合肥市大数据资产运营有限公司信息安全服务采购询价函

合肥市大数据资产运营有限公司信息安全服务采购询价函

一、项目简介

（一）项目名称：信息安全服务采购

（二）项目地点：安徽省合肥市

（三）项目单位：合肥市大数据资产运营有限公司

（四）项目预算：5.2万元

二、服务内容

（一）服务内容

合作期间，供应商单位须根据本公司需求，提供为期1年的信息安全服务。具体内容如下：

该项目涉及的信息系统包括但不限于VPN建设及管理服务、数据备份系统服务、泛微OA协同办公信息系统、党建平台系统、营销管理业务系统、全流程管理业务系统等。

项目拟对信息系统进行非破坏性渗透测试和模拟攻击，寻找信息系统安全薄弱点并全程提供修复技术支持；定期提供安全行业内安全情报与及时提供安全威胁信息，及时了解外部安全环境以便及时做出安全应对措施；提供现场或远程应急响应和处置，在服务期内提供7*24小时突发响应服务，及时处理安全突发事件；对开放至互联网的信息系统进行安全监测，包括但不限于挂马监测、DDOS攻击监测、盗链监测、DNS劫持监测和敏感内容监测等；提供信息安全培训，包括信息安全意识培训和信息安全技能培训，其中信息安全技能培训包括操作系统安全、虚拟化安全、网络安全、数据库安全、开发安全和安全攻防等培训。包括但不限于以下内容：

1.系统调研：在相关人员的协助下，对现有信息系统功能模块、数据流向、用户群体等进行调研。

2.安全调研：通过问卷调查、日志收集、工具扫描、策略分析等手段，了解信息化系统当前网络安全现状。

3.现场测评：根据已编制的相关等级保护测评指导书对信息系统中的相关资产进行测评项的检查、记录检查结果。

4.协助进行信息网络安全技术整改。根据《信息安全等级保护管理办法》和《信息系统安全等级保护基本要求》，结合安全防护现状与等级保护基本要求之间的差距，综合重要信息系统的特点，明确安全需求，设计符合相应等级要求的信息系统安全技术建设整改方案，协助开展信息网络安全等级保护安全技术措施建设，落实相应的物理安全、网络安全、主机安全、应用安全和数据安全等安全保护技术措施。

5.渗透测试、安全预警监测及日常安全测评、风险评估测评。利用各种主流测试技术，对网络系统和应用进行远程安全检测，发现网络系统和应用层面存在的安全漏洞和隐患，提出详细明确的整改建议；在不添置安全设备，不安装插件，不更改系统架构的情况下，提供小时实时预警监测；提供重要系统上线前安全监测服务；

6.结论报告：根据前述工作容，分析当前信息系统安全保护能力是否符合相应等级的安全要求，编制相关系统“等级保护测评报告”给出测评结论，并编制合理的安全改进建议。

7.每年组织不少于2次专项应急预案演练，提供演练计划、所需环境、设备、工具，并做详细记录，以保证各项应急预案的有效性和可行性。演练结束后对本次演练效果进行评估及建议并形成报告。

8.安全扫描服务：采用专业安全扫描工具与人工检查相结合的方式，对内网及外网应用系统进行安全扫描，发现漏洞，提供扫描报告，并根据扫描报告给出漏洞整改或修复建议。

9.对于通过各种措施发现的安全漏洞、安全弱点、安全风险，需要通过多方面的安全加固措施进行修补，确保每个系统的安全性。

安全加固服务主要包括以下类型：

(1)应用系统加固服务：

通过在应用服务器的人工安全审计服务中，发现服务器操作系统或应用软件的不安全配置，并配合应用系统开发商及时对各项不安全配置进行修复，确保服务器操作系统或应用软件的安全性。应用系统加固包括各项安全策略调整、补丁实施、应用软件升级等内容。对服务器操作系统和应用系统按照信息安全等级保护级别的要求进行加固。

(2)漏洞扫描发现的高风险

通过每季度漏洞扫描发现的各类高风险漏洞，需要进行安全加固，以消除高风险安全漏洞。

(3)安全设备加固服务：

协助用户调整安全设备的安全策略，如增加服务器、减少服务器而需要改变安全设备的通行端口等内容。

10.培训及后期技术服务工作：根据工作需要提供相关培训及测评后的技术支持工作。提供完善有效的安全培训方案，包括但不限于：培训内容的合理性、培训方案的有效性、信息安全意识宣传方案的有效性等。

