2024NCZ(YC)002722银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务采购项目银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务采购项目的采购...
微信分享
关注项目
标讯收藏
基本信息
省份 | 宁夏 | 城市 | 银川市 |
招标代理机构 | 项目名称 | 银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务采购项目 | |
采购单位 | 采购联系人 | 登录即可免费查看 | |
采购电话 | 登录即可免费查看 |
一、采购标段
采购计划编号: | 2024NCZ(YC)002722 | 项目名称: | 银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务采购项目 |
---|---|---|---|
分包名称: | 银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务采购项目 | 分包类型: | 服务类 |
采购方式: | 公开招标 | 预算金额 | 登录即可免费查看.00 |
报价方式: | 总价采购项目 | 是否属于技术复杂, 专业性强的采购项目: | 否 |
是否为执行国家统一定价标 和固定价格采购项目: | 否 |
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.满足《中华人民共和国政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民共和国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.供应商在中国政府采购网(www.ccgp.gov.cn)未被列入政府采购严重违法失信行为记录名单,在“信用中国”网站(www.creditchina.gov.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业:
1是
0否
4.合格投标人的其他资格要求:
序号 | 合格投标人的其他资格要求 |
---|---|
1 | 无 |
三、商务要求
采购标的交付(实施)的时间(期限)
项目周期为三个月
四、技术要求
货物类
服务类
工程类
标的清单(服务类) | ||||||||
---|---|---|---|---|---|---|---|---|
序号 | 品目名称及编码 | 标的名称 | 服务内容 | 数量 | 单价 | 服务标准及详细要求 | 服务期限 | 备注 |
1 | C16990000-其他信息技术服务 | 银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务 | 依据《数据安全法》第二十一条规定,国家建立数据分类分级保护制度,根据数据在经济社会发展中的重要程度,以及一旦遭到篡改、破坏、泄露或者非法获取、非法利用,对国家安全、公共利益或者个人、组织合法权益造成的危害程度,对数据实行分类分级保护。各地区、各部门应当按照数据分类分级保护制度,确定本地区、本部门以及相关行业、领域的重要数据具体目录,对列入目录的数据进行重点保护。 《医疗卫生机构网络安全管理办法》第二十条规定,各医疗卫生机构应每年对数据资产进行全面梳理,在落实网络安全等级保护制度的基础上,依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。 对委托方信息系统安全面临的威胁和风险进行完备而详细的风险评估,详细分析系统中存在的脆弱性,结合面临的威胁,对所可能产生的风险进行分析,从而为管理系统的安全保障提供支持和决策依据,并针对信息安全和数据安全风险,开展风险评估工作,并出具报告。 | 1 | 登录即可免费查看.00 | 标的1-其他信息技术服务:(一)目的 1、通过数据资产梳理及数据分类分级,建立本单位数据资产清单、数据分类分级标准及数据分类分级清单。针对信息安全和数据安全风险,开展风险评估工作,发现安全风险并给出风险处置建议。 2、对信息系统真实运行的资产、威胁、脆弱性等方面进行综合性的风险评估,了解和控制网络和信息系统运行过程中的安全风险,并针对风险点提出解决方案,提升医院信息系统安全水平。 (二)依据 《数据安全法》 《医疗卫生机构网络安全管理办法》 《网络安全标准实践指南-网络数据安全风险评估实施指引》 《信息安全技术健康医疗数据安全指南》(GB/T39725-2020) 《网络安全标准实践指南-网络数据分类分级指引》 《国家医疗保障局关于加强网络安全和数据保护工作的指导意见》 《信息安全技术信息安全风险评估方法》(GB/T20984-2022) 三、工作内容 (一)数据分类分级 数据分类分级工作包括数据资产梳理、数据分类、数据分级等分类分级工作。 2、数据资产识别应为甲方摸清数据底数,梳理结构化数据资产和非结构化数据资产,对数据进行盘点、梳理,形成统一的数据资产清单,数据资产须涵盖医院HIS、EMR、LIS、PACS、院感、手麻重症、合理用药、孕产保健、儿童保健、妇女保健、生殖健康管理、病案扫描、移动护理、统一预约、统一支付、CA电子签名模块、数据集成平台、供应室管理模块、HRP、OA、互联网医院等所有系统模块(以下简称系统底数)。