中标
智慧蓉城运行管理平台安全中心服务项目公开招标中标公告
智慧蓉城运行管理平台安全中心服务安全基础设施服务基础安全防护服务数据安全治理服务运行维护服务城市管理手段智能化管理互联网数据大数据中信息技术手段城市科学化市管理精细化城市治理体系治理能力现代化云计算区块链风险评估服务人工智能前沿技术管理模式理理念创新产业数字化智慧化智慧蓉城运行中心网络强国数字中国智慧蓉城配套相关系统超大型城市安全运行服务完善科学治理政务值守运行监测风险预警指挥调度管理城市运行实时监测分析预警突发事件高效协同处置智慧应用场景超大城市敏捷治理个人信息保护关键基础设施保护条例个人隐私保护智慧蓉城市级城市运行管理平台数据要素化和流动政府数据治理数字经济数据资源化利用数字产业化民生服务政务数据交换共享系统安全保障能级安全风险分析云安全架构设计合规防御积极防御情报协同阶段智慧蓉城数数据及隐私安全业务数据高效流通政务数据高效流转智慧蓉城建设威胁情报中心服务隐私计算平台服务nAPI接口审计全流量探针服务APP评估及加固服务估及加固威胁诱捕服务零信任运维服务红蓝对抗服务安全检查服务系统接入安全评估安全培训服务区块链平台安全监测安全保障体系评估服务数据安全管理体系建设服务数据资产梳理服务数据安全风险评估报告数据访问权限稽查服务数据安全策略管理服务数据安全风险监测及告警服务安全告警数据安全溯源分析服务数据安全应急响应及处置威胁情报中心平台服务威胁检测电子政务外网准化威胁情报数据能力基础数据网络空间安活跃攻击组织数据鲜活可用全流量采集存储装置后续数据威胁情报运营服务威胁情报能力中心平台数据运营威胁样本分析服务威胁情报赋能隐私计算服务引擎智慧蓉城城市运行管理平台相关支撑系统隐私计算运营服务隐私场景分析隐私数据分析隐私建模API接口资产的识别据违规使用监测预警政务云网络安全风险事件深度分析能力网络流量数据包统一按需分发能力政务云核心通讯节点全流量数据采集复制引擎第三方安全设备数据分发全内容记录降低网络事件日志存储移动APP/小程序全面安全检测业务漏洞补丁修复复测APP防护加固服务定制化文加壳保护防反编译加密保护防调试防篡改动APP被恶意攻击造成应用失陷威胁诱捕系统零信任管控平台服务运维接入代理服务运维接入代理业务应用后台维护访问控制策略基于请求上下文的信任动态调整数据可信环境服务可信环境感知服务提供数据可信使用环境境感知组件运维终端抗演习平台模拟真实生产环境的仿红蓝对抗演练攻防管理全程留痕网络安全实战对抗能力信息安全专项审计检查专业技术整改建议系统对接风险评估服务数据安全风险评估服务安全意\n识培训数据安全法私保护安全意识培训服务nCDSP安全认认证培训服务数据安全框架最佳实践安全设计云安全认证CCSP认证培训培训服务总结和效果评估培训费区块链平台安全检测服务安全检测服务险监测服务模拟攻击测试核心代码白盒审计白盒审计安全检测报告信息安全风险评估台重大功能变更过程中的预变更模块安全保障体系评估系评估服务安全技术保障综合评估DSMM数据安全能力成熟度模型安全能力成熟度模型关法律法规通过咨询数据安全管理组织协助完善制定制度发布流程步骤现有管理体系调研体系建设框架体系内容级文档修订安全管理制度宣贯配套支撑系统数据智能发现数据索引标记服务器扫描数据库扫描自动化工具专业人工服务数据资产发现数据资产清单补缺主机加固系统数据重要程度数据量数据所在位置数据载体理清单敏感数据规则数据资产的内部结构信息字段大数据内部的表列族属性文件系统的目录结构目录结构据分布报告数据规则安全运维统现状梳理脆弱性扫描安全配置核查数据安全访问权限稽查服务获取系统验证权限控制措施梳理稽稽查报告数据权限调研调研报告略管理服务数据分类分类数据安全策略统一管理可视化呈现可控可管数据安全技术手段策略定义策略分析数据脱敏策略清单数据加密策略清单数据水印多种能力API接口有效性验证输出数略管理建议安全预警服务日志采集分析据流转分析工服务对其核心业务数据流转数据安全工具用户异常行为情报预警通告源分析服务人物画像能力泄露建模数据溯源命周期管控数据安全风险事件敏感信息访问行为行综合分析后续响应处置提供处置安全威胁事件溯源分析IP定位数据数据安全溯源分析报告数据安全应急响应处置服务数据访问异常分析心业务系统在发生黑客入侵攻击数据资产泄露抑制处理系统正常运行急预案数据安全应急响应报告运营服务威胁情报平台服务软件工具平台外部数据服务时注入相关专业安全人员能力有效远转能力整合与使用情报采集情报生产情报狩猎原始数据存储多源情报查询情报关联分析研判溯源交互呈现多源数据商业情报源开源情报源联网数据第三方数据对接查询量各专业安全单位运营RESTFULAPI情报匹配IP指纹Web指纹DNS数据Whois数据社工数据漏洞库数据各类数据高准确度规则库新鲜度开源共享信息交换购买方数据源威胁信息表示规范数据的接入对该类数据可信度评估主动在线采集被动在线接收离线文件导入STIX扩展保护技术自定义数据类型热点事件捕获爬虫技术国内外安全从业人员微博Twitter博客官方网站解析页面内容PDF等格式文件机器学习模型NLP算法深度的IOC信息热点事件威胁信息提取加工支持家族信息攻击组织研究跟踪研究僵木蠕更新服务方\n案和服务计划需求调研求分析迭代开发重大活动或会议保障方案计划年度运月度推独立事项拟定推进方案根据审核组织实施推广维报告服务报告运营推广报告数据进行收集分料文档件系统测试资产风险等级保护测评系统巡检现场巡查系统维护服务整改软件开发自测时间保障维修数据交互对接安全服务人员通过提供数据接口及相关配合数据安全服务日常考勤制度人员考核制度工作汇报制度例会沟通管理制度监理服务软件测评等保测评密码测评技术支持服务软件系统信息化服务经费报告系统软硬件应用系统季度服务费用报告密评威胁情报数据服务第三方情报源API接口审计服务APP安全评估服务安全应急响应服务商务应答表API接口审计系统安全数据采集威胁情报的采集APT训练集相关特征判定模型恶意样本进行处理高价值样本规避技术基于图数据库Graph知识图谱关联关系自动补全情报拓线Intelligence高级检索样本报告动态链接库调用导出函数动态行为报告杀软告警信息metadata元数据lang文件语言类型恶意样本进行分类恶意样本情报
金额
1003万元
项目地址
四川省
发布时间
2022/06/07
公告摘要
项目编号510101202200423
预算金额1028.9万元
招标联系人冯老师
招标代理机构四川咨森招标代理有限公司
代理联系人何女士028-85330515
中标公司北京启明星辰信息安全技术有限公司1003万元
中标联系人-
公告正文
智慧蓉城运行管理平台安全中心服务项目公开招标中标公告
| 一、项目编号 |
|||||||||||||
| 510101202200423 | |||||||||||||
| 二、项目名称 | |||||||||||||
| 智慧蓉城运行管理平台安全中心服务项目 | |||||||||||||
| 三、中标(成交)信息 |
|||||||||||||
|
|||||||||||||
| 四、主要成交标的信息 | |||||||||||||
| 货物类 |
|||||||||||||
| 工程类 | |||||||||||||
| 服务类 |
|
||||||||||||
| 五、评审专家(单一来源采购人员信息)名单 |
|||||||||||||
| 张悦,罗鑫,苟向松,唐小红,罗文锋,但强(采购人代表),王志新(采购人代表) | |||||||||||||
| 六、代理机构收费标准及金额 | |||||||||||||
| 代理机构收费标准 |
招标代理服务费由中标人向采购代理机构支付。招标代理服务费以中标金额乘以服务年限为基数,采用差额定率累进法,100万(含)以下部分乘以1.5%计算收取,100万以上500万(含)以下部分乘以0.8%计算收取,500万以上1000万(含)以下部分乘以0.45%计算收取,1000万以上部分乘以0.25%计算收取,累计相加后按累计金额的80%收取。 | ||||||||||||
| 代理机构收费金额 | 95780 | ||||||||||||
| 七、公告期限 |
|||||||||||||
| 自本公告发布之日起1个工作日 |
|||||||||||||
| 八、其它补充事宜 |
|||||||||||||
| 其它补充事宜 | 备案号:51010022210200003922,预算品目:C0206运行维护服务,财政监督电话:028-61882648,中标(成交)供应商为中小微企业的,可依据政府采购合同申请政府采购信用融资。 1、根据《四川省财政厅关于推进四川省政府采购供应商信用融资工作的通知》(川财采〔2018〕123号)文件要求,有融资需求的供应商可根据四川政府采购网公示的银行及其“政采贷”产品,自行选择符合自身情况的“政采贷”银行及其产品,凭中标(成交)通知书向银行提出贷款意向申请。 2、根据《成都市中小企业政府采购信用融资暂行办法》和《成都市级支持中小企业政府采购信用融资实施方案》,成都市范围内政府采购项目中标(成交)供应商为中小微企业的,可依据政府采购合同申请政府采购信用融资(具体内容详见文件附件“成财采〔2019〕17号”)。采购项目需要落实的政府采购政策:促进中小企业发展、促进监狱企业发展、促进残疾人福利性单位发展。 | ||||||||||||
| 其它补充事宜内容url | |||||||||||||
| 九、对本次公告内容提出询问,请按以下方式联系 | |||||||||||||
| 1.采购人信息 |
|||||||||||||
| 名称 | 成都市大数据中心(成都市网络理政中心) | ||||||||||||
| 地址 | 成都高新区蜀锦路68号 | ||||||||||||
| 联系方式 | 联系人: 冯老师 。联系电话: 028-61885992 | ||||||||||||
| 2.采购代理机构信息 |
|||||||||||||
| 名称 | 四川咨森招标代理有限公司 | ||||||||||||
| 地址 | 成都市高新区吉泰路666号福年广场T1栋1404号 | ||||||||||||
| 联系方式 | 联系人: 何女士 。联系电话: 028-85330515 | ||||||||||||
| 3.项目联系方式 |
|||||||||||||
| 项目联系人 | 何女士 | ||||||||||||
| 项目联系电话 | 028-85330515 | ||||||||||||
| 十、附件 | |||||||||||||
| 采购文件 | |||||||||||||
| 评审文件 |
|||||||||||||
| 中小企业声明函 | |||||||||||||
| 残疾人福利性单位声明函 | |||||||||||||
| 注册所在县扶贫部门聘用证明 |
|||||||||||||
| 被推荐供应商名单和推荐理由 | |||||||||||||
附件信息:
510101202200423智慧蓉城运行管理平台安全中心服务项目发布版.doc510101202200423智慧蓉城运行管理平台安全中心服务项目发布版.doc
3.4M
评审情况表——智慧蓉城运行管理平台安全中心服务项目.doc评审情况表——智慧蓉城运行管理平台安全中心服务项目.doc
26.5K
招标项目技术、服务、政府采购合同内容条款及其他商务要求.pdf招标项目技术、服务、政府采购合同内容条款及其他商务要求.pdf
478.8K
招标项目技术、服务、政府采购合同内容条款及其他商务要求
\n一.项目概述
\n1.1.项目背景
\n1..习近平总书记关于城市管理工作的重要指示
\n2017年,习近平总书记在全国两会上提出“城市管理应该像绣花一样精细”
\n的总体要求,指出:“要强化智能化管理,提高城市管理标准,更多运用互联网、
\n大数据等信息技术手段,提高城市科学化、精细化、智能化管理水平”。实现城
\n市管理精细化,成为全国各地城市政府的一项重要任务。
\n2020年,习近平总书记在杭州城市大脑运营指挥中心考察时指出:推进国家
