2024NCZ001152宁夏回族自治区医疗保障局宁夏医疗保障信息平台数据分类分级及安全风险评估第三方服务采购项目宁夏医保信息数据风险评估分类分级的采购需求
微信分享
关注项目
标讯收藏
| 项目名称 | 省份 | ||
| 业主单位 |
认领
立即查看
|
业主类型 | |
| 总投资 | 建设年限 | ||
| 建设地点 | |||
| 审批机关 | 审批事项 | ||
| 审批代码 | 批准文号 | ||
| 审批时间 | 审批结果 | ||
| 建设内容 | |||
一、采购标段
| 采购计划编号: | 2024NCZ001152 | 项目名称: | 宁夏回族自治区医疗保障局宁夏医疗保障信息平台数据分类分级及安全风险评估第三方服务采购项目 |
|---|---|---|---|
| 分包名称: | 宁夏医保信息数据风险评估分类分级 | 分包类型: | 服务类 |
| 采购方式: | 公开招标 | 预算金额 | 登录即可免费查看.00 |
| 报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
| 是否为执行国家统一定价标 和固定价格采购项目: | 否 |
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.满足《中华人民共和国政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.供应商在中国政府采购网(www.ccgp.gov.cn)未被列入政府采购严重违法失信行为记录名单,在“信用中国”网站(www.creditchina.gov.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业:
1是
0否
4.合格投标人的其他资格要求:
| 序号 | 合格投标人的其他资格要求 |
|---|---|
| 1 | 提供参加政府采购活动前三年内,在经营活动中没有重大违法记录的承诺函 |
| 2 | 供应商不得为整体项目或其中分项目前期工作提供过设计、编制、管理等服务的法人及附属单位;为采购项目提供整体设计、规范编制或者项目管理、监理、检测、咨询等服务的供应商,不得再参加本项目的投标。 |
| 3 | 供应商具有统一社会信用代码的营业执照或个体工商户营业执照副本或事业单位法人证书或执业许可证 |
| 4 | 供应商具有良好商业信誉和健全的财务会计制度,须提供良好的商业信誉和健全的财务会计制度的资格承诺函 |
| 5 | 出具法定代表人授权原件及被授权人身份证(法定代表人直接投标可不提供,但须提供法定代表人身份证明) |
| 6 | 被“信用中国”网站列入失信被执行人和重大税收违法案件当事人名单的、被“中国政府采购网”网站列入政府采购严重违法失信行为记录名单(处罚期限尚未届满的),不得参与本项目的政府采购活动。 |
| 7 | 供应商单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动 |
| 8 | 供应商须提供依法缴纳税收和社会保障资金的资格承诺函; |
三、商务要求
采购标的交付(实施)的时间(期限)
2024年12月31日前
涉及采购标的的知识产权归属和处理方式
甲方所有
国家标准、行业标准、地方标准等标准、规范
《中华人民共和国数据安全法》《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》、《国家医保局数据安全管理办法》《关于加强我区网络数据安全保护的若干措施》(宁党网办发[2023]98号)
涉及服务采购项目考核计量等要求
数据安全风险评估实施方案、数据安全现状调研报告、数据安全风险评估整改建议书、数据安全风险评估报告
采购标的交付地点(范围)
宁夏回族自治区银川市
付款条件(进度和方式)
合同生效后,甲方收到乙方提交的等值金额的 增值税发票后 15 个工作日内,甲方向乙方支付合同金额的 60 %。项目完成终验并签署终验报告后,甲方向乙方支付合同金额的 40 %。
交付标准和方法
