中航安盟财产保险有限公司
信息安全风险评估
及安全体系规划咨询项目
招 标 文 件
中航安盟财产保险有限公司
二○一八年十月
Contents
第一章 招标须知... 6
一、招标项目名称... 6
二、投标人... 6
2.1、合格投标人... 6
2.2、投标人的风险... 6
三、投标人资格要求... 6
3.1、基本资格条件... 6
2.4、特定资格条件... 7
四、招标文件领取说明... 7
4.1、领取地址... 7
4.2、领取时间... 8
4.3、报名需所材料... 8
五、投标保证金说明... 9
5.1、保证金递交... 9
5.2、保证金退回... 9
5.3、投标保证金指定账号信息... 10
六、招标人联系方式... 10
七、费用承担... 11
八、招标文件说明... 11
九、投标... 11
9.1、投标文件组成... 12
9.2、投标文件的份数和签署... 12
9.3、投标报价... 12
9.4、修正错误... 13
9.5、投标文件的密封... 13
9.6、投标文件的递交... 14
十、开标... 14
十一、评标... 15
十二、定标... 15
十三、投标人对中标结果的质疑、投诉... 15
第二章 项目技术要求... 16
一、信息安全全面评估... 16
1.1、信息安全管理体系评估... 16
1.2、关键以及高风险的系统和应用全方位的渗透测试... 18
1.3、通过扫描工具漏洞扫描... 20
1.4、系统及其组件安全配置审阅... 21
1.5、物理安全审查... 23
1.6、信息安全行业标杆对标分析... 24
二、信息安全体系规划设计... 25
2.1、信息安全总体规划蓝图设计... 25
2.2、信息安全总体规划设计... 26
2.3、信息安全总体方案设计... 28
2.4、信息安全规划落地实施... 29
2.5、信息安全规划落地培训... 31
第三章 商务条款... 33
一、项目安排... 33
二、项目人员要求... 33
三、验收... 35
3.1、验收范围... 35
3.2、验收组织... 35
3.3、验收程序... 35
3.4、验收结果评定... 36
四、文档要求... 36
4.1、文档范围... 36
4.2、文档内容... 36
4.3、具体要求... 37
五、签订合同... 37
六、付款方式... 37
七、特别说明... 38
八、保密条款... 38
8.1、保密范围... 38
8.2、保密责任... 38
九、报价要求... 39
十、其它... 39
十一、漏洞评价标准... 39
11.1、严重漏洞... 39
11.2、高危漏洞... 40
11.3、中危漏洞... 41
11.4、低危漏洞... 41
11.5、无危害(忽略):... 42
11.6、业务重要程度判断标准:... 43
第四章 评标方法、标准和废标条款... 43
一、评标方法... 43
1.1、评标方法定义... 43
1.2、评标程序... 43
二、评标标准... 48
三、无效投标条款... 51
四、终止招投标... 52
第五章 投标文件格式... 53
一、封面... 53
二、投标声明函... 54
三、投标人基本情况介绍... 55
四、法定代表人身份证明及授权委托书... 55
五、开标一览表... 56
六、分项报价明细表... 57
七、技术偏离说明(仅描述偏离项)... 57
八、商务偏离说明(仅描述偏离项)... 57
九、投标人与本项目类似业绩证明文件... 57
十、资质能力、信誉文件证明列表清单... 58
十一、“三证合一”的营业执照副本复印件... 58
十二、投标保密承诺书... 58
十三、投标保证金凭证... 61
十四、项目联系人信息... 61
十五、项目实施方案... 61
十六、售后服务方案... 61
十七、其他... 61
为了切实提高信息系统安全保障水平,充分识别各类潜在安全风险,完善信息安全体系化建设,中航安盟财产保险有限公司拟对本公司信息安全风险评估及安全体系规划咨询进行公开招标,诚邀符合相关资格条件的投标人前来投标。现将招标有关事宜公告如下:
一、招标项目名称中航安盟财产保险有限公司信息安全风险评估及安全体系规划咨询项目
二、投标人合格投标人应完全符合招标文件第一章中规定的投标人资格条件,并对招标文件作出实质性响应。
投标人没有按照招标文件要求提供全部资料,或者投标人没有对招标文件在各方面作出实质性响应,可能导致投标被拒绝或评定为无效投标。
三、投标人资格要求(1)具有独立法人资格和履行合同能力;
(2)具有良好的商业信誉和健全的财务会计制度;
(3)具有履行合同所必须的设备和专业技术能力;
(4)有依法缴纳税收和社会保障资金的良好记录;
(5)近三年内在经营活动中没有重大违法记录;
(6)投标人应符合并遵守其所属地和中国的法律、行政法规及部门规章等相关规定,是具有独立承担民事责任的能力,具有相关行业认可的从事安全咨询或安全服务相关资质的独立法人或者行政事业单位。
(1)投标人具备由CNCA国家认证监督委员会认可的认证机构颁发的ISO27001信息安全管理体系证书。
(2)在信息安全咨询服务行业内具有良好的信誉和业绩,具备5年以上信息安全咨询服务的经验,可提供近2年至少5个国内商业银行信息安全风险评估(含渗透测试)或管理体系建设项目案例。
(3)具有独立完成所承担项目的能力,不得以任何形式转包。投标人承诺对本次招标内容保密。
(4)投标人是中国国家信息安全漏洞库支撑单位。
注:以上证明文件附相关证明文件复印件并逐页加盖公章。
四、招标文件领取说明成都市高新区交子大道33号中国华商金融中心1号楼36层。
自本招标公告发布之日起5日内,每天上午9:00-11:30;下午13:30-16:30(北京时间,节假日除外)。
有意参加该项目投标的单位应携带以下资料到招标人指定地点报名领取招标文件:
(1)“三证合一”的营业执照副本复印件(复印件须加盖单位公章);
(2)法人身份证明或法人授权委托书及被授权人的身份证(复印件加盖单位公章);
(3)经会计师事务所出具的2017度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件(加盖单位公章);
(4)近三个月的缴纳社会保障资金的入账票据凭证复印件(加盖单位公章);
(5)近三个月的依法缴纳税收的入账票据凭证复印件(加盖单位公章);
(6)参加本次采购活动前三年内,在经营活动中没有重大违法记录的声明(加盖单位公章)。
(7)特定资格条件要求所列文件。
五、投标保证金说明投标人须在报名确认并领取招标文件后3日内(包含报名日)缴纳投标保证金人民币1万元整,并将投标保证金缴纳到本招标书指定的账号。
