加入日期: | 2023.03.20 |
---|---|
地 区: | 南昌市 |
内 容: | 采购需求部门:信息中心 项目名称 国家税务总局**省税务局护网及重大敏感时期安全保障和国家安全周宣贯服务 交货(完工)时间 合同签订后一年内 数 量 *年 预算金额(元) **万 联 系 人 詹晓军 联系电话 ******** 设备清单及主要技术指标 服务内容包括:风险评估服务、渗透测试服务、漏洞扫 |
采购需求部门:信息中心
项目名称 |
国家税务总局江西省税务局护网及重大敏感时期安全保障和国家安全周宣贯服务 |
交货(完工)时间 |
合同签订后一年内 |
|||
数 量 |
1年 |
预算金额(元) |
20万 |
|||
联 系 人 |
*** | 联系电话 |
*** | |||
设备清单及主要技术指标 |
||||||
服务内容包括:风险评估服务、渗透测试服务、漏洞扫描服务、基线核查服务、威胁监测与主动响应服务、安全培训服务、驻场值守服务、应急响应服务、应急演练服务、网络安全宣传周服务。技术指标详见需求。 |
||||||
资金来源 |
预算内资金 |
建议完成时间 |
||||
付款方式 |
分两次付款:合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用。 |
|||||
履约金比率 |
无 |
|||||
采购方式 |
||||||
项目编号 |
||||||
部门负责人*** (加盖部门章) |
*** | |||||
采购部门 负责人*** |
*** | |||||
备 注 (其他特殊需求) |
国家税务总局江西省税务局护网及重大敏感时期安全保障和国家安全周宣贯服务 项目采购需求
采购需求前附表
序号 |
类别 |
内容 |
1 |
项目立项 |
项目立项时间:2022年2月23日 |
项目立项证明文件:√有 £无 |
||
2 |
项目预算安排 |
总预算金额(万元): 20 |
当年预算安排金额(万元):20 |
||
项目资金来源:信息化运维经费 |
||
3 |
项目采购内容 |
|
服务内容:国家税务总局江西省税务局护网及重大敏感时期安全保障和国家安全周宣贯服务一年 |
||
工程内容:国家级、税务总局、省级网络安全演习保障以及网络安全宣传周视频、宣贯资料、展板等制作。 |
||
4 |
项目实施时间 |
一年(从合同签订日期开始) |
5 |
项目实施地点 |
江西省税务局 |
6 |
项目实施范围 |
江西省税务局税务系统 |
7 |
项目相关单位 |
需求部门:信息中心 |
验收部门:信息中心、征管和科技发展处 |
||
8 |
采购意向公开 |
£本项目已于2022年 4 月 13 日公开采购意向 |
£本项目经立项审批不公开采购意向 |
||
9 |
支持中小企业 |
£本项目(第 包)专门面向中小企业采购 |
£本项目预留预算金额的 %专门面向中小企业采购 |
||
£本项目不适宜由中小企业提供,且已履行报批手续。 |
项目联系人:詹晓军 联系人***
1.项目背景
网络安全形势近年出现新变化,网络安全态势变得越来越复杂,黑客攻击入侵、勒索病毒等网络安全事件愈演愈烈,严重威胁到我国的网络空间安全。同时,国内不少关键信息基础设施的建设管理单位安全意识不够、安全投入不足,面临网络安全保护的巨大挑战,让国家关键信息基础设施成为网络攻击的重灾区。
为了检验这些国家关键信息基础设施的实际安全防护能力,公安、行业等主管单位拟每年对包括政府部门、央企、知名高校、民营企业在内的部分国家关键信息基础设施开展网络安全攻防演习行动。届时公安部将组织由安全厂商、测评机构、安全服务商、运营商等单位的网络安全专业技术人员组成若干攻击队伍对列为目标的系统进行安全攻击测试,验证目标系统安全防护能力的有效性。
为配合公安、行业等主管单位开展此次行动的相关工作,响应本单位对网络安全保障要求,加强单位在网络安全防护、应急处置和指挥调度上的能力,切实提高网络安全综合防御水平,特采购本单位攻防演练安全保障服务。
2.项目内容
★2.1总体要求
投标人需提供不少于10名安全服务工程师,在本年度内配合采购人完成三次网络安全相关的攻防演习、网络安全宣传周等工作,每次攻防演习服务时间不低于20天。安全专家需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