数据分类分级文档成果:《宁夏回族自治区医疗保障局数据资产清单》(电子版)、宁夏回族自治区医疗保障局数据分类分级管理规范》(纸质版和电子版)、《宁夏回族自治区医疗保障局数据分类分级目录清单》(纸质版和电子版)、《宁夏回族自治区医疗保障局重要数据目录》(纸质版和电子版)、《宁夏回族自治区医疗保障局数据全生命周期保护策略》(或“数据分级保护策略”)(纸质版和电子版)《宁夏回族自治区医疗保障局数据安全风险评估实施方案》(纸质版和电子版)、宁夏回族自治区医疗保障局数据资产现状调研表》(纸质版和电子版)、《宁夏回族自治区医疗保障局数据安全现状调研报告》(纸质版和电子版)、《宁夏回族自治区医疗保障局业务清单》(电子版)、《宁夏回族自治区医疗保障局信息系统清单》(电子版)、《宁夏回族自治区医疗保障局数据处理活动清单》(电子版)、《宁夏回族自治区医疗保障局数据流图》(电子版)、《宁夏回族自治区医疗保障局数据安全风险源清单》(纸质版和电子版)、《宁夏回族自治区医疗保障局数据安全风险评估整改建议书》(纸质版和电子版)、《宁夏回族自治区医疗保障局数据安全风险评估报告》(纸质版和电子版)、《宁夏回族自治区医疗保障局数据安全风险清单》(电子版)、其他项目过程材料
四、技术要求
货物类
服务类
工程类
| 标的清单(服务类) | ||||||||
|---|---|---|---|---|---|---|---|---|
| 序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
| 1 | C16990000-其他信息技术服务 | 自治区医疗保障局宁夏医疗保障信息平台数据分类分级机安全风险评估第三方服务采购项目 | 根据国家相关要求宁夏回族自治区医疗保障局的对 宁夏医疗保障信息平台系统开展数据的分类分级、数据安全评估工作。通过数据安全评估工作发现信息系统数据在安全方面的不足之处,找出自治区医疗保障局各信息系统与国家和行业数据安全的差距,通过数据安全评估工作能够使各信息系统达到数据安全防护能力要求 | 1 | 登录即可免费查看.00 | 标的1-其他信息技术服务:为厘清我区医疗保障系统数据资产,明确数据重要性和敏感度,并针对性地采用适当、合理的管理措施以保障数据安全,遵循系统性、规范性、稳定性、适用性、扩展性五项原则对医保数据资产进行全面梳理及分类开展评估工作。 (一)数据分类分级 数据分类是数据分类分级保护的前提。在遵循国家数据分类分级保护要求的基础上,按照国家医疗保障局《医疗保障数据分类分级管理规范》(修订版)开展医疗保障数据的分类分级工作。针对医疗保障数据的数据资产进行全面盘点和梳理, 理清数据资产,建立数据资产清单。 数据分类是按照一定的原则和方法对数据进行区分和归类,主要目的是便于数据管理和使用。数据分类应遵循《医疗保障数据分类分级管理规范》要求划分为四层,从医保基础信息、医保服务信息、医保管理信息三个主题逐步细化分层,形成医疗保障数据分类。 数据分级在数据分类的基础上,采用规范、明确的方法区分数据的重要性和敏感度差异,建立统一、完善的数据生命周期安全保护框架。数据分级应遵循《医疗保障数据分类分级管理规范》要求划分为核心级、重要级、一般级3个级别,并针对一般数据进行级别细分,最终形成医疗保障数据分级。 通过数据分类分级工作,能够形成数据分类分级和重要数据目录清单,能够明确具体数据库表、字段的类别、级别,并针对不同级别数据制定安全保护策略,并建立健全医保数据系统内部使用和外部共享流通的流程标准,为数据共享、流通打好基础。 (二)数据安全风险评估 按照《信息安全技术数据安全风险评估方法》《网络安全标准实践指南—网络数据安全风险评估指引》开展数据安全风险评估,以数据资产为中心,以网络安全为基础,在数据资产梳理及数据分类分级的基础上,以重要数据为评估对象,主要围绕医保数据和数据处理活动,聚焦可能影响数据的保密性、完整性、可用性和数据处理合理性的安全风险,掌握数据安全总体状况,发现数据安全隐患,提出数据安全管理和技术防护措施建议,提升数据安全防攻击、防破坏、防窃取、防泄露、防滥用能力,最终出具数据安全风险评估报告。 数据安全风险评估,应遵循的主要流程包括评估准备、信息调研、风险识别、综合分析、评估总结五个阶段。通过信息调研识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等相关要素,然后从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面识别风险隐患,最后梳理风险源清单,综合分析数据安全风险,视情评价风险,在评估总结阶段完成数据安全风险评估报告的编制并给出风险处置建议。 1.信息调研 信息调研主要识别数据处理者、业务和信息系统、数据资产、数据处理活动、安全措施等。 (1)数据处理者调研主要包括基本情况、单位性质、数据处理者类型、所属行业领域、业务运营地区、主要业务范围、业务规模等。 (2)业务和信息系统调研主要包括网络和信息系统基本情况、业务基本信息、业务涉及个人信息、重要数据或核心数据处理情况、信息系统、App 和小程序情况、数据中心和使用云平台情况。 (3)数据资产调研主要包括梳理结构化数据资产(如数据库表等)和非结构化数据资产(如图表文件等),摸清数据底数,输出数据资产清单;了解数据分类分级情况、个人信息情况、重要数据情况、核心数据情况等。 通过数据资产梳理,识别数据库、表、字段存在的缺失,发现数据库标准/数据字典可能存在的不足,判断生产环境中是否存在临时数据、测试数据,从最底层识别和发现数据安全风险。 (4)数据处理活动调研主要包括数据收集情况、数据存储情况、数据传输情况、数据使用和加工情况、数据提供情况、数据公开情况、数据删除情况等。 (5)安全防护措施调研主要包括已开展的等级保护测评、商用密码应用安全性评估、安全检测、风险评估、安全认证、合规审计情况,及发现问题的整改情况;数据安全管理组织、人员及制度情况;安全技术应用情况;网络和数据安全事件、攻击威胁情况等。 2.风险识别 从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别出存在的数据安全风险隐患。 (1)数据安全管理风险应从数据安全管理制度、安全组织机构、分类分级管理、合作外包管理、安全威胁和应急管理、开发运维管理、云数据安全等方面识别数据安全管理风险。数据处理活动风险应从数据收集、数据存储、数据传输、数据使用和加工、数据提供、数据公开、数据删除方面识别安全风险。 (2)数据处理活动应从以下方面识别数据处理活动安全风险: a)数据收集安全风险识别:主要从数据收集合法正当性、通过第三方收集数据安全、数据质量控制、数据收集方式、数据收集设备及环境安全等方面进行风险识别。 b)数据存储安全风险识别:主要从数据存储适当性、逻辑存储安全、存储介质安全等方面进行风险识别。 c)数据传输安全风险识别:主要从传输链路安全性、传输链路可靠性等方面进行风险识别。 d) 数据使用和加工安全风险识别:主要从数据使用和加工合法性、数据正当使用、数据导入导出、数据处理环境、数据使用和加工安全措施等方面进行风险识别。 e) 数据提供安全风险识别:主要从数据提供合法正当必要性、数据提供管理、数据提供技术措施、数据接收方、数据转移安全、数据出境安全等方面进行风险识别。 在评估数据提供安全风险时,协助梳理完成医保数据共享的接收方和使用方,根据双方不同需求,协助建立“数据地方专区”制度机制,以便逐步促进自治区医疗保障能第一时间为有需求、有能力的地区开辟“数据地方专区”,进一步加强医保数据安全管理和规范应用,挖掘数据作为生产要素的价值,全面提升医保数据应用效能。 f) 数据公开安全风险识别:主要从数据公开适当性、数据公开管理等方面进行风险识别。 g) 数据删除安全风险识别:主要从数据删除管理、存储介质销毁等方面进行风险识别。 (3)数据安全技术风险应从网络安全防护、身份鉴别与访问控制、检测预警、数据脱敏、数据防泄漏、数据接口安全、数据备份与恢复、安全审计等方面识别。 (4)个人信息保护风险应从个人信息处理基本原则、个人信息告知同意、个人信息处理、敏感个人信息处理、个人信息主体权利、个人信息安全义务、个人信息投诉举报、大型网络平台个人信息保护等方面识别。 3.风险分析与评价 在风险识别基础上,梳理得出数据安全风险源清单,开展数据安全风险分析,主要从影响数据保密性、完整性、可用性和数据处理合理性角度分析各项风险源可能引发的数据安全风险,及风险危害程度和发生的可能性,并分析数据安全风险源可能引发的安全风险,按照风险类型对风险源归类。 基于实际情况,视情对数据安全风险进行评价。结合评估对象实际情况,综合风险危害程度及风险发生可能性对安全风险进行综合评价,给出数据安全风险评价结果(如重大安全风险、高安全风险、中安全风险、低安全风险、轻微安全风险)。 通过开展数据分类分级和数据安全风险评估工作,能带来如下价值效益: (1)合法合规:能够满足《中华人民共和国数据安全法》第二十一条和第三十条的法律要求,能够满足国家医疗保障局印发的《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》、《国家医保局数据安全管理办法》行业要求,能够满足自治区党委网信办印发的《关于加强我区网络数据安全保护的若干措施》(宁党网办发[2023]98号)监管要求。 (2)降低组织风险:助力各部门加强数据安全管理, 完善针对数据的技术安全保护措施,严格落实数据分类分级制度,按照不同级别数据进行数据流转和共享,进一步明确部门和人员职责,规范需求审核、备份恢复、日志存档、数据安全、应急处置等。 发挥数据资产效用:在保障医保数据安全可控的前提下,能够进一步提升数据应用成效,规范利用数据资源,提升数据支撑能力,发挥医保数据应用价值。 本次服务项目合同签订地点为宁夏银川市,交付时间为合同签订之日起3个月,交付地点为宁夏银川市,交付成果包括: (一)数据分类分级资料 数据分类分级管理规范、数据分类分级目录清单、数据分类分级保护安全策略、数据资产清单、业务应用系统数据分类分级清单。 (二)数据安全评估资料 形成数据安全风险评估实施方案、数据安全现状调研报告、数据安全风险评估整改建议书、数据安全风险评估报告。 | 自合同签订之日起至项目验收后一年,并提供相应技术服务 | |
采购需求附件:
| 采购需求附件 | |||||||
|---|---|---|---|---|---|---|---|
| 技术要求.docx |
五、合同管理安排
合同类型:
货物类
服务类
工程类
服务类
服务内容
根据国家相关要求,对宁夏回族自治区医疗保障局的 宁夏医保信息平台 系统开展数据的分类分级、数据安全评估工作。通过数据安全评估工作发现信息系统数据在安全方面的不足之处,找出自治区医疗保障局各信息系统与国家和行业数据安全的差距,通过数据安全评估工作能够使各信息系统达到数据安全防护能力要求。
涉及采购标的的知识产权归属和处理方式
本项目数据成果、过程数据均归甲方所有,项目结束后,乙方不得保留任何数据。双方因履行本合同而发生的争议,应协商、调解解决。协商、调解不成的依法向甲方所在地人民法院起诉
国家标准、行业标准、地方标准等标准、规范
《中华人民共和国数据安全法》《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》、《国家医保局数据安全管理办法》《关于加强我区网络数据安全保护的若干措施》(宁党网办发[2023]98号)、《医疗保障数据分类分级管理规范》、《信息安全技术数据安全风险评估方法》《网络安全标准实践指南—网络数据安全风险评估指引》
履约保证金
无
甲方责任
1)合同签订后及时向乙方提供有关资料。(2)应当协助乙方的作业队伍顺利进入现场工作。乙方进场后,因甲方原因造成乙方无法开展工作,工期顺延。(3)甲方保证工程款按时到位,以保证工程的顺利进行。
乙方责任
(1)合同签订后,乙方应在得到甲方通知后立即组织项目人员进入工作现场。(2)乙方自项目合同签订后,及时向甲方提交项目进度汇报。(3)本项目数据成果、过程数据均归甲方所有,项目结束后,乙方不得保留任何数据。
违约责任
乙方如违反本合同保密条款,应承担所造成的损害赔偿合同额10%向甲方支付。2、由于乙方原因,未按照项目进度计划完成技术设计评审(含评审未通过)、第三方评估(根据项目情况选择)、预验收(含预验收未通过),甲方根据情况予以通报、督办,因此造成甲方损失的,乙方还应承担赔偿合同额10%向甲方支付。3、乙方违反本合同工期条款约定造成甲方损失的,由双方协商核定损失额。如果乙方在达到核定损失额的最高限额后仍无法完工, 甲方有权因乙方违约解除合同,而乙方仍有义务支付上述核定损失金额。4、甲方未按约定提供技术资料、原始数据和协作事项或所。5、甲方未按照合同要求按时提供现场工作用的软硬件系统,导致技术服务工作停滞、延误的,甲方应及时向乙方做出解释并经双方协商工期适当顺延。6、乙方投入项目实施人员、数量、相应资质人员不得低于招投标文件要求,项目实施人员变更(撤离、更换、辞退等),应提前30天通知甲方项目负责人同意,未经同意更换人员或减少项目实施人员的将视违约处理,甲方根据情况予以通报,发生 3 次及以上,甲方有权解除合同。7、乙方项目人员应严格遵守甲方外协人员管理相关制度, 因违反甲方外协人员管理相关制度造成甲方损失的,乙方应承担损失赔偿责任。违反制度被通报发生 3 次及以上的甲方有权解除合同。
不可抗力
发生重大的自然灾害,如重大的地震、海啸、台风、海浪、洪水、蝗灾、风暴等不可抗力因素时,可以免责;
保密
1、乙方在甲方提供的场所办公期间,必须遵守甲方保密场所要求,按照《中华人民共和国保密法》的相关规定,对甲方的资料负有绝对的保密义务。未经甲方同意,乙方不得将资料带出工作场所,不得擅自复印、拷贝和拍照或提供第三方。2、涉密人员范围为甲乙双方参与项目的所有人员,保密期限为: 长期。双方要按照安全保密要求保管、移交和使用数据,造成数据泄密,由泄密方承担经济责任和法律责任。
