苏州市吴江区公安局关于网络安全工作项目的竞争性磋商采购公告

一、项目基本情况：

（一）项目编号：SZDL2020-WJ-C-023 

（二）项目名称：网络安全工作

（三）预算金额：人民币叁拾贰万元整（￥：320000.00）

（四）采购需求：

1. 项目背景：

为有效应对当前我区网络安全面临的严峻威胁与挑战，全力做好我区重要信息系统和重点网站网络安全保卫工作，结合国家网络安全等级保护小组和公安部对网络安全执法检查的工作部署,现计划在全区范围内对150个网站、10个手机app软件及15家重点单位组织开展网络安全执法检查工作。

通过本次网络安全执法检查工作，检验各单位网络安全等级保护工作的落实情况，同时查找普遍性、倾向性问题及检查其可能产生的危害；通过模拟互联网黑客攻击的全面渗透性测试，找出外部攻击和内部违规行为可能造成的风险，发现已有安全防护体系的防护效果及防护能力的不足，为下一步信息安全整改及信息安全保障工作的开展提供针对依据。

2. 项目工作内容：

2.1. 等级保护检查

(1) 根据国家网络等级保护工作的相关法律和技术标准要求，对15家单位的重要信息系统进行等级保护安全检查，结合被检查系统的安全保护等级开展实施检查检查工作，工作内容包括：

①　协助被检查单位开展定级及备案工作。

②　对信息系统进行等级保护安全检查，检查内容包括但不限于物理、网络、主机、应用、数据、安全管理等GB\T22239-2019《网络安全等级保护基本要求》中规定的相关测评项。客观的分析信息系统保护现状和信息安全等级保护基本要求之间的差距，出具相应的检查报告。

③　结合保护检查报告提出的安全防护现状与等级保护基本要求之间的差距，明确安全需求，设计符合相应等级要求的信息系统安全技术建设整改方案，二次检查后出具检查结论。

(2) 投标单位必须按照以下内容要求和顺序进行响应：

①　投标单位必须以采购文件响应方式在技术方案内以表格方式列出等安全测检查的具体内容，至少包含以下内容：检查项、重点检查项（说明其作为重点内容的理由）、检查方法、检查具体内容。

②　投标单位必须以采购文件响应方式在技术方案内列出等安全测检查实施规范，规范内容至少包含以下内容：检查实施阶段的划分及各阶段主要工作内容、相互关系、工作流程、双方工作任务、采购人配合要求、保障措施。

③　投标单位必须以采购文件响应方式在技术方案中列出现场检查过程工作模版，至少包含以下内容：检测调研表模版、检测指导书模版、结合现场调研后的具体情况，确定现场检测的组织体系和协调机制模板、现场记录模板、分析模板、质量控制模板、检查结果模板、离场前初步总体结论内容模版、检测报告模版、被检测方确认模板。

2.2. 网站渗透测试、app安全检查（网站及APP数量实际操作中可能略有变动，按采购单位要求进行操作）

(1) 对150家网站开展远程扫描渗透测试工作，通过互联网模拟攻击人员，选取可能发起攻击的测试点，使用渗透测试的方式查找可能存在的渗透点,发现信息系统防护体系的薄弱环节，找出可能发生的恶意攻击事件和违规行为。

①　方案制定：根据被检查单位网站系统实际情况制定详细测试方案、测试方法以及测试工具的准备。

②　信息收集：利用公开域查询、扫描、嗅探以及社会工程学等手段收集被检查单位网站系统大量信息，从中提取有用信息。

③　测试实施：对前期收集的敏感或者漏洞信息进行利用，控制部分服务器；然后利用被控制的服务器作为跳板，绕过安全设备的限制，对信息系统进行渗透。

④　报告输出：对前期的工作和测试成果进行汇总，并制定安全修复建议，最后编写相应报告。

⑤　安全复查：修复完成后对修复结果进行复查，检测修复效果，并完成复查报告。

(2) 对10个app开展扫描渗透测试工作

①　对移动APP进行扫描渗透测试

对移动APP进行渗透测试工作，检查APP是否存在注入、XSS、命令执行等安全漏洞，并对APP进行逻辑漏洞检测，是否存在身份认证安全漏洞、密码找回漏洞等，检测APP内部应用行为是否符合安全规范，是否存在可能导致信息泄露、权限混乱、带有敏感内容、病毒或者广告等

