银川市妇幼保健院数据分类分级、数据安全风险评估及信息系统安全风险评估服务采购项目采购意向

一、采购标段
（略）：2024NCZ(YC)002722项目名称：（略）
分包名称：（略）
采购方式：（略）
报价方式：（略）
是否为执行国家统一定价标和固定价格采购项目：否
发起异议任何供应商、单位：（略）
二、供应商资格条件
1.满足《中华人民共和国政府采购法》第二十二条规定，应提供以下材料：
1.1提供在中华人民共和国境内注册的法人或其他组织的营业执照（或事业单位：（略）
1.2法人授权委托书、法人及被授权人身份证复印件（法定代表人直接投标可不提供，但须提供法定代表人身份证复印件）；
1.3提供具有良好商业信誉和健全的财务会计制度的承诺函；
1.4提供履行合同所必需的设备和专业技术能力的证明材料；
1.5具有依法缴纳税收和社会保障资金的良好记录的承诺函；
1.6提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明；（提供《资格承诺函》）。
2.（略）（（略）.cn）未被列入政府采购严重违法失信行为记录名单，在“信用中国”网站（（略）.cn）未被列入失信被执行人、重大税收违法案件当事人名单。
3.（是/否）专门面向中小微企业：是否
4.合格投标人的其他资格要求：
（略）合格投标人的其他资格要求
1无
三、商务要求
采购标的交付（实施）的时间（期限）
四、技术要求
货物类服务类工程类
标的清单(服务类)
（略）品目名称：（略）
1C（略）-其他信息技术服务（略）管理模块、HRP、OA、（略）模块（（略）底数）。（略）间数据对接情况，以及各业务对外（国家、区、市平台对接、数据上报接口）。2、数据分类应根据甲方数据的属性或特征，将其按照一定的原则和方法（略）分和归类，并建立起一定的分类体系和排列顺序，以便甲方更好地管理和使用组织数据的过程。3、数据分级应根据数据的敏感程度和数据遭到篡改、破坏、泄露或非法利用后对受害者的影响程度，按照一定的原则和方法进行分级。4、依照数据分类分级结果，配合甲方完善和细化数据分类分级相关制度、流程等。（二）数据安全风险评估数据安全风险评估工作包括评估准备工作、信息调研工作、风险识别工作、风险分析及评价工作、评估总结工作五个内容。1、评估准备工作：在评估实施前完成评估准备工作，形成调研表、数据安全风险评估方案等。2、信息调研工作：识别数据处理者的基本情况，（略）的关系，处理的数据和开展的数据处理活动情况，采取的数据安全防护措施。形成数据处理者基本情况、业务清单、（略）清单、数据资产清单等。3、风险识别工作：针对各个评估对象，从数据安全管理、数据处理活动、数据安全技术、个人信息保护等方面，通过多种评估手段识别可能存在的数据安全风险隐患。形成文档查阅记录文档、人员访谈记录文档、安全核查记录文档、技术检测记录文档等。4、风险分析及评价工作：在风险识别基础上开展风险分析，并视情对风险进行评价，最后提出整改建议。形成数据安全风险源清单、数据安全风险列表、整改建议书等。5、评估总结工作：编制数据安全风险评估报告，甲方按照风险处置建议开展数据安全风险处置。（三）（略）真实运行的资产、威胁、脆弱性等方面进行综合性的风险评估，（略）运行过程中的安全风险。风险评估内容：1、资产评估包括对业务、系统资产、系统组件和单元资产的评估。业务评估包括业务定位、业务关联性、完整性、业务流程分析;（略）分类和业务承载连续性的评估;系统组件和单元资产是在真实环境下较为细致的评估，包括实施阶段采购的软硬件资产、系统运行过程中生成的信息资产、相关的人员与服务等,本阶段资产识别是前期资产识别的补充与增加，（略）底数。2、威胁评估全面地分析威胁的可能性和严重程度。对威胁导致安全事件的评估可以参照威胁来源动机、能力和安全事件的发生频率。3、脆弱性评估包括运行环境中物理、网络、系统、应用、安全保障设备、管理等各方面的脆弱性。技术脆弱性评估可以采取核查、扫描、案例验证、渗透性测试的方式：（略）
标的1-其他信息技术服务：（一）目的1、通过数据资产梳理及数据分类分级，建立本单位：（略）
-->采购需求附件：
采购需求附件
技术要求.docx
五、合同管理安排
合同类型：货物类服务类工程类
服务类
服务内容
履约保证金
甲方责任
乙方责任
违约责任
不可抗力
服务期限
验收标准（附验收方案）（验收方案附件）：服务要求及最终交付物.docx
服务地点：（略）
付款条件（进度和方式：（略）
六、评审方法及评审细则
评标方法：
最低评标价法
综合评分法
评审细则类别：服务类细则类别
服务类细则类别
（略）评审项目权重分评分标准
1投标报价10投标人的价格分统一按下列公式计算：投标报价得分＝（评标基准价/投标报价）×10。评标基准价是指满足招标文件要求且投标价格最低的投标报价。除低于成本价的投标报价被拒绝外，最低报价得10分。得分结果由高分到低分依次排列为各自最终得分。
2企业实力61、具备数据管理能力成熟度等级证书DCMM的得2分；2、具备信息安全风险评估资质的得2分；3、具备隐私信息管理体系认证证书ISO27701的得2分；（以上资料需提供有效期内资质证书复印件并加盖投标人公章）
