【正文】 分具備信息安全等級保護測評師認證（1分）投標(biāo)人安全服務(wù)小組內(nèi)實施人員無信息安全等級保護測評師認證（0分）安全服務(wù)小組內(nèi)實施人員應(yīng)包含Cisco CCIE、華為、華三等認證的安全服務(wù)工程師（項目實施人員應(yīng)為投標(biāo)人的本單位的正式員工，要求提供相關(guān)認證原件、勞動合同和社保證明）。投標(biāo)人安全服務(wù)小組內(nèi)實施人員應(yīng)包含ISO2700ITIL等認證的安全服務(wù)工程師（項目實施人員應(yīng)為投標(biāo)人的本單位的正式員工，提供相關(guān)認證原件、勞動合同和社保證明）。投標(biāo)人實施能力，提供自2014年至今金融行業(yè)三級或三級以上信息系統(tǒng)測評成果案例一項（3分）測評系統(tǒng)為四級系統(tǒng)：3分 測評系統(tǒng)為三級系統(tǒng)：1分測評系統(tǒng)為二級及以下系統(tǒng)：0分 價格（20分）（1）投標(biāo)報價超過采購預(yù)算的，投標(biāo)無效，未超過采購預(yù)算的投標(biāo)報價按以下公式進行計算（2）投標(biāo)報價得分=（評標(biāo)基準價/投標(biāo)報價）20 注：滿足招標(biāo)文件要求且投標(biāo)報價最低的投標(biāo)報價為評標(biāo)基準價第二部分技術(shù)因素（65分）信息安全等級保護差距分析（8分）投標(biāo)人應(yīng)根據(jù)招標(biāo)人信息系統(tǒng)現(xiàn)狀情況，結(jié)合該信息系統(tǒng)級別要求，建立相關(guān)方案，分析招標(biāo)人信息系統(tǒng)與等級保護要求的差距情況，并出具《信息安全等級保護差距分析報告》 投標(biāo)人相關(guān)項目經(jīng)驗豐富，熟悉差距分析內(nèi)容，建立詳細的差距分析方案，并在差距分析工作完成后出具符合要求的《信息安全等級保護差距分析報告》（8分）投標(biāo)人相關(guān)項目經(jīng)驗較多，比較熟悉差距分析內(nèi)容，所建立差距分析方案內(nèi)容比較詳盡，可在差距分析工作后出具相關(guān)文件（4分）投標(biāo)人相關(guān)項目經(jīng)驗很少，不熟悉差距分析內(nèi)容，所建立差距分析方案內(nèi)容不充分，無法在差距分析工作后出具相關(guān)文件（0分）信息安全等級保護方案（27分）投標(biāo)人服務(wù)方案規(guī)范化及標(biāo)準化程度（7分）投標(biāo)人相關(guān)項目經(jīng)驗非常豐富，非常熟悉完成項目所有工作內(nèi)容，提供的服務(wù)方案規(guī)范性及標(biāo)準化程度很高：7分； 投標(biāo)人相關(guān)項目經(jīng)驗較多，比較熟悉完成項目所有工作內(nèi)容，提供的服務(wù)方案規(guī)范性及標(biāo)準化程度比較好：5分；投標(biāo)人相關(guān)項目經(jīng)驗很少，基本能夠完成項目所有工作內(nèi)容，提供的服務(wù)方案規(guī)范性及標(biāo)準化程度一般：3分；投標(biāo)人服務(wù)方案的針對性、可行性、完整性（10分）服務(wù)方案完整，充分考慮用戶需求，服務(wù)方案針對性及可行性很高：10分 服務(wù)方案比較完整，服務(wù)方案具有一定的針對性及可行性：7分 服務(wù)方案不夠完整，且服務(wù)方案的針對性及可行性一般：4分 投標(biāo)人服務(wù)方案中對本服務(wù)項目任務(wù)、需求的理解程度（10分）全面分析了用戶現(xiàn)狀、性能要求、實施要求等內(nèi)容，對于本項目任務(wù)目標(biāo)及需求理解深刻：10分；對于用戶系統(tǒng)現(xiàn)狀、性能要求、實施要求等內(nèi)容闡述不夠充分，對于本項目任務(wù)目標(biāo)及需求有基本了解：7分；對用戶信息化現(xiàn)狀、業(yè)務(wù)需求了解不夠充分：4分 信息安全等級保護響應(yīng)（6分）投標(biāo)人應(yīng)響應(yīng)招標(biāo)人信息系統(tǒng)等級評測需求，完成其重要信息系統(tǒng)等級安全測評，出具符合國家規(guī)定的等級測評報告，負責(zé)提交有關(guān)部門，并保證招標(biāo)人信息系統(tǒng)可以順利通過等保評測。安全管理測評：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。投標(biāo)人出具符合國家標(biāo)準的正式版測評報告，并報送相關(guān)部門； 投標(biāo)人針對報告中提出的安全整改項協(xié)助投標(biāo)人完成整改工作的；投標(biāo)人滿足全部要求得6分，投標(biāo)人滿足一項要求得3分，無滿足得0分。