蘇州市創(chuàng)杰招投標咨詢服務有限公司受蘇州數政安全技術有限公司之委托����,對其采購的2024年蘇州市交通運輸應急指揮中心網絡安全檢查及保障服務項目進行詢價采購,歡迎合格的供應商前來參加�。
一���、 項目說明:
(一) 項目名稱:2024年蘇州市交通運輸應急指揮中心網絡安全檢查及保障服務項目
第一標段:網絡安全檢查服務
第二標段:網絡安全應急保障服務
注:本項目共分為二個標段,響應單位可選擇其中一個或多個標段投標����,但只能就其中一個標段成交,成交標段按標段號順序�。進入每個標段評審的實質性響應且具有得標權的供應商不得少于三家,如不足三家�,應認定該標段采購失敗。已遞交某標段響應文件且實質性響應采購需求����,但已在前期標段評審中獲得了采購文件規(guī)定的得標上限數的供應商,不再具有該標段的得標權�����,不計入該標段的實質性響應供應商數量內���。
(二) 采購預算:人民幣貳拾柒萬元整(¥:270000.00)
第一標段:人民幣壹拾萬柒仟元整(¥:107000.00)
第二標段:人民幣壹拾陸萬叁仟元整(¥:163000.00)
(三) 合格詢價響應供應商的條件:
1�����、具有獨立承擔民事責任的能力��;
2����、具有良好的商業(yè)信譽和健全的財務會計制度��;
3����、具有履行合同所必需的設備和專業(yè)技術能力;
4�����、有依法繳納稅收和社會保障資金的良好記錄��;
5�、參加采購活動前三年內,在經營活動中沒有重大違法記錄���;
6���、法律、行政法規(guī)規(guī)定的其他條件�。
二��、采購要求:
(一)項目背景
近年來�����,蘇州市交通運輸應急指揮中心(簡稱:蘇州市指揮中心)網絡信息化建設逐步深入�����,對網絡信息系統(tǒng)的依賴程度也越來越高���,在網絡數字化建設不斷加速的背景下,原有傳統(tǒng)的信息化建設及運維管理手段�,已經無法適應新的網絡及數據安全要求,不能滿足數字化轉型的防護需要��,無法應對復雜突發(fā)的網絡安全事件�����。同時���,隨著大數據�����、云計算����、物聯(lián)網、人工智能等新興IT技術的發(fā)展與落地����,傳統(tǒng)信息安全的邊界越來越模糊����,新的攻擊形態(tài)層出不窮,新技術是一把雙刃劍��,在促進數字化經濟發(fā)展的同時也帶來新的安全風險�,原有的安全防護體系的適應性和防護能力出現嚴重不足,對傳統(tǒng)的信息系統(tǒng)網絡環(huán)境的可靠性�、安全性和快速適應性提出了越來越高的要求,給網絡及數據安全穩(wěn)定運行帶來新的挑戰(zhàn)����。
新時期下,國家對網絡及數據安全也提出了更高的要求���,根據《網絡安全法》《數據安全法》《網絡安全等級保護基本要求》的相關規(guī)定要求����,以及《江蘇省交通運輸廳網絡安全管理辦法》(蘇交技[2021]30號)文件的內容。蘇州市指揮中心在網絡及數據安全建設及運行保障過程中�����,積極應對遇到的各種網絡安全風險�����,對網絡威脅給予充分的重視��,保障業(yè)務系統(tǒng)的安全持續(xù)穩(wěn)定運行���,按照國家及各級政府關于網絡及數據安全的總體要求和部署��,緊緊圍繞蘇州市交通運輸局的網絡安全發(fā)展戰(zhàn)略定位����,樹立先進理念�,全面持續(xù)提升網絡安全組織管理、風險控制�、技術設施和服務保障能力,完善政策、標準����、規(guī)范等環(huán)境要素,逐步建立起技術�����、管理和運行等多層面的網絡及數據安全管理保障體系�����。按照“積極防御�、綜合防范”的思想��,實施網絡安全等級保護�����;正確處理網絡安全與信息化發(fā)展���、網絡安全與信息公開的辯證關系���,以安全保發(fā)展,從發(fā)展中求安全����,既要堅持信息共享�,又要保障信息安全��;統(tǒng)籌規(guī)劃��,突出重點����,加強網絡安全基礎性工作;通過網絡安全建設���、安全檢查監(jiān)測�、安全應急保障等服務��,保障蘇州市指揮中心網絡信息化系統(tǒng)的持續(xù)安全穩(wěn)定運行��。
隨著蘇州市交通運輸應急指揮中心網絡安全體系的不斷建設及完善�����,各種安全設備及安全手段的引入�,在給網絡安全防護帶來保障的同時,也給安全管理帶來極大的挑戰(zhàn)。指揮中心的網絡系統(tǒng)規(guī)模較大��,外聯(lián)接入網絡復雜�,終端數量較多,雖然配備了網絡安全管理人員��,但每月開展網絡安全保障和日常業(yè)務工作占用了大量時間�,在系統(tǒng)進入到周期性的安全運維和保障防護階段,更需要專業(yè)的網絡安全服務團隊來保證和不斷鞏固網絡安全建設的成果�,建立一套有效的網絡安全體系,來對全網進行統(tǒng)一的安全管理��,確保信息系統(tǒng)發(fā)生安全事件時能夠第一時間處理����,減少安全事件帶來的損失。
(二)目的
通過第三方專業(yè)網絡安全技術支撐單位提供的安全服務解決��,通過服務團隊的日常安全檢查�、策略優(yōu)化����、區(qū)域防護、安全日志分析及審計���、網絡整改及優(yōu)化�、安全突發(fā)事件處置等活動,全面提升蘇州市指揮中心網絡安全防護及預警能力����。同時對現有的網絡系統(tǒng)資產進行全面梳理,制定安全基線與規(guī)范���,定期對下轄機構進行網絡安全檢查評估等措施��,提升整體網絡安全防護能力�。
