|
|
|
苏州数政安全技术有限公司关于苏州市体育局网络安全服务项目询价采购公告2024/8/16苏州市体育局网络安全服务项目询价采购 SZCJ2024-S-X-161
苏州市创杰招投标咨询服务有限公司受苏州数政安全技术有限公司之委托,对其采购的苏州市体育局网络安全服务项目进行询价采购,欢迎合格的供应商前来参加。 一、 项目说明: (一) 项目名称:苏州市体育局网络安全服务项目 (二) 采购预算:人民币壹拾陆万贰仟元整(¥:162000.00) (三) 合格询价响应供应商的条件: 1、具有独立承担民事责任的能力; 2、具有良好的商业信誉和健全的财务会计制度; 3、具有履行合同所必需的设备和专业技术能力; 4、有依法缴纳税收和社会保障资金的良好记录; 5、参加采购活动前三年内,在经营活动中没有重大违法记录; 6、法律、行政法规规定的其他条件。 二、采购要求: (一)项目背景 国家体育总局公布的《经营高危险体育项目许可管理办法》,建立健全公共体育服务安全应急应用是满足公众参与公共体育运动需求、保障公众人身权益的需要,也是扶持发展公共体育服务业、转变经济发展方式的要求,更是依法行政、建设法治社会的需求。根据《国家突发公共事件总体应急预案》,公共体育服务的安全应急管理应用的基本原则一般是分类管理、分级管理、条块结合、属地管理,在统一部署的前提下,通过不同地区和部门的协同合作,利用前沿技术以信息化的形式,来提高公共体育服务提供者和参与者的自救互救能力。 通过本项目的设计,满足苏州市体育局当前和长期的安全性需求,保障苏州市体育局系统的安全稳定运行。总体目标是借助专业的技术力量不断加强苏州市体育局信息安全运维保障能力,进一步提高网络突发安全事件监测预警能力,实现苏州市体育局应急系统的安全风险的监测、预警、通报、整改、反馈、分析等工作的闭环管理,保障苏州市体育局网络和信息系统安全。 (三)项目工作内容 1.安全运维驻场服务提供驻场服务人员对各业务系统相关的策略配置、系统维护、内部访问等管理维护记录进行安全、有效、直观的操作审计,将运维审计由事件审计提升为内容审计,及时发现运维管理中存在的违规行为,有效地实现事前预防、事中控制和事后审计。 (1)设备巡检服务了解信息系统的运行健康状态,掌握信息系统的运行情况,保障系统稳定运行。运维服务人员进行设备巡检有三项主要工作: 检查各项网络设备电源情况、检查主要内置硬件,设备和外围设备运行情况。 利用现有的运维管理系统记录各项基础设备的历史数据,对信息系统的运行规律进行分析。分析信息系统在各周期各项IT基础设施的运行基线,了解信息系统运行的各种情况,及时合理的调整各项IT资源分配,保障信息系统稳定运行。 (2)安全检查服务配合苏州市体育局完成对下属单位安全检查工作,指导相关单位开展整改工作。 以每年上级主管部门的安全检查通知要求为准,配合完成苏州市体育局及下属单位的安全检查内容的自检和加固,确保顺利通过检查。 服务成果交付 安全运维驻场服务完成后,提交《安全运维服务月报》 2.加固咨询服务加固咨询服务的目标是解决在安全评估中发现的技术性安全问题,所有的被评估对象应不再存在高风险漏洞。同时,在此过程中注意避免影响修补加固对象原有的功能和性能(若可能存在,必须事先指出,并进行周密的计划和布置规避相应的风险)。 加固咨询服务内容是根据专业安全检测结果,协助制定相应的系统加固方案,针对不同目标系统,通过协助修改安全配置、增加安全机制等方法,合理进行安全性加强。 加固咨询服务完成后,提交《加固咨询报告》 3.漏洞扫描服务每季度开展对苏州市体育局业务系统相关资产的漏洞扫描服务,并在漏洞扫描完成后提供修复建议。 安全服务人员漏洞扫描系统,结合资产管理掌握的资产情况,以IT资产为核心,将IT资产与风险漏洞相结合,定期对苏州市体育局各业务系统开展全面的漏洞安全评估。 