中标
中国重汽集团济南卡车公司2022年12月重点排污单位招标公告
金额
-
项目地址
山东省
发布时间
2023/01/28
公告摘要
公告正文
中国重汽集团安全服务项目
招
标
文
件
中国重汽集团济南动力有限公司
二〇二三年一月
目 录
1 项目名称
1.1 总则
2 招标内容及形式
2.1招标内容-
2.2招标形式-公开招标
2.3议程安排
3 有关说明
3.1 定义
3.2 项目实施方式
3.3 投标人须知
4 交货及付款
5 投标说明
5.1 招标要求
中国重型汽车集团济南动力有限公司
5.2 投标报价
5.3 招标文件的组成
5.4 招标文件的澄清
5.5 招标文件的修改
6 投标文件的内容和要求
6.1 投标文件计量单位
6.2 投标文件组成
6.3 有效期
6.4 投标文件格式
6.5 投标文件的装袋、密封和递交
6.6 投标文件的澄清
6.7 开标
7 讲标及评标
7.1 中标及合同签订
7.2 废标
7.3 瑕疵滞后发现的处理
7.4 合同以双方最终签署的版本为准
8 项目组织范围
9 项目技术要求
9.1 项目目标
9.2 采购内容
9.3 集成要求
10 项目商务要求
10.1 需求偏离
10.2 其他
11 评价标准
12 投标文件格式
1 项目名称
项目名称:中国重汽集团安全服务项目
中国重汽集团济南动力有限公司(以下简称招标人)就中国重汽集团安全服务项目实施厂商进行招标,特邀请具有项目资质及承担能力的供应商进行投标。
1.1 总则
根据中华人民共和国招标投标法,经中国重型汽车集团有限公司批准,现对中国重汽集团安全服务项目实施厂商进行招标。
2 招标内容及形式
2.1招标内容- 中国重汽集团安全服务项目
本次招标包含安全驻场服务和红队评估服务项目
第一包:安全驻场服务;
第二包:红队评估服务
2.2招标形式-公开招标
2.3议程安排
1、发标时间:2023年1月28日
2、答疑时间:截止至2023年2月4日下午5点前,逾期不受理
联 系 人:郑建平 15098883766(技术部分)
陈思彪 15708927011(商务部分)
3、投标报名截止时间:2023年2月4日下午5点前,逾期不受理
报名方式:将附表9填写完毕后,加盖公章,扫描成PDF发送至jtxxhb@sinotruk.com,并电话确认
联 系 人:鞠老师 58062934
4、开标时间:请参考下边表格,若有变动另行通知。
投标地点:重汽科技大厦
地 址:济南市高新区华奥路777号
投标人应提供营业执照副本原件、法定代表人资格证明、法人授权委托书原件。
序号 | 包次 | 开标时间 | 开标地点 | 候场 |
1 | 第一包 | 2月6日9时00 | 3楼312 | 线下招标 |
2 | 第二包 | 2月7日9时00 | 3楼312 | 线下招标 |
3 有关说明
3.1定义
1) 招标人:中国重汽集团济南动力有限公司
2) 投标人:由招标人认可的符合投标资格的参加本项目投标的供应商
3) 产品:指投标人为本项目提供的安全服务及项目交付物
4) 招标方式:本项目采用公开招标方式
3.2项目实施方式
本项目第一包所采用的实施方式为现场实施。
本项目第二包根据项目实际情况确定实施方式。
3.3投标人须知
1) 投标人须确保遵守国家规定的各种有关投标的规定、法规、法律文件等。
2) 投标人须确保具有良好的商业信誉和诚实的职业道德。
3) 投标人应仔细阅读并理解招标文件的全部内容,并做出实质性响应。
4) 投标人须确保项目交付物的功能满足招标文件的要求。
5) 投标人应当按照招标文件规定的内容和要求编制投标文件。
6) 投标人须确保有能力在规定期限内完成招标文件规定的全部内容。
7) 投标人在收到招标文件后,如有疑问,应以书面形式向招标人提出,招标人将以书面形式予以答复,但不说明答复的来源。
8) 在投标截止日期前5天,招标人都可能会以补充通知的方式修改招标文件。
9) 无论投标结果如何,投标人应承担编制投标文件、递交投标文件、考察等所涉及的一切费用。
10) 招标人对未中标者不作任何解释。
11) 如投标方代表不是法人代表,须持有盖有法人单位公章的《法人代表授权书》。
12) 讲标方案需存储在U盘中单独装入密封袋,随投标材料一并提供,投标人在讲标时不允许使用个人自带电脑,投标人在讲标时,须由拟担任招标项目建设的项目经理及项目组成员讲标,其中讲标和答疑时间控制在30分钟左右。若中标,非经招标人同意,项目经理及项目组成员不得在项目建设中途更换。
4 交货及付款
4.1、项目实施小组进驻时间:收到甲方通知后15个工作日内。
4.2、实施地点:招标人指定地点。
4.3、交货方式:交钥匙。
4.4、付款方式:半年期商业汇票(包括银行承兑汇票和商业承兑汇票)
第一包按季度结算,通过季度阶段验收后,按季度支付当季70%费用,剩余30%费于当年最后一个月支付。
第二包按半年结算,上、下半年通过阶段验收后各支付合同额的45%,共计90%,剩余10%作为质保金。
5 投标说明
5.1 招标要求
序号 | 内容 | 说明与要求 |
1 | 邀标人名称 | 中国重型汽车集团济南动力有限公司 |
2 | 投标人资质要求 (第一包) | (1)投标人注册资金不低于5000万元人民币,按营业执照公司成立时间截止招标当天满三年,具有独立法人资格或其授权的分支机构,并具有良好信誉和业绩。 (2)投标人应具有相关招标项目的实施及服务能力。 (3)投标人遵守执业准则和执业规范,近三年(以营业执照为准,公司成立满三年)内没有违法、违规或行业自律惩戒记录,需提供信用中国网站出具的信用报告。 (4)拟投标人需提供经会计师事务所审计且出具无保留意见的近三年的财务审计报告原件,并加盖公章,包括但不限于报告页、经审计的资产负债表、利润表、现金流量表及报表附注。如投标人公司没有经审计的财务报告,可提供加盖公章的近三年财务报表,包括但不限于资产负债表、利润表、现金流量表。应提供中文版本的审计报告或财务报表。 (5)投标人应提供董事会、监事会人员信息。 (6)投标人须认可招标人的工作指令,包括节、假日能正常开展工作的要求。 (7)项目所涉及操作系统及系统开发的软件均为正版,投标人是系统软件的所有权人或已获知识产权所有权人、合法使用权人的正式授权,对该系统软件拥有合法的知识产权或具有合法的来源,在有关知识产权中不存在任何侵犯第三方的权益。 |
