一、采购事由
为保障深圳市龙岗区卫生监督所日常办公系统安全稳定运作及保障系统的数据安全,开展****年度网络安全专项技术服务项目。
采购项目名称:深圳市龙岗区卫生监督所****年度网络安全专项技术服务项目
采购单位:深圳市龙岗区卫生监督所
二、技术服务要求
(一)项目背景
深入贯彻落实习近平总书记关于网络强国重要论述的精神,以及中央、省、市有关网络安全建设的工作指示精神和有关法律法规要求,及时有效监测、预警、处置网络空间安全风险隐患,进一步提升我单位网络安全防护意识和能力水平。
(二)服务周期:一年。
(三)项目服务内容
| 序号 |
服务名称 |
服务频率 |
服务内容 |
| * |
渗透测试服务 |
*次/年 |
*.对单位*个重要信息系统〔即:(*)职业健康监督综合管理系统(包括:职业健康综合管理平台小程序)、(*)职业健康监护数据分析与监管系统、(*)民营医疗机构系统(包括:群众就医系统、民营医疗机构【门诊、诊所及医务室】服务系统、卫生监管系统)、(*)龙岗卫生监督在线培训系统〕进行渗透测试,包括信息系统收集、网络层渗透测试、应用层渗透测试、系统权限提升等各种黑客常用方法及手段,服务内容包括院内现有对外业务系统和后续新增的重要业务系统; *.协助对渗透测试过程中发现的问题进行整改; *.出具《渗透测试报告》。 |
| * |
业务逻辑漏洞专项检测 |
*次/年 |
*.对单位*个重要信息系统进行业务逻辑漏洞专项检测,对系统业务逻辑、数据流转各个环节进行检测,旨在发现系统功能技术实现上存在的逻辑问题,服务内容包括单位现有对外业务系统和后续新增的重要业务系统; *.协助单位对业务逻辑漏洞专项检测过程中发现的问题进行整改; *.出具《业务逻辑漏洞专项检测报告》。 |
| * |
数据安全咨询、风险评估服务 |
*次/年 |
*.根据对单位的数据安全现状评估的结果,按照数据安全生命周期的规律,以开展数据共享开放业务的自身需求出发,规划设计适用于单位业务的数据安全保障体系,出具相应数据安全解决方案; *.根据单位信息系统的实际情况开展安全风险进行识别与分析,采用传统的风险评估方法,从资产、威胁、脆弱性的角度,进行风险值量化。通过安全管理体系评估安全策略、规章制度、程序、表单体系的完整性,及制度是否得到贯彻执行,是否及时更新,是否全面覆盖需进行信息安全风险评估的信息系统。从风险管理的角度,系统地分析信息系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生时可能造成的危害程度,并提出有针对性的防护对策和整改措施,将风险控制在可接受的水平,最大程度地保障信息安全。 |
| * |
信息安全风险评估 |
*次/年 |
对单位进行全面性的风险评估,制定资产分析、威胁分析、弱点分析、现有措施分析、风险分析,给出针对性的风险处理方案、评估报告、评估总结,减少单位核心业务系统安全风险。 |
| * |
安全制度建设 |
*次/年 |
按照等级保护及相关主管部门、上级单位信息安全相关要求修订单位信息安全相关制度和规范。 |
| * |
网络安全应急响应 |
全年 |
根据单位实际情况,提供网络信息安全应急响应服务,包括:应急预案、事件处置及问题修复、报告输出;提供 ****小时重大安全事件的应急响应工作,应急响应主要针对突发的网站安全故障、网络安全事件、应用系统安全事件、主机安全事件、黑客攻击事件等进行诊断、分析并协助解决。 |
| * |
安全意识培训 |
*次/年 |
*.对单位全员安全意识培训:从安全办公、个人信息安全、账户安全等方面普及安全常识,对常见的信息安全隐患进行分析、讲解,提高员工信息安全意识,告诉员工哪些网络行为不可为,如实施违法行为将承担法律责任,构成犯罪的须承担刑事责任,并开展《中华人民共和国网络安全法》《中华人民共和国密码法》《等级保护系列标准》《数据安全管理办法》等国家法律法规和标准培训; *.对网络安全管理相关部门进行安全管理工作方面培训。 |
| * |
漏洞扫描及加固服务 |
*次/年 |
*.对单位业务系统进行漏洞扫描; *.对单位业务系统相关服务器进行漏洞扫描; *.对单位业务系统和服务器漏洞加固指导; *.对单位业务系统和服务器漏洞加固后验证测试; *.对单位业务系统开展数据安全漏洞测试。 |