②　检查app是否违规采集公民信息

对APP进行应用权限检测，检测APP是否对用户提供隐私政策文本，APP收集使用个人信息行为权限进行检测，是否满足必要性要求。

(3) 投标单位必须按照以下内容要求和顺序进行响应：

①　投标单位必须以投标文件响应方式在技术方案中描述渗透测试方法，内容至少包含以下内容：方法及方法分类、常用技术手段、测试漏洞描述、主要测试对象等。

②　针对渗透，投标单位必须以投标文件响应方式在技术方案中说明如何规避可能存在的风险和应对措施。

③　投标单位必须在投标响应文件提供渗透性测试报告模板，报告模板应包含：渗透性测试授权书模板及最终的渗透测试报告模板。

2.3. 应急支撑服务

(1) 关键时间节点技术人员派驻服务

(2) 协助甲方开展网络安全检查活动

(3) 为甲方指定的网站或信息系统（区公安局）提供网络安全检查维护服务。

2.4. 等级保护培训

本次安全检查结束后开展一次信息安全技术培训，培训内容包括网络安全形势、等保2.0解析和本次安全检查结果解读。

(1) 培训对象：吴江区各单位信息化管理人员及技术人员。

(2) 培训要求：

①　结合网络安全法宣贯国家等级保护相关政策，明确开展等级保护工作的目标、内容和要求；

②　分析当前网络安全形势，解读本次网络安全执法检查工作情况。

③　通过开展安全意识、等级保护、新型网络攻击应对等安全培训，提升培训人员信息安全意识，信息安全管理水平。

(3) 时间节点：检查工作结束后至2020年11月15日前召开。

响应人必须以投标文件响应方式明确本次培训的内容及课时安排，培训讲师必须具有相关专业资格和三年以上实际工作经验与教学经验，在投标文件中给出建议培训讲师人选和介绍，最终由采购人与成交人协商指定。

3. 项目验收要求

3.1. 本次项目的正式交付至少包括以下文件：

《2020年度政府部门信息系统等级保护检查报告》

《2020年度政府部门网站渗透测试报告》

《2020年度手机APP渗透测试报告》

《2020年度政府部门信息系统安全整改建议》

3.2. 成交单位应对所有正式交付件的综合质量审查负责，指定各交付件的相关责任人，明确相关职责。

3.3. 成交单位应提交验收流程、验收方法和验收依据。

3.4. 成交单位应提供交付件归档办法和方式。

4. 项目实施主要工作和计划安排

4.1. 项目人员要求

成交单位参加检查检查的人员不得少于5名人员，应至少配备一名有过渗透测试经验并熟悉漏洞利用的检查人员。现场检查检查与渗透测试必须配备所需的技术检查工具。现场检查检查与渗透测试通过现场人员访谈、现场抽查、上机检查和工具检查、安全测试等方式综合了解安全状况，严格按照现场组织流程和内容要求开展检查检查与渗透测试，前期积极做好协调配合工作，现场控制好时间进度和安全检查与检查质量。要求离场前，必须就明细安全检查与检查的结果和初步总体结论与被检查方沟通，被检查方签字确认。

4.2. 时间要求和工作阶段划分

此次项目实施分为前期准备、现场实施、报告分析与编制、检测整改，以及总结验收五个阶段。

成交后主要工作阶段划分:

准备阶段：成交签合同后7天。

现场实施阶段：约90天,现场实施在2020年9月30日之前结束。

报告分析与编制阶段：现场实施阶段结束后20天内。

安全培训阶段：安全培训在2020年11月15日前完成。

项目验收阶段：全部工作结束后15天内。

4.3. 结果确认要求

(1) 成交单位检查检查过程中取得的相应中间结果及发现的高风险问题须及时提交采购人确认，对重要保护对象的深入性渗透测试必须得到采购人确认后方可继续进行。

(2) 投标单位必须按照以下内容要求和顺序进行响应：

投标单位必须以投标文件响应方式在技术方案内以表格方式明确项目实施各阶段明细的工作计划安排。

4.4. 相关保密要求

检查检查过程中取得的相关敏感信息，成交单位实施人员必须签署保密协议，严格保密，不得外泄。

成交单位必须为检查检查用计算机配备安全保密技术措施，从技术上确保项目信息安全。

4.5. 其它相关要求

成交单位必须指导和协助用户方根据检查检查报告中的问题进行整改，整改完成后，对安全检查发现的高危安全问题进行确认，最大程度避免发生安全事件。

检查检查的现场实施、协助整改、安全复核等过程中的车辆安排都由成交单位根据项目实施计划或行程自行安排。

成交单位在被检查单位进行整改，符合相关等保标准后，出具相关整改合格确认书。

投标单位有义务对各个测评系统提出整改建议、方案和结论。

5. 验收标准：按照采购文件及国家标准执行。

6. 成交单位数量：1家。

（五）合同履行期限：

此次项目实施分为前期准备、现场实施、报告分析与编制、检测整改，以及总结验收五个阶段。

成交后主要工作阶段划分:

准备阶段：成交签合同后7天。

现场实施阶段：约90天,现场实施在2020年9月30日之前结束。

报告分析与编制阶段：现场实施阶段结束后20天内。

安全培训阶段：安全培训在2020年11月15日前完成。

项目验收阶段：全部工作结束后15天内。

（六）本项目不接受联合体投标。

二、申请人的资格要求：

1. 满足《中华人民政府采购法》第二十二条规定：

(1) 具有独立承担民事责任的能力；

(2) 具有良好的商业信誉和健全的财务会计制度；

(3) 具有履行合同所必须的设备和专业技术能力；

(4) 有依法缴纳税收和社会保障资金的良好记录；

(5) 参加政府采购活动前三年内，在经营活动中没有重大违法记录；

(6) 法律、行政法规规定的其他条件；

2. 本项目的特定资格要求：

(1) 本项目不接受联合投标。

注：单位负责人***

三、获取招标文件：

（一）时间：2020年7月7日至2020年7月14日。

（二）报名方式：

1. 本项目实行供应商网上报名。

2. 各投标单位必须通过吴江区公共资源交易平台会员端进行该项目网上报名，否则视为无效投标。技术咨询人员：朱工，咨询电话：***

3. 报名流程及投标：

(1) CA办理

①　已有CA证书且满足系统使用要求的用户，只需激活区级政府采购模块；

②　已有CA证书不满足系统使用要求的用户，需更换CA证书、办理电子签章业务及激活区级政府采购模块；

③　未办理CA证书用户，需办理CA证书、电子签章业务及激活区级政府采购模块。

(2) 登录报名。供应商进入“苏州市吴江区公共资源交易平台”会员网上交易系统，输入注册时设置的用户名和密码或者通过CA证书登录。登录后通过采购项目类别和内容查找拟报名的政府采购项目，点击“报名”按钮报名。报名成功后，系统会显示报名成功确认单以供打印。投标人自行保管报名成功确认单。

