四川省药械招标采购服务中心拟通过公开比选的方式,择优选取一家测评机构为四川省药械集中采购及医药价格监管平台年度网络安全等级保护进行测评,欢迎有意向的测评机构前来参与,具体要求如下:
一、参选人基本要求:
1.具有独立承担民事责任的能力和相关的经营范围;
2.具有良好的商业信誉和健全的财务会计制度;
3.具有履行合同所必须的设备和专业技术能力;
4.有依法缴纳税收和社会保障资金的良好记录;
5.参加采购活动前三年内,在经营活动中没有重大违法记录,遵守相关的法律和法规;
6.获得《网络安全等级测评与检测评估机构服务认证证书》。
二、项目概况
为了落实公安部、网信办、经信委等各级政府主管部门关于应用系统安全等级保护要求,进一步增强系统安全防护能力,确保系统安全稳定运行,防止因系统安全事件引发安全事故,依据《中华人民共和国网络安全法》、《中华人民共和国密码法》、《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息系统密码应用基本要求》(GM/T 0054-2018)等法律、标准规范,四川省药械招标采购服务中心针对四川省药械集中采购及医药价格监管平台开展网络安全等级保护测评工作,项目资金来源为财政资金,项目最高限价12万元(含税价)。
三、项目实施目标
依据国家和行业信息安全的相关标准,全面了解和掌握系统现有安全状况,找出其与《网络安全等级保护基本要求》对应级别的差距,及时发现系统存在的安全问题,针对等级保护测评中发现的各种安全风险,测评项目组提出适宜的安全整改建议,协助平台管理维护单位完成网络安全等级保护备案,最终提交该系统等级保护测评报告。
四、测评依据
此次依据的标准包括但不限于以下内容:
Ø 《中华人民共和国网络安全法》
Ø 《中华人民共和国密码法》
Ø 《信息安全技术网络安全等级保护基本要求》GB/T 22239-2019
Ø 《信息安全技术网络安全等级保护实施指南》GB/T 25058-2019
Ø 《信息安全技术网络安全等级保护定级指南》GB/T 22240-2020
Ø 《信息安全技术网络安全等级保护安全设计技术要求》GB/T 25070-2019
Ø 《信息安全技术网络安全等级保护测评要求》GB/T 28448-2019
Ø 《信息安全技术网络安全等级保护测评过程指南》GB/T 28449-2019
Ø 《信息系统密码应用基本要求》GM/T 0054-2018
五、服务内容及要求
(一)测评对象
项目名称 | 系统名称 | 安全等级 |
四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目 | 四川省药械集中采购及医药价格监管平台 | 三级 |
(二)测评要求
根据项目需求,为保障信息安全现场测评过程安全可控和明确测评人员职责分配、规范测评人员操作,保障测评结果有效,至少包括以下几个流程:
序号 | 关键实施阶段 | 工作要求 |
1 | 确定测评范围 | 明确本次被测评信息系统的范围,包括每个信息系统的范围、信息系统的边界等。 |
2 | 获得信息系统的信息 | 通过调查或查阅资料的方式,了解被测评信息系统的构成,包括网络拓扑、业务应用、业务流程、设备信息、安全措施状况等。 |
3 | 确定具体的测评对象 | 初步确定每个信息系统的被测评对象,包括整体对象,如云服务、办公环境、网络等,也包括具体对象,如边界设备、网关设备、服务器设备、工作站、骨干网络核心节点、应用系统等。 |
4 | 确定测评工作的方法 | 根据网络安全等级情况、系统规模大小等,明确本次测评的方法。 |
5 | 制定测评工作计划 | 制定测评工作计划或方案,说明测评范围、测评对象、工作方法、人员组成、角色职责、时间计划等。 |
6 | 实施等级保护测评 | 实施测评,包括人工检查、工具扫描等方式。 |
7 | 项目总结 | 对测评结果进行总结、汇报,提交测评报告 |
注:若测评要求与《信息安全技术网络安全等级保护基本要求》 (GB/T 22239-2019)、《信息系统密码应用基本要求》GM/T 0054-2018等不一致,以《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息系统密码应用基本要求》GM/T 0054-2018等测试要求为准。
(三)测评内容
序号 | 测评名称 | 测评内容 |
1 | 物理安全测评 | 测评信息系统的基础设施安全保障情况,主要涉及机房环境测评。 |
2 | 网络安全测评 | 测评系统的承载网络,包括网络全局和所涉及的重要网络设备。 |
3 | 主机安全测评 | 测评系统所涉及主机操作系统,包括重要服务器、终端操作系统、终端安全软件客户端。 |
4 | 应用安全测评 | 测评系统的安全功能模块,如身份鉴别、安全审计和资源控制等。 |
