梧州市工人医院信息系统等保测评和密评服务采购公告
梧州市工人医院信息系统等保测评和密评服务采购公告 一、采购项目: 1 项目名称:梧州市工人医院信息系统等保测评和密评服务
梧州市工人医院信息系统等保测评和密评服务采购公告
一、采购项目:
1.项目名称:梧州市工人医院信息系统等保测评和密评服务
2.服务要求:
(1)依照《信息安全技术--信息系统安全等级保护基本要求》(GB/T 22239-2019)、《信息系统安全等级保护测评准则》要求,对我院的两个网络安全等保三级系统(医院信息一体化与集成平台系统、互联网医院系统)开展三级等保测评服务,指导采购人制定整改方案和开展整改,并逐一出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。
(2)依据《中华人民共和国密码法》要求和系统自身的安全需求分析,对采购人的互联网医院系统开展商用密码应用安全性评估服务,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。
3.测评依据
(1)网络测评依据标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
(2)密评依据标准:
GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》
GM/T 0115—2021《信息系统密码应用测评要求》
GM/T 0116—2021《信息系统密码应用测评过程指南》
《商用密码应用安全性评估测评作业指导书(试行)》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
4.测评要求
五、评审时间及地点(投标人无需到现场):
1.评审时间:院内自行安排。
(1)依照《信息安全技术--信息系统安全等级保护基本要求》(GB/T 22239-2019)、《信息系统安全等级保护测评准则》要求,对我院的两个网络安全等保三级系统(医院信息一体化与集成平台系统、互联网医院系统)开展三级等保测评服务,指导采购人制定整改方案和开展整改,并逐一出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告。
(2)依据《中华人民共和国密码法》要求和系统自身的安全需求分析,对采购人的互联网医院系统开展商用密码应用安全性评估服务,为重要网络和信息系统的密码安全提供科学评价,逐步规范网络运营者的密码使用和管理行为。
3.测评依据
(1)网络测评依据标准:
《计算机信息系统安全保护等级划分准则》(GB 17859-1999)
《信息安全等级保护管理办法》(公通字[2007]43号)
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020)
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018)
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019)
《信息安全技术 网络安全等级保护测试评估技术指南》(GB/T 36627-2018)
(2)密评依据标准:
GB/T 39786—2021《信息安全技术 信息系统密码应用基本要求》
GM/T 0115—2021《信息系统密码应用测评要求》
GM/T 0116—2021《信息系统密码应用测评过程指南》
《商用密码应用安全性评估测评作业指导书(试行)》
《信息系统密码应用高风险判定指引》
《商用密码应用安全性评估量化评估规则》
4.测评要求
| 网络测评 |
| 1.1安全通用要求:安全通用要求测评内容应包括安全技术和安全管理两大类,其中技术类应包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心五个方面的测评,安全管理类测评应包括对安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理五个方面的测评。 |
| 1.2安全扩展要求:应用了不同新技术的安全保护对象处于不同的应用场景中,面临不同的安全威胁,因此会有不同的安全需求,该保护对象涉及的安全扩展要求包括: |
| 1.2.1云计算安全测评内容包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全建设管理、安全运维管理等的测评。 |
| 1.2.2移动互联安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全建设管理、安全运维管理等的测评。 |