安全评估内容包括检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口,形成整体安全风险报告,先于攻击者发现安全问题,在尽可能准确发现IT资产的安全漏洞之余,还将协助进行漏洞修补 服务成果 漏洞扫描服务完成后,提供《漏洞扫描报告》。 4.风险评估服务按照风险评估标准,基于多角度、多纬度采用系统检查和人工访谈方式对苏州市体育局重要业务系统的威胁和脆弱性进行评估,结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。 针对重要信息系统,风险评估的主要内容包括:基于评估标准,建立相应的评估模型,利用已有的评估技术和评估方法,针对信息系统展开全方位的评估工作,确保风险分析的内容与范围应该覆盖信息系统的整个体系,将系统资产的3个重要方面(机密性、可用性和完整性)作为目标,并从风险范围、风险程度和风险概率3个角度对系统的威胁和脆弱性进行识别,制定出风险控制措施。 按照国际风险评估信息安全要素提取惯例和标准,调查分析用户的已有策略,从管理、制度、落实情况、物理信息安全、人员信息安全、第三方信息安全等各方面来评估分析。调查业务流程,并对信息资产进行赋值和等级划分;结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行信息安全性评估,并根据评估结果提供评估报告,并根据风险结果设计有针对性的安全整改计划。 服务成果 风评评估服务完成后,提交《信息安全风险评估报告》 5.渗透测试服务全年开展4次对苏州市体育局重要业务系统渗透测试工作。 渗透测试模拟黑客行为对目标对象进行入侵,目的是发现目标对象的管理与技术弱点以及这些弱点被成功利用的可能。通过远程或本地方式对信息系统进行非破坏性的入侵测试。主要开展网络安全渗透、网站安全渗透、业务应用系统安全渗透以及对现有系统、网络、终端的逻辑和物理控制措施进行安全测试。找出安全漏洞所在,提高应用系统的安全性。 服务成果 渗透测试服务完成后,提交《渗透测试报告》。 6.应急响应服务为苏州市体育局提供安全事件发生后,快速进行事件响应,协助开展业务恢复工作,将事件影响降到最低。 网络或系统中的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行,或已经发现的有可能造成上述现象的安全隐患。按照事件严重程度分为紧急和一般两种。紧急事件指设备/系统发生的故障或异常严重影响单位业务正常运行,一般故障指设备/系统发生的故障或异常暂不影响(或只是局部影响)业务正常运行。 当发生安全事件,安全应急团队半小时内远程响应、1小时内赶到现场,分析入侵行为,提供最佳防范方法,将情况控制并将损失缩至最小,同时提供入侵事故过程描述并提交相应的防范报告,使信息网络系统在最短时间内恢复正常工作。 应急响应服务的内容主要有以下几个方面: l 对重要系统提供7x24小时应急事件处置支撑服务。 l 入侵调查及分析,协助检查和追踪入侵来源 l 消除被破坏的和非法的文件; l 对系统的安全进行重新评估; l 消除未来的入侵隐患,提出安全整改建议,提供解决和防范报告并与技术人员共同实施; l 应急事件应重点包括:病毒、非法入侵、DDOS攻击、网页篡改,在事故发生后应提交相应的调查报告:包括事故原因、过程描述、入侵来源、证据报告、解决方案、安全建议、处理结果等。同时提供相应的网络安全技术支持和咨询。每次事故处理后均作详细记录,记录中应详细描述处理流程。 交付成果 服务完成后提交以下成果: 《安全事件应急处置手册》 《安全事件应急处置报告》 7.应急预案与演练服务苏州市体育局当前已建立比较全面的网络安全应急预案,但在数据安全法要求方面尚存在不足,需对现有应急预案开展完善修订工作,以满足最新政策法规合规要求。 应急演练方面应依托丰富的演练经验,与苏州市体育局共同商讨最为贴合业务情况的安全演练场景,各有关部门和人员按照应急预案中描述的步骤进行的一系列活动和措施,对拟定的网络通信中断、网络病毒事件和网络攻击等事件进行现场应急处理。