正文内容
奉节县人民医院信息安全运维服务项目竞争性比选公告
重庆市奉节县人民医院对奉节县人民医院信息安全运维服务项目项目采用竞争性比选方式进行采购。欢迎符合资格要求并有供货能力的供应商踊跃参与。
一、项目基本信息
项目总预算:
440,000 元
项目类型:
服务类
价格类型:
总价
包 1(标的物种数:1)
最大成交供应商数量:1家
采购目录明细
单价限价(最高)
数量
总限价(最高)
目录安全运维服务
需求描述详见招标(采购)文件
440,000 元
1 项
440,000 元
二、供应商资格要求
(参与投标(报价)的供应商必须在 “重庆奉节小额采购管理与交易平台” 服务平台注册,成为正式供应商)
(1)具有独立承担民事责任的能力
(供应商报价时必须上传:根据竞争性比选文件要求上传)
(2)具有良好的商业信誉和健全的财务会计制度
(供应商报价时必须上传:根据竞争性比选文件要求上传)
(3)具有履行合同所必须的设备和专业技术能力
(供应商报价时必须上传:根据竞争性比选文件要求上传)
(4)有依法缴纳税收和社会保障资金的良好记录
(供应商报价时必须上传:根据竞争性比选文件要求上传)
(5)参加政府采购活动近三年内,在经营活动中没有重大违法记录
(供应商报价时必须上传:根据竞争性比选文件要求上传)
(6)法律、行政法规规定的其他条件
三、报名、投标、开标要求
(参与投标(报价)的供应商请在公告发出后尽快前往参与网上报名(投标))
网上投标(报价)时间:
发布公告后 ~ 2025-09-24 12:00
是否需要上传投标(响应)文件:
是
上传投标(响应)文件要求:
签字盖章完整的比选响应文件pdf格式电子文档一份。其他要求详见采购人竞争性比选文件。
线下递交投标(响应)文件时间:
2025-09-24 14:30 ~ 2025-09-24 15:30
线下递交投标(响应)文件地址:
奉节县人民医院招标采购办(行政办公区308)
开标时间:
2025-09-24 15:30
线下开标地点:
奉节县人民医院小会议室
注:参与本项目的供应商须按项目要求在网上进行投标(报价),否则投标(报价)无效。
四、投标保证金
无
五、成交原则
在符合项目要求的供应商数量不少于“3家”的前提下,按综合得分最高的原则推荐中标(成交)供应商。
六、其他要求
(一)采购异议处理:
1、供应商对采购文件中供应商特定资格条件、技术质量和商务要求、评审标准及评审细则有异议的,应及时向采购人或代理机构提出。
2、供应商对成交结果或中标结果有异议的,应当在成交预公示发布之日起三个日历日内以书面形式向采购人(采购代理机构)提出,并附相关证明材料。
3、采购人、采购代理机构在收到供应商书面异议后两个工作日内,通过补遗方式对异议进行答复。
4、对于供应商弄虚作假、恶意中标或中标后不履行服务承诺等不良行为,采购人有权取消其中标资格或扣除全部保证金。情节严重者,直接列入“违法失信行为名单”公开曝光。
七、联系方式
采购执行方/需求方:
单位名称:
重庆市奉节县人民医院
联系人:
易东
联系电话:
023-56729679
奉节县人民医院信息安全运维服务项目竞争性比选文件.docx
项目名称:奉节县人民医院信息安全运维服务项目竞争性比选文件项目业主:奉节县人民医院2025年9月24日第一章奉节县人民医院信息安全运维服务项目比选公告奉节县人民医院拟对奉节县人民医院信息安全运维服务项目进行比选。欢迎有资格的供应商参加。一、项目名称:奉节县人民医院信息安全运维服务项目二、项目地点:奉节县鱼复街道康宁社区2号三、服务期限:1年四、供应商资格要求(一)基本资格条件满足《中华人民共和国政府采购法》第二十二条规定;1.具有独立承担民事责任的能力;2.具有良好的商业信誉和健全的财务会计制度;3.具有履行合同所必需的设备和专业技术能力;4.有依法缴纳税收和社会保障资金的良好记录;5.参加政府采购活动近三年内,在经营活动中没有重大违法记录;6.法律、行政法规规定的其他条件。(二)特定资格条件无5、比选有关说明(一)凡有意参加比选的供应商,请在奉节县小额采购管理与交易平台(https://www.cqfj.gec123.com/)网上下载本项目比选文件、补遗等开标前公布的所有项目资料,无论供应商领取或下载与否,均视为已知晓所有比选内容。(二)报名1.线上报价要求:按本项目规定的时间在奉节县小额采购管理与交易平台(https://www.cqfj.gec123.com)进行网上报价,未在规定时间内报价的供应商将失去成交供应商资格。2.响应文件线上递交方式:签字盖章完整的比选响应文件pdf格式电子文档一份,通过奉节县小额采购管理与交易平台(https://www.cqfj.gec123.com)上传递交。3.响应文件线下递交时间及地点:2025年10月9日北京时间14:30-15:30。地点:奉节县人民医院招标采购办308。请按时递交响应文件并签到。4.开标时间及地点:2025年10月9日北京时间15:30。地点:奉节县人民医院小会议室。六、其他有关规定(一)若响应人为分公司参与投标的必须取得总公司对分公司的授权(提供总公司授权函复印件并加盖供应商公章,格式自拟)。同一总公司只能授权一家分支机构,且发出授权后总公司不得与分支机构一同参与投标。授权书内容应包含授权供应商签署本项目相关文件以及全权处理本次项目的招投标、递交履约保证金、谈判、签约、实施、验收等与之相关的一切事务。在响应人总公司授权书许可范围内,提供总公司资质、人员、证书、业绩、案例等资料视为同等有效。(二)本项目不接受联合体投标。七、联系人联系人:易老师电话:023-56729679地址:奉节县鱼复街道康宁社区2号第二章响应人须知一、项目名称:奉节县人民医院信息安全运维服务项目二、项目内容:序号服务项目服务明细数量1机房运维服务1、定期针对机房紧密空调、门禁监控、七氟丙烷灭火柜进行巡检,以确保设备正常运行;2、物理状况巡检:设备机体、外观、及风扇、状态指示灯、电源、网络端口等;3、硬件部分巡检:设备连接状况检查;设备物理(电源冗余、机房环境、线缆破损老化);设备本身冗余性检查,包括引擎的冗余、电源的冗余;设备系统及板卡指示灯状态检查分析;端口描述,端口状态,不使用的端口建议关闭,端口性能检查;电源稳定性和线路检查;设备有关的软件、硬件和BUG信息收集;系统运行状态、性能检查和优化,包括CPU利用率、Mem使用率、Buffer分析、Crash分析;设备固件升级服务,检查分析与支持服务;网络流量速率检测;系统硬件运行情况综合分析;4、机房弱电整理:机柜电源线和网线进行强弱电分开整理,并打上相关链路标识;设备的放置要适当,避免相互挤压,避免太高或太低,避免相互距离太近; 规范机房内链路布线走向,按照规范要求进行布线;对每一根线路在适当的位置注明来源信息:(本端信息与对端信息)对机房的核心部位机柜进行清理,清洁设备及交换机表面浮灰,查看配置命令进行优化,观察并记录各端口运行状态是否正常稳定;梳理所有的光纤线路,做到有标可查,无标打标,做到每条线路可寻根问源;进行光纤网线规整,将不用的旧光纤及网线清理出来,光纤不能大于270弯折,做到横平竖直,用扎带固定在机柜通线孔上;对每次机柜整理的内容进行文档更新,重新画设备布置图和网线连接图在图上要注明设备的编号和网线的标识,以备检修查阅。