信息安全等级保护测评招标文件 - 绍兴文理学院附属医院.doc

信息系统安全等级保护测评服务 招标采购文件绍兴文理学院附属医院招 标 采 购 文 件项目名称：系统信息安全等级保护测评 为更好的保障信息系统的安全，按照信息系统安全等级保护的要求，需向社会招标采购信息系统安全等级保护测评服务。请具有相应资质的企业（必须为“浙江省信息安全等级保护工作协调小组”推荐的测评机构）前来参加投标，并请按招标文件的要求认真准备好投标书，标书以纸质方式，按时递交投标书。招 标 人：绍兴文理学院附属医院招 标 内 容：系统信息安全等级保护测评服务投 标时间和 地 点： 另行通知 公示截止时间： 2012 年 12月 14 日 12 时。联 系 人： 王赵祥 联 系 电 话： 0575- 88619955 邮 政 编 码： 312000 请在此时间前电话报名，逾期或不符合条件的投标人恕不接受。绍兴文理学院附属医院日期:2012年 12 月 07 日第一部分 投标人须知1.1 导则1.1.1 项目名称：信息安全等级保护测评服务1.1.2 招标人：绍兴文理学院附属医院1.1.3 投标人：经审查符合本次招标的相应资质要求，参加招标的投标人。投标人必须为“浙江省信息安全等级保护工作协调小组”推荐的测评机构。1.1.4 中标人：最终授予合同的投标人。1.2 术语定义保密信息：指双方签订和执行合同过程中接触和产生的所有文件和成果信息，包括所有软件、软件目录、文件、信息、数据、图纸、基准测试、技术规格、商业秘密等。1.3 项目概况本次参与信息系统安全等级保护测评的信息系统共有 2个，其中系统安全保护等级为 2 级的两个。1.4 招标范围本项目招标范围包括对上述 2 个信息系统的等级保护测评服务、整改建设咨询服务以及配合绍兴市公安局监督检查及备案相关工作。1.5 投标人要求投标人应满足下面的资格条件：1.5.1 法人地位：投标人必须是一个依据中华人民共和国有关法律设立，并在中华人民共和国境内正式注册，具有独立法人地位的企业。投标人应提供有效的营业执照副本（复印件加盖公章，原件备查）。1.5.2 投标人资质：投标人必须为浙等保【2011】3号文件浙江省信息安全等级保护工作协调小组文件中公布推荐的浙江省信息安全等级保护测评机构。1.5.3 主要人员要求：执行本项目实施服务的主要人员不得少于5人，必须具备从事等级保护测评工作资格，具有参加等级保护测评服务项目的经验、案例。1.5.4 投标人技术能力要求：投标人应具有针对本项目要求的技术手段。1.5.5 投标人应仔细阅读本招标文件，严格按照本招标文件的内容和要求编制应答文件，并承担应答文件编制和递交过程中的一切费用和风险。1.5.6 投标人必须承诺对从招标活动中获得的招标人相关资料承担保密责任。1.6 投标文件的编制1.6.1 投标人应根据招标文件要求准备应答文件，应答文件包括：第一部分 商务文件a) 投标人总体介绍b) 法人代表授权书c) 投标人资格文件d) 相关服务项目清单e) 工作进度计划f) 技术支持第二部分 技术文件a) 测评实施方案b) 技术建议（如果有）第三部分 报价函a) 报价声明及报价表1.6.2 投标人应提交证明其实施服务的合格性符合招标文件规定的文件，并作为其应答文件的一部分。它可以是文字资料、图纸和数据，实施服务包括：项目启动、实施方案、实施流程、相关成果的提交及培训等，以及技术支持的描述。1.6.3 投标人应按招标文件中规定的报价表格式对本次招标范围内实施服务、维护与支持进行报价。该报价为完成本项目提供合格服务所需要的全部费用，包括测评费、服务费、资料费、管理费、利润、税收等，投标人应填写报价表和各种分项报价表。若单价和总价有差异，则以单价为准，并对总价进行修正；若小写和大写表示的金额之间有差异，则以大写金额为准，并对小写金额作相应的修正。1.6.4 本项目报价为固定价格报价，投标人应充分考虑服务实施期间各类市场价格和政策性价格调整因素，确定价格风险计入总报价，今后不作调整。按可调整价格报价的应答文件将被拒绝。1.6.5 投标人应遵照国家有关规定，对本招标文件的内容进行报价。本项目所发生的一切费用均以人民币结算及支付；投标人应按规定向政府有关纳税机交纳本合同中所涉及的税费。1.6.6提交工作进度计划及实施方案为完成招标范围的工作，投标人应招标文件的内容要求提交工作的实施进度计划，并在计划中重点列出可能会影响工期的关键工作和项目。1.6.7应答文件的商务文件和技术文件一式肆份（正本壹份，副本叁份）。1.6.8应答文件的报价函一份（正本）。1.6.9 应答文件的正本必须打印，并由法人代表或经正式授权代表在文件上签字并在文件封面上加盖单位公章。投标报价文件的副本采用正本的复印件。 