绍兴市柯桥区财政局投诉处理结果公告

一、项目编号：

二、项目名称：

三、相关当事人

投 诉 人：西安鑫可医疗科技有限公司　　　　　　　　　　　

地 址：陕西省西安市雁塔区科技路305号高新大都荟7幢12206室　　　　　　　　　　　

被投诉人：绍兴第二医院医共体总院、浙江越锋项目管理有限公司　　　　　　　　　　　

地 址：绍兴市延安路123号、绍兴市柯桥区湖西路1176号（现代大厦）　　　　　　　　　　　

四、基本情况

投诉人对被投诉人关于《绍兴第二医院医共体总院（一院两区）信息系统一体化建设软件开发服务》（绍柯采〔2022〕4284号）的质疑答复不满，于2023年3月20日向本机关提起投诉，本机关于2023年3月21日受理。经依法对本次政府采购活动的相关材料进行审查并向投诉人、被投诉人及其他投诉相关当事人进行调查了解，现本案已审查终结。
投诉人诉称：
投诉事项1：采购文件所描述内容指向核心系统架构采用B/S技术架构且医院明显指向此技术架构，目前市面上主流产品以C/S技术架构为主，核心系统采用B/S架构目前主要是和仁科技、南京海泰、熙牛医疗几家公司，几家公司整体医疗市场占有率不会超过10%，按照目前信息化发展B/S和C/S两种架构都可满足医院未来发展要求，并不存在技术上的优劣之分。医院以实际需求为由硬性要求B/S架构，排斥C/S架构供应商参与竞标。
投诉事项2：医院和招标代理机构以信息安全作为回复，但目前安全渗透测试并没有国家层面认证的相关资质证书及第三方测试报告。能体现软件产品的安全性的方式很多，此项评分提出特定的测试场景作为安全渗透的测试场景，存在明显倾向性。同时信息安全服务资质是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，对提供信息安全服务机构的信息安全服务资质包括法律地位、资源状况、管理水平、技术能力等方面的要求进行评价。该资质共8个单项，其中涵盖：信息安全风险评估、信息安全应急处理、信息系统安全集成、信息系统安全运维等。提供此类测评服务的测试机构鱼龙混杂，此类测试报告没有权威性普适性，利用此类特定的测试报告用于评分控标嫌疑巨大。
2023年3月22日，本机关依法向被投诉人绍兴第二医院医共体总院、浙江越锋项目管理有限公司送达了《政府采购供应商投诉副本发送通知书》。2023年3月23日，本机关分别收到上述单位对投诉的答辩函。
被投诉人绍兴第二医院医共体总院、浙江越锋项目管理有限公司辩称：
关于投诉事项1：
1.该事项是采购人前期通过市场征询（详见投诉书附件1：市场征询专家意见书，P6-9），后期参观考察筛选出来的，适合采购人一院两区一体化信息系统建设需求。近几年省内外进行一体化信息系统建设的三级公立医院，如绍兴市人民医院、浙江医院、舟山医院等均采用了浏览器和服务器架构模式（B/S架构）（详见投诉书附件4: 拟采用B/S架构的国内医院名单举例,P16-33）。
2.B/S架构的优势。B/S架构是WEB兴起后的一种网络架构模式，将系统功能实现的核心部分集中到服务器上，简化了系统开发、维护和使用，简化了客户端电脑载荷，减轻了系统维护与升级的成本和工作量，降低了用户的总体成本(TCO)，适合采购人一院两区和信息技术人员不足的现状。
3.该事项为评分项，采购人只是对产品具备B/S架构予适当加分，并未排斥C/S架构供应商参与竞标。
关于投诉事项2：
1.（1）根据关于印送《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公安部公网安〔2020〕1960号）（详见投诉书附件5: 公安部公网安〔2020〕1960号，P34-35）规定第三级以上网络运营者应委托符合国家有关规定的等级测评机构，每年开展一次网络安全等级测评。新建第三级以上网络应在通过等级测评后投入运行。（2）医疗卫生机构网络安全管理办法（国卫规划发〔2020〕29号）（详见投诉书附件6：医疗卫生机构网络安全管理办法国卫规划发〔2022〕29号，P36）规定新建网络投入使用应依法依规开展等级保护备案工作。（3）浙江省第四周期医院等级评审标准三类指标6.6.3（详见投诉书附件7：浙江省第四周期医院等级评审标准三类指标，P37）要求医院进行信息系统等级保护测评。（4）国家卫生健康标准委员会卫生健康信息标准专业委员会、国家卫生健康委统计信息中心两部门颁发的国家医疗健康信息，医院信息互联互通标准化成熟度测评方案（2020 年版）（详见投诉书附件8：医院信息互联互通标准化成熟度测评方案（2020 年版），P38-39）互联互通四甲要求医院每年不少于一次的渗透测试。（5）根据《信息安全技术网络安全等级保护测评过程指南》GBT 28449-2018及《信息安全技术网络安全等级保护测评要求》GB/T28448-2019规定（详见投诉书附件9，P40-43），渗透测试是信息安全技术网络安全等级保护测评针对三级系统的一项检测项，本次采购人所采购的内容系统等级为安全等级保护测评三级系统，供应商的软件产品通过渗透测试是有必要的，符合医院信息系统安全等级保护测评的要求，且采购人每年都进行三级测评（详见投诉书附件10：采购人每年都进行信息安全三级测评，P44），测试内容都可在技术参数中检索到类似信息。
2.测试机构须满足国家信息安全服务资质类要求方可开展此类测试，该资质是中国网络安全审查技术与认证中心依据国家法律法规、国家标准、行业标准和技术规范，按照认证基本规范及认证规则，从法律地位、资源状况、管理水平、技术能力等方面进行评价后才能取证（详见投诉书附件11：信息安全服务资质认证证书，P45）。获此类认证的测试机构不存在投诉人所述的鱼龙混杂，该类测试机构提供的测试报告具有一定的权威性与普适性。
3.HIS+EMR系统一体化、集成平台系统、数据中心系统的渗透测试场景的核心内容均涉及医院的核心数据，与信息、财务安全、患者隐私息息相关。
4.产品安全性测试为评分项，不是特定行业的业绩和奖项，不存在投诉人所述的违反《中华人民共和国政府采购法实施条例》第二十条第四款“以特定行政区域或者特定行业的业绩、奖项作为加分条件或者中标、成交条件”。综上所述，投诉书中提及的两条评分点设置合理，符合本项目实际需求。

