云南航空产业投资集团有限责任公司
2023年网络安全服务项目采购预询价公告
云南航空产业投资集团有限责任公司2023年网络安全
服务项目资金已落实到位,根据《云南航空产业投资集团有
限责任公司采购管理办法(试行)》的规定,现面向潜在响应
人公开发布采购预询价公告,请有能力承担本项目工作内容
的潜在响应人基于目前阶段采购人提供的询价资料,提供与
之相匹配的报价资料。
一、项目概况
(一)项目名称:云南航空产业投资集团有限责任公司
2023年网络安全服务项目。
(二)项目预算:约55万元。
(三)采购范围:网络安全管理体系建设、网络安全专
项检查、网络安全教育培训及网络安全宣传活动、网络安全
专业咨询及重要时期网络安全保障、应急响应保障及应急演
练、系统上线前网络安全检测等内容,具体详见本项目服务
质量要求。
(四)服务周期:本项目服务期自合同签订之日起12
个月。
(五)服务要求:详见附件一。
二、潜在响应人资格要求
(一)潜在响应人须为具备经国家市场监督管理部门登
记注册的独立企业(事业)法人或其他组织,具备有效的营
业执照(或其他行政机关颁发的可以合法开展业务的执照或
法人登记证书).
(二)资质要求:需具备中国信息安全测评中心测评通
过的信息安全工程类三级及以上服务资质。
(三)人员要求:应提供不少于5人的固定服务团队,
包含项目经理1名,具备CISP-PTE证书的渗透测试专家和
CISP证书的安全服务专家各2名。
三、报价函的递交
请潜在响应人按照采购人提供的报价表格式(附件二)
完成报价并针对服务要求提供合理的建议(如有),并于2023
年6月16日17时00分前将报价表、基本情况表(附件三)
以及服务要求建议(如有)(附件四)的加盖单位公章的 PDF
版及可编辑的 WORD 版发至邮箱:292869741@qq.com 未
O
按时发送至指定邮箱的报价表及其他材料,采购人不予受理。
四、发布公告的媒介
本次采购预询价公告同时在云南航空产业投资集团电
子交易平台(http://hc.ynairport.com/)和中国招标投标
公共服务平台(http://www.cebpubservice.com/)上发布,
采购人对其他网站或媒体转载的公告及公告内容不承担任
何责任。
五、其他要求
1.本次采购预询价仅为后期采购方案的编制和采购工
作的实施提供参考,本次采购预询价所有内容仅作询价使用,
并不构成后期招采的必要内容。
2.报价组成要求:潜在响应人应按本项目采购预询价公
告所要求的内容进行报价,报价应包含为完成本项目所有工
作以及其他所有可能发生的费用。
3.本次采购预询价不涉及任何费用支付。
六、联系人
采购人:云南机场集团有限责任公司
地址:昆明市官渡区大板桥镇长水国际机场南工作区
联系人: 吕工
电话: 15096679725 七
采购人(盖章)
日期:冗④年〈月日
附件一：服务要求
云南航空产业投资集团有限责任公司 2023 年网络安全服务项目服务质量要求 一、项目概况及范围
（一）项目概况
为贯彻落实党中央、国务院、民航局、省委、省政府关 于做好网络和数据安全工作的部署和要求，有力保障云南航 空产业投资集团有限责任公司（以下简称集团公司）全年重 大活动、重要时期网络安全态势平稳，强化集团公司网络安 全管理能力，提升网络安全管理水平，构建集团公司网络安 全管理、保障体系，提升网络安全管理人员技术水平，强化 网络安全人才队伍建设，消除潜在的、高风险的网络安全威 胁，集团公司拟通过引入具有资质的专业第三方机构，以全 年保障的方式，开展专业技术审查、咨询服务、应急保障、实战测试、技术检测，确保集团公司全年网络安全保障工作 的有效开展。
（二）项目目标
为云南航空产业投资集团有限责任公司提供专业网络 信息安全服务。协助集团公司开展网络信息安全调研评估、专项检查、实战测试、应急保障，排查集团公司网络信息系 统风险隐患及漏洞短板，为集团公司网络安全管理及全年网