并梳理上述业务系统间数据对接情况,以及各业务对外(国家、区、市平台对接、数据上报接口)。 2、数据分类应根据甲方数据的属性或特征,将其按照一定的原则和方法进行区分和归类,并建立起一定的分类体系和排列顺序,以便甲方更好地管理和使用组织数据的过程。 3、数据分级应根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度,按照一定的原则和方法进行分级。 4、依照数据分类分级结果,配合甲方完善和细化数据分类分级相关制度、流程等。 (二)数据安全风险评估 数据安全风险评估工作包括评估准备工作、信息调研工作、风险识别工作、风险分析及评价工作、评估总结工作五个内容。 1、评估准备工作:在评估实施前完成评估准备工作,形成调研表、数据安全风险评估方案等。 2、信息调研工作:识别数据处理者的基本情况,厘清其与业务和信息系统的关系,处理的数据和开展的数据处理活动情况,采取的数据安全防护措施。形成数据处理者基本情况、业务清单、信息系统清单、数据资产清单等。 3、风险识别工作:针对各个评估对象,从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面,通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测记录文档等。 4、风险分析及评价工作:在风险识别基础上开展风险分析,并视情对风险进行评价,最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议书等。 5、评估总结工作:编制数据安全风险评估报告,甲方按照风险处置建议开展数据安全风险处置。 (三)信息系统安全风险评估 对信息系统真实运行的资产、威胁、脆弱性等方面进行综合性的风险评估,了解和控制网络和信息系统运行过程中的安全风险。风险评估内容: 1、资产评估 包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、业务关联性、完整性、业务流程分析;系统资产评估包括系统分类和业务承载连续性的评估;系统组件和单元资产是在真实环境下较为细致的评估,包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加,资产内容须包含所有系统底数。 2、威胁评估 全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威胁来源动机、能力和安全事件的发生频率。 3、脆弱性评估 包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式实施;安全保障设备的脆弱性评估,应包括安全功能的实现情况和安全保障设备本身的脆弱性;管理脆弱性评估可以采取文档、记录核查等方式进行验证。 4、风险计算 根据信息安全风险评估方法的相关方法,对风险进行定性或定量的风险分析,描述不同业务、系统资产的风险高低状况。 四、实施要求 (一)实施要求 在项目实施过程中,项目实施单位应做好计划与安排,不影响正常业务办公的开展。项目实施单位要给予承诺,并承担由此引起的损失。 服务商的项目安排应该按照相关标准进行,项目周期为三个月。 (三)服务要求 1、一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,乙方工程师在 3 小时内到达用户现场,提供服务; 2、提供技术服务热线,并安排专业人员为甲方解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应; 3、在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被评估系统出现紧急或重大安全事件,中标方应在收到单位服务请求 20 分钟内提供远程协助;确定需要现场服务的,1小时内到达现场提供服务。 (四)人员配备要求 项目实施人员至少由 5 人组成,实施人员中至少配备 1 名项目经理,1 名技术负责人,中标人须与采购人签订项目合同、保密协议,核实评估人员资质与投标时承诺为本项目配备的评估人员是否一致。确应工作调配需要更换评估人员,更换人员需与投标人员具备相同资质,需提前 10 个工作日向甲方书面报备,并提供更换评估人员资质证明。 (五)质量要求 1、中标人应具有满足项目实施要求的评估工具,包括数据资产识别及梳理工具,涵盖服务器、操作系统、网络和安全设备、数据库系统等漏洞扫描及发现等; 2、中标人在评估过程中,须严格遵守国家和地方相关法律、法规、规范、标准等相关要求,确保评估数据、过程记录的完整性和真实性; 3、配合开展数据梳理、分级分类; 4、出具信息安全风险评估报告以及数据风险评估报告。 五、交付物 项目结束后,提交如下报告: 1.数据资产清单; 2.数据分类分级指南; 3.数据分类分级清单; 4.重要数据目录清单; 5.数据安全风险评估报告; 6.数据分类分级安全保护策略; 7.信息系统安全风险评估报告。 8.数据管理规范制度(根据分类分级进行数据管理) 9.系统数据交互逻辑表/图 | 三个月周期 |
采购需求附件:
采购需求附件 | |||||||
---|---|---|---|---|---|---|---|