投标人资质要求 (第二包) | (1)投标人注册资金不低于5000万元人民币,按营业执照公司成立时间截止招标当天满三年,具有独立法人资格或其授权的分支机构,并具有良好信誉和业绩。 (2)投标人应具有相关招标项目的实施及服务能力。 (3)投标人遵守执业准则和执业规范,近三年(以营业执照为准,公司成立满三年)内没有违法、违规或行业自律惩戒记录,需提供信用中国网站出具的信用报告。 (4)拟投标人需提供经会计师事务所审计且出具无保留意见的近三年的财务审计报告原件,并加盖公章,包括但不限于报告页、经审计的资产负债表、利润表、现金流量表及报表附注。如投标人公司没有经审计的财务报告,可提供加盖公章的近三年财务报表,包括但不限于资产负债表、利润表、现金流量表。应提供中文版本的审计报告或财务报表。 (5)投标人应提供董事会、监事会人员信息。 (6)投标人须认可招标人的工作指令,包括节、假日能正常开展工作的要求。 (7)项目所涉及操作系统及系统开发的软件均为正版,投标人是系统软件的所有权人或已获知识产权所有权人、合法使用权人的正式授权,对该系统软件拥有合法的知识产权或具有合法的来源,在有关知识产权中不存在任何侵犯第三方的权益。 | |
3 | 是否允许代理商投标 | 否 |
4 | 投标人应提交的 商务文件 | (1)法定代表人授权委托书; (2)营业执照(投标人应提交有效的企业法人营业执照副本复印件,并加盖投标人公章,按规定需要年检的,年检章要清楚);提供认证机构的营业执照副本复印件加盖认证机构公章 详见6.2节 |
5 | 服务说明 | 投标人有完善售后服务组织体系,在济南设有常驻服务和技术支持机构,并配有专业的技术队伍,能提供快捷的售后服务响应。 提供证明 |
6 | 投标人应提交的 技术文件 | (1)投标人自行编写的服务及技术文件; (2)投标人提供设备生产厂商针对本项目授权书原件和售后服务承诺函(书)原件(承诺设备及软件不存在侵犯他人知识产权的风险),加盖生产厂家公章; (3)技术偏离表及优惠条件; (4)投标人认为需要提供的其它说明和资料。详见6.2节 |
7 | 投标人自行编写的 服务及技术文件应包含内容 | (1) 项目实施方案 (2) 投标人所提供的服务,应符合本文件提出的要求,如果投标人对技术规格提出合理建议或更改,应在报价服务规格性能偏离表中注明; (3) 其他需要说明的问题。 |
8 | 是否允许投标人将项目非主体、非关键性工作交由他人完成 | 否 |
9 | 投标文件份数 | 详见6.2节 |
10 | 投标保证金(按需填写) | 投标方务必在开标前3天(2023年2月4日3点前)将保证金汇入中国重汽指定账户(备注项目名称),同时在邮件报名中需提供word版保证金缴纳信息(公司全称、开户行、银行账号,项目名称)。本次报名投标单位需向中国重汽集团济南动力有限公司(开户银行:中国建设银行济南天桥支行,银行帐号:37001616508050150300)缴纳投标保证金20000元。 该保证金退还时为无息退还。 发生以下情况时,有权没收保证金: 1) 截至开标前3天,供应商无正当理由、未以书面形式递交说明而在投标截止日不来投标的; 2) 供应商递送文件后,无正当理由放弃投标的。 |
5.2 投标报价
1) 本次招投标为公开招标,投标总报价应包括项目实施服务、及相关资料、保险、税费、运杂、差旅等全部费用,并对各主要报价构成项列报价清单。
2) 所有参加投标的单位必须结合自身的实际情况,对此次招标项目建设周期与实施难度的估量以及所制定的实施组织计划,以实际产生的费用,据实报价。报价包含不含税金额、税率及价税合计金额。
3) 供应商免费提供的项目,应先填写该项目的实际价格,并注明免费。此项不计入总报价。
4) 项目的报价货币单位为:人民币-元。
5) 最后磋商报价在合同执行过程中是固定不变的,不得以任何理由予以变更。
6) 安全驻场服务报价按实际人/天报出单价,按实际出勤天数结算;
红队评估服务按照总价报价。
5.3 招标文件的组成
7) 招标文件由招标文件总目录所列内容组成。
8) 投标人详细阅读招标文件的全部内容。不按招标文件的要求提供的投标文件和资料,可能导致投标被拒绝。
5.4 招标文件的澄清
投标人对招标文件如有疑点要求澄清,或认为有必要与招标人进行技术交流时,可用书面、传真形式通知招标人,招标人将视情况以书面形式予以答复,并将答复内容包括原提出的问题(但不标明问题查询的来源),分发给所有取得同一招标文件的投标人。
5.5 招标文件的修改
1) 在投标截止时间前5天,招标人无论出于自己的考虑,还是出于对投标人提问的澄清,均可对招标文件用补充文件的方式进行修改。
2) 对招标文件的修改,将以书面或传真的形式通知已收到招标文件的每一投标人。补充文件将作为招标文件的组成部分,对所有投标人有约束力。
3) 为使投标人有足够的时间按招标文件的修改要求考虑修正投标文件,招标人可酌情推迟投标和开标日期,并将这些变更通知上述每一投标人。
6 投标文件的内容和要求
6.1 投标文件计量单位
投标文件中所使用的计量单位,除招标文件中有特殊要求外,应采用国家法定计量单位。
6.2 投标文件组成
投标文件由以下部分组成(请按照下述组织投标书各章节内容):
1. 资质文件(独立封装在一个档案袋,一式两份):
1) 法定代表人授权委托书(见附件2)(见附录);
2) 企业营业执照副本复印件(加盖法人单位公章);
3) 法人代表或授权代表有效身份证(盖有法人单位公章的复印件,包括正反两面);
4) 企业董事会、监事会人员信息
5) 投标方经营业绩情况,至少应包括近三年的年度财务报表审计报告、近三年的财务报表,(如投标单位公司规模较小,未有审计报告,可提供近三年财务报表)。
6) 成功案例。列举与此招标项目类似的成功案例,包括项目实施时间、单位、应用范围、投标人参与的核心成员等;
7) 评分规则中加分项的证书证明彩色复印件。
2.技术标(独立封装在一个档案袋,一式六份,其中正本一份,副本五份):
1) 项目实施方案(见附件8)。针对招标文件项目技术要求,提出相应的解决方案。
2) 项目团队。列示拟参与项目的团队成员及工作简历。
3) 项目报名表(见附件9)。
4) 综合说明
3.商务标(独立封装在一个档案袋,一式六份,其中正本一份,副本五份,并附存有电子版招标文件的U盘,电子版要求详见第二章投标文件格式):
1) 投标函(见附件格式1)。
2) 开标一览表(见附件4)。
开标一览表中所有报价均采用人民币报价,其金额应包括:人天单价。
3) 商务条款偏离表(见附件6)、技术规则、参数偏离表(见附件7)。
4) 服务承诺及优惠条件。
5) 其它需要说明的事项。
6.3 有效期
1) 自开标日起30天内,投标书应保持有效。有效期短于这个规定期限的投标将被拒绝。
2) 在特殊情况下,招标人可与投标人协商延长投标书的有效期。这种要求和答复都应以书面、传真的形式进行。
6.4 投标文件格式
1) 投标文件语言应采用中文。
2) 投标文件字体书写必须工整清楚,易于辨认,文义明白准确。投标文件不得涂改和增删。如因字迹潦草或表达不清所引起的后果由投标人负责。
3) 投标文件必须用不褪色的墨水填写或打印。
