| **** | 项目名称:**** **财政信息安全服务项目 |
| **财政信息安全服务 | 分包类型:服务类 |
| 竞争性磋商 | 预算金额945000.00 |
| 总价采购项目 | 是否属于技术复杂,否 |
| 否 |
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
二、供应商资格条件
1.满足《****政府采购法》第二十二条规定,应提供以下材料:
1.1 提供在中华人民**国境内注册的法人或其他组织的营业执照 (或事业单位法人证书,或社会团体法人登记证书),如投标供应商为自然人的需提供自然人身份证明;
1.2 法人授权委托书、法人及被授权人身份证复印件(法定代表人直接投标可不提供,但须提供法定代表人身份证复印件);
1.3 提供具有良好商业信誉和健全的财务会计制度的承诺函;
1.4 提供履行合同所必需的设备和专业技术能力的证明材料;
1.5 具有依法缴纳税收和社会保障资金的良好记录的承诺函;
1.6 提供参加采购活动前三年内在经营活动中没有重大违法记录的书面声明;(提供《资格承诺函》)。
2.****政府采购网(www.****.cn****政府采购严重违法失信行为记录名单,在“信用中国”网站(www.****.cn)未被列入失信被执行人、重大税收违法案件当事人名单。
3.(是/否)专门面向中小微企业: 1是 0否
4.合格投标人的其他资格要求:
| 1 | / |
三、商务要求
采购标的交付(实施)的时间(期限)自合同签订之日起一年。
保险按国家相关规定执行。
涉及采购标的的知识产权归属和处理方式1.中标人保证,采购人在使用该项目服务的任何一部分时,免受第三方提出的侵犯其专利权、商标权或其他知识产权的起诉。如发生此类纠纷,由中标人承担一切责任;如因此给采购人造成损失的,中标人负责全额赔偿。 2.中标人为执行本合同而提供的技术资料或者其他相关资料、软件等由采购人永久免费使用。 3.项目服务过程中所产生的文档所有权归采购人所有。
国家标准、行业标准、地方标准等标准、规范符合现行国家标准。
涉及服务采购项目考核计量等要求服务方所提供的服务,****信息中心关于服务质量的相关要求。如果服务方所提供的服务经考核,无法达到相应指标,****中心有权从其服务总金额中扣除相应比例的费用。
采购标的交付地点(范围)****。
付款条件(进度和方式)项目信息安全服务期一年,在信息安全服务期内服务费分二次向乙方支付。签订政府采购合同后甲方向乙方付款50%,一年后验收合格付款50%。
售后服务1.配置专业的售后服务人员及服务热线; 2.制定详细的售后响应措施及售后服务内容; 3.制定设备故障问题解决方案及各类故障应急措施; 4.承诺售后服务响应时限及定期维护时间等内容。
交付标准和方法符合国家相关标准,符合招标文件规定和投标文件承诺。
四、技术要求
货物类 服务类 工程类
| 1 | C****0400-安全运维服务 | 安全运维服务 | **财政信息安全服务 | 1 | 945000.00 | 标的1-安全运维服务:1.技术要求 1.1服务需求依据 《中华人民**国网络和数据安全法》 《中华人民**国数据安全法》 《****小组关于加强网络和数据安全保障工作的意见》(中办发[2003]27号) 《计算机信息系统安全保护等级划分准则》(GB17859-1999) 《网络和数据安全技术网络和数据安全风险评估规范》(GB/T 20984-2007) 《信息系统安全等级保护基本要求》(GB/T 22239-2008) 《信息系统安全保护等级定级指南》(GB/T 22240-2008) 《信息系统安全等级保护实施指南》(GB/T 25058-2010 ) 《网络和数据安全技术 网络和数据安全服务分类与代码》(GB/T 30283-2022) 《信息安全技术-网络安全事件分类分级指南》GB/T 20986-2023 1.2服务内容 1.2.1资产管理服务 梳理所有IT信息资产,包括机房基础设施、桌面终端、网络及安全设备、服务器及存储设备、业务系统及其他**,生成资产管理报告。