络安全工作开展提供专业技术支持；协助集团公司建立完善 网络安全管理、保障工作机制，为集团公司网络安全教育培 训、专业提升及应急保障提供技术支撑。确保集团公司全年 网络安全态势平稳，提升集团公司网络安全管理水平。
（三）名词及通用术语
买方/业主：云南航空产业投资集团有限责任公司。
卖方/供应商：参加本项目报价，符合公开竞价比选文件 规定资格能力要求，在本项目中对业主负总责的法律主体。
成交人：业主通过公开竞价比选成交后，与业主签订合 同即成为项目的成交人。
航产投集团/集团公司：指云南航空产业投资集团有限责 任公司。
集团本部：云南航空产业投资集团有限责任公司本部（包含云南机场集团本部）。
各板块：云南航空产业投资集团有限责任公司具有控制 权的各产业板块。
各机场：云南航空产业投资集团有限责任公司具有控制 权的云南省内民用、通用机场。
控股企业：云南航空产业投资集团有限责任公司具有控 制权的集团控股企业。
网络信息系统：包括但不仅限于集团公司网络系统、业 务信息系统、管理信息系统、工业控制信息系统、APP、web
网站、互联网服务等系统。
（四）项目范围
本次服务范围详见下表：
序号 服务项目 服务范围
航产投集团
1 网络安全管理体系建设
（整体框架）
航产投集团
2 网络安全专项检查（包含：集团本部、各板
块、各机场、控股企业）
航产投集团
网络安全教育培训及网
3 （包含：集团本部、各板
络安全宣传活动
块、各机场、控股企业）
航产投集团
网络安全专业咨询及重
4 （包含：集团本部、各板
要时期网络安全保障
块、各机场、控股企业）
航产投集团
应急响应保障及应急演
5 （包含：集团本部、各板
练
块、各机场、控股企业）
航产投集团
系统上线前网络安全检
6 （包含：集团本部、各板
测
块、控股企业）
二、服务周期
本项目服务期自合同签订之日起 12 个月。
成交人需在服务期内，根据业主的要求和安排，完成本 项目要求中的服务内容。本项目所含费用包含服务过程所有 费用，包括服务过程中所需的一切人工、物耗、交通（差旅 费）、办公、工具、设备、用水、用电、通讯、保险、防疫、取证费（隔离区通行证）、发票税金、修补缺陷、专家评审等。
三、适用标准规范
（一）国家相关标准：
《中华人民共和国网络安全法》
《中华人民共和国数据安全法》
《中华人民共和国个人信息保护法》
《中华人民共和国计算机信息系统安全保护条例》《信息安全技术关键信息基础设施安全保护要求》《信息安全技术信息系统安全管理要求》
《信息安全技术信息系统通用安全技术要求》《信息安全技术信息系统安全等级保护基本要求》《信息安全技术信息系统安全等级保护定级指南》《信息安全技术网络基础安全技术要求》
《信息安全技术操作系统安全技术要求》
《信息安全技术服务器安全技术要求》
《信息安全技术信息安全风险评估规范》
《信息安全技术信息安全事件分类分级指南》
《民用航空信息系统安全等级保护管理规范》
《民用航空网络与信息安全管理规范》
《民用航空网络与信息安全评估规范》
《民用航空信息安全事件分级分类指南》
（二）国际相关标准：
ISO27000 系列
ISO20000（ITIL）系列
ISO15408—信息技术安全评估准则
ISO13335—信息技术-IT 安全管理指南
AS/NZS 4360—风险管理指南
NIST SP 800-30—信息技术系统风险管理指南
NIST SP 800-26—信息技术系统安全自我评估指南 ISO-17799/BS 7799/ISO27001 信息安全管理体系国际标 准
ISO/IEC 27005 信息技术–安全技术–信息安全风险管理 四、服务内容
（一）网络安全管理体系建设
1.内容及要求：
（1）成交人对业主网络安全管理和信息系统现状进行 全面调研评估。
（2）从技术、管理以及安全措施的现状等方面进行评估 检查，对业主网络安全管理组织架构、现有的网络安全管理
办法及网络安全防护措施进行梳理，识别业主集团本部、各 板块及下属各机场、控股企业的风险程度。提交符合《网络 安全法》《数据安全法》《个人信息保护法》等法律规章、标 准规范并符合业主管理实际的《云南航空产业投资集团有限 责任公司网络安全调研评估报告》《云南航空产业投资集团 有限责任公司网络安全管理制度完善修订建议报告》《网络 安全检查单》并通过业主审核。
