第三章项目需求和质量标准采购清单、技术规格参数、质量标准和要求

第三章项目需求和质量标准

一、采购清单、技术规格参数、质量标准和要求（—采购需求.

1.本项目对医院信息系统需进行三级等保测评，遴选一家成交供应商提供建设整改服务并邀请等级测评机构进行测评，直至测评机构向采购人出具最终的测评通过报告

2.服务地点广西壮族自治区桂东人民医院

3.服务期限合同签订至测评机构向采购人出具最终的测评通过报告止4•本项目预算总金额¥

140000.00元整（大写壹拾肆万元整）

（二）技术规格参数

一、项目要求及技术要求项号服务名称技术及人员要求

一、整体测评服务范围本项目需要进行3级等保测评的系统为《广西壮族自治区桂东人民医院信息系统》

二、总体要求根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评准则》等相关规定，对采购单位上述信息系统进行初步评估，进行信息安全等级保护建设（信息安全等级保护3级）和整改，直至采购人的业务系统最终顺利通过信息系统等级保护3级测评

三、提供信息安全等级保护整改及相关服务

1.整改内容包含物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复、机房物理环境整改；

2.协助采购人建立和完善信息安全管理制度，初步建立信息安全管理体系；等保建设整

3.指派专业人员对客户内外网进行检测，对信息系统在确保业务不间断的情况下进行1改服务安全检测，提供信息系统安全巡检汇报，使客户相关人员能够实时掌控信息系统的安全状况对设备安全巡检，及时发现并消除网络故障和安全隐患，保障客户网络和系统处于健康、安全的状态，确保相关业务持续运行；

4.指派具有丰富经验的安全服务人员定期对应用系统、操作系统、网设备及安全设备的安全日志、安全告警等进行检查，分析安全事件及其关联，查找攻击者的攻击目标和路径，如果发现问题及时与客户进行沟通，并提出解决方案和建议；

5.需对信息系统进行安全网络信息搜集、端口扫描、远程溢出、口令猜测、本地溢出、脚本测试、渗透测试；

6.在服务期内提供专业等级保护咨询与规划、安全应急、样本分析、安全意识培训等，详见其他要求；

7.为保证服务质量，竞价人需具备自动化渗透测试工具完成等保建设整改服务，辅助测试工具至少具备相关功能如下

7.1为了贯穿整个渗透过程的操作，至少包括信息收集、插件管理、指纹管理、漏洞发现、漏洞利用、后渗透攻击模块；

7.2可以根据可编程平台提供的接口编写自己的攻击插件，实现自定义的攻击需求；

7.3可利用http协议、DNS协议等远程获取外带数据；可通过内置的方法反弹交互shell到平台，执行vim、交互执行操作等功能

8.协助测评服务

8.1撰写定级报告通过以上调查与分析，撰写系统定级报告，包括系统描述、业务信息安全保护等级的确定、系统服务安全保护等级的确定、整个系统安全保护等级的确定等

8.2协助定级备案协助采购人完成系统安全等级保护备案表的填写；协助采购人组织召开系统定级结果评审会，协助采购人完成整个定级审批过程

8.3协助采购人通过等保测评

一、基本要求

1.对采购人信息系统进行提供测评服务，通过等保测评信息安全等级保护3级，签订合同时必须按采购人要求签署相关保密协议，严格遵守协议要求；

2.依据《信息安全等级保护管理办法》公通字

[2007]43号和《信息安全等级保护定级指南》GB/T22240-2020提供对采购人开展信息系统定级和备案工作，并协助采购人编写和提交符合公安管理部门规范要求的定级报告和备案表，以获得公安机关颁发的信息系统安全等级备案证明；

3.依据《信息系统安全等级保护基本要求》GB/T22239-2019提供对采购人安全等级测评工作，在项目终验前完成正式等级测评，并出具符合国家信息安全等级保护管理部门规范要求、公安机关认可的信息系统安全等级测评报告信息系统等2

二、测评机构资质要求保测评服务信息系统等保测评服务必须委托给具备以下条件的测评机构进行测评1提供测评机构由国家网络安全等级保护工作协调小组办公室颁发的《网络安全等级保护测评机构推荐证书》；注响应文件中必须提供委托的测试机构相关资质等证明材料复印件，并加盖测评机构公章及竞价人公章

三、测评机构人员要求

1.以上测评机构的测评人员必须具备公安部信息安全等级保护评估中心颁发的《信息安全等级测评师证书》

四、测评主要内容

1.上述信息系统的安全等级测评内容应包括技术和管理两大类技术类物理安全、网络安全、主机安全、应用安全和数据安全及备份恢复等方面的测评管理类测评应包括对机构安全管理机构、人员安全管理、安全管理制度、系统建设管理和系统运维管理等方面的测评，并提出安全建设整改建议；

