信息系统安全等级保护咨询项目.doc

信息系统安全等级保护咨询项目招标文件北京大学深圳医院2009年7月为高质量作好医院的信息系统安全等级保护工作，北京大学深圳医院决定以院内公开招标形式，招标一家公司为我院整体设计医院的信息系统安全等级保护工作。本项目招标文件于2009年7月14日在医院网站公示。本项目招标会于2009年7月22日9时30分在北京大学深圳医院综合楼5楼508室进行。请各应标单位按招标书要求携带标书和相应文件准时参加。本咨询项目最高报价不得超过1.6万。各应标单位要于2009年7月21日17时之前短信告之确认参加本次招标会。项目联系人范维，手机一部分 投标人资质要求及评分标准一 投标人资质要求1. 投标人必须是深圳市政府采购中心注册供应商，注册资金500万或以上，具备独立法人资格；2. 投标人工商注册地为深圳地区或在深圳地区有注册分支机构，提供营业执照复印件并加盖公章；3. 投标人必须具有中华人民共和国信息安全服务一级以上（含一级）、ISO27001资质认证，提供资质证书复印件并加盖公章；4. 投标人必须有不少于3人咨询顾问团队（必须提供聘用合同及社保清单），咨询顾问团队必须从事过等级保护和ISO27001项目经验，不允许联合投标；5. 在政府采购最近三年内无骗取中标、严重违约及重大安全及质量问题。二、评分标准序号项目分值评审要求及打分说明1报价10最低价得10分，其次按权重得分。2服务能力201、 中华人民共和国信息安全服务一级资质证书2、 国际信息安全体系认证ISO27001证书3、 计算机信息系统集成叁级或以上证书4、ISO9001证书具备以上4个资质得10分，每少一个减3分。在本地服务机构10人以上并咨询顾问团队3人或以上得10分，每少2人减1分，最少0分。需提供近三个月社保清单。3项目能力30近三年内有实施等级保护、ISO27001信息安全管理体系咨询项目经验10个以上得满分。每少一个减3分。需提供合同证明及客户联络人、电话。3技术方案项目经理水平10具备ISO27001 LA证书和PMP证书及cissp证书，相关类似项目工作经验5年以上并有等级保护和ISO27001项目经验得10分，三年以上并有等级保护和ISO27001项目经验得5分，一年以上并从有等级保护和ISO27001项目经验得3分，其它为0分。需提供证书复印件（备注：项目经理必须具备ISO27001 LA证书和PMP证书及CISSP证书并在公司工作半年或以上，必须提供在职半年或以上社保证明，否则不得分）。顾问成员水平10ISO27001 LA证书或cissp证书，相关类似项目工作经验3年以上并有等级保护和ISO27001项目经验得10分，一年以上并有等级保护和ISO27001项目经验得5分，其它为2分。需提供证书复印件相关工作经验证明文件。4方案内容201、 方案体现制度文件的完备性和系统性2、 方案体现对安全制度文件的可操作性3、 方案体现项目时间的可控性和安排的合理性。4、 方案中是否体现安全制度落实及安全水平提升5、 方案中人员组织的有效性完全满足本标书5个纬度要求、内容合理、能够有效实现项目目标的得0-20分。 第二部分项目要求1. 项目目标根据北京大学深圳医院信息安全现状，按照信息系统安全等级保护工作的标准和要求，以及ISO27001国际信息安全管理标准，建立和实施信息安全管理体系，达到如下目标： 1. 建立符合信息系统安全等级保护要求和ISO27001国际信息安全管理标准的信息安全管理体系，包括信息安全组织体系、信息安全制度体系和信息安全技术体系;2. 推动信息安全管理体系的落实，形成信息安全管理运作和持续提升机制，确保信息安全水平得到持续提高;3. 为北京大学深圳医院培训一批合格的掌握信息安全管理和等级保护要求的信息安全人员。2. 项目范围1. 组织范围：北京大学深圳医院信息中心；2. 系统范围：北京大学深圳医院所有信息系统（包括机房、网络、服务器和PC、应用、数据）。3. 服务内容一、 规划和建立信息安全管理体系（1）管理体系规划设计针对北京大学深圳医院信息安全需求，规划设计管理体系，包括组织体系和制度体系。l 组织体系1.信息安全组织是信息系统安全等级保护要求落实的关键和保障，由信息安全领导小组、信息安全管理组织和信息安全执行工作组织构成。2.信息安全领导小组负责指导和决策信息安全工作，包括安全指导、安全决策、安全制度批准、重大安全事件的处理等。3.信息安全管理组织负责信息安全的规划和监督，包括安全体系的建立、落实工作的监督、安全审计等。4.信息安全执行组织负责信息安全工作的执行；由机房、网络、主机、应用、数据库、人员招聘等角色组成。l 制度体系1.信息安全制度由信息安全方针、安全策略、安全制度、操作规程和表单形成体系化的管理框架。2.信息安全方针内容简洁明了，定义北大医院信息安全总体方针，属于信息安全最高指示。3.信息安全策略定义信息安全的总体目标、范围、原则、责任、安全框架、评审周期要求等内容。4.信息安全制度针对安全活动中的各类管理内容，覆盖物理、网络、主机系统、数据、应用、管理、制度评审、文档控制等各个方面。5.信息安全操作规程对管理人员或操作人员执行的日常管理操作提出的要求；如系统维护手册和用户操作规程等。（2）技术体系规划设计针对北京大学深圳医院信息安全需求和信息安全方针策略，规划设计技术体系，包括技术防护、技术管控和技术恢复。二、 实施和运作信息安全管理体系1.依据管理体系规划设计和技术体系规划设计的成果，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。2.在时间和经费上对安全建设项目进行总体考虑，分到不同时期和阶段，设计建设顺序，进行投资估算，形成安全建设项目计划。3.按照安全建设项目计划落实建设目的，内容包括组织运作、制度实施和技术产品采购及实施。4.对信息安全管理体系进行安全审计，建立安全检查和持续改进机制，确保信息安全水平不断得到提升，并满足信息系统等级保护相应等级的基本要求和ISO27001标准。三、 安全培训服务针对北京大学深圳医院不同级别的人员，提供针对性的信息安全培训，提升全体人员对信息安全的认识和理解，确保全体人员能够支持信息安全管理体系的实施和执行信息安全方面的工作。4. 服务方式1. 投标人提供服务的方式包括：驻场咨询服务、电话响应、邮件支持。2. 在项目执行过程中咨询顾问必须驻场服务，并充分了解北大医院的信息系统和业务运作，为北京大学深圳医院编写信息安全体系所需的全部文档。5. 服务提交文档要求服务提交的文档至少包括如下文档：1. 信息安全方针2. 信息安全安全策略3. 信息安全管理制度（覆盖物理、网络、主机系统、数据、应用、管理、制度评审、文档控制等）4. 信息安全操作规程5. 信息安全管理制度相关的表单6. 信息安全组织体系方案7. 信息安全技术体系方案8. 信息安全建设项目规划及实施计划9. 信息安全审计报告10. 信息安全培训材料6. 服务验收标准