（3）按业主服务保障需求成交人需提供网络安全临时 驻场服务，通过现场+远程方式协助业主完成服务期间业主 交办的网络安全各项工作任务并输出相应文档资料。
（4）成交人需在服务周期每月最后 1 天向业主提交月 度工作总结，服务周期结束前提交网络安全服务工作报告。必要时，成交人须向业主提交阶段或专项工作报告。
2.交付成果：《云南航空产业投资集团有限责任公司网络 安全调研评估报告》《云南航空产业投资集团有限责任公司 网络安全管理制度完善修订建议报告》《网络安全检查单》《云南航空产业投资集团有限责任公司网络安全服务月报》《云南航空产业投资集团有限责任公司网络安全服务报告》。
（二）网络安全专项检查
成交人根据业主专项检查需求针对业主集团本部、各板 块、各机场、控股企业（以下简称：各单位）当前网络安全 管理情况开展制度落实、网络安全管理、系统运行情况等方
面的专项检查，梳理业主信息系统现状。对标网络和数据安 全法律规章、标准规范及业主网络和数据安全管理制度，排 查网络和数据安全管理存在的风险隐患，提出专项检查分析 报告并提供整改技术支持；成交人需配备专业人员并在服务 期间根据业主专项检查工作要求，配合业主针对检查单位开 展技术检测；除专项检查工作外，成交人每季度需根据业主 明确的实战测试方式通过技术渗透、社工测试等方式针对业 主指定系统和单位开展测试，协助业主排查网络安全管理及 技术防护存在的隐患风险，输成果报告，提供整改技术及应 急支持。
1.内容及要求：
（1）成交人协助业主制定网络安全专项检查方案。
（2）成交人根据业主专项检查方案派出技术服务人员 协助业主开展专项检查，通过访谈、台账检查、技术检测等 方式全面调研分析被检查单位信息系统和网络安全基本情 况，评定检查单位网络安全风险等级，各单位渗透测试和安 全漏洞扫描系统数量，根据业主需求确定。
（3）成交人通过模拟黑客使用工具、分析方法并提供实 战测试平台工具编制《实战测试方案》并经业主确认后针对 业主指定网络信息系统进行模拟攻击，检查业主网络信息系 统是否存在安全漏洞，验证当前系统的安全防护措施，找出 风险点，服务期内实战测试不少于 4 次，每季度不少于 1 次，
单次测试周期不少于 7 个工作日，测试团队不少于 2 个（需 不同公司服务人员组成），每个测试团队不少于 2 人，实战测 试完成后需在 15 个工作日内向业主提交《实战测试评估报 告》，实时记录实战测试发现的风险隐患，并逐项说明提供参
考解决方案，并在业主相关单位整改完成后进行专项验证，验证完成后需在 15 个工作日内向业主提交《测试整改评估 验证报告》。
（4）服务期内成交人需配合业主完成覆盖业主所属具 有控制权单位的渗透测试、安全漏洞扫描技术工作，其中渗 透测试及安全漏洞扫描系统分别不低于 50 个。
（5）成交人按照业主需求开展渗透测试、漏洞扫描，发 现业主系统和设备中存在的漏洞隐患，帮助业主了解安全防
护技术措施是否有效执行，提供管理和技术完善建议及应急
加固方式协助业主开展加固工作，避免对业主网络信息系统
造成严重影响。
（6）成交人须使用具有自主知识产权的安全漏洞扫描 工具对业主指定系统各种软硬件设备进行网络层、系统层、
数据库、应用层的全面扫描与分析，扫描设备检测规则库及 知识库应涵盖 CVE、CNCVE、CNVD、CNNVD 等标准，扫 描完成后须验证所发现的操作系统漏洞、数据库漏洞、弱口
令、信息泄露及配置不当等脆弱性问题。
（7）成交人按照业主要求完成专项检查、网络信息系统
的渗透测试和安全漏洞扫描后，需于检查、测试结束 15 个工 作日内向业主提交《网络安全检查评估报告》《渗透测试报告》《安全漏洞扫描报告》《网络安全风险提示》，协助业主督促 各单位进行整改加固，报告中应对发现的安全问题（情况、危害、修复方式）进行逐项说明并提供参考解决方案。