| 1.2.3物联网安全测评内容包括对安全物理环境、安全区域边界、安全计算环境、安全运维管理等的测评。 |
| 1.2.4工业控制系统安全测评包括对安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全建设管理方面的测评。 |
| 1.2.5大数据安全测评包括对安全物理环境、安全通信网络、安全计算环境、安全运维管理等的测评。 |
| 1.3 测评方法 |
| 1.3.1在测评实施过程中,应采用访谈、检查和测试、渗透测试等测评方法进行,并与国家相关规范及标准的要求相符。 |
| 1.3.2访谈是指测评人员通过引导信息系统相关人员进行有目的的(有针对性的)交流以帮助测评人员理解、分析或取得证据的过程; |
| 1.3.3检查是指测评人员通过对测评对象(如管理制度、操作记录、安全配置等)进行观察、查验、分析以帮助测评人员理解、分析或取得证据的过程; |
| 1.3.4测试是测评人员使用预定的方法/工具使测评对象产生特定的行为,通过查看和分析结果以帮助测评人员获取证据的过程; |
| 1.3.5 渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法; |
| 1.3.6渗透测试是模拟黑客的攻击方法,对受保护对象的应用系统、主机、网络进行攻击,从而验证测评对象的弱点、技术缺陷或漏洞的一种评估方法。 |
| 密码测评 |
| 1.通用要求测评:核查信息系统中使用的密码算法、密码技术、密码产品和密码服务是否满足国家密码管理的相关标准或规范要求。 |
| 2.密码技术应用要求测评:具体包括物理和环境安全测评、网络和通信安全测评、设备和计算安全测评、应用和数据安全测评,验证不同安全等级信息系统的密码应用是否达到相应安全等级的安全保护能力、是否满足相应安全等级的保护要求。 |
| 2.1物理和环境安全测评:针对物理和环境安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 2.2网络和通信安全测评:针对“身份鉴别”、“通信数据完整性”、“敏感信息或通信报文机密性”、“网络边界访问控制信息完整性”、“安全接入认证”等网络和通信安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 2.3设备和计算安全测评:针对“身份鉴别”、“安全信息传输通道”、“系统资源访问控制信息完整性”、“重要信息资源安全标记完整性”、“日志记录完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”等设备和计算安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 2.4应用和数据安全测评:针对“身份鉴别”、“访问控制信息完整性”、“重要信息资源安全标记完整性”、“重要数据传输机密性”、“重要数据存储机密性”、“重要数据传输完整性”、“重要数据存储完整性”、“数据原发行为不可否认性”等应用和数据安全方面采取的密码保障措施进行各项测评,详细记录现场测评情况(如访谈记录、配置截图、抓包分析截图、产品照片等),完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 3.安全管理测评:从制度、人员、实施和应急四个方面进行安全管理测评,验证信息系统安全管理机制是否完善,是否能够确保密码技术被合规、正确、有效地实施。 |
| 3.1制度测评:针对“制定密码应用安全管理制度”、“制定密钥管理规则”、“建立操作规程”、“定期修订安全管理制度”、“明确管理制度发布流程”等制度方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 3.2人员测评:针对“了解并遵守密码相关法律法规和密码管理制度”、“建立密码应用岗位责任制度”、“建立岗位责任制度”、“建立上岗人员培训制度”、“定期进行安全岗位人员考核”、“建立关键岗位人员保密制度和调离制度”等人员方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 3.3实施测评:针对“制定密码应用方案”、“制定密钥安全管理策略”、“制定实施方案”、“投入运行前进行密码应用安全性评估”、“定期开展密码应用安全性评估及攻防对抗演习”等实施方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 3.4应急测评:针对“应急措施”、“事件处置”、“向有关主管部门上报处置情况” 等应急方面采取的管理措施进行各项测评,详细记录现场测评情况,完成单项及单元测评结果判定。测评结果由采购人确认。 |