4) 投标文件必须由法人代表或授权代表签署,投标人应填写全称,并加盖公章(含骑缝章)。
5) 不按上述规定编写的投标文件将视为主动放弃,不予评标。
6.5 投标文件的装袋、密封和递交
1) 投标文件在封页正面右上角标明“正本”、“副本”字样,保证正本与副本的内容一致。如果正本与副本内容不一致以正本为准。提交电子版标书一份。
2) 正面封皮应标明投标人单位名称、地址,并在单位名称处加盖公章。
3) 投标书正本内封和投标书副本内封封口处应有投标全权代表的签字或投标单位公章,并注明“开标时启封”字样。
4) 开标一览表内封封口处应加盖投标单位公章。
5) 投标文件由投标人在开标日自行带到开标现场,在开标时当场交与招标负责人。
6.6 投标文件的澄清
1) 为有助于对投标文件进行审查、综合评定,招标人有权向投标人提出质疑,请其澄清投标内容。
2) 重要的澄清答复应是书面的,并作为投标文件的一部分,但不得对投标内容作实质性修改。
6.7 开标
1) 招标人按招标文件规定的时间、地点主持公开开标。开标仪式由招标人主持。
2) 投标人派代表参加开标仪式。若需讲标,须由拟担任招标项目建设的项目经理及项目组成员负责讲标。
3) 开标时查验投标文件密封情况,确认无误后拆封唱标。
招标人在开标仪式上,将公布投标人的名称、投标产品或服务、投标项目、投标价格及其投标的修改、投标的撤回及其有关声明等,招标人将做唱标记录。
7 讲标及评标
为保证项目顺利实施,由招标人组织、按国家法律法规及公司相关规章制度要求,设立评标工作小组,投标人在讲标时,须由拟担任招标项目建设的项目经理或项目总监讲标,其中讲标答疑时间30分钟。采用多级评标模式,综合评标法,本着公平、公正、公开的原则,在最大限度地满足招标文件实质性要求的前提下,对招标文件中规定的各项因素进行综合评审,确定中标候选供应商或者中标供应商(不保证最低价格中标)。
1本次招标的开标、评标由招标人依法组织实施,本次招标采用技术标和商务标分级开标的模式。
2本项目开标时间和地点见投标人须知前附表。开标会议由招标人组织并主持。招标人邀请各投标人派员参加开标会议。投标人未参加开标的,视同认可开标结果。
3开标程序
(1)宣布开标会议开始。
(2)介绍与会人员。
(3)核验投标人资格证件。
(4)投标人或投标人推选的代表对投标文件密封情况进行检查(投标人未参加开标会议的,视同认可投标文件密封完好)。
(5)经确认无误后,由工作人员当众拆封,先拆启技术标书(技术标书不含价格),开标一览表及商务标书暂时不拆启,由招标人指定专人保管。由评标专家组对所有投标方的技术方案进行综合评定和打分,确定进入商务标评阶段的投标方。
(6)根据技术标评审结果,通知未进入商务标评标资格的投标方离场,当众拆启进入商务标评标资格单位的开标一览表,宣读投标人名称、投标价格和投标文件的其他主要内容,投标人授权代表现场确认无误后进行商务标的评标,同技术入围投标方进行多轮商务谈判,筛选商务评分优的进入下一轮;
(7)根据技术标及商务标综合得分,形成专家意见汇总,推荐性价比最优的投标方。
(8)招标人有权根据项目情况,采取多级评标模式,最终确定投标人排序。
(9)投标前请各投标方按照招标文件要求对项目方案进行充分准备,投标单位已默认认可上述开标、评标过程,无异议。招标人无义务对未入围投标方及未中标方做任何解释。
评分标准如下:(第一包)
评分项目 | 评分因素 | 说明 | 分值分配 |
商务部分 (50分) | 价格部分 | 1、经初审合格的投标文件其投标报价为有效报价。 满足招标文件要求且投标报价最低的投标报价为评标基准价,其价格分为满分(标准分)。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×50 2、评标价格均以元(RMB)为单位计算,百分率、得分值小数点后保留二位,第三位四舍五入。 3、评标委员会二分之一以上人员认为某投标总报价有低于成本价嫌疑的,经价值工程部评审确认、价值工程部集团公司业务分管领导审批后,可视为无效报价,不进入下一步评审 | 50 |
技术部分 (50分) | 实施方案可行性 | 考察实施方案的全面性及针对性,从(1)服务内容(2)服务方式(3)服务流程(4)服务工具共四项方面进行评价, 由评标专家在1-30分之间进行打分。 | 25 |
服务团队 | 提供有效的项目实施人员认证证书复印件并加盖厂商公章: 项目实施人员具备本科以上学历且为投标人正式员工,具备PMP、CISP、CISSP、CISP-PTE、CISA、OSCP、ITIL4等资质证书或同等能力,每提供一个证书得1分,同一个人提供多个证书最多计2分,最高得5分。 (需提供项目实施人员在投标人任职至少六个月的社保证明材料、学历证明和相关证书证明材料,加盖公章) | 5 | |
投标人实力 | 需提供有效的认证证书复印件并加盖厂商公章,原件备查: 1、具有中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的信息安全服务资质(安全工程或安全运维)的得3分。 2、具有中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的信息安全服务资质(风险评估)的得3分。 3、具有中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的信息安全服务资质(应急处理)的得3分。 4、具有国家计算机网络应急技术处理协调中心颁发的网络安全应急服务支撑单位证书(省级以上)得2分。 5、具有国家信息安全漏洞库(CNNVD)技术支撑单位或国家信息安全漏洞共享平台(CNVD)支撑单位证书,得2分。 | 13 | |
同类项目业绩 | 1、服务商近三年以来(以合同签订时间为准)承接的同类项目案例合同原件扫描件,其中必须包括合同首页、合同金额所在页、签字盖章页及合同标的页,每提供一项得1分,最高得4分。 2、近三年具备地市级以上政府机关或大型制造业等同类型同级别项目经历,得3分,需提供相关证明并加盖公章。 | 7 | |
合计 | 100 |
评分标准如下(第二包)
项目 | 细则 | 评分标准 | 分支分配 |
商务标(50分) | 商务部分(50分) | 1、经初审合格的投标文件其投标报价为有效报价。 满足招标文件要求且投标报价最低的投标报价为评标基准价,其价格分为满分(标准分)。其他投标人的价格分统一按照下列公式计算:投标报价得分=(评标基准价/投标报价)×50 2、评标价格均以元(RMB)为单位计算,百分率、得分值小数点后保留二位,第三位四舍五入。 3、评标委员会二分之一以上人员认为某投标总报价有低于成本价嫌疑的,经价值工程部评审确认、价值工程部集团公司业务分管领导审批后,可视为无效报价,不进入下一步评审。 | 50 |