投标人应按招标文件规定的金额和期限缴纳投标保证金,投标保证金作为投标文件的组成部分。提交投标保证金的投标人须已报名本项目。投标人与交款单位名称必须一致,投标人必须从企业基本账户银行一次性缴交足额投标保证金,不接受现金或分批次缴款。非投标人缴纳的投标保证金无效。
投标人交纳投标保证金后,请致电本招标书所描述联系人核对保证金是否有效并发送缴费凭证至联系人指定邮箱地址。
报名后未按要求缴纳投标保证金,报名无效。
未中标公司的投标保证金在开标后30个工作日内予以无息退还。
中标公司的投标保证金在中标方与招标方签订合同后60个工作日内予以无息退还。
投标保证金是为了保护招标采购单位免遭因投标人的行为蒙受损失而要求的,下列任何情况发生,投标保证金将被没收:
(1)投标书未按时交付指定地点或开标前擅自撤回投标书的;
(2)开标时未按要求出席开标会的;
(3)提供虚假文件骗取中标的;
(4)投标人以他人名义投标、相互串通投标或者以其他方式弄虚作假的。
(5)中标后不按招标文件要求签订合同或签订合同后未按合同条款履行相关责任的;
公司基本户信息如下:
账号:51001870836050914945
户名:中航安盟财产保险有限公司
开户行:中国建设银行成都新华支行
联行号:105651000604
注: 要求只能通过转账方式收取。
六、招标人联系方式招标人:中航安盟财产保险有限公司
地址:成都市高新区交子大道33号中国华商金融中心1号楼36层
联系人:王建国
联系电话:028 - 67670517
七、费用承担投标人应自行承担所有与准备和参加投标有关的全部费用,不论投标的结果如何,招标人或用户均无义务和责任承担这些费用。
八、招标文件说明招标文件是投标人编制投标文件的依据,是评标委员会评判依据和标准。招标文件也是招标人与中标投标人签订合同的基础。
招标人对招标文件所作的一切有效的书面通知、修改及补充,都是招标文件不可分割的部分。
投标人对招标文件如有异议,应在投标截止时间前三个日历日前以书面形式告知招标人。招标人对已发出的招标文件需要进行澄清或修改的,应以书面形式通知所有招标文件收受人。该澄清或者修改的内容为招标文件的组成部分。
投标人对招标文件有异议的,应在规定时间内提出,否则视同认可招标文件所有要求。逾期提出异议的,招标人不予受理。
九、投标本招标项目不接受联合投标。
投标人应当按照招标文件的要求编制投标文件,并对招标文件提出的要求和条件作出实质性响应。
投标文件投标人所作的一切有效补充、修改和承诺等文件组成,投标人应按照本章和第五章 “投标文件格式”规定的目录顺序组织编写和装订,否则有可能影响投标人的投标文件响应程度得分。
(1)投标文件一式四份,其中正本二份,副本二份。副本可为正本的复印件,必须与正本一致,如出现不一致情况以正本为准。
(2)投标文件正本中,所有需要盖章位置均需由投标人加盖公章,其中规定格式的文件应当按要求签名和加盖投标人公章。
(3)若投标人对投标文件的错处作必要修改,则应在修改处加盖投标人公章或由法人或法人授权代表签字确认。
(1)投标人应严格按照“投标文件格式”填写报价。
(2)投标人的报价为一次性报价,即在投标有效期内投标价格固定不变。
(3)本项目只接受一个投标报价,有选择的或有条件的报价将不予接受。
若投标文件出现计算或表达上的错误,修正错误的原则如下:
(1)开标一览表总价与投标报价明细表汇总数不一致的,以开标一览表为准;
(2)投标文件的大写金额和小写金额不一致的,以大写金额为准;
(3)总价金额与按单价汇总金额不一致的,以单价金额计算结果为准;
(4)单价金额小数点有明显错位的,应以总价为准,并修正单价;
(5)对不同文字文本投标文件的解释发生异议的,以中文文本为准。
评标委员会按上述修正错误的原则及方法调整或修正投标人投标报价,投标人同意并签字确认后,调整后的投标报价对投标人具有约束作用。如果投标人不接受修正后的报价,则其投标将作为无效投标处理。
(1)投标文件的密封与标记
投标文件的正本、副本均应用信封分别密封。信封上注明项目名称、投标人名称地址、“正本”、“副本”字样及“不准提前启封”字样。信封的封口须加盖投标人公章或授权代表签字,并标明联系方式信息。
如果未按上述规定进行密封和标记,则其投标将作为无效投标处理。
(2)投标文件应装订牢固不可拆卸(如:胶订),如因装订不牢固导致的任何损失由投标人承担。
投标截至日期为2018年10月25日18:00前,投标方式为现场投递,异地可邮寄。北京投递一正一副,成都投递一正一副。
(1)成都投递地址信息
成都市高新区交子大道33号中国华商金融中心1号楼36层;联系人:王建国;联系电话:028-67670517
(2)北京投递地址信息
北京市朝阳区望京东园四区2号楼中航资本大厦34层;联系人:刘志明;联系电话:010-85086270
注:逾期送达或不符合规定的投标文件恕不接受。
十、开标(1)开标地点分别为北京和成都,两地同时开标。开标时间另行通知。
(2)招标人可以视项目具体情况,延长投标截止时间和开标时间,但至少应当在招标文件要求提交投标文件的截止时间一日前,将变更时间书面通知所有招标文件收受人。
(3)开标时,检查投标文件的密封情况;经确认密封完好的投标文件当众拆封,宣读投标人投标文件正本“开标一览表”的投标人名称和投标报价,以及招标文件允许的备选投标方案和投标文件的其他主要内容并记录。
(4)开标过程应由评标委员会指定专人负责记录,并存档备查。
十一、评标见第四章 “评标方法、标准和废标条款”内容。
十二、定标(1)定标原则
评标委员会按照评标报告中推荐的中标候选人排名顺序确定中标人,如中标人因不可抗力或者自身原因不能履行合同的,招标人和评标委员会可以确定依次其后的候选人为中标人,以此类推。
(2)不承诺最低价格中标。
十三、投标人对中标结果的质疑、投诉(1)投标人对中标结果有异议的,以书面形式向招标人提出质疑。
(2)招标人在收到投标人书面质疑后七个工作日内,对质疑内容作出答复。
第二章 项目技术要求本此项目建设内容主要分为如下二个阶段:信息安全全面评估、信息安全体系规划设计,详细应用要求内容如下。
一、信息安全全面评估投标人应当依据ISO27001和国家信息安全等级保护制度、《商业银行信息科技风险管理指引》以及遵循其它相关标准规范,对中航安盟保险进行信息安全管控现状分析、风险评估,识别安全隐患,安全体系规划设计等,并提交相关报告。
风险报告至少应包括风险类别、风险名称、严重程度排名、潜在业务影响风险、潜在声誉影响风险、信息安全成熟度分析与国际国内相关企业的差距、整改优先级等具体工作要求如下:
关注点:
信息安全管理体系
内容简介:
通过访谈,了解受访者对信息安全的理解,并通过对相关管理体系的政策的审查,了解当前在信息安全管理体系中制度建设与人员信息安全管理方面的问题与风险。