检验工作人员对应急预案的熟悉程度,临场指挥对接听电话、记录等的规范性和实效性,提升相关人员对现场的应急处置能力。 服务成果 应急预案与演练服务完成后,提交《应急演练总结报告》 8.安全保障服务为了保障重要节假日、重大政治事件、上级检查等重要期间信息系统安全稳定的运行,安全运维团队将安全保障时间由原来的5x8小时调整为7x24小时,同时提供以下安全保障服务: 按照国家相关信息安全标准规范文件,通过对需要保障的重要系统进行安全检查,掌握信息系统的信息安全隐患,进一步完善信息安全技术措施,有针对性地提高信息系统的信息安全防护能力,保障信息系统安全稳定运行。 通过技术手段对重要互联网信息系统进行7x24小时安全监测,检测内容包括可用性、网页篡改、网站挂马、网络攻击等。 通过完善专项应急预案,在运维过程中,能对风险做到有预案和可控,保证安全事件发生后按照流程及时处置,缩短故障恢复时间。 交付成果 服务完成后提交以下成果:《重保值守总结报告》 9.安全培训服务为苏州市体育局提供全年1次安全培训。 根据实际情况,结合信息系统的特点,需要提供等级化保护知识及管理培训、政府信息安全培训。 1)培训频次:在整个服务周期内,提供一次培训,时间不少于2小时。 2)培训内容:安全服务商应给出能够提供的培训内容及课时安排,最终培训内容在与采购人协商后作最终确认。 3)培训教材:培训教材均由安全服务商按照培训人数提供。所有培训教材不得使用通用教材,必须为专为本项目所编写的针对性很强的定制教材。培训教材必须为中文纸质,并提供电子文档。培训教材内容须审核通过后方可印刷并投入使用,采购人可不受限制的将培训材料用于内部培训。 4)师资要求:培训讲师必须具有相关专业资格和三年以上实际工作经验与教学经验,安全服务商应给出建议培训讲师人选,最终由采购人与安全服务商协商确定。所有培训必须使用中文教学。 服务成果 安全培训服务完成后,提交《安全培训签到表》、《网络安全培训课件》 10. 数据安全风险评估服务实现系统安全保障的有效方法之一是实施风险评估。通过有效的风险评估,可以获知数据服务系统当前的安全现状、确定数据服务系统所存在的安全风险,评估这些风险的安全威胁及影响程度,以此为基础指导数据服务系统安全策略的确定、安全技术体系与管理体系的建立。 我国《信息安全风险评估规范》(GB/T20984-2007)中给出了风险分析中的3个基本要素,即:资产、威胁、脆弱性。资产是对组织具有价值的信息或资源,是安全策略保护的对象。威胁是可能导致对系统的危害行为,其属性包括威胁主体、影响对象、出现动机和频率等。脆弱性指的是可能被威胁所利用的资产,或者资产的某些薄弱环节。 服务成果服务结束后,提交《数据安全风险评估报告》 (四)产出物说明
(五)服务人员要求 1、人员要求 为能保证在规定时间内完成项目建设,供应商必须提供稳定的专业化的技术支持服务队伍,完善的技术支持服务体系。 具体人员要求如下: 项目经理(1人):具备相关行业工作经验,负责日常管理、工作安排,安全托管文档材料审核和归档,向苏州市体育局汇报工作,各项资源调配,投诉管理工作,每周驻场3-4天。 项目组人员(5人):具备相关信息安全经验,熟悉主流网络和安全设备,负责项目安全的调研、规范编制及现场日常的安全巡检、安全测试、应急响应等工作,专业能够涵盖网络安全、应用安全等专业。如果应急事件发生,则人员响应要求在1小时内进行安全事件的响应和处理,且工作时间将不仅限于正常工作时间,将根据事件处理要求进行响应。 (六)服务期限和服务地点 1.服务期限:合同签订后一年。 2.服务地点:采购人指定地点。 (七)责任考核 对成交单位进行考核(百分制),考核周期为三个月一次,考核标准如下表。在服务期内,如连续两次考核不达标(得分低于60)或超过三次(不连续)考核不达标,采购单位有权终止合同。
