序号

采购项目名称

采购概况

预计采购时间

备注

1

系统安全服务项目

一、项目目标

依据《中华人民**国网络安全法》《中华人民**国数据安全法》、国家推荐性标准GB/T 22080-2016 《信息技术 安全技术 信息安全管理体系 要求》和ISO/IEC 27001信息安全管理体系标准等要求，开展系统安全服务采购，****中心业务系统、档案系统、OA系统、预约排队系统等信息系统进行安全评估和监测，再根据分析结果有目的性解决相应系统安全问题，降低业务系统安全风险，有效保障业务系统安全运行。

二、采购需求及采购方式

（一）信息系统安全风险评估服务。通过采购信息系统安全风险评估服务，****中心信息系统开展系统安全风险识别和安全能力评估，识别信息系统安全隐患、威胁以及所形成的系统安全风险，重点是针对敏感数据进行风险评估和监测，协助中心发现潜在信息泄露行为，出具情况分析报告，提出整改和优化建议，并提供对应的系统安全风险分析服务，对中心职工开展培训使之具备一定的分析能力，最终形成一套长效系统安全监管机制。

1.服务目标。

（1）系统风险评估。分析中心现有信息系统安全风险情况，查找定位敏感数据涉及的应用和接口，做出风险监测方案并引导实施。

（2）全面感知风险。全面收集和分析来自各个数据源的信息，包括但不限于API流量、用户行为、系统日志等，以实时感知潜在的数据安全风险。

（3）智能预警分析。通过对收集到的数据进行智能分析和挖掘，识别出异常行为或潜在风险，并形成预警信息。

（4）提高响应效率。提供便捷的响应机制，帮助中心快速定位问题、分析问题原因，并采取相应的防护措施。

（5）优化安全管理。通过持续的监测和分析，为中心提供关于数据安全风险的全面视图，帮助中心了解数据安全的整体状况。

（6）实现合规性。帮助中心监测数据处理活动的合规性，并提供必要的合规性报告和审计证据。

2.安全风险监测。

对接口进行全面自动化脆弱性评估和攻击行为监测，并针对风险隐患特征进行合理分类分级，帮助找出存在弱点的数据接口，并给出弱点特征、弱点描述、异常攻击和对应的整改意见。

3.行为审计溯源分析。

通过服务系统采集并解析应用系统流量中提取用户访问行为的原始数据，以数据资产为出发点，围绕敏感流量来进行数据的流向、流转路径和流转事件的全面监测，为信息披露、应用行为审计和数据流分析的可追溯性奠定了坚实的基础。

4.安全运营报告。

服务期内生成导出安全运营报告（次月5日前出具前一个月报告），帮助中心快速收敛系统安全暴露面，及时发现和整改不合规的环节，以及安全风险的整改。

5.安全态势大屏展示。

提供安全态势大屏展示服务，以便管理人员及时掌握最新数据安全态势。

（二）安全风险检测预警服务。

配套服务通过网络流量全自动分析，实现API接口的资产管理、攻击防护、敏感数据管控和访问行为管控，从而协助解决数据安全面临的各种安全风险与挑战。

1.网络流量敏感数据识别。通过网络流量采集和双向流量解析，对流量解析内容进行敏感数据标识，根据敏感级别划分，动态制定敏感数据识别规则，通过规则分析自动识别未脱敏数据及识别个人敏感信息，包括数据内容（客户姓名、电话号码、身份证等信息），并在应用系统资产、数据接口资产查询到具体的敏感数据标识信息。

2.构建API画像。构建API画像，通过API画像快速预览各个业务的API情况，包括使用情况、异常情况、访问来源、非法API调用、API数据泄露和API接口滥用等。

3.动态响应防护。发现安全告警时，自动将告警信息通过Kafka/Syslog同步到第三方平台，与Soar人工智能、RPA等多项工具融合，可以通过智能安全编排、基础数据关联、工单联动过程中的多项应用，实现自动化响应和精细化运营。

（三）其他要求。

1.交付要求。中标商应于合同签订后10个日历日内完成全部服务成果的交付。双方应按照合同约定对服务进行验收。

2.履约保证金。成交合同金额的5%（中标商出具中小企业证明的按合同金额的2%支付履约保证金）；须在合同签订后10个工作日内提交至甲方指定账户。在项目免费维护期结束后，由成交供应商向采购人书面申请，采购人在收到合格材料后15个工作日内办理退付，涉及违约的违约金和损失赔偿从履约保证金中扣减，****银行转账方式退还（不计利息）。

3.付款方式及要求。

（1）第一阶段：在项目服务合同签订后采购人一次性支付给中标人合同金额的50%；

（2）第二阶段: 在项目验收合格后招标人一次性支付给中标人合同金额的50%；

（3）招标人支付合同款前，中标人必须提前5个工作日提供等额合法有效的发票给招标人。

4. 售后服务。

服务质保期1年（自验收合格之日起计算），质保期内提供免费的体系运行技术咨询，解答用户在体系运行过程中遇到的疑问和问题，在服务期内做到电话、传真、电子邮件、现场等多种方式的服务响应。

5.保密要求。

中标人保证在项目过程中有可能涉及的涉密数据、个人隐私数据的安全；最终用户对中标人提供的各种形式的相关资料有保密义务，不得提供给与本合同无关的第三方；中标人在实施本项目过程中，接触到用户的涉密信息，包括以各种形式存在的国家秘密、工作秘密和商业秘密信息，有保密义务，不得向第三方泄露；未经用户批准，中标人不得持有、保存用户的各种涉密载体。如由于中标人不慎泄露涉密数据或隐私数据，由此引发的刑事、民事责任由中标人自行承担。

（四）采购方式。

****小组组织采购，对来投标的商家报价进行对比，按照质量最好、服务最优的原则，选定1家符合条件的中标商。

2024年11月