具体步骤:
(1)根据第三方咨询公司的经验以及最佳实践标准进行访谈内容意见重点问题的提炼
(2)对管理层进行访谈
(3)对信息安全管理体系中重点岗位负责人进行访谈
(4)从三个方面即组织结构中的决策、管理、执行以及监督策略(岗位、人员、授权、沟通、检查)、人员安全中的意识、技能、职称、培训、考核标准(录用、离岗、考核、教育)以及标准制度中的方针政策、制度规范、流程表单(制定、发布、评审、修订)三个角度对现阶段实行的信息安全管理体系政策、制度进行审查。
(5)此项审查将根据一套全面的标准进行,包括相关法律法规如国家标准,最佳实践如ISO、ITIL,以及第三方咨询公司内部最佳实践。
交付物:
访谈报告及其分析结果
交付物内容:
(1)领导层以及关键岗位负责人对现阶段信息安全管理体系的期望以及关注重点
(2)信息安全管理体系发现问题以及对应风险
(3)信息安全管理体系问题以及风险分类
(4)结合中航安盟保险实际情况以及针对中航安盟保险的业务影响程度,确认信息安全管理体系问题严重程度
(5)信息安全管理体系整改方案
(6)访谈对象列表
(7)审查的信息管理体系相关政策、列表
关注点:
信息安全技术体系
内容简介:
从数据、网络、主机、应用、物理等五个维度,通过模拟黑客攻击(黑盒+白盒)的高强度渗透测试,发现信息安全技术体系中的风险点。
WEB业务系统需要测试数量大于15个(含接口)。
具体步骤:
(1)根据中航安盟保险的内部IT系统以及应用实施程度,并结合对中航安盟保险业务的潜在威胁和影响,确认渗透测试的范围和方式。
(2)网页应用渗透测试:
该项工作将从该网页出发,对该系统进行应用层面的扫描。扫描器将主要通过注入非法字符并提交给服务器等手段,以判断应用系统是否存在常见的网络应用漏洞。
在应用层面扫描的基础上,需要进一步针对应用系统的校验和流程,进行手动的测试。测试内容主要参考The Open Web Application Security Project (OWASP)中十项最严重的网络应用程序安全风险(如注入、跨站脚本、未验证的复位向和转发、跨站请求伪造等)进行测试,并发现在重要应用逻辑上漏洞。
(3)移动应用渗透测试:
此项工作应当首先关联移动客户端应用程序,并根据第三方咨询公司对于移动应用系统的了解,对移动客户客户端应用进行渗透测试。并且建立面向移动应用客户端的测试案例来针对性的寻找在关键流程以及账户管理上的潜在威胁。
在此基础上,应该进一步针对移动客户端应用程序的构造,对移动客户端本地密匙储存,日志文件,临时文件以及系统快照进行分析,并尝试从中获取敏感资料,可能包括用户个人信息,账户密码,以及信用卡资料等等。
(4)内部网络渗透测试:
此项渗透测试将通过灰盒的方式进行,模拟普通内部员工接入内部网络以及使用有限的权限,结合对中航安盟保险内部系统的部分认识,在通过使用一些黑客攻击手段,如针对重点服务器的配置缺陷攻破主机防御、针对共享文件夹权限的配置失误查看敏感信息、针对内部应用会话的保护缺失进行会话劫持、窃听攻击等方式。确认在内部网络中存在的风险,并确定对中航安盟保险的业务影响
(5)外部网络渗透测试:
此项渗透测试将通过黑盒的方式进行,模拟外部黑客进行网络攻击,寻找攻击突破点,建立外部网络连接内部网络的连接桥梁,并渗透到内部网络进行敏感资料窃取、客户信息盗取等的攻击。确认在外部网络中存在的风险,并确定对中航安盟保险的业务影响。
交付物:
渗透测试报告
交付物内容:
(1)渗透测试范围
(2)渗透测试过程和方法
(3)渗透测试发现的问题以及对应的风险
(4)渗透测试发现的问题以及风险分类
(5)结合中航安盟保险实际情况以及针对中航安盟保险的业务影响程度,确认渗透测试中发现的问题以及风险严重程度
(6)渗透测试发现问题的整改方案
关注点:
信息安全技术体系
内容简介:
通过漏洞扫描软件,确认现阶段在中航安盟保险内部IT基础设施重要系统、应用中存在的漏洞(如配置失误、过期补丁等)
具体步骤:
(1)根据中航安盟保险系统特点,制定漏洞扫描范围、扫描计划以及扫描软件配置
(2)通过内部、外部漏洞扫描的方式该项工作将针对中航安盟保险内部IT基础设施重要系统、应用展开,我们将从内部、外部网络直接利用网络安全扫描工具扫描相关的系统以及相关网络设备,包括但不限于(网页服务器、应用服务器、数据库服务器、防火墙、路由器以及交换机等)
交付物
漏洞扫描报告
交付物内容
(1)漏洞扫描范围
(2)漏洞扫描时间以及扫描工具数据库版本(更新时间)
(3)漏洞扫描发现的问题以及对应的风险
(4)信息安全管理体系问题以及风险分类
(5)结合中航安盟保险实际情况以及针对中航安盟保险的业务影响程度,确认漏洞扫描中发现的问题以及风险严重程度
(6)漏洞扫描发现问题以及风险点整改方案
关注点
信息安全技术体系
内容简介
根据对关键或有代表行的系统及其组件进行安全配置审阅,发现问题以及风险点
业务系统需要测试数量大于15个(含接口)。
具体步骤
(1)确认安全配置审阅范围:根据原则选取关键或有代表性的系统及其相关组件的安全配置审查范围(如,根据不同系统:Windows、Linux、AIX,根据不同设备:防火墙、路由器、交换机,根据不同业务需要:MSSQL、Oracle、DB2、Apache、Tomcat等)
(2)根据不同系统的特点,进行定制化的系统安全配置审阅,并主要关注如下方面:访问控制、权限配置、日志管理、审计能力、数据保护、通信保护等
交付物
系统配置问题
交付物内容
(1)系统安全配置审阅范围
(2)系统安全配置审阅发现的问题以及对应的风险
(3)系统安全配置审阅发现的问题以及风险分类
(4)结合中航安盟保险实际情况以及针对中航安盟保险的业务影响程度,确认安全配置审阅中发现的问题以及风险严重程度
(5)安全配置审阅发现问题以及风险点整改方案
关注点
信息安全技术体系
内容简介
通过对相关物理安全控制的审查,寻找相关问题以及风险
具体步骤
通过对相关物理安全控制的全面审查,找到相关的控制薄弱点。具体审查范围包括:
(1)数据中心:机房安全,灾难备份,基础设施安全,人员设备出入控制等
(2)办公区域:物理区域分割,人员出入控制,门禁管控等
交付物
物理安全漏洞
交付物内容
(1)物理安全审阅范围
(2)物理安全审阅发现的问题以及对应的风险
(3)物理安全审阅发现的问题以及风险分类
(4)结合中航安盟保险实际情况以及针对中航安盟保险的业务影响程度,确认物理安全审阅中发现的问题以及风险严重程度
(5)物理安全审阅发现问题以及风险点整改方案
关注点
信息安全运行体系
内容简介
对现阶段的信息安全运行体系进行全方位审查,对比同行业或者同地域的企业标杆,发现信息安全的弱点以及痛点
具体步骤
