大庆市大同区中西医结合医院信息等级保护安全服务项目采购竞争性谈判公告大庆市政府采购中心受采购人委托对大庆市大同区中西医结合医院信息等级保护安全服务项目采购组织谈判，本项目面向各类企业进行采购，欢迎有能力的国内供应商参加。一、项目编号：DZC********二、项目名称：大庆市大同区中西医结合医院信息等级保护安全服务项目采购三、采购方式：竞争性谈判本项目要求以电子标书参与谈判，不接受纸质谈判响应文件（除《原件（样品）检验登记表》要求提供的资料外），否则谈判无效。具体制作文件的步骤请参考http://***.******.***.cn/bsznTbr/*****.htm?pa=****咨询电话：****-*******四、技术需求及数量：大庆市大同区中西医结合医院信息等级保护安全服务项目采购，本项目共设*个标段，预算：***,***.**元，参与竞争供应商谈判最终报价超出预算的谈判无效。详细需求见大庆市公共资源交易中心网（http://***.******.***.cn/）《招标公告》。五、供应商资格条件：除符合《中华人民共和国政府采购法》中有关供应商申请取得政府采购资格的相关条件外，还应符合下述资格条件：*、提供参与本项目竞争供应商有效的营业执照或事业单位法人证书。*、提供参与本项目竞争供应商有效的信息安全等级保护测评机构推荐证书。*、要求拟派本项目技术人员*人，提供以上技术人员有效的信息安全等级保护安全建设专业技术人员证书*份及信息安全保障人员认证证书*份。*、本项目不接受联合体参与竞争。六、本项目面向各类企业进行采购。本项目对所投大庆市大同区中西医结合医院信息等级保护安全服务项目执行政府采购扶持中小企业的相关政策。详见《政府采购促进中小企业发展暂行办法》。参与本项目供应商如属于小、微企业，则须提供“小微企业声明函”，格式详见竞争性谈判文件第六部分。（*）根据相关政策，参与本项目供应商为小型或微型企业的，且所投大庆市大同区中西医结合医院信息等级保护安全服务项目为参与本项目供应商提供的服务，则对所投大庆市大同区中西医结合医院信息等级保护安全服务项目的价格给予*%的扣除，用扣除后的价格参与评审。参与本项目供应商需提供本企业的小微企业声明函（须按规定格式填写声明函一）。（注：以上“用扣除后的价格参与评审”是指谈判现场，依据供应商所投大庆市大同区中西医结合医院信息等级保护安全服务项目最终谈判报价进行*%的扣除。七、获取文件须知*、获取文件时间：公告之日起至****年*月*日**时*分截止。注：请参与本项目谈判的供应商在****年*月*日**时*分前自助下载文件，逾期则无法下载文件，由此造成的后果由供应商自行承担。*、该项目采取供应商网上自助的方式。在大庆市政府采购网或黑龙江省政府采购网注册的供应商且供应商注册信息审核状态达到“有效”或“入库”或“合格”状态，可网上自助下载文件。未注册的供应商请注册后，按照网站中“办事指南”中的说明网上下载文件。八、申请退出竞争程序及注意事项：*、参与本项目竞争的供应商应严格遵守《诚信竞争承诺书》，如果供应商已下载文件后因自身原因需要退出竞争，必须在投标截止时间**小时前，在大庆市电子政府采购交易管理平台提出退标申请，并说明合理退标理由。否则，计入不良行为记录名单一次。供应商已下载文件后无故未参与竞争或未按规定程序申请退出竞争的，将被计入不良行为记录名单。**个月内：供应商被计入不良行为记录*次的，我中心将限制其*个月内参与大庆市政府采购竞争；供应商被计入不良行为记录累计*次的，我中心将限制其*个月内参与大庆市政府采购竞争；供应商被计入不良行为记录累计*次的，我中心将限制其*个月内参与大庆市政府采购竞争。同时*年内不能被推荐为诚信供应商。退出竞争事宜联系人：李维? 联系电话：****-********、通过大庆市电子政府采购交易管理平台提出退标申请，并经我中心受理备案的，可在大庆市电子政府采购交易管理平台办理退还保证金事宜。*、未按规定程序申请退出竞争的，无权向大庆市政府采购中心申请退还谈判保证金。*、未按规定程序申请退出竞争的，我中心将视情况作出相应处理。*、已经在大庆市电子政府采购交易管理平台提出退出申请的供应商或擅自不参加本项目竞争的供应商，不得再参与该项目后期的采购活动。九、谈判保证金*、参与本项目竞争的供应商，须按相关规定向大庆市公共资源交易中心账户预交谈判保证金：*,***.**元，谈判保证金必须由参与本项目竞争的供应商以本单位对公账户名义，且以转帐方式交纳，不接受企业或个人以现金方式交纳谈判保证金（包括直接将现金存到大庆市公共资源交易中心账户上的行为），不得以其他单位或以个人名义代交。