6次/年2服务器存储巡检1、监控管理的内容包括CPU 性能管理;内存使用情况管理;硬盘利用情况管理;系统进程管理;主机性能管理;实时监控主机电源、风扇的使用情况及主机机箱内部温度;监控主机硬盘运行状态;监控主机网卡、阵列卡等硬件状态;监控主机HA运行状况;主机系统文件系统管理;虚拟化平台系统管理;监控存储交换机设备状态、端口状态、传输速度;监控备份服务进程、备份情况(起止时间、是否成功、出错告警);监控记录磁盘阵列、磁带库等存储硬件故障提示和告警,并及时解决故障问题;监控网络安全设备的运行状态和策略的可行性;对存储的性能(如高速缓存、光纤通道等)进行监控。6次/年3虚拟化平台运维1、虚拟化平台及管理端版本更新,列出软件更新的利弊,根据客户需求进行更新;2、日志收集,对虚拟化平台中的系统日志和事件进行分析,若有安全隐患提出整改意见及方案;3、分析主机状态信息、CPU、内存、性能、存储状态、容量根据客户需求,调整虚拟化网络架构,修改虚拟化交换机配置;4、定期巡检运行状况是否正常,及时发现潜在问题,提出整改意见,对虚拟化平台进行调整优化,提高业务效率。若发现资源不足或者虚拟化架构不合理,及时提出整改方案;5、提供技术支持服务:供应商须具备VMware及CAS等虚拟化平台的维护能力。用户项目实施过程中,涉及到虚拟化平台、存储、虚拟机相关联业务时,根据用户需求,提供现场/远程技术支持;6、虚拟化整体解决方案故障排查,包含管理平台、业务虚拟机、管理虚拟机及集群等故障处理;7、虚拟化授权服务:服务期间内如果医院新增虚拟化主机节点,服务公司需要免费提供新增节点的虚拟化授权,授权数量根据新增节点数而定。6次/年4业务数据备份1、提供五种服务:日常巡查支持、巡检、故障处理、调优、恢复演练;2、提供备份系统日常巡查指南,巡查内容包括检查备份作业执行情况、备份存储空间利用率情况等,第一时间发现问题并报障;3、对于单位的报障或者巡检发现的潜在问题,将安排专业的备份技术工程师进行处理,工程师跟单位信息科管理员充分沟通故障情况,在尽可能减少对业务系统连续性影响的情况下,解决故障,故障解决后,提交详细的故障处理报告;4、根据要求,需对特定的系统或者数据进行恢复,确保数据能正常恢复,客户需配合准备恢复环境,恢复之前公司需提供恢复演练方案,恢复完成后提供恢复演练报告;5、根据单位备份系统运行情况,以及单位业务系统基础架构环境,对备份系统进行调整优化,提高备份效率,优化内容包括备份架构调优、备份策略调优、备份存储介质调优等;6、须熟练掌握Veritus NBU以及其它备份软件,并具备较强的运维能力。6次/年5业务故障处理1、提供数据库安装、性能优化、数据库补丁和升级以及系统突发故障的数据库技术支持等服务;2、制订和协助实施数据库备份与恢复方案;保障业务系统数据安全和业务系统高可用性;3、数据库核心参数调优,top-SQL调优分析,系统运行瓶颈分析,并提供优化方案;4、针对核心业务系统(平台、HIS、LIS、PACS、电子病历等)双机软件进行定期巡检,发现故障将及时处理;5、针对上述业务双机软件进行定期故障演练切换,时刻保障业务高可用;6、按照单位要求,需提供双机软件免费升级服务,确保单位业务稳定运行;7、针对单位数据中心存储双活平台进行定期巡检,确保数据的高可用;8、巡检过程中发现存储配置或者性能异常等问题,将及时进行处理,如有必要将协助客户进行业务数据迁移;9、提供技术支持服务:用户新增及整改项目实施过程中,涉及到存储相关联业务时,根据用户需求,提供现场/远程技术支持。按需执行6安全运维1、7*24小时远程或现场故障诊断和排除服务;2、配置文档备份与恢复服务;3、7*24热线服务;4、重要事件现场支持服务(例如割接、设备搬迁、现网测试、组网方案等);5、定期的预防性维护;6、脆弱性分析:现有系统的服务器、网络设备、数据库系统、应用中间件、安全设备的暴露面进行脆弱性检测与分析,并出具脆弱性评估报告;7、风险评估:针对终端、服务器建立终端威胁评估手段,通过终端的威胁特征及潜在威胁风险、安全缺陷进行抓取、分析、评估,帮助用户去检测、评估、自查本身终端安全威胁和风险;8、渗透测试:派遣专业团队对采购人指定的重要信息系统、网络信息系统进行抵抗入侵攻击能力测试;9、应急演练:根据相关国家标准或国际标准,提供对应的应急演练场景专项应急预案模板,以指导应急响应团队应对与处置安全事件;制定应急演练方案及脚本并协助开展应急演练,模拟安全事件发生及处置的全过程,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失;10、重保服务:在重要时期保障服务为客户在重要时期提供安全保障(攻防演练、国定节假日以及特定时段),确保网络安全。通过人员安全值守、通过安全监测、事件处置等手段,及时发现攻击行为并及时处置,保障重大活动的顺利进行;11、新业务上线风险评估:针对新上线前检测需采用对系统非侵害的测试方法,检验系统的安全防护能力,发现安全风险及漏洞,采用方法至少包括漏洞扫描及渗透测试。6次/年(含脆弱性分析、风险评估、渗透测试、应急演练)其余项按需执行7网络架构调优1、网络安全架构技术培训服务;2、协助单位进行网络结构优化方案设计服务;3、协助单位进行网络架构调整及优化系统服务;4、配合单位进行中心网络地址空间规划与优化设计服务;5、按照单位要求,时刻配合医院进行架构调整,针对不合理现象提出优化方案并进行整改;6、协助单位检查区域内医院重要信息系统的网络边界防护措施,网络接入安全措施;防病毒、防攻击、防瘫痪、防泄密措施及有效性;无线局域网安全接入防护措施;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能设置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施;重要网络安全漏洞修复情况等。按需执行8安全策略优化1、针对服务过程中发现的系统安全隐患,通过打补丁、修补漏洞、安全配置增强、系统架构和安全策略调整等方式及时进行加固和安全优化;2、提高系统的安全性和抗攻击能力,使其将系统的安全状况维持在较高的水平,降低安全事件发生的可能性;3、针对防火墙、安全设备的策略进行优化,优化无效、冗余策略,并针对现有策略结合当前攻击态势,业务需求进行动态优化调整。提升单位安全防护水平,持续有效保护服务器免遭黑客攻击;4、针对客户重要系统进行安全加固,主要包括以下各个层面:4.1网络设备安全加固、版本升级, 针对交换机、路由器、防火墙、入侵防御系统、VPN等网络及安全设备进行设备设置的安全加固,尽量减少网络设备因配置不当产生的安全弱点,提升网络设备自身及网络整体的抗攻击能力4.2操作系统安全加固, 针对WINDOWS、LINUX等操作系统进行系统配置的优化加固,尽量减少服务器因操作系统设置不当产生的安全弱点,提升服务器自身的抗攻击能力,并根据应用系统的不同情况,提供定制式安全策略建议,使操作系统的安全级别达到理想化状态。