中标
福建省宁德监狱信息系统等保测评、咨询及网络安全运维服务合同公示
信息系统等保测评等级测评安全合规咨询网络安全运维服务配合整改应急响应服务安全渗透测试服务测试评估认证服务罪犯一卡通系统会见系统监管改造系统综合安防平台亲情帮教视频电话系统安全通信网络网络架构通信传输可信验证边界防护访问控制入侵防范安全审计身份鉴别恶意代码防范管理数据完整性数据保密性数据备份恢复剩余信息保护个人信息保护安全管理中心覆盖系统管理方面和安全加强方面的问题审计管理集中管控信息安全管理制度总体安全策略制定和发布岗位设置人员配备授权和审批沟通和台作审核和检查定级和备案安全方案设计产品采购和使用自行软件开发外包软件开发工程实施测试验收系统交付服务供应商选择安全运维管理环境管理资产管理介质管理设备维护管理漏洞和风险管理网络和系统安全管理配置管理密码管理变更管理备份和恢复管理安全事件处置应急预案管理外包运维管理安全建设整改方案设计信息安全等级保护安全整改方案当前风险分8析安全需求分析安全整改技术方案设计安全整改管理体系设计信息系统安全产品选型安全整改项目实施计划系统加固监督检查远程安全咨询服务资产分析服务网络机房整理安全设备服务器病毒检查通讯设备网络结构拓扑编制资产清单资产报告现场整理相关联的资产安全物理环境安全区域边界安全计算环境调研梳理加固风险分析安全访谈登录检查日志分析信息系统安全风险评估分析等级保护安全评估整改建议报告风险评估扫描主机系统漏洞扫描服务Web应用扫描基线核查主机系统配置核查服务差距评估服务信息系统定级加固辅导服务安全策略优化辅导清理数据库安全加固应用安全加固加固工具计算机信息系统安全专用产品非授权外联监测防病毒制度建设信息安全策略安全操作规范操作记录文档体系安全管理机构安全建设管理各类记录表格模板等保备案辅助服务备案咨询服务等保测评辅助等保台账管理服务等保咨询应用安全漏洞扫描服务安全检测报告漏洞深度测试自动化安全漏洞挖掘工具在线检测平台漏洞人工验证服务安全专家对找到的安全漏洞进行人工验证业务系统渗透测试软硬件工具周期性安全服务报告解读目标系统进行渗透攻击目标系统的漏洞与脆弱性安全渗透测试报告安全监控服务可用性监控服务网站安全高级监控服务实时告警网站稳定性和可用性实时分析网站的漏洞监控网站挂马监控暗链监控关键字监控网页变更监控应用安全检测服务安全隐患检查应用安全漏洞验证服务安全加固措施指导建议针对加固后的系统开展二次评估主机安全评估服务端口扫描弱口令扫描补丁服务的开放性主机安全配置核查主机系统进行配置核查主机入侵清查服务主机入侵后门木马主机入侵风险感知系统主机入侵痕迹主机安全监控安全通告服务安全信息安全漏洞通知定期安全通告汇总安全知识库更新安全培训安全意识培训网络安全宣传活动安全标准政策法规解读信息安全意识信息安全发展方向安全技术培训网站安全防护等级保护安全建设网络安全技术攻防无线网络安全防护应急预案及演练服务网络与信息安全应急预案网络与信息安全应急演练安全检查协助服务技术支持服务远程安全技术咨询协助应急响应保障攻坚克难紧要环节单独制定保障方案重大会议网络安全攻防演练驻场服务现场值守安全值守现场支撑驻场保障
金额
-
项目地址
福建省
发布时间
2022/10/18
公告摘要
项目编号tpzb(自主)2022-016
预算金额-
招标公司福建省宁德监狱
招标联系人甘警官
招标代理机构福建天平招标代理有限公司
代理联系人小吴0591-87504198
中标公司福建宏创科技信息有限公司
中标联系人-0591-87400721
公告正文
福建省宁德监狱信息系统等保测评、咨询及网络安全运维服务合同公示
一、项目基本情况
采购项目编号:TPZB(自主)2022-016
采购项目名称:信息系统等保测评、咨询及网络安全运维服务
二、项目废标/流标的原因
/
三、其他补充事宜
具体合同事宜详见附件。
四、凡对本次公告内容提出询问,请按以下方式联系。
1.采购人信息
名 称:福建省宁德监狱
地址:福建省宁德市金涵乡福建省宁德监狱
联系方式:甘警官,福建省宁德监狱
2.采购代理机构信息
名 称:福建天平招标代理有限公司
地 址:福建省宁德市蕉城区东侨万安东路2号(金港名都B区)14幢4层
联系方式:小吴,0591-87504198
3.项目联系方式
项目联系人:小吴
电 话: 0591-87504198
公告概要:
公告信息: | |||
采购项目名称 | 信息系统等保测评、咨询及网络安全运维服务 | ||
品目 | 服务/信息技术服务/其他信息技术服务 |
||
采购单位 | 福建省宁德监狱 | ||
行政区域 | 宁德市 | 公告时间 | 2022年10月18日 14:42 |
联系人及联系方式: | |||
项目联系人 | 小吴 | ||
项目联系电话 | 0591-87504198 | ||
采购单位 | 福建省宁德监狱 | ||
采购单位地址 | 福建省宁德市金涵乡福建省宁德监狱 | ||
采购单位联系方式 | 甘警官,福建省宁德监狱 | ||
代理机构名称 | 福建天平招标代理有限公司 | ||
代理机构地址 | 福建省宁德市蕉城区东侨万安东路2号(金港名都B区)14幢4层 | ||
代理机构联系方式 | 小吴,0591-87504198 | ||
附件: | |||
附件1 | 采购合同-宏创.pdf采购合同-宏创.pdf |
合同编号:NDJ7202
9
