关于“数据中心机房建设”招标文件质疑的回复
各投标人:
数据中心机房建设(项目编号:WJCG2019135)招标文件的质疑已收悉,现答复如下:
1、招标要求:投标人同时具有ISO9001质量管理体系认证,ISO 27001信息安全管理体系认证证书,ISO 20000信息技术服务管理体系认证证书,ITSS信息技术服务运行维护标准符合性证书(壹级),CRCC信息安全服务资质证书,得5分,缺1项扣1分,扣完为止。
质疑:投标人综合实力要求的ITSS资质、CRCC信息安全服务资质证书不能作为限制或者有意屏蔽潜在投标人,根据中华人民共和国招投标法要求资质不得作为或限制潜在投标人参与竞标,破坏招投标市场的公平、公正市场,强烈建议删除此资质还招投标市场公平、公正。建议删除。
回复:投标人综合实力要求的ITSS资质、CCRC信息安全服务资质证书属于综合评审得分项,并非资格条款,无阻挠和限制供应商自由进入本地区和本行业的政府采购市场。并且,ITSS、CCRC国内主流厂商均有该认证资质,引入该项要求作为评定标准,要求参与项目的厂商具有丰富的技术及售后服务能力,能够更好的为本次项目服务,无限制、排斥投标人的行为。按原招标文件执行。
2、招标要求:考虑到本项目中涉及医院业务系统数据迁移,投标人为医疗软件制造厂商(具有自主知识产权的HIS/LIS/PACS/电子病历/集成平台产品)得5分,缺1项扣1分,扣完为止。
质疑:本次招标项目是一个硬件采购项目,而该要求一定程度上限制了潜在投标人竞标,有意提高采购标准,有严重的控标指向嫌疑,破坏招投标市场的公平、公正市场,违反了中华人民共和国政府采购法第七十一条:采购人、采购代理机构有下列情形之一的,责令限期改正,给予警告,可以并处罚款,对直接负责的主管人员和其他直接责任人员,由其行政主管部门或者有关机关给予处分,并予通报:(一)应当采用公开招标方式而擅自采用其他方式采购的;(二)擅自提高采购标准的;(三)以不合理的条件对供应商实行差别待遇或者歧视待遇的;(四)在招标采购过程中与投标人进行协商谈判的;(五)中标、成交通知书发出后不与中标、成交供应商签订采购合同的;(六)拒绝有关部门依法实施监督检查的。
建议修改为:投标人拥有医疗行业数据中心项目建设业绩的加5分;
回复:本次硬件采购项目是医院软件信息化的基础保障,离不开与业务软件整体集成,从而实现硬件效益最大化。招标人希望参与项目的厂商具有HIS/LIS等信息化业务系统建设经验,为保证项目的建设质量和实现项目总体建设目标。因此招标文件并没有具体的针对性和倾向性,不存在限制、排斥投标人的行为。按原招标文件执行。
3、招标要求:投标人具有信息系统集成壹级资质证书得5分,贰级得2分,其他不得分。
质疑:根据国务院“放管服”改革要求,“计算机信息系统集成企业资质认定”己于2014年由国务院明令取消,任何组织和机构不得继续实施。存在上述问题的应立即纠正,确保国务院的“放管服”改革要求落实到位:该证书已改由中国电子联合协会颁发,不具备官方公信力,如2014年以后成立的公司未取得该资质证书,应当是合格投标人,不应否决其投标。一定程度上限制了潜在投标人的参与。建议删除。
回复:依据评分标准描述,属于综合评审得分项,并非资格条款,不满足此条评分标准,不会否决投标人投标。所以不存在限制潜在投标人的参与。同时国务院取消的对该资质的是审批事项,并未取消计算机信息系统集成资质证书,评审之前发放的证书在有效期内继续有效,并且国内从事医疗行业的实力公司均有该资质,不存在限制、排斥投标人的行为。按原招标文件执行。
4、招标要求:(4)投标人具有CMMI5级认证证书得5分,CMMI4级及以下得2分。(5)投标人为该项目配备的项目经理须同时具备PMP认证和中国电子信息行业联合会颁发的项目经理资质的得5分,提供不全不得分。