投标人实力(10分) | 需提供有效的认证证书复印件并加盖厂商公章: 1、 具备中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的信息安全服务资质认证风险评估一级及以上资质的,得2分。 2、 具备中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的信息安全服务资质认证应急处理服务一级资质的,得2分。 3、 投标人具有国家计算机网络应急技术处理协调中心颁发的网络安全应急服务支撑单位证书,省级以上得1分,国家级得2分。 4、服务商近三年以来(以合同签订时间为准)承接的同类项目案例合同原件扫描件,其中必须包括合同首页、合同金额所在页、签字盖章页及合同标的页,每提供一项得1分,最高得2分。 5、近三年具备地市级以上政府机关或大型制造业等同类型同级别项目经历,得2分,需提供相关证明并加盖公章。 | 10 | |
实施方案 可行性 (30分) | 考察实施方案的全面性及针对性,从攻击效果、组织方式、攻击方案、攻击方式、投入人员数量及能力、攻破标准、攻击风险规避、攻击复盘以及培训等方面进行评价,由评标专家在1-30分之间打分。 | 30 | |
服务团队 (10分) | 1、 因项目交付需要,项目经理须具备全日制本科以上学历且为投标人长期稳定正式员工,具备PMP(项目管理专业人士资格认证)、ITIL4认证(IT服务管理认证);中国信息安全测评中心的CISP(注册信息安全专业人员)、ISO27001 Foundation、CISSP(国际信息安全专业人员)、CDSP(数据安全认证专家)、CISA(信息安全审计师)认证证书,每提供一个证书得1分,最高得4分。 (项目经理需提供在投标人任职至少六个月的社保证明材料、学历证明、学位证明及相关证书证明材料,须加盖公章) 2、攻击渗透项目组成员具备本科以上学历且为投标人正式员工、具备OSCP(渗透测试认证)、CISP-PTE(高级渗透测试)证书、CISP(注册信息安全专业人员),每个证书得1分,本项最高得2分。需提供相关证书扫描件加盖公章。(需提供人员在投标人任职至少六个月的社保证明材料、学历证明和相关证书证明材料,加盖公章) 3、攻击项目组成员具备漏洞挖掘能力,提供个人漏洞挖掘能力证明材料复印件并加盖公章,每提供一个得1分,本项最高得4分。 | 10 |
7.1 中标及合同签订
1) 招标人根据谈判结果确定中标人,并通知中标人;招标人不承诺将合同授予报价最低的投标人。
13) 投标人可以兼投本项目第一包和第二包,但兼投不兼中,一个投标人最多只能中标一个包。第一包根据投标人资质及专家组评分按分值取不超过2名厂家进入服务商名录。第二包根据投标人资质及专家组评分按分值确定一名服务厂商。
2) 招标人发送中标通知给中标人,中标人应及时与招标人联系,在规定的时间内与招标单位签订合同。如果中标人接到中标通知后,无不正当理由拒签合同、在签订合同时向招标人提出无理附加条件的,取消该投标人的入围资格,该投标人2年不得参与中国重汽集团济南动力有限公司发布的招投标项目。
3) 中标人应当按照合同约定的履约责任,在保证质量的前提下完成中标项目,不得将中标项目转包或分包给他人,否则视为违约,招标人有权解除合同。
4) 在履行合同过程中,中标人由于履行义务的能力或信用有严重缺陷,招标人有权取消其中标资格,招标人将从中标候选单位中依序重新确定中标人,或重新组织招标。
7.2 废标
1、投标人有下列情形之一,其投标将被视为废标,招标人将严格按照《中华人民共和国招标投标法》及相关法律、法规及规章制度的规定行使权利。投标人给招标人造成损失的,招标人有索赔的权利,投标人应予以赔偿。
(1)投标人提供的有关资格、资质证明文件不合格、不真实或提供虚假投标材料;
(2)投标人在报价有效期内撤回投标;
(3)在整个评标过程中,投标人有企图影响评标结果公正性的任何活动;
(4)投标人以任何方式诋毁其他投标人;
(5)投标人串通投标;
(6)以他人名义投标或者以其他方式弄虚作假,骗取中标的;
(7)投标单位负责人为同一人或者存在控股、管理关系的不同单位;
(8)投标人被举报、检举,并经招标方查实无误的;
(9)法律、法规规定的其他情况。
2、出现下列情形之一,招标人有权否决所有投标人的投标,并终止招标
(1)出现影响采购公正的违法、违规行为的;
(2)评标委员会经评审,认为所有投标都不符合招标文件要求的;
(3)因重大变故,采购任务取消的;
(4)符合条件的投标人或者对招标文件做实质响应的投标人不足三家的。
(5)招标人认为其他应终止招标的情形。
(6)投标人承诺同意由于招标人公司政策变化引起的随时终止项目的要求并承担由此带来的一切损失。
7.3 瑕疵滞后发现的处理
无论基于何种原因,各项本应作为拒绝处理的情形,即便未被及时发现而使该中标人通过了资格审核、初评、现场复审、终评或其他所有相关程序,包括已签订合同,招标人有权取消其中标资格,并有权决定采取相应的补救措施,可由其他候选人替代,或重新组织招标。一旦中标人被拒绝或该中标人此前的评议结果被取消,因招标产生的相关的费用以及一切损失均由中标人承担。
7.4合同以双方最终签署的版本为准
7.5 本项目最终解释权归中国重汽集团济南动力有限公司所有
8 项目组织范围
本项目需充分考虑中国重汽集团济南动力有限公司管控方面的要求,在组织上包含集团总部及各下属单位。
序号 | 业务主体 |
1 | 中国重汽集团科技大厦园区 |
2 | 中国重汽集团各二级单位 |
9 项目技术要求
1.1 项目目标
ü 保障数据安全和各业务系统安全平稳运行,快速应对突发的各种网络与信息安全事件;
ü 合理配置安全资源,补充现有安全能力短板;
ü 加强自主安全检测,减低信息系统安全风险。
1.2 采购内容
为实现以上目标,本次招标需采购产品及数量如下表所示:
产品名称 | 数量 | 备注 |
安全驻场服务 | 按实际需求 | |
红队评估服务 | 服务期内2次 |
相关技术需求如下:
一、第一包项目技术要求
1. 项目说明
中国重汽集团具有网络规模大、用户数量众多、业务系统丰富而复杂等特点。重汽集团的“网络与信息安全”核心任务是综合运用技术、管理等手段,保障企业各信息系统的安全,保证业务的连续性。随着信息化程度的不断提高,重汽集团对信息系统的依赖程度不断增加,网上信息价值不断增大,信息安全问题也日渐凸现。同时随着国内外安全形势日趋严峻、《网络安全法》、《数据安全法》、《个人信息保护法》、《关键信息基础设施安全保护条例》的实施标准,无论是合规性、业务系统监管和防护还是安全运营管理,都面临新的挑战。