（8）成交人根据综合调研、检查、检测情况，协助业主 梳理网络安全风险较高单位，按照业主要求开展安全复查和 技术复测，并在检查、测试结束 15 个工作日内向业主提交《检查及复测评估报告》，复测报告须完整记录复测检查内 容及复测评估结论。
2.交付成果：《云南航空产业投资集团有限责任公司网络 安全专项检查方案》《渗透测试方案》《安全漏洞扫描方案》《渗透测试报告》《安全漏洞扫描报告》《网络安全检查评估 报告》《网络安全风险提示》《云南航空产业投资集团有限责 任公司网络安全检查评估报告》《云南航空产业投资集团有 限责任公司网络安全检查情况表》《实战测试方案》《实战测 试评估报告》《测试整改评估验证报告》《检查及复测评估报 告》。
（三）网络安全教育培训及网络安全宣传活动
1.内容及要求：
（1）成交人在协助业主开展专项检查的同时，按照业主 要求在业主每个受检单位提供不少于 2 学时的网络安全培训
服务，成交人须于每次培训前提交培训计划、课件等材料，经业主审核通过后方可开展培训。成交人须于每次培训结束 后 15 个工作日内向业主提交培训总结、培训评估等材料，并 经业主审核确认。
（2）成交人需提供技术培训、技术检测专用工具合法使 用授权，对业主技术团队进行专业培训，培训内容包括但不 限于：工具使用，相关漏洞介绍，信息收集、漏洞发现、漏 洞利用相关技术知识和实践，并提供测试环境协助业主技术 团队开展模拟测试。
（3）成交人需提供至少 5 个 CISP 培训名额，并培训业 主参训人员取得相应证书。
（4）成交人通过视频、海报、宣传周、宣讲、演练平台 等形式协助业主开展网络安全宣传活动，于活动前提交《云 南航空产业投资集团有限责任公司网络安全宣传活动方案》，经业主审核通过后实施，服务期内至少开展 1 次网络安全宣 传周活动，成交人提供必要的网络安全宣传材料，网络安全 专业讲师（经业主确认）、网络安全演练平台工具及环境部署，并协助业主做好对集团本部、各板块、各机场、控股企业的 宣传指导。
2.交付成果：网络安全培训全套资料（包括但不限于培 训计划、课件、培训总结、课程表等）、5 个 CISP 培训名额 及证书、《云南航空产业投资集团有限责任公司网络安全宣
传活动方案》、网络安全宣传材料（视频、手册、电子文档）。（四）网络安全专业咨询及重要时期网络安全保障
1.内容及要求：
（1）重要保障时期，成交人需派遣专业技术人员协助业 主完成集团公司网络安全保障工作，做好应急处置准备，确 保保障期间集团公司信息系统正常运行。重要保障须采取现 场值守方式进行，工作时间按照业主要求执行，在值守期间 成交人应严格按照业主的管理制度及工作要求开展值守保 障工作。
（2）重要保障期间，成交人每天向业主提供《云南航空 产业投资集团有限责任公司网络安全重要保障值守日报》，保障结束后 10 个工作日内向业主提交《云南航空产业投资 集团有限责任公司网络安全重要保障值守总结报告》。
（3）成交人在服务期内按照业主需求提供包括但不限 于网络安全管理、技术防护，安全加固等方面的咨询服务。成交人在接到业主的服务需求时，应及时回应并根据具体需 求按照远程服务或现场对接的方式提供专家咨询服务，提供 措施建议和技术协助。涉及业主网络信息系统，成交人应配 合业主委托厂商开展网络安全技术支持，必要时需提供临时 加固所需应急保障设备及服务。
（4）成交人根据当前的网络安全形势，在安全服务期内，收集整理最新网络安全漏洞、网络安全事件、网络安全资讯
等信息，每月 27 日前形成《安全提示》及时报送业主。成交 人须协助业主排查所属系统是否存在已排查通报的网络安 全漏洞、隐患，并及时将排查核对情况告知业主，指导并帮 助业主相关单位开展漏洞修复及安全加固。
（5）成交人结合政府及行业网络和数据安全风险隐患 处置情况，协助业主梳理并编制网络和数据安全风险隐患处 置案例汇编，指导并协助业主及其所属单位开展网络安全风 险隐患处置工作。
2.交付成果：《云南航空产业投资集团有限责任公司网络 安全重要保障值守日报》《云南航空产业投资集团有限责任 公司网络安全重要保障值守总结报告》《网络安全咨询服务 表》《安全提示》《网络和数据安全风险隐患处置案例汇编》。
