按照《中华人民共和国网络安全法》、《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》等相关法律法规要求,根据日常工作需要需采购煤科总院网络安全技术服务支撑服务,通过本次网络安全服务做好煤炭科学研究总院有限公司网络安全保障工作。
本项目报价控制价为**万元整,报价不得超过控制价,否则将被否决报价资格。本项目中,供应商需结合煤炭科学研究总院有限公司工作建设发展实际要求,保障本部的网络安全,一旦出现异常事件,能够准确定位、及时响应,旨在提高系统可用性、安全性,有效缩短系统故障恢复时间,严防各类安全事故发生,有效保证煤炭科学研究总院有限公司各类业务应用系统的可靠、高效、持续、安全运行,并需对在建/已投用的系统完成一系列网络安全服务工作。
为确保该安全服务项目等各项工作的科学性、规范性,投标人需遵循并依据网络信息安全等级保护相关法律法规、政策标准、制度规范开展本项目工作(包括但不限于以下各项):
l 《中华人民共和国网络安全法》
l 《信息安全等级保护管理办法》
l 《中华人民共和国计算机信息系统安全保护条例》
l GB/T *****-****《信息安全技术 网络安全等级保护基本要求》
*. 技术要求(不可负偏离)
(一) 安全咨询保障服务
为甲方提供安全领域的专业咨询服务,根据企业的需求和特点,提供符合其实际情况的安全策略、安全政策、安全管理体系建设等方面的建议和指导。
安全咨询保障服务主要依据信息安全策略及行业发展动态,在对甲方信息安全现状进行风险评估、差距分析的基础上,从安全技术、安全管理、安全组织三个角度帮助甲方构建短期、中期与长期的信息安全规划,将信息安全的单点风险控制转变为全面的安全规划,进而实现有效的信息安全建设并建立完整的信息安全保障体系。
安全咨询保障服务具体包括:
(*)信息化现状调研:需对甲方的信息化现状进行调研,明确甲方在信息化方面的需求以及对信息技术发展趋势的掌握程度,确定信息化建设方面的远景、使命、目标与战略,进而全面、系统地指导信息安全规划建设工作的开展。
(*)信息安全现状调研:需依据信息安全能力评估模型,从安全管理、安全技术等方面对甲方的信息安全基础现状进行调研与检查。
(*)信息安全差距分析:需依据评估模型,对甲方的信息安全基础现状进行差距分析(必要时可选取国内同行业或其他行业的先进企业进行对标差距分析),检查、评估甲方的信息安全发展水平、当前存在的问题与差距以及后续改进提升的方向
(*)信息安全建设规划:需以国家、监管部门、上级主管部门的信息安全政策要求和信息安全技术发展为指引,以甲方信息安全现状和业务发展需求为导向,从管理、技术、信息化发展支撑等方面构建完整的信息安全保障体系。
(二) web安全监测服务
通过安全监测云引擎对甲方的互联网web应用安全状况进行实时监测,提供定期的安全监测报告,及时发现和解决web安全问题。
Web安全检测服务需包括四个方面内容,脆弱性检测、完整性检测、可用性检测、认证检测。脆弱性检测主要帮助甲方检测其网站面临的安全风险,为其提供专业化的安全建议;完整性监测能够为甲方甄别出其站点页面是否发生了恶意篡改,是否被恶意挂马,是否被嵌入敏感内容等信息;可用性检测能够帮助甲方了解其站点此时的通断状况,延迟状况;认证检测主要能够为甲方提供钓鱼网站监测的功能,投标人需协助甲方向相关机构举报,由相关机构进行关停处理。
安全监测服务具体内容包括:
(*)脆弱性检测:需定期进行网站漏洞扫描,高中危漏洞验证,并提供网站的漏洞态势,以及每个漏洞的修补建议。
(*)完整性检测:需对web界面提供网页挂马、黑链监测、网页篡改监测、网页敏感内容监测、隐私信息监测等能力。
(*)可用性检测:需提供网站平稳度监测、网站域名监测等能力。
(*)认证检测:需提供钓鱼网站监测、钓鱼/仿冒网站关停、IPv*合规检测等能力。
