歡迎訪問廈門信息集團大數據運營有限公司網站(zhàn)!
0551-65909059   公司OA
聯系電話(huà):
當前位置:首頁>>新聞中心>>通知(zhī)公告 >>廈門信息集團大數據運營有限公司信息安全服務采購詢價函
今天是: 2024年07月29日   【農(nóng)曆:六月廿四】  星期一
廈門信息集團大數據運營有限公司信息安全服務采購詢價函

廈門信息集團大數據運營有限公司信息安全服務采購詢價函

一、項目簡介

(一)項目名稱:信息安全服務采購

(二)項目地點:安徽省合肥市

(三)項目單位:廈門信息集團大數據運營有限公司

(四)項目預算(suàn):5.2萬元

二、服務内容

(一)服務内容

合作(zuò)期間,供應商單位須根據本公司需求,提供爲期1年的信息安全服務。具體内容如下(xià):

該項目涉及的信息系統包括但(dàn)不限于VPN建設及管理(lǐ)服務、數據備份系統服務、泛微OA協同辦公信息系統、黨建平台系統、營銷管理(lǐ)業務系統、全流程管理(lǐ)業務系統等。

項目拟對(duì)信息系統進行非破壞性滲透測試和(hé)模拟攻擊,尋找信息系統安全薄弱點并全程提供修複技術支持;定期提供安全行業内安全情報(bào)與及時(shí)提供安全威脅信息,及時(shí)了(le)解外(wài)部安全環境以便及時(shí)做出安全應對(duì)措施;提供現(xiàn)場或遠程應急響應和(hé)處置,在服務期内提供7*24小(xiǎo)時(shí)突發響應服務,及時(shí)處理(lǐ)安全突發事(shì)件;對(duì)開(kāi)放(fàng)至互聯網的信息系統進行安全監測,包括但(dàn)不限于挂馬監測、DDOS攻擊監測、盜鏈監測、DNS劫持監測和(hé)敏感内容監測等;提供信息安全培訓,包括信息安全意識培訓和(hé)信息安全技能(néng)培訓,其中信息安全技能(néng)培訓包括操作(zuò)系統安全、虛拟化安全、網絡安全、數據庫安全、開(kāi)發安全和(hé)安全攻防等培訓。包括但(dàn)不限于以下(xià)内容:

1.系統調研:在相關人員的協助下(xià),對(duì)現(xiàn)有信息系統功能(néng)模塊、數據流向、用(yòng)戶群體等進行調研。

2.安全調研:通過問卷調查、日志收集、工(gōng)具掃描、策略分析等手段,了(le)解信息化系統當前網絡安全現(xiàn)狀。

3.現(xiàn)場測評:根據已編制的相關等級保護測評指導書對(duì)信息系統中的相關資産進行測評項的檢查、記錄檢查結果。

4.協助進行信息網絡安全技術整改。根據《信息安全等級保護管理(lǐ)辦法》和(hé)《信息系統安全等級保護基本要求》,結合安全防護現(xiàn)狀與等級保護基本要求之間的差距,綜合重要信息系統的特點,明(míng)确安全需求,設計(jì)符合相應等級要求的信息系統安全技術建設整改方案,協助開(kāi)展信息網絡安全等級保護安全技術措施建設,落實相應的物理(lǐ)安全、網絡安全、主機安全、應用(yòng)安全和(hé)數據安全等安全保護技術措施。

5.滲透測試、安全預警監測及日常安全測評、風(fēng)險評估測評。利用(yòng)各種主流測試技術,對(duì)網絡系統和(hé)應用(yòng)進行遠程安全檢測,發現(xiàn)網絡系統和(hé)應用(yòng)層面存在的安全漏洞和(hé)隐患,提出詳細明(míng)确的整改建議(yì);在不添置安全設備,不安裝插件,不更改系統架構的情況下(xià),提供小(xiǎo)時(shí)實時(shí)預警監測;提供重要系統上(shàng)線前安全監測服務;

6.結論報(bào)告:根據前述工(gōng)作(zuò)容,分析當前信息系統安全保護能(néng)力是否符合相應等級的安全要求,編制相關系統“等級保護測評報(bào)告”給出測評結論,并編制合理(lǐ)的安全改進建議(yì)。

7.每年組織不少于2次專項應急預案演練,提供演練計(jì)劃、所需環境、設備、工(gōng)具,并做詳細記錄,以保證各項應急預案的有效性和(hé)可行性。演練結束後對(duì)本次演練效果進行評估及建議(yì)并形成報(bào)告。

8.安全掃描服務:采用(yòng)專業安全掃描工(gōng)具與人工(gōng)檢查相結合的方式,對(duì)内網及外(wài)網應用(yòng)系統進行安全掃描,發現(xiàn)漏洞,提供掃描報(bào)告,并根據掃描報(bào)告給出漏洞整改或修複建議(yì)。