11.日志安全分析：目前监控设备包括但不限于防火墙、数据库审计系统等，对日常安全监控设备的日志进行分析，及时发现和挖掘潜在的安全威胁，预防安全事件的发生。安全服务期内，每季度提交一份访问日志监控分析服务报告，对重要安全设备的各类安全日志进行统计和分析（每次分析上一月的日志记录），并对高风险日志进行进一步的追踪，以确保消除安全隐患。日志安全分析服务频率：每季度一次。

12.应急响应：对于应用系统中出现的影响业务正常运行的任何异常事件。如：破坏应用系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问，系统资源的滥用以及任何可能对系统造成损害的行为等，都属于应急响应服务的内容。每一次故障均提供故障处理分析报告并定期对故障处理情况进行汇总，建立并定期更新常见问题库，并对采购方相关技术人员进行培训，使其及时了解常见故障的处理方法，提高故障处理水平。提供定期跟踪回访服务。

需要提供的应急响应包括两个级别的应急响应支持：

24小时紧急事件应急响应：应急响应人员在2个小时内响应远程协助，12小时内到达现场；

48小时一般事件应急响应：应急响应人员在4个小时内响应远程协助，24小时内到达响应现场。

应急响应服务频率：按需。

（二）信息安全管理服务要求

1.服务期每季度开展渗透测试或漏洞扫描或安全测评一次，包括但不限于以下内容。

检查重要业务系统是否存在系统漏洞与业务逻辑漏洞，通过模拟黑客使用的工具、分析方法来对系统进行模拟攻击，验证当前系统的安全防护措施，找出风险点并协助完成修复工作。渗透测试包括定期和随机两种形式，其中定期渗透测试指：每半年渗透一次，全年渗透范围应涵盖所有系统；随机渗透测试指：对新建系统和重大变更的系统在上线前进行的渗透测试，约为个新系统或重大变更系统。

本项服务要求：渗透测试前需提交《系统渗透测试计划》，内容包含测试详细计划、测试采用的主要技术手段与测试依据等；渗透测试后需提交《系统渗透测试报告》，内容应包含简要的测试过程、测试结果分析以及相应改进建议；另外还需提交《系统渗透测试修复验证报告》。

即时威胁通告和情报收集

利用安全厂商的信息采集渠道和安全信息收集系统，将最新最严重的安全问题，如漏洞信息、信息安全态势等，以最快的速度通报并且提供相应的解决办法，避免相关问题对信息系统造成影响。威胁通告视情及时报送；情报收集采取按周收集通报、按月汇总主要情报的形式报送。

本项服务要求：对于CVE上新增的漏洞或投标方自有的威胁情报新发现，不论是否影响到信息系统的安全，都要及时通报，并提供相应的威胁应对措施；每周及每月情报收集应包含该段时期内的安全威胁分析、安全行业资讯等。

网站安全监测

对官网及其二级域名进行实时安全监测，监测内容包括但不限于挂马监测、DDoS攻击监测、盗链监测和DNS劫持监测、敏感内容监测等，当发现异常时需要及时通知并协助进行事件处置。

本项服务要求：网站安全监测对象包括官网及其二级域名等，对于监测发现的问题按轻重缓急程度进行通报，另外还需提供监测服务周报和月报。

2.每年一次按照要求开展终端资产统计工作。

3.每年一次通过安全防护措施与安全保密现状核查，全面检查各项安全防护措施。包括但不限于针对突发的网络故障、病毒爆发、网络入侵、主机故障、软件故障等事件，含应急响应和系统维护、安全加固、安全检查等工作，包括但不限于一下内容。

4.制定一套完善的应急响应体系，每年组织两次信息安全突发事件演练工作，并根据演练情况及时对预案进行修订。重大活动前提供专项应急预案演练（如护网行动，上级单位检查等，如果未出现重大活动，每年至少组织1次专项应急演练），提供演练计划、所需环境、设备、工具，并做详细记录，以保证各项应急预案的有效性和可行性。演练结束后对本次演练效果进行评估及建议并形成报告。