按需执行9安全资产梳理1、 硬件状态检查:包括设备电源状态、网络接口状态、设备所在物理环境状态等;2、性能负载检查:包括CPU、内存的占用率、日志存储空间的占用率等;3、日志功能检查:检查日志功能的有效性,确保能正常生成日志;4、定期维护、更新、管理资产数据,定期维护资产,以准确识别资产类型。对每个业务梳理分析,依据信息系统实际情况、业务特点、资产重要度等信息,结合信息安全的客户实践进行归纳;5、协助单位检查区域内医院重要信息系统的网络边界防护措施,网络接入安全措施;防病毒、防攻击、防瘫痪、防泄密措施及有效性;无线局域网安全接入防护措施;服务器、网络设备、安全设备等安全策略配置及有效性,应用系统安全功能设置及有效性;终端计算机、移动存储介质安全防护措施;重要数据传输、存储的安全防护措施;重要网络安全漏洞修复情况等;6、对互联网和内网信息系统资产进行收集整理,形成资产台账,并定期进行检查,审核资产台账是否准确,并根据检查结果及时更新资产台账;7、在日常的资产管理过程中,需从资产的发现到梳理再到管理形成一整套的综合安全管理措施并落地执行,对信息资产做到心中有数,提供准确的台账,为安全运营工作奠定基础。6次/年10应急响应1、对突发的网络安全公共事件做出第一时间响应;2、包含以下几点:先期处置、应急指挥、应急支援、信息处理、应急结束;3、朔源分析:在溯源分析过程中,通过采用先进的网络安全溯源技术和工具,确保分析结果的准确性和可靠性。应确保数据的完整性和真实性,避免数据篡改或丢失,提高溯源分析的自动化和智能化水平,降低人工分析的成本和误差;4、紧急安全加固:在发生安全事件后,对服务器进行安全紧急加固,防止被黑客再次攻击,造成二次破坏;5、应急响应级别:7*24电话。突发状况进行安全咨询服务。按需执行11安全培训1、提供信息安全意识培训,强化人员安全意识,理解安全问题的重要性,掌握工作中的基本安全知识和安全技能;2、提供信息安全技术培训,培养安全技术人员,掌握信息安全技术在网络、系统、应用的理论,了解常见的网络攻击技术原理,掌握常见的攻击防护方法。2次/年12业务漏洞及基线1、对服务范围内各种软硬件设备进行网络层、系统层、数据库、应用层面的全面扫描与分析,扫描设备检测规则库及知识库应涵盖CVE、CNCVE、CNVD、CNNVD等标准;2、在不影响业主方业务正常运行的情况下定期对业主方网络的服务器、终端、网络设备、安全设备、数据库、中间件和服务,开展常态化漏洞扫描。用以及时发现系统中存在的安全漏洞,进行脆弱性检测与分析;3、通过基线配置检测工具对Windows、Linux终端等进行基线配置检测,安全基线配置检测参考国内的标准、规范,充分考虑行业的现状和行业最佳实践,制定形成一套业务系统的基线安全模型,并对安全配置进行检测,从而发现操作系统、网络设备等中不合规的安全配置,并给出相应的修复建议,跟踪上述不合规的修复加固进展;4、按照《基线通用信息安全等级保护配置检查规范》进行检查,出具检查报告;6次/年13终端安全防护1、微隔离功能:允许设置微隔离策略,能根据设定的网络四元组信息、协议对机器之间的访问进行控制,拥有自学习功能,能在设定的时间范围内自主学习整个网络的访问情况并生成规则,并用图形方式呈现学习结果,使用者可以根据学习结果自行下发规则,支持按流量的TCP、UDP协议(含来源地址、来源端口、目标地址、目标端口),按流量方向(含出站、进站),处理方式(含阻止、放行)等策略设置微隔离ACL白名单;2、网络防御功能:网络防御需具备SQL防注入、XSS跨站攻击过滤,支持入侵检测,能对来自网路层的攻击进行有效防御,比如:远程溢出攻击、数据库溢出攻击、DZ论坛漏洞攻击、暴力口令猜测攻击等,支持针对第三方的WEB应用扫描进行阻断,如Acunetix Web Vulnerability Scanner等;3、文件防御功能:文件防御在Web恶意脚本的查杀识别准确率不能低于测试样本总数的95%;能对常见的网页木马文件进行脱壳解密;有主动防御技术,能对系统全方位监,对于文件的复制、移动、修改、重命名以及下载上传等都能做到监控;支持文件防篡改功能;支持系统账户保护功能,防止操作系统账户被修改或增加;4、防篡改功能:需具备防篡改功能,支持自定义防篡改的保护类型,包括但不限于动态文件、静态文件、动态+静态文件或全部文件等,支持需要保护的动态文件类型,包括但不限于:asp、phpasp、aspx、php、jsp、cgi、asa、ashx、ruby、py、perl、cer等,需要保护的静态文件类型,包括但不限于:html、htm、shtml、shtm、xml,支持自定义防篡改的权限,包括但不限于创建、修改、删除、移动等权限,支持禁止创建畸形文件,阻止在保护目录中创建如.asp文件夹、.asp;.jpg等文件,支持自定义防篡改的目录,支持自定义防篡改的排除策略,排除类型包括但不限于目录、文件、后缀、进程等,排除的权限包括但不限于创建、修改、删除、移动,支持防篡改日志详情展示,包括但不限于篡改进程、篡改文件、篡改方式、篡改时间等,支持防篡改信息的图形化统计展示;5、防勒索功能:需具备系统防勒索功能,能基于驱动级拦截技术实现针对勒索病毒及恶意代码的防护,不依赖于特征库识别方式防御勒索病毒攻击;6、外链管理防护:通过对进程的发起的外部链接进行控制,防止黑客借助已受感染的主机在未授权的情况下,从内部网络向外部网络向外部发送命令或者建立连接;7、性能监控功能:通过对服务器的CPU和内存进行识别和监控,当服务器资源消耗较大时,进行自动优化CPU和内存的使用情况,以便应用程序的正常运行;8、内核加固功能:通过在不影响应用程序功能的前提下限制应用的执行,防止黑客通过其执行命令、运行Oday等非法操作,支持对操作系统账号保护;对黑客常利用的具备利用风险的Web服务器、数据库、应用运行环境、服务器特定进程等进行加固,防止黑客利用其进行攻击;9、网络轻蜜罐功能:通过特殊的网络安全机制,诱骗攻击者进入一个虚拟的、看似真实的系统或网络,以便分析攻击者的行为和手段,收集威胁情报,预测网络攻击势。(整体防护资产≥10)持续执行14网络安全态势感知1、需具备黑客攻击态势感知功能,可在电子地图上展示设备运行与报警信息、实时攻击状况、含攻击目标、攻击来源、攻击类型、攻击时间等信息;含当日(及全部)攻击数量统计,含最新攻击事件展示、受攻击排行、攻击占比、攻击趋势图等报表;2、在综合分析并判定攻击级别后由云端人工智能值守工具自动统一通过APP或人工智能语音报警电话通知安全工程师进行相关应急处理,后台设置接听报警电话的医院工程师和应急响应工程师通信信息与接听顺序;3、医院联系人名单设置:部署人工智能值守工具时预设医院相关信息,包括但不限于姓名、部门、通信权重、电话、通信时间等;当网络安全出现紧急情况时,人工智能值守工具需根据预设权重,从优先级别高到低自动循环拨打医院联系人电话,直至名单内人员接听电话为止;4、工程师排班管理:在人工智能值守工具中能预设应急响应工程师的排班计划,排班信息包括但不限于姓名、通信优先级、通信时间等;当网络安全出现紧急情况时,人工智能值守工具需自动按照当日预设的排班表按优先级循环拨打值班人员电话,通过AI语音告知出现的风险。