(三)項目工作內容
蘇州市交通運輸應急指揮中心申報的網絡安全建設及運行保障服務項目��,按照蘇州市交通運輸局網絡安全建設保障“三駕馬車”的模式����,即引入網絡安全檢查、運行維護和應急保障三支專業(yè)技術支撐服務隊伍�����,提升整體的網絡安全建設及保障能力�����。項目服務內容可劃分為“網絡安全檢查服務”和“網絡安全應急保障服務”,兩項服務內容分標段進行采購���。
第一標段:網絡安全檢查服務
按照國家《網絡安全等級保護基本要求》(GBT 22239-2019)的要求�����,同時結合當前網絡安全攻防技術及常見漏洞的防護方法�,對網絡信息系統(tǒng)進行分類檢查��,主要分為安全技術類和安全管理類�����,安全技術類分別是:安全物理環(huán)境���、安全通信網絡��、安全區(qū)域邊界��、安全計算環(huán)境���、安全管理中心�����。安全管理類分別是:安全管理制度、安全管理機構���、安全管理人員�����、安全建設管理���、安全運維管理;同時技術檢查根據蘇州市指揮中心的需求和實際情況對應用系統(tǒng)進行漏洞掃描和滲透測試���,并對勒索病毒和新型威脅進行專項檢查�,提出不足之處和整改建議���,并協(xié)助安全整改和安全問題處置���。開展網絡安全培訓及技術咨詢服務
(1) 網絡安全檢查與監(jiān)測服務
服務范圍為:按網絡安全政策及國內網絡安全形勢,對蘇州市指揮中心的網絡環(huán)境及安全防護建設現狀�,提供合規(guī)性檢查、專項檢查及持續(xù)性的監(jiān)測服務��。
以每年上級主管部門的安全檢查通知要求為準,配合完成安全檢查內容的自檢和加固���,確保順利通過檢查���。及時掌握網絡信息系統(tǒng)資源現狀和配置信息,反映信息系統(tǒng)資源的可用性情況和健康狀況�,創(chuàng)建一個可知可控的網絡安全防護環(huán)境,從而保證網絡信息系統(tǒng)的各類業(yè)務應用系統(tǒng)的可靠����、高效、持續(xù)���、安全運行��。
安全檢查主要包括安全管理檢查和安全技術檢查兩方面�����。安全管理檢查內容主要有填寫基本情況調查表����、規(guī)章制度制定和執(zhí)行�����、安全組織設置���、資產分類與控制����、人員安全管理��、物理和環(huán)境安全管理��、運行管理����、訪問控制管理、應用系統(tǒng)開發(fā)和維護管理����、數據安全管理、應急與數據備份管理�、安全經費情況、安全檢測評估情況���、終端安全管理���、商用密碼安全情況等內容����。安全技術檢查內容主要有:網絡現狀檢查�����、網絡設備檢查��、安全設備檢查����、服務器及數據庫安全檢查、脆弱性掃描檢查等內容����。
通過監(jiān)測平臺對互聯(lián)網上的重要業(yè)務系統(tǒng)(網站)進行安全監(jiān)控,協(xié)助建立一套安全應急預警體系��,定制完善的監(jiān)控策略與制度�����、安全事件上報流程、安全事件處理流程��、安全事件應急響應預案等��。按照預警體系要求�,通過監(jiān)控數據對比分析���,及時發(fā)現重要業(yè)務系統(tǒng)(網站)性能下降或被破壞的行為��,通過安全隱患分析報告����,對業(yè)務系統(tǒng)進行有計劃�����、有針對性的優(yōu)化整改���。
(2) 網絡安全風險評估服務
服務范圍為:蘇州市交通運輸應急指揮中心3樓機房中的信息系統(tǒng)��、托管在信息中心機房中的信息系統(tǒng)
網絡安全風險評估是參照風險評估標準和管理規(guī)范�,對信息系統(tǒng)的資產價值���、潛在威脅��、薄弱環(huán)節(jié)����、已采取的防護措施等進行分析,判斷安全事件發(fā)生的概率以及可能造成的損失����,提出風險管理措施的過程。當風險評估應用于IT領域時�����,就是對網絡信息安全的風險評估���。
風險評估采用國際標準的BS7799����、ISO17799���、國家標準《信息系統(tǒng)安全等級評測準則》等方法����,充分體現以資產為出發(fā)點、以威脅為觸發(fā)因素���、以技術/管理/運行等方面存在的脆弱性為誘因的信息安全風險評估綜合方法及操作模型����。
(3) 網絡安全滲透測試服務(含業(yè)務上線前測試)
服務范圍對蘇州市指揮中心的業(yè)務系統(tǒng)進行人工滲透測試���,對現有系統(tǒng)�����、網絡、終端的邏輯和物理防護措施進行安全測試��。找出安全漏洞所在����,提高應用系統(tǒng)的安全性。
對新開發(fā)建設的業(yè)務系統(tǒng)���、APP�、移動應用程序�,在開發(fā)前提供安全開發(fā)建議,上線前進行安全檢測,包括應用�、主機安全漏洞掃描、應用安全合規(guī)性檢測����、主機(操作系統(tǒng)、數據庫��、中間件)安全基線檢查和滲透測試等���。上線后形成安全工作臺賬���,記錄應用系統(tǒng)名稱、部署網絡����、系統(tǒng)級別、開發(fā)廠商�����、初測與復測情況��、漏洞修復情況等內容�����。