5.完善信息安全管理体系建设，针对甲方的实际情况，制定一套适用甲方且高执行性的信息安全管理制度（开展一次）。

6.每个季度一次对信息系统、服务器、安全设备和网络设备进行安全漏洞检测，发现问题配合业主整改，保障信息系统安全运行。

7.制定一次信息安全材料汇编，迎接上级部门现场检查。

8. 1年12次安全巡检服务，需符合公安系统护网等相关检查要求，若不达标将视情况进行追偿。

9.开展一次信息安全培训与教育，加强全体人员的信息安全和保密意识。不定期进行操作系统安全、虚拟化安全、网络安全、数据库安全和开发安全和安全攻防等培训，提升IT人员安全技能。

10.开展一次信息系统风险评估服务，形成风险评估相关文档报告。

11.提供两次全审计服务将严格以安全政策或标准为基础，用于测定现行保护措施整体状况，同时检验是否妥善执行现有的保护措施。

12.提供应急响应技术支撑服务，协助完成相应事件的整改确认工作。

13.完成其他相关上级单位要求的信息安全检测、上报等工作内容。

（三）管理要求

1.为了从各个方面加强信息安全保障，全面提高甲方整体信息安全水平，本次项目的内容主要包括信息安全现场检查迎检工作、信息安全运行保障、信息安全风险评估等服务工作。

2.项目应严格按照国家信息安全等级保护相关要求以及满足甲方信息安全保护需求按期、按质执行，确保在2021年度内完成各项检查和完善工作。配合甲方现场检查的协调事宜，确保甲方取得良好的检查结果。

3.项目中各项安全服务结果必须真实、可靠、全面，满足国家信息安全等级保护标准要求。项目实施过程中汇总的所有过程文档、检查记录、人员访谈纪要、检测原始数据、服务结果报告等必须进行电子和纸制双重归档，根据要求，整理成册，并及时交付甲方。

4.项目实施人员应熟悉党政机关信息安全现场检查各项工作要求，具备相关项目经验和能力。

备注：合同签订后，乙方需通过前3个月安全运维测评考核。

三、供应商资格

（一）符合《中华人民共和国政府采购法》第二十二条的规定； 

（二）本项目不接受联合申报;

（三）询价响应供应商的资质要求：(未达到以下要求的，将被视为无效询价响应)

1.符合《中华人民共和国政府采购法》第二十二条的规定；

2.供应商具有独立承担民事责任能力；

3.供应商具有履行合同所必需的设备和专业技术能力；

4.具有良好的商业信誉和健全的财务会计制度；

（四）供应商负面清单，存在不良信用信息记录且有以下情形之一的：

1.被人民法院列入失信被执行人的;

2.供应商或其法定代表人或拟派项目经理(项目负责人***

3.被工商行政管理部门列入企业经营异常名录的;

4.被税务部门列入重大税收违法案件当事人名单的;

5.被政府采购监管部门列入政府采购严重违法失信行为记录名单的。

四、联系方式

联系人及联系方式***

邮箱：wangguyue@bigdatahefei.com

地址：***

五、报价要求

项目总报价不超过5.2万元，否则视为报价无效。总报价包含完成本项目产生的一切费用，本次评标专家费由中标单位承担（专家费用支付节点以招标人要求为准），供应商单位后期不得以任何理由向本公司追加费用，供应商报价时应综合考虑报价风险。

六、评标办法

本次询价采购采取综合评分法进行评审，满分100分，由综合评定得分最高一方中标，综合评定最高得分相同的情况下，其中投标报价最低者中标，投标报价仍相同的情况下，随机抽取决定中标单位，具体评定要求及得分占比如下：

注：

①以上证明资料须提供复印件并加盖投标人公章放入投标文件中，否则不得分。

②评标委员会成员按照上述评分细则中的每项内容单独评审打分。

③投标人技术标的最终得分计算方法为：取所有评委评分的算术平均值为投标人技术标的最终得分，小数点后保留两位小数，第三位四舍五入。

七、其他事项说明

1. 供应商须在2022年2月23日(星期三)17:00前将所有响应材料纸质封印并邮寄或送至我司，逾期响应无效。

2.如有疑问，可于工作日联系本项目联系人***

八、供应商报价资料清单

合肥市大数据资产运营有限公司信息安全服务采购询价函.docx