技术要求.docx |
五、合同管理安排
合同类型:
货物类
服务类
工程类
服务类
服务内容
《医疗卫生机构网络安全管理办法》第二十条规定,各医疗卫生机构应每年对数据资产进行全面梳理,在落实网络安全等级保护制度的基础上,依据数据的重要程度以及遭到破坏后的危害程度建立本单位数据分类分级标准。 对委托方信息系统安全面临的威胁和风险进行完备而详细的风险评估,详细分析系统中存在的脆弱性,结合面临的威胁,对所可能产生的风险进行分析,从而为管理系统的安全保障提供支持和决策依据,并针对信息安全和数据安全风险,开展风险评估工作,并出具报告。
履约保证金
本项目不设置履约保证金
甲方责任
甲方有权对合同规定范围内乙方的服务行为进行监督和检查,拥有监管权。有权定期核对乙方提供服务所配备的人员数量。对甲方认为不合理的部分有 权下达整改通知书,并要求乙方限期整改。
乙方责任
对本合同规定的委托服务范围内的项目享有管理权及服务义务。
违约责任
甲乙双方必须遵守本合同并执行合同中的各项规定,保证本合同的正常履行。
不可抗力
在合同有效期内,任何一方因不可抗力事件导致不能履行合同,则合同履行期可延长,其延长期与不可抗力影响期相同。
服务期限
本项目周期三个月
验收标准(附验收方案)
1、一旦收到甲方的服务请求,乙方项目组成员应立即给予响应。双方确认需要到现场服务时,从确认时间开始,乙方工程师在 3 小时内到达用户现场,提供服务; 2、提供技术服务热线,并安排专业人员为甲方解答本项目有关技术问题,接收到用户要求服务的通知后,有关技术人员应立即做出响应; 3、在合同服务期内,中标方须提供应急事件处理及应急响应服务。一旦被评估系统出现紧急或重大安全事件,中标方应在收到单位服务请求 20 分钟内提供远程协助;确定需要现场服务的,1小时内到达现场提供服务。 (四)人员配备要求 项目实施人员至少由 5 人组成,实施人员中至少配备 1 名项目经理,1 名技术负责人,中标人须与采购人签订项目合同、保密协议,核实评估人员资质与投标时承诺为本项目配备的评估人员是否一致。确应工作调配需要更换评估人员,更换人员需与投标人员具备相同资质,需提前 10 个工作日向甲方书面报备,并提供更换评估人员资质证明。 (五)质量要求 1、中标人应具有满足项目实施要求的评估工具,包括数据资产识别及梳理工具,涵盖服务器、操作系统、网络和安全设备、数据库系统等漏洞扫描及发现等; 2、中标人在评估过程中,须严格遵守国家和地方相关法律、法规、规范、标准等相关要求,确保评估数据、过程记录的完整性和真实性; 3、配合开展数据梳理、分级分类; 4、出具信息安全风险评估报告以及数据风险评估报告。 五、交付物 项目结束后,提交如下报告: 1.数据资产清单; 2.数据分类分级指南; 3.数据分类分级清单; 4.重要数据目录清单; 5.数据安全风险评估报告; 6.数据分类分级安全保护策略; 7.信息系统安全风险评估报告。 8.数据管理规范制度(根据分类分级进行数据管理) 9.系统数据交互逻辑表/图 (验收方案附件):服务要求及最终交付物.docx
服务地点(范围)
银川市妇幼保健院
付款条件(进度和方式)
项目交付验收合格通过后,执行付款
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: 服务类细则类别
服务类细则类别 | |||
---|---|---|---|
序号 | 评审项目 | 权重分 | 评分标准 |
1 | 投标报价 | 10 | 投标人的价格分统一按下列公式计算: 投标报价得分=(评标基准价/投标报价)×10。评标基准价是指满足招标文件要求且投标价格最低的投标报价。除低于成本价的投标报价被拒绝外,最低报价得10分。得分结果由高分到低分依次排列为各自最终得分。 |
2 | 企业实力 | 6 | 1、具备数据管理能力成熟度等级证书DCMM的得2分; 2、具备信息安全风险评估资质的得2分; 3、具备隐私信息管理体系认证证书ISO27701的得2分; (以上资料需提供有效期内资质证书复印件并加盖投标人公章) |
3 | 类似业绩 | 6 | 投标人提供近三年类似案例(2020年 1 月 1 日起),每个案例 2 分,最高得 6 分。 (注:提供中标通知书或者合同复印件并加盖公章) |
4 | 服务能力 | 16 | 1、技术负责人:需具备人力资源和社会保障部颁发的信息系统项目管理师证书、数据隐私解决方案工程师(CDPSE)证书,每提供一个证书得 2 分,本项满分 4 分; 2、项目经理:需具备中级网络安全等级保护测评师证书、同时具备高级数据治理工程师证书、数据安全评估师证书(CCRC-DSA)、信息安全保障人员风险管理专业级认证证书(CISAW),每提供 1 个证书得 2 分,本项满分 6 分; 3、其他技术人员: (1)所配备的评估人员具备网络安全能力认证证书(CCSC)、数据安全官证书(CCRC-DSO)、注册信息系统审计师(CISP-A),每有一个证书得 2 分,本项满分6分,以上人员不得重复,一人一证; 注:须提供有效期内的人员资质证书复印件并加盖投标人公章及投标截止时间前连续三个月的社保缴纳证明并加盖投标人公章,未提供社保证明的不得分) |