滲透測試模擬黑客行為對目標對象進行入侵,通過遠程或本地方式對信息系統(tǒng)進行非破壞性的入侵測試�����。主要開展網絡安全滲透����、網站安全滲透、業(yè)務應用系統(tǒng)安全滲透以及對現有系統(tǒng)��、網絡��、終端的邏輯和物理控制措施進行安全測試�����。找出安全漏洞所在��,提高應用系統(tǒng)的安全性���。
滲透測試是站在實戰(zhàn)角度對單位對外服務的系統(tǒng)上進行的安全評估,可以讓開發(fā)公司����、相關人員直觀的了解到自己網絡�����、系統(tǒng)��、應用中隱含的漏洞和危害發(fā)生時可能導致的損失�����。完善網絡業(yè)務系統(tǒng)上線前安全檢測工作機制及流程����,形成上線前安全檢測工作臺賬��,記錄應用系統(tǒng)名稱��、部署網絡����、系統(tǒng)級別、開發(fā)廠商�、初測與復測情況、漏洞修復情況等內容��。上線前安全檢測包括應用、主機安全漏洞掃描�����、應用安全合規(guī)性檢測���、主機(操作系統(tǒng)�、數據庫����、中間件)安全基線檢查和滲透測試等,通過上述檢測手段對應用和主機安全漏洞���、安全配置缺陷進行檢測并提出整改建議��,直到所有安全問題整改完成��。在完成系統(tǒng)上線前安全檢測后,輸出《業(yè)務系統(tǒng)上線前安全檢測報告》��。
(4) 安全咨詢及安全培訓服務
服務范圍為:在國家網絡安全宣傳周期間����,對蘇州市指揮中心提供相關網絡安全意識培訓及宣傳���,編制網絡安全宣傳手冊、宣傳海報�����、電子宣傳材料等����。
根據國家政策相關要求,提供咨詢指導服務���,使安全建設達到安全主管部門的要求�����。
安全服務團隊應能在最佳實踐的基礎上�����,形成一項全面��、細致的安全咨詢服務�,從網絡安全總體規(guī)劃設計��、網絡安全等級保護建設咨詢、網絡安全風險管理咨詢���,到安全解決方案和事件應急處理咨詢服務���,以及可以根據特定需求,針對具體的信息化建設項目就安全性方面進行安全建設咨詢���。
根據國家政策相關要求��,對相關系統(tǒng)進行咨詢指導服務��,達到主管部門的要求�����,并形成報告�����。指派的咨詢顧問應是有一定信息安全行業(yè)工作經驗的�,熟悉網絡信息化安全特點����,并得到認可。
具體要求如下:
1�����、安全架構設計咨詢:從應用安全�����、數據安全�����、網絡安全、主機安全����、數據備份安全���、應急響應等方面���,提供一體化的設計咨詢服務,協(xié)助制定網絡安全架構的整體建設方案�。
2、網絡安全管理咨詢服務:基于網絡安全管理體系安全建設要求,結合管理現狀���,提供網絡安全管理方面的咨詢服務�����。從整體安全效益出發(fā)�����,新建����、細化或修改該類安全管理制度����,整個安全管理體系應充分考慮主要業(yè)務層面內容,包括但不僅限于人員管理��、機構管理��、運維管理��、建設管理與制度管理��。
3、基礎設施環(huán)境安全咨詢:對現有的網絡基礎設施進行全面的分析評估���,從物理位置、供電���、防雨�、防雷��、防震����、防靜電、溫濕度等方面提供基礎設施環(huán)境安全咨詢服務�。
4、應用安全咨詢:對現有的應用系統(tǒng)架構進行全面分析����,通過對應用系統(tǒng)的密碼存放形式、登錄認證與權限級別設計���、網絡傳輸數據加密方式��、前后臺分離(管理與發(fā)布分離)等方面����,提供應用安全咨詢服務。
5�����、網絡安全咨詢:結合現有網絡拓撲結構�����,提供網絡安全架構設計和整改咨詢服務���。
6�����、主機安全咨詢:對主機服務器���、存儲系統(tǒng)進行整體的安全分析,從設備加固�、補丁升級等方面,提供主機安全咨詢服務���。
7�、應急響應咨詢:從物理層、數據層�����、應用層的安全角度出發(fā)�����,提供安全咨詢服務����。
配合對技術人員進行網絡安全意識和網絡安全法的普及培訓����,培訓內容包括最新的法律法規(guī)培訓,安全意識�、技術培訓、事件應急等前沿領域技術介紹�����,依實際工作需求對管理員進行網絡設備和安全設備的操作培訓等���。
第二標段:網絡安全應急保障服務
從技術和管理上��,根據等級保護技術規(guī)范對業(yè)務系統(tǒng)及網絡進行持續(xù)的加固及優(yōu)化��,針對業(yè)務特點和網絡現狀提出防護措施�,并擇機進行優(yōu)化和加固。協(xié)助指導日常運維單位按照網絡安全防護的要求�,持續(xù)保持網絡安全防護效力,保障業(yè)務持續(xù)運行�����。
服務范圍為:蘇州市交通運輸應急指揮中心3樓機房中的信息系統(tǒng)和政務云上的信息系統(tǒng)
(1) 網絡安全體系建設服務
網絡安全體系應基于并服務于網絡和信息系統(tǒng)的風險管理��,要貫徹網絡信息安全風險管理的理念�����,落實對信息安全風險的有效控制��。通過項目的合理設計和有效實施�,將信息安全風險控制在合理的、可接受的范圍內����。
網絡信息安全體系的內容必須逐步建設、持續(xù)完善�����、同步發(fā)展。要跟蹤網絡和信息系統(tǒng)業(yè)務和信息技術的發(fā)展及部署環(huán)境�,開展充分調研與分析,參照國際�、國內最佳實踐,逐步建設信息安全體系����,并不斷完善和提升。
1) 安全管理體系建設