采购合同
项目名称:信息系统等保测评、咨询及网络安全运维服务项目
委托方(甲方):
福建省宁德监狱
受托方(乙方):福建宏创科技信息有限公司
签订时间:
签订地点:福建省宁德监狱
甲方:(采购人全称)福建省宁德监狱
乙方:(成交供应商全称)福建宏创科技信息有限公司
根据项目编号为TPZB(自主)2022-016的信息系统等保测评、咨询及网络安全
运维服务项目(以下简称:“本项目”)的谈判结果,乙方为成交供应商。现经
甲乙双方友好协商,就以下事项达成一致并签订本合同
一、下列合同文件是构成本合同不可分割的部分:
1.1合同条款;
1.2谈判文件、乙方的响应文件;
1.3其他文件或材料:口无。口(若有联合协议或分包意向协议)
2、合同标的
合同标的数量
信息系统等保测评、咨询及网络安全运维服务1年
3、合同总金额
3.1合同总金额为人民币大写:壹拾柒万元(¥170000)
4、合同标的交付时间、地点和条件
4.1交付时间:合同签订之日起一年:
4.2交付地点:按照服务内容要求执行:
4.3交付条件:按照服务内容要求执行。
5、合同标的应符合谈判文件、乙方响应文件的规定或约定,如有不同,以谈
判文件为准,具体如下:
(根据实际情况填写,可以是表格或文字描述)。
6、验收
6.1验收应按照谈判文件、乙方响应文件的规定或约定进行,具体如下
验收期次验收期次说明
1满足采购人技术和服务要求验收。
6.2本项目是否邀请其他供应商参与验收
不邀请。口邀请,具体如下:(按照谈判文件规定填写)。
7、合同款项的支付应按照谈判文件的规定进行,具体如下:
支付期次支付比例(%)支付期次说明
甲方取得相应系统属地网安部门授予的等保备
案证明(所服务的系统要求的全部次数),支付
170合同款的70%,甲方在收到乙方等额增值税普通
发票和支付申请表等完整报销材料后,30日内
对公转账支付
合同期满并按招标文件要求完成安全服务工作
230
及通过甲方考核后,支付合同款的30%,甲方在
2
支付期次支付比例(%)
支付期次说明
收到成交人等额增值税普通发票和支付申请表
等完整报销材料后,30日内对公转账支付。
8、履约保证金
口无。有,具体如下:
成交金额的5%(以银行转账方式提交)。成交人需在合同签订前将全额履约保证
金汇入采购人对公账户,说明:合同期满并按招标文件要求完成安全服务工作及
通过采购人考核后之后无息退回。
9、合同有效期
合同签订起一年。
10、违约责任
10.1、定级备案工作应符合国家相关规定及要求,如未达到相关要求,乙方
应根据相关机构的要求进行整改,直至通过备案,乙方不可以任何理由要求增加
项目费用。若每逾期一天,乙方应向甲方支付500元违约金。
10.2、乙方承诺所提供的《信息安全等级保护等级测评报告》能够获得福建
省公安机关网安部门的认可,确保甲方顺利完成等保备案工作。如承诺后无法做
到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付5000元违约金,
并按虚假投标报行政主管部门处理。
10.3、乙方未能按招标文件及合同要求完成等保测评的,每逾期一天,支付
500元违约金;若乙方项目逾期达30天(含)以上的,甲方有权单方面解除合
同并追究其相应法律责任。若因此给甲方造成损失的,还应赔偿甲方所受的损失。
10.4、在信息安全等级保护整改方案出具后,在甲方进行整改过程中,若乙
方未派人员全程参与,甲方每发现一次,乙方应向甲方支付500元违约金。
10.5、乙方未按招标文件要求协助甲方完善信息安全管理制度的,甲方每发
现一次,乙方应向甲方支付500元违约金。
10.6、在签定采购合同之后,乙方未按招标文件要求,或未按投标文件响应
情况提供项目测评、配合整改、应急响应、驻场人员等,甲方每发现一次,乙方
应向甲方支付500元违约金。
10.7、乙方承诺与甲方签署保密协议,工作人员须与单位签署《保密承诺书》,
对知悉的事项及信息予以保密,所有资料、技术文档妥善保管,不得遗失、转借、
复印,不得以任何形式向第三方透露:所有解决方案和采集汇总后的数据严禁通
过互联网等公共信息网络、普通邮政进行传递,严禁在连接互联网计算机上存储、
处理。如承诺后无法做到,甲方有权终止合同,并追究乙方违约责任,乙方应向
甲方支付5000元违约金,并按虚假投标报行政主管部门处理。
10.8、乙方承诺严格遵循操作规程,承担服务工作质量责任,执行有关项目
建设的法律、法规、规范、标准和制度,履行合同规定的义务和职责。如承诺后
无法做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付5000
元违约金,并按虚假投标报行政主管部门处理。
10.9、因乙方原因发生重大质量事故,除依约承担赔信责任外,还将按有关
质量管理办法规定执行。同时,甲方有权解除合同,并报相关行政主管部门处罚。
10.10、除招标文件中已明确的具体违约责任外,乙方出现不符合招标文件
要求或服务的行为,每发现一次,乙方需要甲方支付违约金500元。
10.11、乙方承诺根据甲方网络机房的资产组成,派遣专业工程师到甲方网
络机房整理所有网络、安全设备、服务器、通讯设备等资产,绘制网络结构拓扑
以及相关联的资产,编制资产清单及资产报告,要求内容详尽、准确、清晰直至
甲方认可为止。如承诺后无法做到,甲方有权终止合同,并追究乙方违约责任,