为保证集团各系统和业务能够正常安全运行,并在出现突发的各种网络与信息安全事件情况下能快速应对,亟需本次网络安全驻场服务项目。
本次服务项目总体目标是根据近年来网络安全的发展趋势,建立重汽集团网络安全模型,提升网络安全防护水平,保障集团数据安全和各业务系统安全平稳运行,驻场协助开展安全检测、重保、态势感知、应急响应、威胁情报、红蓝队建设方面的技术服务保障,实现网络安全在事前检测、事中监测、事后应急的全生命周期建设。
2. 服务采购清单
中国重汽集团网络安全驻场服务是通过第三方专业网络安全厂商购买网络安全服务,通过网络安全专家远程与现场服务模式进行实施,实施内容按类型分为以下几部分:
安全管理制度、标准、规范等制定。
安全检测服务:通过暴露面检测、漏洞扫描、渗透测试、基线检查、系统上线前安全技术检查、安全补丁加固,进行网络安全问题的主动检测发现。
重保协防服务:通过重保流程的制定,实现在重保全生命周期的安全协调防护。重保前期进行重保资产盘点、安全加固;重保中期进行驻场保障、实时监测、事件处置溯源;重保后期进行复盘分析、安全整改、优化运维处置流程。
态势感知技术服务:7x24小时安全运营平台盯屏,实时监测告警信息并开展安全建模、分析研判、通报预警、追踪溯源,建立起资产全面画像、安全全局感知的能力。
应急响应服务:通过全天候响应,快速、高效的解决突发安全事件。
威胁情报服务:通过各种来源获取产品、安全事件、安全资讯、安全运营等各类安全情报,并根据安全情报进行分析,提炼有可能对中国重汽形成威胁的情报,并提供威胁的应对措施。
红蓝队伍建设服务:通过搭建靶场、提供专业培训,指导中国重汽建设自身红蓝对抗体系,建立红蓝对抗机制,全面提升中国重汽安全队伍攻防能力。
3. 项目详细技术要求
3.1. 安全检测服务
3.1.1. 互联网暴露面检测
(1)服务内容
采用互联网暴露面检测工具,针对重汽集团互联网系统进行资产发现和暴露面检查,包括但不限于未知资产识别、高风险主机识别、恶意行为分析等,分析系统被入侵的风险并提出具体的安全加固建议。
(2)服务频次
根据甲方需求开展,至少每季度1次,一年4次。
(3)服务成果
服务完成后,提供《互联网资产暴露面检查报告》。
3.1.2. 漏洞扫描服务
(1)服务内容
服务商采用专业的漏洞扫描工具及安全运营平台,通过定制的扫描规则,对服务器、网络设备、安全设备、web应用、数据库等进行自动化安全扫描,人工验证扫描结果并输出安全扫描报告及修复建议。
漏洞扫描应发现甲方信息系统存在的各种脆弱性问题,包括信息探测类、后门程序类、域名服务类、web安全类等安全漏洞、安全配置问题、应用系统安全漏洞,检查系统存在的弱口令,收集系统不必要开放的账号、服务、端口等;定位风险类型、区域、严重程度,直观展示安全风险。形成整体安全风险报告。报告包含漏洞详述和修补方案,对于常见补丁类漏洞能够提供相关的补丁下载链接。
(2)服务频次
根据甲方需求开展,至少每季度1次,一年4次。
(3)服务成果
服务完成后,服务商提供《漏洞扫描报告》。
3.1.3. 安全配置核查服务
(1)服务内容
采用满足等级保护2.0的专业的安全配置基线检查工具对安全配置基线进行检查,主要包括网络设备配置基线、安全设备配置基线、操作系统配置基线、数据库配置基线、中间件配置基线等,对发现的配置的不合规项,结合甲方实际需求提出整改建议。
(2)服务频次
根据甲方需求开展,至少每季度1次,一年4次。
(3)服务成果
服务完成后,服务商提供《基线检查报告》。
3.1.4. 新上线系统安全评估
(1)服务内容
为提高新上线系统自身安全性,在新系统上线前提供安全评估服务,要综合采用访谈、漏洞扫描、渗透测试、安全配置检查、后门检查等方法对新上线系统进行综合安全评估,提供检测报告,对发现的不足提出详尽的整改建议。
(2)服务频次
根据新上线系统具体情况不限次数提供服务。
(3)服务成果
服务完成后,服务商提供《新上线系统安全评估报告》。
3.1.5. 渗透测试服务
(1)服务内容
服务商通过专业的渗透测试工具,查找业务安全漏洞和安全风险,对各类业务,开展业务安全测试工作,验证各类业务是否符合业务规范和要求。服务人员通过智能工具扫描与人工测试、分析的手段,从各类用户视角模拟黑客入侵的方式对服务目标系统进行模拟入侵测试,识别服务目标存在的安全风险,并协助整改。
渗透测试内容应包括:信息收集类、配置管理类(HTTP方法测试、应用中间件测试、信息泄露、异常错误等)、认证类(用户枚举、密码猜解、密码重置、密码策略测试等)、会话类(cookie测试、session会话测试等)、授权类(越权访问、路径遍历、任意文件下载、逻辑缺陷测试等)、数据验证类(SQL注入、跨站脚本、代码注入、URL跳转、文件上传测试等、输入输出校验绕过、数据篡改)、系统应用漏洞(溢出、0day漏洞等)。
(2)服务频率
根据甲方需求开展。
(3)服务成果
服务完成后,提供《渗透测试报告》。
3.1.6. 源代码审计服务
(1)服务内容
服务商采用专业的代码审计工具,结合人工代码分析,对甲方业务系统提供源代码审计服务,检查源代码中的缺陷和错误信息、发现逻辑错误,分析并找到这些问题引发的安全隐患,以代码审计报告的形式提供代码修订措施和建议。
服务商应通过源代码审计服务检验甲方开发人员是否遵从安全编码规范,代码审计人员针对当前应用系统的源代码,深入了解业务系统,从应用系统结构方面检查其各模块和功能之间的功能、权限验证等内容;从安全性方面,检查其脆弱性和系统设计缺陷。
(2)服务频次
一年1次。
(3)服务成果
服务完成后,服务商提供《源代码审计报告》。
3.1.7. 安全加固及补丁提供服务
(1)服务内容
服务商应结合甲方的实际情况,根据漏洞扫描、配置检查、渗透测试等服务发现的风险,充分考虑整改可能产生的风险,制定详细的整改方案,并协助相关责任人进行整改加固。针对甲方无法获取的补丁,服务商应提供相关安全补丁并协助甲方安装使用。补丁类型包括但不限于Weblogic、Struts2、jboss、Tomcat、Windows、Linux漏洞补丁。
网络安全加固,通过调整网络边界、重要节点的访问控制策略、网络架构优化、修复和升级网络设备操作系统、消除安全漏洞、配置安全基线等方法加固网络层面的安全。
中间件加固,对各类网络应用服务平台中间件进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。
数据库安全加固,通过加强用户授予库权限、系统密码策略、系统审计等安全配置、升级和修复数据库系统安全漏洞。
主机安全加固,通过加强系统恶意代码防范、系统安全防护措施、补丁和安全设置、系统安全策略检查等手段,加固和优化主机系统的整体安全。