| 4.整体测评与风险评估:对系统进行整体安全测评,并依据《商用密码应用安全性评估量化评估规则》,对信息系统的密码应用情况给出定量评估结果。依据《信息系统密码应用高风险判定指引》判断系统是否存在高风险并分析相关风险可能对信息系统安全造成的影响,提交整体测评与风险评估结果。 |
5.交付成果(验收):
(1)测评完成后,出具一式三份符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
(2)测评完成后,基于测评结果,对系统出具符合国家密码管理局要求的商用密码应用安全性评估报告3份,并协助采购人完成密评报告在广西壮族自治区密码管理局的备案工作。
5.项目采购控制价(人民币含税):贰拾壹万柒仟壹佰玖拾捌元整(¥217198元)。
6.竞标形式:院内竞争性磋商。
7.付款方式:本项目采用分期付款方式结算。首期款:签订合同后,采购人支付30%合同款至成交商指定对公银行帐户。二期款:出具测评报告,协助采购人完成测评相关报备手续,验收合格,成交商开立发票(发票类型根据采购人要求提供)和付款申请给采购人,采购人收到前述资料后的10个工作日内支付70%合同款至成交商指定对公银行帐户。因成交商未向采购人提供发票致使采购人迟延付款的,采购人不承担违约责任。
二、资质要求:
1.满足《中华人民共和国政府采购法》第二十二条规定的条件。
(1)测评完成后,出具一式三份符合等保2.0相关技术标准要求、国家网络安全等级保护管理部门规范要求且公安机关认可的的网络安全等级保护测评报告。
(2)测评完成后,基于测评结果,对系统出具符合国家密码管理局要求的商用密码应用安全性评估报告3份,并协助采购人完成密评报告在广西壮族自治区密码管理局的备案工作。
5.项目采购控制价(人民币含税):贰拾壹万柒仟壹佰玖拾捌元整(¥217198元)。
6.竞标形式:院内竞争性磋商。
7.付款方式:本项目采用分期付款方式结算。首期款:签订合同后,采购人支付30%合同款至成交商指定对公银行帐户。二期款:出具测评报告,协助采购人完成测评相关报备手续,验收合格,成交商开立发票(发票类型根据采购人要求提供)和付款申请给采购人,采购人收到前述资料后的10个工作日内支付70%合同款至成交商指定对公银行帐户。因成交商未向采购人提供发票致使采购人迟延付款的,采购人不承担违约责任。
二、资质要求:
1.满足《中华人民共和国政府采购法》第二十二条规定的条件。
2.国内注册(指按国家有关规定要求注册的),生产或经营技术性能达到本次采购服务要求,且具备法人资格的参选单位。
3.本项目不接受联合体参选,且入选后不得转包、分包。
4.法定代表人为同一人的两个及两个以上法人,母公司、全资子公司及其控股公司,不得在本项目招标中同时参加。
5.没有在“信用中国”网站(http://www.creditchina.gov.cn)、中国政府采购网(http://www.ccgp.gov.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
6.应标商或授权应标商的测评机构具备《网络安全等级测评与检测评估机构服务认证证书》。
7.应标商或授权应标商的测评机构具备《商用密码检测机构资质证书》。
三、响应文件递交及内容要求:
1.递交响应文件时间:截止至2025年12月15日11时,逾期递交的响应文件不受理。
3.本项目不接受联合体参选,且入选后不得转包、分包。
4.法定代表人为同一人的两个及两个以上法人,母公司、全资子公司及其控股公司,不得在本项目招标中同时参加。
5.没有在“信用中国”网站(http://www.creditchina.gov.cn)、中国政府采购网(http://www.ccgp.gov.cn)等渠道列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
6.应标商或授权应标商的测评机构具备《网络安全等级测评与检测评估机构服务认证证书》。
7.应标商或授权应标商的测评机构具备《商用密码检测机构资质证书》。
三、响应文件递交及内容要求:
1.递交响应文件时间:截止至2025年12月15日11时,逾期递交的响应文件不受理。
2.递交响应文件地点:梧州市工人医院工勤楼7楼招标与采购办公室。
3.响应文件要求(均加盖红色公章):
(1)本项目总报价单,报价包括实施本项目所需的所有费用,包括但不限于软件及硬件部署使用、人工费、交通费、食宿费、服务费、管理费、税金等本项目服务过程所发生的所有费用以及相关文件规定及合同包含的所有风险、责任等各项应有费用,请参选单位自行考虑报价。(不得超过本项目采购控制价,否则作无效报价处理)。