9.對(duì)于通過各種措施發現(xiàn)的安全漏洞、安全弱點、安全風(fēng)險,需要通過多方面的安全加固措施進行修補,确保每個系統的安全性。

安全加固服務主要包括以下(xià)類型:

(1)應用(yòng)系統加固服務:

通過在應用(yòng)服務器的人工(gōng)安全審計(jì)服務中,發現(xiàn)服務器操作(zuò)系統或應用(yòng)軟件的不安全配置,并配合應用(yòng)系統開(kāi)發商及時(shí)對(duì)各項不安全配置進行修複,确保服務器操作(zuò)系統或應用(yòng)軟件的安全性。應用(yòng)系統加固包括各項安全策略調整、補丁實施、應用(yòng)軟件升級等内容。對(duì)服務器操作(zuò)系統和(hé)應用(yòng)系統按照信息安全等級保護級别的要求進行加固。

(2)漏洞掃描發現(xiàn)的高(gāo)風(fēng)險

通過每季度漏洞掃描發現(xiàn)的各類高(gāo)風(fēng)險漏洞,需要進行安全加固,以消除高(gāo)風(fēng)險安全漏洞。

(3)安全設備加固服務:

協助用(yòng)戶調整安全設備的安全策略,如增加服務器、減少服務器而需要改變安全設備的通行端口等内容。

10.培訓及後期技術服務工(gōng)作(zuò):根據工(gōng)作(zuò)需要提供相關培訓及測評後的技術支持工(gōng)作(zuò)。提供完善有效的安全培訓方案,包括但(dàn)不限于:培訓内容的合理(lǐ)性、培訓方案的有效性、信息安全意識宣傳方案的有效性等。

11.日志安全分析:目前監控設備包括但(dàn)不限于防火牆、數據庫審計(jì)系統等,對(duì)日常安全監控設備的日志進行分析,及時(shí)發現(xiàn)和(hé)挖掘潛在的安全威脅,預防安全事(shì)件的發生。安全服務期内,每季度提交一份訪問日志監控分析服務報(bào)告,對(duì)重要安全設備的各類安全日志進行統計(jì)和(hé)分析(每次分析上(shàng)一月的日志記錄),并對(duì)高(gāo)風(fēng)險日志進行進一步的追蹤,以确保消除安全隐患。日志安全分析服務頻率:每季度一次。

12.應急響應:對(duì)于應用(yòng)系統中出現(xiàn)的影響業務正常運行的任何異常事(shì)件。如:破壞應用(yòng)系統的完整性、系統資源拒絕服務、通過滲透或者入侵的方式來(lái)對(duì)系統進行非法訪問,系統資源的濫用(yòng)以及任何可能(néng)對(duì)系統造成損害的行爲等,都屬于應急響應服務的内容。每一次故障均提供故障處理(lǐ)分析報(bào)告并定期對(duì)故障處理(lǐ)情況進行彙總,建立并定期更新常見問題庫,并對(duì)采購方相關技術人員進行培訓,使其及時(shí)了(le)解常見故障的處理(lǐ)方法,提高(gāo)故障處理(lǐ)水(shuǐ)平。提供定期跟蹤回訪服務。

需要提供的應急響應包括兩個級别的應急響應支持:

24小(xiǎo)時(shí)緊急事(shì)件應急響應:應急響應人員在2個小(xiǎo)時(shí)内響應遠程協助,12小(xiǎo)時(shí)内到(dào)達現(xiàn)場;

48小(xiǎo)時(shí)一般事(shì)件應急響應:應急響應人員在4個小(xiǎo)時(shí)内響應遠程協助,24小(xiǎo)時(shí)内到(dào)達響應現(xiàn)場。

應急響應服務頻率:按需。

(二)信息安全管理(lǐ)服務要求

1.服務期每季度開(kāi)展滲透測試或漏洞掃描或安全測評一次,包括但(dàn)不限于以下(xià)内容。

檢查重要業務系統是否存在系統漏洞與業務邏輯漏洞,通過模拟黑客使用(yòng)的工(gōng)具、分析方法來(lái)對(duì)系統進行模拟攻擊,驗證當前系統的安全防護措施,找出風(fēng)險點并協助完成修複工(gōng)作(zuò)。滲透測試包括定期和(hé)随機兩種形式,其中定期滲透測試指:每半年滲透一次,全年滲透範圍應涵蓋所有系統;随機滲透測試指:對(duì)新建系統和(hé)重大(dà)變更的系統在上(shàng)線前進行的滲透測試,約爲個新系統或重大(dà)變更系統。