满足**财政内部自查、上级核查和行业普查的安全需求。 服务频次:每月梳理一次,并提供一份全网资产报表。 1.2.2网站安全监测服务 对**财政外网网站开展以下监测内容: (1)网页挂马检测 (2)网站可用性监测 (3)网页篡改监测 (4)网站域名解析监测 (5)网页敏感内容监测 (6)钓鱼网站监测 (7)远程网站漏洞扫描 (8)网站安全报告服务 服务频次:每周、每月提供1次汇总监测报告。 1.2.3安全设备巡检服务 对**财政web应用防火墙、入侵防御、入侵检测、防病毒、****中心等安全设备运行状况检查,升级维护工作。 服务频次:每天1次设备可用性常规巡检、每月1次全面安全巡检服务并提供巡检报告。 1.2.4渗透测试服务 服务内容:根据**财政业务需要,对**财政全网域业务(包含上线前系统)信息系统进行渗透测试(远程及现场)。 服务频次:全网业务系统每年2次,新业务系统上线按需,并提供渗透测试报告。 1.2.5脆弱性扫描检测服务 评估**财政全网域安全风险,对**财政全网域信息系统进行脆弱性扫描检测,检测对象包括服务器主机、网络设备、网站、应用系统等。对提供互联网开放业务应用等信息系统进行全面、多工具应用综合评估。不定期新业务系统上线前安全检查服务。 服务频次:每月提供1次扫描评估、基线核查服务,并提供漏洞扫描报告和基线核查报告。 1.2.6源代码审计服务 分别通过黑白盒的方式对代码存在的安全问题进行检查和验证,基本流程为准备阶段、实施阶段和复测阶段。 服务频次:根据实际情况对至少业务系统100万行代码开展源代码审计工作,并出具代码审计报告。 1.2.7网络和数据安全事件应急服务 根据**财政网络安全应急相关管理制度以及《信息安全技术-网络安全事件分类分级指南》等技术标准和规范对安全事件进行分级响应。提供急处置报告等。 服务频次:不限次。 1.2.8重要时期安全保障服务 重要时期安全自查、威胁分析、处置等支持保障工作。 服务频次:重保期间7x24小时,提供重保报告。 1.2.9配合开展相关网络和数据安全攻防演练防护 ****财政厅小护网,以及**部、财政部、****网信办、政府、**厅等部门攻防实战演练自查、整改、演练期间攻防相关工作。 服务频次:不限;每次护网期间提供不少于10天,至少3人的支撑团队支撑服务。 1.2.10安全运营服务 通过在财政专网部署安全运营平台,与相关网络安全设备和系统联动,实现数据安全事件、网络和数据安全等风险事件的发现、检测、处置全闭环,对全网网络设备、安全设备、操作系统、业务系统等的运维日志、业务日志、告警日志进行集中管理及监测分析,及时发现安全风险并处置。提供系统升级服务,包括安全设备的补丁安装及软件版本升级。服务工程师负责实施系统升级服务、****财政厅进行系统升级完成后的测试、提交安全设备运维报告。 服务频次:5×8小时,重要节假日及重大活动期间7x24小时。 1.2.11安全咨询服务 提供远程和现场的安全服务工程师、安全专家的网络和数据安全整体建设规划、安全技术、安全需求分析、安全产品采购建议等咨询服务,并提供咨询报告。 服务频次:按需,不限次数。 1.2.12制度建设服务 网络和数据安全管理体系建设、相关制度制定、修订、完善落实 服务频次:按需,不限次数。 1.2.13安全培训服务 ****财政厅年度干部教育培训计划以及网络和信息化工作实际需求,提供网络和数据安全技术、技能、管理、政策法规、实践标准的安全培训工作。 服务频次:2次。 1.2.14等保测评配合 按等保2.0标准配合测评机构进行前期调研、专项加固整改服务,后期测评报告不合规项的协助整改工作,直到测评合格为止。 服务频次:按需,不限次数。 1.2.15服务人员支持 提供不少于8人的专业安全团队提供7x24小时支持。 至少安排1名驻场服务人员提供驻场服务。 1.2.16设备授权续期服务 对web应用防火墙、脆弱性扫描工具、脆弱性扫描工具、入侵检测IDS、入侵防御IPS、CS9台(套)设备授权进行更新,保障授权到期设备正常运行。 服务频次:1次,更新1年授权 1.2.17漏洞整改闭环管理服务 通过漏洞管理平台进行统一关联、展示与追踪,多次交叉扫描网络中的核心服务器、重要的网络设备以及WEB业务系统,对漏洞进行持续的验证和跟踪,管理人员可以有效地追踪业务资产漏洞全生命周期,实现**财政核心服务资产漏洞全生命周期的可视、可控和可管,提供《漏洞管理台账》。 服务频次:每天开展,每月一次漏洞管理台账。 | 自合同签订之日起一年。 |