在安全建設��、運行����、維護�����、管理環(huán)節(jié)都要重視安全管理����,嚴格按制度進行辦事,明確責任權力��,規(guī)范操作,加強人員����、設備的管理以及人員的培訓,提高安全管理水平����,同時加強對緊急事件的應對能力,通過預防措施和恢復控制相結合的方式�,使由意外事故所引起的破壞減小至可接受程度。
2) 安全技術體系建設
依據等級保護的思想和適度安全的原則��,平衡成本與效益���,合理部署和利用網絡安全的信任體系�����、監(jiān)控體系和應急處理等重要基礎設施���,確定合適的安全技術措施,從而確保網絡安全保障能力建設的成效����。
安全技術體系設計內容主要涵蓋到 “一個中心����、三重防護”�。即安全管理中心、計算環(huán)境安全�����、區(qū)域邊界安全���、通信網絡安全�����。
3) 安全運維體系建設
運維體系規(guī)定IT運維活動涉及的各類實體,以及這些實體間的相互關系��。相關的實體按照網絡信息化運維體系進行有機組織����,并協(xié)調工作,按照服務協(xié)議要求提供不同級別的IT運維服務��。并通過建立集中的管理模式���,明確管理目標����,通過高效的管理平臺充分發(fā)揮現有IT資源的使用效率。經過階段化的體系建設�,完成運維服務體系從管理化階段、電子化階段向自動化階段迭代的過程����,實現運維管理工作品質從“優(yōu)”到“精”。
(2) 網絡安全應急預案及演練服務
服務范圍為:對蘇州市指揮中心的網絡和業(yè)務系統(tǒng)�,充分調研現有的安全設備、防護現狀�����、風險狀況���,編制網絡安全應急預案及專項應急預案��,按預案內容制定演練計劃及演練方案����,搭建演練環(huán)境并組織參與應急演練,根據應急演練內容進行總結和修改完善應急預案�。
應建立健全網絡與信息安全事件應急工作機制,提高應對網絡與信息安全事件處置能力�����,預防和減少網絡與信息安全事件造成的損失和危害���,保障網絡信息化系統(tǒng)安全穩(wěn)定運行�����。依據《中華人民共和國網絡安全法》�����、《網絡安全等級保護管理辦法》的要求��,科學應對網絡與信息安全突發(fā)事件��,提高網絡安全維護保障能力,建立健全網絡信息安全應急響應機制��,有效預防���、及時控制和最大限度地消除信息安全各類突發(fā)事件的危害和影響��,應根據蘇州市指揮中心的業(yè)務特點和管理要求�����,編制網絡安全應急預案和專項預案����。
選擇適當的時機,對制定的各類專項網絡安全應急預案進行演練��,以使相關人員了解應急預案的基本內容及實施流程����、技術及服務人員熟悉應急員響應處置操作的方法與流程,并檢驗預案中的檢測分析工具和事件處置方法是否有效����、備用設備是否有效、恢復流程是否有效���、應急響應流程是否順暢�����,以及外部配合是否順暢等��。
演練后��,應根據演練中發(fā)現的問題對應急預案進行修改和維護��,并結合演練對相關人員進行必要的培訓���。應急響應預案的演練與維護�����,是提高應急響應能力的必要手段�。
應急演練主要內容如下:
Ø 確定演練的目標和范圍���,制定完善的應急演練方案
Ø 依據應急演練方案�,進行安全應急演練操作���,規(guī)避潛在的風險�,提升應急響應的能力和效率
Ø 總結應急演練實施成果�,完善應急響應處理流程
(3)網絡安全策略加固及配置優(yōu)化服務
安全加固服務,是指根據安全加固列表���,對目標系統(tǒng)的安全漏洞進行修復�、配置隱患進行優(yōu)化的過程��。加固內容包括但不限于系統(tǒng)補丁��、特征升級��、安全策略優(yōu)化����、網絡架構調整、危險服務����、共享、自動播放����、密碼安全。針對范圍內主機提供基線安全加固服務��,遵循基線安全加固技術標準對授權的設備進行基線安全加固���。使服務器具有基本的安全防護能力�,能抵御對操作系統(tǒng)的直接攻擊,能在發(fā)生攻擊時限制影響范圍����。
服務范圍為:蘇州市交通運輸應急指揮中心3樓機房中的信息系統(tǒng)、托管在信息中心機房中的信息系統(tǒng)及安全設備�����。
針對應用系統(tǒng)面臨的安全威脅和發(fā)現的安全漏洞�����,運用系統(tǒng)工具和方法�����,對應用系統(tǒng)和操作系統(tǒng)加強管理����,切實執(zhí)行系統(tǒng)漏洞和威脅加固等工作,將整個應用系統(tǒng)的安全狀況提升到一個較高的水平�����。在嚴格遵守安全策略的基線對網絡與信息系統(tǒng)進行加固的同時�����,通過全局安全管理對安全架構進行性能優(yōu)化。
根據網絡與信息系統(tǒng)安全方面存在的不足和缺陷���,根據不同設備的不同安全需求制定有針對性的加固服務,并在實施安全加固之后���,提供加固服務手冊和操作記錄�,以便后續(xù)業(yè)務系統(tǒng)安全策略的調整。
(4)網絡安全保障及應急響應服務
對蘇州市指揮中心建設及運營的網絡及業(yè)務系統(tǒng)中出現的安全事件����,服務團隊在第一時間趕到事件現場�����,按應急處置流程使網絡信息系統(tǒng)在最短時間內恢復正常工作�,查找入侵來源���,給出入侵事故過程報告,同時給出解決方案與預防措施���。
為了使安全事件的發(fā)生降到最低����,在事前對網絡安全設備進行巡檢�,及時發(fā)現安全隱患���。通過對安全日志的檢查及關聯(lián)分析����,使安全事件在萌芽狀態(tài)得到解決。
