基本信息
| 项目名称 |
关于信息系统安全等级保护测评服务(基础支撑*级)的在线询价 |
| 询价单编号 |
***************** |
采购目录 |
|
项目优先级 |
非紧急 |
| 报价开始时间 |
****-**-** **:**:** |
报价截止时间 |
****-**-** **:**:** |
采购单位 |
******** |
| 采购单位联系人 |
*** |
联系方式 |
******* |
传真号码 |
|
| 预算总额(元) |
*****.** |
| 成交规则及确认方式 |
自动成交:询价单截止时间后,系统对所有参与供应商按照报价由低到高排序,以'最低报价'原则推荐出成交供应商,报价相同的以报价时间优先。 |
供应商要求
| 供应商规模要求 |
大型企业,中型企业,小型企业,微型企业 |
| 供应商资格要求 |
基本要求:符合《中华人民共和国政府采购法》第***条的规定,符合《关于规范政府采购供应商资格设定及资格审查的通知》第*条规定且已在本系统注册并通过资质初审的供应商。 |
| 供应商区域范围要求 |
浙江省 |
询价商品清单
| 商品名称 |
技术参数或配置要求 |
建议品牌及型号 |
数量 |
控制总价(元) |
| 信息系统安全等级保护测评服务(基础支撑*级) |
主要参数:技术要求
1.依据标准投标方应依据国家等级保护相关标准开展工作,依据标准包括但不限于如下国家标准:
GB/T 22239-2008 信息安全技术 信息系统安全等级保护基本要求 GB/T 22240-2008 信息安全技术 信息系统安全等级保护定级指南
信息安全技术信息系统安全等级保护实施指南
信息系统安全等级保护测评要求
2.安全技术测评:包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评;
安全管理测评:安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全测评;
3.技术服务要求
测评应满足的原则
投标方应严格依照下述原则和国家等级保护相关标准开展项目实施工作。
保密性原则:对测评的过程数据和结果数据严格保密,未经授权不得泄露给任何单位和个人,不得利用此数据进行任何侵害用户的行为,否则用户方有权追究投标方的责任。
标准性原则:测评方案的设计与实施应依据国家等级保护的相关标准进行。
规范性原则:项目实施过程和文档,具体良好的规范性,便于项目的跟踪和控制。
完整性原则:测评的范围和内容应当完整全面,符合国家等级保护相关要求涉及的各个层面。
最小影响原则:项目实施应尽可能小的影响系统正常运行,不能对现有系统的正常运行产生显著影响。
4.等级保护测评要求
1)投标方应详细描述本次等级保护测评的整体实施方案,包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。
2)投标方应详细描述测评人员的组成、资质及各自职责的划分。投标方应配置有经验的测评人员进行本次等级保护测评工作。 3)本次等级保护测评实施过程中所使用到的各种工具软件由投标方推荐,经招标方确认后由投标方提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具(软硬件型号、功能和性能描述)、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。
4)对于在测评过程中采用的测评方法、测评所使用的工具、测评所覆盖的各方面,需要符合信息安全等级保护主管部门要求。
5)安全测评工具软件运行可能需要的硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等由投标方推荐,经招标方确认后由投标方提供并在测评中使用。
6)安全测评需要的运行环境(如场地、网络环境等)由招标方提供,投标方应详细描述需要的运行环境的具体要求。
7)项目完成后必须提交完整的技术文档、测评报告、整改建议等,并负责对相关人员进行培训。
8)考虑到测评工作的重要性,为了确保项目的顺利实施,建议中标人指派的测评项目负责人有8年以上的测评工作经验,并参与过大型复杂测评项目的实施;同时具有高级测评师证书、高级信息系统项目管理师、高级网络攻防技术与信息安全应急响应、注册信息安全工程师CISP、高校兼职专业带头人相关证书。 9)考虑到测评工作的重要性,为了确保项目的顺利实施,建议中标人指派的项目技术负责人有5年以上的测评工作经验的中级测评师,同时具有注册信息安全专业人员(CISP)、云计算安全证书(CIIP-A)、信息系统项目管理师(高级)、国家专业技术人才知识更新工程培训证书。
5.项目实施要求
1)合同签署后2个月内完成;如中标方未按要求完成,招标方则报浙江省公安部门,要求给予相应的处罚,并报财政监管办备案,申请限制其在一定的时期内参加类似的项目投标,中标方赔偿由此给招标方带来的一切损失;
2)投标方必须完成信息系统安全等级保护测评服务并获得公安机关盖章的备案(复评)证明;
3)投标方在项目实施过程中应服从招标方的统一领导和协调,招标方有权裁决投标方的责任范围,投标方必须执行,在招标方限定的时间内解决问题。如果投标方不能按时完成评估内容,招标方有权中止项目、索赔或拒付款项;