(八)项目安全 成交单位在项目服务期间应制定项目安全实施管理措施,并严格遵守安全管理要求,成交单位在项目服务过程中因管理不当、维护措施不当等因素或不按安全管理要求,造成人员安全或财产损失事故的,其责任均由成交单位承担,采购单位不承担责任。 (九)项目保密要求 1、成交单位及其工作人员需遵守采购单位的保密规定,不以任何形式将收集的所有资料、数据等进行泄漏、传播; 2、项目服务人员需签署相关保密协议,承担工作中接触相关内容的保密义务; 3、项目成果最终所有权属采购单位,在项目完成时成交单位必须全部移交; 4、成交单位须维护项目服务成果,不得转让给第三方重复使用; 5、以上保密规定如有违反,采购单位有权追究成交单位相关法律责任。 三、响应报价文件组成及其他说明: (一)询价响应文件的制作要求: 1、询价响应文件组成 : (1)企业营业执照副本、税务登记证副本复印件或三证合一营业执照副本复印件 (2)响应单位法定代表人(或负责人)身份证复印件、法定代表人(或负责人)授权委托书和委托代理人身份证复印件(如为授权) (3)响应报价表 (4)服务偏离表 (5)询价响应函 (6)项目实施方案 (7)响应单位资格承诺书及相关证明资料 注:以上资料若不能如实提供或提供不完整的视为无效投标。 2、文件的签署和密封要求: (1)按上述要求制作询价响应文件叁份(一正两副),并须装订成册;响应文件封面明确标明“正本”和“副本”,正本和副本如有不一致之处,以正本为准; (2)询价响应文件均应采用打印或使用不能擦去的黑色或蓝色墨水书写,由响应单位法定代表人或其授权代表在询价文件要求处亲自签署或盖章,并在询价响应文件的每一页上加盖公章,未加盖公章的页视为无效页。 (3)询价响应文件须装袋密封,封口处须加盖单位公章,密封袋及响应文件封面上应注明采购项目名称、询价采购编号、询价响应单位名称、地址、联系人、联系电话等。 3、采购单位有权拒绝未按上述要求制作的询价响应文件。 (二)询价响应文件错误的修正原则 1、响应文件的大写金额与小写金额不一致的,以大写金额为准。总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;单价金额小数点有明细错位的,应以总价为准,并修改单价; 2、对不同文字文本投标文件的解释发生异议的,以中文文本为准。 3、供应商不同意以上修正的,其询价响应文件将被拒绝。 (三)询价响应文件的补充、修改和撤回 供应商在提交询价响应文件截止时间前,可以对所提交的响应文件进行补充、修改或者撤回,并书面通知采购代理机构。补充、修改的内容作为响应文件的组成部分。补充、修改的内容与响应文件不一致的,以补充、修改的内容为准。 (四)询价响应文件的澄清、说明和更正 询价小组在对响应文件的有效性、完整性和响应程度进行审查时,可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。 询价小组要求供应商澄清、说明或者更正响应文件应当以书面形式作出。供应商的澄清、说明或者更正应当由法定代表人或其授权代表签字或者加盖公章。由授权代表签字的,应当附法定代表人授权书。供应商为自然人的,应当由本人签字并附身份证明。 为保证在评审小组要求供应商解释或者澄清其响应文件时能够及时得到回复,在评审开始前,供应商法定代表人或授权代理人可到评审现场等候。供应商的澄清、说明或者更正应在评审小组向其提出澄清、说明或者更正要求后三十分钟内提交给评审小组。在评审期间、供应商应注意调整其行程安排,如响应供应商未到场,则视为供应商放弃上述权利,相关后果自负。 (五)递交响应询价文件及确定成交供应商日期和地点: 1、本次询价通知书的响应截止时间为2024年8月21日17:00前。响应单位应在截止时间前将询价响应文件密封,并在文件封面注明投标编号,并在文件封口处加盖单位公章后送达苏州市干将西路399号银海大厦303室创杰公司 联系人:潘莉莉 顾凡键 联系电话:0512-65238816,未按询价采购文件要求制作的询价响应文件或过时送达的询价响应文件,一律为无效投标。 2、2024年8月22日9:30在苏州市干将西路399号银海大厦302室创杰公司确定成交供应商。