应用系统加固,通过修补漏洞、增强安全配置、调整系统架构和提升安全策略等方式进行整体加固和安全优化,提高系统的安全性和抗攻击能力,将整个系统的安全状况维持在较高的水平,减少安全事件发生的可能性和可能造成的损失。
(2)服务频次
不限次数。
(3)服务成果
服务商提供《安全加固方案》和相关安全补丁,服务期内服务商协助整改。
3.2. 重保协防服务
(1)服务内容
服务商安排不少于3名渗透测试工程师在现场安全值守保障,开展护网工作,对网络安全进行监测分析和应急处置,及时消除隐患,保障甲方网络和信息系统安全稳定运行,不出现重大安全事件。
服务商应提前开展网络安全风险排查和整改工作,并通过实战化的方式进行排查效果检验。检验网络各区域的安全产品、安全策略、安全体系、人员能力和协同处置等多方面内容;检验网络区域已有的防御体系有效性;检验区域内部安全协同和应急处置的问题。
活动期间,服务商应提供现场安全值守保障服务,对网络攻击行为进行监测分析和应急处置,保障甲方网络和信息系统安全稳定运行。
活动保障结束后,服务商应对保障进行总结,提出合理化建议。
(2)服务频率
根据甲方工作需要定义的重保期间。
(3)服务成果
服务期内,服务商提供《重大活动安全保障方案》、《网络安全风险排查报告》、《网络安全值守报告》。
3.3. 态势感知技术服务
3.3.1. 安全驻场态势感知服务
(1)服务内容
服务商提供现场驻场人员提供现场安全运维值守服务,保障网络安全运维。为保证驻场工程师的服务能力,要求:
驻场工程师至少1人具有丰富的渗透测试经验,具有CNVD原创漏洞证书。
驻场工程师至少1人具有丰富的安全服务和运维经验,具有CISP或ITIL认证证书。
驻场运维工作包括但不限于:
定期进行安全设备升级,包括规则库、特征库的升级,系统版本升级;
对安全设备告警进行分析,及时发现攻击行为,及时处置;
对安全漏洞的整改进度进行跟踪,督促相关责任人整改;
整合服务商的公司资源,为甲方随时提供安全咨询支持;
每月按承诺内容对安全运行情况进行统计分析,形成报告并提交。
安全运营平台盯屏,对告警进行分析、研判及安全事件处置。根据驻场实际需求,决定是否开展7*24小时盯屏。
安全日志采集、分析,收集现有安全设备如防火墙、IPS、网站防护系统、DDoS防护等的日志信息,进行人工分析、研判、调优;
协助对网络安全管理制度进行细化与修订等;
进行安全设备巡检,发现告警信息及时分析和处置。
(2)服务频次
一年服务期。
(3)服务成果
服务期内,驻场人员定期输出《安全运营周报》、每月输出《安全运营月报》。
3.4. 应急响应服务
3.4.1. 网络安全应急响应及演练服务
(1)服务内容
服务商按照网络安全法的要求,根据甲方的安全现状,结合业界主流的攻击手法,分析系统可能遭受的攻击行为及其影响范围、严重程度,制定对应的安全应急预案,并协助甲方按照应急预案至少开展两个场景的应急演练。演练过程中涉及的演练方案、工具、平台由服务商提供。
当甲方信息系统遇到突发的安全问题如:发生网络入侵事件、大规模病毒爆发、遭受拒绝服务攻击等,无法及时对该事件进行处理或解决时,在收到甲方及相关单位的应急响应服务请求信息后,服务商应急专家1小时抵达甲方现场,2小时完成应急处置、4小时完成溯源分析,8小时恢复系统上线运行。服务商应按照准备、检测、抑制、根除、恢复、跟踪标准化的流程,分析攻击路径、抑制事态发展、根除安全隐患、恢复系统重新上线运行,并对网络安全事件进行总结,编制应急响应报告。为保障服务的安全可靠,要求使用自主产权的应急响应处置工具。
为保障应急服务的安全可靠,避免应急工作引发二次伤害,要求使用自主产权的应急响应处置工具,应急响应工具要求满足但不限于:
能够按照分区、磁盘、内存进行证据固定生成固定镜像文件;能够对安全事件进行深度分析,包括非授权时间登录、口令爆破、恶意启动项、DDOS、可疑账号、木马回连、webshell攻击、SQL注入、java反序列化攻击等主机安全事件、网站安全事件、病毒感染事件等高危、中危、低危、信息等级的安全事件。
(2)服务频率
一年服务期内不限次数。
(3)服务成果
服务期内,服务商根据甲方需求,至少提交10个场景的《应急预案》。服务完成后,服务商提供《应急预案》《应急响应报告》。
3.4.2. 安全培训服务
(1)服务内容
服务商应为甲方提供安全意识培训和安全技术培训服务,具体培训内容包括:
第一,安全意识培训。内容主要包括:安全形势分析,安全意识与安全管理,常见安全问题及处理方法等相关内容,服务商须承担课件制作、培训资料等由此产生的相关费用;培训场地由甲方提供。
第二,安全技能培训。内容主要包括:常见漏洞及解决方案、重要应用系统安全配置、主要安全设备的原理及安全设置、目前黑客主要攻击手段及防范措施、常用检测、监测工具的使用方法、紧急事件处理方法以及安全意识、新技术引入导致的安全问题等。成交服务商须承担培训教材、教师、实验环境等相关费用,培训场地由甲方提供。
(2)服务频率
安全培训内容及频次按照甲方要求开展。
(3)服务成果
根据甲方要求,提供安全培训涉及的所有内容及资料。
3.5. 威胁情报服务
(1)服务内容
服务商为甲方提供威胁情报与云端安全分析,每两周一次提供最新病毒、行业资讯,安全主管部门通告及其解决方法信息、最新系统漏洞信息及其修补方法、最新发生的安全事件等安全通告。
系统漏洞信息:将各操作系统、应用系统、网络设备等最新安全漏洞编制成册,包括漏洞威胁、影响平台及修补方法等;
病毒信息:将最具威胁性的病毒信息编制成册,包括病毒危害、感染原理及防护措施等;
安全预警:一旦出现将可能造成大规模网络攻击事件的安全漏洞或病毒木马,及时通知相关人员进行安全预警,积极进行补丁修复和安全防护工作;
信息安全事件:将相关信息安全事件编制成册,避免信息系统遭遇同样安全攻击,造成严重损失;
信息安全监管要求:即时通告国家及监管部门对行业的最新要求。
服务商通过各种来源获取产品、安全事件、安全资讯、安全运营等各类安全情报,并根据安全情报进行分析,提炼有可能对中国重汽形成威胁的情报,并提供威胁的应对措施。
根据威胁情报的收集、分析、处置等操作,协助甲方人员掌握威胁情报的收集、分析、处置方法。
(2)服务频次
一年服务期内7*24小时。
(3)服务成果
服务期内,根据甲方要求,服务商定期输出《威胁情报通告》、《威胁情报比对分析报告》。
3.6. 红蓝队伍建设服务
3.6.1. 红队建设服务
(1)服务内容
服务商通过搭建靶场、专业培训、攻防实战等方式,协助甲方建设红队体系,指导安全队伍能力提升,培训内容包括但不限于:Web安全、Crypto密码学、Reverse逆向工程、Misc安全杂项、Pwn溢出等各类红队攻击涉及的相关内容。
(2)服务频次
一年服务期。
(3)服务成果