针对信息安全运行体系,对现有信息安全流程文档进行审阅,并通过对关键岗位负责人进行访谈了解不同流程落地情况以及效率,包括系统建设、系统运维以及应急响应等不同维度,对比同行业或者同地域的企业标杆,发现信息安全的弱点以及痛点。
交付物
《信息安全行业标杆对标分析报告》
《安全差距分析与风险评估表》
交付物内容
(1)现阶段中航安盟保险情况,中航安盟保险内部期望,同行业同地域企业的标杆现阶段中航安盟保险信息安全现状,以及中航安盟保险内部期望,并对比同行业同地域企业的标杆分析结果
(2)现阶段信息安全弱点、痛点
(3)信息安全运行体系整改措施
二、信息安全体系规划设计根据评估报告,并结合建议措施的细节进行成本效益分析,确定具体整改措施以及方案,设计中航安盟保险信息安全体系总体框架,并规划出未来1至3年的路线图与年度方案目标(如:易实施成效高的措施为短期目标年内实施,难实施成效高以及易实施成效低的措施为中期目标等)。明确信息安全建设提高的不同阶段目标,清晰相关措施的实施方案,为最终的实施阶段做好充分准备。
根据评估报告进行问题分析,制定中航安盟保险信息安全建设进行短期和长期规划,明确未来信息安全工作方向;根据中航安盟现有安全薄弱环节进行有针对性的信息安全建设方案设计,提高中航安盟保险安全水平。具体内容如下:
关注点
信息安全总体规划蓝图设计
内容简介
根据国家信息安全发展的整体战略、信息化的发展,确定中航安盟整体的信息安全战略,结合当前和未来的发展形势,以及前期发现的安全问题,设计适应中航安盟信息化发展,设计中航安盟信息安全蓝图。
具体步骤
- 根据前期调研和分析的相关结果,结合国内外信息安全体系设计的最佳实践以及实际情况,设计中航安盟信息安全体系总体框架图
- 所设计的中航安盟保险信息安全体系总体框架要科学先进、内容全面,框架稳固并有生命力,充分考虑新技术应用对信息安全发展的需求,能够切实满足中航安盟信息安全工作的长期需要。
交付物
(1)《中航安盟信息安全总体框架蓝图》
交付物内容
安全总体框架蓝图至少包含以下内容:
- 安全规划的依据和原则;
- 安全规划的目标和范围;
- 信息系统及信息安全现状;
- 信息安全体系总体框架;
关注点
信息安全总体规划设计
内容简介
根据国家信息安全发展的整体战略、信息化的发展,确定中航安盟整体的信息安全战略,结合当前和未来的发展形势,设计适应中航安盟信息化发展,形成结合新技术、应对新威胁的中航安盟信息安全体系
具体步骤
- 信息安全总体规划及其子规划应明确信息安全项目列表,以及各项目解决的主要安全问题和安全需求;
- 信息安全总体规划及其子规划应明确最终项目列表和实施优先级分析;
- 信息安全总体规划及其子规划应给出信息安全工作阶段划分和阶段目标;
- 信息安全总体规划应包括各个安全项目的总体实施计划蓝图;
- 信息安全总体规划及其子规划,以及对应的信息安全项目,应给出投资估算依据和说明;
- 信息安全总体规划及其子规划,以及对应的信息安全项目,应给出效益测算说明。
交付物
(1)《中航安盟信息安全总体规划》
交付物内容
安全规划至少包含以下内容:
- 安全技术体系建设规划;
- 安全管理体系建设规划;
- 安全运行和服务体系建设规划;
- 安全项目投资估算(项目分解预算);
- 安全项目的总体实施计划
关注点
信息安全总体方案设计
内容简介
在信息安全战略和信息安全体系的指导下,结合中航安盟信息系统的IT架构、网络架构、信息安全组织架构以及信息系统的实际情况,设计总体的安全方案,把信息安全保障体系的框架与信息化相融合,形成信息安全总体方案
具体步骤
1. 在信息安全体系框架的指导下,形成总体的设计方案,方案内容至少包括保护对象框架、安全控制目标和安全措施等信息安全技术和管理措施设计;
2. 总体设计方案应覆盖信息化的各个领域,包括但不限于物理、网络、主机、应用、虚拟化平台、存储、数据和终端等各个方面;
3.总体方案应涵盖规划蓝图中所涉及的各项专题的方案内容;
4. 总体设计方案应当充分考虑信息系统未来发展的模式和技术应用,提出适合未来发展的信息安全技术和管理建设设计;
5. 总体设计方案要结合中航安盟实际情况,形成基于现状,继承和发展的信息安全保障措施的设计方案。
交付物
(1)《中航安盟信息安全总体设计方案》
交付物内容
根据战略方向、总体框架和规划内容设计适合中航安盟信息安全总体方案,涵盖结合新技术和中航安盟实际需求的总体方案。总体方案应覆盖信息化的各个领域,包括但不限于物理、网络、主机、应用、虚拟化平台、存储、数据和终端,安全运维等各个方面。
关注点
信息安全规划重点项目落地实施
内容简介
在信息安全总体方案的指导下,选择急迫需要建设的信息安全方案进行落地实施。
具体步骤
- 根据总体方案中对安全项目建设的规划,选定急迫需要落地实施的安全项目,由安全规划实施方指导并协助中航安盟进行落地。
- 对中航安盟信息资产进行发现,全面发现中航安盟现有生产环境中的存活的各类信息资产、所开启的服务、端口等信息。
- 根据安全规划总体方案设计,建设安全运维管理体系,调研中航安盟安全运维现状,根据行业标准和最佳实践,编制安全运维管理类制度。
交付物
- 《互联网资产发现报告》
- 《内网资产发现报告》
- 《redhat linux安全配置基线》
- 《windows安全配置基线》
- 《AIX安全配置基线》
- 《mysql安全配置基线》
- 《oracle安全配置基线》
- 《weblogic安全配置基线》
- 《apache安全配置基线》
- 《docker安全配置基线》
- 《安全编码规范》
- 《安全运维规范》
- 《上线前安全检查程序》
- 《信息安全事件管理规范》
- 《应急响应规范》
- 《信息安全组织管理规定》
交付物内容
- 对互联网和内网资产进行发现梳理,资产发现报告包括中航安盟存活的各类信息资产的具体信息。
- 建立信息安全组织管理规定,包括对安全决策组织、安全管理组织和安全执行组织角色及职责的定义。
- 对安全运维涉及的上线前安全检查,安全基线配置与加固,信息安全事件管理和应急响应管理提出具体的管理要求。
内容简介
选择信息安全落地涉及的安全运营技能,开展安全培训。
具体步骤
- 对中航安盟人员开展为期1天的安全运维管理及技术培训;
- 对中航安盟人员开展为期1天的web安全攻防培训。
交付物
- 《安全运维管理及技术培训教程》
- 《web安全攻防培训教程》
交付物内容
- 介绍常见的WEB漏洞以及漏洞利用方法与实践。
- web安全概述
- Web攻击流程
- 网站安全扫描技术
- SQL注入漏洞及防范
- 跨站脚本漏洞及防范
- 上传漏洞及防范
- 登录安全隐患及防范
- 拒绝服务漏洞及防范
- Web安全综合实践
- 操作系统常见漏洞攻防
- 渗透测试基础常见渗透攻击的使用
- Web渗透经验总结