| * |
资产梳理 |
*次/年 |
(一)信息资产梳理 *.统计所有在使用的计算机终端资产登记造册的完整性统计信息,包含:计算机主机名、计算机**地址、计算机***地址、计算机使用人或责任人、计算机使用人身份证号码、计算机所属部门、计算机的物理位置等*个属性; *.信息系统资产包含:信息系统名称、定级情况、责任人及联系方式、访问***(内网、公网)、系统架构(*/*或*/*)、系统相关主机**清单、操作系统版本、托管物理位置、中间件类型和版本、数据库类型及版本、开发语言、开发框架等**个属性。 (二)暴露面梳理 *、通过主域名、**网段、关键字、图标、备案号等方式主动发现单位所有互联网资产,资产包含子域名、**、开放端口服务应用、资产变动情况、****响应码、****请求头、****响应报文、端口******、*****证书信息、是否为登录入口、是否包含登录验证码等; *、根据单位提供的业务相关关键词或商标****,搜索互联网上存活**,识别出归属客户的互联网“影子资产”。 |
| ** |
建立(修订)应急预案并开展应急演练 |
*次/年 |
根据《深圳市网络与信息安全突发事件应急预案》并结合单位实际情况制定与完善具有可操作性的网络及信息安全突发事件应急预案,确保应急预案可以适应信息系统的最新情况和外部的最新安全威胁。编写应急演练方案,定期开展安全事件应急演练,强化突发安全事件时单位的应急操作水平,最终实现应急人员、应急预案和应急操作的协调,提升单位的应急保障能力。 |
| ** |
网络安全联合检查服务 |
全年按需 |
根据上级主管部门针对网络安全检查要求,提供安全迎检服务,以及现场检查迎检资料和技术支撑工作。 |
| ** |
专项安全排查 |
全年按需 |
根据业界最新安全舆情、主管部门下发的漏洞和安全威胁开展安全排查并提供安全修复建议等。 |
| ** |
驻点服务 |
*次/年 |
安排专业安全服务工程师进行驻场,专职提供技术服务,驻场工程师需具有一定的网络安全处理能力,能够实时监控网络情况,及时协助解决网络安全问题;具备日志分析能力能够更好地使用态势感知、防火墙、日志审计系统等安全设备,同时处理误报告警;同时沟通资源开展各项安全业务,协助办公室完成有关安全工作。 |
| ** |
云防护 |
全年按需 |
*、提供云端防护账号交付,以**** 的方式为用户提供网站安全防护服务(非硬件盒式***、非盒式抗****攻击产品、非集成***及抗*功能的防火墙类产品,非虚拟机化***); *、支持*****网站防护。支持细粒度的***防护配置,至少支持对**大类***安全漏洞类型对设置白名单,当设置生效后,针对某***的该类***攻击不再防护(提供产品功能界面截图); *、搜索引擎(百度、谷歌、必应、***、搜狗、神马搜索)及恶意爬虫防护,开启后即有默认防护配置(宽松/中等/严格),支持针对***做单独的爬虫防护配置。支持配置强制缓存功能,当触发爬虫攻击防护时,可对用户自定义配置的***按照选定的类型进行缓存,如延时、**、图片、*****验证。支持内置完备的敏感词信息库,可主动监测网站首页有无敏感词,支持***匹配内容(提供产品功能界面截图); *、支持***攻击统计报表,**攻击统计报表,**攻击*** ****报表等。***攻击日志至少包含攻击类型、攻击**、**归属地、攻击***及参数,攻击次数等参数。**攻击日志至少包含攻击类型、攻击**、**归属地、攻击***、攻击事件、攻击次数等参数(提供产品功能界面截图); *、支持对***攻击、**攻击、爬虫攻击、****攻击日志进行自定义攻击阈值告警。同时支持自定义统计周期、告警方式(邮件、短信)、告警接收人、告警接收组信息。支持将多个告警人添加为一个告警组,支持对同一告警组下所有告警人做相同告警配置(提供产品功能界面截图); *、支持超级管理员、普通管理员、审计管理员等管理员角色。支持安卓/***版手机***运维客户端,可支持手机接入防护、一键关站(一键处置)、一键回源、***防火墙开启/关闭、缓存开关设置、账号管理等功能(提供产品功能界面截图); *、提供四份以上原厂商公开发布的专门针对中国的***攻击事件研究报告。提供四份以上原厂商公开发布的专门针对网站安全相关安全研究报告(提供产品报告截图)。 |