應急響應服務要滿足蘇州市指揮中心發(fā)生突發(fā)網絡安全事件��、需要緊急解決專業(yè)網絡安全技術問題的情況下提供的一項專業(yè)性服務�。當網絡系統(tǒng)發(fā)生黑客入侵�����、數據泄露或其它影響數據安全的突發(fā)事件時����,專業(yè)安全技術專家會在第一時間趕到事件現場,使網絡信息系統(tǒng)在最短時間內恢復正常工作����,幫助企業(yè)查找入侵來源�����,給出入侵事故過程報告�����,同時給出解決方案與防范報告,為蘇州市指揮中心挽回或減少經濟損失���。提供入侵調查,拒絕服務攻擊響應��,主機��、網絡、業(yè)務異常緊急響應和處理���。
當發(fā)生重大或特別重大網絡安全事件時�,配合上級單位對網絡安全事件的應急處置���,做好監(jiān)測和匯報工作。
在網絡安全突發(fā)事件應急響應處理過程中�,應嚴格按照保密性原則�、規(guī)范性原則和最小影響原則要求服務對安全事件進行處置,并遵循必要的保密協(xié)議����。
應急響應并非是一個固定不變的教條�,需要應急響應服務人員在實際中靈活變通�����,可適當簡化�����,但任何變通都必須紀錄有關的原因�����。詳細的記錄對于找出事件的真相、查出威脅的來源與安全弱點����、找到問題正確的解決方法,甚至判定事故的責任�����,避免同類事件的發(fā)生都有著極其重要的作用�����。
(5)重要時期保障服務
服務范圍為:蘇州市交通運輸應急指揮中心3樓機房中的信息系統(tǒng)���、托管在信息中心機房中的信息系統(tǒng)
重要時期安全保障是指在重大會議����、節(jié)假日等特殊時期內,派出安全攻防經驗豐富的安全專家進行值守��,對目標系統(tǒng)進行現場安全值守和保障��,對業(yè)務系統(tǒng)的安全狀況進行實時監(jiān)控和日志分析�����。
在現場安全保障期間����,當目標遭受黑客入侵攻擊時,值守人員立即對入侵事件進行分析���、檢測�����、抑制����、處理,查找入侵來源并恢復系統(tǒng)正常運行���,完成后給出應急響應報告�,報告中將還原入侵過程,同時給出對應的解決建議��。
(四)產出物說明
第一標段:網絡安全檢查服務
|
序號
|
工作內容
|
服務頻率
|
工作產出
|
產出物數量
|
|
1
|
網絡安全檢查和監(jiān)測服務
|
每季度安全檢查
|
《蘇州市交通運輸應急指揮中心網絡安全建設檢查報告》(包括安全設備和設備日志的檢查����、對安全設備日志進行分析、漏洞掃描�,以及對檢查出的問題的復測)
|
4份
|
|
每月1次安全監(jiān)測報告
|
《蘇州市交通運輸應急指揮中心互聯(lián)網業(yè)務系統(tǒng)安全監(jiān)測報告》
|
12份
|
|
2
|
網絡安全風險評估服務
|
每年一次
|
《蘇州市交通運輸應急指揮中心網絡安全風險評估報告》
《蘇州市交通運輸應急指揮中心網絡安全整改建議》
|
各1份共計2份
|
|
3
|
網絡安全滲透測試服務
|
每季度一次
|
《蘇州市交通運輸應急指揮中心滲透測試報告》
《蘇州市交通運輸應急指揮中心業(yè)務上線前安全測試報告》
|
各4份
|
|
4
|
安全咨詢及安全培訓服務
|
每年一次
|
《蘇州市交通運輸應急指揮中心網絡安全培訓材料》
《蘇州市交通運輸應急指揮中心網絡安全宣傳手冊》
|
各1份共計2份
|
第二標段:網絡安全應急保障服務
|
序號
|
工作內容
|
服務頻率
|
工作產出
|
產出物數量
|
|
1
|
網絡安全體系建設服務
|
每年一次
|
《蘇州市交通運輸應急指揮中心網絡信息安全方針與策略》
《蘇州市交通運輸應急指揮中心網絡安全管理制度匯編》
《蘇州市交通運輸應急指揮中心機房設備資產登記表》
《蘇州市交通運輸應急指揮中心信息系統(tǒng)登記表》
《蘇州市交通運輸應急指揮中心網絡拓撲圖》
《蘇州市交通運輸應急指揮中心網絡安全基線手冊》
|
各1份共計6份
|
|
2
|
網絡安全應急預案及演練服務
|
每年一次
|
《蘇州市交通運輸應急指揮中心網絡安全總體應急預案》
《蘇州市交通運輸應急指揮中心網絡安全專項應急預案》
《蘇州市交通運輸應急指揮中心應急演練計劃及實施》
《蘇州市交通運輸應急指揮中心應急演練方案》
《蘇州市交通運輸應急指揮中心應急演練總結報告》
|
各1份共計5份
|
|
3
|
網絡安全策略加固及配置優(yōu)化服務
|
每年兩次
|
《蘇州市交通運輸應急指揮中心網絡安全加固報告》
《蘇州市交通運輸應急指揮中心網絡安全策略變更單》
|
各2份共計4份
|
|
4
|
網絡安全保障及應急響應服務
|
每月一次
|
《蘇州市交通運輸應急指揮中心網絡安全巡檢報告》
|
12份
|
|
每月一次
|
《蘇州市交通運輸應急指揮中心安全日志分析報告》
|
12份
|
|
每半年一次
|
《蘇州市交通運輸應急指揮中心網絡安全自查報告》
|
2份
|
|
按需
|
《蘇州市交通運輸應急指揮中心應急響應處置報告》
|
按需
|
|
5
|
重要時期保障服務
|
按需
|
《蘇州市交通運輸應急指揮中心重要時期安保方案》
《蘇州市交通運輸應急指揮中心重要時期值守報告》
|
按需
|
(五)服務人員要求
各標段人員要求:
為能保證在規(guī)定時間內完成項目建設���,供應商必須提供穩(wěn)定的專業(yè)化的技術支持服務隊伍�����,完善的技術支持服務體系��。
