招标公告
山推****公司-信息安全服务项目 ****公司有关部门批准,现采用公开招标方式选择中标人,欢迎符合条件的投标人前来参加投标。有关事宜公告如下:
一、项目基本信息
1、 项目名称:信息安全服务项目
2、 招标编号: ****
3、 项目地址:山推国际事业园总部大楼
4、 到货周期:两周
5、 资金来源:自筹
6、 项目概况:信息安全服务项目一年、信息安全重保服务一年
项目说明,主要采购清单,技术规格等主要参数。
| 设备名称 | 采购数量 | 规格参数 | 维保类型 | 备注 |
| 安全服务 | 1年 | 一、信息安全服务要求 1、为山推提供信息安全服务,包括但不限于信息安全风险预警及处置、渗透测试、漏洞扫描、弱口令检查、APP合规检测、业务上线前安全隐患排查、互联网暴漏面检查、代码审计、攻防演练、应急响应服务、安全设备策略调优等服务;指定专人组**全服务团队,团队成员数量不少于三人,团队成员具备三年及以上类似本项目工作经验,以及必须参加过省级攻防演习。所有攻防测试不影响系统运行。所有安全技术人员、专家必须为原厂商技术人员,工作人员进场前,须向山推提供原厂人员的社保等证明材料,非原厂人员不得参与任何安全服务工作。 2、安全服务实施前必须对山推全域信息系统、网络进行梳理,确保无漏项,根据风险级别进行分类分级,部署安全防护策略,提出改进措施,形成首次安全服务分析报告。日常信息系统及网络渗透、漏扫等风险检测,必须涵盖所有已公布漏洞检测情况。 3、制**服考核办法,根据考核效果,按季度支付安全费用。 二、信息安全技术要求 1、信息安全风险预警及处置:与山推现有7X24小时信息安全监控服务、云WAF无缝对接,实时风险预警、分析、联动处理。信息安全相关信息联动及共享服务,通过微信服务号、微信群、邮箱等手段,实现安全信息高效共享,根据内外部安全态势,提供中高危安全风险预警及处置方案,协助消除安全隐患。 2、 渗透测试服务,一个季度不少于一次,同时需要根据山推要求额外随时进行渗透测试,每次渗透测试必须覆盖山推全域网络及信息系统,渗透测试整改完成后,需进行整改效果验证。渗透测试应使用专业工具,由参加过省级攻防演习的工程师模拟黑客,对山推全域信息系统及网络进行模拟攻击,最终形成渗透测试报告。 3、漏洞扫描服务:一个月不少于一次漏洞扫描服务,同时需要根据山推要求额外随时进行漏扫服务,每次漏扫必须覆盖山推全域网络及信息系统,对指定服务器进行漏洞扫描,形成漏扫报告及整改复测报告;每周进行一次弱口令扫描服务,根据山推要求对指定服务器、业务系统进行弱口令检测,形成弱口令检查报告。 4、业务上线前安全隐患排查服务:业务上线前对业务系统进行全端口漏洞扫描、形成漏扫结果,待整改完成后,进行复测,直至达到无漏洞为止。新业务系统上线前应进行代码审计,推荐人工和机器协同检测方式。 5、代码审计服务:一季度不少于三次,同时需要根据山推要求额外随时进行代码审计服务。针对山推提供的系统源代码,进行全量代码安全审计,从业务逻辑层面、应用实现架构层面进行全面的评估,并通过专业工具及人工分析相结合、分批对核心系统开展代码审计工作,对程序可能存在的后门、陷阱、SQL注入、跨站漏洞、输入输出注入等风险进行有效的封堵,从源头保证应用安全,形成代码审计报告。 6、 攻防演练服务,一年不少于一次,攻防演练时长不低于5天,攻防演习工程师不少于五名,包括两****省国资委攻防演习的工程师。负责攻防演习的方案制定及实施,风险整改、复测等工作。通过攻防演练深度挖掘高危隐匿漏洞和由于管理上疏漏所导致的漏洞,形成攻防演练报告。演练结束后山推安全团队针对发现漏洞进行整改,整改完成后安全服务团队需进行漏洞复测。 7、网络及安全设备调优服务,一季度不少于一次。调优设备包括但不限于交换机、路由器、防火墙、WAF、IPS、数据库审计、数据库防火墙、**盾、日志审计、态势感知、一体化运维设备等,调优内容包括资产梳理、访问控制梳理,设备冗余度检查、网络架构评测及问题处理。需要工程师熟练掌握山石、深信服、安恒、绿盟的等安全厂商的产品使用情况。 8、 应急响应服务,不限次数。山推信息系统发生突发事件时,五分钟响应,半小时内解决。如无法解决,提供临时处置方案,三小时内到达现场,根据山推要求提供现场服务支持。 9、 信息安全培训服务,由安全厂商提供信息安全技术培训,培训主要包括:网络基础设施安全培训、 操作系统安全培训、数据安全培训、漏洞、攻防技术培训等。应基于山推需要每年开展不少于两次信息安全意识培训,同时在应在“网络安全宣传周”等时期提供宣传支持,同时进行钓鱼邮件、信息安全考试(含题库)等工作。 10、攻防演练防守服务,在国家护网行动、国资委、省**厅攻防演练、****集团攻防演练期间,安全服务团队应基于山推需要,安排安服团队成员全程7X24小时进行防守。 