2.2主要内容
本次采购的主要内容需实现以下全部服务内容,在现有安全设备的基础上,所需的其它所有软硬件产品均由投标人负责采购或提供。
序号 |
服务类 |
服务概述 |
风险评估服务 |
依据相关规范,在招标方允许的情况下,对目标范围内的系统资产、威胁、脆弱性等各方面进行评估,对主要资产的风险进行定性或定量的脆弱性风险分析,描述不同资产的风险高低状况,给出详细的风险评估报告、整改方案及技术支撑。 |
|
渗透测试服务 |
依据相关规范,在保证用户信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞。 |
|
漏洞扫描服务 |
依据相关规范,通过远程或者现场方式(具体方式由用户依据实际情况确定)使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,为安全加固提供安全建议。 |
|
基线核查服务 |
依据相关规范进行通过自动化和人工检查手段对网络(安全)设备的配置以及业务系统中的操作系统、数据库、中间件以及应用程序的配置情况进行核查,判断是否符合安全性要求,是否存在安全风险和隐患,并能根据不同业务系统的要求,进行相应等级的提供设置建议。 |
|
威胁监测与主动响应服务 |
安全专家对不同安全设备的安全日志、流量进行关联分析,主动识别网络和主机中的安全威胁,协助招标方处置安全事件,并提供加固建议。 |
|
安全培训服务 |
根据客户的实际需求提供安全意识、安全理论知识、威胁分析处置理论和实际操作技能培训 |
|
驻场值守服务 |
在服务期间,安全人员在现场提供7*24小时安全事件分析、协助用户处置安全服务 |
|
应急响应服务 |
当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,提供包括事件检测与分析、风险抑制、问题根除、协助业务恢复的服务,能够协助用户快速止损,最大化降低安全事件带来的影响 |
|
应急演练服务 |
通过提前制定应急演练预案,并协助单位开展预案演练,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。 |
|
网络安全宣传周服务 |
在网络安全宣传周期间,配合采购人单位完成主题安全讲座、安全宣传工作(例如:安全宣传海报展板制作、安全宣传视频制作、安全宣传手册制作)等。 |
二、投标/响应要求
供应商资质要求:
1.符合《政府采购法》第二十二条规定的供应商条件。
2.其他特定资格条件:
主体信用记录符合政府采购活动要求
供应商参加政府采购活动前三年内未被列入“信用中国”网站(www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人、政府采购严重违法失信行为记录名单和“中国政府采购”网站(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单(以开标时的当场查询结果为准)。
3.本项目不接受联合体投标。
三、项目需求
投标人需提供不少于10名安全服务工程师,在本年度内配合采购人完成三次网络安全相关的攻防演习、网络安全宣传周等工作,每次攻防演戏服务时间不低于20天。安全专家需具备全面的安全攻防理论知识,并具备较高的安全攻防能力。
本次采购的主要内容需实现以下全部服务内容,在现有安全设备的基础上,所需的其它所有软硬件产品均由投标人负责采购或提供。
序号 |
服务类 |
服务概述 |
1 |
风险评估服务 |
依据相关规范,在招标方允许的情况下,对目标范围内的系统资产、威胁、脆弱性等各方面进行评估,对主要资产的风险进行定性或定量的脆弱性风险分析,描述不同资产的风险高低状况,给出详细的风险评估报告、整改方案及技术支撑。 |
2 |
渗透测试服务 |
依据相关规范,在保证用户信息系统正常运行前提下,模拟黑客攻击行为通过远程或本地方式对信息系统进行非破坏性的入侵测试,查找针对应用程序的各种漏洞。 |
3 |
漏洞扫描服务 |