谈判保证金缴纳证明须扫描上传到大庆市公共资源交易管理平台谈判文件中，否则，谈判无效。*、以担保保函方式提交谈判保证金的，应提交经财政部认******或经黑龙江省财政厅认定的黑龙******或大庆市财政局认定的******、大******出具的投标保函，或对公账户开户银行出具的投标保函及对公账户开户许可证。投标保函应按谈判文件中规定的“政府采购投标保函”样式出具，不按谈判文件规定的“政府采购投标保函”样式出具的投标保函，大庆市政府采购中心不予接受。同时应将投标保函原件带到开标现场，并提供投标保函复印件一份。否则，谈判无效。对投标担保保函咨询******、黑龙******、******、大******联系，联系电话：******：***-********? 黑龙******：****-********/**************：****-*******大******：****-********、大庆市公共资源交易中心账户信息：户? 名：大庆市公共资源交易中心开户银行：******大庆市直支行账号：********************行号：************注：填写汇款单时，需要标注项目编号或订单编号。*、谈判保证金不允许串项目使用，交纳其他项目的保证金不能用作本项目。*、使用保证金年卡的供应商须将保证金年卡扫描上传到大庆市公共资源交易管理平台谈判文件中，保证扫描内容清晰可查，否则谈判无效。建议参与政府采购活动频率高的供应商办理保证金年卡，年卡可在谈判（履约）保证金上限内重复使用，超出部分补差即可。保证金年卡可同时用作投标和履约保证金。*、谈判保证金的退还：谈判保证金一律采取转账方式无息退还至原汇款账户。未成交供应商请在成交通知书（成交公告）发出后主动在大庆市公共资源交易管理平台提出保证金退款申请，*个工作日内退还。成交供应商请在合同签订后的平台内提出退款申请，*个工作日内退还。退款申请详细内容：未成交供应商全称、开户行、账号、金额、项目编号、联系人、联系电话。否则，谈判保证金滞留的责任由供应商自行承担。成交供应商必须在合同签定后方可退该项目的谈判保证金。*、办理交纳或退还保证金事宜，如有疑问请与我中心办公室财务人员联系。电话：****—*******，传真：****-*******。*、发生下列情况之一，谈判保证金将不予退还：（*）供应商在提交响应文件截止时间后撤回响应文件的；（*）供应商在响应文件中提供虚假材料的；（*）除因不可抗力或谈判文件认可的情形以外，成交供应商不与采购人签订合同的；（*）成交方不按本文件及成交通知书规定签订合同协议；（*）将成交项目转让给他人,或者在谈判响应文件中未说明,且未经采购中心同意,将成交项目分包给他人的；（*）拒绝履行合同义务的；（*）供应商与采购人、其他供应商或者采购代理机构恶意串通的；（*）谈判文件规定的其他情形。十、招标文件售价：免费。十一、预计提交文件截止时间及谈判时间：****年*月**日*时**分，具体时间以竞争性谈判文件为准（开标地点：大庆市行政服务中心四楼开标室）。十二、注意事项：*、供应商请主动到大庆市公共资源交易中心网(http://***.******.***.cn/)《交易信息》栏目下载招标文件及后续发布的与本项目相关的各类文件（如：预备会纪要、变更通知、有关问题答复、质疑答复等相关文件）。注：在大庆市政府采购网或黑龙江省政府采购网注册的供应商且供应商注册信息审核状态达到“有效”或“入库”或“合格”状态，可网上自助下载文件。自助下载文件须办理数字证书，未办理数字证书的请查看http://***.******.***.cn/szzs.htm，咨询电话****-*******。供应商必须下载招标文件。关于下载招标文件及相关文件事宜，采购中心不另行通知，均以发布的文件为准。由于供应商未及时下载与本项目相关的各类文件而影响供应商正常参与投标以及产生的其他问题和后果的，责任由供应商自行承担。*、供应商应详细阅读本公告，符合条件即可参与。本项目要求的供应商资格证明文件下载文件时不需提供，参标供应商将所有资格证明文件提供到开标会上，由评标委员会审查，经评审不符合条件者谈判无效。*、未在大庆市政府采购网或黑龙江政府采购网注册的供应商，无法网上下载文件。未在大庆市政府采购网或黑龙江省政府采购网进行供应商注册的企业，请到***.******.***.cn，点击进入“大庆”登记注册。