乙方应向甲方支付5000元违约金,并按虚假投标报行政主管部门处理。
10.12、乙方承诺等保制度建设结合监狱系统实际,逐条梳理,所有制度通
过甲方责任部门审议通过,严禁出现不符合实际、照抄照搬有关模板条款的情况。
如承诺后无法做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支
付5000元违约金,并按虚假投标报行政主管部门处理。
10.13、乙方承诺根据甲方上级主管部门、监管部门或甲方实际需要,对服
务范围内的业务系统提供不限次数的应急响应服务(包含有人员、软硬件工具),
2小时内到达现场,实施最有效的紧急救援及恢复补救方案,直至甲方的问题彻
底解决并提交《应急响应报告》,到达现场应急人员通过网络安全能力认证。如
承诺后无法做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付
5000元违约金,并按虚假投标报行政主管部门处理。
10.14、乙方承诺根据甲方上级主管部门、监管部门或甲方实际需要,对服
务范围内的业务系统提供安全渗透测试服务,派造安全服务工程师到现场对服务
范围内的目标系统进行渗透测试,模拟黑客对目标系统进行渗透攻击,深度挖掘
目标系统的漏洞与脆弱性,并提交安全渗透测试报告。原则上1次/系统/季度,
如遇上级主管部门或监管部门要求,乙方应予以配合并无条件增加次数。如承诺
后无法做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付5000
元违约金,并按虚假投标报行政主管部门处理。
10.15、乙方承诺根据甲方上级主管部门、监管部门或甲方实际需要,对服
务范围内的业务系统提供不限次数的安全检测服务,提交《安全检测报告》。包
括应用安全漏洞扫描服务、应用安全漏洞验证服务。如承诺后无法做到,甲方有
权终止合同,并追究乙方违约责任,乙方应向甲方支付5000元违约金,并按虚假
投标报行政主管部门处理。
10.16、乙方承诺根据甲方上级主管部门、监管部门或甲方实际需要,对服
务范围内的业务系统提供不限次数的安全评估服务,提交《安全评估报告》。包
括主机系统漏洞扫描服务、主机系统配置核查服务。如承诺后无法做到,甲方有
权终止合同,并追究乙方违约责任,乙方应向甲方支付5000元违约金,并按虚假
投标报行政主管部门处理。
10.17、乙方承诺根据甲方上级主管部门、监管部门或甲方实际需要,对服
务范围内的业务系统提供不限次数的入侵清查服务,提交《入侵清查报告》。包
括主机后门安全监控、主机网站木马检测、主机入侵痕迹检测。如承诺后无法做
到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付5000元违约金,
并按虚假投标报行政主管部门处理。
10.18、乙方承诺在网络安全宣传周期间,根据甲方要求每年开展一次网络
安全宣传活动,并承担相关宣传视频、PPT、场地海报制作费用。如承诺后无法
做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付5000元违约
金,并按虚假投标报行政主管部门处理。
10.19、乙方承诺在安全培训期间承担培训专家的所有费用。如承诺后无法
做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支付5000元违约
金,并按虚假投标报行政主管部门处理。
10.20、乙方承诺针对甲方上级主管部门或者网络安全监管部门发布的网络
安全相关要求文件或者网络安全检查事件等,对相关要求提供不限次数的技术支
持服务,并协助配合检查,包括但不限于:每次上级主管部门下发相关安全检查
通知后,协助客户进行相关政策的解读和消化;根据要求准备相关资料并先进行
自查,不足之处立即进行整改:在上级主管部门检查过程中,需配合进行人员访
谈、资料准备、将上级主管部门领导的意见和建议进行记录和反馈等工作;完成
整改之后,写出已完成整改的内容及下一步努力的方向,并提交监督检查报告。
如承诺后无法做到,甲方有权终止合同,并追究乙方违约责任,乙方应向甲方支
付5000元违约金,并按虚假投标报行政主管部门处理。
10.21、乙方承诺在服务期间根据上级主管部门、监管部门或甲方实际需要,
提供不限次数的人员、软硬件方面应急响应保障工作,针对应急、攻坚克难等紧
要环节单独制定保障方案。重大会议、重大节假日、历史纪念日或网络安全攻防
演练期间提供驻场服务,指派工程师进行7×8小时或者7×24小时现场值守以
及7×24小时远程安全值守。紧急情况需要现场支撑时,需在2小时内安排至少
1名具有服务能力的工程师到达现场处理。工作过程文件及项目交付成果(包括
但不限于):《应急响应服务报告》。驻场或现场支撑人员具备相应的驻场保障
能力,如在驻场期间甲方发现驻场人员无法胜任该项工作,甲方有权要求投标人
更换驻场人员。投标人在投标报价时需充分考虑本项工作可能存在的人工、设备
等方面成本。如承诺后无法做到,甲方有权终止合同,并追究乙方违约责任,乙
方应向甲方支付5000元违约金,并按虚假投标报行政主管部门处理。
10.22、乙方未能全年提供7×24小时服务支持的,甲方每发现一次,乙方
应向甲方支付500元违约金。