五、处理依据及结果

1、处理依据：经本机关审查查明：
本项目采购方式为公开招标（项目编号：绍柯采〔2022〕4284号），2023年2月22日发布采购公告,3月10日和24日两次发布更正公告，目前尚未开标评标。2023年2月28日，投诉人向被投诉人及采购代理机构递交了《质疑函》；3月9日，被投诉人绍兴第二医院医共体总院、浙江越锋项目管理有限公司对《质疑函》做出了回复。被投诉人绍兴第二医院医共体总院在该项目市场征询和招标参数确定等环节均组织专家进行了论证，在收到投诉人西安鑫可医疗科技有限公司质疑函后，再次组织专家进行了论证。
本机关认为：
关于投诉人的投诉事项1：
1.《中华人民共和国政府采购法实施条例》第十一条规定:采购人在政府采购活动中应当维护国家利益和社会公共利益，公正廉洁，诚实守信，执行政府采购政策，建立政府采购内部管理制度，厉行节约，科学合理确定采购需求。绍兴第二医院医共体总院根据一院两区的实际情况，对“技术架构”可提出自己的采购需求。科学合理确定采购需求是采购人的权利和职责。政府采购招标活动中，确保供应商（产品或服务）有效竞争，但并不意味着采购需求中的商务技术条件，必须为所有或者绝大多数市场主体均能满足。
2.绍兴第二医院医共体总院在2022年7月7日的绍兴第二医院（一院两区）信息系统一体化建设项目方案专家论证中，专家组听取了五家公司的方案介绍，审阅了五家公司的建设方案相关资料，并出具了专家论证报告。同时B/S架构和C/S架构仅是信息系统技术架构区别，行业内分别满足这两项功能要求的厂商皆超过3家，能形成有效竞争，不具有指向性和排他性。另外该事项为评分项，采购人只是对产品具备B/S架构予以适当加分，并未排斥C/S架构供应商参与竞标。因此该采购需求不属于“采购需求中的技术、服务等要求指向特定供应商、特定产品”和“以其他不合理条件限制或者排斥潜在供应商”。该投诉事项不成立。
关于投诉人的投诉事项2：
1.《中华人民共和国网络安全法》第三十三条规定：建设关键信息基础设施应当确保其具有支持业务稳定、持续运行的性能，并保证安全技术措施同步规划、同步建设、同步使用。《关键信息基础设施安全保护条例》（国务院令第745号）第十五条规定：专门安全管理机构具体负责本单位的关键信息基础设施安全保护工作，履行下列职责：（二）组织推动网络安全防护能力建设，开展网络安全监测、检测和风险评估。医疗数据属于重要数据，特别是敏感医疗数据含有个人信息，因此为了加强数据安全管理，保障患者个人健康档案信息安全，做好产品安全性测试是十分必要的环节。
2.《贯彻落实网络安全等级保护制度和关键信息基础设施安全保护制度的指导意见》（公网安〔2020〕1960号）第二条第二款规定：定期开展网络安全等级测评。网络运营者应依据有关标准规范，对已定级备案网络的安全性进行检测评估，查找可能存在的网络安全问题和隐患。第三级以上网络运营者应委托符合国家有关规定的等级测评机构，每年开展一次网络安全等级测评，并及时将等级测评报告提交受理备案的公安机关和行业主管部门。新建第三级以上网络应在通过等级测评后投入运行。绍兴第二医院医共体总院原有的信息系统已开展了三级信息系统安全等级保护测评，新建三级网络需在通过等级测评后投入运行。