持续执行15人工智能值守1、部署AI人工智能值守工具,提供7*24小时人工智能值守服务,由AI系统自动调度应急工程师处理黑客攻击事件,无需人为干预。通过AI技术对攻击大数据、全球安全探针收集的情报数据的清洗和分析,实现全网联动;2、AI告警中心APP:通过AI值守的全网联动,实时推送语音或文字预警信息至专用APP实现人机协同;并定期推送情报数据;3、安全临界点预警:通过AI值守全网联动服务,在服务器安全到达安全临界点时,通过电话方式自动调度安全专家人机联动,解决安全日志太多无法及时分析、安服人员能力有限无法精准分析、夜间无人值守等传统安全服务难题;4、微信安全日报:通过AI人工智能机器人服务,定期在微信群中进行攻击数据的统计汇报。持续执行16日常服务为保障医院业务系统的可连续性,本项目需要提供一名专职项目经理,提供7*24小时,365天服务,服务时间全天24小时。日常服务包括但不限于:业务主机创建部署、按需编写相关文档、业务联调测试、新业务上线协助、机房位置规划及网络配置、终端故障排查、等保测评整改、等保测评现场协助、医院评审现场协助、上级单位网络联调测试、医院内部其他业务故障处理协助等。按需执行注:上述服务内容运维公司必须全部满足。三、技术要求指标项技术要求总体要求★为业务系统提供AI智能值守工具(提供计算机软件著作权登记证书并加盖响应人鲜章),在服务器(或虚拟服务器)中部署客户端,实现业务服务器安全风险感知和7*24小时人工智能值守与智能报警,有效提升业务系统的整体安全性。服务工具应具备微隔离、网络蜜罐、网络防御、文件主动防御、防篡改、内核加固、防勒索、外链管理等安全加固模块,所有模块为同一品牌、同一客户端、同一后台管控、统一账号登录管理并进行综合日志分析。(提供截图并加盖响应人鲜章)★能对ASP、ASPX、PHP、JSP等常见的网页木马文件进行无限制脱壳解密,Web恶意脚本的查杀识别准确率不低于测试样本总数的95%;有主动防御技术,对于文件的复制、移动、修改、重命名以及下载上传等都能做到监控;拥有文件防篡改功能;有系统账户保护功能,防止操作系统账户被修改或增加。(针对该条指标应提供中国合格评定国家认可委员会(CNAS)认可的实验室出具的软件测试报告复印件,并加盖响应人鲜章。提供该软件测评机构获得的由中国合格评定国家认可委员会(CNAS)出具的实验室认可证书的复印件,并加盖响应人鲜章)系统管理客户端环境支持主流服务器操作系统,包括但不限于Windows Server(2008 R2 SP1/2012/2016/2019)、RedHat6.0-7.9、CentOS6.0-7.9、OpenEuler22.03-LTS、Ubuntu18.04 server、银河麒麟v10等系统版本。系统管理端支持部署在同一品牌独立安全的操作系统中。支持多用户,多角色管理。支持用户分级管理模式,能对不同的用户设置不同的权限、管理不同的资产、不同的子系统授权。支持资产信息的基本管理及统计,能对添加的资产设置属性,如名称、描述、位置、所属部门、责任人、所属业务系统、对应机器、资产组等。符合等保2.0的安全要求:具备三权分离功能,syslog发送功能,传输采用https加密,存储加密,支持登录失败保护等基线要求。支持对客户端所在服务器的操作系统类型与在线情况的统计。★支持对访问IP设置白名单,限制对系统的访问时间。(提供截图并加盖响应人鲜章)系统日志管理:操作日志(含操作用户、操作来源、操作详情、操作结果、操作时间等),异常日志(含资产名称、主机IP、错误信息、安全模块、报错时间等),登录日志(含操作用户、登录IP、登录结果、登录详情、操作时间等),更新日志(含新旧版本号、更新时间、更新状态等)。支持系统信息的图形化统计展示,包括但不限于授权信息、服务器信息(含CPU、内存、硬盘使用率等)、综合概况(资产总数、主机总数、主机在线状态、系统分类等)。客户端安全支持对自身进程进行防结束保护,防止通过非客户端进程进行结束。支持对自身进程进行防注入保护,防止被非客户端进程利用注入非法代码并执行。支持对自身安装目录进行保护,防止非客户端进程进行增加、修改、删除客户端相关文件。支持对自身服务进行保护,防止通过非客户端进程停止、删除客户端服务。支持对操作密码设置,能对客户端卸载、客户端功能关闭时进行密码验证。网络蜜罐★能根据设定的规则(如端口号、协议等)自动开启端口。允许设置连接次数阈值、数据包数阈值和间隔时间等。能根据对伪装端端口的访问自动判别是否非法访问。(提供截图并加盖响应人鲜章)支持批量操作,如删除资产、设置功能开关、增加/删除/启用/禁用伪装端口、删除/清空/导出日志等。支持网络蜜罐日志详情展示,包括但不限于端口号、来源地址、协议类型、限制类型、描述、攻击时间等。支持网络蜜罐信息的图形化统计展示,包括但不限于类型占比、资产排行、时间分布概况、端口排行、网络蜜罐趋势(含连接次数、数据包数等信息的年、月、日趋势)等。微隔离允许设置微隔离策略,能根据设定的网络四元组信息、协议对机器之间的访问进行控制。★支持在自定义时间段内根据流量方向(双向、出站、入站)和流量类型(全部、外网、内网)进行自主学习,学习结束后根据学习结果自动生成规则,学习结果支持融合入站或出站规则,使用者可以根据学习结果自行下发规则。(提供截图并加盖响应人鲜章)支持按流量的TCP、UDP协议(含来源地址、来源端口、目标地址、目标端口),按流量方向(含出站、进站),处理方式(含阻止、放行)等策略设置微隔离ACL白名单。支持增加IP白名单、IP黑名单及内网IP列表。支持批量操作,如删除资产、设置功能开关、增加/删除/启用/禁用微隔离策略、流量学习配置、开始/停止流量学习、生成出入站学习规则等。支持从网络防御、网络蜜罐等模块获取攻击情报;支持从云端实时获取全网攻击情报。★支持情报联动功能,能自动基于攻击情报封堵情报IP,允许设置封堵时间间隔。(提供截图并加盖响应人鲜章)网络防御防护策略包括但不限于SQL注入防护、恶意脚本防御、数据库攻击防御、XSS跨站防护、漏洞虚拟补丁、扫描过滤、页面错误过滤、信息泄露防御等策略类别。能获取来自网络攻击数据的完整信息,比如IP地址,协议,类型等。防护策略的处理方式支持阻止、放行、警告等。支持保护IP的设置。支持创建白名单规则。支持批量操作,如删除资产、设置功能开关、增加自定义策略组、跨资产操作官方策略组、删除/导出日志等。支持网络防御日志详情展示,包括但不限于攻击说明、攻击来源、攻击目标、攻击时间、风险级别、处理方式、攻击域名、攻击URL、攻击类型等;支持对攻击数据包的原样下载。