(3) 现场公布。报名成功的供应商应按规定时间至开标现场，投标截止时间后代理机构进行供应商报名公布，现场打印出报名成功供应商名单和政府采购信用信息查询记录表。 

(4) 补充通知。 供应商通过“苏州市政府采购网”的“采购公告”或“苏州市吴江区公共资源交易平台”会员网上交易系统自行查看所报项目的补充通知。

四、提交投标文件截止时间、开标时间和地点

1. 现场公布：现场公布投标供应商报名及投标情况。

2. 投标文件的递交

(1) 磋商文件开始接收时间：2020年07月17日13：00（北京时间）

(2) 磋商文件接收截止时间：2020年07月17日13：30（北京时间）

(3) 接收地点：苏州市公共资源交易中心吴江分中心（吴江区松陵镇开平路998号）3楼开标室

(4) 接收人：苏州鼎力招投标咨询服务有限公司

投标文件必须在接收截止时间前送达开标地点并交与接收人。逾期送达的投标文件恕不接收。本次招标不接受邮寄的投标文件。

3. 磋商有关信息：

(1) 磋商时间： 2020年07月17日13：30（北京时间）

(2) 磋商地点：苏州市吴江区开平路998号行政服务局3楼开标室

五、公告期限：

本公告期限为自公告发布之日起 3 个工作日。

六、其他补充事宜：

（一）中标服务费 

1. 收费标准：按差额定率累进法计算收取，中标单位在领取中标通知书时向采购代理机构一次性付清。预算金额100万以下费率为预算金额的1.5%；预算金额100万（含）-500万费率为预算金额的1.1%；预算金额500万（含）-1000万费率为预算金额的0.8%的。

2. 缴纳账户：

账  户：苏州鼎力招投标咨询服务有限公司

开户行：中国建设银行股份有限公司吴江分行营业部

账  号：32250199763600000937

（二）投标保证金 

1. 投标保证金：人民币陆仟元整（￥6000.00）

2. 交纳截止时间：投标截止时间

3. 投标保证金交纳账号：

账  户：苏州市公共资源交易中心吴江分中心

开户行：中信银行吴江支行

账  号：3112010044991684340 

（三）网上询问

报名成功的供应商在下载采购文件后，对采购文件有疑问的，可在“苏州市吴江区公共资源交易平台”会员网上交易系统中进行询问，询问信息不显示询问人的相关资料。代理机构通过网上交易系统收到询问后应在三个工作日内以网上答复的方式予以解答，由系统回复给询问人。

（四）质疑要求

质疑按《中华人民共和国财政部令第94号--政府采购质疑和投诉办法》中相关规定提出，供应商应在法定质疑期内一次性提出针对同一采购程序环节的质疑，质疑函（必须附政府采购投标报名确认单）现场提交或邮寄至本公司。供应商打印、保留“网上报名确认单”质疑时与质疑函一并提交。

地  址：苏州市吴江区文苑路88号东恒盛国际酒店10楼

联系人：曹燕平/肖婷       联系电话***

（五）疫情期间投标须知：

(1) 投标单位到场代表须身体健康，持苏城码绿码并佩戴口罩，预留足够时间提前到达开标场所，并配合场所工作人员依次进行体温检测、查看苏城码绿码、检查口罩防护情况。如因无绿码或生病等原因不能进入开标室造成的相应损失，由投标单位自行承担。

(2) 各投标单位事先下载并填写《苏州市公共资源交易中心吴江分中心交易项目人员信息登记表》（格式见《新冠肺炎疫情防控期间吴江区公共资源交易中心开评标活动现场管理细则（试用）》附件）。

(3) 各投标单位应配合采购人及采购代理机构按照“苏州市公共资源交易中心吴江分中心关于《新冠肺炎疫情防控期间吴江区公共资源交易中心开评标活动现场管理细则（试用）》” 要求参加采购活动。新冠肺炎疫情防控期间吴江区公共资源交易中心开评标活动现场管理细则详见http://www.szzyjy.com.cn/wjqfzx/035001/035001001/20200302/3bfd6d82-b409-4360-946c-ed4e66617434.html。新冠肺炎疫情防控政策如有变化的，以最新通知为准。

（六）本次采购的有关信息将在江苏省政府采购网、苏州政府采购网等媒体上发布，敬请留意,请各单位获取本次招标文件后，认真阅读各项内容，进行必要准备工作，按文件的要求详细填写和编制投标文件，并按规定时间、地点准时参加投标。

七、对本次招标提出疑问，请按以下方式联系。

1. 采购人信息

名称：苏州市吴江区公安局

地址：***

联系人：计仁林            联系方式***

2. 采购代理机构信息

名称：苏州鼎力招投标咨询服务有限公司

地址：***

联 系 人：曹燕平/肖婷   联系方式***

3. 政府采购监督电话：***

4. 项目联系方式

项目联系人***

电话：***

苏州鼎力招投标咨询服务有限公司

2020年07月07日