4)投标方需根据自己的工程实施经验结合招标方的实际需求进一步细化和完善工作任务书,作为工程实施的指导性文件;
5)投标方应根据招标方工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划,对工程目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明,以确保工程实施按时保质的完成;
6)投标方应负责配合招标方制定相关验收标准,并完成工程实施等验收工作;
7)在整改过程中,如需现场服务,投标方技术人员应赶到现场协助处理;
8)项目最终验收完成后,要求提供至少二年的技术咨询服务,以保证项目正常运行;
9)投标方须对信息系统安全漏洞扫描服务,并结合机构实际的需求提供详实的安全漏洞扫描报告和贰年四次的上门巡检服务。
6.测评报告要求
投标方应对招标方的各个信息系统进行等级保护测评,形成相应的报告。
1、投标方在测评完成后,出具符合信息安全等级保护主管部门要求的信息系统安全等级保护测评符合性报告;
2、对不符合信息安全等级保护有关管理规范和技术标准的,投标方出具可行的信息系统整改建议,并指导用户方完成整改;
3、投标方协助用户方办理信息系统安全等级保护备案手续等相关工作。
7.信息系统安全漏洞扫描服务内容要求
根据衢州地区医疗行业现有的网络安全漏洞的风险级别,针对不同漏洞选择针对性的网络安全解决方案,解决现有的网络安全问题。完善业务信息网络安全系统,控制由于系统漏洞、病毒、黑客攻击等原因引起的重大网络危害。
(一)漏洞扫描审计对象及内容
漏洞扫描审计软硬件及网络环境等,对各系统的物理安全、网络(含)安全设备、服务器系统及应用(含数据库、中间件)系统进行漏洞审计。
服务具体内容:
威胁识别
(1)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制等多个方面进行网络威胁识别;
(2)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护等多方面进行系统威胁识别;
(3)从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别;
脆弱性识别
(1)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系统脆弱性识别;
(2)从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别;
(3)从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计安全、日常运维等多个方面进行应用脆弱性;
风险分析
(1)根据收集的用户数据进行分析,评估要素关系映射;
(2)根据评估要素关系进行风险值计算
(3)形成风险评估报告;
(4)针对风险评估报告的解决方案;
系统安全加固服务
依据评估结果,和甲方共同制定系统安全加固实施方案,依据方案实施操作系统安全加固,并输出完整的系统加固实施记录。
(二)安全服务项目内容及要求
1.运行维护安全服务
应急响应
服务周期:服务期内免费提供应急响应服务
中标公司为用户突发事件提供7×24小时技术支持,对于客户的安全咨询提供5×24小时的专人电话服务,对于突发的网络安全事故,公司需在4小时内到达现场。服务内容包括对意外事故的处理、非法入侵的处理和调查恢复、网络攻击的应急防护等。对服务器提供现场安全维护和工作时间安全维护服务。经维护服务发现故障设备损坏时,要向我信息中心相关技术人员详细说明设备损坏的原因及程度,并提供最佳的解决方案,损坏件更换完毕后,协助我方将有关设备恢复到原来的运行状态。每次维护均要有记录,年度末提供年度汇总报告。
安全分析服务
中标公司通过邮件或传真方式向我方提供安全通告邮件列表,实时提供最新出现的安全漏洞和安全升级通告。对于影响力大的计算机病毒提供具体的检测和修复办法。
分析报告应提供简明概要的分析文档以及完整扫描数据的离线文档;对于离线文档应提供以HTML网页或WORD文档的多种形式报表;尤其是在HTML网页报表中应以方便查阅为主,网页报表中应具备引导或向导菜单,基于WEB2.0的规范设计报表,使相应系统的管理人员可以快速、方便的对漏洞进行一个细致的了解和明确漏洞的严重性和危害的等级。
漏洞分析数据应提供中文报表形式。
可对高危漏洞风险的对服务器、工作站的操作系统、网络设备、备份设备、应用程序的主要设备提供单独的分析报表,并提供相应的解决方案措施和建议。
安全检测服务
服务周期:一年出具二次安全报告。
服务范围:
对网络安全进行全面的评估检测,包括工具扫描及手工检测等,对服务器、路由器、安全设备、数据备份设备、软件等的安全日志进行分析检测,提出系统加固建议以及相关的应急措施。
服务内容:
平台安全评估检测:对服务器、工作站的操作系统、网络设备、备份设备、应用程序的安全性进行评估检测并对安全隐患和脆弱性进行修复。
安全产品审计和升级:对安全产品(防火墙、入侵检测系统、防病毒系统、数据备份系统等)的日志进行审计,对出现的安全隐患提出解决建议,对在免费升级维护期内的产品提供升级服务。 服务目标:
全面给出相应的安全隐患和脆弱性报告,以及安全性整改建议。使客户对系统安全性状况和整体安全状况有全面具体的了解,保护用户不遭受新的安全性威胁带来的损失,保护安全与性能的平衡。达到以下目标:
及时提供操作系统安全漏洞信息,并协助作出相应处理或给予建议解决方案
及时发现系统配置漏洞,并协助作出相应处理或给予建议解决方案
及时通报应用软件安全漏洞,并协助作出相应处理或给予建议解决方案
及时通报WEB应用层(门户网站)安全漏洞,并协助作出相应处理预案或给予建设性方案
2.安全顾问服务
总体规划咨询服务
提出信息系统安全防护对策,协助招标人进行信息系统安全体系建设,制定安全方案,保证信息系统的安全运行;对系统集成项目、应用软件集成项目、安全集成项目等进行安全方案咨询服务,并负责安全性审查和实施过程的全面监控。 付款方式:
乙方出具《信息系统等级测评报告》,取得《信息系统安全等级保护测评复评证明》后,甲方在60个工作日内支付合同额100%。
次要参数:
|
|
1套 |
*****.** |
收货信息
| 送货方式 |
送货上门 |
送货时间 |
工作日**:**至**:** |
送货期限 |
合同生效后7个工作日内 |
| 送货地址 |
浙江省 衢州市 柯城区 新新街道 *汇路***号********住院楼1楼
|
| 备注 |
|
商务要求
| 商务要求 |
1、最低价成交
2、见采购文件合同文本,采购文件未提供合同文本的执行政采云系统政府采购格式合同。
3、(1)符合《中华人民共和国政府采购法》第二十二条规定;
(2)投标人应具备投标产品的经营资质;投标医疗器械产品须具备医疗器械经营许可证(备案证)
(3)本项目不接受联合体投标。
4、中标方出具《信息系统等级测评报告》,取得《信息系统安全等级保护测评复评证明》后,采购人在**个工作日内支付合同额***%。
5、无
6、在项目验收完成后提供≥1年的免费维保服务。提供7×**小时技术支持服务。免费运行维护服务内,对招标人反映的任何问题响应时限为2小时内,如需现场维护,响应服务4小时内,特殊情况在**小时内无法修复的,须提供备用方案,保证项目的稳定运行。同时需满足采购需求明细中的售后服务要求。
7、1、中标人应免费为招标人提供系统的操作、使用及维护的技术培训服务。投标人应将所有培训费用(含培训教材费)计入投标总价。
2、培训目标:通过培训,使项目所涉及设备(软件)使用人员和工程人员能全面了解整个系统,能顺利开展工作,确保整个系统安全可靠的运行,达到最大效益,也能促进系统使用人员增强维护和使用系统的技能。
3、培训方式:授课+现场操作应用指导。
4、培训资料:向用户提供整个应用系统的技术说明、操作说明和相关的文档;提供多种培训课程和技术知识讲座资料;详细的培训计划安排表等。
5、所有的培训费用必须计入投标总价。
8、1、安装地点:衢州市妇幼保健院指定地点。
2、安装完成时间:合同签订后,接到招标人通知30天内完成安装调试。投入试运行后,经相关培训后组织验收。经验收合格,正式交付使用。验收不合格的,进行退货处理,所有费用均由中标人承担。
3、安装标准:符合我国国家有关技术规范要求和技术标准。
4、安装调试过程中发生的费用由投标商负责。
5、在项目实施过程中,向医院提供齐全的电子版和书面的操作说明等文档。
9、1、投标人应提供项目相关软件、设备的有效验收文件(电子版及纸质版使用说明书、安装、调试、维护、操作手册,电器原理图和电器接线图(如有)),经招标人认可后,作为验收标准。招标人对项目验收合格后,双方共同签署验收合格报告。验收中发现软件、设备达不到验收标准或合同规定的性能指标,中标人必须修改相应内容,以满足招标人需求。
2、验收费用由中标人负责。
**、投标人投标的产品须为成套和完整的、全新出厂且符合国家质量标准及企业出产标准的合格产品。投标人所投的产品的软件(如有)须为正版软件。
**、提供医疗器械产品注册证(如需)。
**、招标文件中提供的参考商标、品牌或标准(包括工艺、材料、设备、样本目录号码、标准等),是采购人为了方便投标供应商更准确、更清楚了解拟采购货物的技术规格和标准,并无限制性,投标供应商在投标中若选用替代商标、品牌或标准的,应优于或相当于参考商标、品牌或标准,且须得到招标人的认可。
|
成交结果信息
| 中标供应商 |
************ |
成交总价(元) |
*****.** |
报价时间 |
****-**-** **:**:** |
| 序号 |
商品名称 |
品牌 |
型号 |
数量 |
单价(元) |
| 1 |
信息系统安全等级保护测评服务(基础支撑*级) |
0 |
0 |
1 |
*****.** |
参与报价供应商情况
| 序号 |
供应商名称 |
报价时间 |
| 1 |
************ |
****-**-** **:**:** |
| 2 |
浙江安远检测技术有限公司 |
****-**-** **:**:** |
| 3 |
杭州安信检测技术有限公司 |
****-**-** **:**:** |
| 4 |
浙江鑫诺检测技术有限公司 |
****-**-** **:**:** |