采购需求附件:
五、合同管理安排
合同类型: 货物类 服务类 工程类
服务类
服务内容**财政信息安全服务项目。
涉及采购标的的知识产权归属和处理方式1.中标人保证,采购人在使用该项目服务的任何一部分时,免受第三方提出的侵犯其专利权、商标权或其他知识产权的起诉。如发生此类纠纷,由中标人承担一切责任;如因此给采购人造成损失的,中标人负责全额赔偿。 2.中标人为执行本合同而提供的技术资料或者其他相关资料、软件等由采购人永久免费使用。 3.项目服务过程中所产生的文档所有权归采购人所有。
国家标准、行业标准、地方标准等标准、规范符合现行国家标准。
涉及服务采购项目考核计量等要求服务方所提供的服务,****信息中心关于服务质量的相关要求。如果服务方所提供的服务经考核,无法达到相应指标,****中心有权从其服务总金额中扣除相应比例的费用。
履约保证金无
甲方责任1.甲方确定项目负责人(或项目联系人),负责与本合同有关的事务。甲方有权对合同规定范围内乙方的履约行为进行检查,并及时确认乙方提交的事项。甲方应当配合乙方完成相关项目实施工作。 2.甲方有权要求乙方按时提交各阶段有关安排计划,并有权定期核对乙方提供服务进度、质量等内容。甲方有权督促乙方工作并要求乙方调整不符合要求的服务内容。 3.甲方有权要求乙方对缺陷部分予以修复,并按约定享有服务保障及其他合同约定的权利。 4.甲方应当根据合同约定按时向乙方支付应付的费用。 5.国家法律法规所规定由甲方承担的其他义务和责任。
乙方责任1.签署合同后,乙方确定项目负责人(或项目联系人),负责与本合同有关的事务。 2.乙方应按照合同要求履约,充分合理安排,确保提供的服务符合项目服务要求。****管理部门及政府有关部门的指导,配合甲方的履约检查,并负责项目实施过程中的所有协调工作。 3.乙方有权根据合同约定向甲方收取相关费用。 4.国家法律法规所规定由乙方承担的其他义务和责任。
违约责任1.双方均应遵守上述条款,未按上述条款执行的,将被视为违约。 2.乙方逾期提供服务或者造成服务中断的,每逾期或中断1天,乙方向甲方偿付合同总额的5‰的违约金。如乙方逾期或中断达10天及以上的,甲方有权单方解除本合同,向甲方支付合同总金额20%的违约金并赔偿因此给甲方造成的全部损失。 3.乙方及其工作人员因未能遵守甲方的有关管理制度、操作规程造成甲方损失的,乙方应赔偿因此给甲方造成的全部损失;情形严重的,甲方有权单方解除本合同,乙方应向甲方支付合同总价款20%的违约金,并赔偿因此给甲方造成的全部损失。
不可抗力1.不可抗力是指合同双方不能预见、不能避免且不能克服的客观情况。 2.任何一方对由于不可抗力造成的部分或全部不能履行合同不承担违约责任。但迟延履行后发生不可抗力的,不能免除责任。 3.遇有不可抗力的一方,应及时将事件的情况以书面形式通知另一方,并在事件发生后及时向另一方提交合同不能履行或部分不能履行或需要延期履行理由的报告及证明不可抗力发生及其持续时间的证据。
保密乙方在合同履行期间知悉甲方的工作秘密(包括相关业务信息),不得透露或以其他方式提供给合同双方以外的其他方(包括乙方内部与本合同无关的任何人员),乙方的保密责任不因本合同的终止而终止。 乙方违反本合同所规定的保密义务,应按照本合同总金额的10%支付违约金。
服务期限自合同签订之日起一年。
争议解决因本合同及合同有关事项发生的争议,由合同各方**协商解决。协商不成时,可以向第三方权威机构申请调解。合同一方或各方不愿调解或调解不成的,各方可以通过诉讼的方式解决争议。