（五）应急响应保障及应急演练
1.内容及要求：
（1）成交人在业主网络信息系统遭遇突发网络安全问 题（如：遭遇恶意入侵、病毒爆发、服务器遭劫持等网络安 全事件时），提供应急响应服务，协助业主处理事件，最大限 度地减少事件造成的损害，降低应急处置中的风险。成交人 在业主集团本部、各板块、各机场、控股企业突发网络安全 问题（如：遭遇恶意入侵、病毒爆发、服务器遭劫持等网络 安全事件时），需提供应急响应专业咨询保障服务，协助业主 开展应急处置并提供专业技术指导。
（2）成交人在接到业主应急响应需求后，立即开展事 件分析，30 分钟内提供远程支持，2 小时内到达业主及其 所属单位所在地指定地点协助处理。
（3）业主集团本部、各板块、各机场、控股企业发生网 络安全隐患及突发事件时，成交人须配合业主（系统开发方、系统运维方、系统管理方）开展会商分析，出具《云南航空 产业投资集团有限责任公司网络安全隐患分析报告》，并提 供必要技术支持，协助事件单位恢复系统正常运行。成交人 需配合业主开展集团本部、各板块、各机场、控股企业网络 安全事件调查分析。成交人须针对业主相关网络安全事件分 析事故原因，出具《云南航空产业投资集团有限责任公司网 络安全事件分析报告》提交业主及系统所属单位。
（4）成交人应在完成网络安全隐患、事件的应急、调查、取证等工作后，须于一周内提供相应的安全建议，涉及业主 集团本部、各板块及业主明确的重点单位网络安全隐患、事 件还需提供相应的安全服务，并在网络安全隐患、事件处置 完成后向业主提交《云南航空产业投资集团有限责任公司网 络安全应急响应报告》，报告须完整记录已发生网络安全隐 患、事件的事中、事后的取证、分析等工作及提供的解决方 案，减少或降低再次发生此类网络安全隐患、事件可能造成 的风险及损失。
（5）成交人须在服务周期内协助业主至少组织 1 次应
急演练，在应急演练前提交《云南航空产业投资集团有限责 任公司网络安全应急演练实施方案》，经业主评估论证通过 后方可实施。成交人在应急演练中全程接受业主的监督检查，并应确保应急演练不会对业主相关系统、网络、设备造成破 坏，并于应急演练完成后提交《云南航空产业投资集团有限 责任公司网络安全应急演练总结报告》。
（6）成交人网络安全调研评估、专项检查及应急演练情 况，结合业主网络信息安全管理现状，分析梳理并协助业主 完善应急预案和应急机制，向业主提交《云南航空产业投资 集团有限责任公司网络安全应急预案完善建议》《云南航空 产业投资集团有限责任公司应急管理完善建议》，协助业主 持续完善应急管理体系。
2.交付成果：《云南航空产业投资集团有限责任公司网络 安全隐患分析报告》《云南航空产业投资集团有限责任公司 网络安全事件分析报告》《云南航空产业投资集团有限责任 公司网络安全应急响应报告》《云南航空产业投资集团有限 责任公司网络安全应急演练实施方案》《云南航空产业投资 集团有限责任公司网络安全应急演练总结报告》《云南航空 产业投资集团有限责任公司网络安全应急预案完善建议》《云南航空产业投资集团有限责任公司应急管理完善建议》。
（六）系统上线前网络安全检测
1.内容及要求：
成交人须根据业主要求针对服务期内业主集团本部、各 板块、控股企业可能新上线系统（含功能和模块）进行等保 差距分析，指出新上线系统中存在的风险及漏洞，出具《XX 系统上线网络安全评估报告》。由业主评估后，通告系统所属 单位进行整改，成交人需持续跟进系统整改情况，在整改完 成后开展必要的复测工作，并向业主提交《XX 系统上线复 测报告》。
2.交付成果：《XX 系统上线网络安全评估报告》《XX 系 统上线复测报告》。
（七）服务交付成果要求
成交人所提交的服务交付成果、相关报告，须为 WORD/PPT/PDF 文本格式的电子版及含书面签章的封装纸 质版。所出具的交付成果须由成交人项目经理签字确认并 加盖公司印章后方可提交业主，交付成果在项目整体验收 时须通过业主评审确认（包含不少于 2 名名行业专家验收 评审），涉及评审费用包含在总价内，不另外计取。