服务期内,根据甲方要求,输出包含但不限于《红队提升方案》、《红队提升教义》、《红队体系建设成果》、《红队组织、流程、指标设计报告》。
3.6.2. 蓝队建设服务
(1)服务内容
通过蓝队体系的建设,建立有效的蓝队防御体系,以达成对真实威胁的纵深防御效果。对应PPDR自适应攻击保护架构四个阶段要求,分别要求实现:
■ 安全基线:基线/边界梳理、威胁模型、态势感知
■ 防御强化:网络加固、对抗演练、应急体系
■ 威胁狩猎:对攻击展开识别、响应、干预、诱捕
■ 威胁分析:调查分析、复盘攻击、策略优化
(2)服务频次
一年服务期。
(3)服务成果
服务期内,根据甲方要求,输出包含但不限于《蓝队体系建设模型》《蓝队体系建设成果》《蓝队体系建设规划》《蓝队组织、流程、指标设计报告》。
3.7 服务要求
1、保密要求:成交中标人必须与招标人签署保密协议,成交中标人该项目成员须与招标人签署《保密承诺书》。 本项目服务涉及的所有费用均包含在本项目报价之内,由中标人全部负责。
2、服务期限:一年。
3、服务地点:中国重型汽车集团有限公司。
4、服务总体要求:根据招标人实际工作情况,完成招标人安排的所有安全相关工作,包含但不限于技术协议书规定的内容。驻场人员从两名中标人中选择高水平人员,根据招标人提出的用人需求并通过招标人的面试后,方可驻场服务。在驻场过程中,招标人发现驻场人员能力不能满足招标人要求,招标人有权要求更换高水平的驻场人员,若再次更换的驻场人员仍不能满足招标人要求,招标人有权更换服务厂商,新的服务厂商在服务厂商名录中选择。
5、考核要求:
1)、因信息系统漏洞、感染病毒木马、网络遭受入侵、攻防演习防守不力等原因被监管部门或山东重工集团上级主管部门通报批评、发生安全事件造成影响或造成经济损失的,每次考核10000元,招标人有权根据安全事件的影响更换服务厂商,新的服务厂商在服务厂商名录中选择。
2)、因服务厂商不能完成招标人提出的工作安排,视情况给与2000-5000元考核。情节严重的,招标人有权更换服务厂商,新的服务厂商在服务厂商名录中选择。
4、评价标准
招标人项目评标委员会成员会按照本招标文件所阐述的项目技术要求、项目商务要求等内容及现场方案讲解情况对投标人进行综合评价。
。
二、第二包项目技术要求
1、项目范围
招标人预计2023年开展2次攻防演练,在攻防演练期间服务商负责对招标人总部及二级单位的所有信息化资产范围展开攻击。
2、总体要求
根据招标人实际工作情况,完成招标人安排的所有安全相关工作,包含但不限于技术协议书规定的内容。
对招标人总部及二级单位进行网络安全攻击,最大化的发现招标人整体网络存在的安全隐患和问题,发现现有资产或未知资产的安全漏洞,通过漏洞进一步尝试扩大攻击战果,更多的找到可能攻击内网资产的攻击路径。
3、项目详细技术要求
3.1攻击效果
服务商提供攻渗队伍在服务过程中,任意一次攻击没有发现招标人及下属单位安全隐患的,招标人有权终止合同,不予支付当次演习应付款项。
服务商提供攻渗队伍在任意一次演习中发现安全隐患,存在部分的安全问题,但未形成从外到内完整通路的,未获取重汽及下属子公司内网资产权限的,招标人按当次演习应付款项的80%予以结算。
供应商提供攻渗队伍在演习中获取招标人及下属子公司内网资产系统权限、发现从外到内真实存在的攻击链路或使用新型攻击手段突破网络边界,及时提交全部成果报告,对问题隐患描述清晰、可追溯,问题分析透彻,整改建议明确,服务过程未影响目标系统正常运行,招标人按当次演习应付款项的100%予以结算。
3.2 组织方式
服务商需协助招标人制定全年攻防演练计划及方案,确定攻防演练流程、人员组织及复盘工作。服务商组织攻击服务开展攻防演练,计划内需包含2次攻击评估服务,制定详细的攻击方案,确定攻击组织架构,并在每场攻击评估后安排专人对招标人员工进行红队攻击能力培训。
服务商须为本项目设计整个服务周期工作流程,科学合理,能够覆盖到招标人全部资产。在确保业务系统正常生产的前提下实施针对中国重汽内部的信息系统攻防演练相关组织、标准制定、实施等工作。
服务商在投标文件中给出具体的服务与支持方案。详细描述提供给招标人的攻防演练服务的整体方案,包括整体服务安排、服务方法、人员组织、时间安排、阶段性文档提交和验收标准等。
3.3 攻击方式
针对招标人网络安全风险暴露面进行真实攻击(非恶意攻击),采取不限手段(项目实施过程中再约束攻击手段)、不限时间的攻击方式,最大化的发现招标人网络存在的安全隐患,并给出可落地的整改意见。定期对发现的安全隐患进行复测验证。
攻击过程包含但不限于:
利用各种手段如社会工程学进行信息收集(主机信息、网络信息、应用信息、人员信息、邮箱信息等);
火力侦察:边界防护刺探、企业防护弱点、职员弱点、供应链弱点、合作伙伴弱点分析等手段;
针对性攻击:通用漏洞利用、web漏洞攻击、设备漏洞攻击、社会工程学攻击等各种攻击手段
获得突破:突破各类边界进入内网;
横向扩展:进行东西向攻击,攻击各类信息系统及主机,尝试拿下内网资产;
持续控制:扩展成功后,进行后门伪装、程序捆绑、植入木马、流量监听等操作。
3.4 服务工具
在服务周期内,服务商需提供本项目实施所使用的具有自主知识产权的服务工具,包括但不限于:漏洞扫描、资产探测、威胁情报、流量分析、移动应用检测等类别。
3.5 投入人员要求
人员数量:
项目实施团队人员至少5人,其中项目经理1人,组织策划人员至少1人,攻击队伍至少3人。项目组成员须全程全职参与本项目,为确保本项目实施过程中涉及的数据及资产安全,攻防演练开始实施后,项目成员不得随意变动,如为不可抗力确需变动,必须提前征得采购人同意。
能力要求:
项目经理一名,至少具备PMP管理资质。负责技术团队的日常管理、双方的协调沟通、资源的调配、服务实施的管理、服务报告提交和质量管控。
演练组织人员一名,须参与过省部级以上单位攻防演习实施工作,对网络安全有一定的理解。
专业攻击渗透团队配备3名具备CISP-PTE证书或OSCP证书或CISP-PTS证书的专业技术人员参与实施工作。攻击渗透团队人员须提供个人简历,同类项目经历,最佳实践证明材料。
3.6 攻击风险规避措施
项目团队需要利用网络技术手段,在不影响被攻击系统的正常业务的前提下,对目标系统开展攻击渗透测试。
项目团队按照规定的时间段,对规定范围进行实战式攻击渗透,将成果的内容描述清楚,包括攻击路径、攻击目标、攻击成果。
攻击过程中,需加强风险控制。明确攻击任务,关键操作(如可能造成系统重启、宕机、业务无法访问等操作)及时上报,严格按照规定进行攻击、不开展破坏性的攻击操作;严禁窃取或者篡改被测试目标数据,恶意破坏目标系统;避免出现恶意破坏和上传感染性木马、病毒到业务系统中。
3.7 攻击复盘
攻击评估结束后,需出具本次攻击全过程的详细报告。包含但不限于攻击方式、攻击路径、攻击成果、修复及加固建议等内容。