服务期限
合同签订之日-2024年12月31日
争议解决
双方因履行本合同而发生的争议,应协商、调解解决。协商、调解不成的,依法向 甲方所在地人民法院起诉
合同生效及其他
本合同正本一式 陆 份,甲方 叁 份、乙方 叁份,具有同等法律效力,本合同经双方签字盖章后生效。双方权利义务履行完毕后,合同终止。
验收标准(附验收方案)
符合《网络安全法》、《数据安全法》《个人信息保护法》等规定的标准规范。 (验收方案附件):验收方案.docx
服务地点(范围)
宁夏银川市
付款条件(进度和方式)
首付款:合同生效后,甲方收到乙方提交的等值金额的 增值税发票后 15 个工作日内,甲方向乙方支付合同金额的 60 %。项目完成终验并签署终验报告后,甲方向乙方支付合同金额的 40 %。3.付款时,乙方必须先向甲方提供真实合法的等额发票。乙方不提供发票导致甲方未及时付款的,甲方不承担迟延付款的责任。
交付标准和方法
《宁夏回族自治区医疗保障局数据资产清单》(电子版)《宁夏回族自治区医疗保障局数据分类分级管理规范》(纸质版和电子版)《宁夏回族自治区医疗保障局数据分类分级目录清单》(纸质版和电子版)《宁夏回族自治区医疗保障局重要数据目录》(纸质版和电子版)《xxx系统数据分类分级目录清单》(电子版)《宁夏回族自治区医疗保障局数据全生命周期保护策略》(或“数据分级保护策略”)(纸质版和电子版)《宁夏回族自治区医疗保障局数据安全风险评估实施方案》(纸质版和电子版)《宁夏回族自治区医疗保障局数据资产现状调研表》(纸质版和电子版)《宁夏回族自治区医疗保障局数据安全现状调研报告》(纸质版和电子版)《宁夏回族自治区医疗保障局业务清单》(电子版)《宁夏回族自治区医疗保障局信息系统清单》(电子版)《宁夏回族自治区医疗保障局数据处理活动清单》(电子版)《宁夏回族自治区医疗保障局数据流图》(电子版)
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: 服务类细则类别
| 服务类细则类别 | |||
|---|---|---|---|
| 序号 | 评审项目 | 权重分 | 评分标准 |
| 1 | 投标报价 | 10 | 价格分采用低价优先法计算,即满足招标文件要求且投标价格最低的投标报价为评标基准价,其价格分为满分。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×100%×权重分值。(四舍五入后保留小数点后两位)对于高于项目采购预算金额的投标报价不予接受,视为无效投标。 |
| 2 | 企业实力 | 15 | 1、投标人具有信息安全服务资质认证证书(信息安全风险评估服务资质)得5分,不提供不得分; 2、投标人具有信息安全服务资质认证证书(信息安全应急处理服务资质)得5分,不提供不得分; 3、投标人具有隐私信息管理体系证书得2.5分,不提供不得分; 4、投标人具有中国合格评定国家认可委员会-检验机构认可证书Cnas得2.5分,不提供不得分。 注:上述资质须提供在有效期内的证书复印件并加盖本单位公章,未提供不得分。 |
| 3 | 类似业绩 | 4 | 投标人提供近三年(2021年1月1日至今)业绩,数据安全评估类项目业绩每有一项得2分,最高得4分,满分4分。 注:提供合同和中标通知书复印件并加盖公章,未提供不得分。 |
| 4 | 服务能力 | 15 | 1、项目经理:需具备高级网络安全等级保护测评师证书,同时具备高级数据治理工程师证书、注册信息系统审计师(CISP-A)证书,每提供一个证书得2.5分,本项满分5分; 2、技术负责人:需具备数据安全评估师证书(CCRC-DSA)和国际注册云安全系统认证证书(CCSSP),本项满分5分,不提供不得分; 3、技术团队不少于5人,具备人力资源和社会保障部颁发的高级信息系统项目管理师证书、中级信息安全工程师证书、网络安全能力认证证书(CCSC)、数据安全官证书(CCRC-DSO)、商用密码应用安全性评估从业人员考核证书,以上证书每有一个得1分,本项满分5分; 注:以上人员不得重复,一人一证,须提供有效期内的人员资质证书复印件并加盖投标人公章及2023年6月至投标截止时间前连续三个月的社保缴纳证明并加盖投标人公章,未提供社保证明的不得分) |