(2)本项目的联系方式,包括但不限于联系人、电话、电子邮箱。
(3)资格证明文件(必须提供):
①法定代表人(或负责人)身份证明书(自然人提供身份证有效期内的正反面复印件)。
②法定代表人(或负责人或自然人)授权委托书,委托代理人身份证明书(自然人提供身份证有效期内的正反面复印件)。若为法定代表人(或负责人或自然人)直接参加,本项内容可不提供。
③参选单位有效的主体资格证明复印件。(如是企业、个体工商户,提供在工商部门核发的有效营业执照正本或副本复印件;如是事业单位,提供有效的事业单位法人证书;如非企业专业服务机构的,提供有效的执业许可证等证明文件复印件。)
④截标前6个月内,任意1个月参选单位依法缴纳税(税款所属时间)或者无欠税证明复印件。无纳税记录的,应提供免税说明、由参选单位所在地主管税务部门出具的《依法纳税或依法免税证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑤截标前6个月内,任意1个月参选单位依法缴纳社会保险证明材料复印件,无缴费记录的,应提供由参选单位所在地社保部门出具的《依法缴纳或依法免缴社保费证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑥截标前6个月内,任意1个月参选单位财务报表复印件或银行出具的有效期内资信证明。或提供上一年度会计师事务所出具的审计报告。参选单位属于成立时间在规定年度之后的法人或其他组织,需提供成立之日起至响应文件提交截止时间前的月报表或银行出具的资信证明。
4.商务技术文件:
(1)售后服务承诺书。
(2)参选单位认为需要提供的其他有关资料。
5.其他要求:外包装袋填写项目名称、应标单位、联系方式。参选文件按响应文件要求项目排序装订成册,响应文件一式三份(1正、2副本)。所有文件均应加盖公章装订成册后包装,并在封口处加盖公章后递交(报名材料递交后不退)。文件无加盖公章、未装订成册或密封不符合要求的作无效投标处理。
四、评审形式:综合评分
对进入详评的,采用百分制综合评分法。
3.响应文件要求(均加盖红色公章):
(1)本项目总报价单,报价包括实施本项目所需的所有费用,包括但不限于软件及硬件部署使用、人工费、交通费、食宿费、服务费、管理费、税金等本项目服务过程所发生的所有费用以及相关文件规定及合同包含的所有风险、责任等各项应有费用,请参选单位自行考虑报价。(不得超过本项目采购控制价,否则作无效报价处理)。
(2)本项目的联系方式,包括但不限于联系人、电话、电子邮箱。
(3)资格证明文件(必须提供):
①法定代表人(或负责人)身份证明书(自然人提供身份证有效期内的正反面复印件)。
②法定代表人(或负责人或自然人)授权委托书,委托代理人身份证明书(自然人提供身份证有效期内的正反面复印件)。若为法定代表人(或负责人或自然人)直接参加,本项内容可不提供。
③参选单位有效的主体资格证明复印件。(如是企业、个体工商户,提供在工商部门核发的有效营业执照正本或副本复印件;如是事业单位,提供有效的事业单位法人证书;如非企业专业服务机构的,提供有效的执业许可证等证明文件复印件。)
④截标前6个月内,任意1个月参选单位依法缴纳税(税款所属时间)或者无欠税证明复印件。无纳税记录的,应提供免税说明、由参选单位所在地主管税务部门出具的《依法纳税或依法免税证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑤截标前6个月内,任意1个月参选单位依法缴纳社会保险证明材料复印件,无缴费记录的,应提供由参选单位所在地社保部门出具的《依法缴纳或依法免缴社保费证明》复印件,若为截标日期前1个月新成立单位的,请根据实际情况提供。
⑥截标前6个月内,任意1个月参选单位财务报表复印件或银行出具的有效期内资信证明。或提供上一年度会计师事务所出具的审计报告。参选单位属于成立时间在规定年度之后的法人或其他组织,需提供成立之日起至响应文件提交截止时间前的月报表或银行出具的资信证明。
4.商务技术文件:
(1)售后服务承诺书。
(2)参选单位认为需要提供的其他有关资料。
5.其他要求:外包装袋填写项目名称、应标单位、联系方式。参选文件按响应文件要求项目排序装订成册,响应文件一式三份(1正、2副本)。所有文件均应加盖公章装订成册后包装,并在封口处加盖公章后递交(报名材料递交后不退)。文件无加盖公章、未装订成册或密封不符合要求的作无效投标处理。
四、评审形式:综合评分
对进入详评的,采用百分制综合评分法。
| 序号 | 项目分值 | 评分标准 |
| 1 | 价格分 (满分30分) |