在每场演练结束后,服务商攻击渗透人员应对整改完毕的风险隐患进行复测验证,形成知识沉淀。
3.8 培训赋能
为确保演练效果,演练组织方须在演练开展前对中国重汽集团全体员工开展钓鱼邮件演练,分析员工安全意识,提供有针对性的安全意识培训。
在服务周期内,服务商培训指导招标人安全人员对真实的攻击行为进行响应处置,全面提升招标人安全人员在实战中的对抗能力,同时帮助招标人建立红队建设体系,提供红队建设教材及视频资料。
4 保密要求
(一)保密要求:成交中标人必须与招标人签署保密协议,成交中标人该项目所有成员须与招标人签署保密协议。如泄露或利用本项目中以及其他方式获取的招标人敏感信息,招标人将依法追究服务商相关法律责任。本项目服务涉及的所有费用均包含在本项目报价之内,由中标人全部负责
(二)服务商应确保将发现的全部问题提交给招标人,不得以任何方式透露给第三方。服务商对于招标人提供的资料,以及本项目实施过程中所涉及的所有文档、数据、介质和相关信息保密,未经许可,不得以任何形式向第三方传播。保密期限不受本项目期限的限制,在本项目履行完毕后,保密信息接受方仍应承担保密义务。
(三)服务商应能保证所有参与服务人员的安全可靠性,不存在危害国家、社会和人民的违法违规记录,特别是不存在黑客、黑产、失信等记录。
(四)如因服务商单方面原因造成泄密,招标人将保留追究其法律责任的权利。
6、交付成果
投标人需按照招标人要求提交以下交付成果,包含但不限于:
l 《2023年中国重汽攻防演练服务实施方案》
l 《2023年中国重汽攻防演练攻击成果报告》
l 《2023年中国重汽攻防演练攻击成果总结报告》
l 《2023年中国重汽攻防演练攻击成果复测验证报告》
l 《2023年中国重汽攻防演练漏洞统计表》
l 赋能培训教材、培训音视频材料。
7、评价标准
招标人项目评标委员会成员会按照本招标文件所阐述的项目技术要求、项目商务要求等内容及现场方案讲解情况对投标人进行综合评价。
9.3需求偏离
见附录商务条款偏离表、技术规格、参数偏离表。
9.4其他
招标单位对该文件具有最终解释权。
10 评价标准
招标人项目评标委员会成员会按照本招标文件所阐述的项目技术要求、项目商务要求等内容及现场方案讲解情况对投标人进行综合评价。详见7.1.
11 投标文件格式
附件1
投标函
致:中国重汽集团济南动力有限公司
根据贵司的招标函,本人代表投标人_____________(投标人名称)提交下述投标文件。
本人宣布同意如下:
1、所附《开标一览表》规定的 项目投标总价为:________________(人民币),____________________(大写)。
2、我方郑重承诺:投标人将全部满足招标文件中的各项实质性要求,如果发现投标文件中另有与招标文件中不一致的响应或没有响应,投标人同意招标人有权要求投标人按照招标文件的要求提供服务。投标人并同意按照招标文件的规定履行合同责任和义务。
3、我方已详细审查全部招标文件,包括修改文件(如有的话)以及全部参考资料和有关附件。我们完全理解并同意放弃对这方面有不明及误解的权利。
4、我方的投标自投标截止之日起有效期为30天。
5、我方同意提供按照贵方可能要求的与我方投标有关的一切数据或资料,理解贵方不一定要接受最低价的投标或收到的任何投标。
6、与本投标有关的一切正式往来通讯请寄:
投 标 人: (公章)
法定代表人或授权委托人: (签字或盖章)
日 期: 年 月 日
附件2
法定代表人授权委托书
中国重汽集团济南动力有限公司:
我公司法定代表人授权委托为其代理人,参加贵公司于
年 月 日组织的项目采购活动,并全权代表我公司处理活动中的一切事宜。
本授权书自年月日签字生效,特此声明。
竞标人名称(加盖公章): 日 期:
法定代表人(签字或印章): 身份证号:
附 授权代理人情况(附加盖竞标人公章的代理人身份证复印件):
姓名: 性别:
年龄: 职务:
联系电话: 手机:
详细通信地址:
说明:
1、如法定代表人参加竞标的,竞标文件中不需提供法定代表人授权委托书,但必须提供法定代表人身份证复印件。
2、如委托代理人参加竞标的,竞标文件中必须提供法定代表人授权委托书和委托代理人的身份证复印件。
附件3
竞标人资格证明文件
中国重汽集团济南动力有限公司:
贵公司组织的 项目谈判采购活动,我公司愿意参加,并证明提交的下列文件、证明和陈述均是准确的、真实的。若与真实情况不符,我公司愿意承担由此而产生的一切后果。
1.工商营业执照副本复印件(加盖公章)。
2.竞标人认为有必要提供的其他证明文件(加盖公章)。
竞标人名称:(加盖公章)
法定代表人或其代理人: (签 字)
附件4
开标一览表
项目名称:
投标人名称(公章):
投标人代表签字:
价格单位:元
序号 | 名称 | 未税价 | 税率 | 价税合计 |
1 | ||||
2 | ||||
3 | ||||
4 | ||||
人民币(大写): | ||||
说明:
1、开标一览表中“投标总价”是指提供服务的全部费用的报价。
2、投标人严格按照规定的格式填写。
日期: 年 月 日
附件5
投标价格分解表
项目名称:
投标人名称(公章):
投标人代表签字:
价格单位: 元
序号 | 项目 | 未税单价 | 税率 | 数量 | 未税总价 | 价税合计 | 备注 |
1 | |||||||
2 | |||||||
…… | |||||||
总价: | 小写: 大写: | ||||||
附件6
商务条款偏离表
序号 | 招标文件条款 | 投标书条款 | ||
条款号 | 条款内容 | 条款号 | 条款内容 | |
投标人名称: 投标人代表签字: 日期:
注:为避免歧义,无偏离也应要提报该表,并注明“无”字。如无该表则即使在其它部分已反映,将也被视为“无偏离”。
附件7
技术规格、参数偏离表
序号 | 招标文件条款 | 投标书条款 | ||
条款号 | 条款内容 | 条款号 | 条款内容 | |
投标人名称: 投标人代表签字: 日期:
注:为避免歧义,无偏离也应要提报该表,并注明“无”字。如无该表则即使在其它部分已反映,将也被视为“无偏离”。
附件8
项目实施方案
1、招标文件技术规范书要求完整实施方案,包括项目具体实施内容、实施计划、项目实施效果、项目成员组成、培训安排、项目实施保障等。
2、实施方案不提供,按无效投标处理。
注:投标人应根据上述内容、要求自行编制
附件9
投标报名表
公章:
项目名称 | |||
投标单位 (全称) | |||
投标内容 | |||
项目负责人 | 联系电话 | ||
公司电话 | 传真 | ||
报名时间 | 年 月 日 | ||
注:请投标单位认真填写并加盖公章,并于规定时间前回传邮箱并打电话确认。
解决方案
联系我们
返回顶部