支持网络防御信息的图形化统计展示,包括但不限于受攻击资产排行、攻击来源排行、网络防御攻击趋势、攻击类型排行等。文件主动防御拥有对网页文件行为分析技术,此项技术不针对某种特定格式文件,系统中所有文件均可以分析。能对ASP、ASPX、PHP、JSP等常见的网页后门进行识别及查杀。支持自定义监控范围,可选择全系统监控和自定范围监控。有主动防御技术,对于文件的复制、移动、修改、重命名以及下载上传等都能做到监控。支持按高、中、低敏感度自动处理Web恶意脚本。支持按全盘和自定义目录查杀Web恶意脚本。支持按文件、目录、后缀、进程等类型设置排除策略。支持脚本限制,系统将根据设定的规则(如设置限制目录)对脚本文件创建或修改进行限制。支持对处置文件的原样保存及隔离。支持对隔离文件的还原。支持批量操作,如删除资产、设置功能开关、开始或停止查杀、增加/删除/启用/禁用限制策略或排除策略、删除/清空/导出日志等。支持文件防御日志详情展示,包括但不限于文件路径、所属进程、处理模式、处理结果、攻击时间、攻击描述等。支持文件主动防御信息的图形化统计展示,包括但不限于主动防御安全趋势(含仅记录、已隔离、疑似类型、危险关系、扫描来源、主动防御来源等文件主动防御信息的年、月、日趋势)等。防篡改支持自动扫描生成保护策略,开启防御后的保护目录只拥有防篡改策略中的权限和可读权限。支持自定义防篡改的保护类型,包括但不限于动态文件、静态文件、动态+静态文件或全部文件(夹)等。允许设置动态文件后缀,默认支持不少于30种文件格式,包括但不限于:asp、aspx、php、jsp、cgi、asa、ashx、ruby、py、perl、cer等。允许设置静态文件后缀,包括但不限于:html、htm、shtml、shtm、xml。支持自定义防篡改的权限,包括但不限于创建、修改、删除、移动等权限。支持禁止创建畸形文件,阻止在保护目录中创建如.asp文件夹、.asp;.jpg等文件。支持自定义防篡改的目录。支持自定义防篡改的排除策略,排除类型包括但不限于目录、文件、后缀、进程等,排除的权限包括但不限于创建、修改、删除、移动。支持批量操作,如删除资产、设置功能开关、增加/删除/启用/禁用保护策略或排除策略、删除/清空/导出日志等。支持防篡改日志详情展示,包括但不限于篡改进程、篡改文件、篡改方式、处理模式、篡改时间等。支持防篡改信息的图形化统计展示,包括但不限于被篡改资产排行、被篡改时间分布概览、防篡改安全趋势(含创建、删除、修改、移动等权限的年、月、日趋势)等。内核加固支持对Web服务器进行加固,依据设定的规则对特定的项进行执行限制,包括但不限于支持IIS、Apache、Nginx等Web服务软件禁止执行某个程序。支持对数据库进行加固,依据设定的规则对特定的项进行执行限制,包括但不限于支持MongoDB 命令行进程、MongoDB 共享服务进程、MongoDB 核心进程、Oracle 监听服务进程、Oracle 核心进程、Mysql数据库客户端、Mysql数据库核心进程、MSSQL Server分析数据引擎进程、MSSQL Server数据库核心进程等禁止执行某个程序。支持对应用运行环境进行加固,依据设定的规则对特定的项进行执行限制,包括但不限于支持Node.js、Java、PHP FastCGI、PHP等运行环境禁止执行某个程序。支持对Windows、Linux服务器其它特定进程进行加固:特定进程将受到限制,具体行为依据设定的规则。允许在应用加固规则中设置白名单,支持设置程序名或全路径等信息。★支持在自定义时间段内对加固应用进行自主学习,在学习结束后根据学习结果自动生成白名单。(提供截图并加盖响应人鲜章)支持批量操作,如删除资产、设置功能开关、增加/启用/禁用规则组策略、删除/清空/导出日志等。支持内核加固日志详情展示,包括但不限于资产名称、程序名或全路径、目标名称、处理模式、攻击时间等。支持内核加固信息的图形化统计展示,包括但不限于攻击类型统计、受攻击资产排行、攻击规则排行、受攻击时间分布概览、内核加固安全趋势等。防勒索★拥有系统防勒索功能,基于驱动级拦截技术实现针对勒索病毒及恶意代码的防护,不依赖于特征库识别方式防御勒索病毒攻击,开启防御后保护目录只拥有防勒索策略中的操作权限。能自行设定防勒索规则,如:特定进程、特定范围、特定文件、特定格式等。(提供截图并加盖响应人鲜章)关键应用保护机制:支持应用白名单信任机制,信任机制至少包括识别进程名。支持对不少于8种数据库文件(非记录)的保护,使数据库文件免受勒索病毒或恶意代码的加密、添加、修改和删除,包括但不限于Oracle、MSSql Server、Mysql、DB2、DM、人大金仓、达梦、优炫等所有类型数据库。文档保护:支持自动保护非结构化文档,可根据独立文件名、后缀和目录提供自定义配置。★堡垒模式:支持对特定终端实现强安全保护模式,禁止生成新可执行文件、禁止对文件赋予执行权限,有效防止包括勒索软件、已知勒索病毒、未知勒索病毒、挖矿病毒等恶意攻击。(提供截图并加盖响应人鲜章)★支持在自定义时间段内对文件赋权、可执行文件生成、程序执行等情况进行自主学习,学习结束后根据学习结果自动生成白名单;支持手动生成白名单。(提供截图并加盖响应人鲜章)支持对学习结果进行自适应,能根据学习到的同级目录数量、同目录后缀数量等进行规则范围自动调整适应。可禁止未授权的外部移动存储设备接入服务器传播危险程序。可禁止在网络驱动器上执行任何程序,如Windows映射驱动器、Linux服务器挂载的其它磁盘等。支持批量操作,如删除资产、设置功能开关、增加/删除/启用/禁用防勒索策略、删除/清空/导出日志等。支持防勒索日志详情展示,包括但不限于勒索进程、对应文件、勒索时间、处理模式等。支持防勒索信息的图形化统计展示,包括但不限于被勒索资产排行、被勒索时间分布概览、防勒索安全趋势(含创建、删除、修改、移动、运行等权限的年、月、日趋势)等。外链管理通过对某进程发起的外部链接进行控制(如访问的时间、地址、端口等限制)可有效防范恶意行为,如反弹Shell和反向连接等高级攻击技术。防止黑客借助已受感染的主机在未经授权的情况下,从内部网络向外部服务器发送命令或建立连接。支持对Any、TCP、UDP等协议类型的外链管理。对外链的处理支持永久阻断、一次性阻断、周期性阻断或放行等模式,允许设置进程路径、IP、端口号等。支持外链管理日志详情展示,包括但不限于程序名称、程序全路径、处理模式、源IP、目标IP、协议名称、发生时间等。态势感知★拥有黑客攻击服务器态势感知功能。支持采集和展示网络防御、文件防御、防篡改、防勒索、内核加固模块中的日志,以安全大数据为基础进行研判分析,从全局视角提升对安全威胁的发现识别、理解分析、响应处置等能力。(提供截图并加盖响应人鲜章)数据总览:显示今日威胁度(极高、高危、中危、低危占比)、总攻击数量、语音总预警数量、文字总预警数量、今日攻击数量及较昨日升降比例、今日语音预警数量及较昨日升降比例、今日文字预警数量及较昨日升降比例、最新攻击播报、攻击来源排行、风险级别、防御模块攻击排行、攻击趋势、资产总攻击排行。