*、获取文件截止时未在大庆市政府采购网或黑龙江政府采购网注册的供应商，本项目无法下载文件；在谈判前供应商注册信息审核状态未达到“有效”或“入库”或“合格”状态，则谈判无效。未通过黑龙江省政府采购网注册审查的供应商，请联系政府采购网所属区县的采购管理办公室。萨尔图区入网审核咨询电话：****-*******&#xa*;。让胡路区入网审核咨询电话：****-*******。龙凤区入网审核咨询电话：****-*******。高新区入网审核咨询电话：****-******* 。红岗区入网审核咨询电话：****-*******。大同区入网审核咨询电话：****-*******。具体要求请查阅http://***.******.***.cn/szzs.htm《办事指南》栏目——供应商参与投标指南。*、本项目谈判过程全程音视频监控，如参与本项目竞争企业或个人对谈判过程有疑义,可以书面形式提出，由政府采购监督部门视情况调阅监控录像进行审查。因此，所有参与本项目竞争企业和个人不得对谈判过程进行录音、录像、摄影，或者通过发送邮件、博客、微博客等方式传播谈判过程，一经发现，谈判无效，造成损失和影响的，将追究法律责任（经允许的除外）。*、单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的政府采购活动。集中采购机构：大庆市政府采购中心集中采购机构地址：大庆市萨尔图区东风新村纬二路*号（大庆市行政服务中心三楼）网? 址：http://***.******.***.cn/集中采购机构联系人：李维集中采购机构联系电话：****-*******采购单位：大庆市中西医结合医院采购单位地址：大庆市中西医结合医院采购单位联系人：张会新采购单位联系方式：***********邮? 编：******日期：****年*月*日&#xa*;&#xa*;? 项目需求品目数量单位采购项目技术参数要求等级保护测评*项*、等级保护安全服务内容按照《网络安全法》、《信息系统安全等级保护测评要求》对大庆市中西医结合医院HIS平台三级等级保护测评并核发等级保护证书和技术检测评估报告，一、技术要求（一）测评依据根据《信息系统安全等级保护基本要求》、《信息系统安全等级保护测评要求》、《信息系统安全等级保护测评过程指南》、《中华人民共和国信息安全等级保护管理办法》等相关政策和技术标准，对我单位信息系统进行等级保护测评。（二）测评服务要求*.在确保信息系统正常运行的前提下，根据国家等级保护相关标准对各系统进行等级保护测评。测评工作需由高级测评师根据《等保测评过程指南》进行前期信息系统的调研，并编写针对信息系统等级保护测评的实施方案，测评完成后，根据测评结果编写信息安全等级保护测评报告。*.信息安全等级保护测评工作完成后，形成信息安全等级保护测评报告，报告中应包含单项测评结果、单元测评结果、层面间分析、区域间分析等内容，并结合我单位网络信息系统的实际情况，指出信息系统中存在的安全薄弱环节，提出安全整改建议。*.测评人员要具有项目测评经验，可有效保障测评安全，及时有效处理测评中出现的问题。*．测评项目组至少信息安全等级保护安全建设专业技术人员*人，信息安全保障人员*人组成。*．采用的测评工具必须获得正版授权，并在有效期内，不得使用盗版软件。*．采用的测评工具在功能、性能等满足使用要求前提下，应优先采用具有国内自主知识产权的同类产品。*. 对我单位拟定测评的系统提供信息系统备案服务、信息系统等级保护测评服务、漏洞扫描服务。应交付的产物如下：A. 直属地公安局出具的系统备案证明B. 系统安全等级测评报告C. 信息系统漏洞扫描报告D. 技术检测评估报告*.漏洞扫描A、提供每季度一次、为期一年的WEB应用弱点扫描服务，内容涵盖：深度扫描：以WEB漏洞风险为导向，通过对WEB应用（包括WEB*.*、JAVAScript、FLASH等）进行深度遍历，以安全风险管理为基础，支持各类WEB应用程序的扫描。WEB漏洞检测：提供有丰富的策略包，针对各种WEB应用系统以及各种典型的应用漏洞进行检测（如SQL注入、Cookie注入、XPath注入、LDAP注入、跨站脚本、代码注入、表单绕过、弱口令、敏感文件和目录、管理后台、敏感数据、第三方软件等）。网页木马检测：对各种挂马方式的网页木马进行全自动、高性能、智能化分析，并对网页木马传播的病毒类型做出准确剖析和网页木马宿主做出精确定位。配置审计：通过当前弱点获取数据库的相关敏感信息，对后台数据库进行配置审计，如弱口令、弱配置等。