****2024年信息设备及服务采购项目补遗书

致各投标人：

一、原招标文件第三章 主要采购内容及要求 三标段：网络安全监测及应急保障现场服务 第二条 服务内容现修改为：

（一）服务范围

泸****公司）为保障网络安全防护、系统持续稳定运行，及时发现处置网络安全风险，完善网络安全管理体系，构建“纵深防御”一体化网络安全保障体系，通过采购第三方专业网络安全监测及应急保障现场服务，提升网络安全监测防护水**应急保障能力，保障全市网络稳**全运行。服务范围包括：

1、**市局在岗职工800多人，办公终端（含国产化终端） 600余台，涵盖四县三区（**区、**区、**区、**县、**、**县、**县）、物流中心、****机关。

2、**市局网络机房部署服务器20余台，网络安全设备10余台，省级网络安全系统3个。核心业务应用系统10余个，自建等保二级系统2个。

3、涵盖全市8个机关办公大楼、1****中心以及**县、**县30个收购线，37个县区卷烟、专卖网点的所有行业内网。

（二）服务要求

1、本地网络安全设备安全策略管理及优化服务

（1）持续对本地各边界隔离防火墙设备进行安全策略优化。

（2）通过工****公司服务器区域边界、物流工控区边界、第三方外联边界现有的网络设备、安全设备、主机层面的访问控制策略进行审核评估。

2、本地网络安全设备资产及拓扑信息实时更新服务

明确IP地址对应的业务系统、主机运维、应用运维单位及责任人。****公司互联网及行业内网的网络分区、服务器分区及边界防护形状。

3、本地互联网资产发现服务

（1）互联网资产发现是通过搜索引擎及网络爬虫等多种技术相结合，通过对关键字、域名及IP的综合查询及关联分析，****公司梳理出互联网资产全景图的服务。

（2）通过工****公司网络中心互联网出口地址进行资产发现，以IP地址和端口为单位，明确每一个暴露在互联网的服务端口的用途及责任人。

4、本地网络安全设备运维保障服务

（1****公司网络安全软硬件设备的运行情况进行日常监测和巡检，确保各网络安全设备始终保持良好运行状态，发挥网络安全防护作用。

（2）包括安全软硬件设备物理故障、策略故障的处理；安全软硬件设备突发事件处理及响应；故障知识库的建立更新。****公司日常办公及业务系统的持续运行能力，并建立故障处理流程，规范故障处理工作。

（3****公司的安全软硬件设备的补丁库、特征库、病毒库、版本进行手动升级，确保安全设备、系统的有效性。并建立系统升级流程，规范系统升级工作。

（4）为了保证安全产品出现故障时能够及时恢复，需要定期对安全设备的配置和策略进行备份，备份内容存放在专用的服务器，并对备份操作记录备案。

5、安全数据关联分析

通过人工方式打破网络安全设备信息壁垒，做到统筹分析、关联分析、过程分析、结果分析。将各厂家网络安全设备运行信息、报警信息、日志信息、策略信息等进行数据关联分析，排查误报错报信息，向市公司提交经过研判和关联分析的准确结果，及时发现处置真实网络安全风险。

6、本地自建系统渗透测试服务

针对本地自建业务系统，进行定期渗透测试，模拟黑****公司内、外网自建应用系统开展渗透测试，全面发现WEB中间件、应用中间件以及应用系统的安全漏洞，包括但不限于：SQL注入、命令注入、XSS、CSRF、文件上传、文件包含、越权访问、暴力破解、目录遍历、敏感信息泄露、以及针对Web中间件的远程命令执行等漏洞。

7、本地网络安全日志分析服务

对本地网络安全设备的日志，采用人工和自动化工具相结合的方式，对日志进行审计分析，记录保存日志审计结果。

8、应急演练服务

****公司开展每年一次网络安全应急演练，增强应急处置能力，不断完善和修正网络安全应急预案，确保各项网络安全应急预案能用、可用、好用。

（1）重要会议（两会****公司前期专项网络安全风险排查、系统加固、重保在线值守，重保工作总结及安全建议等。

（2）国家局、省局、市级组织的模拟攻防演练期间，提供现场风险排查和加固、漏洞整改、互联网应用安全加固等技术支持服务，在模拟攻防演练期间提供现场保障服务，持续对网络安全设备、系统、终端、服务器、业务系统等网络环境进行实时监控和分析，及时发现异常流量和异常行为进行研判和处置。模拟攻防演练结束后的总结和整改建议。