网络防御态势感知:可实时展示全球攻击动态(电子地图)、最新攻击播报、资产攻击排行、攻击类型排行、攻击来源排行、攻击趋势等图文信息。文件防御态势感知:资产攻击排行、最新攻击播报、攻击类型统计、受攻击时间分布(24小时)、攻击趋势等图文信息。防篡改态势感知:资产攻击排行、最新攻击播报、攻击类型统计、受攻击时间分布(24小时)、攻击趋势等图文信息。防勒索态势感知:资产攻击排行、最新攻击播报、攻击类型统计、受攻击时间分布(24小时)、攻击趋势等图文信息。内核加固态势感知:资产攻击排行、最新攻击播报、攻击类型统计、受攻击时间分布(24小时)、攻击规则排行、攻击趋势等图文信息。支持开启轮播模式。人工智能值守为服务器提供7*24小时计算机AI(计算机人工智能,非人工)值守服务,AI值守子系统支持本地现场部署,运行时无需人为干预。AI人工智能值守子系统的AI综合风险度分析引擎支持接入微隔离、网络防御、文件防御、防篡改、防勒索、内核加固、网络蜜罐的安全日志数据,经数据融合后实现综合研判。在综合分析并判定攻击级别后由人工智能值守系统自动统一通过APP或人工智能语音报警电话通知安全工程师进行相关应急处理,后台可设置接听报警电话的客户和应急响应工程师通信信息与接听顺序。★AI告警配置:包括但不限于告警开关、告警服务器类型(互联网官方服务器、自定义告警服务器)、批次处理数据间隔、批次数据最大数量、紧急语音电话告警间隔、紧急文字告警间隔、常规告警间隔等功能设置。(提供截图并加盖响应人鲜章)★应提供人工智能值守服务APP,主要功能有最新服务器遭受攻击的告警信息(包含但不限于风险等级分析、防护次数、告警资产数量、风险分布信息、告警资产列表、报警安全模块信息等)、统计报表(周报、月报)等。(提供截图并加盖响应人鲜章)支持在服务微信群内由系统提供安全日报。★排班管理:可在系统中预设应急响应工程师的排班计划,排班信息包括但不限于姓名、通信优先级、通信时间等;当网络安全出现紧急情况时,系统会自动按照当日预设的排班表按优先级循环拨打值班人员电话,通过AI语音告知出现的风险。(提供截图并加盖响应人鲜章)验证测试成交公示期间,拟成交供应商应在采购人搭建的靶场,按采购人根据招标文件制定的测试方案完成对AI智能值守服务工具的防护效果测试。要求如下:(1)模拟通过扫描器、工具等进行网络攻击,要求对进出服务器网卡的流量进行访问控制和基于规则策略的清洗,且能在本地、云端获取攻击情报并进行联动封堵,也可以自定义封堵。(2)模拟进行WEBSHELL上传,要求能主动识别并阻断WEBSHELL文件上传;若遇无法识别的WEBSHELL文件,则应演示可防止该WEBSHELL文件无法被利用的后续手段。要求对已知或未知的webshell防御能力(使之无法解析)不低于测试样本数量的98%。(3)模拟在已存在WEBSHELL的前提下进行攻击,要求能阻断对文件的非法篡改(包括文件创建、修改、删除、移动重命名)、命令执行、系统账号操作(包括创建、修改、删除)、勒索病毒或非法程序上传、Linux下文件执行权限赋予等攻击行为。即使服务器中存在webshell,无法利用该webshell运行非法程序或命令。(4)要求可以对进程操作文件、文件被进程操作等行为进行限制,并可做到一对一限制。在无特征库、无样本、无规则的前提下,对已知或未知勒索病毒、其它非法恶意程序、未知脚本的拦截能力(使之无法运行、无法创建、无法改变权限)不低于98%。(5)支持自动发现和阻断非法反弹链接。(6)要求在模拟攻击过程中,能通过在采购人手机中预先安装的APP,按攻击严重程度立即接收到语音告警或文字告警。(7)应由单一系统(非多产品组合)的服务工具自动完成以上防御行为,全程不受人工干预,且服务器态势感知系统中可展示相关防御数据。售后服务要求(1)可以提供7*24服务,能快速应急响应系统故障服务请求,5小时内到达现场。(提供承诺函)。(2)具备在突发安全事件情况下的应急抢修能力,能提供我院机房设备的应急备品备件。(提供承诺函)。四、比选报价、限价、评分说明(一)报价说明:响应文件中仅存在唯一报价。以总价报价的形式进行报价,报价单位为元,报价最多保留小数点后两位。比选报价中包括了所有材料费、制作费、运输费、安装费、转运费、检验检测费、利润、税金、免费质保期内的缺陷修复及维护保养、清洁费各种风险等全部费用。合同签订后原则上比选人不做费用调整。大写金额与小写金额不一致的,以大写金额为准。(二)限价说明:本次物资采购最高总限价为440000元,总价超过最高限价的作废。(三)评分说明:1.资格审查及符合性审查:评审由比选方相关人员组成评审小组,并根据比选文件的要求对响应人提交的响应文件进行审查,只有资格审查及符合性审查合格的响应人才能继续参与评审。(1)资格审查依据比选文件要求,由采购人评审人员对响应文件中的资格证明文件进行审查。资格审查资料表如下:序号检查因素检查内容1响应人应符合的基本资格条件1.具有独立承担民事责任的能力1.供应商法人营业执照(副本)或事业单位法人证书(副本)或个体工商户营业执照或有效的自然人身份证明或社会团体法人登记证书。(复印件)2.响应人法定代表人身份证明和法定代表人授权代表委托书。2.具有良好的商业信誉和健全的财务会计制度供应商提供“基本资格条件承诺函”(格式详见第三章)3.具有履行合同所必需的设备和专业技术能力4.有依法缴纳税收和社会保障金的良好记录5.参加政府采购活动前三年内,在经营活动中没有重大违法记录6.法律、行政法规规定的其他条件(2)符合性审查评审小组应当对符合资格的响应人的响应文件进行符合性审查,以确定其是否满足比选文件的实质性要求。符合性审查资料表如下:序号评审因素评审标准1有效性审查响应文件签署响应文件上法定代表人或其授权代表人的签字齐全。响应方案只能有一个方案参选。报价唯一只能在预算金额和最高限价内报价,只能有一个有效报价,不得提交选择性报价。2完整性审查响应文件份数响应文件数量符合比选文件要求。3响应程度审查响应文件内容对比选文件第二章“二、项目内容”“三、技术要求”“八、安全运维服务考核标准”规定的内容进行实质性响应。比选有效期响应文件及有关承诺文件有效期为提交响应文件截止时间起90天。评审原则:综合评分法。满足比选文件要求,按最终评分高低进行排序推荐中选人,若得分相同,则以技术部分得分高低排序,技术部分得分也一样的,则以商务部分得分高低排序,商务部分得分也一样的,则由评审小组投票决定。凡参加本次比选的响应人均被视为接受上述项目的比选条款。3.评分说明:评分因素分值评分标准说明投标报价(20分)20分有效的投标报价中的最低价为评标基准价,按照下列公式计算每个响应人的投标价格得分。投标报价得分=(评标基准价/投标报价)×价格权重×100。技术部分(50分)技术符合性(40分)1.起评分:有效供应商的起评分为12分。2.