1.6.10应答文件的正本和副本，应包括有招标文件规定的全部文件以及投标人认为必要的文件。1.6.11全套应答文件应无涂改和行间插字，除非这些删改是根据招标人的指示进行的，或者是投标人认为必须修改的。修改处应有投标人代表（法定代表人或授权代表人）签字或盖章。1.7 应答文件的密封和标记1.7.1 应答文件的商务文件和技术文件应密封包装在密封袋中，密封袋上应加盖投标单位公章。1.7.2 应答文件的报价函单独用信封密封，并在密封口上加盖单位公章。1.7.3 每一密封袋上相应标明袋内文件名称及正本或副本，并在袋上注明：投标项目编号名称： 投标单位名称： 地 址： 联 系 电 话： 传 真： 联 系 人： 1.8 投标纪律1.8.1 投标人申报的关于资质、业绩等的文件和材料必须真实准确，不得弄虚作假。1.8.2 投标人不得串通作弊，哄抬标价，致使定标困难或无法定标。1.8.3 投标人不得采用不正当手段妨碍、排挤其它投标人，破坏公平竞争。1.8.4 投标人不得打听和搜集评标机密，不得以任何形式干扰评标或授标工作。1.8.5 投标人若违反上述要求，其投标将被废除。1.9 应答文件开封1.9.1 收到可“撤回”通知的应答文件将不予开封。1.9.2 迟到的应答文件将原封退回投标人。1.10 招标文件的评审1.10.1 截止时间之后的应答文件将不被接收。未加盖法人章、应答文件未密封、候选投标人无授权，将视为无效应答文件。1.10.2 不当场开标，以最低价优先中标。采购人不向投标人解释未中标的原因，不退还投标文件。1.10.3 中标人应在收到中标通知书后3天内与招标人签订合同。1.11 应答文件的澄清为有助于对投标书的审查、评价和比较，评标期间可分别要求投标人对其应答文件进行澄清或答疑，有关澄清或答疑要求的答复应以书面形式提交，但不得对投标报价或实质性内容做任何修改。1.12 应答文件拒绝在合同签订之前，招标人保留在任何时候接受或者拒绝任何一个投标，宣布投标过程无效和拒绝所有的投标权力，而且不须对受此影响的投标人或投标团体负任何责任，不负责将招标人行为的背景通知给受此影响的投标人或投标团体。1.13 合同谈判及授予1.13.1招标人保留调整招标范围、技术条款的权利。1.13.2在授予合同前的任何时候，招标人有权有选择地接受或拒绝任何报价。1.14 其他要求1.14.1 投标人应保证招标人不因使用了投标人提供的第三方软件而产生侵权，若有任何侵权行为，投标人必须承担由此产生的一切索赔和责任。1.14.2 招标人利用投标人提交的技术服务工作成果所完成的新的技术成果，归双方所有。1.14.3 投标人利用招标人提供的技术资料和工作条件所完成的新的技术成果，归双方所有。第二部分 技术条款2.1 概述2.1.1. 本技术条款是招标人对信息系统进行安全等级保护测评的主要技术服务要求，供投标人编写报价文件之用。2.1.2. 本技术条款所提出的各项要求，是本次信息系统安全等级保护测评依据，投标人应根据本文件中的相关说明和要求，提供测评方案和报价。2.1.3. 投标人在测评方案书中，对能提供的信息系统安全等级保护测评进行详细说明，可根据具体情况在项目方案中提出建议，并附详细资料和说明。2.1.4. 投标人应对提供测评服务时所使用的设备及软件保证拥有设备软硬件的知识产权和所有权，并对所涉及的专利、知识产权等法律条款承担义务，招标人以上问题不承担任何法律责任。2.1.5. 若投标人的设备和系统包含自己的专用标准，应在建议书中具体说明，并附上相应的详细技术资料。2.1.6. 招标人在任何时候保留对本文件的解释和修改权，招标人有权在签定合同前，根据需要修改和补充本技术条款，修改补充后的最终规范书将作为合同的附件。2.2 项目描述2.2.1 系统描述本次参于安全等级保护测评的为“标1” 2 个信息系统及如下描述的服务，预算金额：陆万壹仟元整。标1：序号系统名称测评等级1基础支撑系统二级2面向患者服务系统二级2.2.2 依据标准投标人应依据国家等级保护相关标准开展工作，依据标准包括但不限于如下国家标准：l gb/t 22239-2008 信息安全技术 信息系统安全等级保护基本要求 l gb/t 22240-2008 信息安全技术 信息系统安全等级保护定级指南l gb/t 25058-2010信息安全技术信息系统安全等级保护实施指南l 信息系统安全等级保护测评要求（报批稿）2.2.3 测评内容根据国家等级保护相关标准，投标人对绍兴文理学院附属医院信息系统安全等级保护测评的内容包括但不限于以下内容：(1) 安全技术测评：包括物理安全、网络安全、主机系统安全、应用安全和数据安全等五个方面的安全测评；(2) 安全管理测评：安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等五个方面的安全控制测评；2.3 技术服务2.3.1. 