\n治理体系和治理能力现代化,必须抓好城市治理体系和治理能力现代化,运用大
\n数据、云计算、区块链、人工智能等前沿技术推动城市管理手段、管理模式、管
\n理理念创新,从数字化到智能化再到智慧化让城市更聪明一些、更智慧一些,是
\n推动城市治理体系和治理能力现代化的必由之路,前景广阔。
\n2.成都市启动智慧蓉城运行中心建设工作
\n为贯彻落实习近平总书记“一流城市要有一流治理,要注重在科学化、精细
\n化、智能化上下功夫”的重要论述精神和网络强国、数字中国、智慧社会等系列
\n决策部署,根据市委、市政府有关“智慧蓉城”建设的工作部署,加快推进城市
\n运行“一网统管”建设,进一步推动超大型城市安全运行、服务完善、科学治理。
\n以大运会保障为契机,以“智慧蓉城”运行中心建设为切入点,利用半年左
\n右时间挂图作战,在2022年6月前,建成投用“智慧蓉城”运行中心,形成与
\n“智慧蓉城”运行中心配套的政务值守、运行监测、风险预警和指挥调度管理体
\n制,初步实现城市运行实时监测分析预警、突发事件高效协同处置,在相关领域
\n形成一批可复制、可推广的智慧应用场景,超大城市敏捷治理、科学治理能力显
\n著提升。
\n3.国家对网络安全要求进一步提升
\n国家在2016年颁布《网络安全法》后,陆续启动了《等保2.0》,并颁布
\n了《密码法》、《数据安全法》、《关键基础设施保护条例》、《个人信息保护
\n法》等安全法律法规,对关键基础设施、数据、个人隐私等做了更为明确的要求,
\n智慧蓉城运行中心作为城市运行管理的核心系统,影响整个城市并扩展到影响到
\n国家安全,对于安全保障工作就更为重要。
\n4.促进数据要素化和流动成为政府数据治理和数字经济发展的关键途径
\n2017年,习近平总书记强调“书记是新的生产要素,是基础性资源和战略
\n性资源”,标志着数字经济进入一个全新的阶段。数字经济体现在“政府推动”,
\n重点强调通过数据资源化利用,赋能数字产业化和产业数字化,实现政府治理能
\n力、民生服务水平以及经济发展质量三个方面的提升;另一方面体现在“市场配
\n置”,强调通过数据要素化配置,实现经济社和的效益倍增、安全倍增以及财富
\n倍增。目前政务数据交换共享有序开展,不过还存在部分较为敏感的数据难以有
\n效利用,促进数据要素化和流动,是政府数据治理的关键路径。
\n1.2.项目目标
\n实现安全保障工作合规,智慧蓉城配套相关系统满足《等保2.0》、《数据
\n安全法》、《个人信息保护法》、《关基条例》、《密码法》等法律法规合规要
\n求。
\n提升系统安全保障能级,基于系统平台的安全风险分析,从原有的基础安全
\n的安全架构、合规防御,提升至积极防御和情报协同阶段;重点治理智慧蓉城数
\n据安全,保障数据及隐私安全。
\n促进业务数据高效流通,实现数据流转可用不可见,促进政务数据高效流转,
\n加快智慧蓉城建设步伐。
\n1.3.主要服务内容
\n项目的服务内容主要包括安全基础设施服务、基础安全防护服务和数据安全
\n治理服务等。
\n1.安全基础设施服务主要包括打造一体化的威胁情报中心赋能基础安全防
\n护,构建隐私计算平台促进业务数据高效流通。
\n2.基础安全防护服务主要包括API接口审计服务、全流量探针服务、APP评
\n估及加固服务、威胁诱捕服务、零信任运维服务、红蓝对抗服务、安全检查服务、
\n系统接入安全评估、安全培训、区块链平台安全监测、区块链风险评估和安全保
\n障体系评估服务等内容。
\n3.数据安全治理服务主要包括数据安全管理体系建设服务、数据资产梳理服
\n务、数据安全风险评估服务、数据访问权限稽查服务、数据安全策略管理服务、
\n数据安全风险监测及告警服务、数据安全溯源分析服务、数据安全应急响应及处
\n置服务。
\n1.4.服务清单
\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n| 序号\n | 服\n务\n项\n | 服务名称\n | 服务名称\n | 服务内容\n |
| 1\n | 安\n全\n基\n础\n设\n施\n服务\n | 威 胁 情 报 中\n心服务\n | 威胁情\n报中心\n平台服\n务\n | 为实现主动、协同式的网络安全威胁预\n警、检测和响应,有效降低平均威胁检\n测时间和响应时间,提高整网络安全整\n体防护能力,将通过部署本地化威胁情\n报能力中心融汇第三方安全厂商(含科\n研院所)、电子政务外网、全市各委办\n局自产生的威胁情报特征信息(域名、\nIP、威胁样本、威胁行为等),形成标\n准化威胁情报数据能力,以 API 接口形\n式实现与现有安全设备的联动处置。\n |
| 2\n | 安\n全\n基\n础\n设\n施\n服务\n | 威 胁 情 报 中\n心服务\n | 威胁情\n报数据\n服务\n | 中心基础数据(比如:近期网络空间安\n全形式、热点以及活跃攻击组织),确\n保数据鲜活可用,针对待接入威胁情报\n能 力 中 心 的 威 胁 情 报 数 据 进 行 数 据 治\n理,确保按照标准格式接入并存储数据\n( 为 后 续 数 据 的 有 效 使 用 提 供 标 准 基\n础)。\n |
| 3\n | 安\n全\n基\n础\n设\n施\n服务\n | 威 胁 情 报 中\n心服务\n | 威胁情\n报运营\n服务\n | 利 用 威 胁 情 报 能 力 中 心 平 台 及 所 含 数\n据开展数据运营服务。服务内容包含网\n络安全风险预警、威胁样本分析与威胁\n情报赋能三个组成部分。\n |
| 4\n | 安\n全\n基\n础\n设\n施\n服务\n | 隐 私 计 算 服\n务\n | 隐私计\n算平台\n服务\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过隐私计算服务解决各委办\n局有条件共享/开放、不允许共享/开放\n中的高敏感数据、隐私数据的安全流通\n问题,实现数据流通过程中数据的所有\n权不被侵犯,同时又能使得数据可以授\n |
| 权 和 安 全 的 使 用 , 实 现 数 据 要 素 化 安\n全。\n | ||||
| 5\n | 隐私计\n算运营\n服务\n | 确保隐私计算平台正常运转,同时根据\n业务系统隐私计算场景提供场景分析、\n数据分析、隐私建模等内容。\n | ||
| 6\n | 基\n础\n安\n全\n防\n护\n服务\n | API 接口审计\n服务\n | -\n | 针对智慧蓉城 API 接口调用过程中的数\n据泄露、违规行为等风险,采取在关键\n数据节点部署 API 接口审计系统,实现\n对 API 接口资产的识别、异常调用与数\n据 违 规 使 用 监 测 预 警 以 及 数 据 泄 露 追\n踪溯源。(审计范围全面覆盖智慧蓉城\n7000 个 业 务\nAPI\n接 口 , 审 计 记 录 保 留\n180 天)详细内容。\n |
| 7\n | 基\n础\n安\n全\n防\n护\n服务\n | 全 流 量 探 针\n服务\n | -\n | 为 加 强 政 务 云 网 络 安 全 风 险 事 件 深 度\n分析能力、提升网络流量数据包统一按\n需分发能力,将在政务云核心通讯节点\n部署全流量采集存储装置(包含全流量\n数 据 采 集 复 制 引 擎 设 备 和 全 流 量 探 针\n设备),装置集成流量数据分发与流量\n数据包全内容记录等能力,将全面提升\n政务云威胁检测能力与效率,降低网络\n攻击造成的危害。同时,为保证威胁溯\n源需要,完整真实的还原网络安全事件\n的 原 始 场 景 , 事 件 日 志 存 储 应 不 低 于\n180 天,原始数据存储应不低于 5 天。\n |
| 8\n | 基\n础\n安\n全\n防\n护\n服务\n | APP 安全评估\n服务\n | -\n | 为 全 面 提 升 智 慧 蓉 城 运 行 管 理 平 台 移\n动 APP 主体安全防护水平,杜绝外部恶\n意攻击者利用移动 APP 存在的脆弱性风\n险发起攻击破坏行动,将定期对智慧蓉\n城移动 APP 进行全面安全检测,安全检\n测的内容将全面覆盖移动 app 代码脆弱\n性、业务漏洞以及配置不当等,针对发\n现 的 安 全 风 险 提 供 针 对 性 修 复 方 案 与\n复测工作。\n |
| 9\n | 基\n础\n安\n全\n防\n护\n服务\n | APP 防护加固\n服务\n | -\n | 针对智慧蓉城运行管理平台 APP 自身脆\n弱性及外部恶意威胁,将提供定制化文\n件加壳保护、防反编译、加密保护、防\n调试、防篡改等加固服务,全面降低移\n动 APP 被恶意攻击造成应用失陷、数据\n丢失的安全风险。\n |
| 10\n | 基\n础\n安\n全\n防\n护\n服务\n | 威 胁 诱 捕 服\n务\n | -\n | 为 更 快 速 有 效 的 分 析 研 判 出 攻 击 者 的\n攻击动机、攻击目标、攻击路径及攻击\n手法,指导开展安全防御工作,通过在\n政 务 云 互 联 网 接 入 区 部 署 威 胁 诱 捕 系\n |
| 统,实现在攻击者的进攻路径上制造陷\n阱、混淆攻击者的目标,有效加强智慧\n蓉城相关业务系统防御能力。\n | ||||||||||||||||
| 11\n | 零 信 任 运 维\n服务\n | 零信任\n管控平\n台服务\n | 针对外部(第三方)运维人员运维过程\n存在的身份不可控、越权运维、过度操\n作等安全风险,将通过建设零信任运维\n管控平台,为智慧蓉城相关系统运维过\n程 提 供 基 于 动 态 的 身 份 管 理 、 认 证 管\n理、权限管理和审计管理等服务,全面\n护 航 智 慧 蓉 城 运 维 过 程 中 的 应 用 与 数\n据安全。\n | |||||||||||||
| 12\n | 零 信 任 运 维\n服务\n | 运维接\n入代理\n服务\n | 通过部署运维接入代理组件,将在“运\n维 人 员 - 业 务 应 用 后 台 ” 之 间 构 建 动 态\n的访问控制策略,对整体运维过程实现\n基于请求上下文的信任动态调整,实现\n有效运维安全。\n | |||||||||||||
| 13\n | 零 信 任 运 维\n服务\n | 数据可\n信环境\n服务\n | 针对运维过程中存在的数据泄露风险,\n将通过部署数据可信环境,提供数据可\n信使用环境,实现数据可用不可得,避\n免数据泄露。\n | |||||||||||||
| 14\n | 零 信 任 运 维\n服务\n | 可信环\n境感知\n服务\n | 为 全 面 杜 绝 因 运 维 终 端 自 身 安 全 不 达\n标 或 已 被 恶 意 攻 击 控 制 造 成 对 运 维 目\n标业务的风险蔓延,将通过部署可信环\n境感知组件,对运维终端自身脆弱性及\n恶 意 代 码 存 在 与 否 等 关 键 安 全 状 态 持\n续检测,一旦触发安全规则,则执行阻\n断、预警、降低访问权限等策略,避免\n风险蔓延。\n | |||||||||||||
| 15\n | 红 蓝 对 抗 服\n务\n | -\n | 通过组建红蓝对抗团队、编制场景化的\n红蓝对抗方案、搭建一套专业的红蓝对\n抗演习平台,在模拟真实生产环境的仿\n真场景下实施规范化、高效化的红蓝对\n抗演练,来实现全生命周期的攻防管理\n及全程留痕,同时检验并提升大数据中\n心相关人员的网络安全实战对抗能力。\n | |||||||||||||
| 16\n | 安 全 检 查 服\n务\n | -\n | 1.按照上级、行业主管与第三方审计部\n门开展信息安全专项审计检查要求,编\n制针对性安全检查规范,组织专业技术\n人员执行检查工作,出具安全检查结论\n及整改建议。检查范围覆盖智慧蓉城及\n相关支撑系统。\n | |||||||||||||
| 16\n | 2. 针 对 区 县 智 慧 蓉 城 平 台 安 全 防 护 情\n况开展安全检查工作,制定专项安全检\n查规范,组织专业技术人员执行检查工\n | 安 全 检 查 服\n务\n | -\n | |||||||||||||