加分条款:本项目文件第二章“三、技术要求”,中非“★”号的参数有一条不满足扣0.5分,超过10条(不含10条)不满足,整个技术部分得0分。“★”号参数满足一项加2分,满分40分。医院可要求供应商中标后三个工作日内,协调与中标设备相同的产品到采购人现场对技术参数功能进行演示,若测试不通过按虚假应标处理。信息安全运维服务方案(5分)提供整体运维服务方案(包括但不限于服务机构、服务方式、维保措施及应急响应时间、本项目技术支持团队组建情况等)。内容完整,科学合理,可操作行性强,符合项目实际情况为优,得5分;内容较完整,较科学合理,可操作性较强,较符合项目实际情况为良得3分;内容基本完整,基本科学合理,可操作性一般,基本符合项目实际情况为一般,得1分;差或未提供不得分。安全保障方案(5分)对响应人应急保障方案、重大事件保障方案等内容的完整性、合理性、可实施性等进行评审。内容完整,科学合理,可操作行性强,符合项目实际情况为优,得5分;内容较完整,较科学合理,可操作性较强,较符合项目实际情况为良得3分;内容基本完整,基本科学合理,可操作性一般,基本符合项目实际情况为一般,得1分;差或未提供不得分。商务部分(30分)供应商综合实力(14分)1、响应人具有中国网络安全审查认证和市场监管大数据中心颁发的信息系统安全运维服务资质证书,一级的得5分,二级得3分,三级的得1分,没有不得分。2、响应人具有中国网络安全审查认证和市场监管大数据中心颁发的信息安全应急处理服务资质证书,一级的得5分,二级得3分,三级的得1分,没有不得分。3、响应人具有ITSS信息技术服务标准符合性证书((运行维护)一级的得4分,二级得3分,三级的得1分,没有不得分。提供加盖响应人公章的证书复印件人员资质(16分)1、投标运维公司人员具有中国电子技术标准化研究院颁发的IT服务项目经理证书、中国网络安全审查技术与认证中心颁发的信息安全保障人员认证(CISAW,认证方向:风险管理(专业级))、中国信息安全测评中心颁发的注册信息安全管理人员(CISO)证书、信息系统项目管理师证书,同时具有4个证书得8分,具有3个证书得4分,具有2个证书得1分,其余不得分。2、投标运维公司人员具有中国网络安全审查技术与认证中心颁发的信息安全保障人员(CISAW,认证方向:应急服务(专业级))、低压电工证、人力资源和社会保障部、工业和信息化部颁发的信息安全工程师、中国信息安全测评中心颁发的CISP-CISE注册信息安全工程师,同时具有4个证书得8分,具有3个证书得4分,具有2个证书得1分,其余不得分。(提供人员证书复印件及人员在投标单位缴纳的2025年任意一个月社保证明材料复印件。成立不足上述时间的新公司或新入职员工可提供人员劳动(务)合同复印件。并加盖响应人鲜章)五、无效响应供应商出现以下条款情况之一者,视为无效响应:(一)供应商不符合规定的资格条件的;(二)供应商未通过符合性审查的;(三)供应商的法定代表人(或其授权代表)或自然人未参加比选的;(四)响应文件未按比选文件要求签署、盖章的;(五)报价超过比选文件中规定的最高限价的;(六)单位负责人为同一人或者存在直接控股、管理关系的不同供应商,参加同一合同项比选的;(七)同一合同项下的货物,制造商参与报价,再委托代理商参与报价的;(八)供应商响应文件内容有与国家现行法律法规相违背的内容,或附有采购人无法接受的条件;(九)响应文件不符合比选文件第一章“六、其他有关规定”的。(十)法律、法规和竞争性比选文件规定的其他无效情形。六、采购终止出现下列情形之一的,采购人或应当终止竞争性比选采购活动,重新开展采购活动:(一)因情况变化,不再符合规定的竞争性比选采购方式适用情形的;(二)出现影响采购公正的违法、违规行为的;(三)在采购过程中符合要求的供应商不足3家的。(四)因重大变故,采购任务取消的。七、付款方式:合同签订后,采购人收到成交供应商出具的正规发票后向成交供应商支付所签订合同金额的50%;半年后支付合同金额的45%;再过半年后支付合同金额剩余的5%。八、安全运维服务考核标准(一)事件等级认定一般事件:指单一设备或软件发生故障或使用效果不好,但未造成大的影响的事件。较大事件:单一设备无法使用或时好时坏,影响科室正常办公次序的事件。重大事件:指因设备故障导致部分区域其他设备无法使用,影响正常办公的事件。特大事件:指因设备或服务器故障导致全院或多个区域其他设备无法使用,影响正常办公的事件。(二)考核评价其他减分项设定评价类别指标定义评分标准评价依据注释指标值减分服务响应工作时间非工作时间服务指标每考核以软件端实时查询、监控,系统自动统计生成的服务指标分数为准。一般事件≤5分钟≤10分钟考核分数90%,每项每低1%扣1分较大事件≤5分钟≤10分钟重大事件立即≤10分钟特大事件立即≤5分钟服务到场时间工作时间非工作时间服务指标每考核以软件端实时查询、监控,系统自动统计生成的服务指标分数为准。一般事件≤15分钟≤20分钟考核分数90%,每项每低1%扣1分较大事件≤20分钟≤20分钟重大事件≤5分钟≤20分钟特大事件≤5分钟≤10分钟服务闭环时间工作时间非工作时间服务指标每考核以软件端实时查询、监控,系统自动统计生成的服务指标分数为准。数据中心运维服务一般事件≤30分钟/3小时≤1小时考核分数90%,每项每低1%扣1分较大事件≤1小时≤2小时重大事件≤2小时≤4小时特大事件≤2小时≤4小时服务人员服务满意度评价报修人或使用人对服务人员每次服务完成后软件端实时评价 “非常满意”;“满意”;“一般”;“不满意”或“投诉”等。服务指标不满意和投诉≤10%考核分数安全通报每有一次全国级监管部门安全通报的,扣 10 分;每有一次市级监管部门安全通报的,扣 5 分。故障处理应急响应服务主管人员拨打乙方联系人电话要求应急服务后,乙方服务工程师在20分钟内未主动联系主管人员响应服务请求的。0.5分/次以服务申告方的电话记录为依据主管人员申请应急服务或应急响应远程解决不了需现场服务时,乙方技术支持人员在5小时内未到达现场提供服务且未主动联系主管人员响应服务请求的。0.5分/次以服务申告方的电话记录为依据故障修复服务因乙方服务人员因故障定位不准,导致同类故障同台设备当月再次发生。1分/次根据报修人证实、系统日志等综合判定乙方服务人员因错误操作导致发生故障的。2分/次乙方服务人员无故拒不执行、配合采购人的合理工作要求3分/次甲乙双方人员共同认定应急保障在要求应急工作中,乙方人员无故拒不执行、配合甲方的合理工作要求3分/次甲乙双方人员共同认定服务巡检计划巡检未按照合同或运维服务方案要求开展定期巡检1分/次巡检记录甲方直接认定巡检后未提供记录或相关服务报告的1分/次巡检记录违反甲方相关安全管理制度规定,例如:违规接入网络;将病毒引入网络;随意分配IP地址;私自接通内外网;滥用运维服务权限进行不适当的操作,尤其是对甲方的业务系统运营及维护产生负面影响的。5分/次根据系统操作记录、系统日志等综合判定发现有以下任一行为并造成不良后果的:1、违反保密要求;2、未经授权私自获取甲方各种数据和资料的;3、发生信息安全违规行为。