测评应满足的原则本次安全保护等级保护测评实施方案设计与具体实施应满足以下原则：（1） 保密原则：对测评的过程数据和结果数据严格保密，未经授权不得泄露给任何单位和个人，不得利用此数据进行任何侵害招标人的行为，否则招标人有权追究投标人的责任。（2） 标准性原则：测评方案的设计与实施应依据国家等级保护的相关标准进行。（3） 规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。（4） 可控性原则：测评服务的进度要跟上进度表的安排，保证招标人对于测评工作的可控性。（5） 整体性原则：测评的范围和内容应当整体全面，包括国家等级保护相关要求涉及的各个层面。（6） 最小影响原则：测评工作应尽可能小的影响系统和网络，并在可控范围内；测评工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。投标人应严格依照上述原则和国家等级保护相关标准开展项目实施工作。2.3.2. 本次等级保护测评的整体要求（1） 投标人应详细描述本次等级保护测评的整体实施方案，包括项目概述、等保测评方案、项目实施方案、测试过程中需使用测试设备清单、时间安排、阶段性文档提交和验收标准等。（2） 投标人应详细描述测评人员的组成、资质及各自职责的划分。投标人应配置有经验的测评人员进行本次等级保护测评工作。 （3） 本次等级保护测评实施过程中所使用到的各种工具软件由投标人推荐，经招标人确认后由投标人提供并在测评中使用。在投标文件中应详细描述所使用的安全测评工具（软硬件型号、功能和性能描述）、使用的方式和时间、对环境和平台的要求以及使用可能对系统造成的风险等。（4） 安全测评工具软件运行可能需要的硬件平台（如笔记本电脑、pc、工作站等）和操作系统软件等由投标人推荐，经招标人确认后由投标人提供并在测评中使用。（5） 安全测评需要的运行环境（如场地、网络环境等）由招标人提供，投标人应详细描述需要的运行环境的具体要求。2.3.3. 安全测评报告投标人应对招标人的各个信息系统进行等级保护测评，形成相应的报告。（1） 投标人在测评后出具符合绍兴市公安局要求的系统安全保护等级测评报告；（2） 投标人协助招标人办理信息系统安全保护等级备案手续。2.4 对报价文件的要求投标人承诺在方案中提到的各项服务均含在本次报价范围内。2.5 项目验收2.5.1. 本项目的目标是输出等级保护测评报告，并配合办理信息系统安全保护等级备案手续，该项目将产生一定数量的文档。2.5.2. 投标人应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。2.5.3. 投标人应提交验收方案，供招标人参考。2.5.4. 招标人将依据本项目的要求，组织相关部门或单位的技术专家对投标人提交的项目成果进行验收。2.6 项目承诺2.6.1. 投标人应满足招标人提出的标准性、规范性、可控性、整体性、最小影响性及保密性原则，做到守时、保质。2.6.2. 保密性要求：投标人必须和招标人签订保密协议和非侵害性协议，投标人必须要与参加此次测评项目的所有项目组成员签订保密协议和非侵害性协议，在合同签定时一并提供给招标人。2.6.3. 投标人具体测评工作和等级保护测评报告的编写，必须在招标人的指定地点进行。对于测评中的重要资料和结果，在测评期间和测评结束后，投标人不得带离该地点。2.6.4. 投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。2.6.5. 等级保护测评的品质保证：投标人应承诺指派工作经验丰富、技术实力雄厚的安全顾问，结合技术领先、结论可靠的测评工具为客户作全面等级保护测评。承诺测评过程按照国家标准进行，并保证对客户的资料严格保密。2.7 其他2.7.1. 投标人投标书中需要对投标人等级保护测评的过往实施情况做相应说明，并附详细资料。2.7.2. 投标人应提供机构背景材料、等级保护测评专业资质及其他认为可以体现技术能力的资质。2.7.3. 投标人应提供测评成员的技术背景资历资料、从事测评的经验、人力资源的组织方式、项目实施的管理方式、项目成员的角色和责任。2.7.4. 投标人应提出需要招标人配合的工作事项。2.7.5. 投标人应提供信息安全等级保护相关知识培训服务。2.7.6. 测评结束后期服务承诺：应标人在招标人现有信息系统等级不变的情况下，2年内对招标人现有信息系统扩建的网络，提供安全性分析服务，并对发现的相关问题提出合理化建议。2.8 商务部分 （30分）满足招标文件要求且投标报价最低的投标报价为评标基准价，其价格分为满分。其他投