龙岩烟草工业有限责任公司信息系统安全检测评估服务-2025年等项目询价函

招标

金额

项目地址

福建省

发布时间

2024/11/08

公告摘要

项目编号1y202425

预算金额-

招标公司龙岩烟草工业有限责任公司

招标联系人吴洪亮0597-2776583

招标代理机构福建瑞晟建设工程造价咨询有限公司

代理联系人吴若凡0597-2332901

标书截止时间2024/11/15

投标截止时间2024/11/15

公告正文

龙岩烟草工业有限责任公司信息系统安全检测评估服务-2025年等项目询价函 (招标编号:/) 项目所在地区:福建省,龙岩市一、招标条件本龙岩烟草工业有限责任公司信息系统安全检测评估服务 2025年等项目已由项目审批/核准/备案机关批准,项目资金来源为国有资金0万元,招标人为龙岩烟草工业有限责任公司。本项目已具备招标条件,现招标方式为公开招标,特邀请有兴趣的潜在投标人提出资格预审申请。二、项目概况和招标范围规模:详见公告范围:本招标项目划分为1个标段,本次招标为其中的: (001)龙岩烟草工业有限责任公司信息系统安全检测评估服务 2025年等项目; 三、投标人资格要求 (001龙岩烟草工业有限责任公司信息系统安全检测评估服务 2025年等项目)的投标人资格能力要求:/; 本项目不允许联合体投标。四、资格预审文件的获取获取时间:从2024年11月08日00时00分到2024年11月15日17时29分获取方式:附件可下载五、资格预审申请文件的递交递交截止时间:2024年11月15日17时30分递交方式:请各报价供应商按照附件一、附件二、附件三所列内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报价文件(附件一、附件二)加盖报价供应商公章后,于2024年11月15日17:30前扫描并发送邮件至我司联系人电子邮箱。请各报价供应商按照附件一、附件二、附件三所列内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报价文件(附件一、附件二)加盖报价供应商公章后,于2024年11月15日17:30前扫描并发送邮件至我司联系人电子邮箱。六、资格预审开始时间及地点资格预审开始时间: 资格预审地点: 评审办法: 七、其他详见附件八、监督部门本招标项目的监督部门为福建中烟工业有限责任公司龙烟审计派驻办。九、联系方式招标人:龙岩烟草工业有限责任公司地址:福建省龙岩市新罗区乘风路1299号联系人:吴洪亮电话:0597-2776583 电子邮件:wh122333@fjtic.cn 招标代理机构:福建瑞晟建设工程造价咨询有限公司地址: 福建省龙岩市新罗区西陂街道华莲社区龙岩大道中276号A幢2102、2105室(龙工大厦) 联系人: 吴若凡电话: 0597-2332901 电子邮件: 530943495@qq.com 招标人或其招标代理机构主要负责人(项目负责人): 签名) 招标人或其招标代理机构: 盖询价函各报价供应商: 我司进行信息系统安全检测评估服务-2025年等项目(询价编号: 1y202425)的询价工作,请各报价供应商按照附件一、附件二、附件三所列内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考), 并将报价文件(附件一、附件二)加盖报价供应商公章后,于2024年11月 15日17:30前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与! 顺祝商祺! 附件一:报价函附件二:详细报价函附件三:服务内容及要求询价单位:龙岩烟草工业有限责任公司联系人:吴洪亮电话:0597-2776583 电子邮箱:wh122333@fjtic.cn 联系地址:福建省龙岩市新罗区乘风路1299号日期:2024年11月8日 1/9 附件一: 报价函

询价编号：1y202425 项目名称：信息系统安全检测评估服务~2025年等 1、报价包括但不限于：服务费、差旅费、耗材费用、专用工具费、测试费、人工
说明	费、税费、采购保管费、配合实施费用、检验验收、安装调试费、培训费、售后服务以及为完成本项目需要发生的切费用。 2、龙烟公司指龙岩烟草工业有限责任公司，厦烟公司指厦门烟章工业有限责任公司，鑫叶公司指福建鑫叶投资管理集团有限公司，金叶公司指福建省龙岩金叶复烤有限责任公司，金闽公司指福建金闽再造烟叶发展有限公司，下同。 3、本询价函非采购邀约 4、招标代理服务费5500~7000元由供应商支付，需考虑到成本中。 5、报价人须具备国内注册的独立法人资格，提供合格的企业法人营业执照副本复印件；服务内服务
项目名称	品目	品名	项目内容	报价服务地点（不含税，元）	容及要期限求合同签订之H 详见附起至 2025 12 31
信息系统安全检测评估服务 2025年	号 1	信息系统安全检测评估服务	龙烟公司信息系统安全检测评估服务	龙岩市新罗区	详见附件件三
	2	2025年信息系统安全检测评估服务 ~2025年	厦烟公司信息系统安全检测评估服务	厦门市海沧区
	3	信息系统安全检测评估服务	鑫叶公司信息系统安全检测评估服务	厦门市海沧区
	4	~2025年信息系统安全检测评估服务 2025年	金叶公司信息系统安全检测评估服务	龙岩市永定区
	5	信息系统安全检测评估服务 ~2025年	金闽公司信息系统安全检测福州市罗源县评估服务
	报价有效期		至2025~06-30
	发票税率及种类	%增值税专用发票
报价供应商信息	供应商全称（加盖公章）：地址：联系人：电话：电子邮箱：报价日期：