依据相关规范,通过远程或者现场方式(具体方式由用户依据实际情况确定)使用专业的国产漏洞扫描工具对信息系统进行全面漏洞扫描工作,为安全加固提供安全建议。 |
4 |
基线核查服务 |
依据相关规范进行通过自动化和人工检查手段对网络(安全)设备的配置以及业务系统中的操作系统、数据库、中间件以及应用程序的配置情况进行核查,判断是否符合安全性要求,是否存在安全风险和隐患,并能根据不同业务系统的要求,进行相应等级的提供设置建议。 |
5 |
威胁监测与主动响应服务 |
安全专家对不同安全设备的安全日志、流量进行关联分析,主动识别网络和主机中的安全威胁,协助招标方处置安全事件,并提供加固建议。 |
6 |
安全培训服务 |
根据客户的实际需求提供安全意识、安全理论知识、威胁分析处置理论和实际操作技能培训 |
7 |
驻场值守服务 |
在服务期间,安全人员在现场提供7*24小时安全事件分析、协助用户处置安全服务 |
8 |
应急响应服务 |
当发生外部黑客入侵、数据泄露、木马病毒等突发安全事件时,提供包括事件检测与分析、风险抑制、问题根除、协助业务恢复的服务,能够协助用户快速止损,最大化降低安全事件带来的影响 |
9 |
应急演练服务 |
通过提前制定应急演练预案,并协助单位开展预案演练,提高应对安全事件的处置能力,预防和减少安全事件造成的危害和损失。 |
10 |
网络安全宣传周服务 |
在网络安全宣传周期间,配合采购人单位完成主题安全讲座、安全宣传工作(例如:安全宣传海报展板制作、安全宣传视频制作、安全宣传手册制作)等。 |
四、项目实施要求
保证所提供的服务,在内容、质量、技术要求及技术特征符合采购文件和采购人的要求。
保证对在服务开展中提供、使用的来自第三方的技术、软件等知识产权,具有合法的所有权或使用权,不会侵犯第三方的合法权利。受采购人委托实施的内容及服务没有侵犯第三方的合法权利。交付的产品不能含有任何可以自动终止或者妨碍其他系统正常运行的功能。
所提供的服务,如需经国家有关部门登记、备案、审批或许可的,中标人应当保证已经完成上述手续,并准备接受采购人的检查。按照国家和采购人有关项目实施的法律、法规和廉政建设责任制规定,规范项目建设中的各种活动。违反上述规定而导致采购人被第三方追究法律责任,或导致采购人不能正常使用相关的产品及服务,则中标人自行解决纠纷,并负责赔偿采购人由此而引起的全部损失。
所提供的服务均为正常渠道获取,交付成果时提供针对本项目出具的专项授权文件及专项服务承诺文件。(如有)
因供应商应答时考虑不周,造成项目实施漏项或估计不足的,漏项和增项部分所涉及费用由供应商自行解决,采购人不另行支付费用。
在项目进行过程中,若是因采购人需求变更等原因导致项目变更的部分,供应商需及时与采购人沟通以便执行项目变更手续并增减对应工作量的价格,执行合同额变更。
采购人在验收中如发现中标人提供的服务不符合合同规定的内容,有权要求中标人重新实施,拒付不符合合同规定部分的款项,中标人须在采购人规定的时间内完成符合采购人及最终用户的要求的实施工作,中标人还承担应对因重新实施引起的一切损失及相应赔偿责任。
保证所有服务须符合项目需求及最终用户要求。中标人和制造商应提供免费电话咨询服务,并应承诺提供咨询服务,提供服务质量保证承诺。
五、项目验收要求
1、验收总体要求
本项目服务内容交付完成后,启动项目验收工作。按照甲方验收标准要求,对项目需求中所涉及服务内容进行验收。如果项目未完成验收前,由于相关政策导致服务发生变化进行调整,中标人应按照最新政策和最新技术标准方案完成本项服务。
采购人与相关人员组成验收小组完成验收。双方根据最终验收情况,编写验收报告,中标人应完成项目验收资料的准备。
在服务过程中出现服务指标或要求上不符合采购文件和合同要求时,由中标人负责解决,采购人有拒绝验收的权利并保留索赔权利。
本项目的实施过程中将产生大量的技术及管理文档,中标人应协助采购人,负责建立、维护、交接项目实施过程中产生的各类文档,确保项目文档的内容体现本项目的实施过程,并确保项目文档的完整性和准确性。供应商按照要求提交全部文档,通过验收,视为本项工作完成。
2、验收组织
项目验收由采购人进行组织。
3、流程流程
(1)采购人依据采购文件、响应文件、合同,对项目的服务、技术、财务和档案等进行验收,形成验收报告。