10分/次根据系统操作记录、系统日志等综合判定(三)考核评价加分项设定评价类别指标定义评分标准评价依据注释指标值加分值协作乙方在处理复杂故障进行过程中在完成本职工作之余,积极的协助甲方或其他第三方解决了相关重大问题,使故障或工程整体进度得到了推进,根据实际情况对乙方酌情加分每出现一次因乙方积极相互协作解决了项目重大问题,根据实际情况加分1~3分/次相关人员向甲方提供书面的情况说明报告,甲方证实批准后执行。态度乙方在紧急故障处理过程中,主动增派力量,态度端正、不推诿,确保质量,积极协调最终及时处理故障的,可酌情加分1~3分/次相关人员向甲方提供书面说明,甲方证实批准后执行加分值原则上不得超过该故障延长时间的扣分总值建议乙方提出了有利于故障或管理等方面改进的建设性意见或建议,并得到了甲方的采纳,根据实际情况对乙方酌情加分乙方每提出一个重大的建设性意见得到甲方采纳3分/次相关人员向甲方提供书面的情况说明报告,经甲方证实批准后执行。稳定性乙方在半年度日常支撑及维护中,未出现重大障碍或事故,服务得到甲方好评的半年度稳定运行无障碍,根据系统重要程度加分1~3分/次由相关人员提书面说明报告,经甲方证实批准后执行。(四)服务考核评定流程考核由采购人相关责任人员具体负责。所执行的扣分或加分以及最终考评分采购人应实时通报给乙方负责人,如被考核方存在疑议,可在5日内向采购人提出并提交澄清报告进行裁定。(五)考核方式每年度对中标单位进行考核并按考核结果支付合同金额的5%尾款。考核初始分为100分,考核分数线为95分,实际分数为初始分数经加减分数项考核后的结果。实际分数每低于考核分数线1分,则按应付合同尾款金额的1%扣除,详细考核方式如下:1.分数不低于95分,不进行考核。2.分数低于95分且不低于60分,每扣1分,则按应付合同尾款金额的1%扣除。3.分数低于60分则终止合同。九、响应文件内容及要求:(一)响应文件提交要求1.线上提交文件(1)供应商线上报名、报价时需上传盖鲜章后的电子文档一份。未按要求提供的视为无效供应商。(2)供应商在系统中的报价与响应文件中的报价不一致时,采购人将以系统中供应商的报价作为评判依据。(3)供应商只能有一个有效报价,供应商只能以自己单位名义提交响应文件。(4)供应商制作的响应文件电子文档,须按照要求制作,规定签字、盖章的地方必须按规定签字、盖章,上传的文件需字迹清晰,未按要求制作响应文件的作废标处理。2.线下递交文件1.响应文件一式两份,其中正本一份,副本一份。每套纸质响应文件须在封面清楚地标明“正本”、“副本”,副本可为正本的复印件,应与正本一致,如出现不一致情况以正本为准。2.在响应文件正本中,竞争性比选文件第七篇响应文件编制要求中规定签署、盖章的地方必须按其规定签署、盖章。(二)响应文件内容1.盖鲜章的《竞争性比选报价函》1份。(报价函中第2条响应文件份数请根据响应文件提交要求的份数自行修改)2.盖鲜章的营业执照(副本)或事业单位法人证书(副本)复印件或个体工商户营业执照或有效的自然人身份证明或社会团体法人登记证书复印件。3.盖鲜章的《法定代表人身份证明书》1份,其中应包含法定代表人身份证复印件。若法定代表人委托他人投标,请提供盖鲜章的《法定代表人授权委托书》1份,其中应包含法定代表人及被授权人身份证复印件各1份。4.盖鲜章的基本资格条件承诺函。5.其他应提供的资料。十、合同的签订:成交供应商当自采购人发布结果公告后的30日历日内,按成交供应商的响应文件内容与采购人签订书面合同。中选人无正当理由拒签合同的或因中选人原因未在规定时间内签定合同的,比选人取消其中选资格;给比选人造成的损失,中选人应当对造成的损失进行赔偿。如中选第一候选人未签订合同,比选人有权选择第二候选人签订书面合同。十一、费用:不论比选结果如何,响应人自行承担与本次比选有关的所有费用。十二、如有未尽事宜,最终解释权在比选方。十三、若响应人提供虚假材料将按作废处理。第三章响应文件编制要求一、报价(一)报价函竞争性比选报价函(采购单位名称):我方收到(项目名称)的竞争性比选文件,经详细研究,决定参加该项目。1.愿意按照竞争性比选文件中的一切要求,提供本项目的商品及服务,报价为人民币大写:元整;人民币小写元。服务期。2.我方现提交的响应文件为:响应文件正本壹份。3.我方承诺:本次报价的有效期为提交响应文件截止时间起90天。4.我方完全理解和接受竞争性比选文件的一切规定、要求和评审办法。5.我方若中选,将按照竞采结果签订合同,并且严格履行合同义务。本承诺函将成为合同不可分割的一部分,与合同具有同等的法律效力。6.我方理解,最低报价不是成交的唯一条件。供应商名称(公章):年月日二、资格条件(一)营业执照(副本)或事业单位法人证书(副本)复印件或个体工商户营业执照或有效的自然人身份证明或社会团体法人登记证书复印件(二)法定代表人身份证明书(格式)/法定代表人授权委托书(格式)(二选一)法定代表人身份证明书致(采购单位名称):(法定代表人名称及身份证代码)是(供应商名称)的法定代表人,电话,代表我单位全权办理上述项目的报价、签约等具体工作,并签署全部有关文件、协议及合同。签字负全部责任。法定代表人(签字或盖章):供应商名称(公章)年月日(附:法定代表人身份证正反面复印件)法定代表人授权委托书致(采购单位名称):(法定代表人名称)是(供应商名称)的法定代表人,特授权(被授权人姓名及身份证代码)电话,代表我单位全权办理上述项目的报价、签约等具体工作,并签署全部有关文件、协议及合同。我单位对被授权人的签字负全部责任。在撤消授权的书面通知以前,本授权书一直有效。被授权人在授权书有效期内签署的所有文件不因授权的撤消而失效。被授权人:法定代表人:(签字或盖章)(签字或盖章)(附:被授权人、法定代表人身份证正反面复印件)供应商名称(公章)年月日(三)基本资格条件承诺函基本资格条件承诺函致(采购单位名称):(供应商名称)郑重承诺:1.我方具有良好的商业信誉和健全的财务会计制度,具有履行合同所必需的设备和专业技术能力,具有依法缴纳税收和社会保障金的良好记录,参加本项目采购活动前三年内无重大违法活动记录。2.我方未列入在信用中国网站(www.creditchina.gov.cn)“失信被执行人”、“重大税收违法案件当事人名单”中,也未列入中国政府采购网(www.ccgp.gov.cn)“政府采购严重违法失信行为记录名单”中。3.我方在项目评审环节结束后,随时接受采购人检查验证,配合提供相关证明材料,证明符合《中华人民共和国政府采购法》第二十二条规定的供应商基本资格条件。我方对以上承诺负全部法律责任。特此承诺。供应商名称(公章)年月日三、其他应提供的资料其他与项目有关的资料(自附)---------------------------------------------------------------------(结束) 附件下载
- 奉节县人民医院信息安全运维服务项目竞争性比选文件.docx下载