| 作,出具检查结论及整改建议。检查范\n围覆盖成都市 23 个区(市)县。\n | ||||||||
| 17\n | 系 统 对 接 风\n险评估服务\n | -\n | 针 对 各 个 部 门 系 统 对 接 智 慧 蓉 城 的 信\n息系统,开展对接前安全评估,评估通\n过后方可实施对接。\n | |||||
| 18\n | 安 全 应 急 响\n应服务\n | -\n | 针 对 智 慧 蓉 城 及 配 套 系 统 发 生 严 重 安\n全事件,组织安全专家开展安全应急响\n应处置,解决问题,溯源问题,采取措\n施防止再次发生类似问题。\n | |||||
| 19\n | 安 全 培 训 服\n务\n | 安全意\n识培训\n服务\n | 提供网络安全法、数据安全法、个人隐\n私保护、关键基础设施保护条例等网络\n安全意识培训。\n | |||||
| 20\n | 安 全 培 训 服\n务\n | CDSP\n(数据\n安全认\n证\n专\n家)认\n证培训\n服务\n | 完 成 培 训 及 认 证 后 将 使 得 受 训 人 对 数\n据安全威胁、数据安全框架和最佳实践\n产生系统性认知,并具备安全设计、审\n计、评估、保护数据与隐私所需的关键\n知识、技能和能力,服务含考试费和培\n训费。\n | |||||
| 21\n | 安 全 培 训 服\n务\n | CCSP\n(云安\n全认证\n专家)\n认证培\n训服务\n | 面向日常工作涉及云安全架构设计、运\n营和服务编排的专业人士,完成培训及\n认 证 后 将 使 得 受 训 人 提 高 实 用 技 能 知\n识,服务含考试费和培训费。\n | |||||
| 22\n | 区 块 链 平 台\n安 全 检 测 服\n务\n | 面 向 智 慧 蓉 城 区 块 链 平 台 开 展 安 全 检\n测服务,按照工信部发布行业标准 YD/T\n3747-2020《区块链技术架构安全要求》\n包含但不限于模拟攻击测试、核心代码\n白盒审计等方式,形成检测报告\n | ||||||
| 23\n | 区 块 链 风 险\n评估服务\n | 根据国标 GB/T\n20984-2007\n《信息安全\n技 术\n信 息 安 全 风 险 评 估 规 范 》 要 求 ,\n组 织 专 业 技 术 人 员 开 展 区 块 链 平 台 风\n险评估服务工作,出具风险评估结论及\n整改建议。风险评估范围为围绕资产、\n威胁、脆弱性三大核心要素对区块链平\n台 重 大 功 能 变 更 过 程 中 的 预 变 更 模 块\n自身的安全性,变更模块对区块链平台\n的安全性影响范围评估,并出具风险评\n估报告以及应对措施建议\n | ||||||
| 24\n | 安 全 保 障 体\n系评估服务\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统现有的安全管理、安全技术保障\n能力以及具体安全保障执行情况,进行\n综合评估,指出存在的问题并给出意见\n建议。\n | ||
| 25\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 管\n理 体 系 建 设\n服务\n | -\n | 基于等级保护 2.0 管理要求、DSMM 数据\n安全能力成熟度模型、数据安全法等相\n关法律法规,结合实际情况,通过咨询\n完善数据安全管理组织,协助完善制定\n数 据 安 全 策 略 、 制 度 和 流 程 等 管 理 体\n系。数据安全管理体系建设服务主要包\n含但不局限于现有管理体系调研,体系\n建设框架及建设思路确认,体系内容(4\n级文档)建设,制度发布、修订以及安\n全管理制度宣贯等。\n |
| 26\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 资 产 梳\n理服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑 系 统 , 通 过 具 有 数 据 智 能 发 现 与 识\n别、数据索引标记能力、服务器扫描能\n力 以 及 数 据 库 扫 描 能 力 的 自 动 化 工 具\n配 合 人 工 服 务 进 行 数 据 资 产 发 现 和 梳\n理,主要包括但不局限于 1.数据资产梳\n理:根据提供的数据资产清单,进行查\n漏补缺,协助发现网络环境内数据资产\n主机,以及数据类型、数据重要程度、\n数据量、数据所在位置、数据载体、数\n据责任部门与责任人,输出数据资产梳\n理清单。2.敏感数据发现:发现数据资\n产中的敏感数据,采用扫描的形式探测\n到 数 据 资 产 的 内 部 结 构 , 如 数 据 库 的\n表、字段;大数据内部的表、列族、XML、\n属性;文件系统的目录结构、文件等。\n确定敏感数据内容和分布,输出敏感数\n据分布报告。3.敏感数据分类分级:基\n于前期敏感数据的梳理和定位,根据法\n律 法 规 与 行 业 标 准 或 定 义 的 分 类 分 级\n规范,对敏感数据进行梳理,形成敏感\n数据规则,并输出敏感数据规则。\n |
| 27\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 风\n险评估服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过具有数据泄露建模能力的\n自动化工具配合人工服务从安全管理、\n安全技术、安全运维等方面分析面临的\n威胁和脆弱性,对安全现状及存在的安\n全 风 险 进 行 综 合 评 估 , 并 给 出 评 估 建\n议。包含但不局限于数据资产及承载系\n |
| 统现状梳理,脆弱性扫描,配置核查,\n整体风险评估等内容,以系统为单位,\n输出数据安全风险评估报告。\n | ||||
| 28\n | 数 据 安 全 访\n问 权 限 稽 查\n服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过具有人物画像能力、水印\n管 理 能 力 的 自 动 化 工 具 配 合 人 工 服 务\n梳理现有业务系统各类角色账号(包括\n但不限于数据提供方、数据使用方、数\n据监管方数据管理方、数据运营方和数\n据 生 产 / 开 发 方 等 类 角 色 ) 的 数 据 访 问\n权限配置情况。数据访问权限稽查服务\n主 要 包 括 但 不 限 于 获 取 / 梳 理 数 据 访 问\n关系,系统验证权限控制措施,梳理稽\n查报告等内容,输出业务系统数据权限\n调研报告,业务系统数据访问走向图。\n | |
| 29\n | 数 据 安 全 策\n略管理服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过具有数据分类分类能力的\n自 动 化 工 具 配 合 人 工 服 务 建 立 数 据 安\n全策略统一管理手段,主要实现数据安\n全策略的可视、可控、可管,对数据安\n全技术手段的策略定义、策略分析等工\n作,提供数据资产发现、数据脱敏、数\n据加密、数据水印等多种能力 API 接口,\n实现数据安全能力有效性验证,输出数\n据安全策略管理调研报告、数据安全策\n略管理建议。\n | |
| 30\n | 数 据 安 全 风\n险 监 测 及 告\n警服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过具有日志采集分析以及数\n据 流 转 分 析 能 力 的 自 动 化 工 具 配 合 人\n工服务对其核心业务数据流转过程,利\n用 数 据 安 全 工 具 监 测 发 现 业 务 数 据 流\n转过程中存在的异常行为、安全告警,\n并提供预警通告,定期输出数据安全风\n险监测服务报告。\n | |
| 31\n | 数 据 安 全 溯\n源分析服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过具有人物画像能力、数据\n泄露建模能力、数据溯源能力以及全生\n命 周 期 管 控 能 力 的 自 动 化 工 具 配 合 人\n工 服 务 对 其 核 心 业 务 数 据 流 转 过 程 在\n监测过程中发现的数据安全风险事件、\n用户异常行为、敏感信息访问行为等进\n |
| 行综合分析,为后续响应处置提供处置\n建议,针对典型告警事件按需协助客户\n进行事件溯源和定位,输出数据安全溯\n源分析报告。\n | ||||
| 32\n | 数 据 安 全 应\n急 响 应 处 置\n服务\n | -\n | 针 对 智 慧 蓉 城 运 行 管 理 平 台 及 配 套 支\n撑系统,通过具有数据访问异常分析能\n力 的 自 动 化 工 具 配 合 人 工 服 务 对 其 核\n心业务系统在发生黑客入侵攻击、敏感\n数据资产泄露等安全事件时,及时对安\n全事件进行抑制处理,在事后协助恢复\n系统正常运行,输出数据安全应急响应\n预案、数据安全应急响应报告。\n |
二.服务内容及要求
\n2.1.安全基础设施服务
\n2.1.1.威胁情报中心服务
\n2.1.1.1.服务内容
\n威胁情报中心服务,是为了提升安全管理中心监测预警能力,提升各项安全
\n设备/系统的情报协同能力。
\n服务主要包含:威胁情报中心平台服务、威胁情报数据服务与威胁情报中心
\n运营服务三部分组成,其中,威胁情报平台服务是搭建威胁情报的采集分析赋能
\n的软件工具平台,威胁情报数据服务是购买外部数据服务实现威胁情报数据的实
\n时注入,威胁情报中心运营服务是采购相关专业安全人员实现威胁情报平台服务
\n能力有效远转。
\n各服务之间利用威胁情报平台有效串联,实现数据与能力整合与使用。
\n2.1.1.2.服务技术要求
\n2.1.1.2.1.威胁情报中心平台服务要求
\n威胁情报中心平台服务需由情报采集、情报生产、情报狩猎、情报赋能、安
\n全数据采集、数据存储、日志及情报查询、关联分析、研判溯源、情报预警通告、
\n交互呈现等功能模块组成。
\n(1)情报采集
\n支持多源数据的釆集,主要数据源包括:商业情报源、开源情报源、互
\n联网数据、第三方数据。
\n支持商业情报源,支持以查询量或情报数量计费的、各专业安全单位运
\n营及提供的情报源,支持采用RESTFULAPI通过互联网进行情报查询和
\n情报匹配。
\n支持互联网数据,包括但不限于:IP指纹、IP定位数据、Web指纹、DNS
\n数据、Whois数据、社工数据、漏洞库数据等,并保证各类数据的持续
\n性、准确度和新鲜度。
\n支持第三方数据对接,支持以开源共享、信息交换、购买等方式从第三
\n方数据源获取的威胁信息,并对该类数据进行可信度评估。
\n支持主动在线采集、被动在线接收、离线文件导入等多种方式。
\n支持STIX等国内外主流威胁信息表示规范数据的接入,同时支持扩展
\n自定义数据类型。
\n(2)情报生产
\n支持热点事件捕获,支持通过爬虫技术,对国内外安全从业人员和安全
\n研究机构的微博、Twitter、博客、官方网站和其他开源情报发布渠道
\n进行实时监测,解析页面内容、PDF等格式文件,通过机器学习和NLP
\n算法分析出深度的IOC信息以及热点事件,实现威胁信息提取加工。
\n支持家族信息和攻击组织研究,支持通过情报运营团队的样本分析和跟
\n踪研究,支持提取各种僵木蠕家族在程序结构、系统行为、网络行为和
\n规避技术等方面的共性,形成僵木蠕家族特征,支持总结和提炼出各种
\n攻击组织的来源、目标、工具、手段等攻击组织相关特性。
\n(3)情报狩猎