10.23、乙方未能按招标文件“2.23人员要求”提供相应资质人员的,甲方
每发现一次,乙方应向甲方支付5000元违约金。
10.24、乙方应确保甲方的所有资料、技术文档妥善保管,不得遗失、转借、
复印,不得以任何形式向第三方透露:所有解决方案和采集汇总后的数据严禁通
过互联网等公共信息网络、普通邮政进行传递,严禁在连接互联网计算机上存储、
处理。如因乙方的原因造成数据丢失,泄密等,乙方应承担相应的法律责任,并
赔偿甲方的损失。
10.25、因乙方原因发生重大质量事故,除依约承担赔信责任外,还将按有
关质量管理办法规定执行。同时,甲方有权解除合同,并报相关行政主管部门处
罚。
10.26、除招标文件中已明确的具体违约责任外,乙方出现不符合招标文件
要求或服务的行为,每发现一次,乙方需要甲方支付违约金500元。
10.27、本项目不允许乙方以任何名义和理由进行分包、转包,如有发现,
甲方有权单方终止合同,且乙方必须赔偿由此给甲方带来的一切损失。
10.28、本招标文件未明确的其它约定事项或条款,待甲方与乙方签订合同
时,由双方协商订立。
11、知识产权
11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪
劣品:乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工
业设计权等知识产权方面的指控,任何第三方如果提出此方面指控均与甲方无关,
乙方应与第三方交涉,并承担可能发生的一切法律责任、费用和后果:若甲方因
此而遭致损失,则乙方应赔偿该损失。
11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关
主管机关认定为假冒伪劣品,则乙方中标资格将被取消:甲方还将按照有关法律、
法规和规章的规定进行处理,具体如下:(根据实际情况填写)。
12、解决争议的方法
12.1甲、乙双方协商解决。
12.2若协商解决不成,则通过下列途径之一解决:
口提交仲裁委员会仲裁,具体如下:(根据实际情况填写)。
口向人民法院提起诉讼,具体如下:(根据实际情况填写)。
13、不可抗力
13.1因不可抗力造成违约的,遭受不可抗力一方应及时向对方通报不能履行
或不能完全履行的理由,并在随后取得有关主管机关证明后的15日内向另一方
提供不可抗力发生及持续期间的充分证据。基于以上行为,允许遭受不可抗力一
方延期履行、部分履行或不履行合同,并根据情况可部分或全部免于承担违约责
任。
13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况,包
括但不限于:自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适
用的变化或其他任何无法预见、避免或控制的事件。
14、合同条款
一、项目概况
本项目为福建省宁德监狱一年等保测评和网络安全服务采购项目。项目服务对象包含
但不限于宁德监狱罪犯一卡通系统、宁德监狱会见系统、宁德监狱综合安防平台、宁德监狱
亲情帮教视频电话系统、宁德监狱监管改造系统等5个信息系统以及相关物理环境、基础网
络、支撑平台等,旨在通过建立网络与信息安全保护工作长效机制,切实提高采购人网络与
信息安全防护能力、隐患发现能力、应急处置能力,为采购人信息化发展提供可靠保障。包
括合同签订后一年内,采购人新建、改建、升级或整合后的网络和信息系统,相关的安全咨
询、处置、应急等服务。
品目号1-1测试评估认证服务
序号 | 系统名称 | 定级情况 | 备注 |
1 | 宁德监狱罪犯一卡通系统 | 二级 | 1次测评 |
2 | 宁德监狱会见系统 | 二级 | 1次测评 |
3 | 宁德监狱亲情帮教视频电话系统 | 二级 | 1次测评 |
4 | 宁德监狱监管改造系统 | 三级 | 1次测评 |
5 | 宁德监狱综合安防平台 | 三级 | 1次测评 |
品目号1-2安全运维服务
序号 | 系统名称 | 定级情况 | 备注 |
宁德监狱罪犯一卡通系统 | 二级 | ||
2 | 宁德监狱会见系统 | 二级 | |
3 | 宁德监狱亲情帮教视频电话系统 | 二级 | |
4 | 宁德监狱监管改造系统 | 三级 | |
5 | 宁德监狱综合安防平台 | 三级 |
、
二、技术和服务要求
品目号1-1测试评估认证服务
1.1协助采购人开展信息系统的定级与备案工作
按照国家有关管理规范和标准要求,结合采购人实际安全需求,编制所服务
系统《定级报告》和《备案表》,配合做好备案审批,使采购人顺利获得监管机
关颁发的《信息系统安全等级保护备案证明》。
工作过程文件及项目交付成果(包括但不限于):系统定级报告、备案材料。
1.2信息系统等级保护测评
按照《信息安全等级保护管理办法》《信息安全技术网络安全等级保护基本
要求》(GB/T22239-2019)、《信息安全技术网络安全等级保护测评要求
(GB/T28448-2019)、《信息安全技术网络安全等级保护测评过程指南》
(GB/T22240-2019)、《信息安全技术网络安全保护等级实施指南》(GB/T25058
2019)的要求,对所服务信息系统开展等保测评。测评内容包括:
1.2.1安全物理环境:
包括物理位置选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水