(2)采购人组织成立验收组,负责开展终验的先期基础性工作,重点检查项目服务、设计、施工、招标采购、档案资料、预(概)算执行和财务决算等情况,提出验收评价意见和建议。项目服务交付完毕后,按以下程序进行最终验收:
1)应满足项目需求文件章节包含的标准规范条款要求。
2)应满足合同约定的技术条款要求。
3)所有服务项目及内容均已完成服务。
4)供应商需配合采购人完成资产登记工作,并协助采购人完成资料整理、装订、归档。(如有)
5)通过采购人组织的验收小组验收。
4.验收内容
(1)审查项目的建设目标、规模、内容、质量及资金使用等情况。
(2)审核项目形成的资产情况。
(3)评价项目交付使用情况。
(4)检查项目建设单位执行国家法律、法规情况。
5、验收标准
1、《税务系统政府采购履约验收管理办法》(试运行);
2、中标人须整理并提供以下验收材料,包括但不限于:项目服务方案、项目合同、初步验收报告、服务交付报告等。递交材料完整无遗漏,验收流程无异常,交付服务效果得到采购人认可,即可验收通过。
六、项目技术支持服务要求
投标人需按照国家关于建设安全防护体系的指导思想,结合本单位业务网络安全的现状,在攻防演练期间应对可能发生的网络安全事件,最大力度保障本单位网络系统在攻防演练中全面防御来自攻击方的网络攻击,打赢 “攻防演练”防御战。同时,加强本单位自身信息系统的安全保护措施,完善信息安全体系建设和实施,提升网络安全防护能力。
建立可靠的安全应急响应预案和应急响应处理流程,最大限度消除系统运行中各类突发事件的危害和影响,保障系统不受突发安全事件的破坏,确保系统的业务连续性和可用性,实现应急响应工作的规范化、制度化和流程化。
提高全体工作人员的网络安全意识和技能水平,按照信息系统运行特点积极做好安全保障工作,建立信息安全预警和事件快速反应机制,建立高效的事件汇报渠道,保证对信息安全事件做到早发现、早报告、早处理、早恢复等环节的紧密衔接,一旦出现影响信息系统的安全事件,快速反应,及时准确处置。
在现有安全监测措施的基础上,对重点系统进行持续和重点加强监控,及时发现安全隐患进行安全预警,并采取针对性的应对措施消除隐患。按照“早发现、早报告、早处置”的原则,加强对信息安全突发事件和可能引发信息安全突发事件的有关信息的收集、分析判断和持续监测。
七、税收信息化项目开发和应用管理工作要求
本项目为非“税收信息化项目开发和应用管理工作”。
八、其他要求
★1、项目保密要求
按照税务总局要求,在提供技术前,供应商必须签订《单位网络安全承诺书》,技术人员必须签订《个人网络安全承诺书》,承诺书主要包括网络安全管理规定和相关保密要求,保密时限最低10年,法律法规有规定的从其规定,供应商未经方技术部门和业务部门许可,不得私自对外开放系统接口及系统数据,因个人原因导致招标方安全问题和数据泄密需承担法律责任。
中标人在任何时候对其持有的事务或其事务运转操作方法等机密信息实行严格保密;除非有书面授权或出于相关方进行活动的必要,不得在任何时间向任何人透露任何保密信息;除非有书面指示或出于履行其义务的合理要求,不得把任何保密信息交给任何人;不对保密信息进行拷贝、抄写、复制、复印、拍照或摄录。
2、知识转移要求
本项目不包含知识转移。
★3、知识产权要求
服务商应保证采购人在提供服务过程中的任何部分不受任何关于侵犯所有权和工业产权、著作权(版权)等知识产权的指控。如果任何第三方提出侵权指控,服务商承担一切与之有关的责任。
4、项目归档要求
本次项目实施过程文档包括但不限于:有关产品知识、操作手册、设备运行维护经验、服务报告、技术文档、安装配置方案、安装配置实施文档、随机文档、手册等保证系统正常运行的必要技术资料。要求服务商应首要建立档案管理制度,确保文档资料完整齐全,所有电子档案均应与纸质档案内容相同,符合档案管理相关要求。
5、争议解决办法
本项目签订合同后,各方应通过友好协商,解决在执行合同过程中所发生的或与合同有关的争议。如协商不能解决,可以提起仲裁或诉讼。诉讼应由甲方所在地人民法院提起诉讼。
九、商务要求
付款方式:合同签订生效后分两次支付费用,第一次在完成合同签订后的1个月内支付合同总价的70%,第二次在全部服务完成且验收合格后的1个月内支付合同总价的30%。验收不合格,不支付服务费用(剩余30%部分)。