2.对信息系统进行安全漏洞检测和挖掘，检测例如缓冲区溢出、SQL注入和跨站脚本等常见安全漏洞，并提供漏洞修补建议及时采取适当的处理措施进行修补，有效阻止安全隐患被利用和发生安全事件；

3.响应文件中必须提供专业的等级保护测评方案（由具备等级保护测评资质的测评机构出具）

五、测评方法在等级保护测评过程中，应采用访谈、检查、测试、工具扫描等国际国内认可的先进方法和手段进行，并与国家相关规范及标准的要求相符测评中采用专业的国内安全扫描设备及软件产品辅助测评工作的完成

（三）项目基本要求无

（四）商务要求采购总预算人民币¥

140000.00元整（大写壹拾肆万元整）

1.本次报价执行包干报价，即报价应包括服务人员的劳务费、差旅费、服务费、测评费、税费、整改服务费等，以及其他所有可能产生的费用，除本报价外采购人不再另报价要求外支付任何费用

2.报价特别说明各竞价人首次总价不能超过采购总预算价，否则竞价无效L产品及服务应符合本采购文件的技术要求，如没有提及适用标准，则应符合中华人民共和国国家标准或行业标准，如果中华人民共和国没有相关标准的，则采用货物来源国适用的官方标准这些标准必须是有关机构发布的最新版本的标准

2.成交供应商应保证竞价产品涉及到的知识产权和所提供的相关技术资料是合法取得，并享有完整的知识产权，不会因为需方的使用而被责令停止使用、追偿或要求赔偿损失，如出现此情况，一切经济和法律责任均由成交人承担基本要求

3.成交供应商的响应文件应列明详细的产品及所提供的服务内容，技术文件应包括产品的主要性能技术参数、适用范围等

4.未尽事宜按国家现行有关规范、标准执行

5.采购人在中华人民共和国境内使用成交供应商提供的产品及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉如果第三方提出侵权指控，成交人应承担由此而引起的一切法律责任和费用完成时间自签订合同之日起90日内（因采购人原因造成的的时间延误，完成时间可以交付时间及地点相应延长）完成自评、整改及三级等保测评通过实施地点采购人指定地点服务期限为合同签订至测评机构向采购人出具最终的测评通过报告止若期间成交服务期限供应商未能按约定履行合同，采购人有权扣罚合同金额或终止合同，并要求成交供应商赔偿损失成交供应商向采购人提交测评机构出具的《信息系统安全等级测评报告》且报告中有验收要求明确指出已通过信息系统等级保护3级测评后才能提出验收申请采购人在收到成交供应商开具的真实、准确、正规全额发票，并人员进场完成评估及付款条件整改后由测评机构认定且出具了最终通过报告后30个工作日内一次性支付合同总金额的100%的服务费、投标人资格要求11）投标人为独立法人，并具备统一社会信用代码2）被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及其他不符合《中华人民共和国政府采购法》第二十二条规定条件的供应商，将被拒绝其参与本次招投标活动（在“信用中国”网站（.cn）或“中国政府采购网”（.cn）查询相关供应商主体信用记录）3）被列入我院投标人黑名单（在我院招投标活动中存在2次违规行为）未满3年的投标人将被拒绝其参与本次招投标活动4）本项目不接收联合体投标5）售后服务要求L服务期为自签订合同之日起1年，服务期间提供服务时不再收取额外费用

2.服务期内需组织开展采购人相关人员培训1）提供不少于一次针对全院职工进行有效的网络安全主题培训统一思想认识，灌输采购人员工所需网络安全知识和自我防范技能，提升采购人员工的网络安全素质和辨识、感悟的能力（内容涵盖信息安全现状、网络安全法解读、常见的网络攻击手段、工作中常犯的错误、日常安全行为准则、重要信息的保密、安全建议等）

二、合同签订招标人和中标人应当自公示结束后30个历日内签订采购合同

三、其他

1.如成交人向采购人提供虚假税务发票或委托第三方进行结算，采购人有权拒绝支付服务商的所有款项，并立即终止合同

2.成交人提供的货物如侵犯了第三方合法权益而引发的任何纠纷或诉讼，均由服务商自行负责交涉并承担全部责任

3.在规定时间内未完成自评、整改，并协助采购人获得三级等保测评通过的，每逾违约责任期一天扣罚合同总金额的1%，逾期超过十天，直接扣罚合同总金额的20%,因采购人原因造成的的时间延误，完成时间可以相应延长