- 对安全运维管理的要求、所需要的技术,对各种操作系统及服务加固进行讲解培训。
- 讲解AIX、Linux、Windows等操作系统安全配置规范要求,通过实例讲解如何实现相关操作系统安全配置,及安全配置实施风险规避方法。
- MySQL数据库、Oracle数据库安全配置规范要求,通过实例讲解如何实现相关数据库系统安全配置,及安全配置实施风险规避方法。
- 对Apache、Tomcat Web服务等应用系统安全配置规范要求,通过实例讲解如何实现相关应用系统安全配置,及安全配置实施风险规避方法。
第三章 商务条款 一、项目安排
投标人将与招标人一起进行实施方案的细化确认,并经过商务谈判后才能签订合同。
本项目计划实施周期不超过6个月,项目中标商应与中航安盟保险项目相关人员进行沟通后,制定详细的项目进度计划,并严格按照项目计划开展工作。
二、项目人员要求投标人实施本项目的工作人员应具备如下资质(以下简称“项目人员”)。招标方有权对项目人员资质进行审核,中标人应提供项目人员的相关资质证书、项目合同案例等验证材料。(专业工作年限、社保证明、专业认证证书、参与过相关项目及其他)
1、所有项目成员要求参与过至少2个商业银行信息安全管理评估咨询服务项目实施和5年以上相关工作经历。
2、项目经理:项目经理至少具备8年及以上信息安全咨询从业经历,4个及以上ISO27001、等保咨询、信息安全评估相关项目经验,具有较强的项目组织、管理及沟通协调能力,直接对项目的实施负责。同时,通过对工期、成本、质量的控制(包括总体制定、执行、跟踪、调整相关计划,协调项目可用资源),确保按要求完成。项目经理必须具有CISSP/CISA/CISP/ISO27001 Foundation等资质(至少1个)。
3、核心咨询顾问:应具备5年及以上IT咨询从业经历,3个及以上ISO27001咨询相关项目经验,并具有CISSP/CISA/CISP/ISO27001 Foundation等资质(至少一个)。
4、项目成员所涉及的资质证书均需提供证书复印件。
5、中标方应保证提供成熟、完备的项目管理团队,确保在服务现场持续投入至少3人及以上的人员,无特殊原因且未经过招标方同意不得擅自削减人数。
6、招标方将全程对评估项目组人员进行考核,达不到招标方要求的将要求替换。如进行人员替换后仍无法达到招标方要求,招标方将有权终止合同并拒绝付款。
7、投标人必须列出项目组成员名单以及简历,如下表:
| 姓名 |
性别 |
职务/职称 |
在本项目中的分工 |
工作经历(参与过的系统工程项目和突然贡献) |
工作年限 |
相关认证 |
备注 |
说明:
(1)此表所列人员应为项目组主要成员,投标人应承诺未征得招标方同意的情况下不得更换上述成员。
(2)投标人在“备注”栏说明所列人员的工作技能特长。
(3)“在本项目中的分工”一栏中应说明项目中的角色和承担的职责。
(4)招标方将对所提供的人员进行考核,达不到中航安盟保险要求的将要求替换。
三、验收
验收的范围为项目各阶段内容实施完毕,终验前最终确认的所有需求。
(1)验收小组由招标人、中标人等有关人员组成,负责对项目建设进行验收。
(2)中标人拟定验收方案,编制验收手册,经验收小组确认后,由验收小组负责验收。验收方案包括验收目的、过程、结果及分析等方面内容。
(3)在验收过程中,出现严重缺陷或质量问题时,验收小组可以决定暂停所有测试,直至缺陷和问题得到纠正。
(1)对各项服务内容进行验收。
(2)在各项服务内容验收合格的前提下,对项目进行全面初验。项目初验合格后进入后续质量观测阶段。
(3)初验通过后3个月后,进行最终验收。
验收结果按下列级别评定,并经验收小组签字认可:
(1)优良:
服务和质量达到预期目的。
注:WEB应用系统严重或高危漏洞识别总数至少应大于(检测系统个数*4)
(2)合格:
部分服务和质量不能满足招标人的要求,但中标人(集成商)采取了改正措施,使测试结果达到预期目的。
注:WEB应用严重或高危漏洞识别总数至少应大于(检测系统个数*3)
(3)不合格:
服务和质量不能满足招标人的要求。
注:WEB应用严重或高危漏洞识别总数小于(检测系统个数*3)
四、文档要求包括中标人收集整理的项目中所形成的全部文字记载、录音和照片等,项目验收后由中标人向招标人提供。
招标书中要求相关文档;项目总体规划书;项目实施方案;项目交互物文档;项目重要会议纪要;项目验收报告;项目变更和补充的相关文件、协议、录音、照片等。
投标人提供的文档要保持完整性和准确性。投标人免费提供一式2套完整的加盖投标人公章文档,所有文档都采用简体中文。
五、签订合同(1)招标人指定的中标单位应当自中标通知书发出之日起十五日内,按照招标文件和中标人投标文件的约定,与中标人签订书面合同。所签订的合同不得对招标文件和中标人投标文件作实质性修改。
(2)招标文件、中标人的投标文件及澄清文件等,均为签订合同的依据。
(3)合同生效条款由供需双方约定,法律、行政法规规定应当办理批准、登记等手续后生效的合同,依照其规定。
六、付款方式(1)合同签订后,中标人进场实施,完成信息安全风险全面评估工作后,经招标人审核通过后10个工作日内,向中标人付合同款的40%;
(2)中标人完成信息安全体系规划与方案设计,经招标人组织审核通过后10个工作日内,向中标人付合同款的60%;
七、特别说明为保障此项目的顺利实施,确保中标单位及其项目实施人员符合本项目实施要求,在合同签订前,中航安盟保险将有权对项目实施人员渗透测试能力进行检测,检查通过,按流程签订合同,如检查未通过,将按顺序选取第二中标候选人进入中标流程。
检测方法:招标方从待检查的系统中随机抽出3个(仅提供访问入口),项目实施人员通过模拟黑客攻击渗透测试方式查找应用系统漏洞。
通过标准:
严重漏洞发现总数量大于等于3个。
高危漏洞发现总数量大于等于6个。
八、保密条款中标人在实施过程中接触到的招标人知识产权、经营信息等。
双方互为保密资料的提供方和接受方,负有保密义务,承担保密责任。除经过双方书面同意,任何一方不得将有关内容提供给合同以外的第三人。
九、报价要求(1)投标人应严格按照《投标文件格式》的“开标一览表”和“分项报价明细表”的格式认真填写。
(2)“分项报价明细表”里需详细写明各类服务名称及价格。
(3)报价单上应列明增值税专用发票的税率。
十、其它(1)投标人必须在投标文件中对以上条款和服务承诺明确列出,承诺内容必须达到本篇及招标文件其他条款的要求。
(2)其他未尽事宜由供需双方在合同中详细约定。
十一、漏洞评价标准(1) 直接获取核心系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取核心系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。