本項服務要求:滲透測試前需提交《系統滲透測試計(jì)劃》,内容包含測試詳細計(jì)劃、測試采用(yòng)的主要技術手段與測試依據等;滲透測試後需提交《系統滲透測試報(bào)告》,内容應包含簡要的測試過程、測試結果分析以及相應改進建議(yì);另外(wài)還需提交《系統滲透測試修複驗證報(bào)告》。

即時(shí)威脅通告和(hé)情報(bào)收集

利用(yòng)安全廠(chǎng)商的信息采集渠道(dào)和(hé)安全信息收集系統,将最新最嚴重的安全問題,如漏洞信息、信息安全态勢等,以最快(kuài)的速度通報(bào)并且提供相應的解決辦法,避免相關問題對(duì)信息系統造成影響。威脅通告視(shì)情及時(shí)報(bào)送;情報(bào)收集采取按周收集通報(bào)、按月彙總主要情報(bào)的形式報(bào)送。

本項服務要求:對(duì)于CVE上(shàng)新增的漏洞或投标方自(zì)有的威脅情報(bào)新發現(xiàn),不論是否影響到(dào)信息系統的安全,都要及時(shí)通報(bào),并提供相應的威脅應對(duì)措施;每周及每月情報(bào)收集應包含該段時(shí)期内的安全威脅分析、安全行業資訊等。

網站(zhàn)安全監測

對(duì)官網及其二級域名進行實時(shí)安全監測,監測内容包括但(dàn)不限于挂馬監測、DDoS攻擊監測、盜鏈監測和(hé)DNS劫持監測、敏感内容監測等,當發現(xiàn)異常時(shí)需要及時(shí)通知(zhī)并協助進行事(shì)件處置。

本項服務要求:網站(zhàn)安全監測對(duì)象包括官網及其二級域名等,對(duì)于監測發現(xiàn)的問題按輕重緩急程度進行通報(bào),另外(wài)還需提供監測服務周報(bào)和(hé)月報(bào)。

2.每年一次按照要求開(kāi)展終端資産統計(jì)工(gōng)作(zuò)。

3.每年一次通過安全防護措施與安全保密現(xiàn)狀核查,全面檢查各項安全防護措施。包括但(dàn)不限于針對(duì)突發的網絡故障、病毒爆發、網絡入侵、主機故障、軟件故障等事(shì)件,含應急響應和(hé)系統維護、安全加固、安全檢查等工(gōng)作(zuò),包括但(dàn)不限于一下(xià)内容。

4.制定一套完善的應急響應體系,每年組織兩次信息安全突發事(shì)件演練工(gōng)作(zuò),并根據演練情況及時(shí)對(duì)預案進行修訂。重大(dà)活動前提供專項應急預案演練(如護網行動,上(shàng)級單位檢查等,如果未出現(xiàn)重大(dà)活動,每年至少組織1次專項應急演練),提供演練計(jì)劃、所需環境、設備、工(gōng)具,并做詳細記錄,以保證各項應急預案的有效性和(hé)可行性。演練結束後對(duì)本次演練效果進行評估及建議(yì)并形成報(bào)告。

5.完善信息安全管理(lǐ)體系建設,針對(duì)甲方的實際情況,制定一套适用(yòng)甲方且高(gāo)執行性的信息安全管理(lǐ)制度(開(kāi)展一次)。

6.每個季度一次對(duì)信息系統、服務器、安全設備和(hé)網絡設備進行安全漏洞檢測,發現(xiàn)問題配合業主整改,保障信息系統安全運行。

7.制定一次信息安全材料彙編,迎接上(shàng)級部門(mén)現(xiàn)場檢查。

8. 1年12次安全巡檢服務,需符合公安系統護網等相關檢查要求,若不達标将視(shì)情況進行追償。

9.開(kāi)展一次信息安全培訓與教育,加強全體人員的信息安全和(hé)保密意識。不定期進行操作(zuò)系統安全、虛拟化安全、網絡安全、數據庫安全和(hé)開(kāi)發安全和(hé)安全攻防等培訓,提升IT人員安全技能(néng)。

10.開(kāi)展一次信息系統風(fēng)險評估服務,形成風(fēng)險評估相關文(wén)檔報(bào)告。

11.提供兩次全審計(jì)服務将嚴格以安全政策或标準爲基礎,用(yòng)于測定現(xiàn)行保護措施整體狀況,同時(shí)檢驗是否妥善執行現(xiàn)有的保護措施。

