歡迎訪問合肥市大數據資產運營有限公司網站!
0551-65909059
聯系電話:
當前位置:首頁>>新聞中心>>通知公告 >>合肥市大數據資產運營有限公司信息安全服務采購詢價函
今天是: 2022年03月03日   【農歷:二月初一】  星期四
合肥市大數據資產運營有限公司信息安全服務采購詢價函

合肥市大數據資產運營有限公司信息安全服務采購詢價函

一、項目簡介

(一)項目名稱:信息安全服務采購

(二)項目地點:安徽省合肥市

(三)項目單位:合肥市大數據資產運營有限公司

(四)項目預算:5.2萬元

二、服務內容

(一)服務內容

合作期間,供應商單位須根據本公司需求,提供為期1年的信息安全服務。具體內容如下:

該項目涉及的信息系統包括但不限于VPN建設及管理服務、數據備份系統服務、泛微OA協同辦公信息系統、黨建平臺系統、營銷管理業務系統、全流程管理業務系統等。

項目擬對信息系統進行非破壞性滲透測試和模擬攻擊,尋找信息系統安全薄弱點并全程提供修復技術支持;定期提供安全行業內安全情報與及時提供安全威脅信息,及時了解外部安全環境以便及時做出安全應對措施;提供現場或遠程應急響應和處置,在服務期內提供7*24小時突發響應服務,及時處理安全突發事件;對開放至互聯網的信息系統進行安全監測,包括但不限于掛馬監測、DDOS攻擊監測、盜鏈監測、DNS劫持監測和敏感內容監測等;提供信息安全培訓,包括信息安全意識培訓和信息安全技能培訓,其中信息安全技能培訓包括操作系統安全、虛擬化安全、網絡安全、數據庫安全、開發安全和安全攻防等培訓。包括但不限于以下內容:

1.系統調研:在相關人員的協助下,對現有信息系統功能模塊、數據流向、用戶群體等進行調研。

2.安全調研:通過問卷調查、日志收集、工具掃描、策略分析等手段,了解信息化系統當前網絡安全現狀。

3.現場測評:根據已編制的相關等級保護測評指導書對信息系統中的相關資產進行測評項的檢查、記錄檢查結果。

4.協助進行信息網絡安全技術整改。根據《信息安全等級保護管理辦法》和《信息系統安全等級保護基本要求》,結合安全防護現狀與等級保護基本要求之間的差距,綜合重要信息系統的特點,明確安全需求,設計符合相應等級要求的信息系統安全技術建設整改方案,協助開展信息網絡安全等級保護安全技術措施建設,落實相應的物理安全、網絡安全、主機安全、應用安全和數據安全等安全保護技術措施。

5.滲透測試、安全預警監測及日常安全測評、風險評估測評。利用各種主流測試技術,對網絡系統和應用進行遠程安全檢測,發現網絡系統和應用層面存在的安全漏洞和隱患,提出詳細明確的整改建議;在不添置安全設備,不安裝插件,不更改系統架構的情況下,提供小時實時預警監測;提供重要系統上線前安全監測服務;

6.結論報告:根據前述工作容,分析當前信息系統安全保護能力是否符合相應等級的安全要求,編制相關系統“等級保護測評報告”給出測評結論,并編制合理的安全改進建議。

7.每年組織不少于2次專項應急預案演練,提供演練計劃、所需環境、設備、工具,并做詳細記錄,以保證各項應急預案的有效性和可行性。演練結束后對本次演練效果進行評估及建議并形成報告。

8.安全掃描服務:采用專業安全掃描工具與人工檢查相結合的方式,對內網及外網應用系統進行安全掃描,發現漏洞,提供掃描報告,并根據掃描報告給出漏洞整改或修復建議。

9.對于通過各種措施發現的安全漏洞、安全弱點、安全風險,需要通過多方面的安全加固措施進行修補,確保每個系統的安全性。

安全加固服務主要包括以下類型:

(1)應用系統加固服務:

通過在應用服務器的人工安全審計服務中,發現服務器操作系統或應用軟件的不安全配置,并配合應用系統開發商及時對各項不安全配置進行修復,確保服務器操作系統或應用軟件的安全性。應用系統加固包括各項安全策略調整、補丁實施、應用軟件升級等內容。對服務器操作系統和應用系統按照信息安全等級保護級別的要求進行加固。

(2)漏洞掃描發現的高風險

通過每季度漏洞掃描發現的各類高風險漏洞,需要進行安全加固,以消除高風險安全漏洞。

(3)安全設備加固服務:

協助用戶調整安全設備的安全策略,如增加服務器、減少服務器而需要改變安全設備的通行端口等內容。

10.培訓及后期技術服務工作:根據工作需要提供相關培訓及測評后的技術支持工作。提供完善有效的安全培訓方案,包括但不限于:培訓內容的合理性、培訓方案的有效性、信息安全意識宣傳方案的有效性等。

11.日志安全分析:目前監控設備包括但不限于防火墻、數據庫審計系統等,對日常安全監控設備的日志進行分析,及時發現和挖掘潛在的安全威脅,預防安全事件的發生。安全服務期內,每季度提交一份訪問日志監控分析服務報告,對重要安全設備的各類安全日志進行統計和分析(每次分析上一月的日志記錄),并對高風險日志進行進一步的追蹤,以確保消除安全隱患。日志安全分析服務頻率:每季度一次。

12.應急響應:對于應用系統中出現的影響業務正常運行的任何異常事件。如:破壞應用系統的完整性、系統資源拒絕服務、通過滲透或者入侵的方式來對系統進行非法訪問,系統資源的濫用以及任何可能對系統造成損害的行為等,都屬于應急響應服務的內容。每一次故障均提供故障處理分析報告并定期對故障處理情況進行匯總,建立并定期更新常見問題庫,并對采購方相關技術人員進行培訓,使其及時了解常見故障的處理方法,提高故障處理水平。提供定期跟蹤回訪服務。

需要提供的應急響應包括兩個級別的應急響應支持:

24小時緊急事件應急響應:應急響應人員在2個小時內響應遠程協助,12小時內到達現場;

48小時一般事件應急響應:應急響應人員在4個小時內響應遠程協助,24小時內到達響應現場。

應急響應服務頻率:按需。

(二)信息安全管理服務要求

1.服務期每季度開展滲透測試或漏洞掃描或安全測評一次,包括但不限于以下內容。

檢查重要業務系統是否存在系統漏洞與業務邏輯漏洞,通過模擬黑客使用的工具、分析方法來對系統進行模擬攻擊,驗證當前系統的安全防護措施,找出風險點并協助完成修復工作。滲透測試包括定期和隨機兩種形式,其中定期滲透測試指:每半年滲透一次,全年滲透范圍應涵蓋所有系統;隨機滲透測試指:對新建系統和重大變更的系統在上線前進行的滲透測試,約為個新系統或重大變更系統。

本項服務要求:滲透測試前需提交《系統滲透測試計劃》,內容包含測試詳細計劃、測試采用的主要技術手段與測試依據等;滲透測試后需提交《系統滲透測試報告》,內容應包含簡要的測試過程、測試結果分析以及相應改進建議;另外還需提交《系統滲透測試修復驗證報告》。

即時威脅通告和情報收集

利用安全廠商的信息采集渠道和安全信息收集系統,將最新最嚴重的安全問題,如漏洞信息、信息安全態勢等,以最快的速度通報并且提供相應的解決辦法,避免相關問題對信息系統造成影響。威脅通告視情及時報送;情報收集采取按周收集通報、按月匯總主要情報的形式報送。

本項服務要求:對于CVE上新增的漏洞或投標方自有的威脅情報新發現,不論是否影響到信息系統的安全,都要及時通報,并提供相應的威脅應對措施;每周及每月情報收集應包含該段時期內的安全威脅分析、安全行業資訊等。

網站安全監測

對官網及其二級域名進行實時安全監測,監測內容包括但不限于掛馬監測、DDoS攻擊監測、盜鏈監測和DNS劫持監測、敏感內容監測等,當發現異常時需要及時通知并協助進行事件處置。

本項服務要求:網站安全監測對象包括官網及其二級域名等,對于監測發現的問題按輕重緩急程度進行通報,另外還需提供監測服務周報和月報。

2.每年一次按照要求開展終端資產統計工作。

3.每年一次通過安全防護措施與安全保密現狀核查,全面檢查各項安全防護措施。包括但不限于針對突發的網絡故障、病毒爆發、網絡入侵、主機故障、軟件故障等事件,含應急響應和系統維護、安全加固、安全檢查等工作,包括但不限于一下內容。

4.制定一套完善的應急響應體系,每年組織兩次信息安全突發事件演練工作,并根據演練情況及時對預案進行修訂。重大活動前提供專項應急預案演練(如護網行動,上級單位檢查等,如果未出現重大活動,每年至少組織1次專項應急演練),提供演練計劃、所需環境、設備、工具,并做詳細記錄,以保證各項應急預案的有效性和可行性。演練結束后對本次演練效果進行評估及建議并形成報告。