具体交付成果见下表：
（本表所列实施数量仅为重点内容摘要非全部内容表 述。）

序 号	服务类别	实施数量和服务范 围	相关交付成果
1	网络安全管 理体系建设	实施数量：网络安 全体系建立服务期	1.《云南航空产业投资集团有限责 任公司网络安全调研评估报告》；

内一次；网络安全
驻场服务按需。
服务范围：航产投
集团（整体评估）。
2.《云南航空产业投资集团有限责 任公司网络安全管理制度完善修
订建议报告》；
3.《网络安全检查单》；
4.《云南航空产业投资集团有限责 任公司网络安全服务月报》；
5.《云南航空产业投资集团有限责 任公司网络安全服务报告》。
1.《实战测试方案》；
2.《实战测试评估报告》；
实施数量：渗透测
3.《测试整改评估验证报告》；试及安全漏洞扫描
4.《云南航空产业投资集团有限责 系统分别不低于 50
任公司网络安全专项检查方案》；
个；实战测试服务
5.《渗透测试方案》；期内不少于 4 次每
6.《安全漏洞扫描方案》；季度不少于 1 次。
7.《渗透测试报告》；
网络安全专
8.《安全漏洞扫描报告》；2
项检查 服务范围：航产投
9.《网络安全检查评估报告》；集团（包含：集团
10.《网络安全风险提示》；本部、各板块、各
11.《云南航空产业投资集团有限 机场、控股企业）
责任公司网络安全检查评估报
告》；
12.《云南航空产业投资集团有限
责任公司网络安全检查情况表》；
13.《检查及复测评估报告》。
实施数量：网络安
全培训服务按需；
技术培训按需；5
个 CISP 培训名额及
1.网络安全培训全套资料（包括但 不限于培训计划、课件、培训总
网络安全教 证书；网络安全宣 结、课程表等）；
育培训及网 传周至少开展 1 次 2.5 个 CISP 培训名额及证书；
3
络安全宣传 活动。3.《云南航空产业投资集团有限责
活动 任公司网络安全宣传活动方案》；
服务范围：航产投
集团（包含：集团
本部、各板块、各
机场、控股企业）
4.网络安全宣传材料（视频、手 册、电子文档）。
1.《云南航空产业投资集团有限责 任公司网络安全重要保障值守日
实施数量：按需。报》；
网络安全专 2.《云南航空产业投资集团有限责
业咨询及重 服务范围：航产投 任公司网络安全重要保障值守总
4
要时期网络 集团（包含：集团 结报告》；
安全保障 本部、各板块、各 3.《网络安全咨询服务表》；
机场、控股企业）
实施数量：应急响
4.《安全提示》；
5.《网络和数据安全风险隐患处置
案例汇编》。
1.《云南航空产业投资集团有限责
应按需；应急演练 任公司网络安全隐患分析报
应急响应保
服务期内协助业主 告》；
5 障及应急演
2.《云南航空产业投资集团有限责
练 至少开展 1 次。
任公司网络安全事件分析报
告》；
服务范围：航产投
集团（包含：集团
3.《云南航空产业投资集团有限责 任公司网络安全应急响应报
本部、各板块、各 告》；
机场、控股企业）
实施数量：按需。
4.《云南航空产业投资集团有限责 任公司网络安全应急演练实施方
案》；
5.《云南航空产业投资集团有限责 任公司网络安全应急演练总结报
告》；
6.《云南航空产业投资集团有限责 任公司网络安全应急预案完善建
议》；
7.《云南航空产业投资集团有限责 任公司应急管理完善建议》。
系统上线前 1.《XX 系统上线网络安全评估报
服务范围：航产投集
6 网络安全检 告》；
团（包含：集团本部、
测 2.《XX 系统上线复测报告》。
各板块、控股企业）
五、人员资质及配备要求
（一）成交人需具备中国信息安全测评中心测评通过的
信息安全工程类三级及以上服务资质。
（二）本项目成交人应提供不少于 5 人的固定服务团队，
包含项目经理 1 名，具备 CISP-PTE 证书的渗透测试专家和
CISP 证书的安全服务专家各 2 名。所有团队成员均为成交人
签署合同的正式员工，同时应提供项目成员表并加盖单位公
章。