(2)直接导致核心业务拒绝服务的漏洞。包括通过该远程拒绝服务漏洞直接导致线上核心应用、系统、服务器无法继续提供服务的漏洞。
(3)核心业务的严重逻辑设计缺陷和流程缺陷。包括但不限于任意账号登录和密码修改、任意账号资金消费、特大量订单详细泄露、核心支付系统支付交易流程的漏洞。
(4)严重级别的敏感信息泄露。包括但不限于核心 DB 的 SQL 注入漏洞、包含公司、用户敏感数据的接口引发的信息泄露。
(1)直接获取一般系统权限(服务器端权限、客户端权限)的漏洞。包括但不限于:命令注入、远程命令执行、上传获取 WebShell、SQL 注入获取系统权限、缓冲区溢出(包括可利用的 ActiveX 缓冲区溢出)。
(2)核心系统越权访问操作。包括但不限于绕过认证直接访问管理后台可操作、核心业务非授权访问、 核心业务后台弱密码,增删查改任意用户敏感信息或状态等核心交互的越权行为。
(3)敏感信息泄漏漏洞。包括但不限于源代码压缩包泄漏、越权或者直接获取大量用户、员工信息。
(4)涉及 中航安盟保险账号系统的暴力破解漏洞。
(5)可远程获取客户端权限的漏洞。包括但不限于远程任意命令执行、可进内网获取数据的SSRF、远程缓冲区溢出及其它逻辑问题导致的客户端漏洞。核心系统重要页面的存储型 XSS(包括存储型DOM-XSS)以及可获取核心cookie等敏感信息且具有传播性的各种 XSS。
(1)普通信息泄露。包括但不限于未涉及敏感数据的 SQL 注入、影响数据量有限或者敏感程度有限的越权、源代码或系统日志等信息泄露。
(2)需受害者交互或其他前置条件才能获取用户身份信息的漏洞。包括但不限于包含用户、网站敏感数据的JSON Hijacking、重要业务操作(如支付类操作、发布信息或修改个人账号敏感信息类操作)的 CSRF、一般业务存储型 XSS。
(3)普通的逻辑缺陷和越权。包括但不限于一般业务系统的越权行为和设计缺陷。
(4)可攻击管理后台的XSS类攻击(需提供前台攻击位置,定位风险)。
(5)不涉及 中航安盟保险账号系统的暴力破解漏洞或涉及 中航安盟保险账户系统的可撞库接口
(1)轻微信息泄露,包括但不限于路径、SVN 信息泄露、PHPinfo、异常和含有少量敏感字段的调试信息,本地 SQL 注入、日志打印及配置等泄露情况。
(2)只在特定情况之下才能获取用户信息的漏洞,包括但不限于反射XSS(包括 DOM 型)、边缘业务的存储 XSS。
(3)利用场景有限的漏洞,包括但不限于短信、邮箱炸弹,URL跳转,非 中航安盟保险账户系统的可撞库接口等。
(4)利用有难度但存在安全隐患的漏洞,包括但不限于可引起传播的 Self-XSS,登录接口缺陷,敏感操作但利用条件苛刻的 CSRF。
(1)无法利用/无实际危害的漏洞。包括但不限于 不可利用的Self-XSS、非重要交互(如查询类操作)的 CSRF、静态文件目录遍历、401 认证钓鱼、内网 IP/域名、无敏感信息(如用户昵称、用户个人公开的信息、已脱敏的敏感信息等)的 JSON Hijacking 、横向短信轰炸等;
(2)不能重现的漏洞。包括但不限于经 JSRC 审核者多次确认无法重现的漏洞;
(3)内部已知、正在处理的漏洞,包括但不限于如 Discuz!等已在其他平台公开通用的,白帽子、内部已发现的漏洞;
(4)内部存在审核机制的提交接口所涉及的CSRF、越权提交等漏洞;
(5)非接收范围或内的漏洞,如非 中航安盟保险业务的安全漏洞;
(6)实际业务安全性无影响的 Bug。包括但不限于产品功能缺陷、页面乱码、样式混乱;
(7)不接收无实际意义的扫描器结果报告;
(8)无证据支持的情况,包括但不限于账号被盗即表示有漏洞;
(1)涉及中航安盟保险生产系统、中航安盟保险账户系统、 中航安盟保险用户敏感信息、订单详细信息的相关平台或网站,可被视为中航安盟保险【核心业务】。(涉及中航安盟保险运营数据、经营统计信息数据及商家业务数据的网站属于【一般业务】,涉及合作网站、第三方营销后台,及非支付功能的网站/平台为【边缘业务】)
第四章 评标方法、标准和废标条款 一、评标方法
本项目采用综合评分法进行评标。综合评分法是指在最大限度地满足招标文件实质性要求前提下,按照招标文件中规定的各项评分因素进行综合评审后,以评标总得分最高的投标人作为中标候选人。投标人总得分为价格、商务等评定因素分别按照相应权重值计算分项得分后相加,满分为100分。
评标工作由中航安盟保险评标委员会负责组织,负责具体评标事务。按以下程序独立履行评审职责:
(1)资格性检查。依据法律法规和招标文件的规定,对人投标文件中的资格证明、投标保证金等进行审查,以确定投标人是否具备投标资格。资格性检查资料表如下:
| 序号 |
分类 |
检查因素 |
检查内容 |
| 1 |
基本资格条件 |
具有独立法人资格和履行合同能力; |
投标人法人营业执照(副本) |
| 具有良好的商业信誉和健全的财务会计制度; |
提供书面声明 |
||
| 具有履行合同所必须的设备和专业技术能力; |
提供书面声明 |
||
| 有依法缴纳税收和社会保障资金的良好记录; |
税务登记证(副本)复印件和社会保险缴纳证明材料 |
||
| 近三年内在经营活动中没有重大违法记录; |
提供书面声明 |
||
| 投标人应符合并遵守其所属地和中国的法律、行政法规及部门规章等相关规定,是具有独立承担民事责任的能力,具有相关行业认可的从事安全咨询或安全服务相关资质的独立法人或者行政事业单位。 |
投标人法人营业执照(副本)、直属的分支机构(直属的分支机构参与投标必须具有总公司的授权委托书)或事业单位法人证书(副本)或个体工商户营业执照或有效的自然人身份证明、组织机构代码证复印件(注); |
||
| 2 |
特定资格条件 |
投标人至少应具备由CNCA国家认证监督委员会认可的认证机构颁发的ISO27001信息安全管理体系证书。 |
提供证书复印件 |
| 在信息安全咨询服务行业内具有良好的信誉和业绩,具备5年以上信息安全咨询服务的经验,可提供近2年至少2个国内商业银行信息安全管理体系建设及ISO27001认证、等保咨询服务项目案例。 |
提供合同相关页复印件 |
||
| 要求安全咨询服务商技术实力雄厚,至少提供3名技术人员,且人员具备较高的项目管理水平。 |
提供技术人员工作简历 |
||
| 投标人承诺对本次招标内容保密 |
保密承诺函 |
||
|
|
|
投标人是中国国家信息安全漏洞库支撑单位 |
提供证明文件 |
|
|
|
漏洞挖掘能力证明 |
CVE或CNNVD证明 |
备注:以上证明文件附相关证明文件复印件并逐页加盖公章。
(2)符合性检查。依据招标文件的规定,从投标人投标文件的有效性、完整性和对招标文件的响应程度进行审查,以确定是否对招标文件的实质性要求作出响应。资格性检查资料表如下:
| 序号 |
评审因素 |
评审标准 |
|
| 1 |
有效性审查 |
投标文件签署 |
投标文件上法定代表人或其授权代表人的签字齐全。 |
| 法定代表人身份证明及授权委托书 |
法定代表人身份证明及授权委托书有效,符合招标文件规定的格式,签字或盖章齐全。 |
||
| 投标方案 |
只能有一个方案投标。 |
||
| 报价唯一 |
只能有一个有效报价,不得提交选择性报价。 |
||
| 2 |
完整性审查 |
投标文件份数 |
投标文件正、副本数量符合招标文件要求。 |
| 投标文件内容 |
投标文件内容齐全、无遗漏。 |
||
| 3 |
招标文件的响应程度审查 |
投标文件内容 |
对招标文件第三章规定的招标内容作出响应。若标记※的内容不满足,则直接废标。 |
| 投标有效期 |
满足招标文件规定。 |
||
(3)澄清有关问题。对投标文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容,评标委员会可以书面形式(应当由评标委员会成员签字)要求投标人作出必要澄清、说明或者纠正。投标人的澄清、说明或者补正应当采用书面形式,由其授权的代表签字,并不得超出投标文件的范围或者改变投标文件的实质性内容。
(4)比较与评价。按招标文件中规定的评标方法和标准,对资格性检查和符合性检查合格的投标文件进行商务和技术评估,综合比较与评价。
评标委员会当独立对每个有效投标人的标书进行评价、打分,对同一投标人同一评分项的打分偏离较大的,应对投标人的投标文件进行再次核对,确属打分有误的,应及时进行修正。复核后,汇总每个投标人每项评分因素的得分。
(5)推荐中标候选人名单。按评审后得分由高到低顺序排列推荐中标候选人。综合得分排名第一的投标人为第一中标候选人,以此类推排名。排名得分相同的按招标文件评分标准中投标报价得分由高到低顺序排列。
二、评标标准| 序号 |
评分指标 |
分项指标 |
分项分值 |
评分标准 |
| 1 |
公司安全实力(X分) |
公司资质 |
X |
投标人具备ISO20000信息技术服务管理系统认证证书得X分。 |
| 2 |
投标人具有中国信息安全测评中心颁发的信息安全服务(安全工程类)资质,三级得X分,二级得X分,其余不得分。 |
|||
| 3 |
具备中国信息安全认证中心颁发的《信息安全风险评估资质》,一级得X分,二级得X分,其余不得分; |
|||
| 4 |
具备公安部颁发的《信息安全等级保护建设服务机构能评估合格证书》,得X分 |
|||
| 5 |
安全攻防实力 |
X |
投标人应具有强大的安全攻防研究实力,具有公开发布的专门针对中国的APT攻击事件研究报告的经历,提供相关官网截图或证明材料,得X分。 |
|
| 6 |
公司服务能力(X分) |
服务经验 |
X |
投标人近2年(2017-2018年)内具有同类型安全服务(金融行业安全服务服务)的项目业绩,提供符合条件的项目案例大于5个,每多提供1个案例得X分,最高得X分。 |
| 7 |
人员配置 |
X |
服务现场持续投入至少3人及以上的人员,人员投入3人得1分,大于3人,每多1人加X分,最高X分。人员投入少于3人,此项不得分。 |
|
| 8 |
投标人拟派驻本项目服务团队的项目经理要求担任过至少4个商业银行信息安全管理体系或科技风险体系建设项目的项目经理,且具有8年以上信息安全咨询工作经历,满足得X分。不满足不得分。 |
|||
| 9 |
参与项目实施人员要求均参与过至少2个商业银行信息安全服务项目实施和5年以上相关工作经历,满足得X分。不满足不得分。 |
|||
| 10 |
安全项目执行能力(X分) |
技术方案整体设计 |
X |
投标人咨询方案思路清晰,需求理解正确,具有自身的方法论,详细实施内容包括标书中所涉及所有阶段,是否考虑周全、细致、落地操作性强,是否在原需求基础上有延展。 |
| 11 |
漏洞挖掘能力 |
X |
1、投标人2017年全年向CNVD提交原创漏洞报送数量超过10000条,得X分,超过5000条得X分,超过1000条得X分,其余不得分。 2、投标人需具备自身的强大漏洞收集力量,如果拥有公开的漏洞响应平台,提供计算机软件著作权证书及官网链接者得X分。 |
|
| 12 |
体系建设 |
X |
考察投标人体系文件方案建立完备性与可操作性,考察项包含: 2、建立体系文件时考虑现有情况,结合IT部门职责并融合现有管理制度,X分 3、考虑到体系在重点领域有效落地,进行信息安全重点管理领域专项方案设计,X分 以上评分点不完全满足酌情扣分。 |
|
| 13 |
知识转移 |
X |
1、满足基本的培训内容,并提供具体实施方案,X分; 2、项目实施过程中,承诺能够提供额外需求的信息安全相关培训,得X分。 以上评分点未提及或不完全满足酌情扣分。 |
|
| 14 |
交付物应答 |
X |
投标人有成熟的项目管理方法论,项目实施进度表合理,得X分。 各阶段工作交付物示例展示充分,可充分体现本项目需求,得X分 以上评分点未提及或不完全满足酌情扣分。 |
|
| 技术部分分值合计 |
X |
|||
| 15 |
项目报价(X分) |
采购价格 |
X |
以有效投标单位报价的平均价为基准价格,总分40分,每高于基准价1%减1分,每低于基准价1%减0.5分 |
| 合计 |
100 |
|||
三、无效投标条款
投标人或其投标文件出现下列情况之一者,应为无效投标:
(1)投标人未按招标文件规定提交足额投标保证金的;
(2)投标人未通过资格性检查或投标文件未通过符合性检查的;
(3)投标人超出其营业执照或事业单位法人证书上经营范围(业务范围)投标的;
(4)单位负责人为同一人或者存在直接控股、管理关系的不同投标人,不得参加同一合同项下的采购活动,上述投标人的投标均无效;
(5)同一项目,制造商参与投标,再委托代理商参与投标的;
(6)投标文件未按照招标文件第五章投标文件格式中所规定签字、盖章的;
(7)投标文件出现多个投标方案或投标报价的;
(8)投标报价严重超出市场价;
(9)投标产品不符合必须强制执行的国家标准的;
(10)投标人的交货期(或为:实施时间)、质量保证期及投标有效期不满足招标文件要求的;
(11)投标文件含有违反国家法律、法规的内容,或附有招标人不能接受的条件的。
四、终止招投标(1)因情况发生变化或其他原因造成该项目取消的,本次招标自动终止,双方互不承担责任,招标人无息退还投标保证金。
(2)签订合同之前,招标人发现中标候选人经营、财务状况发生较大变化或存在违法行为,招标人认为可能影响其履约能力的,招标人可废除中标人或中标候选人资格。
(3)废标条款
出现以下情况之一的,应予废标。
(一)不满足第四章商务条款的;