具體人員要求如下:
項目經理(1人):具備相關行業(yè)工作經驗���,負責日常管理、工作安排�,安全托管文檔材料審核和歸檔,向蘇州市交通運輸應急指揮中心(簡稱:蘇州市指揮中心)匯報工作��,各項資源調配����,投訴管理工作。
項目組人員(3人):具備相關信息安全經驗�,熟悉主流網絡和安全設備,負責項目安全的調研�����、規(guī)范編制及現場日常的安全巡檢��、安全測試�����、應急響應等工作���,專業(yè)能夠涵蓋網絡安全����、應用安全等專業(yè)���。如果應急事件發(fā)生,則人員響應要求在1小時內進行安全事件的響應和處理���,且工作時間將不僅限于正常工作時間,將根據事件處理要求進行響應����。
(六)服務期限和服務地點
1、服務期限:合同簽訂后一年�����。
2��、服務地點:采購人指定地點����。
(七)責任考核
對成交單位進行考核(百分制),考核周期為三個月一次�,考核標準如下表�。在服務期內��,如連續(xù)兩次考核不達標(得分低于60)或超過三次(不連續(xù))考核不達標���,采購單位有權終止合同���。
|
考核結構
|
評價描述
|
分值
|
|
工作內容及成果50分
|
任務完成效率20分
|
充分規(guī)劃��、在規(guī)定時間內提前完成任務1次及以上
|
16-20分
|
|
充分規(guī)劃����、在規(guī)定時間內如期完成任務
|
8~15分
|
|
未充分規(guī)劃、在規(guī)定時間內不能完成任務1次及以上
|
0~7分
|
|
任務完成質量20分
|
考核周期內未出現質量異常(投訴�����、失誤�����、返工)
|
16-20分
|
|
考核周期內出現1次質量異常(投訴�、失誤、返工)
|
8~15分
|
|
考核周期內出現1次以上重大質量異常(投訴�����、失誤���、返工)
|
0~7分
|
|
響應及時性10分
|
考核周期內主動響應客戶需求�����,積極處理問題
|
8-10分
|
|
考核周期內合理響應客戶需求
|
4~7分
|
|
考核周期內響應客戶需求被動����,消極處理問題
|
0~3分
|
|
人員安排及出勤20分
|
出勤記錄10分
|
考核周期內人員全勤
|
8-10分
|
|
考核周期內出現1次以上(含1次)3次以下(不含3次)遲到、早退
|
4~7分
|
|
考核周期內出現3次以上(含3次)遲到��、早退
|
0~3分
|
|
制度執(zhí)行10分
|
熟悉各項規(guī)章制度,嚴格遵守并督促他人遵守
|
8-10分
|
|
了解各項規(guī)章制度��,基本能夠遵守
|
4~7分
|
|
不熟悉各項規(guī)章制度�����,常有違反制度的行為
|
0~3分
|
|
服務滿意度30分
|
工作滿意度20分
|
考核周期內未出現質量異常(投訴���、失誤���、返工)
|
16~20分
|
|
考核周期內出現1次質量異常(投訴、失誤���、返工)
|
8~15分
|
|
考核周期內出現1次以上重大質量異常(投訴��、失誤�、返工)
|
0~7分
|
|
溝通匯報
10分
|
重視且樂于溝通�����,懂得換位思考����,促進相互理解
|
6~10分
|
|
不注重溝通,遇到沖突與矛盾以強硬或回避的態(tài)度來解決
|
0~5分
|
(八)項目安全
成交單位在項目服務期間應制定項目安全實施管理措施�,并嚴格遵守安全管理要求,成交單位在項目服務過程中因管理不當����、維護措施不當等因素或不按安全管理要求,造成人員安全或財產損失事故的����,其責任均由成交單位承擔���,采購單位不承擔責任。
(九)項目保密要求
1�、成交單位及其工作人員需遵守采購單位的保密規(guī)定,不以任何形式將收集的所有資料���、數據等進行泄漏���、傳播;
2�����、項目服務人員需簽署相關保密協(xié)議�����,承擔工作中接觸相關內容的保密義務�;
3、項目成果最終所有權屬采購單位���,在項目完成時成交單位必須全部移交;
4、成交單位須維護項目服務成果��,不得轉讓給第三方重復使用����;
5、以上保密規(guī)定如有違反��,采購單位有權追究成交單位相關法律責任�。
三、響應報價文件組成及其他說明:
(一)詢價響應文件的制作要求
1�、詢價響應文件組成 :
(1)企業(yè)營業(yè)執(zhí)照副本、稅務登記證副本復印件或三證合一營業(yè)執(zhí)照副本復印件
(2)響應單位法定代表人(或負責人)身份證復印件���、法定代表人(或負責人)授權委托書和委托代理人身份證復印件(如為授權)
(3)響應報價表
(4)服務偏離表
(5)詢價響應函
(6)項目實施方案
(7)響應單位資格承諾書及相關證明資料
注:以上資料若不能如實提供或提供不完整的視為無效投標���。
2、文件的簽署和密封要求:
(1)按上述要求制作詢價響應文件叁份(一正兩副)�����,并須裝訂成冊��;響應文件封面明確標明“正本”和“副本”����,正本和副本如有不一致之處�����,以正本為準�����;
(2)詢價響應文件均應采用打印或使用不能擦去的黑色或藍色墨水書寫���,由響應單位法定代表人(或負責人)或其授權代表在詢價文件要求處親自簽署或蓋章,并在詢價響應文件的每一頁上加蓋公章�����,未加蓋公章的頁視為無效頁���。
(3)詢價響應文件須裝袋密封��,封口處須加蓋單位公章���,密封袋及響應文件封面上應注明采購項目名稱、詢價采購編號�、詢價響應單位名稱�、地址��、聯(lián)系人�����、聯(lián)系電話等����。