3类似业绩6投标人提供近三年类似案例（2020年1月1日起），每个案例2分，最高得6分。（注：提供中标通知书或者合同复印件并加盖公章）
4服务能力161、技术负责人：（略）项目管理师证书、数据隐私解决方案工程师（CDPSE）证书，每提供一个证书得2分，本项满分4分；2、项目经理：（略）
5拟投入检测工具6投标人应具备项目实施所需的检测工具，具备数据资产识别及梳理工具，涵盖服务器、（略）、网络和安全设备、（略）等漏洞扫描及发现、web安全检测、恶意行为检测等工具。评标小组根据投标人提供的验证测试工具能力情况进行打分，完全具备得6分；部分具备得3分；不具备的不得分。
6数据分类分级及信息安全风险评估实施方案10一、对投标人实施方案中数据资产梳理及数据分类分级的完整性、合理性、准确性进行打分（满分10分）：1.数据资产梳理流程准确，数据分类分级内容详细、准确，完全满足项目实际需求的得10分；2.数据资产梳理流程或数据分类分级内容描述详细具体，基本满足项目需求，方案具备可行性的得8分；3.数据资产梳理流程或数据分类分级内容不够完整或不准确的，得6分；4.缺少数据资产梳理流程或数据分类分级内容描述有缺项，缺少实际措施的得3分；5.没有方案不得分。
7数据分类分级及信息安全风险评估实施方案10二、对投标人实施方案中信息安全风险评估各阶段的流程、内容的完整性、合理性、准确性进行打分（满分10分）：1.信息安全风险评估各流程、内容描述准确、完整、清晰，完全满足项目实际需求的得10分；2.信息安全风险评估流程、内容描述详细具体，基本满足项目需求，方案具备可行性的得8分；3.信息安全风险评估流程、内容描述不完整或不准确的，得6分；4.信息安全风险评估流程、内容描述有缺项，缺少实际措施的得3分；5.不提供的不得分。
8数据分类分级及信息安全风险评估实施方案10三、根据投标人提供的项目进度计划进行打分（满分10分）：1.项目进度计划合理，能够满足项目实施要求，各环节时间安排合理的，容错措施完善的得10分；2.项目进度计划合理，能够满足项目实施要求，各环节时间安排合理，容错措施不够完善的得8分；3.项目进度计划合理，能够满足项目实施要求，各环节时间安排合理，缺少容错措施的得6分；4.项目进度计划合理性，能够基本满足项目实施要求，部分环节时间安排不合理，缺少容错措施的得4分；5．项目进度计划合理性不足，无法完全满足项目实施要求，部分环节时间安排不合理，缺少容错措施的得2分；6.项目进度计划不能满足工期需要的，不得分。
9数据分类分级及信息安全风险评估实施方案10四、根据投标人提供的项目质量控制方案是否全面，对控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面是否明确、全流程质量控制措施进行打分（满分10分）：1.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面职责明确，全流程质量控制措施完善可行，得10分；2.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有1项职责不明确，全流程质量控制措施完善可行，得8分；3.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有2项职责不明确，全流程质量控制措施完善可行，得6分；4.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有3项职责不明确，全流程质量控制措施完善可行的，得4分；5.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面职责明确，质量控制措施不完善或不可行的，得2分；6.控制流程、过程控制、变更控制、项目沟通、过程文档管理、保密管理方面有4项职责不明确，或没有质量控制措施的，不得分。
10数据分类分级及信息安全风险评估实施方案5五、实施方案中应明确项目风险管理方案内容，能够提供风险管理、风险应急处置、保密控制管理、风险规避措施等（满分5分）：1．方案全面且完全满足采购需求得5分；2.方案较全面且满足采购需求得3分；3.方案欠缺，针对性不强，无法完全满足采购需求得1分；4.未提供方案不得分。
11数据分类分级及信息安全风险评估实施方案5六、实施方案中应明确应急响应及处置方案内容，具备完善的应急响应及处置方法，应对现场突发情况,明确应急处理时限（满分5分）：1.方案完整，有效，全面且接到应急响应后1小时内到场得5分；2.方案缺少以上内容，且接到应急响应后到场时间大于1小时小于3小时的得3分；3.方案不够合理，可操作性差，且接到应急响应后到场时间大于3小时的得1分；4.没有方案且无应急预案的不得分。
12售后服务方案6售后服务：对售后服务内容、售后服务方式：（略）
合计：100
发起异议任何供应商、单位：（略）
技术要求.docx服务要求及最终交付物.docx