\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n\n| 23\n | 用 户\n | 用 户\n投诉\n | 受 到 用 户 单 位 或\n者使 用公 众投 诉。\n | 受到 用户 单位 或用 户上 级单 位投 诉的 ,每有\n一次 扣 0.2 分。\n(在 同一 阶段 对同 一系 统故 障的 投诉 ,视为\n同一 次投 诉)。\n |
| 24\n | 评价\n | 用 户\n满 意\n度\n | 每 年 度 进 行 一 次\n用户 满意 度调 查。\n | 满意 度调 查总 分 100 分 。满意 度调 查的 分值\nN,N≥ 95 分,不扣 分 ,N< 95 分 ,扣分 值为\n(100-N) /50。\n |
| 25\n | 服 务\n文档\n | 方 案\n计划\n | 按 年 度 依 照 要 求\n制定 、更新 服务 方\n案和 服务 计划 。\n | 1)未提 供要 求方 案计 划的 ,每有 一次 扣 0.2\n分;\n2)逾 期提 交的 ,每 逾期 一天 扣 0.01 分;\n3)按期 提交 ,但质 量未 达到 要求 的,扣 0.05\n分;\n4 ) 连 续 两 次 及 以 上 提 交 内 容 质 量 未 达 到 要\n求的 ,每 超过 一次 扣 0.1 分。\n |
| 26\n | 服 务\n文档\n | 方 案\n计划\n | 收集 用户 需求 ,进\n行 需 求 调 研 和 需\n求分 析,制定 系统\n迭 代 开 发 方 案 和\n迭代 开发 计划 。\n | 1)未提 供要 求方 案计 划的 ,每有 一次 扣 0.2\n分;\n2)逾 期提 交的 ,每 逾期 一天 扣 0.01 分;\n3)按期 提交 ,但质 量未 达到 要求 的,扣 0.05\n分;\n4 ) 连 续 两 次 及 以 上 提 交 内 容 质 量 未 达 到 要\n求的 ,每 超过 一次 扣 0.1 分。\n |
| 27\n | 服 务\n文档\n | 方 案\n计划\n | 按 照 用 户 要 求 制\n定 重 大 活 动 或 会\n议保 障方 案。\n | 1)未提 供要 求方 案计 划的 ,每有 一次 扣 0.2\n分;\n2)逾 期提 交的 ,每 逾期 一天 扣 0.01 分;\n3)按期 提交 ,但质 量未 达到 要求 的,扣 0.05\n分;\n4 ) 连 续 两 次 及 以 上 提 交 内 容 质 量 未 达 到 要\n求的 ,每 超过 一次 扣 0.1 分。\n |
| 28\n | 服 务\n文档\n | 方 案\n计划\n | 根据 用户 需求 ,结\n合项 目实 际情 况,\n制定 年度 、月度 推\n进方 案计 划,针对\n独 立 事 项 拟 定 推\n进方 案,根据 审核\n通 过 后 计 划 和 方\n案 组 织 实 施 推 广\n工作 ,提供 符合 要\n求的 服务 。\n | 1)未提 供要 求方 案计 划的 ,每有 一次 扣 0.2\n分;\n2)逾 期提 交的 ,每 逾期 一天 扣 0.01 分;\n3)按期 提交 ,但质 量未 达到 要求 的,扣 0.05\n分;\n4 ) 连 续 两 次 及 以 上 提 交 内 容 质 量 未 达 到 要\n求的 ,每 超过 一次 扣 0.1 分。\n |
| 29\n | 服 务\n文档\n | 服 务\n报告\n | 定 期 按 照 用 户 要\n求 提 交 周 报 、 月\n度、季度 、年度 运\n维 报 告 、 服 务 报\n告、运营 推广 报告\n和月 度考 勤等 。\n | 1)未提 供要 求资 料文 档的 ,每有 一次 扣 0.2\n分;\n2)逾 期提 交的 ,每 逾期 一天 扣 0.01 分;\n |
| 30\n | 服 务\n文档\n | 服 务\n报告\n | 根 据 重 大 活 动 或\n会议 保障 情况 ,提\n供相 应报 告\n | 3 ) 资 料 文 档 质 量 未 达 到 要 求 的 , 每 退 回 一\n次扣 0.1 分;\n |
| 31\n | 服 务\n文档\n | 日 常\n需求\n | 按 照 业 主 需 求 和\n项目 需求 ,对相 关\n数 据 进 行 收 集 分\n析,编制 如数 据分\n析 报 告 等 相 应 资\n料文 档。\n | 1 ) 同 一 资 料 文 档 因 质 量 未 达 到 要 求 被 退 回\n三次 及以 上的 ,将根 据影 响严 重情 况进 行追\n加扣 分。\n |
| 32\n | 与 第\n三 方\n单 位\n协 作\n配合\n | 服务 期间 ,应根 据\n用 户 要 求 积 极 配\n合第 三方(如 :软\n件系 统测 试、等级\n保护 测评 等)提供\n相应 资料 文档 。\n | (要 求资 料文 档均 应确 保其 内容 的正 确性 ,\n完整 性、 可追 溯性 。)\n | |
| 33\n | 日 常\n运维\n | 按 照 用 户 要 求 进\n行系 统巡 检、服务\n现场 巡查 和巡 检,\n并做 好记 录。\n | 系统 维护 、巡检 记录 不完 整 、不规 范的 ,每\n有一 项/次扣 0.01 分。\n | |
| 34\n | 突 发\n应急\n | 按 预 设 规 定 和 流\n程 对 系 统 出 现 的\n故障 进行 处置 ,并\n做好 记录 ,出具 故\n障报 告。\n | 故 障 处 理 记 录 和 故 障 报 告 缺 失 或 未 达 到 用\n户要 求的 ,每 有一 次扣 0.01 分。\n | |
| 35\n | 突 发\n应急\n | 系 统 出 现 安 全 问\n题后 ,应组 织专 题\n分析 ,进行 安全 加\n固,并形 成分 析报\n告\n | 1 ) 未 进 行 有 效 专 题 分 析 、 未 提 交 专 题 分 析\n报 告 或 未 进 行 有 效 优 化 措 施 的 , 每 有 一 项 /\n次, 扣 0.1 分;\n2 ) 问 题 记 录 、 处 置 记 录 缺 失 或 未 达 到 用 户\n要求 ,每 有一 次扣 0.01 分。\n | |
| 36\n | 突 发\n应急\n | 按 照 用 户 要 求 制\n定 并 更 新 系 统 应\n急预 案。\n | 应急 预案 更新 逾期 提供 或未 达到 要求 的,每\n有一 项/次扣 0.05 分,同一 事件 多次( 两次\n或 两 次 以 上 ) 未 达 到 要 求 的 , 每 有 一 项 / 次\n扣 0.1 分。\n |
3.3.服务考核应用
\n3.3.1.服务整改
\n针对服务期内出现的服务团队人员不足、日常管理制度执行存在偏差等轻微
\n问题,考核方可随时责令服务方进行整改,整改形式包括但不限于人员优化、人
\n员增补、制度完善、制度宣贯等方面。
\n3.3.2.服务警告
\n对服务期内出现的服务响应时效性较差、轻微系统故障、重大活动保障不足、
\n对单一整改项出现整改失败、以及对服务整改要求执行不到位的情况,考核方将
\n向服务团队发出服务警告。
\n3.3.3.服务扣款
\n根据服务考核方案中规定考核内容及扣分分值,按照实际服务质量进行评分,
\n每年度进行服务评估,按服务费用计算公式扣除每年度费用。
\n3.3.4.服务解除
\n在服务方拒不执行考核方的整改要求、服务方人为原因造成用户方极为重大
\n损失、服务过程中出现重大违纪违规行为或服务考核得分低于60分等违反相关
\n服务合同条款的情况下,考核方有权与服务方解除合同关系,并依照合同内容向
\n服务方执行违约条款。
\n另外,采购人会根据本项目实际服务效果设立一票否决考核项(具体项目及
\n内容以服务合同为准),如服务方被执行一票否决的,则视为考核不合格,考核
\n方有权与服务方解除合同关系,并依照合同内容向服务方执行违约条款。
\n四.商务要求
\n4.1.项目实施与质量保证
\n一、投标人应负责本项目软件开发、系统部署和自测等工作;对所开发软件
\n的相关操作全部文档化。
\n二、投标人应具有与本项目匹配的服务能力。
\n三、投标人应详细阐述实施的组织保障、时间保障、技术保障等,以及运行
\n维护期内的维修、维护内容及服务方式和范围。
\n四、投标人应承担数据交互对接所需的数据接口开发的所有费用,确保项目
\n保质保量如期完成。
\n五、投标人应成立相应的项目团队,并指定一名专职的项目经理(即项目负
\n责人,不与数据安全服务负责人及基础安全防护负责人复用),负责项目协调和
\n管理工作。项目团队组建完成后,项目经理应在考核单位的指导下制定团队管理
\n制度,制度范围包括但不限于日常考勤制度、人员考核制度、工作汇报制度、文
\n档管理制度、例会沟通管理制度等。在相关管理制度不适用于项目实际情况时,
\n应对制度内容进行优化调整。
\n六、投标人应配合项目监理方工作,保障项目的成功实施。应按照本项目所
\n采购的监理服务之具体要求提供与项目相关的所有技术文档和资料(含项目实施
\n及验收报告),并且均应以磁介质(或光盘)和纸张为载体,文件格式为Word
\n文档。
\n七、投标人应配合采购人做好软件测评、等保测评、密码测评等相关工作。
\n八、投标人应提供7×24小时技术支持服务,服务方式包含但不限于现场、
\n语音电话。服务请求应在10分钟内响应,如现场人员解决不了,高级技术人员
\n应于1个小时内到达现场,应于2小时内处理相关故障,并形成书面处理记录。
\n4.2.服务期限
\n服务期限为3年,合同一年一签。
\n4.3.服务费结算方式
\n本项目为采购服务单价,实际服务费用按实际使用的服务内容、数量,以及
\n本次采购服务单价、服务时间据实结算。
\n月度服务费以自然月为单位计算,月度服务费=(服务内容1单价×数量×
\n服务时间)+(服务内容2单价×数量×服务时间)……+(服务内容n单价×数
\n量×服务时间);其中,按年计费的服务项,每月费用为其年度费用/12。
\n季度服务费即本项目服务期内服务总金额,是将每月的月度服务费用汇总,
\n年度最后一个季度服务费用须减去年度服务扣款。
\n4.4.付款方式
\n项目服务费前三个季度按季度实际使用情况结算,最后一个季度根据服务考
\n核情况支付尾款,具体付款方式以合同为准。
\n4.5.保密要求
\n供应商在项目执行过程中所接触到的与采购人相关的文档、数据等信息均为
\n保密内容。凡参与平台建设、运维、运营相关服务的相关人员均须与中标人签订
\n保密协议,供应商与采购人签订“保密协议”,建立规范的保密制度,采取一切
\n必要的技术手段和措施,确保保密内容安全,确保软件系统的可靠、有效,平台
\n数据的安全、保密以及平台工作的有序、规范。由于供应商及其工作人员泄露、
\n冒用、误用或违法使用采购人信息而造成的一切责任和损失,均由供应商承担。
\n保密内容不得泄露,且保密责任不因合同的中止、解除或项目建设完成而失效。
\n供应商在项目执行过程中须提供服务人员相关信息,配合采购人进行人员背
\n景审查。
\n4.6.服务验收
\n4.6.1.验收标准
\n国家有关法律、法规,国家、省、市政府印发的有关信息化和电子政务项目
\n管理规定;
\n经系统用户、专家、监理方等评审通过的文档,包括不限于以下文档:采购
\n人已通过评审并修改完成的服务方案、服务报告、服务经费报告等;
\n本项目招标文件、投标文件及合同等。
\n4.6.2.服务准备期验收
\n服务准备期即在服务合同签订到服务能力建设完成期间,本项目实施服务准
\n备期验收参照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》
\n(财库〔2016〕205号)文件的相关规定组织开展验收活动。
\n本项目实施服务准备期验收条件(①按照“服务内容及要求”,初步具备服
\n务能力后。②按照本项目监理要求提供相应项目过程文档。),由中标服务供应
\n商向采购人提出服务准备期验收申请,经采购人与采购人聘请的第三方项目管理
\n单位(监理单位等)同意后由采购人组织专家验收小组对项目(包括系统软硬件、
\n应用系统等)在功能、技术指标等方面进行验收。
\n服务准备期验收通过后项目进入第一阶段服务期;服务准备期验收达不到采
