至2023年4月26日17:30点前,逾期不予受理。
()报名方式:供应商另须将报名基本信息(项目及产品名称+供应商名称+联系人+手机号码)发送至医院采购办邮箱359046165@qq.com。
()递交资料时间:采购会前10分钟提交。
八、采购会时间和地点
院内采购会地点:遂宁市船山区妇幼保健院行政楼会议室,具体时间2023年5月9日15时。递交资料截止时间2023年5月9日14点50分。
联系人:蔡老师
联系电话:18282598985
 
 
遂宁市船山区妇幼保健院
2023年4月20日
附件:评分标准
序号 评分因素及权重 分值 评分标准 说明
1 投标报价10%(共同评分因素) 10分 经专家评审的最低有效投标报价作为评标基准价,投标报价得分=(评标基准价/投标报价)×10%×100。  
2 企业能力及信誉16%(共同评分因素) 16分 1.具有中国合格评定国家认可委员会颁发的检验机构认可证书(CNAS)的得4分,没有不得分;
2.具有中国合格评定国家认可委员会颁发的实验室认可证书(CNAS)的得4分,没有不得分;
3.具有行政主管部门颁发的检验检测机构资质认定证书(CMA)的得4分,没有不得分;
4.具有信息技术服务管理体系认证证书和信息安全管理体系认证证书的得4分,没有不得分。		 提供相关证明材料复印件并加盖供应商单位鲜章,否则不予计分。
3 人员配置36%(共同评分因素) 项目经理12% 12分 1.基本要求:具有信息(或网络)安全等级测评师(高级)证书的得基本分2分;
2. 满足基本要求的基础上还具有中国信息安全测评中心颁发的(注册信息系统审计师(CISP-A)、注册信息安全工程师(CISE)、注册渗透测试工程师(CISP-PTE)))、中国软件评测中心颁发的软件性能测试高级工程师、工业和信息化部门颁发的信息安全工程师证书的,每满足一项得2分,最多得10分。		 1.提供相关人员证书复印件及在职证明材料,并加盖供应商鲜章,否则不予计分。
2.项目经理、技术负责人、质量负责人须为不同人员,不得同一人员进行兼任,否则不予计分。
技术负责人8% 8分 1.基本要求:具有信息(或网络)安全等级测评师(中级或中级以上)证书的得基本分2分;
2.满足基本要求的基础上还具有人力资源和社会保障部门颁发的(信息系统项目管理师、信息安全工程师)、中国信息安全测评中心颁发的注册信息系统审计师(CISP-A)证书的,每满足一项得2分,最多得6分。
质量负责人8% 8分 1.基本要求:具有信息(或网络)等级测评师(初级级或初级以上)证书的得基本分2分;
2.满足基本要求的基础上还具有人力资源和社会保障部门颁发的信息系统项目管理师、软件评测师、系统规划与管理师证书的,每满足一项得2分,最多得6分。
测评工程师团队8% 8分 测评工程师团队具有人力资源和社会保障部门颁发的(信息系统项目管理师、高级工程师、软件评测师)、中国信息安全测评中心颁发的注册信息安全管理人员(CISO)证书的,每满足一项得2分,最多得8分。(一人多证、多人同证的不重复计分)
4 服务方案及能力30%(技术类评分因素) 测评方案30% 30分 供应商提供的测评服务方案应包含(①安全物理环境②安全通信网络③安全区域边界④安全计算环境⑤安全管理中心⑥安全管理制度⑦安全管理机构⑧安全管理人员⑨安全运维管理⑩安全建设管理)十项具体测评内容,方案完全满足的得30分,每有一项内容缺失扣3分,每有一项内容缺陷扣1.5分,直至本项分值扣完为止。
(“缺陷”是指:项目名称错误;服务地点与本项目不一致;服务期不满足本项目要求;内容与实际情况不符;内容与项目无关;内容表述错误;内容前后表述矛盾;内容凭空编造;逻辑漏洞;科学原理错误以及不可能实现的夸大情形;内容与项目不匹配;项目信息错误(包括时间、地点、名称等);不符合本项目涉及的相关规范或标准要求等情形。)		  
5 履约能力8% 8分 具有等级保护测评案例的,每有一个得2分,最多得8分。 提供合同复印件并加盖供应商单位鲜章,未提供不得分。