质疑:该资质、证书要求目前市场上除了上海金仕达卫宁软件科技有限公司能完全满足,其他潜在投标人公司无法完全满足;《政府采购货物和服务招标投标管理办法》第二十一条:招标文件不得要求或者标明特定的投标人或者产品,以及含有倾向性或者排斥潜在投标人的其他内容。第六十八条招标采购单位有下列情形之一的,责令限期改正,给予警告,可以按照有关法律规定并处罚款,对直接负责的上管人员和其他直接责任人员,由其行政主管部门或者有关机关依法给予处分,并予通报;(四)以不合理的要求限制或者排斥潜在投标供应商,对潜在投标供应商实行差别待遇或者歧视待遇,或者招标文件指定特定的供应商、含有倾向性或者排斥潜在投标供应商的其他内容的;
因此我公司认为此次项目招标严重违反招标法的公平、公正的原则,具有严重的供应商倾向性,我公司保留向有关上级部门投诉的权利。
建议:对投标要求予以更改,让各潜在投标人公平参与。
回复:本次招标涉及医院患者隐私数据管理,对整体系统的安全稳定运行起到决定性作用,所以需要对投标厂商及配备的项目经理严格要求,需取得国际认证,对厂商要求较高,能体现出厂商的综合实力,帮助医院单户选择优质产品与厂家,多家厂商如天融信,蓝盾等都均可满足此资质,按原招标文件执行。
11、日志审计 参数1:支持安全页面(SSL)证书下载;(提供相关产品截图证明并加盖投标人公章);
质疑:安全页面(SSL)证书下载一般在用于串接设备做SSL加解密使用,并且旁路设备日志审计的功能,该功能在日志审计设备上无使用价值,也是典型的控标参数,建议删除该参数:
回复:该功能并非用于串接设备做加解密使用,由于浏览器对 HTTPS 服务的非授权机构授权证书不信任,浏览器会弹出信任警告,通过安全页面(SSL)证书认证,方可使其信任该页面,该功能并非无价值。按原招标文件执行。
12、日志审计 参数2:支持自定义三层业务策略:支持通过该策略配置,识别数据库三层架构中用户信息;(提供产品页面截图证明并加盖投标人公章)
质疑:该功能与日志审计产品产品功能毫无关系,对于日志审计的产品策略配置、日志存储和日志分析无关,是典型的控标参数,不满足三个厂商,为保证招投标的公平公正,建议删除该条参数。
回复:三层业务策略属于日志审计的核心功能,可以针对数据库三层数据做审计,并且能够审计到一些中间件,例如tomcat,符合医院单位的实际需求,并且根据市场调研,主流的设备厂商均可满足。按原招标文件执行。
13、数据库审计 参数1:支持与上网行为管理设备的上网日志做结合分析,通过全面分析展示泄密内容、数据泄密轨迹、外发文件内容,并通过视图化的直观展现;(投标时须提供相关证明材料,包括但不限于检测报告、功能截图、官网截图)
质疑:该功能要求具有典型的控标嫌疑,屏蔽了专业的数据库审计厂商,很多专业的数据库审计厂商无上网行为管理设备,该功能必须同一品牌下才可使用,而且根据市场调研,满足该功能要求的厂商不足三家,为保证招投标的公平公章,建议删除该条参数。
回复:该功能能良好检测主机是否失陷或存在风险访问。要求结合上网日志、数据库日志做数据泄密分析为正常思路逻辑,且符合等保审计要求,并且主流厂商都可以满足与上网行为管理设备的上网日志做结合分析。按原招标文件执行。
14、数据库审计 参数2:支持与本次所投防火墙联动,准确阻断和防止webshell攻击,防止造成数据库泄密;(投标时须提供相关证明材料,包括但不限于检测报告、功能截图、官网截图)
质疑:该功能要求具有典型的控标嫌疑,屏蔽了专业的数据库审计厂商,很多专业的数据库审计厂商无防火墙设备,该功能必须同一品牌下才可使用,而且根据市场调研,满足该功能要求的厂商不足三家,为保证招投标的公平公章,建议删除该条参数。
回复:WebShell后门具有隐蔽性,一般有隐藏在正常文件中并修改参数完成隐藏和执行脚本,造成数据泄密,为最基本、最常见的攻击手段之一,缺乏经验的管理人员难以发现,为保障医疗数据的高安全性及高可用性,按原招标文件执行。
发表于 2020-1-15 13:31:27
分享
收藏
发表于 2020-1-16 12:43:50