具有完善的質(zhì)量控制方案（6分）質(zhì)量控制方案內(nèi)容一般（3分）質(zhì)量控制方案內(nèi)容較差（1分）應(yīng)急處置方案（6分）投標(biāo)人應(yīng)針對測評過程中各項環(huán)節(jié)可能出現(xiàn)的突發(fā)事件建立針對本項目的應(yīng)急處置方案，以應(yīng)對突發(fā)事件出現(xiàn)后可迅速解決，防止給招標(biāo)人信息系統(tǒng)帶來影響。對信息系統(tǒng)的基礎(chǔ)資源和信息資源的價值大小、用戶訪問權(quán)限的大小、大系統(tǒng)中各子系統(tǒng)的重要程度進行區(qū)別對待就是級別的客觀要求。信息安全等級保護工作非常重要，為此從2003年開始國家發(fā)布了一系列政策文件，具體如下：2003年9月，中辦國辦頒發(fā)《關(guān)于加強信息安全保障工作的意見》（中辦發(fā)[2003]27號），這是我國第一個信息安全保障工作的綱領(lǐng)性文件，戰(zhàn)略目標(biāo)為經(jīng)過五年努力，基本形成國家信息安全保障體系，實行等級保護制度。2005年9月，國信辦文件，《關(guān)于轉(zhuǎn)發(fā)《電子政務(wù)信息安全等級保護實施指南》的通知》（國信辦[2004]25號）：基本原理、定級方法、安全規(guī)劃與設(shè)計、實施與運營、大型復(fù)雜電子政務(wù)系統(tǒng)等級保護過程。2006年1月，四部委會簽《關(guān)于印發(fā)《信息安全等級保護管理辦法的通知》（公通字[2006]7號）。由于等級保護是國家推動的旨在規(guī)范安全工作的基本工作制度，因此各級組織在這方面就存在如下需求：（1）政策要求－符合等級保護的要求。（2）實際需求－適應(yīng)客戶實際情況。對系統(tǒng)進行定級后，需要通過努力達到相應(yīng)等級的基本安全要求，在總體上分為技術(shù)要求和管理要求，技術(shù)上又分為物理安全、網(wǎng)絡(luò)安全、主機安全、應(yīng)用安全、數(shù)據(jù)安全，在管理要求中又分為安全管理機構(gòu)、安全管理制度等5項，具體如下圖所示：由于等級保護制度還處于探討階段，目前來看，尚存在如下困難：“單個系統(tǒng)”出發(fā)，但實際工作是從組織整體出發(fā)，整體考慮所有系統(tǒng)，否則：a)各系統(tǒng)單獨保護，將沖突和割裂，形成信息孤島b)復(fù)雜大系統(tǒng)的分解和差異性安全要求描述很困難c)各系統(tǒng)安全單獨建設(shè)，將造成分散、重復(fù)和低水平，難以做到可持續(xù)運行、發(fā)展和完善，管理成本高《基本要求》規(guī)定針對上述問題，在下面幾小節(jié)分別給出了堅決辦法。實施后狀態(tài)：一套持續(xù)運行、涵蓋所有安全內(nèi)容的安全保障體系，是企業(yè)或組織安全工作所追求的最終目標(biāo)特質(zhì)：等級化：突出重點，節(jié)省成本，滿足不同行業(yè)、不同發(fā)展階段、不同層次的要求整體性：結(jié)構(gòu)化，內(nèi)容全面，可持續(xù)發(fā)展和完善，持續(xù)運行針對性：針對實際情況，符合業(yè)務(wù)特性和發(fā)展戰(zhàn)略安全組織體系安全策略體系安全技術(shù)體系安全運行體系某國有大型企業(yè)已經(jīng)采用了我們的可信等級體系，取得了良好的效果。通過本次工作，發(fā)現(xiàn)信息系統(tǒng)中存在的安全風(fēng)險，分析信息系統(tǒng)安全現(xiàn)狀與相關(guān)政策文件、技術(shù)標(biāo)準內(nèi)容要求的符合性情況，完善工作制度，提出安全建設(shè)加固建議。二、項目目標(biāo)、內(nèi)容按照國家等級保護相關(guān)標(biāo)準和要求，對其HIS、電子病歷系統(tǒng)（三級）、PACS和網(wǎng)站（二級）安全等級保護測評工作，找出系統(tǒng)現(xiàn)狀與相關(guān)標(biāo)準要求之間的差距，遵循適度原則，提出切實可行的整改建議，完成等級保護測評報告，并提供后續(xù)檢測服務(wù)。 《網(wǎng)絡(luò)安全法》216。 公安部、國家保密局、國家密碼管理局、國務(wù)院信息化工作辦公室制定的《信息安全等級保護管理辦法》（公通字 [2007]43號）。 《信息安全技術(shù) 信息系統(tǒng)安全等級保護基本要求》（GB/T222392008）216。 《信息安全技術(shù)信息系統(tǒng)安全等級保護實施指南》 216。 《信息安全技術(shù)信息系統(tǒng)安全等級保護測評過程指南》 216。 