\n购文件和合同约定要求,采购人不予签字认可,中标服务供应商须对不符合部分
\n采取措施进行改进,直至符合要求后再次提出服务准备期验收申请。
\n4.6.3.季度履约验收
\n本项目季度验收,由服务采购人组织内部项目管理人员,针对服务的提供内
\n容进行验收,根据验收结果支付季度服务费用。
\n供应商在完成季度工作后,提出验收申请,验收需准备的材料包含不限于:
\n季度服务工作报告、季度服务费用报告。
\n4.6.4.年度履约验收
\n本项目按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意
\n见》(财库〔2016〕205号)文件的相关规定开展项目履约验收活动;
\n本项目实施履约验收条件(①年度服务期满;②年度服务考核通过且达到服
\n务考核标准要求(年度考核分超过60分);③按照本项目监理要求提供相应项
\n目过程文档;④配合完成项目等保备案、密评工作;⑤用户使用报告),由中标
\n服务供应商向采购人提出项目履约验收申请,经采购人与采购人聘请的第三方项
\n目管理单位(监理单位等)同意后由采购人组织专家验收小组对项目年度服务内
\n容进行服务考核和履约验收。
\n若服务考核不通过的,采购人有权终止合同以及取消中标人续签合同的资格。
\n4.7.违约责任
\n4.7.1.采购人违约责任
\n1.在供应商严格按照本合同约定履行其全部义务的前提下,如采购人单方终
\n止合同,由采购人承担相应的责任,除支付全部合同款项外,按合同总金额的
\n5%向供应商支付违约金。供应商由此遭受任何损失超过违约金的,采购人应承担
\n相应赔偿责任。
\n2.因采购人工作人员的疏忽或故意的错误行为而造成的供应商损失,采购人
\n应负责赔偿。
\n4.7.2.供应商违约责任
\n1.在采购人严格按照本合同约定履行其义务的前提下,如供应商单方面擅自
\n终止合同,供应商应退还采购人支付供应商的全部合同款,并按合同总金额的
\n5%向采购人支付违约金。采购人由此遭受任何损失超过违约金的,供应商应承担
\n相应赔偿责任。
\n2.如供应商违反本合同约定不能提供符合采购人要求的设备、软件或服务,
\n采购人有权通知供应商限期补救,如供应商未能在采购人通知的期限内纠正其违
\n约行为并提供采购人满意的服务,视为供应商不能履行,采购人有权通知供应商
\n解除本合同,供应商应按合同总金额的5%向采购人支付违约金。若采购人由此
\n遭受任何损失超过违约金的,供应商应承担相应赔偿责任。
\n3.因供应商工作人员的疏忽或故意的错误行为而造成的采购人损失,供应商
\n应负责赔偿。
\n4.如供应商未按合同约定履行保密义务或未对安全中心服务相关系统平台
\n拥有合法的知识产权而致采购人被任意第三方追索的,采购人有权解除合同,供
\n应商应按合同总金额的5%承担违约责任。
\n5.如供应商未按合同要求履行网络安全保障责任,,导致采购人损失,供应
\n商应承担相应赔偿责任。
\n4.8.其他要求
\n无。
\n五.采购预算
\n本项目采购预算为1028.9万元/年。
\n六.最高限价
\n★本项目最高限价详见单项报价最高限价表,供应商报价高于对应最高限价
\n的则其投标文件将按无效投标文件处理。
\n单项报价最高限价表
\n\n\n\n\n\n\n\n\n\n| 序\n号\n | 服务\n项\n | 服务名称\n | 服务计\n量单位\n | 年度\n预估\n | 年度服\n务单价\n |
| 数量\n | 限价(万\n元)\n | |||||
| 1\n | 安\n全\n基\n础\n设\n施\n服务\n | 威胁情报中心服务\n | 威 胁 情 报 中\n心平台服务\n | 套/年\n | 1\n | 48.5\n |
| 2\n | 安\n全\n基\n础\n设\n施\n服务\n | 威胁情报中心服务\n | 威 胁 情 报 数\n据服务\n | 第\n三\n方\n情 报 源 /\n个/年\n | 1\n | 25\n |
| 3\n | 安\n全\n基\n础\n设\n施\n服务\n | 威胁情报中心服务\n | 威 胁 情 报 运\n营服务\n | 项/年\n | 1\n | 46.8\n |
| 4\n | 安\n全\n基\n础\n设\n施\n服务\n | 隐私计算服务\n | 隐 私 计 算 平\n台服务\n | 套/年\n | 1\n | 40\n |
| 5\n | 安\n全\n基\n础\n设\n施\n服务\n | 隐私计算服务\n | 隐 私 计 算 运\n营服务\n | 场景\n | 1\n | 20\n |
| 6\n | 基\n础\n安\n全\n防\n护\n服务\n | API 接口审计服务\n | -\n | 项/年\n | 1\n | 95.7\n |
| 7\n | 基\n础\n安\n全\n防\n护\n服务\n | 全流量探针服务\n | -\n | 套/年\n | 6\n | 17.9\n |
| 8\n | 基\n础\n安\n全\n防\n护\n服务\n | APP 安全评估服务\n | -\n | 次/系统\n | 1\n | 4.6\n |
| 9\n | 基\n础\n安\n全\n防\n护\n服务\n | APP 防护加固服务\n | -\n | 次/系统\n | 4\n | 6.5\n |
| 10\n | 基\n础\n安\n全\n防\n护\n服务\n | 威胁诱捕服务\n | -\n | 套/年\n | 2\n | 10\n |
| 11\n | 基\n础\n安\n全\n防\n护\n服务\n | 零信任运维服务\n | 零 信 任 管 控\n平台服务\n | 套/年\n | 1\n | 48.5\n |
| 12\n | 基\n础\n安\n全\n防\n护\n服务\n | 零信任运维服务\n | 运 维 接 入 代\n理服务\n | 套/年\n | 10\n | 2.1\n |
| 13\n | 基\n础\n安\n全\n防\n护\n服务\n | 零信任运维服务\n | 数 据 可 信 环\n境服务\n | 套/年\n | 10\n | 2\n |
| 14\n | 基\n础\n安\n全\n防\n护\n服务\n | 零信任运维服务\n | 可 信 环 境 感\n知服务\n | 套/年\n | 1\n | 12\n |
| 15\n | 基\n础\n安\n全\n防\n护\n服务\n | 红蓝对抗服务\n | -\n | 次\n | 1\n | 23\n |
| 16\n | 基\n础\n安\n全\n防\n护\n服务\n | 安全检查服务\n | -\n | 次\n | 9\n | 3.5\n |
| 17\n | 基\n础\n安\n全\n防\n护\n服务\n | 系 统 对 接 风 险 评 估\n服务\n | -\n | 次/系统\n | 50\n | 0.5\n |
| 18\n | 基\n础\n安\n全\n防\n护\n服务\n | 安全应急响应服务\n | -\n | 次\n | 10\n | 0.5\n |
| 19\n | 基\n础\n安\n全\n防\n护\n服务\n | 安全培训服务\n | 安 全 意 识 培\n训服务\n | 次\n | 1\n | 2\n |
| 20\n | 基\n础\n安\n全\n防\n护\n服务\n | 安全培训服务\n | CDSP(数据安\n全认证专家)\n认 证 培 训 服\n | 人\n | 1\n | 1.3\n |
| 务\n | ||||||
| 21\n | CCSP(云安全\n认证专家)认\n证培训服务\n | 人\n | 1\n | 2\n | ||
| 22\n | 区 块 链 平 台 安 全 检\n测服务\n | 次\n | 1\n | 20\n | ||
| 23\n | 区 块 链 风 险 评 估 服\n务\n | 次\n | 2\n | 5\n | ||
| 24\n | 安 全 保 障 体 系 评 估\n服务\n | 次\n | 1\n | 20\n | ||
| 25\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 管 理 体 系\n建设服务\n | -\n | 项\n | 1\n | 10\n |
| 26\n | 数\n据\n安\n全\n治\n理\n服务\n | 数据资产梳理服务\n | -\n | 项\n | 1\n | 43.2\n |
| 27\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 风 险 评 估\n服务\n | -\n | 次/系统\n | 10\n | 5.4\n |
| 28\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 访 问 权 限\n稽查服务\n | -\n | 次/系统\n | 10\n | 5.2\n |
| 29\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 策 略 管 理\n服务\n | -\n | 次/系统\n | 10\n | 7.2\n |
| 30\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 风 险 监 测\n及告警服务\n | -\n | 项/年\n | 1\n | 36\n |
| 31\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 溯 源 分 析\n服务\n | -\n | 项/年\n | 1\n | 43.2\n |
| 32\n | 数\n据\n安\n全\n治\n理\n服务\n | 数 据 安 全 应 急 响 应\n处置服务\n | -\n | 项/年\n | 1\n | 43.2\n |
| 总价\n | 总价\n | 总价\n | 总价\n | 总价\n | 1028.9\n | |
七.相关标准、规范要求
\n★投标人应承诺为本项目提供的所有服务符合现行国家相关标准、行业标准、
\n地方标准或者其他标准、规范(提供承诺函原件)。
\n注意:1、以上打★号的为本章的实质性要求,不允许有负偏离。
\n2、本章实质性要求未明确证明材料的,在对应的商务应答表或服务偏离表
\n或技术偏离表中应答即可。
\n
共同编制成都市大数据中心(成都市网络理政中心)、四川咨森招标代理有限公司中国·成都采购项目编号:510101202200423采购项目名称:智慧蓉城运行管理平台安全中心服务项目招标文件
2.2总则72.1投标人须知前附表4第2章投标人须知4第1章投标邀请1目录二〇二二年五月
2.8询问、质疑和投诉212.7投标纪律要求192.6签订及履行合同和验收172.5开标、评标和中标142.4投标文件102.3招标文件9
6.1总则117第6章评标办法117第5章资格审查113第4章招标项目技术、服务、政府采购合同内容条款及其他商务要求44第3章投标文件格式222.9其他21
6.7废标1286.6评标细则及标准1246.5低于成本价投标处理1246.4评标争议处理规则1246.3评标程序1186.2评标方法118
四川咨森招标代理有限公司受成都市大数据中心(成都市网络理政中心)的委托,就“智慧蓉城运行管理平台安全中心服务项目”进行国内公开招标,兹邀请符合招标要求的投标人参加投标。投标邀请第7章合同主要条款1316.10评标专家工作纪律1306.9评标专家义务1296.8定标129
详细的技术、商务要求见第4章。智慧蓉城运行管理平台安全中心服务。采购内容资金来源、预算金额及最高限价:财政性资金,已落实。预算品目:C0206运行维护服务;行业类别:软件和信息技术服务业;采购标的:智慧蓉城运行管理平台安全中心服务;预算金额:1028.9万元/年。采购项目名称:智慧蓉城运行管理平台安全中心服务项目采购项目编号:510101202200423