（三）本项目的固定服务团队除不可抗力、人员离职或 者已经征得业主同意外，不得随意变更。成交人在服务期间，需按照业主要求无条件增派满足业主服务项目所需的人员 配置。
（四）成交人开展本项目服务的成员如因工作须进入机 场隔离区和其他控制区域，须熟悉并严格遵守各机场控制区 人员通行证件管理规定。
（五）成交人的项目成员须严格遵守国家法律、法规，以及云南航空产业投资集团、各板块、各机场、控股企业的 管理规定，如有违反，由成交人承担由此造成的损失和责任。
（六）业主将根据成交人项目人员综合情况进行评定，必要时，有权要求成交人对项目人员进行更换，业主提出明 确更换要求时，成交人须根据业主要求对人员进行调整。
（七）本次项目实施过程成交人项目经理须全程参与其 中，负责组织协调相关人员完成服务质量要求包含的 6 项服 务内容。
（八）本项目实战测试团队所属单位需与业主签订网络 安全和保密协议并严格遵守。
六、服务设施设备配置要求
成交人应提供通过安全评估的安全漏洞扫描工具和应 急处置工具，扫描设备检测规则库及知识库应涵盖 CVE、
CNCVE、CNVD、CNNVD 等标准。
演练平台需具有知识产权合法授权并通过安全评估，确 保业主合法获得使用许可。
七、服务质量及验收要求
（一）服务质量要求
1.成交人须根据服务要求完成各项服务工作，并交付网 络安全管理体系建设、网络安全专项检查、网络安全教育培 训及网络安全宣传活动、网络安全专业咨询及重要时期网络 安全保障、应急响应保障及应急演练、系统上线前网络安全 检测等工作的输出过程文档、报告、其他材料。
2.保密要求
鉴于成交人在服务中会涉及业主重要网络信息系统，为 加强网络信息系统的网络安全管理，提出以下保密要求：成交人在访问网络信息系统期间，负有保护业主的网络 安全、数据安全的义务和责任；负有保护所持有、接触的属 于或涉及业主商业秘密的信息安全的义务和责任。
商业秘密是指因其信息泄露会影响业主生产和发展、影 响业主技术进步、使业主在商业竞争中处于被动或不利地位、使业主经济利益受到损害、影响业主对外交流和商业谈判顺 利进行、影响业主稳定和安全、影响业主对外承担保密义务 的事项。
成交人须与业主签署保密协议和网络安全承诺书。本项
目的过程数据和结果数据须严格保密，未经业主授权不得将 项目中所有事项、文档等信息泄露给第三方，否则业主有权 追究相关服务提供商及人员的责任。
3.服务质量偏离情况
本项目仅允许正偏离。供应商应对照服务质量要求全部 条款，逐条说明所提供服务已对服务质量要求做出了实质性 的响应。
（二）验收要求
1.成交人应按照单项工作材料交付要求向业主提交过程 文档及报告材料。具体交付物详见“四、服务内容”明确的交 付物要求。
2.服务期满后，如双方认为项目已具备验收条件，成交 人向业主提出验收申请，业主在接到成交人验收申请后对成 交人提交的资料进行初审，确认成交人提交资料符合项目验 收要求后，由业主组织邀请相关部门、单位及行业专家对成 交人技术服务工作提交的交付物进行验收审核，由业主对项 目服务情况进行评价。
3.验收完成后，成交人应及时提交项目服务内容规定的 全套交付资料（具体交付成果详见“四、服务内容”的“（七）服务交付成果要求。”）。每项交付资料含原件 1 份、加盖公 章的复印件 1 份、电子版 2 份。所有交付资料须由成交人委 派的项目经理签字并加盖单位公章且经业主认可。
4.项目验收方式由业主确定。
八、服务考核标准
（一）考核内容说明
1.业主针对本次项目开展服务质量考核，对于成交人未 严格按照约定进行服务的或服务考核不合格的行为进行相 应的处罚。
2.服务期间，本项目的固定服务团队除不可抗力、人员 离职或者已经征得业主书面同意外，不得随意变更。成交人 固定服务团队人员未经业主书面同意擅自离场或成交人擅 自更换项目经理及团队成员的，视为未经认可的变更，成交 人须在 24 小时内恢复原有服务团队人员，且提交正式书面 情况说明至业主。
3.成交人未按照项目执行内容约定的时限和地点现场配 合工作，或未按双方认可的工作计划进行项目服务的，视为 未经认可的变更，须提交正式书面说明至业主。