和防潮、防静电、温湿度控制、电力供应、电磁防护方面。
1.2.2安全通信网络
包括网络架构、通信传输、可信验证方面
1.2.3安全区域边界
包括边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计、
可信验证方面。
1.2.4安全计算环境
包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、
数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护方面。
1.2.5安全管理中心
包括系统管理、审计管理、安全管理、集中管控方面
1.2.6安全管理制度
包括安全策略、管理制度、制定和发布、评审和修订方面。
1.2.7安全管理机构
包括岗位设置、人员配备、授权和审批、沟通和台作、审核和检查方面
1.2.8安全管理人员:
人员录用、人员离岗、安全意识教育和培训、外部人员访问管理方面。
1.2.9安全建设管理
定级和备案、安全方案设计、产品采购和使用、自行软件开发、外包软件开
发、工程实施、测试验收、系统交付、等级测评、服务供应商选择方面。
1.2.10安全运维管理
环境管理、资产管理、介质管理、设备维护管理、漏洞和风险管理、网络和
系统安全管理、恶意代码防范管理、配置管理、密码管理、变更管理、备份和恢
复管理、安全事件处置、应急预案管理、外包运维管理方面。
工作过程文件及项目交付成果(包括但不限于):信息安全等级保护等级
测评报告(测评报告内容及格式严格遵照《信息系统安全等级测评报告模版》)。
1.3安全建设整改方案设计
依据《信息安全等级保护管理办法》《信息安全技术网络安全保护等级实施
指南》(GB/T25058-2019)、《信息安全技术网络安全等级保护基本要求》(GB/T
222392019)对所服务对象作整改分析,比较与国家标准要求之间的差距,制订
信息安全等级保护安全整改方案。
方案内容包含但不限于:信息安全背景、政策与技术标准依据、当前风险分
8
析、安全需求分析、总体安全策略、安全整改技术方案设计、安全整改管理体
系设计、信息系统安全产品选型及技术指标建议、安全整改项目实施计划、项
目预算整改后可能存在的其他问题。出具方案后,需以此方案为基础,开展安全
整改咨询并配合做好系统加固工作(采购人整改过程中,投标人需派人员全程参
与),最终使采购人安全管理和技术两方面达到相应等级的保护要求。
工作过程文件及项目交付成果(包括但不限于):《信息安全等级保护安全
整改方案》,方案可根据整改和规划内容的重要性和复杂程度编写。
1.4协助完善信息安全管理制度
依据《信息安全管理体系规范》、《信息安全管理实施细则》,结合《信息
系统安全等级保护基本要求内容,同时参照《信息系统安全全管理要求》等标
准,对信息安全管理现状进行需求分析,确定安全管理目标和安全策略,针对信
息系统的各类管理活动,配合编制所服务系统运维管理制度、人员安全管理制度、
系统建设管理制度、定期检查制度等,规范安全管理人员或操作人员的操作规程
等;对未覆盖的安全管理域,制定其相关管理制度和文件。
工作过程文件及项目交付成果(包括但不限于):《信息安全管理制度汇编
等。
1.5项目服务其它要求
1.5.1测评机构及人员要求
(1)投标人所选择的测评机构须具有等保测评资质。提供相应证书复印件。
(2)参与项目测评的测评师按照《网络安全等级保护测评机构管理办法(公
信安(2018)765号),提供《网络安全等级测评师证书》证明材料;为保证测
评服务质量,测评团队成员须至少具备1个高级测评师,4个中级测评师,并且
由高级测评师担任项目经理
2.1安全合规咨询服务
根据等级保护工作的五个阶段,从定级、备案、建设整改、等级测评、监督
检查等各阶段,对所服务系统提供全生命周期的安全咨询服务,并提交等保相关
文档。
2.2等保资产分析服务
根据采购人网络机房的资产组成,派遗专业工程师到采购人网络机房整理所
有网络、安全设备、服务器、通讯设备等资产,绘制网络结构拓扑以及相关联的
资产,编制资产清单及资产报告。
根据等级保护范围内的资产组成,派遗专业工程师到现场整理各个系统的网
络结构拓扑以及相关联的资产,编制信息系统资产清单及资产报告:
对服务范围内信息系统开展安全物理环境、安全通信网络、安全区域边界、
安全计算环境、安全管理中心以及安全管理制度进行调研和梳理,编制信息系统
详细描述文档。
2.3等保风险分析服务
根据等级保护基本要求,开展安全物理环境、安全通信网络、安全区域边界、
安全计算环境、安全管理中心的现状分析,通过安全访谈、脆弱性评估、登录检
查、日志分析、等技术手段对现有的安全资产进行全方位的风险评估,结合信息
资产属性、威胁、脆弱性等基本要素,分析信息系统安全风险评估分析,编制《等
级保护安全评估与整改建议报告》
所采用的风险评估扫描工具能够集成系统漏洞扫描、Web应用扫描、基线核
查于一体,通过该工具可实现对等保信息系统涉及到的资产及配置进行扫描和配
置核查的。
2.4等保差距评估服务
在安全评估和信息系统定级的基础上,根据《GB/T22239-2019信息安全技
术网络安全等级保护基本要求将测评对象对应等级的等级保护的各项基本要求
与信息安全现状进行比较分析,并展示本单位的指标自评的总体情况、10大层