2.具有良好的商业信誉和健全的财务会计制度;1.具有独立承担民事责任的能力;具备《中华人民共和国政府采购法》第二十二条规定的条件:投标人应具备的资格条件本项目非专门面向中小企业采购。定向采购情况
1.未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单;本项目的特定资格要求:6.法律、行政法规规定的其他条件。5.参加本次政府采购活动前三年内,在经营活动中没有重大违法记录;4.具有依法缴纳税收和社会保障资金的良好记录;3.具有履行合同所必需的设备和专业技术能力;
供应商报名及招标文件获取方式本项目非专门面向中小企业。(三)落实政府采购政策需满足的资格要求:4.本项目不接受联合体投标。3.不属于其他国家相关法律法规规定的禁止参加投标的供应商;2.在行贿犯罪信息查询期限内,投标人及其现任法定代表人、主要负责人没有行贿犯罪记录;
(3)本项目为电子招标投标项目,投标人参与本项目全过程中凡涉及系统操作请详见《供应商政府采购项目电子交易操作指南》。(操作指南以政府采购云平台网站发布为准,获取方式详见:附件三-政府采购云平台使用介绍)(2)投标人只有在“政府采购云平台”完成获取招标文件申请并下载招标文件后才视作依法参与本项目。如未在“政府采购云平台”内完成相关流程,引起的投标无效责任自负。(1)本项目招标文件免费获取。提示:投标人从“政府采购云平台”获取采购文件(网址:www.zcygov.cn)。登录政府采购云平台—项目采购—获取采购文件—申请获取采购文件。获取时间:自2022年5月12日至2022年5月19日9:00-12:00,13:00-17:00(北京时间,法定节假日除外)。
(2)开标地点:政府采购云平台(https://www.zcygov.cn);(1)本项目为不见面开标项目;投标文件递交地点及开标地点投标截止时间及开标时间(北京时间):2022年6月1日上午10:00。https://middle.zcygov.cn/v-settle-front/registry?settleCategory=1&entranceType=119&utm=a0017.b1347.cl50.3.c0de9400b91b11eb870ad7da87d69c97。(4)政府采购云平台供应商注册地址:
联系人:冯老师地址:成都高新区蜀锦路68号采购人:成都市大数据中心(成都市网络理政中心)联系方式本投标邀请在四川政府采购网(http://www.ccgp-sichuan.gov.cn/)以公告形式发布。(3)本项目只接受投标人加密并递交至“政府采购云平台”的投标文件。
电子邮件:zisengc@foxmail.com电话传真:028-85330515联系人:何女士通讯地址:成都市高新区吉泰路666号福年广场T1栋1404号采购代理机构:四川咨森招标代理有限公司联系电话:028-61885992
投标人须知前附表投标人须知联系电话:028-61882648地址:四川省成都市锦城大道366号成都市市级机关第三办公区2号楼采购监督机构:成都市财政局
| 序号 | 条款名称 | 说明和要求 |
| 采购预算 | 1028.9万元/年。 | |
| 最高限价 (实质性要求) | 详见招标文件第四章“六、最高限价”。 | |
| 采购方式 | 公开招标 | |
| 评标方法 | 综合评分法(详见第6章) | |
| 低于成本价不正当竞争预防措施 (实质性要求) | 在评标过程中,评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效处理。 注:供应商应自行衡量并准备相关证明材料,提交的书面说明、相关证明材料(如涉及),应当加盖投标人(法定名称)电子印章,在评标委员会要求的时间内通过政府采购云平台进行递交,否则无效(给予供应商澄清、说明的时间不得少于30分钟,供应商已明确表示澄清、说明完毕的除外)。如因系统故障(包括组织场所停电、断网等)导致系统无法使用的,由投标人按评标委员会的要求进行澄清或者说明。 | |
| 小微企业价格扣除 | 1、根据《关于印发<政府采购促进中小企业发展管理办法>的通知》(财库〔2020〕46号的规定,对小型和微型企业提供的服务给予10%的价格扣除,用扣除后的价格参与评标。 2、投标人按格式要求如实填写提供《中小企业声明函》原件。 | |
| 监狱企业价格扣除 | 1、根据《关于政府采购支持监狱企业发展有关问题的通知》(财库[2014]68号)的规定,对监狱企业提供的服务给予10%的价格扣除,用扣除后的价格参与评标。 2、投标为监狱企业提供的服务应提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的生产厂商属于监狱企业的证明文件复印件。 | |
| 残疾人福利性单位价格扣除 | 1、根据《关于促进残疾人就业政府采购政策的通知》(财库[2017]141号)的规定,残疾人福利性单位视同小型和微型企业,对残疾人福利性单位提供的服务给予10%的价格扣除,用扣除后的价格参与评标。 2、投标人应提供《残疾人福利性单位声明函》原件。 | |
| 评标情况公告 | 按照《中华人民共和国政府采购法实施条例》等相关规定,在指定网站公示相关评标(评审)情况。 | |
| 投标有效期 | 投标截止之日起120天。 | |
| 备选投标方案和报价 | 不接受备选投标方案和多个报价。 | |
| 投标文件的制作和签章、加密 | 详见投标人须知2.4.11 | |
| 投标文件递交 | 详见投标人须知2.4.12 | |
| 采购文件咨询 | 联系人:何女士。 联系电话:028-85330515。 | |
| 开、评标工作咨询 | 联系人:何女士。 联系电话:028-85330515。 | |
| 中标通知书领取 | 中标公告在四川政府采购网上公告后,中标人应当及时领取中标通知书。 联系人:刘女士。 联系电话:028-85330515。 地址:成都市高新区吉泰路666号福年广场T1栋1404号 | |
| 投标人询问 | 根据本项目委托代理协议约定,投标人询问由四川咨森招标代理有限公司负责答复。 联系人:何女士。 联系电话:028-85330515。 | |
| 投标人质疑 | 根据本项目委托代理协议约定,对于招标文件的质疑由采购人负责答复,对于采购过程、采购结果的质疑由四川咨森招标代理有限公司负责答复。 联系人:何女士。 联系电话:028-85330515。 注:根据《中华人民共和国政府采购法》的规定,供应商质疑不得超出采购文件、采购过程、采购结果的范围。供应商应在法定质疑期内一次性提出针对同一采购程序环节的质疑。 质疑函范本附后。 | |
| 投标人投诉 | 投诉受理单位:本项目同级财政部门,即成都市财政局。 联系电话:028-61882648。 地址:四川省成都市锦城大道366号成都市市级机关第三办公 区2号楼。 邮编:610000。 投诉书范本附后。 | |
| 政府采购合同公告、备案 | 采购人应当自政府采购合同签订之日起2个工作日内,在四川政府采购网公告政府采购合同;自政府采购合同签订之日起7个工作日内,将合同报本项目同级财政部门备案。 | |
| 履约保证金 | 无。 | |
| 招标代理服务费 | 详见投标人须知2.5.5。 | |
| 资格审查 | 1、本项目由采购人和代理机构共同进行资格审查。 2、采购人可以要求参加政府采购的投标人提供有关资质证明文件和业绩情况,并根据《中华人民共和国政府采购法》规定的投标人条件和采购项目对投标人的特定要求,对投标人的资格进行审查。 | |
| 政府采购信用融资 | 本项目为支持执行政府采购信用融资项目,政策文件附后。 | |
| 25 | 本项目优先采购本国货物和服务,必须进行的技术引进和转让需符合国家政策和有利于国内行业的发展。 《关于印发节能产品政府采购品目清单的通知》(财库〔2019〕19号)内的产品,应按照相关政策严格执行强制采购和优先采购政策。供应商应自行提供国家确定的认证机构出具的、处于有效期之内的节能产品认证证书。 《关于印发环境标志产品政府采购品目清单的通知》(财库〔2019〕18号)内的产品,应按照相关政策严格优先采购政策。供应商应自行提供国家确定的认证机构出具的、处于有效期之内的环境标志产品认证证书。 根据《无线局域网产品政府采购实施意见》相关要求,本项目采购的产品属于中国政府采购网公布的《无线局域网认证产品政府采购清单》的,应按照相关政策严格执行优先采购政策。 按照《政府采购货物和服务招标投标管理办法》(财政部令第87号)落实对不发达地区和少数民族地区的扶持政策,投标人应提供相关证明材料。 严禁虚假承诺告知:投标人参与政府采购活动严禁提供虚假承诺,如提供虚假承诺,采购人或代理机构将报告监管部门严肃追究法律责任。 温馨提示:电子投标需准备全流程所必需的硬件设备包括电脑(版本 win7 64位及以上)、麦克风、摄像头、CA证书等。建议使用同一台电脑完成投标、评标相关事宜,建议安装 chrome 浏览器,且解密CA必须和加密CA为同一把。 | |
“采购人”和“甲方”系指依法进行政府采购的国家机关、事业单位、团体组织。本次招标的采购人是成都市大数据中心(成都市网络理政中心)。有关定义本招标文件的最终解释权由招标采购单位享有。本招标文件仅适用于本次公开招标采购项目。适用范围总则
合格的投标人本招标文件各部分规定的“以上”、“以下”、“内”、“以内”,包括本数;所称的“不足”,不包括本数。本招标文件各部分规定的期间以时、日、月、年计算。期间开始的时和日,不计算在期间内,而从次日开始计算。期间届满的最后一天是节假日的,以节假日后的第一日为期间届满的日期。“投标人”系指获取了招标文件拟参加投标和向采购人提供货物及服务的供应商。“招标采购单位”系指“采购人”和“采购代理机构”的统称。“采购代理机构”系指根据采购人的委托依法办理招标事宜的采购机构。本项目的采购代理机构是四川咨森招标代理有限公司。
投标人参加投标的所有费用由投标人自行承担。投标费用(实质性要求)遵守国家有关的法律、法规、规章和其他政策制度。通过政府采购云平台获取招标文件的投标人;本招标文件“投标邀请”规定的应具备的资格条件;合格的投标人应具备以下条件:
五、供应商与采购代理机构存在关联关系,或者是采购代理机构的母公司或子公司,不得参加本项目政府采购活动。四、供应商实际控制人或者中高级管理人员,同时是采购代理机构工作人员,不得参与本项目政府采购活动。利害关系代理人处理。2家以上的投标人不得在同一合同项下的采购项目中,同时委托同一个自然人、同一家庭的人员、同一单位的人员作为其代理人,否则,其投标文件作为无效处理。前期参与投标人处理。除单一来源采购项目外,为采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务的供应商,不得再参加该采购项目的其他采购活动。投标人为采购人、采购代理机构在确定采购需求、编制采购文件过程中提供咨询论证,其提供的咨询论证意见成为采购文件中规定的投标人资格条件、技术服务商务要求、评标因素和标准、政府采购合同等实质性内容条款的,视同为采购项目提供规范编制。(说明:无供应商为本项目提供整体设计、规范编制或者项目管理、监理、检测等服务。)利害关系投标人处理。单位负责人为同一人或者存在直接控股、管理关系的不同投标人不得参加同一合同项下的政府采购活动。充分、公平竞争保障措施(实质性要求)
投标文件格式;投标人须知;投标邀请;招标文件是供应商准备投标文件和参加投标的依据,同时也是评标的重要依据。招标文件用以阐明招标项目所需的资质、技术、服务及报价等要求、招标投标程序、有关规定和注意事项以及合同主要条款等。本招标文件包括以下内容:招标文件的构成招标文件
招标文件的澄清和修改投标人应认真阅读和充分理解招标文件中所有的事项、格式条款和规范要求。投标人没有对招标文件全面做出实质性响应所产生的风险由投标人承担。合同主要条款。评标办法;资格审查;招标项目技术、服务、政府采购合同内容条款及其他商务要求;