《信息安全技術(shù) 信息系統(tǒng)通用安全技術(shù)要求》（GB/T202712006）216。 《信息安全技術(shù) 操作系統(tǒng)安全技術(shù)要求》（GB/T 202722006）216。 《信息安全技術(shù) 服務(wù)器技術(shù)要求》（GB/T 210282007）216。 《信息安全技術(shù) 信息系統(tǒng)安全管理要求》（GB/T202692006）216。 GB/T 183362001 信息技術(shù) 安全技術(shù) 信息技術(shù) 安全性評估準則四、項目內(nèi)容通過詳細的系統(tǒng)調(diào)研，開展對其HIS、LIS系統(tǒng)（三級）、PACS和網(wǎng)站（二級）的等級保護測評工作，找出安全現(xiàn)狀與標(biāo)準要求之間的差距，并遵循適度安全的原則，協(xié)助制定安全整改建設(shè)方案，指導(dǎo)整改工作。測評的內(nèi)容包括但不限于以下內(nèi)容：216。 安全管理測評：安全管理機構(gòu)、安全管理制度、人員安全管理、系統(tǒng)建設(shè)管理和系統(tǒng)運維管理等五個方面的安全測評。中標(biāo)人出具加蓋CNAS章的機房檢測報告。（3）、主機安全主機安全現(xiàn)場測評包括對臨沂市中醫(yī)院信息系統(tǒng)服務(wù)器的測評，測評內(nèi)容包括“身份鑒別”、“訪問控制”、“安全審計”、“剩余信息保護”、“入侵防護”、“惡意代碼防護”、“資源控制”。（5）、數(shù)據(jù)安全及備份恢復(fù)臨沂市中醫(yī)院信息系統(tǒng)數(shù)據(jù)安全及備份恢復(fù)現(xiàn)場測評包括“數(shù)據(jù)完整性”、“數(shù)據(jù)保密性”、“備份和恢復(fù)”幾個方面的測評。（7）、安全管理機構(gòu)根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在安全管理機構(gòu)方面的“崗位設(shè)置”、“人員配備”、“授權(quán)和審批”、“溝通和合作”以及“審核和檢查”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。（9）、系統(tǒng)建設(shè)管理根據(jù)現(xiàn)場安全測評記錄，針對臨沂市中醫(yī)院信息系統(tǒng)在系統(tǒng)建設(shè)管理方面的“系統(tǒng)定級”、“安全方案設(shè)計”、“產(chǎn)品采購和使用”、“自行軟件開發(fā)”、“外包軟件開發(fā)”、“工程實施”、“測試驗收”、“系統(tǒng)交付”、“系統(tǒng)備案”、“等級測評”以及“安全服務(wù)商選擇”等測評指標(biāo)，判斷出與其相對應(yīng)的各測評項的測評結(jié)果。通過現(xiàn)場測評，逐項找出系統(tǒng)現(xiàn)狀與國家相關(guān)標(biāo)準要求之間的差距，進行逐項待整改完畢后，進行結(jié)果確認，完成信息安全等級保護測評，出具測評報告，協(xié)助建立符合等級保護要求的信息安全管理體系，包含信息安全方針、信息安全策略、運行管理制度和運維管理制度。并將測評報告報當(dāng)?shù)毓矙C關(guān)備案。提供門戶網(wǎng)站7*24小時網(wǎng)站安全監(jiān)測，對網(wǎng)站頁面掛馬、篡改等事件實時監(jiān)測，發(fā)現(xiàn)問題及時通報相關(guān)人員，并安排人員及時處理。組織技術(shù)培訓(xùn)，對臨沂市中醫(yī)院的技術(shù)人員進行等級保護、安全技術(shù)和項目部署要求等內(nèi)容培訓(xùn)。按照GBT209842007信息安全風(fēng)險評估規(guī)范標(biāo)準和要求，對信息系統(tǒng)進行風(fēng)險評估，明確信息系統(tǒng)安全風(fēng)險，提出合理的、滿足等級保護要求的總體建設(shè)和管理規(guī)劃，并制定安全實施計劃，以指導(dǎo)后續(xù)的信息系統(tǒng)安全建設(shè)工程實施。法定代表人身份證明書或法人授權(quán)委托書、身份證復(fù)印件。同類項目近幾年的業(yè)績情況及客戶名單。均固定裝訂成一冊，不能活頁裝訂或散裝，蓋單位公章和法定代表人印簽后遞交醫(yī)院招標(biāo)辦。（每日8：00～17：00，周六、周日除外）標(biāo)書報送地點：臨沂市中醫(yī)醫(yī)院門診七樓招標(biāo)辦。第二條 等級測評工作，是指等級測評機構(gòu)依據(jù)國家信息安全等級保護制度規(guī)定，按照有關(guān)管理規(guī)范和技術(shù)標(biāo)準，對非涉及國家秘密信息系統(tǒng)安全等級保護狀