11、APP合规检测:检查 APP对收集、存储、使用和共享用户个人信息的方式是否合法合规;评估 APP 对数据的存储、传输和处理是否遵循安全标准,防止数据泄露、篡改或被未经授权的访问;审查 APP 所请求的系统权限是否与其功能必要相关,是否存在过度获取权限的情况等。 ﹒ 11、互联网暴漏面检查:减少互联网连接通道、归拢外网访问出口、关闭容易被利用的、非必要的高危端口、整改不安全的已知的资产、修复漏洞、弱口令等问题、梳理访问控制不当的内部系统、梳理违规搭建、非法运行的系统、梳理过期未退运或临时发布的系统、梳理误操作导致泄漏的开发测试环境系统、完善安全策略、重点保护集权系统、发现异常网络访问行为。 | 服务 | |
| 重保服务 | 1年 | 攻防演练开展前须采取预防措施,包括互联网暴漏面扫描、漏洞排查、弱口令扫描、安全设备策略梳理等加固工作,同时给出攻防演练防守方案及详细重保服务保障措施,确定信息安全服务保障团队(安全服务人员不得少于三名,所有成员必须为原厂工程师,****国资委或同等级别的攻防演习,工作年限不少于三年)。 攻防演习期间,安全重保服务团队实时监控、处理、上报信息安全风险,具体技术要求如下: 1.安全攻击监控:7*24h实时监控山推全域(包括但不限于公有云、私有云、云WAF、态势感知以及内部网络系统等)信息安全态势。 2.风险研判处置:安全重保服务团队将威胁事件进行研判处置,可通过WAF、IPS、防火墙、云WAF封禁相关风险IP并记录。极端情况下经山推授权后,可采取关停网络等措施。 3.安全溯源分析:安全重保服务团队对风险事件进行追溯分析,定位及追踪攻击IP,取证并协同山推进行上报反馈。 4.安全防守汇报:安全重保服务团队每间隔一小时向防守群汇报相关安全动态,同时整理输出《安全重保服务日报》。攻防演练结束后,输出《攻防演练防守总结报告》,包括安全加固建议及整改结果复测。 5、防守成功的判断标准: 1)攻防演习对山推全域信息资产进行有效攻击,如果未受到任何攻击,则重保服务无效; 2)根据攻防演习正式报告(由山推出具攻防结果),山推全域网络及信息系统在演习期间不被攻破,未发现任何高中低危漏洞,山推不丢失任何分值。 | 软件 | |
| 说明: | ||||
二、投标资格要求
1. 投标人须遵守《中华人民**国招标投标法》、《中华人民**国民法典》及其它有关的法律和法规;为中华人民**国国内注册的独立法人机构,具有独立承担民事责任能力;
2. 投标人经营范围满足招标项目需求,投标人注册资本不得少于人民币500万元(供参考),满足技术、质量、资金等要求,财务状况良好、经营稳定,具有全面履约的能力;
3. 投标人需执业两年以上,近两年没有违反职业道德和违法执业行为;无不良信用记录,未被暂停或取消招投标资格;
4. 不接受被列入重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单的投标人参与投标;不接受因违法经营受到刑事处罚、被责令停产停业、被吊销许可证或执照、有较大数额罚款的投标人参与投标;不接受在“国家企业信用信息公示系统”、“中国执行信息公开网”、“信用中国”等信息平台中,存在行政处罚及失信记录等信息的投标人参与投标;
5. 投标方****集团黑名单;
6. 投标单位负责人为同一人或者存在控股、管理关系的不同单位,不得参加同一标段投标或者未划分标段的同一招标项目投标;
7. 不接受投标方的直接或间接股东、法定代表人、董事、监事、高管为招标人员工及其亲属等投标人参与投标;
8. 本项目不接受联合体投标,中标后不得分包或转包;
9. 制造商与其代理商不能同时参加投标,只能选择其中一种方式;
10. 无招标违规、谎报年度报告信息、提供虚假资质资料等行为或其他行政处罚记录;
1. 提供有效期内三证合一的营业执照,公司简介;
2. 法定代表人身份证明、身份证或法定代表人授权委托书、被授权人身份证(均要求在有效期内、复印件盖公章);
3. 提供开户行许可证、****银行征信证明),要求银行出具时间半年内均有效;企业近半年完税证明、企业纳税信用等级(可提供纳税网站首端口页截图);
4. ****事务所审计且出具无保留意见的近三年(2021-2023年)审计报告(优先提供)或财务报表(资产负债表、利润表必须清晰盖章版);
5. 相关合同:具备该类设备生产、安装成熟经验,提供近两年已完成承揽项目预览表及相关方案,提供近2年相同或类似项目合同复印件,不少于2份;
6. 特殊资质;行业许可等;
7. 制造商与其代理商不能同时参加投标,只能选择其中一种方式;代理商需要提供制造商营业执照(复印件盖公章)、公司简介、对招标项目的授权书等相关材料;