4.成交人须根据服务要求完成各项服务工作，并交付网 络安全管理体系建设、网络安全专项检查、网络安全教育培 训及网络安全宣传活动、网络安全专业咨询及重要时期网络 安全保障、应急响应保障及应急演练、系统上线前网络安全 检测等工作的输出过程文档、报告及其他材料，对于不积极 配合提交各项工作文档、报告、其他材料的，视为文档遗漏。
5.成交人未按照业主现场管理规定等要求执行，视为人
员违反规定。须提交正式书面说明至业主。
6.成交人有以下情况之一的，视为响应不及时。
（1）成交人未按时限要求提供阶段工作报告且成交人 未在 2 天内纠正完成，提交合格的材料至业主审核的。
（2）成交人向业主提供的项目经理或专项负责人员电 话在工作时间 5 分钟内无法接通且无任何回复的。
（3）因成交人工作不当受到业主代表或业主同级/上级 单位通报批评的。
7.成交人因违反网络和数据安全等法律、法规、行政规 定，造成业主产生损失或负面影响的，成交人必须返还业主
已支付的服务费用，并承担由此产生的相关损失和责任。
8.自合同签订之日起，成交人应在 15 个日历日内按业主 要求提供本项目的服务方案，到期未提供的，接受业主口头 警告一次。成交人在随后 5 个日历日内须提供本项目的服务 方案，如 5 个日历日后仍未提供的，视为成交人主动放弃该 合同，并接受合同中约定的相应条款处罚。
9.成交人在合同周期内，通过漏洞扫描及渗透测试发现 的系统漏洞，应及时提交业主，由业主对系统所属单位进行
通报，并协助督促系统所属单位进行整改，在执行过程中，
权责按照如下要求执行：
（1）成交人未按照要求及时提交相关报告，造成的网络 安全事件的，由成交人承担相应责任。
（2）成交人按照要求及时提交了相关报告，业主代表及 时通报了系统所属单位，但系统所属单位未在要求的时限内 完成整改或整改不彻底造成的网络安全事件，系统所属单位 承担全部责任。
（3）成交人按照要求及时提交了相关报告，业主及时通 报了系统所属单位，系统所属单位也在要求的时间内完成整 改，但是因为成交人未发现的系统漏洞造成的网络安全事件，成交人承担主体责任。
（二）考核规则说明
针对成交人提供的服务，按照如下规则进行考核扣款，扣款情况写入服务考核表：
1.事故扣款规则
因成交人未取得业主同意对业主未授权网络信息系统 进行渗透测试或因成交人违规操作造成业主网络信息系统 隐患的，适用如下扣款规则：
扣款标准 级别
修复时间要求 一般隐患 小于 1 小时 每超出 10 分钟扣款 1000 元 重大隐患 小于 30 分钟 每超出 10 分钟扣款 1000 元 成交人应及时在规定时限内完成隐患的修复工作，并提 交正式的隐患原因和修复书面说明至业主。相关等级由业主 根据现场情况具体判定。
2.非隐患扣款规则
类别 单位 扣款标准
文档遗漏 每次 每次扣款 500 元
人员违反规定 每次每人 每次每人扣款 800 元
响应不及时 每次 每次扣款 500 元
未经认可的变更 每次每人 每次每人扣款 1500 元
附件二：报价表
云南航空产业投资集团有限责任公司 2023 年网络安全服务项目报价表

序号	报价项	报价（元）	备注
1	网络安全管理体系建设
2	网络安全专项检查
3	网络安全教育培训及网 络安全宣传活动
4	网络安全专业咨询及重 要时期网络安全保障
5	应急响应保障及应急演 练
6	系统上线前网络安全 检测
合计

单位名称（盖章）：
日期：年月日
附件三：基本情况表
企业基本情况表

单位名称
项目名称
注册地址			邮政编码
联系人			联系电话
法定代表人	姓名		电话
成立日期
基本账户开户银行
基本账户银行账号
经营范围
类似业绩
备注

注：后附营业执照（或其他行政机关颁发的可以合法开展业务的执照或法人登记 证书）、资质证书（如有）、业绩证明材料（如有）等复印件或扫描件。
单位名称（盖单位章）：
日期：年月日
附件四：服务要求建议
服务要求建议

服务要求原文内容	修改建议	修改理由

单位名称（盖单位章）：
日期：年月日