合同生效及其他合同经甲乙双方法人或授权代表人签字盖章后即生效。甲方的招标文件、乙方的投标文件、承诺书为本合同不可分割部分。本合同一式捌份(买卖双方各持肆份),具有同等法律效力。
验收标准(附验收方案)1.履约验收主体: 采购人(****)。 2.履约验收时间: 采购合同约定的履约验收条件达到时,供应商应当组织内部自验,自验合格后及时向采购人书面提出履约验收申请,自验情况作为相关证明材料。 采购人应当自收到供应商提出的履约验收申请之日起5个工作日内审核是否达到采购合同约定的履约验收条件,达到履约验收条件的,启动履约验收程序,向供应商发出《政府采购履约验收通知单》,未达到履约验收条件的,书面告知供应商。 3.履约验收方式: 现场验收,****小组,组织召开验收评审会。 4.履约验收程序: ①供应商组织内部自验,自验合格后向采购人提出履约验收申请,自验情况作为相关证明材料。供应商自验完成后准备相关验收材料向采购单位提出验收申请。②采购人收到履约验收申请后启动履约验收程序,****政府采购履约验收通知单。③采****小组,组成三****小组。④采****政府采购履约验收意见报告,验收结束后,验收小组应当出具《政府采购履约验收意见报告》,列明验收情况及项目总体评价,****小组全体成员和供应商签字。验收小组成员对需要共同认定的事项存在争议的,应当按照少数服从多数的原则作出结论。对验收意见报告载明的****小组成员,应当在验收意见报告上签署不同意见并说明理由,否则视为同意验收意见报告。验收不合格的限期整改,至合格为止并出具《政府采购履约验收意见报告》。 (验收方案附件):
服务地点(范围)****。
付款条件(进度和方式)项目信息安全服务期一年,在信息安全服务期内服务费分二次向乙方支付。签订政府采购合同后甲方向乙方付款50%,一年后验收合格付款50%。
售后服务1.配置专业的售后服务人员及服务热线; 2.制定详细的售后响应措施及售后服务内容; 3.制定设备故障问题解决方案及各类故障应急措施; 4.承诺售后服务响应时限及定期维护时间等内容。
交付标准和方法符合国家标准,符合采购文件规定和投标文件承诺。
****财政厅年度干部教育培训计划以及网络和信息化工作实际需求,提供网络和数据安全技术、技能、管理、政策法规、实践标准的安全培训工作,服务期内每年2次。
保险按国家相关规定执行。
六、评审方法及评审细则
评标方法:
最低评标价法
综合评分法
评审细则类别: 服务类细则类别
| 1 | 投标报价 | 10.00 | 价格分采用低价优先法计算,即满足磋商文件要求且磋商价格最低的报价为评审基准价,其价格分为满分。其他供应商的价格分统一按照下列公式计算:报价得分=(评标基准价/磋商报价)100%×权重分值。(四舍五入后保留小数点后两位)对于高于项目采购预算金额的报价不予接受,视为无效响应。 |
| 2 | 服务方案 | 48.00 | 根据供应商提供的服务方案进行评审,包括: (1)资产管理服务。包括信息化资产梳理、资产管理报告生成、服务频次响应等内容。 (2)网站安全监测服务。包括网页挂马检测、网站可用性监测、网页篡改监测、网站域名解析监测、服务频次响应等内容。 (3)安全设备巡检服务。包括安全设备运行状况检查、升级维护、安全巡检、安全巡检报告、服务频次响应等内容。 (4)渗透测试服务。包括信息系统渗透测试(远程及现场)、渗透报告、服务频次响应等内容。 (5)脆弱性扫描检测服务。包括全网域安全风险评估、脆弱性扫描检测、安全检查措施、安全加固和优化、服务频次响应等内容。 (6)源代码审计服务。包括对代码存在的安全问题进行检查和验证、代码审计报告编写等内容。 (7)网络和数据安全事件应急服务。包括对安全事件分级响应、过程文档规整、服务频次响应等内容。 (8)重要时期安全保障服务。包括重要时期保障安全自查、重要时期保障威胁分析及支持、重保威胁防御、报告编写等内容。 (9)配合财政开展有关部门网络和数据安全攻防演练防护。包括协助支撑开展攻防演练防守工作、服务频次响应等内容。 (10)安全运营服务。包括通过相关统计报表协助采购人掌握安全情况、提交安全设备运维报告、服务频次响应等内容。 (11)安全咨询服务。包括提供咨询服务、编写咨询报告、服务频次响应等内容。 (12)制度建设服务。包括网络和数据安全管理体系建设、协助网络和数据安全管理体系落实等内容。 (13)安全培训服务。包括组织安全培训工作、服务频次响应等内容。 (14)等保测评配合。包括前期配合测评机构、后期督促整改、服务频次响应等内容。 (15)服务人员支持。包括驻场服务、任务分工安排、技术支撑等内容。 (16)漏洞整改闭环管理服务等内容。包括对漏洞的持续验证和跟踪、提供漏洞管理台账、服务频次响应等内容。 注:以上每项内容完整细致、重点突出、科学合理、整体思路清晰、贴合项目实际需求的得3分;内容不够全面具体或不贴合项目实际需求的得2分;内容脱离项目实际或无法具体实施的得1分;未提供的不得分。 |
| 3 | 类似业绩 | 5.00 | 响应供应商自2021年1月1日以来具有类似安全服务项目业绩,每有1个得1分,满分5分。 注:响应文件中提供类似服务项目业绩合同及中标(成交)通知书扫描件并加盖供应商公章,否则不得分。 |
| 4 | 项目团队 | 21.00 | 团队人数(3分) 包括项目经理,驻场人员,其它人员。人数8人及以上,得3分,6-7人得2分,6人以下得1分。 人员资质(18分) 项目经理:具有项目管理相关证书的得1分,具有信息安全相关证书的得1分,累计不超过2分。 驻场人员: (1)安排驻场人员2人及以上得1分,累计不超过1分。 (2)驻场人员具有信息安全相关证书的,每有1个证书得1分,累计不超过1分。 (3)至少一名具有3年以上类似项目驻场经历的得2分,3年以下的得1分,无驻场经历的不得分,累计不超过2分。 注:驻场人员驻场经历须有甲方单位出具的证明材料。 其他人员:具有信息安全保障人员认证证书(CISAW)、注册应急响应工程师证书(CISP-IRE)、注册渗透测试工程师证书(CISP-PTE)、注册网络安全专业防御人员证书(NSATP-D)、网络安全能力认证证书(CCSC)、等保测评师(不分级别)、**全知识认证(C-CCSK)、信息安全技术专家(Security+),每有1个证书得2分,累计不超过12分。 注:(1)以上人员除项目经理外单个人员具有多种证书的不重复计分。 (2)响应供应商需提供投入本项目团队人员的身份证、相关证书及在本单位的工作证明并加盖响应供应商公章,否则不得分。 |
| 5 | 企业实力 | 10.00 | 1.响应供应商具备信息安全服务资质认证证书(风险评估服务)的得2分,不具备不得分。 2.响应供应商具备信息安全服务资质认证证书(应急处理服务)的得2分,不具备不得分。 3.响应供应商具备信息安全服务资质认证证书(安全运维服务)的得2分,不具备不得分。 4.响应供应商具备信息安全服务资质认证证书(网络安全审计)的得2分,不具备不得分。 5.响应供应商具备国家信息安全漏洞库技术支撑单位等级证书的得2分,不具备不得分。 注:响应文件中提供证书扫描件并加盖响应供应商公章,否则不得分。 |
| 6 | 项目管理方案 | 6.00 | 响应供应商需提供项目管理方案,包括但不限于:(1)管理范围;(2)项目质量保障措施;(3)风险管理;(4)协调、沟通管理;(5)安全保密管理;(6)文档管理等内容。 注:以上每项内容与本项目采购需求相对应,且重点突出,设置合理,与项目实际情况结合紧密并有效保障项目实施的的得1分;内容不够全面具体或不贴合项目实际需求的得0.5分;未提供的不得分。 |
| 合计: | 100.00 | ||
任何供应商、单位或者个人对以上公示的项目采购需求有异议的,可以在招标公告发布之前在线发起异议,并填写异议内容及事实依据,该异议仅作为社会主体对采购需求内容的监督,采购人查询异议内容后,可根据实际情况自行决定是否采纳异议内容。供应商认为采购文件、采购过程、中标或者成交结果使自己的权益受到损害的,应按照《政府采购质疑和投诉办法》规定执行。
免责声明: 本页面****政府采购有关法律法规要求由采购人或采购代理机构发布的,**政府采购网对其内容概不负责,亦不承担任何法律责任。
换一批