8. 投标单位在“信用中国”、“国家企业信用信息公示系统”、“中国执行信息公开网”无失信、违法等记录,提供近一周内下载的信用中国报告及“国家企业信用信息公示系统”、“中国执行信息公开网”的报告或截图要求清晰盖章版;提供在阳光采购服务平台(http://www.****.com)注册完成的界面截图;
9. 如某项资料确实不能提供,请书面说明原因并盖章。
1) 报名:报名材料按照以上顺序做材料目录,所****公司印章:
2) 报名材料发至报名邮箱: ****@shantui.com和****@shantui.com,邮件标题为:招标编号+项目名称-报名材料-公司简称;
3) 邮件内容编辑为:报名项目名称及招标招标编号、****公司名称、项目联系人及联系方式(项目招投标过程中,不得更换);
4) 要求报名材料为叁份PDF文档(不大于20M),分别命名为:
a. 公司名称-基本材料:此文件包括第三大条:第1、2、3、6、8条;
b. 公司名称-财务材料:此文件包括第三大条:第4条,内容为清晰盖章版;
c. 公司名称-项目相关材料:第5、7条,及其他相关材料。
5) 报名邮件首页明确注明报名项目名称及招标项招标编号、****公司名称、项目联系人及联系方式;
未按以上要求格式提交资料的,无法有效审核,报名无效,不再另行通知。
1. 报名时间:2024年8月6日—2024年8月12日17时00分,报名截止时间后送达的报名文件将被拒收;
2. 获取招标文件时间:公告结束后,资格审查通过后,招标方向审查通过的参标方统一发送招标文件。
3. 报名联系人:主管部门电话:0537-****075
项目联系人:166****0950
报名期限内,潜在投标人按要求提交报名材料,如需要补充材料,在规定时间内完成,逾期报名无效。报名时的资料查验不代表资格审查的最终通过或合格。
4. 疑问处理
提交疑问时间:2024年8月12日
提交疑问方式:将答疑问题以word文件格式发邮件至【主管部门人员邮箱】,并电话联系工作人员查收(【主管部门人员姓名+电话】),邮件名格式为:XXX****公司简称)XX项目答疑文件。同时须在邮件中以文字方式提供投标单位全称、投标授权人姓名、联系方式(固定电话、手机、电子邮箱)。
答疑、澄清和修改文件方式:招标人将以电子邮件的方式将招标文件的答疑澄清文件发送至答疑文件提交时登记的电子邮箱。
如需要统一澄清的,通过公共媒介统一澄清。
1.所有缴费不接受私人账户汇款及现款交存,只接受公对公转账,缴费详细信息详见招标文件;
2.招标文件售价:200元/份,售后不退,招标文件发售WORD版或PDF版;
3.投标保证金:5000元(大写伍仟元整),
本次招标公告、澄清文件、中标候选人公示、中标公告在**招标采购网(http://www.****.com)、(http://www.****.cn/)、阳光采购服务平台(http://www.****.com)发布,山推官方网站(http://www.****.com)只发布招标公告,请各潜在投标人及时关注相关信息;
投标单位须在阳光采购服务平台注册(http://www.****.com),否则中标后无法公示。
七、投标文件递交截止时间及开标地点
递交时间:资料审核通过后,统一发送招标文件,约定开标日期。
递交方式:开标现场递交,特殊情况下可邮递。
递交地点:**省**市327国道58号山推国际事业园办公大楼
1、 本项目由****承办,并对招标过程中可能出现的争议问题进行解释;
2、 报名截止后,我公司有权对投标方资质进行择优筛选,而不对未通过筛选的投标方进行任何解释;
3、 各投标人在交取招标文件费后,视为认同本招标项目和招标流程。
4、 投标人必须登记用于本项目招投标过程中的准确有效的联系电话、电子信箱和联系人,并不得随意更换。本项目招投标过程中相关的招标文件、澄清、修改、资料、通知等信息均由山推****公司通过此联系方式发送至投标人,所有信息一旦发布即视为以书面形式通知所有潜在投标人,逾期不予确认回复的均视为投标人已收到相关信息,若因登记的联系方式有误、通讯障碍、无人应答或未及时查阅等因素给投标人造成的一切损失均由投标人承担;
5、 投标保证金的收取及退还:根据公司管理办法收取相应保证金,但无论中标与否未中标单位投标保证金原则上需在招标结果公布后退回,中标单位保证金在合同签订后退还或自动转为项目履约保证金(如招标文件有要求)。发生以下情况时,招标人有权没收投标保证金:
a、 投标人递送投标文件后,无正当理由放弃投标的;
b、 自中标通知书发出之日起30 日内,中标人无正当理由不与招标人签订合同的;
c、 投标人在投标过程中被查实有串标、围标、陪标等违规违纪行为的;
d、 投标人有违约违规行为或被投诉、举报的,在调查处理期间,保证金暂不退还,待调查处理结束后按有关规定处理。
山推****公司
****
2024年8月5日
换一批