(三) 风险评估服务
定期配合甲方开展漏洞扫描评估工作和渗透测试评估工作,输出评估报告并针对现网弱点和不足,提供修复建议。
风险评估服务需对信息系统内的网络设备、操作系统、应用软件、中间件和服务等进行安全漏洞识别,具体内容包括:
(*)操作系统:Windows、发行版Linux、AIX、UNIX通用、Solaris、FreeBSD、HP-UX、BSD等主流操作系统。
(*)数据库:Oracle、MySQL、MSSQL、Sybase、DB*、Informix等主流数据库。
(*)常见应用服务:Apache、IIS、Tomcat、Weblogic等主流应用服务,常见FTP、EMAIL、DNS、TELENT、POP*、SNMP、SMTP、Proxy、RPC服务等。
(*)Web应用程序:ASP、PHP、JSP、.NET、Perl、Python、Shell等语言编写的WEB应用程序。
(*)网络设备:常见的路由器、交换机等设备。
(四) 应急演练服务
定期配合甲方组织和实施安全应急演练和测试活动,针对网络安全事件进行应急响应演练等,以评估补充甲方的网络安全状况和应急响应能力。
应急演练服务具体包括:
(*) 应急演练环境的设计及搭建
(*) 根据演练内容,目标主机、应用环境的安装、配置以及部署
(*) 演练所需的网络环境的搭建、配置以及部署
(*) 演练前的培训以及演练安排
(*) 演练前的基本技能培训
(*) 攻防双方的使命及注意事项。如胜利点制定、手段限制等
(*) 关键事件的引入。如利于某一方的事件导入、角色互换等
(*) 演练过程中攻防环境的维护及监控
(*) 演练结束时的结果裁定,评估补充甲方网络安全状况和应急响应能力。
(五) 安全巡检服务
按需为甲方网络安全设备提供巡检服务,包含设备运行健康巡检、设备策略调优等。巡检设备包含防火墙、入侵检测/防御、WAF、流量分析系统、日志审计系统、漏洞扫描系统等。
(六) 专题培训服务
为甲方员工提供安全专题培训,包括安全意识培训、信息安全培训、网络安全培训等,提高员工对安全问题的认识和应对能力。
(七) ****应急响应服务
当甲方发生紧急网络安全事故时,**小时不间断响应,*小时内派出专家至甲方现场解决。针对已发生安全事件的事中、事后的取证、分析及提供解决方案等工作。
(八) 重要时期人员保障服务
按需在重要特殊时期,提供实时情报运营服务,现场保障提供人员进行现场值守、设备巡检、安全监控、威胁分析和应急响应等工作。
重要时期人员保障服务具体内容包括:
(*) 安全漏洞扫描
(*) 主机安全检查
(*) 安全值守服务
(*) 安全日志分析
(*) 应急响应服务
(九) 项目实施进度要求
投标人(供应商)在合同签订之日起*个月内完成项目系统的差距分析和技术整改建议;
(十) 质量管理
针对此项目提供完善的质量保障体系,可行的质量保障措施,有对项目质量的承诺,提供规范化的项目文档,保障项目的顺利实施。
(十一) 专业测评工具要求
投标方应具有信息安全漏洞扫描评估、渗透测试工具,能够覆盖合同和招投标文件等要求,确保测试质量和测试结果的准确性。
(十二) 服务团队人员及技术力量
投标人(供应商)必须承诺向采购人提供优秀的项目实施队伍,且须成立专门的项目组,项目组人数要求不少于*人,现场驻场专职人员不少于*人服务现场业务。
安全保密要求。严格遵守合同规定,执行国家《保密法》及有关保密的法律法规,选派具有良好职业道德的人员参与和从事本项目工作,教育相关人员恪守职业道德,服从甲方的管理,严格遵守招标方的保密规定和工作制度,并承担相应的保密责任。所有参与本项目的服务人员,都必须签订《保密承诺书》。中标方负责对《保密承诺书》归档保管,接受招标方检查。中标方要对承诺履行情况负有监督责任,一经发现违反承诺情况,要及时向招标方报告。