3.在本项目公开招标文件（项目编号：绍柯采[2022]4284号）第三部分“采购需求”第一条“建设背景、建设原则及目标”中，“1.3项目建设目标”为计划在2-3年内达到智慧服务三级，互联互通四甲，电子病历五级的水平。根据《国家医疗健康信息医院信息互联互通标准化成熟度测评方案（2020年版）》“4.3信息安全情况”的评审内容要求，四级甲等需定期对应用系统进行安全检查与应急演练（编号：4.3.2.8），除安全等级测评外，定期（每年不少于一次）对信息平台和医疗业务核心系统进行渗透测试、漏洞扫描或安全整改等，要求提供本年度或上一年度的安全检查和整改报告，且报告内不应存在未整改的高危漏洞，定期（每年不少于一次）开展安全应急演练，并提供演练报告。根据《信息安全技术网络安全等级保护测评过程指南》（GB/T28449—2018）“附录E（资料性附录）等级测评现场测评方式及工作任务”中的“E.4测试的（b）备份测试结果”，对不同等级定级对象在测评实施时的不同强度有不同的要求，其中“三级：符合GB/T22239中的三级要求，针对服务器、数据库管理系统、网络设备、安全设备、应用系统等进行漏洞扫描；针对应用系统完整性和保密性要求进行协议分析；渗透测试应包括基于一般脆弱性的内部和外部渗透攻击；针对物理设施进行有效性测试等。”因此采购人在公开招标文件（项目编号：绍柯采[2022]4284号）第四部分“评标方法及评分标准”第八条“具体评标标准”中的“产品安全性测试”要求投标人所投系统具有第三方评估机构出具系统渗透测试报告并无不妥。
4.中国网络安全审查技术与认证中心（网址：www.isccc.gov.cn）为国家市场监督管理总局直属事业单位，其职责是依据《网络安全法》《网络安全审查办法》及国家有关强制性产品认证法律法规，承担网络安全审查技术支撑和认证工作，在批准范围内开展与网络安全相关的产品、管理体系、服务、人员认证和培训等工作。该机构颁布的证书持有者可在有效期内从事有关的信息安全服务工作，并接受中国网络安全审查技术与认证中心的监督。同时评标标准并未对第三方评估机构作出限定。
因此，要求投标人所投系统具有第三方评估机构出具的渗透测试报告符合医院信息系统安全等级保护测评的要求，设置的测试场景与建设内容存在关联性，且采购人仅将此项设置为评分项，并非废标项，不是“以特定行政区域或者特定行业的业绩、奖项作为加分条件或者中标、成交条件”，不属于“以不合理的条件对供应商实行差别待遇或者歧视待遇。”该投诉事项不成立。
2、处理结果：综上，本机关认为，投诉人关于《绍兴第二医院医共体总院（一院两区）信息系统一体化建设软件开发服务》（绍柯采〔2022〕4284号）的投诉缺乏事实依据，投诉事项不成立。根据《中华人民共和国政府采购法》第五十六条、《政府采购质疑和投诉办法》（财政部令第94号）第二十九条第(二）项规定，决定予以驳回，可继续开展采购活动。
如不服本决定，可在本决定书送达之日起60日内向绍兴市柯桥区人民政府申请行政复议，也可以在本决定书送达之日起6个月内向柯桥区人民法院提起行政诉讼。

六、处理日期：

七、执法机关信息：

1、执法机关：柯桥区财政局
2、联 系 人：王晖
3、联系电话：0575-84125927