12.提供應急響應技術支撐服務,協助完成相應事(shì)件的整改确認工(gōng)作(zuò)。

13.完成其他(tā)相關上(shàng)級單位要求的信息安全檢測、上(shàng)報(bào)等工(gōng)作(zuò)内容。

(三)管理(lǐ)要求

1.爲了(le)從(cóng)各個方面加強信息安全保障,全面提高(gāo)甲方整體信息安全水(shuǐ)平,本次項目的内容主要包括信息安全現(xiàn)場檢查迎檢工(gōng)作(zuò)、信息安全運行保障、信息安全風(fēng)險評估等服務工(gōng)作(zuò)。

2.項目應嚴格按照國家信息安全等級保護相關要求以及滿足甲方信息安全保護需求按期、按質執行,确保在2021年度内完成各項檢查和(hé)完善工(gōng)作(zuò)。配合甲方現(xiàn)場檢查的協調事(shì)宜,确保甲方取得良好(hǎo)的檢查結果。

3.項目中各項安全服務結果必須真實、可靠、全面,滿足國家信息安全等級保護标準要求。項目實施過程中彙總的所有過程文(wén)檔、檢查記錄、人員訪談紀要、檢測原始數據、服務結果報(bào)告等必須進行電子和(hé)紙(zhǐ)制雙重歸檔,根據要求,整理(lǐ)成冊,并及時(shí)交付甲方。

4.項目實施人員應熟悉黨政機關信息安全現(xiàn)場檢查各項工(gōng)作(zuò)要求,具備相關項目經驗和(hé)能(néng)力。

備注:合同簽訂後,乙方需通過前3個月安全運維測評考核。

三、供應商資格

(一)符合《中華人民共和(hé)國政府采購法》第二十二條的規定; 

(二)本項目不接受聯合申報(bào);

(三)詢價響應供應商的資質要求:(未達到(dào)以下(xià)要求的,将被視(shì)爲無效詢價響應)

1.符合《中華人民共和(hé)國政府采購法》第二十二條的規定;

2.供應商具有獨立承擔民事(shì)責任能(néng)力;

3.供應商具有履行合同所必需的設備和(hé)專業技術能(néng)力;

4.具有良好(hǎo)的商業信譽和(hé)健全的财務會(huì)計(jì)制度;

(四)供應商負面清單,存在不良信用(yòng)信息記錄且有以下(xià)情形之一的:

1.被人民法院列入失信被執行人的;

2.供應商或其法定代表人或拟派項目經理(lǐ)(項目負責人)被人民檢察院列入行賄犯罪檔案的;

3.被工(gōng)商行政管理(lǐ)部門(mén)列入企業經營異常名錄的;

4.被稅務部門(mén)列入重大(dà)稅收違法案件當事(shì)人名單的;

5.被政府采購監管部門(mén)列入政府采購嚴重違法失信行爲記錄名單的。

四、聯系方式

聯系人及聯系方式:王古月  18655120082

郵箱:wangguyue@bigdatahefei.com

地址:中國(安徽)自(zì)由貿易試驗區(qū)合肥市高(gāo)新區(qū)望江西路900号中安創谷科技園D9棟,廈門信息集團大數據運營有限公司。

五、報(bào)價要求

項目總報(bào)價不超過5.2萬元,否則視(shì)爲報(bào)價無效。總報(bào)價包含完成本項目産生的一切費用(yòng),本次評标專家費由中标單位承擔(專家費用(yòng)支付節點以招标人要求爲準),供應商單位後期不得以任何理(lǐ)由向本公司追加費用(yòng),供應商報(bào)價時(shí)應綜合考慮報(bào)價風(fēng)險。

六、評标辦法

本次詢價采購采取綜合評分法進行評審,滿分100分,由綜合評定得分最高(gāo)一方中标,綜合評定最高(gāo)得分相同的情況下(xià),其中投标報(bào)價最低(dī)者中标,投标報(bào)價仍相同的情況下(xià),随機抽取決定中标單位,具體評定要求及得分占比如下(xià):

注:

image.png

①以上(shàng)證明(míng)資料須提供複印件并加蓋投标人公章放(fàng)入投标文(wén)件中,否則不得分。

②評标委員會(huì)成員按照上(shàng)述評分細則中的每項内容單獨評審打分。

③投标人技術标的最終得分計(jì)算(suàn)方法爲:取所有評委評分的算(suàn)術平均值爲投标人技術标的最終得分,小(xiǎo)數點後保留兩位小(xiǎo)數,第三位四舍五入。

七、其他(tā)事(shì)項說明(míng)

1. 供應商須在2022223(星期三)17:00前将所有響應材料紙(zhǐ)質封印并郵寄或送至我司,逾期響應無效。

2.如有疑問,可于工(gōng)作(zuò)日聯系本項目聯系人。

八、供應商報(bào)價資料清單

image.png


廈門信息集團大數據運營有限公司信息安全服務采購詢價函.docx