4.下列行为之一的，采购人有权单方取消其服务协议资格，解除合同，扣罚合同总金额的10%,并禁止参加医院任何采购活动

①提供任何虚假资料的；

②将本项目转让给他人的；

③所使用的技术手段软件未经正规合法经销渠道的；

④项目实施人员存在保密协议内容中有泄密情况的

⑤成交供应商在整改期间进行的安全检测、安全加固等技术整改未经采购人审核确认并私自执行的

⑥成交人的工作人员不遵守医院各项管理规定，或泄露医院内部情况，造成社会不良影响的；

四、特别说明如果招标文件中对部分采购设备技术参数要求不详细，请各投标人在投标时补充说明如投标人不作补充说明，广西壮族自治区桂东人民医院招标管理办公室将从有利于招标人的角度出发，认定其所报配置为可能存在情况的最高标准第四章评标方法与评分标准

一、评标方法与定标原则评委会将对确定为实质性响应招标文件要求的投标文件进行评价和比较,评标方法采用综合评分法确定中标候选人

二、评分标准本项目评分总分值为分100附件评分模板序号评分因素评分标准

（1）以进入综合评分环节的最低的评审报价为基准价，基准价报价得分最后报价分（满30分价格分1分30

（2）价格分计算公式某供应商价格分二基准价/某供应商评审报价金额（满分30分）X30分分）

（3）计算结果保留至小数点后两位根据供应商应标方案对本项目的目标、任务、内容、要求的理解；对安全等级保护政策的理解与解读进行评审

1、供应商对本项目的目标、任务、内容以及要求的理解；对安全等级保护政策的理解与解读透彻及认识清晰，完全满足并优于采购需求，得10分；技术条款响应程

2、供应商对本项目的目标、任务、内容以及要求的理解；对安全等级保度（满分10分）护政策的理解与解读较透彻，认识较清晰，基本满足采购需求，得8分；

3、供应商对本项目的目标、任务、内容以及要求的理解；对安全等级保护政策的理解与解读不太透彻，认识不够清晰，不能完全满足采购需求，得3分；

4、不提供或其他情形的，不得分技术能力2（满分36分）根据报价单位对网络安全等级保护测评实施方案中所包含的安全管理机构、安全管理人员、安全管理制度、安全管理中心、安全建设管理、安全区域边界、安全通信网络、安全物理环境、安全运维管理、移动互联安全扩展、云计算安全扩展等内容进行评审技术服务方案

（1）网络安全等级保护测评实施方案具体、详细、完善、有利于项目实（满分16施,完全满足或优于采购需求，可行性高，得16分；分）

（2）网络安全等级保护测评实施方案较具体、详细、完善、有利于项目实施，基本满足采购需求，得10分；

（3）网络安全等级保护测评实施方案阐述模糊、缺乏一定的合理性和可行性的，得5分；

（4）不提供不得分c对各响应供应商的企业和人员的服务行为管理方案（包括内部安全管理机制、安全培训机制、保密安全责任机制等内容）进行评审

1、提供的管理方案最完善、详细，可行性最高，得10分；服务行为管理

2、提供的管理方案较为完善、详细，可行性较强，有一定针对性，得4分；（满分

103、提供的管理方案不够详细，不能完全体现内部安全管理机制、安全培分）训机制、保密安全责任机制，可行性一般，得6分；

4、管理方案简单，可行性低，得2分；

5、不提供或其他情况，得0分

1.提供竞价人与拟邀请测评机构的授权书等证明资料的，得4分；

2.提供具有公安部第三研究所颁发的《网络安全等级测评与检测评估机构服务认证证书》复印件的，得4分；

3.提供测评机构具有中国信息安全测评中心授权运营机构资质证书测评能力证明的，得4分（满分16分）

4.提供测评机构具有与市级及以上执法监督单位或警察院校共建网络安全相关联合实验室，得4分注以上证明材料要求同时加盖测评机构公章及竞价人公章，否则不予认可根据各响应供应商拟派本项目的测评机构团队成员资质进行评审测评服务分（满

31、项目测评人员中级或以上等保测评师证书，，具有渗透测试工程师分28分）的相关证书，每类证书得1分，最高得2分；

2、项目质量监督人员中级或以上等保测评师证书，注册信息系统审计师（CISA）证书，每类证书得2分，最高4分；测评机构团队能

3、项目审核人员初级或以上等保测评师证书，具有华为认证HCIE工程力分师证书，每类证书得1分，最高2分；（满分12分）

4、项目管理人员初级或以上等保测评师证书，中级或以上信息系统项目管理师，每类证书得2分，最高4分注须提供相关人员证书复印件，同一人员证书不可重复计分；所在单位任职佐证材料或所在单位缴纳近半年内（扣除发布采购公告当月往前顺推6个月）的任意一个月社保凭证等材料，不提供不得分竞价人自2021年1月1日以来等保测评项目业绩证明（以项目合同业绩分业绩分（满分64复印件为准，要求加盖公章，如不提供资料或不按要求提供的不予加分）分）（满分6分）每提供一项得2分，最高6分总得分=1+2+3+4。