5 | 拟投入检测工具 | 6 | 投标人应具备项目实施所需的检测工具,具备数据资产识别及梳理工具,涵盖服务器、操作系统、网络和安全设备、数据库系统等漏洞扫描及发现、web安全检测、恶意行为检测等工具。评标小组根据投标人提供的验证测试工具能力情况进行打分,完全具备得6分;部分具备得3分;不具备的不得分。 |
6 | 数据分类分级及信息安全风险评估实施方案 | 10 | 一、对投标人实施方案中数据资产梳理及数据分类分级的完整性、合理性、准确性进行打分(满分 10 分): 1.数据资产梳理流程准确,数据分类分级内容详细、准确,完全满足项目实际需求的得 10 分; 2.数据资产梳理流程或数据分类分级内容描述详细具体,基本满足项目需求,方案具备可行性的得8 分; 3.数据资产梳理流程或数据分类分级内容不够完整或不准确的,得 6分; 4.缺少数据资产梳理流程或数据分类分级内容描述有缺项,缺少实际措施的得 3分; 5.没有方案不得分。 |
7 | 数据分类分级及信息安全风险评估实施方案 | 10 | 二、对投标人实施方案中信息安全风险评估各阶段的流程、内容的完整性、合理性、准确性进行打分(满分 10分): 1.信息安全风险评估各流程、内容描述准确、完整、清晰,完全满足项目实际需求的得 10 分; 2.信息安全风险评估流程、内容描述详细具体,基本满足项目需求,方案具备可行性的得8 分; 3.信息安全风险评估流程、内容描述不完整或不准确的,得 6分; 4.信息安全风险评估流程、内容描述有缺项,缺少实际措施的得 3分; 5.不提供的不得分。 |
8 | 数据分类分级及信息安全风险评估实施方案 | 10 | 三、根据投标人提供的项目进度计划进行打分(满分 10 分): 1.项目进度计划合理,能够满足项目实施要求,各环节时间安排合理的,容错措施完善的得 10 分; 2.项目进度计划合理,能够满足项目实施要求,各环节时间安排合理,容错措施不够完善的得 8 分; 3.项目进度计划合理,能够满足项目实施要求,各环节时间安排合理,缺少容错措施的得 6 分; 4.项目进度计划合理性,能够基本满足项目实施要求,部分环节时间安排不合理,缺少容错措施的得 4分; 5.项目进度计划合理性不足,无法完全满足项目实施要求,部分环节时间安排不合理,缺少容错措施的得 2分; 6.项目进度计划不能满足工期需要的,不得分。 |
9 | 数据分类分级及信息安全风险评估实施方案 | 10 | 四、根据投标人提供的项目质量控制方案是否全面,对控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面是否明确、全流程质量控制措施进行打分(满分 10 分): 1.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面职责明确,全流程质量控制措施完善可行,得 10 分; 2.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 1 项职责不明确,全流程质量控制措施完善可行,得 8 分; 3.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 2 项职责不明确,全流程质量控制措施完善可行,得 6 分; 4.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 3 项职责不明确,全流程质量控制措施完善可行的,得 4 分; 5.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面职责明确,质量控制措施不完善或不可行的,得 2 分; 6.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有 4 项职责不明确,或没有质量控制措施的,不得分。 |
10 | 数据分类分级及信息安全风险评估实施方案 | 5 | 五、实施方案中应明确项目风险管理方案内容,能够提供风险管理、风险应急处置、保密控制管理、风险规避措施等(满分 5分): 1.方案全面且完全满足采购需求得 5 分; 2.方案较全面且满足采购需求得 3分; 3.方案欠缺,针对性不强,无法完全满足采购需求得 1 分; 4.未提供方案不得分。 |
11 | 数据分类分级及信息安全风险评估实施方案 | 5 | 六、实施方案中应明确应急响应及处置方案内容,具备完善的应急响应及处置方法,应对现场突发情况,明确应急处理时限(满分 5分): 1.方案完整,有效,全面且接到应急响应后 1 小时内到场得 5分; 2.方案缺少以上内容,且接到应急响应后到场时间大于 1小时小于 3 小时的得 3分; 3.方案不够合理,可操作性差,且接到应急响应后到场时间大于 3 小时的得 1分; 4.没有方案且无应急预案的不得分。 |
12 | 售后服务方案 | 6 | 售后服务:对售后服务内容、售后服务方式、响应时间、技术支持、咨询解答方案等售后承诺打分: 具有科学详细的售后服务方案体系,服务内容完整、服务方式可行、响应时间及时、技术支持团队完备、咨询解答方案全面。 1.方案全面且完全满足采购需求得 6 分; 2.方案较全面且满足采购需求得 4分; 3.方案欠缺,针对性不强,无法完全满足采购需求得 2 分; 4.未提供方案不得分。 |
合计: | 100 |
发起异议
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。