成交供应商收到成交通知书后,应在十五日内签订合同。 四、报价说明: 1、响应单位需根据本询价采购文件要求制作响应文件。本次报出的价格一次性报定不得更改,响应单位报价包括完成全部服务所需的人工费、材料费、通讯费、交通费、资料费、政策性文件规定及合同包含的所有风险、责任等各项应有费用。不论响应单位是否列出相关费用明细,招标人均可以认为响应单位已在总价中包含了全部费用。 2、响应单位应对所要采购的全部内容进行报价,只报其中部分内容的,为无效报价。 五、综合说明及其他: 1、响应单位所提供的服务能够至少达到以上要求。 2、响应单位必须承诺采购文件中提出的全部要求,如果其中某些条款不响应时,应在文件中逐条列出,未列出的视同响应。 3、若响应单位在服务管理期间发生下列行为之一的,采购人可解除服务合同,并不再支付合同费用: (1)将服务转包他人; (2)无法有效开展服务的其它行为。 4、服务履约期间采购方有权按照考核标准对该采购项目服务进行检查考核。 5、成交单位对服务缺陷不予更正,招标人有权另请其他单位更正,所发生的费用在合同价款中扣除。 6、响应单位应对所投项目的全部服务内容进行报价,只投其中部分内容者,其投标文件将被拒绝。响应单位对服务缺陷不予更正,采购方有权另请其他单位更正,所发生的费用由成交单位承担。 7、参照相关法规的规定,招标采购单位将对供应商进行信用查询,凡经确认不符合相关法律法规规定的,将拒绝其参与采购活动。 8、成交服务费:成交单位按照预算金额计算并支付,具体为100万元以内1.5%、100万元~500万元以内1.1%差额定率累进法的60%计算并支付成交服务费,不足叁仟元的按3000元计算,该费用应在领取成交通知书时付清。 六、付款步骤: 本合同分三期进行付款: 1.合同签订后1月内,乙方服务人员入场并提交项目实施方案。项目实施方案经双方认可后,乙方开具发票(发票金额为合同总金额的20%),甲方支付合同总金额的20%。 2.合同签订后6个月,甲方根据阶段性考核结果支付服务款,支付金额不超过合同总金额的50%: 3.服务期满后,甲方根据考核验收结果,支付剩余款项: (1)若考核完全达标(当期责任考核得分不少于90分),甲方支付给乙方结余服务费比例的100%; (2)若考核基本达标(当期责任考核得分不少于70分),甲方支付给乙方结余服务费比例的80%; (3)若考核不达标(当期责任考核得分低于70分),结余服务费将不予支付,并终止服务合同。 七、评审办法: 1、采购人授权询价小组根据质量和服务均能满足采购文件实质性响应要求且报价最低的原则确定成交供应商。 2、若满足上述原则的最低报价响应供应商超过一家时,则由采购单位以抽签的方式决定成交供应商。 八、项目的终止: 出现下列情形之一的,将终止询价采购活动: 1、因情况变化,不再符合规定的询价采购方式适用情形的; 2、出现影响采购公正的违法、违规行为的; 3、在采购过程中符合竞争要求的供应商或者报价未超过采购预算的供应商不足3家的。 九、合同生效: 1、合同经招标代理机构盖骑缝章,甲乙双方代表签字或盖章、加盖公章(或合同章)后生效。 2、合同签订生效后甲乙双方即直接产生权利与义务的关系,合同执行过程中出现的问题应按照《中华人民共和国民法典》的规定办理。在合同履行过程中,双方如有争议,任何一方均可要求招标代理机构进行调解,调解不成,则任何一方均可向需方所在地人民法院提起诉讼。 3、合同在执行过程中出现的未尽事宜,双方应在不违背本合同和甲方采购目的的原则下协商解决,协商结果以书面形式盖章记录在案,并提交招标代理机构一份备存,作为本合同的附件,与本合同具有同等的法律效力。 4、合同一式叁份,甲乙双方各执一份,招标代理机构执一份。 十、其他 1、响应单位在询价响应文件中必须对所有采购产品的技术、服务做出应答,如果有其中某些条款不响应时,须在响应文件中明确列出,未列出的视同响应(且如成交后发现不符合采购要求的,则视为虚假响应,按虚假响应处理) 2、响应单位在投标时提供的资料均应是真实的,若有虚假,由其自行承担一切后果。 