面指标符合情况、自评得分变化趋势。差距评估从管理和技术两个层面找出存在
的问题并进行差距分析。
2.5等保加固辅导服务
根据等级保护基本要求以及风险和差距分析结果,对服务范围内信息系统的
关键资产编制安全整改实施方案,实施方案中应包括加固风险分析及风险规避说
明。需派遗专业工程师到现场根据安全整改实施方案实施边界防护安全策略优化
辅导、服务器病毒检查与清理,提供主机安全加固建议、数据库安全加固建议以
及应用安全加固建议。安全整改实施后,根据整改实施情况提交《等级保护安全
加固报告》
所采用的加固工具具有《计算机信息系统安全专用产品销售许可证》要求为
非授权外联监测(行标-基本级)网络版防病毒产品(合格品)。
2.6等保制度建设服务
协助客户建设安全管理制度,为测评对象建立起信息安全策略、方针、各项
安全管理制度、安全操作规范以及各类操作记录文档体系。
提供涵盖等级保护基本要求所涉及的安全管理制度、安全管理机构、安全管
理人员、安全建设管理、安全运维管理5大类安全管理要求的方针、制度、各类
记录表格模板,达到等级保护测评要求。提交《等级保护安全管理制度》。
2.7等保备案辅助服务
根据《信息安全等级保护管理办法》,信息系统运营使用单位或主管部门需
到当地公安机关备案,投标人需提供备案咨询服务,协助采购人填写《信息系统
安全等级保护备案表》等准备材料,直到完成备案工作。
2.8等保测评辅助服务
在测评阶段协助准备测评材料,指导采购人配合测评机构开展等级测评工作,
组织测评整改,并保障顺利通过等保测评获得测评报告。
10
2.9等保台账管理服务
提供等保台账管理服务,服务过程中提供各个定级对象等保咨询服务涉及到
的各个环节产生的资料归档,支持对单个定级对象的定级、备案、自评、测评、
管理制度五大维度的单独归档文件管理,服务结束后提供台账管理光盘。
2.10安全运维服务
2.10.1漏洞扫描服务
根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业
务系统提供不限次数的安全检测,并提交安全检测报告。
2.10.2漏洞深度测试服务
通过使用漏洞挖掘工具和检测平台,来测试和识别业务系统当前的安全漏洞
和存在的安全脆弱性,从而帮忙客户全面了解和掌控其业务系统的安全状况。
2.10.3漏洞人工验证服务:
安全专家对找到的安全漏洞进行人工验证
2.10.4业务系统渗透测试服务
安全专家模拟黑客进行渗透攻击,挖掘目标系统的漏洞与脆弱性。
2.11应急响应服务
根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业
务系统提供不限次数的应急响应服务(包含有人员、软硬件工具),要求2小时
内到达现场,实施最有效的紧急救援及恢复补救方案,直至采购人的问题彻底解
决并提交《应急响应报告》。
2.12WEB安全渗透测试服务
根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业
务系统提供安全渗透测试服务,派遗安全服务工程师到现场对服务范围内的目标
系统进行渗透测试,模拟黑客对目标系统进行渗透攻击,深度挖掘目标系统的漏
洞与脆弱性,并提交安全渗透测试报告。
2.13互联网安全监控服务
提供全年服务。包括可用性监控服务、网站安全高级监控服务并实时告警,
同时提供《监控报告》。
2.13.1可用性监控服务
对网站稳定性和可用性实时分析,支持http(https)、ftp、ping、smtp
等多种协议。
需提供如下功能:
(1)实时告警功能,满足用户对于告警分级、事件响应与处理、分析需求;
11
(2)实时查看最新告警监控项目,快速定位故障异常,及时掌握恢复信息;
(3)可设置从2分钟到60分钟等不同网站监控频率;
(4)故障汇总统计、通过快照进行故障分析、告警消息汇总统计:
(5)允许通过邮件、短信、微信等方式及时接收告警通知。
2.13.2网站安全高级监控服务
网站安全高级监控服务,包括网站的漏洞监控、网站挂马监控、暗链监控、
关键字监控、网页变更监控等,一旦识别到威胁行为,则进行邮件或短信预警。
2.14应用安全检测服务
根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业
务系统提供不限次数的安全检测服务,提交《安全检测报告》。
2.14.1应用安全漏洞扫描服务
为目标系统提供全方位的安全漏洞及安全隐患检查,从攻击者视角审查目标
系统的脆弱性状况,包括网络漏洞、应用漏洞
通过使用自动化安全漏洞挖掘工具和在线检测平台,以基于互联网远程检测
的方式,来测试和识别网站当前的安全漏洞和存在的安全脆弱性,从而帮忙客户
全面了解和掌控其网站的安全状况。
2.14.2应用安全漏洞验证服务
对已经发现的安全问题进行人工验证,以判断网站当前的漏洞是否真实有利
用,剔除误报干扰。提供专业的安全加固措施指导建议,并针对加固后的系统开
展二次评估。
2.15主机安全评估服务
根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业
务系统提供不限次数的安全评估服务,提交《安全评估报告》。包括主机系统漏
洞扫描服务、主机系统配置核查服务。
2.15.1主机系统漏洞扫描服务