2/9 附件二:详细报价函

序号

服务内容

服务单价（不含税）

单位

龙烟公司

厦烟公司

鑫叶公司

金叶公司

金闽公司

预计数量

小计（元）

预计数量

小计（元）

预计数量

小计（元）

预计数量

小计（元）

预计数量

小计（元）

新系统上线前安全评估

元/个

系统个数

5个

3个

1个

代码审计

元/个

系统个数

5个

3个

1个

风险评估

元/次

评估次数

1次

个人信息安全评估

元/个

系统个数

1个

健康检查

元/次

检查次数

2 次

2次

1次

2次

网站安全监测

元/月

自然月

12个月

应急响应

元/天

响应天数

30天

15天

安全知识普及培训

元/次

培训次数

1次

安全实践培训

元/次

培训次数

1次

专业认证培训

元/次

培训次数

1次

续证服务

元/次

工作次数

等保工作

元/次

工作次数

1次

配置备份

元/次

工作次数

4次

1次

事件处置

元/次

工作次数

4次

1次

广作次新

4次

1次

3/9 合计(不含税,元) 填写说明:小计=服务单价×预计数量。 4/9 附件三:服务内容及要求 1、项目人员配置要求 (1)项目经理须具备PMP证书,以及CISP、CISSP、CISA、Security+、ISO 27001LA 五种证书之一,且具有实施过三个或以上安全服务项目经验。 (2)项目实施人员数量:至少5名(不含项目经理),品目号1、2、3、4、5共5 个项目,每个项目至少有1名不同实施人员对接。项目所有实施人员须具备至少3年以上工作经验。 (3)实施人员现场服务时间要求:中标人须为实际采购人提供现场服务,直至所有服务内容完成(含文档确认),并经双方确认完毕后,方可离开现场。 2、服务内容及具体要求 2.1新系统上线前安全评估服务:中标人应根据实际采购人要求,在实际采购人新业务或新系统上线前,根据系统事先定义的等级保护要求以及烟草行业安全基线要求, 进行全面的安全检查,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供系统上线安全评估报告。具体服务的内容及要求包括但不限于: (1)差距分析服务。中标人应根据等保2.0和烟草行业安全基线要求,进行差距分析,形成差距分析报告,并提供加固建议及协助整改。 (2)漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进行漏洞扫描,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成漏洞扫描报告,对扫描结果进行分析,并提供加固建议及协助整改。 (3)基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成基线核查报告,并提供加固建议及协助整改。 (4)渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试,形成渗透测试报告,并提供加固建议及协助整改。 (5)提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上所有内容的上线前安全评估报告,附上结果判定的过程证明材料,并提供残余问题处置建议。 2.2代码审计服务:中标人应根据实际采购人要求,对实际采购人指定信息系统的所有源代码进行检查,查明威胁点并加以验证,对发现的问题提供加固建议并协助整改, 对整改后的系统进行复测,提供源代码审计报告,并协助实际采购人完善代码安全开发规范。具体服务的内容及要求包括但不限于: 519 (1)中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对实际采购人指定的系统的源代码和软件架构的安全性、可靠性进行 (2)中标人应提供整体源代码审计和功能点入工源代码审计两种代码审计服务, 全面的安全检查。具体服务形式由实际采购人指定。其中整体源代码审计是指源代码审计服务入员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和入工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。 (3)中标人的代码审计服务应至少包括三个阶段,即源代码审计前期准备、源代码审计实施以及现场复查实施阶段。 (4)在审计工作完成后5个工作日内,中标入出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,中标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为实际采购人的安全运维和问题修复工作提供参考。 2.3风险评估服务;中标人应根据《信息安全技术信息安全风险评估规范》、《信息安全技术信息安全风险评估实施指南》及实际采购人其他要求,提供全面风险评估服务,每次涉及信息系统总数不超过30个,具体核查范围由实际采购人指定。中标人应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供风险评估报告。具体服务的内容及要求包括但不限于: (1)中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、漏洞扫描、渗透测试、基线核查、人工检查等多种方式,对实际采购人的整体安全风险进行全面、彻底评估。 (2)中标人应根据实际采购人的风险处置要求,协助实际采购人及时下发风险通知书,并跟踪问题整改情况,进一步降低实际采购人的网络安全风险隐患。 (3)中标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产清单表、脆弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。 2.4个人信息安全评估服务:中标人应根据《信息安全技术个人信息安全规范》、《信息安全技术个人信息安全影响评估指南》及实际采购人其他要求,提供信息系统个人信息安全影响评估服务,具体核查范围由实际采购人指定。中标入应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供个入影响安全影响评估报告 6/9 报告。具体服务的内容及要求包括但不限于: (1)中标人应通过安全访谈、管理制度评估、技术性测试等多种方式,对实际采购人的应用系统涉及个人信息的使用场景开展个入权益影响分析、安全事件可能性分析、风险等级判定等工作,全面了解系统个人信息安全风险,保障个人信息安全。 (2)中标人应根据实际采购人的风险处置要求跟踪问题整改情况,进一步降低实际采购人的个人信息安全风险隐患。 (3)中标人的个人信息安全影响评估服务交付物应包括但不限于《龙烟公司个人信息及个人敏感信息举例识别表》、《个人信息安全规范检查记录》、《个人信息处理活动映射关系表》、《个人权益影响分析表》、《个人信息安全事件可能性分析表》、《综合风险分析及整改评估措施》、《个人信息安全影响评估报告》等。 2.5 健康检查服务:中标人应对实际采购人指定的范围(包括但不限于网络设备、安全设备、主机操作系统、数据库、中间件及网络服务应用)进行全面的漏洞扫描,对实际采购人指定的系统或网站进行渗透测试服务,对风险控制策略进行有效审核,根据发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供漏洞扫描报告和渗透测试报告。 2.6网站安全监测服务:中标人应根据实际采购人要求,通过网站检测云平台对实际采购人所有外部网站进行7*24小时监测。监测时间未超过15天(含15天)按半个月计算,超过15天按一个月计算。中标人应根据实际采购人要求,在实际采购人发生紧急安全事件5分钟以内以电话、短信和邮件等形式对实际采购人指定联系人进行通告, 如实际采购人的网站被挂马、网页被篡改及其它无法访问等情况。具体服务的内容及要求包括但不限于: (1)中标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP 服务监测等)及认证性检测(如远程钓鱼网站监测)。 (2)中标人为实际采购人提供的网站监测服务交付物应包括但不限于《网站安全监测周报》《网站安全监测月报》等。 2.7应急响应服务: (1)中标人应根据实际采购人要求,提供重要时期以及攻防演习期间的网络安全保障工作支持服务,必要时派人提供7×24小时驻场服务。攻防演习前根据实际采购人安排,对实际采购人的互联网资产(如网站、IP、敏感信息等)进行测绘和模拟攻击, 根据发现的问题提供加固建议并协助整改,对整改后的问题进行复测,提供攻击测试报告。 9/9 (2)当实际采购人业务网络或系统出现安全事件时,中标人需提供安全应急专家进行7×24小时的现场安全应急响应工作,协助实际采购人的安全人员及时发现问题, 恢复系统,追查来源,保留证据。在接到实际采购人安全事件通知后,须在30分钟内提供解决方案,并经实际采购人同意。对于可以远程解决的事件,必须在30分钟内指派专业工程师对接,对于必须到达现场解决的事件,若事件发生地在厦门的4小时内到达现场,事件发生地在福建省内厦门以外地区的6小时内到达现场。到达现场后24小时内解决事件,恢复网络与信息系统。在网络与信息系统恢复正常后,应在一周之内向实际采购人提供完整的安全事件分析处理报告。 2.8 安全知识普及培训服务:中标人应根据实际采购人要求,到福建省内实际采购人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会工程学或网络安全法律法规等相关现场培训,每次培训0.5天。 2.9安全实践培训服务:中标人应根据实际采购人要求,到福建省内实际采购人指定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训, 每次2天。 2.10专业认证培训服务:中标人应根据实际采购人要求,提供包括但不限于CISSP、 CISP、CISA、CCSP、CCIESecurity、IS027001、TOGAF9.2、COBIT、CISP-PTE或CISP-DSG 的培训及认证考试。具体培训及认证内容和培训时间由实际采购人安排。 2.11续证服务:中标人应根据实际采购入要求,提供包括但不限于CISP证书续证服务。 2.12等保工作服务:中标人应根据实际采购人要求,配合信息系统等保定级、备案、测评等相关工作,包括但不限于定级咨询、定级专家邀请、配合安全相关文档编写、协助备案、安全设备及防护措施检查、安全问题整改等事宜。 2.13配置备份服务:中标人应根据实际采购人要求,每月协助进行一次安全设备特征库、病毒特征库、固件的升级及安全设备的配置备份。具体范围由实际采购人指定。 2.14事件处置服务:中标人应每月协助实际采购人对日常巡检、日志分析及其它来源发现的安全事件进行记录并跟踪处置。协助编写整改通知书,对于无法处理的事件, 给出整改建议。具体范围由实际采购人指定。 2.15 应急演练服务:中标人应每季度协助实际采购人制定演练计划,开展应急演练, 完成演练总结。 3、配套支持服务及要求中标人应根据实际采购人要求,免费配合策划网络安全宣传周活动方案,提供网络安全宣传周活动素材,提供网络安全专题专栏素材;提供网络安全应急演练方案与环境 8/9 (如钓鱼攻击演练)等;配合上级单位、公安等外部检查单位的安全检查工作;根据实际采购人要求,提交周报、月报、季报、半年报、年报,每项服务完成后5个工作日内提供相关服务报告,每半年装订一次安全服务工作资料。 9/9