B、提供每季度一次、为期五年的数据库弱点扫描服务，内容涵盖：权威的弱点规则库：权威数据库安全专家提供最全面、最准确和最新的弱点知识库。PCI/DSS合规扫描：支持PCI/DSS安全认证标准合规扫描，协助用户PCI/DSS合规性评估，证明用户在数据安全方面的承诺深度的弱点检测：提供对数据库“弱点、不安全配置、弱口令、补丁”深层次安全检测及准确评估。完备的类型支持：支持业界主流的数据库类型，包括Oracle、MSsql、DB*、Informix、Mysql、Sybase等。优异的扫描引擎：扫描引擎确保系统工作时对数据库及服务器性能影响最小化。灵活的策略管理：策略即数据库检测的依据和标准，策略管理可以灵活制定不同的检测标准，根据用户的实际测试目的，定制不同的策略，并可以自行添加策略项扩充策略库检测数据库的安全漏洞。用户管理：产品默认用户分为三类：管理员，审计员和操作员。管理员可以对审计员和操作员进行角色权限分配。审计员可以审计程序运行日志。操作员可以根据自己权限情况进行相应的操作，使用相应的功能。也可以由管理员创建新的角色给予相应的权限。日志管理：记录该产品运行中的所有操作。提供对这些操作信息的检索、查看等功能。也可将日志信息导出保存为CSV格式的文档。丰富的扫描报告：扫描结果通过灵活的报表呈现给用户，支持各类格式输出，并提供弱点分级、相应加固建议方案以及自定义报表内容。方便的操作管理：充分考虑国内用户的使用习惯，提供全中文的操作界面，提供向导模式帮助使用者轻松完成扫描项目的配置。C、提供每季度一次、为期五年的主机安全弱点扫描服务，对主机操作系统的安全配置弱点进行扫描，主要包括如下：密码安全；用户权限划分配置；Guest是否禁用；登录失败设置；安全审计设置；防火墙开启情况及配置；恶意代码防范情况；程序组件安装情况；服务启用情况；端口开放情况；默认共享开启情况；管理地址限制情况D. 提供每季度一次、为期五年的网络设备安全弱点扫描服务，对网络设备的安全配置弱点进行扫描，主要包括如下：密码安全配置；访问控制策略配置；路由配置；Vlan划分配置；用户权限划分配置；SSH及TELNET配置；登录超时配置；SNMP配置；审计日志设置；协议启用情况；管理地址限制情况；CPU、内存、风扇等资源使用情况；链路状态情况；闲置端口开关情况；软件版本情况；时钟同步配置（三） 测评指标*. 安全要求从整体上分为技术和管理两大类，其中，管理类和技术类安全要求按其保护的侧重点不同，《信息安全技术信息安全等级保护基本要求》将所有的控制点分为以下三类：安全要求：业务信息安全类 关注的是保护数据在存储、传输、处理过程中不被泄露、破坏和免受未授权的修改系统服务安全类 关注的是保护系统连续正常的运行，避免因对系统的未授权修改、破坏而导致的系统不可用。通用安全保护类 既关注保护业务信息的安全性，同时也关注系统的连续可用性*. 信息系统控制点测评指标跟据《信息安全技术 信息安全等级保护基本要求》对信息系统的控制点测评指标的要求，控制点测评指标见下表：三级信息系统控制点测评指标合计 **（类）*. 信息系统要求项测评指标信息系统安全保护等级，其需要测评的基本指标：**个安全分类，**个控制点（安全子类），***个要求项，其中技术要测评的**个控制点***个要求项；管理要测评的**个控制点***个要求项。（四）评测机构能力要求*.测评机构能够把握和理解国家对该类项目的具体要求，对等级保护政策标准本身有较深的认识。*.测评机构要具有某省信息系统安全等级保护协调小组办公室颁发的《信息安全等级保护测评机构推荐证书》*.测评机构应具有完善的工作流程，有计划、按步骤地开展测评工作，保证测评活动的每个环节都得到有效的控制。*.为维护我单位的利益，测评机构在我单位实际测评工作中对我单位的系统、信息、数据有安全保密的义务，进场时必须签订保密协议。*.测评机构在现场测评工作中必须在不影响我单位各业务系统对外服务的前提下进行。*.中标方必须提供由某省信息系统安全等级保护协调小组办公室推荐的测评机构，出具针对本次项目的《大庆市中西结合医院HIS系统》安全等级保护测评报告、直属地公安局出具的系统备案证明，作为验收的重要组成部分。? *、为应对网络安全突发事件，保障网络安全等级保护安全服务质量，中标方必须成立网络安全等级保护服务小组服务。服务人员具备公安机相关机关的信息安全等级保护安全建设专业技术人员*名、*名信息安全等级保护测评师。&#xa*;&#xa*;&#xa*;&#xa*;&#xa*;&#xa*;*&#xa*;&#xa*;