投标人考察现场所发生的一切费用由投标人自己承担。根据采购项目和具体情况,招标采购单位认为有必要,可以在招标文件提供期限截止后,组织已获取招标文件的潜在投标人现场考察或者召开开标前答疑会。组织现场考察或者召开答疑会的,应当以书面形式通知所有获取招标文件的潜在投标人。答疑会和现场踏勘澄清或者修改的内容可能影响投标文件编制的,采购人或者采购代理机构应当在投标截止时间至少15日前,以通过政府采购云平台通知所有获取招标文件的潜在供应商;不足15日的,采购人或者采购代理机构还应当顺延提交投标文件的截止时间。澄清或者修改应当在原公告发布媒体《四川政府采购网》上发布澄清公告。澄清或修改内容为招标文件的组成部分。供应商应于投标文件递交截止时间之前在《四川政府采购网》查询本项目的更正公告,以保证其对招标文件做出正确的响应。供应商未按要求下载相关文件,或由于未及时关注更正公告的信息造成的后果,其责任由供应商自行负责。在投标截止时间前,招标采购单位无论出于何种原因,可以对招标文件进行必要的澄清或者修改,但不得改变采购标的和资格条件。
除招标文件中另有规定外,本次采购项目所有合同项下的投标均采用国家法定的计量单位。计量单位(实质性要求)对不同文字文本投标文件的解释发生异议的,以中文文本为准。若投标人投标文件中提供的外文资料未翻译成中文,则评标委员会可将其视为无效材料。涉嫌虚假响应的按照相关法律法规处理。投标人提交的投标文件以及投标人与招标采购单位就有关投标的所有来往书面文件均须使用中文,投标文件中所附或引用的外文资料,应翻译成中文附在相关外文资料后面。(说明:投标人的法定代表人为外籍人士的,则法定代表人的签字和护照除外)。投标文件的语言投标文件
投标人应保证在本项目使用的任何产品和服务(包括部分使用)时,不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因专利权、商标权或其它知识产权而引起法律和经济纠纷,由投标人承担所有相关责任。知识产权本次政府采购活动不接受联合体投标。联合体投标(实质性要求)本次招标项目的投标均以人民币报价。投标货币(实质性要求)
投标人应按照招标文件的规定和要求编制投标文件。投标人编写的投标文件应包括下列部分:投标文件的组成根据《中华人民共和国政府采购法实施条例》第四十三条的规定,公告内容应当包括主要中标标的的名称、规格型号、数量、单价、服务要求以及评审专家名单。投标人需将投标文件中涉及商业秘密和知识产权的内容进行标注和说明。若未进行标注和说明的,视为全部内容均可公布,采购人或者采购代理机构对此不承担任何责任。如采用投标人所不拥有的知识产权,则在投标报价中必须包括合法获取该知识产权的相关费用。投标人如拟在项目实施过程中采用自有知识成果,需在投标文件中声明,并提供相关知识产权证明文件。使用该知识成果后,投标人需提供开发接口和开发手册等技术文档,并提供无限期技术支持,采购人享有永久使用权(含采购人委托第三方在该项目后续开发的使用权)。采购人享有本项目实施过程中产生的知识成果及知识产权。
服务偏离表;投标函;四、投标文件第二部分技术、商务及其他要求响应部分:三、投标文件第一部分资格证明材料详见第5章二、投标报价表、分项报价明细表一、投标文件封面;
中小企业声明函(中小企业,如未提供中小企业声明函或声明函盖章等不符合招标文件要求的,则不能享受招标文件规定的价格扣除,但不影响投标人投标文件的有效性);项目负责人简历表;项目人员配置情况表投标人基本情况表;技术、服务、商务应答附表;商务应答表;
对于没有格式要求的投标文件由投标人自行编写。投标人应按照招标文件第3章中提供的“投标文件格式”填写相关内容。投标文件格式项目实施方案监狱企业证明材料:监狱企业提供的服务应提供由省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的生产厂商属于监狱企业的证明文件复印件(注:1.如未提供相关证明材料的,则不能享受招标文件规定的价格扣除,但不影响投标人投标文件的有效性;2.如监狱企业证明材料中监狱企业的企业名称与投标服务提供商名称不一致的,则该部分服务不能享受招标文件规定的价格扣除,但不影响投标人投标文件的有效性)。残疾人福利性单位声明函(如未提供残疾人福利性单位声明函或声明函盖章等不符合招标文件要求的,则不能享受招标文件规定的价格扣除,但不影响投标人投标文件的有效性);
同时出现两种以上不一致的,按照前款规定的顺序修正。修正后的报价经投标人以书面形式进行确认,并加盖投标人(法定名称)电子印章,投标人不确认的,其投标无效。投标文件报价出现前后不一致的,按照下列规定修正:(1)大写金额和小写金额不一致的,以大写金额为准,但大写金额出现文字错误,导致金额无法判断的除外;(2)单价金额小数点或者百分比有明显错位的,应以总价为准,并修改单价;(3)总价金额与按单价汇总金额不一致的,以单价金额计算结果为准。投标人每种服务内容及货物只允许有一个报价,并且在合同履行过程中是固定不变的,任何有选择或可调整的报价将不予接受,并按无效投标处理。投标人的报价是投标人响应招标项目要求的全部工作内容的价格体现,包括投标人完成本项目所需的一切费用。投标报价(实质性要求)除特别要求外,本招标文件中的“投标文件格式”均只作为参考,不作为实质性审查条件。
本项目实行电子投标。投标人应先安装“政采云投标客户端”。(安装路径:政府采购云平台—CA管理—绑定CA—下载驱动—“政采云投标客户端”立即下载)。投标人应按招标文件要求,通过“政采云投标客户端”制作、确认、加密并提交投标文件。投标文件的制作、签章和加密因采购人采购需求作出必要调整,采购人可于投标有效期届满之前与投标人协商延长投标有效期。投标人拒绝延长投标有效期的,不得再参与该项目后续采购活动,但由此给投标人造成的损失,采购人应当予以赔偿或者合理补偿。投标人同意延长投标有效期的,不能修改投标文件。因不可抗力事件,采购人可于投标有效期届满之前与投标人协商延长投标有效期。投标人拒绝延长投标有效期的,不得再参与该项目后续采购活动,但由此给投标人造成的损失,采购人可以自主决定是否可以给予适当补偿。投标人同意延长投标有效期的,不能修改投标文件。本项目投标有效期为投标截止之日起120天。投标人投标文件中必须载明投标有效期,投标文件中载明的投标有效期可以长于招标文件规定的期限,但不得短于招标文件规定的期限。否则,其投标文件将作为无效投标处理。投标有效期(实质性要求)
投标文件的递交招标文件若有修改,投标人根据修改后的招标文件制作或修改并递交投标文件。投标文件应根据招标文件的要求制作,签章、加密,内容应完整。(招标文件中要求提供复印件是指对图文进行复制后的文件,包括扫描、复印、影印等方式复制的材料。)使用“政府采购云平台”需要提前申领CA数字证书及电子印章,请自行前往四川CA、CFCA、天威CA、北京CA、重庆CA、山西CA、浙江汇信CA、天谷CA、国信CA、山东CA、新疆CA、乌海CA等统一认证服务点办理,只需办理其中一家CA数字证书及签章(提示:办理时请说明参与成都市政府采购项目)。投标人应及时完成在“政府采购云平台”的注册及CA账号绑定,确保顺利参与电子投标。(实质性要求)投标文件应加盖投标人(法定名称)电子签章,不得使用投标人专用章(如经济合同章、投标专用章等)或下属单位印章代替。(实质性要求)投标人应使用本企业的CA数字证书对投标文件进行加密。(实质性要求)
二、投标截止时间后,投标人不得对其递交的投标文件做任何补充、修改。一、投标截止时间前,投标人可对已递交的投标文件进行补充、修改。补充或者修改投标文件的,应当先撤回已递交的投标文件,在“政采云投标客户端”补充、修改投标文件并签章、加密后重新递交。撤回投标文件进行补充、修改,在投标截止时间前未重新递交的,视为撤回投标文件。投标文件的补充、修改和撤回招标文件若有修改,投标人根据修改后的招标文件制作或修改并递交投标文件。投标人应充分考虑递交文件的不可预见因素,在投标截止时间后将无法递交,投标人自行承担未在投标截止时间前完成投标文件递交的风险和不利后果。投标人应当在投标文件递交截止时间前,将生成的已加密的电子投标文件成功递交至“政府采购云平台”。
二、开标准备工作。投标人需在开标当日、投标截止时间前登录“政府采购云平台”,通过本项目“开标大厅”参与不见面开标。登录政府采购云平台—项目采购—开标评标—开标大厅(确保进入本项目开标大厅)。一、本项目为不见面开标项目。(递交电子投标文件的投标人不足3家的,不予开标。)开标及开标程序开标、评标和中标投标人登录政府采购云平台,点击“项目采购—开标评标”模块,进入本项目“开标大厅”,等待代理机构开启解密后,进行线上解密。除因断电、断网、系统故障或其他不可抗力等因素,导致系统无法使用外,投标人在规定的解密时间内,未成功解密的投标文件将视为无效投标文件。投标文件的解密
七、不见面开标过程中,各方主体均应遵守互联网有关规定,不得发表与交易活动无关的言论。六、因断电、断网、系统故障或其他不可抗力等因素导致不见面开标系统无法正常运行的,开标活动中止或延迟,待系统恢复正常后继续进行开标活动。五、投标人电脑终端等硬件设备和软件系统配置:投标人电脑终端等硬件设备和软件系统配置应符合电子投标(含不见面开标大厅)投标人电脑终端配置要求并运行正常,投标人承担因未尽职责产生的不利后果。四、确认开标记录。解密时间截止或者所有投标人投标文件均完成解密后(以发生在先的时间为准),由“政府采购云平台”系统展示投标人名称、投标文件解密情况、投标报价等唱标内容。如成功解密投标文件的投标人不足三家的,则只展示投标人名称、投标文件解密情况。投标人对开标记录(包含解密情况、投标报价、其他情况等)在规定时间内确认,如未确认,视为认同开标记录。三、解密投标文件。等待代理机构开启解密后,投标人进行线上解密。开启解密后,投标人应在60分钟内,使用加密该投标文件的CA数字证书在线完成投标文件的解密。除因断电、断网、系统故障或其他不可抗力等因素,导致系统无法使用外,投标人在规定的解密时间内,未成功解密的投标文件将视为无效投标文件。提示:投标人未按时登录不见面开标系统,错过开标解密时间的,由投标人自行承担不利后果。
中标通知书为签订政府采购合同的依据,是合同的有效组成部分。中标通知书详见招标文件第6章。评标开标和评标过程进行全过程电子监控,并将电子监控资料存储介质留存归档。2.5.2开评标过程存档
二、招标代理服务费以中标金额乘以服务年限为基数,采用差额定率累进法,100万(含)以下部分乘以1.5%计算收取,100万以上500万(含)以下部分乘以0.8%计算收取,500万以上1000万(含)以下部分乘以0.45%计算收取,1000万以上部分乘以0.25%计算收取,累计相加后按累计金额的80%收取。一、根据相关规定,本招标文件特别约定,招标代理服务费由中标人向采购代理机构支付。招标代理服务费公告发出后,中标人应当及时领取中标通知书。联系人:刘女士,联系电话:028-85330515。如果出现政府采购法律法规、规章制度规定的中标无效情形的,将以公告形式宣布发出的中标通知书无效,中标通知书将自动失效,并依法重新确定中标人或者重新开展采购活动。中标通知书对采购人和中标人均具有法律效力。中标通知书发出后,采购人改变中标结果,或者中标人无正当理由放弃中标的,应当承担相应的法律责任。
签订及履行合同和验收开户银行:招商银行股份有限公司成都天府大道支行银行账号:128907623310802账户名称:四川咨森招标代理有限公司服务费缴纳账户:三、在办理中标通知书时一并办理招标代理服务费,可使用银行转账、电汇或采购代理机构认可的其他方式支付。
合同分包(实质性要求)中标人在合同签订之后7个工作日内,将签订的合同(一式1份)送四川咨森招标代理有限公司。联系人:刘女士,联系电话:028-85330515。中标人因不可抗力原因或者自身原因不能履行采购合同或放弃中标的,采购人可以与排在中标人之后第一位的中标候选人签订采购合同,以此类推。采购人不得向中标人提出任何不合理的要求,作为签订合同的条件,不得与中标人私下订立背离合同实质性内容的任何协议,所签订的合同不得对招标文件和中标人投标文件确定的事项进行修改。中标人与采购人应在中标通知书发出之日起30日内签订采购合同。由于中标人的原因逾期未与采购人签订采购合同的,将视为放弃中标,取消其中标资格并将按相关规定进行处理。签订合同