9、区县公司现场网络安全巡检服务

****公司进行现场网络安全巡检，提交巡检报告和整改建议。****公司网络安全各项管理规定落实情况，通过远程巡检和现场巡检，****公司网络安全管理不足和短板，为市公司提交整改建议和措施。

10、区县培训服务

****公司进行网络安全意识培训、网络安全技能培训。通过定期的网络安全意识培训及网络安全技术培训，提升全员网络安全意识，提高各部门、单位系统管理员网络安全技术水平，有能力及时处置突发网络安全事件。针对各区县进行定期网络安全意识、法律法规宣贯，将网络安全监控服务下沉基层。

11、****公司制定信息安全管理制度和规范

（1****公司完成烟草行业网络安全工作相关的考核内容的整改和完善工作，提出合理化建议及整改办法，****公司烟草公司各项考核成果符合度。

（2****公司对网络安全制度进行梳理和完善，制定行之有效的网安全管理细则。在涉及工控系统、应用系统开发过程中，从网络安全管理角度提出建议和安全基线，实现网络安全保障“同步规划、同步实施、同步保障”。

（3****公司将网络安全监督检查纳入日常安全管理工作，积极采用各种技术检查手段，深入开展安全检查。****公司建立全面梳理、全面诊断、全面加固长效机制，利用信息化手段实现全面梳理实时化、自动化、信息化，按照省局、市公司要求不断完善建立全面诊断流程和指标，制定全面加固相关规范和标准。

（4****公司落实网络安全责任机制，以及考核、督查检查、问责工作范围等线条工作，****公司落实强化等级保护、风险评估和应急保障能力具体要求，****公司不断完善信息通报预警机制，****公司推进重要数据和个人信息安全保护工作的开展和落实。

12、轻咨询服务

依据《等保条例》、《网络安全法》、《数据安全法》、《个人信息保护法》及烟草行业各项管理规范的要求，为市公司提出已建和**信息系统合规性整改建议和措施。监控网络安全各项合规性工作的执行情况，如等保测评及整改进度，辅助完成等保测评整改各项要求。

13、辅助市局网络安全专业技术认证培训及再教育

****公司完成网络安全专业相关认证培训工作。

14、****公司完成网络安全相关其他工作。

****中心安排的其他需要配合、协调等工作。

（三）服务保密要求

按照相关管理规定，对所服务业务应用系统，中标人要签署保密协议或在本项目合同中加入保密条款，明确中标人的安全保密职责，包括但不限于如下内容：

1.投标人服务人员必须按照国家有关保密法规和外来施工人员有关保密管理规定，保证甲方涉密信息系统处理、存储、传输国家秘密的安全。

2.投标人应对招标方提供的图纸资料、技术文件等涉密载体都必须进行有效控制，实行专人专柜管理。提供的各类涉密载体不得向第三方泄露。

3.各种形式的交流，双方均应注意保密。严禁在普通电话、手机、电传、传真、信函中涉及甲方涉密信息系统应用、运行等内容。

4.投标人应甄选政治可靠、思想进步、作风正派、技术合格的人员承担本项目的维护工作，并保持这些人员的相对稳定。

5.投标人应负责对本单位工作人员进行上岗前的保密培训，并定期进行保密教育和检查。

6.投标人应确保招标方的涉密文件、资料不因员工离岗、离职而外流造成国家秘密泄露。

7.投标人若违反保密本协议或条款造成严重影响的，招标方有权单方中止该合同，投标人若因违反保密法律规定，导致涉密事件，应立即组织查处，并及时向招标方通报所造成的损失；造成严重后果的，将依法追究投标人的法律责任。

（四）应急保障服务技术工具（软、硬件系统）要求

为保证服务的质量和效率，投标人应能提供辅助软、硬件工具，不限于：漏洞扫描系统、专业渗透测试工具、防火墙策略梳理工具、运维人员管理系统、专业的威胁情报信息等内容。以上工具和软件，需使用有安全保障的正规产品和系统，非国产化系统需经采购人审批后方可使用。采购人对投标人使用的各种软硬件系统版权等纠纷不承担任何相关连带责任。

（五）驻场应急保障服务要求

指派现场驻场保障人员一名，负责协调处理各类应急保障相关工作。负责驻场的技术人员需具备以下条件之：

1、需具备网络安全服务相关资质证书，CIPS、CCSRP、CCSC （有一种即可）

2、2年以上网络安全工作经验。

二、投标文件递交时间现修改为：2024年12月13日10时00分（**时间）至2024年12月13日10时30分（**时间）。

三、投标截止时间现修改为：2024年12月13日10时30分（**时间）。

四、开标时间现修改为：2024年12月13日10时30分（**时间）。

五、保证金交款截止时间现修改为：2024年 12 月 12 日12：00点前（投****银行到账时间为准）。

六、其余不变，招标文件与此补遗内容有冲突处作相应修改。

****

2024年11月26日