三、商务要求
(一)项目预算**万元人民币,投标报价不得高于此预算金额。本项目服务费用采用包干制,包括服务成本、法定税费和合理利润等一切费用,投标单位应根据本单位的成本自行决定报价。
(二)项目服务期限:自合同签订之日起一年。本项目为长期经常性服务类项目,第一年为本次招标的中标服务期限,采购人可根据中标人的履约情况确定第一年服务期限结束后是否续期合同期限,但长期服务政府采购合同履行期限最长不超过三十六个月,续期合同的服务内容、服务期限、合同金额等实质性内容不变。
(三)付款方式:本项目款项分两次支付。合同签订后**日内支付合同总价款的**%,投标人服务满三个月后交付半年度服务报告后**日内支付合同总价款的**%。如遇不可抗力因素导致付款延误,付款时间由双方协商确定。
(四)验收要求:
*.验收人员:采购人指定的工作人员。
*.验收时间:投标人提交年度服务报告后*个工作日完成验收。
*.验收方式:服务期内不定期抽查、服务期满集中验收。
四、供应商资格要求
(一)具有独立法人资格或具有独立承担民事责任的能力的其他组织。
(二)参与本项目投标前三年内,在经营活动中没有重大违法记录。
(三)参与本项目政府采购活动时不存在被有关部门禁止参与政府采购活动且在有效期内的情况。
(四)具备《中华人民共和国政府采购法》第二十二条第一款的条件。
(五)未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。
(六)本项目不接受联合体投标,不允许转包或分包。
注:采购人将通过“信用中国”“中国政府采购网”“深圳信用网”以及“深圳市政府采购监管网”渠道查询投标单位主体信用记录。五、投标资料清单及其他要求
(一)提交资料清单:
*.投标单位《营业执照》复印件(加盖公章);
*.法定代表人(负责人)资格证明书(提供法定代表人或负责人身份证复印件,法定代表人签字或盖私章,加盖公章,格式详见附件*);
*.法定代表人授权委托书(委托书需列明委托事项、委托期限、被授权人姓名、身份证号码,提供被授权人身份证复印件,法定代表人签字或盖私章,加盖公章,格式详见附件*);
*.参加本次政府采购活动前*年内在经营活动中没有重大违法记录、未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(提供政府采购投标及履约承诺函、格式详见附件*);
*.政府采购违法行为风险知悉确认书(格式详见附件*);
*.报价单(法定代表人或授权代表签字或盖私章并加盖公章,格式详见附件*);
*.评分标准中要求提供的证明材料;
*.投标单位认为需要提供的其他材料复印件。
(二)材料接收形式:提交资料文件一式三份(正本一份副本二份,正本需逐页盖章,副本可为正本盖章复印件)分别注明“正本”或“副本”,装订成册密封并在封口处加盖投标单位公章,投标单位需在投标文件封面注明投标单位的名称、地址、联系人及手机号码。
(三)材料接受时间:请有意向合作的供应商于****年*月**日**:**前(开标时间:****年*月*日**:**,北京时间,法定节假日除外)。将材料快递或直接送达深圳市龙岗区卫生监督所办公室(深圳市龙岗区龙城街道和谐路**号***室,联系人:曾先生,联系电话:****-********),逾期未投标将不再受理。
(四)本次项目采购由深圳市龙岗区卫生监督所按照综合评分法原则(评分标准详见附件*),按照满足招标文件技术服务要求和商务要求,且按照评审因素的量化指标评审得分最高的投标人为中标候选人。
六、联系人及联系方式
联系人:曾先生
联系电话:****-********
联系地址:深圳市龙岗区龙城街道和谐路**号***室
附件:
*.法定代表人(负责人)资格证明书
*.法定代表人授权委托书
*.政府采购投标及履约承诺函
*.政府采购违法行为风险知悉确认书
*.报价单
*.评分标准
深圳市龙岗区卫生监督所
****年*月**日