中标方自觉接受招标方的安全保密监督和管理,中标方如违反安全保密条款,招标方将追究其责任,对重大的泄密事件将移交司法部门追究其法律责任。
(十三) 投标人或投标人所投供应商应具备:
(*)国家信息安全测评信息安全服务资质证书-风险评估二级以上;
(*)国家信息安全测评信息安全服务资质证书-数据安全二级以上;
(*)三个以上央企安全服务案例。
*.服务要求(不可负偏离)
(*)服务周期:合同生效之日起*年。
(*)本项目报价需包含本项目所有费用。
资金来源:自有资金,已落实。
服务期限(不可负偏离):报价人在合同生效之日起*年。
付款方式(不可负偏离):在签订合同**个工作日内将支付第一笔合同款(合同总金额的**%),按服务进度支付项目进度款(合同总金额的**%),当乙方完成合同约定的工作并最终验收通过后尾款支付(合同总金额的**%)。
*.在中华人民共和国境内注册的合格经营者,必须具有相关部门颁发的企业营业执照(须在有效期内),加盖公章,营业执照主体名称应与报价人名称一致。
*.报价人未被信用中国网站(www.creditchina.gov.cn)列入重点关注名单和黑名单,须提供信用中国官方企业信用报告。
*.本项目不接受联合体参与。
注:上述任意一项不满足,将否决报价资格。
【注:报价人应满足下列所有商务、技术要求,如有任意偏离,对应项得*分且将被否决报价资格,满分为***分,本分数仅用于是否】最终选取最低报价的合格报价人为成交人。
*. 响应文件内容
一、报价函
二、法定代表人资格证明书
三、法人代表授权委托书
四、保证金缴纳凭证
五、声明函
六、商务、技术规格偏离表
详见响应文件内容及要求。
报价截止时间为****年**月**日*:**。
*. 报价时间:****年**月**日*:**。
*. 报价方式:本次报价采用非公开方式一次性报价,报价人须在【中国煤科电子采购平台】填写报价。
*.响应文件的递交
报价人应在****年*月*日*:**前将响应文件在“中国煤科电子采购平台”(******************)系统中网上递交。未按时递交的响应文件系统将自动关闭上传端口。
文件发售时间为:****年**月**日**:**至****年**月**日**:**
文件费:***元(须公对公付款,并于文件发售截止时间前汇至下述账户)
接受文件费的账户:
公司账户:煤炭工业规划设计研究院有限公司
开户行:光大银行北京德胜门支行
账号:*****************
汇款时务必备注“GHY-*****标书费”,否则系统无法认款,可能导致无法及时开具发票等不良后果,不良后果由报价人自行承担。
标书费发票由煤炭工业规划设计研究院有限公司开具电子增值税普通发票,发送至报价人在中国煤科电子采购平台登记的联系人邮箱。
保证金:*****元(壹万伍仟元整)
公司账户:煤炭工业规划设计研究院有限公司
开户行:光大银行北京德胜门支行
账号:*****************
汇款时务必备注“GHY-*****保证金”,否则系统无法抓取数据,有可能导致无法及时退还保证金。
保证金最迟于成交人和采购人签订合同后五日内退还。
本项目成交服务费由成交人缴纳,成交服务费为*****元(壹万伍仟元整)。
汇款账户如下:
开户名:煤炭工业规划设计研究院有限公司
开户行:光大银行北京德胜门支行
帐号:*****************
成交服务费发票由煤炭工业规划设计研究院有限公司开具电子增值税专用发票,发送至报价人在中国煤科电子采购平台登记的联系人邮箱。
采购方:煤炭科学研究总院有限公司
联系人:程毅
电话:***********
地址:北京市朝阳区青年沟路
招标代理机构:煤炭工业规划设计研究院有限公司
地址:北京市西城区六铺炕二巷甲*号
联系人:李嘉平
电话:***********
邮箱:*********@***.com
煤炭工业规划设计研究院有限公司招标代理服务中心
****年**月**日