5 | 数据安全测评 | 测评系统数据的安全,如数据保密性和数据完整性等。 |
6 | 安全管理测评 | 测评信息安全相关管理制度、流程、规范。 |
7 | 系统总体等级保护达标情况分析 | 结合系统定级情况,根据获取的系统软硬件资产和分项测评中发现的风险情况,形成《网络安全等级测评报告》。 |
注:若测评要求与《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息系统密码应用基本要求》GM/T 0054-2018等不一致,以《信息安全技术网络安全等级保护基本要求》(GB/T 22239-2019)、《信息系统密码应用基本要求》GM/T 0054-2018等测试要求为准。
(四)交付产物
包括但不仅限于以下资料:《差距评估报告》《网络安全等级保护测评报告》等。
六、商务要求
(一)完成期限
完成期限:需在合同签订之日起30日内,协助比选人完成网络安全等级保护备案并开展项目测评,出具测评报告。
(二)服务地点
按比选人要求及合同约定。
(三)付款方式
根据合同约定。
(四)履约保证金
本项目无履约保证金。
(五)验收
中选人履行采购合同约定义务后,为保证采购质量,比选人可参照政府采购相关法律法规以及《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)和相关法律法规的要求进行履约验收。如实际提供的服务与响应文件不一致,比选人有权拒绝验收。由于服务质量造成某些指标达不到比选人要求时,比选人有权要求中选人赔偿损失,并保留进一步的追诉权利。
报价要求
★最高限价:本项目最高限价为人民币 12万元。比选申请人总报价高于最高限价的,则其响应文件按无效响应文件处理。比选申请人报价应包含完成本项目软件系统开发部署所需的一切费用(包括税费)。
满足项目需求、质量和服务相等的项目实质性要求。
带★的要求为满足项目需求、质量和服务相等的项目实质性要求,不允许有负偏离,不满足★要求的响应文件将按无效文件处理。
七、比选时间及地点
(一)递交响应文件时间和地点:2022年9月30日14∶00—14∶30,比选申请人应将响应文件递交至成都市青羊区鼓楼北三街82号德盛大厦二楼四川省药械招标采购服务中心信息部(响应文件必须在递交响应文件截止时间内送达比选地点。逾期送达、密封和标注错误的响应文件,恕不接收)。
(二)响应文件提交要求:响应文件正本壹份,副本贰份,共计叁份,电子文档壹份,均需密封并加盖公章。
(三)比选时间:2022年9月30日15∶00时。
(四)比选地点:成都市青羊区鼓楼北三街82号德盛大厦二楼四川省药械招标采购服务中心会议室。
八、比选方法
(一)成立比选小组。
比选小组成员共5名:由四川省药械招标采购服务中心综合部、耗材部、价格监测部、财务部、信息部各派一名正式工作人员。中心纪检专员全程监督。
(二)比选流程。
1.在四川省药械集中采购及医药价格监管平台门户网站发布《四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目比选公告》,参选单位报名参加比选。响应文件格式详见附件1。
2.比选小组审查各报名单位提供的资料,对参选单位的资格进行审查(详见附件2),按照四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目比选综合评分表(详见附件3)对参加比选的申请人进行打分;比选小组有权对文件资料内容进行核实,一旦发现虚假信息(不论是在比选过程中,还是确定中选人之后),将直接取消比选申请人的参选/中选资格。
3.比选小组对分数进行统计,总分排名第一的比选申请人确定为四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目的中选候选人。
4.比选结果公示无异议后交由四川省药械招标采购服务中心支委会审议。
5.由四川省药械招标采购服务中心与中选人签订《四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目服务合同》。
(三)联系方式及地址。
联系人:吴老师 联系电话:028-85155302
地点:成都市青羊区鼓楼北三街82号德盛大厦二楼四川省药械招标采购服务中心
附件:1.
四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目响应文件格式.docx
2.四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目比选申请人资格审查表.docx
3.四川省药械集中采购及医药价格监管平台年度网络安全等级保护测评项目综合评分表.docx
5.承诺函.docx