| 5 | 实施方案 | 30 | 一、对投标人实施方案中数据资产梳理及数据分类分级(宁夏医疗保障信息平台按照等保测评分为云平台、公服区和核心区共19个子系统)的完整性、合理性、准确性进行打分(满分 10 分): 1.数据资产梳理流程准确,数据分类分级内容详细、准确的,得 10分; 2.数据资产梳理流程或数据分类分级内容有 1 项不准确或缺少 1 项的,得 8分; 3.数据资产梳理流程或数据分类分级内容有 2 项不准确或缺少 2 项的,得 6分; 4.数据资产梳理流程不准确或数据分类分级内容有 3 项不准确或缺少 3 项的,得 4 分; 5.缺少数据资产梳理流程或数据分类分级内容有 4 项不准确或数据分类分级内容缺少 4 项的,得 2分。 6.没有方案不得分。 二、对投标人实施方案中数据安全风险评估各阶段的流程、内容的完整性、合理性、准确性进行打分(满分5分): 1.方案全面且完全满足采购需求得 5 分; 2.方案较全面且满足采购需求得 3分; 3.方案欠缺,针对性不强,无法完全满足采购需求得1分; 4.未提供方案不得分。 三、根据投标人提供的项目质量控制方案是否全面,对控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面是否明确、全流程质量控制措施进行打分(满分 10 分): 1.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面职责明确,全流程质量控制措施完善可行,得 10 分; 2.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 1 项职责不明确,全流程质量控制措施完善可行,得 8 分; 3.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 2 项职责不明确,全流程质量控制措施完善可行,得 6 分; 4.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 3 项职责不明确,全流程质量控制措施完善可行的,得 4 分; 5.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面职责明确,质量控制措施不完善或不可行的,得 2 分; 6.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 4 项职责不明确,或没有质量控制措施的,不得分。 四、实施方案中应明确项目风险管理方案内容,能够提供风险管理、风险应急处置、保密控制管理、风险规避措施等(满分 5分): 1.方案全面且完全满足采购需求得 5 分; 2.方案较全面且满足采购需求得 3分; 3.方案欠缺,针对性不强,无法完全满足采购需求得1分; 4.未提供方案不得分。 |
| 6 | 应急处置方案 | 8 | 实施方案中应明确应急响应及处置方案内容,具备完善的应急响应及处置方法,应对现场突发情况,明确应急处理时限(满分5分): 1.方案完整,有效,全面且接到应急响应后 1 小时内到场得8分; 2.方案缺少以上内容,且接到应急响应后到场时间大于 1小时小于3小时的得5分; 3.方案不够合理,可操作性差,且接到应急响应后到场时间大于3小时的得2分; 4.没有方案且无应急预案的不得分。 |
| 7 | 保密方案 | 10 | 对工作过程中接触的信息系统、网络设备及数据资料等负有保密责任,需针对本项目提供具体保密措施。未提供不得分。 1.保密措施内容全面,措施得力,具有针对性,得10分; 2.保密措施内容基本完整,措施基本可行,针对性不强的,得6分; 3.保密措施内容不全面,措施不得力,得2分; 4.未提供相关内容的不得分。 |
| 8 | 拟投入检测工具 | 8 | 投标人应具备项目实施所需的检测工具,具备数据资产识别及梳理工具,涵盖服务器、操作系统、网络和安全设备、数据库系统等漏洞扫描及发现、web安全检测、恶意行为检测等工具。评标小组根据投标人提供的验证测试工具能力情况进行打分,完全具备得8分;部分具备得3分;不具备的不得分。 注:以上功能需提供工具购买合同及发票复印件并加盖公章;若为自研工具,需提供计算机软件登记著作权证书复印件并加盖公章。 |
| 合计: | 100 | ||
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
微信扫码关注