(二)出现影响采购公正的违法、违规行为的;
(三)投标人提供的技术指标不满足标书要求的;
(四)符合招标人认定的其他废标条件的。
废标后,除采购任务取消情形外,应当重新组织采购。
第五章 投标文件格式
请按下列要求顺序装订,目录索引与投标书页码对应。
一、封面中航安盟财产保险有限公司
信息安全风险评估
及安全体系规划咨询项目
投 标 文 件
投标人: (盖单位公章)
法定代表人或其委托代理人: (签字)
联系电话:
年 月 日
目 录
二、投标声明函项目名称:
日期:
中航安盟财产保险有限公司:
我公司(单位)_______________已仔细研究并了解(项目名称) 招标文件的全部内容,愿意以人民币(大写) 元(¥ )的投标总报价进行投标,投标文件中所有关于投标资格证明文件、内容陈述等均是真实的、准确的,若有违背,我公司愿意承担由此而产生的一切后果。
三、投标人基本情况介绍 四、法定代表人身份证明及授权委托书法定代表人身份证明书
本授权委托书声明:我__________(姓名)系___________(投标方)的法定代表人,现授权委托________(投标方)的____________(姓名)自份证号为____________为我司代理人,以本公司的名义参加____________(招标人)的___________________________项目的投标活动。投标方在开标、评标、合同谈判、签署合同过程中所签署的一切文件和处理与之有关的一切事务,我均予以承认。代理人无转委权利。特此委托。
(附:法定代表人身份证正反面复印件)
五、开标一览表
开标一览表
| 投标人全称 |
|
||
| 招标项目名称 |
投标总价(含税) |
交货期 |
交货地点 |
|
|
小写: |
|
|
| 大写:人民币: |
|||
| 开具发票类型 |
税率为______%的增值税专用发票 |
||
|
备注: |
|||
注:若含有多种税率,请注明各自金额比重,否则统一按低税率核算价格得分。
投标人: 法人授权代表:
(公章) (签章)
年 月 日
六、分项报价明细表
(投标人自定义表格形式)
需包含:项目所各阶段所有费用明细
七、技术偏离说明(仅描述偏离项)| 序号 |
招标文件要求 |
投标响应 |
差异 |
差异原因 |
八、商务偏离说明(仅描述偏离项)
| 序号 |
招标文件要求 |
投标响应 |
差异 |
差异原因 |
九、投标人与本项目类似业绩证明文件
复印件(2016-2018年内的中标通知书、合同等)
十、资质能力、信誉文件证明列表清单(1)经会计师事务所出具的2017度完整的财务审计报告复印件加盖单位公章。如投标人无法提供审计报告,则须提供近3个月银行出具的资信证明原件或复印件(加盖单位公章);
(2)近三个月的缴纳社会保障资金的入账票据凭证复印件(加盖单位公章);
(3)近三个月的依法缴纳税收的入账票据凭证复印件(加盖单位公章);
十一、“三证合一”的营业执照副本复印件 十二、投标保密承诺书致:中航安盟财产保险有限公司
(以下简称“我司”)希望参与中航安盟财产保险有限公司(以下简称“贵司”)的“信息安全风险评估及安全体系规划咨询项目”(以下简称“本项目”)建设。在本项目投标过程中,贵司同意向我公司提供有关本项目的相关信息和技术资料,前提是我公司必须根据本承诺书的规定对所提供的信息和资料严格履行保密责任,并且仅为对本项目的招投标及项目实施之目的而使用。
为了对保密信息予以有效保护,我公司同意做出以下承诺:
- 相关信息和资料的定义
本承诺书所称的“相关信息和技术资料”是指基于重庆三峡银行有限公司“信息安全风险评估及安全体系规划咨询项目”的招投标向我公司提供的招标文件内容以及有关本项目实施过程中涉及的全部未向社会公开的信息,无论是书面的、口头的、图形的、电子的或其它任何形式的信息。
- 保密义务
- 我公司同意严格保密本次项目招投标所提供的相关信息和技术资料。
- 我公司保证采取所有必要的方法对本次项目招投标所提供的相关信息和技术资料进行保密,严禁非授权透露、使用、复制本次项目招投标所提供的相关信息和技术资料。
- 未经贵司书面同意,我公司不得因任何理由以任何方式透露本次项目招投标所提供的相关信息和技术资料。
- 方式和不使用的义务
本次项目招投标所提供的相关信息和技术资料只能被我公司用于进行本次参与招投标及中标后的项目实施,我公司不能将本次项目招投标所提供的相关信息和技术资料用于其它任何目的。
除我公司参与招投标的人员和直接参与本次项目实施的员工外,我公司不能将本次项目招投标所提供的相关信息和技术资料透露给其它任何人;未经贵司书面同意,我公司不得将本次项目招投标所提供的相关信息和技术资料向新闻媒体予以公开披露或者发表声明。
我公司应当告知参与本次招投标的员工或我公司聘请的相关人员遵守本保密协议书的约定,并应采取必要措施,确保其参与本次招投标和项目实施的员工和外聘人员履行保密义务。若参与本项工作之员工或外聘人员违反本保密协议的约定,泄露了贵司所提供的相关信息和技术资料,依据本承诺书约定,我公司应与泄密员工或外聘人员承担连带责任。
- 相关信息和资料的交回
当贵司以书面形式要求我公司交回本次项目招投标所提供的相关信息和技术资料时,我公司应立即交回所有书面的或其他有形的相关信息和资料以及所有描述和概括该相关信息和资料的文件。我公司在交回以上有关资料前未经贵司的允许不得采取抄写、复印、拷贝等任何方式留存相关信息和资料
没有贵司的书面许可,我公司不得丢弃和处理任何书面的或其他有形的相关信息和资料。
- 违约责任
我公司如违约泄露本次项目招投标所提供的相关信息和技术资料,应当按照贵司的指示采取一切必要措施对违约行为予以补救,包括采取有效方法对该专有信息进行保密,所需费用由我公司承担。
我公司应当赔偿贵司因我公司违约而造成的所有损失。
- 保密期限
自本承诺书生效之日起,双方的合作交流都要符合本承诺书的约定,除非贵司通过书面通知明确说明,本承诺书所涉及的某项信息和资料可以不用保密,我公司必须按照本承诺书所承担的保密义务在所接受的信息和资料被社会公知前对所收到的相关信息和资料进行保密,保密期限不受本承诺书有效期限的限制。
- 其他
- 本承诺书受中华人民共和国法律管辖,并在所有方面依其进行解释。
- 由本承诺书产生的一切争议由双方友好协商解决。协商不成,双方可向有管辖权的人民法院提起诉讼。
- 本承诺书自我公司加盖公章之日起生效。
我司方信息接口人:
姓名:
身份证号:
联系电话:
承诺单位(公章):
承诺单位代表人(签字):
日 期: 年 月 日
十三、投标保证金凭证 十四、项目联系人信息包括姓名、地址、电话、传真、邮箱(格式自定)
十五、项目实施方案(包括履行合同的时间计划、提交资料、人员资质及安排等)
十六、售后服务方案 十七、其他
解决方案
联系我们