针对主机系统进行漏洞扫描、端口扫描、弱口令扫描等,覆盖系统的补丁、
服务的开放性及安全研究机构发现的系统问题等,发现系统本身的各种问题。
2.15.2主机系统配置核查服务
主机安全配置核查:针对主机系统进行配置核查,覆盖系统管理方面和安全
加强方面的问题,用于识别由于系统管理员本身的管理不善而带来的安全性问题。
2.16主机入侵清查服务
根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业
务系统提供不限次数的入侵清查服务,提交《入侵清查报告》。
12
2.16.1主机入侵后门安全监控
黑客利用漏洞入侵应用系统,进行植入网页木马(webshell)等入侵行为,
主机入侵风险感知系统能及时发现网页木马并能在1分钟内生成相关的告警,并
能够实时查看告警信息和对应的敏感文件内容。
2.16.2主机网站木马检测
主机网站木马安全监控:黑客利用漏洞入侵应用系统,进行植入网站木马等
入侵行为,主机入侵风险感知系统能在1分钟内发现网页木马并生成相关的告警,
并能够实时查看告警信息和对应的敏感文件内容。
2.16.3主机入侵痕迹检测
黑客利用系统漏洞,向被监控的应用系统主机添加隐藏账号,主机安全监控
系统能在1分钟内生成相关的告警,并能够查实时看告警信息和对应的黑客添加
的系统账号名称。
2.17安全通告服务
提供最新的安全动态、技术和安全信息,包括实时安全漏洞通知、定期安全
通告汇总和安全知识库更新等。通告内容包括但不限于以下内容:
国内外最新重大漏洞、病毒安全通告
国家安全政策及法律法规;
同行业安全威胁事件通告;
国内外重大安全事件,新技术发展动态通告
重大安全漏洞爆发时需结合资产情况,提出相应修复建议。
提交成果:不定期提交《安全通告》
2.18安全培训
2.18.1安全意识培训服务
网络安全宜传周期间,根据采购人要求每年开展一次网络安全宣传活动。
由采购人指定或认可的资深安全专家提供现场培训服务,提供每半年1次2
个课时(90分钟),培训内容包含但不限于以下方面:安全标准、政策法规解读,
信息安全意识、信息安全发展方向,周期性安全服务报告解读,可根据实际情况
与业主沟通定制培训内容。
2.18.2安全技术培训服务
由采购人指定或认可的资深安全服务工程师(需具备CISP资质证书)提供
现场培训服务,提供每半年1次2个课时(90分钟),培训内容包含但不限于以
下方面:网站安全防护、等级保护安全建设、网络安全技术攻防、无线网络安全
防护等,可根据实际情况与业主沟通定制培训内容。
2.19应急预案及演练服务
心
2.19.1网络与信息安全应急预案
定制5个预案场景的《安全应急预案》。
2.19.2网络与信息安全应急演练
针对采购人指定的1个预案场景进行应急演练,并提交《安全应急演练报告》
2.20安全检查协助服务
针对采购人上级主管部门或者网络安全监管部门发布的网络安全相关要求
文件或者网络安全检查事件等,投标人对相关要求提供不限次数的技术支持服务,
并协助配合检查,包括但不限于:每次上级主管部门下发相关安全检查通知后,
投标人需协助客户进行相关政策的解读和消化:根据要求准备相关资料并先进行
自查,不足之处立即进行整改:在上级主管部门检查过程中,需配合进行人员访
谈、资料准备、将上级主管部门领导的意见和建议进行记录和反馈等工作:完成
整改之后,写出已完成整改的内容及下一步努力的方向,并提交监督检查报告。
交付成果:《网络与信息安全检查报告》、《网络与信息安全自查报告》。
2.21远程安全咨询服务
全年提供7X24小时服务支持,当出现网络故障或安全事件时,采购人可立
即以电话咨询或远程维护方式与成交人取得联系,成交人立即给予远程安全技术
咨询协助。
2.22应急响应服务
服务期间根据上级主管部门、监管部门或采购人实际需要,提供不限次数的
人员、软硬件方面应急响应保障工作,针对应急、攻坚克难等紧要环节单独制定
保障方案。重大会议、重大节假日、历史纪念日或网络安全攻防演练期间提供驻
场服务,指派工程师进行7X8小时或者7×24小时现场值守以及7X24小时远
程安全值守。紧急情况需要现场支撑时,投标人需在2小时内安排至少1名具有
服务能力的工程师到达现场处理。工作过程文件及项目交付成果(包括但不限于)
《应急响应服务报告》。投标人需承诺驻场或现场支撑人员具备相应的驻场保障
能力,如在驻场期间采购人发现驻场人员无法胜任该项工作,采购人有权要求投
标人更换驻场人员。投标人在投标报价时需充分考虑本项工作可能存在的人工、
设备等方面成本。
2.23人员要求
2.23.1为了保证应急处置的有效性,到达现场应急人员中至少包含一名
CISP注册信息安全专业人员。
2.23.2为了保证在应用安全漏洞验证过程中的准确性,安全服务团队人员
中至少包含一名CISP注册信息安全专业人员。
2.23.3为了保证主机系统配置核查的服务质量,安全服务团队人员中至少
包含一名CISP注册信息安全专业人员。
2.23.4为了对主机进行彻底的入侵清查,安全服务团队人员中至少包含一
14
名CISP注册信息安全专业人员。
2.23.5为了保证在上级主管部门检查期间的服务质量,安全服务人员中至
少包含一名CISP注册信息安全专业人员。
2.23.6在应急响应服务期间,驻场或现场支撑人员中至少包含一名CISP
注册信息安全专业人员。
附件:考核标准
序号 | 服务质量考核标准 | 满分 |