5.完善信息安全管理體系建設,針對甲方的實際情況,制定一套適用甲方且高執行性的信息安全管理制度(開展一次)。

6.每個季度一次對信息系統、服務器、安全設備和網絡設備進行安全漏洞檢測,發現問題配合業主整改,保障信息系統安全運行。

7.制定一次信息安全材料匯編,迎接上級部門現場檢查。

8. 1年12次安全巡檢服務,需符合公安系統護網等相關檢查要求,若不達標將視情況進行追償。

9.開展一次信息安全培訓與教育,加強全體人員的信息安全和保密意識。不定期進行操作系統安全、虛擬化安全、網絡安全、數據庫安全和開發安全和安全攻防等培訓,提升IT人員安全技能。

10.開展一次信息系統風險評估服務,形成風險評估相關文檔報告。

11.提供兩次全審計服務將嚴格以安全政策或標準為基礎,用于測定現行保護措施整體狀況,同時檢驗是否妥善執行現有的保護措施。

12.提供應急響應技術支撐服務,協助完成相應事件的整改確認工作。

13.完成其他相關上級單位要求的信息安全檢測、上報等工作內容。

(三)管理要求

1.為了從各個方面加強信息安全保障,全面提高甲方整體信息安全水平,本次項目的內容主要包括信息安全現場檢查迎檢工作、信息安全運行保障、信息安全風險評估等服務工作。

2.項目應嚴格按照國家信息安全等級保護相關要求以及滿足甲方信息安全保護需求按期、按質執行,確保在2021年度內完成各項檢查和完善工作。配合甲方現場檢查的協調事宜,確保甲方取得良好的檢查結果。

3.項目中各項安全服務結果必須真實、可靠、全面,滿足國家信息安全等級保護標準要求。項目實施過程中匯總的所有過程文檔、檢查記錄、人員訪談紀要、檢測原始數據、服務結果報告等必須進行電子和紙制雙重歸檔,根據要求,整理成冊,并及時交付甲方。

4.項目實施人員應熟悉黨政機關信息安全現場檢查各項工作要求,具備相關項目經驗和能力。

備注:合同簽訂后,乙方需通過前3個月安全運維測評考核。

三、供應商資格

(一)符合《中華人民共和國政府采購法》第二十二條的規定; 

(二)本項目不接受聯合申報;

(三)詢價響應供應商的資質要求:(未達到以下要求的,將被視為無效詢價響應)

1.符合《中華人民共和國政府采購法》第二十二條的規定;

2.供應商具有獨立承擔民事責任能力;

3.供應商具有履行合同所必需的設備和專業技術能力;

4.具有良好的商業信譽和健全的財務會計制度;

(四)供應商負面清單,存在不良信用信息記錄且有以下情形之一的:

1.被人民法院列入失信被執行人的;

2.供應商或其法定代表人或擬派項目經理(項目負責人)被人民檢察院列入行賄犯罪檔案的;

3.被工商行政管理部門列入企業經營異常名錄的;

4.被稅務部門列入重大稅收違法案件當事人名單的;

5.被政府采購監管部門列入政府采購嚴重違法失信行為記錄名單的。

四、聯系方式

聯系人及聯系方式:王古月  18655120082

郵箱:wangguyue@bigdatahefei.com

地址:中國(安徽)自由貿易試驗區合肥市高新區望江西路900號中安創谷科技園D9棟,合肥市大數據資產運營有限公司。

五、報價要求

項目總報價不超過5.2萬元,否則視為報價無效??倛髢r包含完成本項目產生的一切費用,本次評標專家費由中標單位承擔(專家費用支付節點以招標人要求為準),供應商單位后期不得以任何理由向本公司追加費用,供應商報價時應綜合考慮報價風險。

六、評標辦法

本次詢價采購采取綜合評分法進行評審,滿分100分,由綜合評定得分最高一方中標,綜合評定最高得分相同的情況下,其中投標報價最低者中標,投標報價仍相同的情況下,隨機抽取決定中標單位,具體評定要求及得分占比如下:

注:

image.png

①以上證明資料須提供復印件并加蓋投標人公章放入投標文件中,否則不得分。

②評標委員會成員按照上述評分細則中的每項內容單獨評審打分。

③投標人技術標的最終得分計算方法為:取所有評委評分的算術平均值為投標人技術標的最終得分,小數點后保留兩位小數,第三位四舍五入。

七、其他事項說明

1. 供應商須在2022223(星期三)17:00前將所有響應材料紙質封印并郵寄或送至我司,逾期響應無效。

2.如有疑問,可于工作日聯系本項目聯系人。

八、供應商報價資料清單

image.png


合肥市大數據資產運營有限公司信息安全服務采購詢價函.docx


欧美成人精品第一区二区三区