3��、采購單位有權拒絕未按上述要求制作的詢價響應文件�。
(二)詢價響應文件錯誤的修正原則
1、響應文件的大寫金額與小寫金額不一致的�����,以大寫金額為準�����?們r金額與按單價匯總金額不一致的��,以單價金額計算結果為準�����;單價金額小數點有明細錯位的��,應以總價為準�����,并修改單價;
2、對不同文字文本投標文件的解釋發(fā)生異議的�,以中文文本為準。
3、供應商不同意以上修正的,其詢價響應文件將被拒絕。
(三)詢價響應文件的補充�����、修改和撤回
供應商在提交詢價響應文件截止時間前�����,可以對所提交的響應文件進行補充��、修改或者撤回��,并書面通知采購代理機構�����。補充����、修改的內容作為響應文件的組成部分。補充�����、修改的內容與響應文件不一致的���,以補充、修改的內容為準��。
(四)詢價響應文件的澄清���、說明和更正
詢價小組在對響應文件的有效性����、完整性和響應程度進行審查時�,可以要求供應商對響應文件中含義不明確、同類問題表述不一致或者有明顯文字和計算錯誤的內容等作出必要的澄清�、說明或者更正���。供應商的澄清、說明或者更正不得超出響應文件的范圍或者改變響應文件的實質性內容��。
詢價小組要求供應商澄清���、說明或者更正響應文件應當以書面形式作出����。供應商的澄清�、說明或者更正應當由法定代表人(或負責人)或其授權代表簽字或者加蓋公章。由授權代表簽字的��,應當附法定代表人(或負責人)授權書����。供應商為自然人的,應當由本人簽字并附身份證明�����。
為保證在評審小組要求供應商解釋或者澄清其響應文件時能夠及時得到回復��,在評審開始前,供應商法定代表人(或負責人)或授權代理人可到評審現場等候�����。供應商的澄清��、說明或者更正應在評審小組向其提出澄清����、說明或者更正要求后三十分鐘內提交給評審小組。在評審期間����、供應商應注意調整其行程安排�,如響應供應商未到場,則視為供應商放棄上述權利�����,相關后果自負����。
(五)遞交響應詢價文件及確定成交供應商日期和地點
1、本次詢價通知書的響應截止時間為2024年11月7日17:00前�����。響應單位應在截止時間前將詢價響應文件密封,并在文件封面注明投標編號����、所投標段號,并在文件封口處加蓋單位公章后送達蘇州市干將西路399號銀海大廈303室創(chuàng)杰公司 聯(lián)系人:潘莉莉�����、顧凡鍵�����,聯(lián)系電話:0512-65238816����,未按詢價采購文件要求制作的詢價響應文件或過時送達的詢價響應文件,一律為無效投標�����。
2���、2024年11月8日14:30在蘇州市干將西路399號銀海大廈302室創(chuàng)杰公司確定成交供應商�。成交供應商收到成交通知書后,應在十五日內簽訂合同�����。
四��、報價說明:
1�、響應單位需根據本詢價采購文件要求制作響應文件。本次報出的價格一次性報定不得更改����,響應單位報價包括完成全部服務所需的人工費、材料費���、通訊費��、交通費、資料費����、政策性文件規(guī)定及合同包含的所有風險、責任等各項應有費用�。不論響應單位是否列出相關費用明細,招標人均可以認為響應單位已在總價中包含了全部費用�����。
2、響應單位應對所要采購的全部內容進行報價����,只報其中部分內容的,為無效報價���。
五�、綜合說明及其他:
1�、響應單位所提供的服務能夠至少達到以上要求。
2���、響應單位必須承諾采購文件中提出的全部要求�,如果其中某些條款不響應時���,應在文件中逐條列出�����,未列出的視同響應����。
3、若響應單位在服務管理期間發(fā)生下列行為之一的���,采購人可解除服務合同�,并不再支付合同費用:
(1)將服務轉包他人��;
(2)無法有效開展服務的其它行為�。
4、服務履約期間采購方有權按照考核標準對該采購項目服務進行檢查考核�����。
5�����、成交單位對服務缺陷不予更正�,招標人有權另請其他單位更正,所發(fā)生的費用在合同價款中扣除����。
6��、響應單位應對所投項目的全部服務內容進行報價���,只投其中部分內容者�,其投標文件將被拒絕。響應單位對服務缺陷不予更正�����,采購方有權另請其他單位更正����,所發(fā)生的費用由成交單位承擔。
7��、參照相關法規(guī)的規(guī)定�����,招標采購單位將對供應商進行信用查詢��,凡經確認不符合相關法律法規(guī)規(guī)定的���,將拒絕其參與采購活動��。
8�����、成交服務費:成交單位按照標段預算金額計算并支付�����,具體為100萬元以內1.5%�����、100萬元~500萬元以內1.1%差額定率累進法的60%計算并支付成交服務費�����,不足叁仟元的按3000元計算�,該費用應在領取成交通知書時付清。
六�、付款步驟:
本項目各標段合同分三期進行付款:
1、合同簽訂后1月內����,乙方服務人員入場并提交項目實施方案。項目實施方案經雙方認可后���,乙方開具發(fā)票(發(fā)票金額為合同總金額的20%)�����,甲方支付合同總金額的20%���。
2、合同簽訂后6個月�����,甲方根據階段性考核結果支付服務款����,支付金額不超過合同總金額的50%:
3、服務期滿后����,甲方根據考核驗收結果,支付剩余款項:
(1)若考核完全達標(當期責任考核得分不少于90分)��,甲方支付給乙方結余服務費比例的100%��;
(2)若考核基本達標(當期責任考核得分不少于70分)�,甲方支付給乙方結余服務費比例的80%;
(3)若考核不達標(當期責任考核得分低于70分)����,結余服務費將不予支付���,并終止服務合同。
七����、評審辦法:
1、采購人授權詢價小組根據質量和服務均能滿足采購文件實質性響應要求且報價最低的原則確定成交供應商���。
2�����、若滿足上述原則的最低報價響應供應商超過一家時�����,則由采購單位以抽簽的方式決定成交供應商����。
八�����、項目的終止:
出現下列情形之一的,將終止詢價采購活動:
1�、因情況變化,不再符合規(guī)定的詢價采購方式適用情形的���;
2、出現影響采購公正的違法��、違規(guī)行為的��;
3��、在采購過程中符合競爭要求的供應商或者報價未超過采購預算的供應商不足3家的���。
九���、合同生效:
1、合同經招標代理機構蓋騎縫章�,甲乙雙方代表簽字或蓋章、加蓋公章(或合同章)后生效�����。
2���、合同簽訂生效后甲乙雙方即直接產生權利與義務的關系����,合同執(zhí)行過程中出現的問題應按照《中華人民共和國民法典》的規(guī)定辦理。在合同履行過程中��,雙方如有爭議�����,任何一方均可要求招標代理機構進行調解����,調解不成,則任何一方均可向需方所在地人民法院提起訴訟�。
3、合同在執(zhí)行過程中出現的未盡事宜����,雙方應在不違背本合同和甲方采購目的的原則下協(xié)商解決,協(xié)商結果以書面形式蓋章記錄在案�����,并提交招標代理機構一份備存�,作為本合同的附件,與本合同具有同等的法律效力。
4��、合同一式叁份����,甲乙雙方各執(zhí)一份,招標代理機構執(zhí)一份���。
十、其他
1�����、響應單位在詢價響應文件中必須對所有采購產品的技術���、服務做出應答����,如果有其中某些條款不響應時����,須在響應文件中明確列出,未列出的視同響應(且如成交后發(fā)現不符合采購要求的�,則視為虛假響應,按虛假響應處理)
2、響應單位在投標時提供的資料均應是真實的�,若有虛假,由其自行承擔一切后果����。
3、如響應單位對本通知書有疑義��,以書面形式向招標代理機構咨詢��,一切材料以招標代理機構的書面材料為準�����。
十一�、聯(lián)系方式:
招標代理機構:蘇州市創(chuàng)杰招投標咨詢服務有限公司
地 址:蘇州市干將西路399號銀海大廈303室 郵編:215002
聯(lián)系人:潘莉莉、顧凡鍵 聯(lián)系電話:0512-65238816
采購單位聯(lián)系人:張文彬 聯(lián)系電話:18913170991
蘇州市創(chuàng)杰招投標咨詢服務有限公司
2024年11月1日
附件1:詢價響應報價表
詢價響應報價表
采購編號: 項目名稱:
標段號: 標段名稱:
|
序號
|
名稱
|
報價(元)
|
備注
|
|
1
|
|
|
|
|
2
|
|
|
|
|
3
|
|
|
|
|
總報價(人民幣大寫):
|
|
服務期限:
|
報價單位(公章): 聯(lián)系人: 聯(lián)系電話:
法定代表人(或負責人)或委托代理人:(簽字或簽章)
日期: 年 月 日
附件2:詢價響應函
詢價響應函
蘇州市創(chuàng)杰招投標咨詢服務有限公司:
我方收到貴公司 號詢價采購通知���,經仔細閱讀和研究���,我方決定參加第 標段,并向貴公司承諾:
1���、我方愿意按照詢價采購通知的一切要求�,提供本項目的所有內容,我方的報價包含服務期限內完成該項目服務工作所需的所有費用����。
2、如果我方的詢價響應文件被接受�,我方將嚴格履行詢價采購通知中規(guī)定的每一項要求,嚴格履行合同的責任和義務��,保證按期�����、按質履行合同���,完成合同內容所規(guī)定的全部工作。
3�、我方愿意提供采購方在詢價采購通知中要求的所有資料,也同意向貴方提供貴方可能另外要求的與我方響應有關的任何證據或資料���。并保證所提供的資料全部是真實的���、有效的,若有虛假���,我方愿承擔一切責任�。
4、我們同意按詢價響應文件中的規(guī)定����,本投標書的有效期限為開標后 45天。
5����、我方愿意遵守詢價采購通知中所列的收費標準。
6��、我方承諾該項報價在遞交后保持有效�,不作任何更改和變動。我方同意成交后若不履行詢價采購通知的內容要求和各項承諾及義務的即被視為違約��,我方的成交標資格將被取消��。
7���、我方同意若無法按約定條款履行義務等行為�,采購方有權取消我方成交資格���。
8���、與本次投標有關的通訊地址:
單 位: 聯(lián) 系 人:
地 址: 郵政編碼:
聯(lián)系電話: 傳 真:
響應單位:(公章)
法定代表人(或負責人)或委托代理人:(簽字或簽章)
日期: 年 月 日
代理人在授權委托書有效期內簽署的所有文件不因授權委托的撤銷而失效,除非有撤銷授權委托的書面通知��,本授權委托書自詢價響應文件遞交開始至合同履行完畢止��。
2����、未在上表中說明的��,如在響應文件其他內容中已有文字說明的�����,則以已有文字說明為準����,否則,將被認為完全響應采購文件的規(guī)定�。但該表不作為響應單位對所投標的物(服務)關于技術要求等詳細描述和說明的替代。