1 | 未根据采购人网络机房的资产组成,派遗专业工程师到采购人网络机房整理所有网络、安全设备、服务器、通讯设备等资产,绘制网络结构拓扑以及相关联的资产,编制资产清单及资产报告的,每次扣1分。 | 5分 |
等保制度建设未能结合监狱实际,逐条梳理,出现不符合实际、照抄照搬有关模板条款的情况,每次扣1分。 | 5分 | |
未根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业务系统提供不限次数的应急响应服务(包含有人员、软硬件工具),未能在2小时内到达现场,实施最有效的紧急救援及恢复补救方案的,每次扣2分。 | 10分 | |
未根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业务系统提供安全渗透测试服务,派遣安全服务工程师到现场对服务范围内的目标系统进行渗透测试,模拟黑客对目标系统进行渗透攻击,深度挖掘目标系统的漏洞与脆弱性,并提交安全渗透测试报告。原则上1次系统/季度,如遇上级主管部门或监管部门要求,成交人应子以配合并无条件增加次数:出现上述情况每次扣2分。 | 10分 | |
5 | 未根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业务系统提供不限次数的安全检测服务,提交《安全检测报告》的,包括应用安全漏洞扫描服务、应用安全漏洞验证服务,每次扣2分。 | 10分 |
6 | 未根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业务系统提供不限次数的安全评估服务,提交《安全评估报告》的,包括主机系统漏洞扫描服务、主机系统配置核查服务,每次扣2分。 | 10分 |
7 | 未根据采购人上级主管部门、监管部门或采购人实际需要,对服务范围内的业务系统提供不限次数的入侵清查服务,提交(入侵清查报告》的,包括主机后门安全监控、主机网站木马检测、主机入侵痕迹检测,每次扣2分。 | 10分 |
8 | 未在网络安全宣传周期间,根据采购人要求每年开展一次网络安全宣传活动,并承担相关宣传视频、PPT、场地海报制作费用的,每次扣1分。 | 5分 |
15
9 | 未在安全培训期间承担培训专家的所有费用的,每次扣1分。 | 5分 |
10 | 未针对采购人上级主管部门或者网络安全监管部门发布的网络安全相关要求文件或者网络安全检查事件等,对相关要求提供不限次数的技术支持服务,并协助配合检查,包括但不限于:每次上级主管部门下发相关安全检查通知后,协助客户进行相关政策的解读和消化;未根据要求准备相关资料并先进行自查,不足之处立即进行整改:未在上级主管部门检查过程中,配合进行人员访谈、资料准备、将上级主管部门领导的意见和建议进行记录和反馈等工作:未在完成整改之后,写出已完成整改的内容及下步努力的方向,并提交监督检查报告的;出现上述情况每次扣2分。 | 10分 |
11 | 未在服务期间根据上级主管部门、监管部门或采购人实际需要,提供不限次数的人员、软硬件方面应急响应保障工作,针对应急、攻坚克难等紧要环节单独制定保障方案。未在重大会议、重大节假日、历史纪念日或网络安全攻防演练期间提供驻场服务,指派工程师进行7×8小时或者7X24小时现场值守以及7×24小时远程安全值守。紧急情况需要现场支撑时,未在2小时内安排至少1名具有服务能力的工程师到达现场处理。未提交工作过程文件及项目交付成果(包括但不限于)应急响应服务报告》的;出现上述情况每次扣2分。 | 10分 |
12 | 未能全年提供7×24小时服务支持的,每次扣1分。 | 5分 |
13 | 未能按招标文件“2.23人员要求“提供相应资质人员的,每次扣1分。 | 5分 |
考核评估:
考核周期为1年考核1次,完成考核后,支付当年服务费用(合同金额的30%),在考核
期内,采购人都将对成交人提供的安全服务进行考核,考核分数与服务费用直接挂钩。考核
分数总分为100分,考核分数与服务费用直接挂钩,评分办法如下:
(1)考核分数为95分以上,当年服务费不减免:
(2)考核分数为95分及以下,考核分数每扣1分,则减免当年服务费用1%(如考核分
数为85分,则支付当年服务费用的85%)
(3)若考核分数低于80分,则减免当年服务费用50%
(4)若考核分数低于60分或发生重大事故,经认定责任方为成交人的,则采购人有权
拒绝支付当年服务费用并保留取消合同的权利。15、其他约定
15.1合同文件与本合同具有同等法律效力。
15.2本合同未尽事宜,双方可另行补充。
15.3本合同自签订之日起生效
15.4本合同一式6份,经双方授权代表签字并盖章后生效。甲方、乙方各执
(填写具体份数)3份,具有同等效力。
15.5其他:无。口(根据实际情况填写需要增加的内容)。
16
(以下无正文)
省
甲方乙方:福建宏创科技信息有限公司福建省宁德监狱乙方:福建宏创科技信息有限公司
住所住所:福建省福州市鼓楼区软件大道89号福
州软件园F区6号楼23层
单位负责人单位负责人:
委托代理人委托代理大
联系方法:联系方法:0591-87400721
开户银行:开户银行:兴业银行福州城北支行
账号:账号:117260100100024282
签订地点:福建省福州市
签订日期:2022年9月
S日
F
返回顶部