(1)价格分应当采用低价先法计算,即满足投标文件要求且投标价格最低的投标报价为评审基价,其价格分为满分。其他投标人的价格分统一按照下列公示计算:投标报价得分=(评审基准价/投标报价)×30 (2)按照《政府采购促进中小企业发展管理办法》(财库〔2020〕46号)的规定,参选单位认定为小型或微型企业且所提供的产品均为小型、微型企业产品的(必须提供中小企业声明函,否则不予以认定),对最终报价给予10%的扣除,扣除后的价格为评审价即评审价=最终报价X(1-10%);除上述情况外,评审价=最终报价。 (3)根据《关于政府采购支持监狱企业发展有关问题的通知%财库[2014]68号)关于我区政府采购支持监狱企业发展有关问题的通知》(桂财采[2018]24号)的规定,监狱企业视同小型、微型企业,享受小型、微型企业评审中价格扣除的政府采购政策。必须提供相关证明文件,否则不予以认定)。 (4)根据《三部门联合发布关于促进残疾人就业政府采购政策的通知》(财库[2017]141号)的规定,残疾人福利性单位视同小型微型企业,享受小型、微型企业评审中价格扣除的政府采购政策。必须提供残疾人福利性单位声明函,否则不予以认定)。 |
| 2 | 网络测评技术分 (满分14分) |
根据响应情况,对一、采购项目:4.网络测评所有项目(共14项)满足技术指标要求得14分; 负偏离或漏项的每一项扣1分,直至扣完为止。 |
| 3 | 密码测评技术分 (满分12分) |
根据响应情况,对一、采购项目:6.密码测评所有项目(共12项)满足技术指标要求得12分; 负偏离或漏项的每一项扣1分,直至扣完为止。 |
| 4 | 实施方案 (满分20分) |
评委根据对供应商的实施方案从项目实施管理方案、进度安排方案、项目实施人员配置、质量保证措施的符合度方面评价。 一档(1-4分):包含项目实施管理方案、进度安排方案、项目实施人员配置、质量保证措施,有简要的实施计划,对项目的了解情况粗略,内容中没有明显错误,方案总体仅符合采购文件要求。 二档(5-12分):内容较为完善、可行,实施计划较为详细对项目的了解情况较好,细节安排合理,方案总体符合采购文件要求。 三档(13-20分):满足二档的基础上,内容完备、合理、科学,充分满足本项目需求,时间节点明确合理、描述详细、完整,可操作性强,实施工作计划、实施准备和成果目标表述详细,详细描述了服务项目的内容以及实现方式。描述具体详细,完全满足项目的需要,方案可行且具有先进、科学合理性,有明确的项目进度和质量保证措施。 |
| 5 | 检测人员配置 (满分11分) |
1.应标商或授权应标商的测评机构服务本项目负责人为高级等保测评师,得6分。 2.应标商或授权应标商的测评机构服务本项目团队成员,具有“中级等保测评师、CISP证书、CISAW证书、密评助理工程师、CCRC数据安全官证书”证书的,每提供一名得1分,最高得5分。注:资质证书证件复印件和最新等级保护网注册测评师截图及相关证明文件。 |
| 6 | 企业信誉 (满分8分) |
应标商或授权应标商的测评机构具备以下认证证书 1.ISO9001质量管理体系认证证书,得2分; 2.ISO27001信息安全管理体系认证证书,得2分; 3.ISO20000信息技术服务管理体系认证证书,得2分; 4.ITSS信息技术服务标准符合性证书,得2分。 注:响应文件中提供相关证书复印件并加盖供应商公章,不提供不得分。 |
| 7 | 业绩分 (满分5分) |
应标商或授权应标商的测评机构提供近3年以来服务医疗行业同类项目的业绩合同,备注:须提供合同关键页(包含:签约时间、项目名称、合同金额、设备清单、双方盖章)复印件作为证明资料,业绩时间以合同签订时间为准。每提供一份得2.5分,本项最高得5分。 |
五、评审时间及地点(投标人无需到现场):
1.评审时间:院内自行安排。
2.评审地点:梧州市工人医院会议室。
3.特别说明:投标人应对本次招标如遇不可预计因素(如会议冲突等)导致评审时间及地点的适当变更表示理解。
六、评审结果及通知:
评审结果在梧州市工人医院官网(http://www.gr-hospital.com/)公布。
七、联系方式:广西梧州市万秀区高地路南三巷1号,梧州市工人医院工勤楼7楼招标与采购办公室0774-2030686。
梧州市工人医院
2025年12月5日
3.特别说明:投标人应对本次招标如遇不可预计因素(如会议冲突等)导致评审时间及地点的适当变更表示理解。
六、评审结果及通知:
评审结果在梧州市工人医院官网(http://www.gr-hospital.com/)公布。
七、联系方式:广西梧州市万秀区高地路南三巷1号,梧州市工人医院工勤楼7楼招标与采购办公室0774-2030686。
梧州市工人医院
2025年12月5日
相关热词搜索:
上一篇:梧州市工人医院胰岛素泵采购终止公告
下一篇:梧州市工人医院财务系统升级服务采购公告