3、如响应单位对本通知书有疑义,以书面形式向招标代理机构咨询,一切材料以招标代理机构的书面材料为准。 十一、联系方式: 招标代理机构:苏州市创杰招投标咨询服务有限公司 地 址:苏州市干将西路399号银海大厦303室 邮编:215002 联系人:潘莉莉 顾凡键 联系电话:0512-65238816 采购单位联系人:张文彬 联系电话:18913170991 苏州市创杰招投标咨询服务有限公司 2024年8月16日附件1:询价响应报价表 询价响应报价表
采购编号:______
报价单位(公章): 联系人: 联系电话: 法定代表人(或负责人)或代理人(签字或签章): 日期: 年 月 日
询价响应函 苏州市创杰招投标咨询服务有限公司 : 我方收到贵公司 号询价采购通知,经仔细阅读和研究,我方决定参加,并向贵公司承诺: 1、我方愿意按照询价采购通知的一切要求,提供本项目的所有内容,我方的报价包含服务期限内完成该项目服务工作所需的所有费用。 2、如果我方的询价响应文件被接受,我方将严格履行询价采购通知中规定的每一项要求,严格履行合同的责任和义务,保证按期、按质履行合同,完成合同内容所规定的全部工作。 3、我方愿意提供采购方在询价采购通知中要求的所有资料,也同意向贵方提供贵方可能另外要求的与我方响应有关的任何证据或资料。并保证所提供的资料全部是真实的、有效的,若有虚假,我方愿承担一切责任。 4、我们同意按询价响应文件中的规定,本投标书的有效期限为开标后 45天。 5、我方愿意遵守询价采购通知中所列的收费标准。 6、我方承诺该项报价在递交后保持有效,不作任何更改和变动。我方同意成交后若不履行询价采购通知的内容要求和各项承诺及义务的即被视为违约,我方的成交标资格将被取消。 7、我方同意若无法按约定条款履行义务等行为,采购方有权取消我方成交资格。 8、与本次投标有关的通讯地址: 单 位: 联 系 人: 地 址: 邮政编码: 联系电话: 传 真:
响应单位:(单位盖章) 单位法定代表人(或负责人)或授权委托人:(签字或签章) 日期: 年 月 日
附件3:法定代表人授权委托书
法定代表人(或负责人)授权委托书
本授权委托书声明:我 (姓名)系 (响应单位名称)的法定代表人(或负责人),现授权委托___________________________(单位名称)的 (姓名)为我单位代理人,以本单位的名义参加苏州市创杰招投标咨询服务有限公司组织实施的编号为 __________________________号的活动。代理人在询价响应文件的合同询价过程中所签署的一切文件和处理与这有关的一切事务,我均予以承认。 代理人在授权委托书有效期内签署的所有文件不因授权委托的撤销而失效,除非有撤销授权委托的书面通知,本授权委托书自询价响应文件递交开始至合同履行完毕止。 代理人无转委托权。特此委托。
询价响应单位:(公章) 法定代表人(或负责人):(签字或签章) 委托代理人:(签字或签章) 日期: 年 月 日
服务偏离表
注:1、响应单位应对照采购文件技术要求等要求,所投标的物(服务)与采购文件的规定有偏离的,应在此表中申明与技术要求条文的偏差和例外。 2、未在上表中说明的,如在响应文件其他内容中已有文字说明的,则以已有文字说明为准,否则,将被认为完全响应采购文件的规定。但该表不作为响应单位对所投标的物(服务)关于技术要求等详细描述和说明的替代。
响应单位:(单位盖章) 法定代表人或委托代理人:(签字或盖章) 日期: 年 月 日
附件5:响应单位资格承诺书 响应单位资格承诺书
响应单位:(单位盖章) 法定代表人或委托代理人:(签字或盖章) 日期: 年 月 日
(全文完) |
版权所有: 苏州市创杰招投标咨询服务有限公司 苏ICP备10213594号-1
地址:江苏省苏州市干将西路399号银海大厦303室 电话:0512-65238891 E-mail:szcjzb@163.com |