采购人增加合同标的的权利中标人转包的,视同拒绝履行政府采购合同义务,将依法追究法律责任。本采购项目严禁中标人将任何政府采购合同义务转包。本项目所称转包,是指中标人将政府采购合同义务转让给第三人,并退出现有政府采购合同当事人双方的权利义务关系,受让人(即第三人)成为政府采购合同的另一方当事人的行为。合同转包(实质性要求)二、经采购人同意,中标、成交供应商可以依法将采购项目的非主体、非关键性工作进行分包,但不得再次分包。政府采购合同分包履行的,中标、成交供应商就采购项目和分包项目向采购单位负责,分包供应商就分包项目承担责任。采购人可以在合同中约定直接向分包供应商支付款项,减少中间环节。采购人不得强行要求中标、成交供应商使用指定的分包供应商。禁止中标、成交供应商通过转包履行采购合同。一、中小企业依据《关于印发<政府采购促进中小企业发展管理办法>的通知》(财库〔2020〕46号)规定的政策获取政府采购合同后,小型、微型企业不得分包给大型、中型企业,中型企业不得分包给大型企业。
合同备案采购人应当自政府采购合同签订之日起2个工作日内,在四川政府采购网公告,但政府采购合同中涉及国家秘密、商业秘密的内容除外。合同公告无。履约保证金采购合同履行过程中,采购人需要追加与合同标的相同的货物或者服务的,在不改变合同其他条款的前提下,可以与中标人协商签订补充合同,但所有补充合同的采购金额不得超过原合同采购金额的百分之十,该补充合同应当在原政府采购合同履行过程中,不得在原政府采购合同履行结束后,且采购货物、工程和服务的名称、价格、履约方式、验收标准等必须与原政府采购合同一致。
本项目采购人及其委托的采购代理机构将严格按照政府采购相关法律法规以及按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库[2016]205号)的要求进行验收。验收在合同履行过程中,如发生合同纠纷,合同双方应按照《中华人民共和国民法典》的有关规定进行处理。中标人与采购人签订合同后,合同双方应严格执行合同条款,履行合同规定的义务,保证合同的顺利完成。履行合同采购人应当自政府采购合同签订之日起7个工作日内将合同报同级财政部门备案。
有下列情形之一的,视为投标人串通投标:投标人不得具有的情形投标纪律要求采购人按财政部门的相关规定及采购合同的约定进行支付。本项目采购资金付款详见第四章商务要求中付款方式。资金支付验收结果不合格的,还可能会报告本项目同级财政部门按照有关法律法规的规定给予行政处罚或者以失信行为记入诚信档案。
(六)不同投标人的投标保证金从同一单位或者个人的账户转出;(五)不同投标人的投标文件相互混装;(四)不同投标人的投标文件异常一致或者投标报价呈规律性差异;(三)不同投标人的投标文件载明的项目管理成员或者联系人员为同一人;(二)不同投标人委托同一单位或者个人办理投标事宜;(一)不同投标人的投标文件由同一单位或者个人编制;
中标后无正当理由拒不与采购人签订政府采购合同;在招标过程中与招标采购单位进行协商谈判;向招标采购单位、评标委员会成员行贿或者提供其他不正当利益;与招标采购单位、其他投标人恶意串通;采取不正当手段诋毁、排挤其他投标人;提供虚假材料谋取中标;
十三、在“中国裁判文书网(http://wenshu.court.gov.cn)”查询投标人及其现任法定代表人、主要负责人有行贿犯罪记录;十二、被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(如投标人在参加政府采购活动前被禁止在一定期限内参加政府采购活动,期限届满的,可以参加政府采购活动),有未依法缴纳税收和社会保障资金的不良记录,参加政府采购活动前三年内,在经营活动中有重大违法记录(如投标人在参加政府采购活动前3年内因违法经营被禁止在一定期限内参加政府采购活动,期限届满的,可以参加政府采购活动);擅自变更、中止或者终止政府采购合同;提供假冒伪劣产品;将政府采购合同转包或者违规分包;未按照采购文件确定的事项签订政府采购合同;
有关投标文件的审查、澄清、评估和比较以及合同授予意向等情况都不得对外透露。不得透露获取招标文件的潜在投标人的任何情况。保密投标人有上述情形的,按照规定追究法律责任,具备一至十三条情形之一的,同时将认定投标人投标无效或不确定其为中标人,或者取消中标资格或认定中标无效。十五、法律法规规定的其他情形。十四、拒绝有关部门的监督检查或者向监督检查部门提供虚假情况;
(四)与供应商的法定代表人或者负责人有夫妻、直系血亲、三代以内旁系血亲或者近姻亲关系;(三)参加采购活动前3年内是供应商的控股股东或者实际控制人;(二)参加采购活动前3年内担任供应商的董事、监事;(一)参加采购活动前3年内与供应商存在劳动关系;在政府采购活动中,采购人员(在政府采购活动中需要依法回避的采购人员包括采购人内部负责采购项目的具体经办工作人员和直接分管采购项目的负责人,以及采购代理机构负责采购项目的具体经办工作人员和直接分管采购活动的负责人)及相关人员与供应商有下列利害关系之一的,应当回避:回避
其他询问、质疑、投诉的接收和处理严格按照《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》、《政府采购货物和服务招标投标管理办法》(财政部令第87号)、《政府采购质疑和投诉办法》(财政部令第94号)、《财政部关于加强政府采购供应商投诉受理审查工作的通知》和《四川省政府采购供应商投诉处理工作规程》的规定办理(详细规定请在四川政府采购网政策法规模块查询)。询问、质疑和投诉供应商认为采购人员及相关人员与其他供应商有利害关系的,可以向采购代理机构书面提出回避申请,并说明理由。采购代理机构将及时询问被申请回避人员,有利害关系的被申请回避人员应当回避。本项目政府采购活动中需要依法回避的采购人员是指采购人内部负责采购项目的具体经办工作人员和直接分管采购项目的负责人,以及采购代理机构负责采购项目的具体经办工作人员和直接分管采购活动的负责人。本项目政府采购活动中需要依法回避的相关人员是指评审小组成员。(五)与供应商有其他可能影响政府采购活动公平、公正进行的关系。
投标文件封面参考格式本章所制投标文件格式一律不具有强制性,仅供文件編制参考,表格可增减删改,本章所制投标文件格式有关表格中的备注栏,由供应商人根据自身情况作解释性说明,不作为必填项。投标文件格式国家或行业主管部门对采购产品的技术标准、质量标准和资格资质条件等有强制性规定的,必须符合其要求。(实质性要求)本招标文件中作为实质性的内容,除明确要求需在响应时提供承诺函或证明材料的以外,评标小组在评审时,仅对投标文件是否违背实质性要求进行审查。本招标文件中所引相关法律制度规定,在政府采购中有变化的,按照变化后的相关法律制度规定执行。本章和第6章中“6.1总则、6.2评标方法、6.3评标程序”规定的内容条款,在本项目投标截止时间届满后,因相关法律制度规定的变化导致不符合相关法律制度规定的,直接按照变化后的相关法律制度规定执行,本招标文件不再做调整。
投标报价表日期:年月日投标人名称:采购项目编号:采购项目名称:投标文件
| 采购项目名称 | |
| 采购项目编号 | |
| 供应商全称 | |
| 投标报价 | 元/年(小写) (大写) |
投标文件第一部分资格审查部分日期:年月日投标人名称(公章):2投标报价以投标人在政府采购云平台开标一览表中填写的报价为准。1.投标总价应为包括招标文件规定的全部内容的报价;注:
具备《中华人民共和国政府采购法》第二十二条第一款和本项目规定的条件:我公司作为本项目的非联合体投标人,根据招标文件要求,现郑重承诺如下:四川咨森招标代理有限公司:采购项目编号:采购项目名称:承诺函
(六)法律、行政法规规定的其他条件;(五)参加政府采购活动前三年内,在经营活动中没有重大违法记录;(四)有依法缴纳税收和社会保障资金的良好记录;(三)具有履行合同所必需的设备和专业技术能力;(二)具有良好的商业信誉和健全的财务会计制度;(一)具有独立承担民事责任的能力;
本公司对上述承诺的内容事项真实性负责。如经查实上述承诺的内容事项存在虚假,我公司愿意接受以提供虚假材料谋取中标追究法律责任。我公司在本项目使用的任何产品和服务(包括部分使用)时,不会产生因第三方提出侵犯其专利权、商标权或其它知识产权而引起的法律和经济纠纷,如因专利权、商标权或其它知识产权而引起法律和经济纠纷,由我公司承担所有相关责任。采购人享有本项目实施过程中产生的知识成果及知识产权。我单位未对本次采购项目提供整体设计、规范编制或者项目管理、监理、检测等服务。我单位未参与本次项目前期咨询论证。不属于禁止参加投标或投标无效的供应商。投标文件中提供的能够给予我公司带来优惠、好处的任何材料资料和技术、服务、商务等响应承诺情况都是真实的、有效的、合法的。完全接受和满足本项目招标文件中规定的实质性要求,如对招标文件有异议,已经在投标截止时间届满前依法进行维权救济,不存在对招标文件有异议的同时又参加投标以求侥幸中标或者为实现其他非法目的的行为。(七)根据采购项目提出的特殊条件。
法定代表人联系方式:。(法定代表人姓名)在(投标人名称)处任(职务名称)职务,是(投标人名称)的法定代表人。四川咨森招标代理有限公司:法定代表人身份证明书日期:年月日投标人名称(公章):
四川咨森招标代理有限公司:声明说明:1、上述证明文件在投标文件中附有法定代表人身份证复印件(身份证两面均应复印)或护照复印件(投标人的法定代表人为外籍人士的,则提供护照复印件)时才能生效。投标人为自然人无须提供身份证明书,仅提供身份证复印件或护照复印件。日期:年月日投标人名称(公章):特此证明。
五、我公司(说明:填写“未列入”或“被列入”)失信被执行人、重大税收违法案件当事人名单。四、在行贿犯罪信息查询期限内,我公司及我公司现任法定代表人、主要负责人(说明:填写“没有”或“有”)行贿犯罪记录。三、与我公司存在直接控股、管理关系的相关供应商:(说明:填写“无”或“(一)供应商名称1;(二)供应商名称2;(三)……”)。二、我公司(说明:填写“具有”或“不具有”)良好的商业信誉。一、我公司参加政府采购活动前三年内,在经营活动中(说明:填写“没有”或“有”)重大违法记录。我公司作为采购项目的投标人,在此郑重声明:
1、对声明中第一条的说明:如投标人在参加政府采购活动前三年内,在经营活动中有重大违法记录的,应填写“有”,投标人将被认定投标无效或被取消中标资格(如投标人在参加政府采购活动前3年内因违法经营被禁止在一定期限内参加政府采购活动,期限届满的,可以参加政府采购活动的,该声明填“有”,但投标人应提供相关证明材料)。说明:日期:年月日投标人名称(公章):特此声明。六、我公司(说明:填写“未列入”或“被列入”)政府采购严重违法失信行为记录名单。
其他资格证明材料5、对声明中第六条的说明:投标人如被列入政府采购严重违法失信行为记录名单,应填写“被列入”,投标人将被认定投标无效或被取消中标资格(如投标人在参加政府采购活动前被禁止在一定期限内参加政府采购活动,期限届满的可以参加政府采购活动,该声明填“被列入”,但投标人应提供相关证明材料)。4、对声明中第五条的说明:投标人如被列入失信被执行人、重大税收违法案件当事人名单,应填写“被列入”,投标人将被认定投标无效或被取消中标资格。3、对声明中第四条的说明:在行贿犯罪信息查询期限内,投标人根据中国裁判文书网(https://wenshu.court.gov.cn)查询结果,如果投标人及其现任法定代表人、主要负责人有行贿犯罪记录的,投标人应填写“有”,投标人将被认定投标无效或被取消中标资格。2、对声明中第三条的说明:单位负责人为同一人或者存在直接控股、管理关系的不同供应商,不得参加同一合同项下的政府采购活动。重大违法记录中的“较大数额罚款”认定为200万元以上的罚款,法律、行政法规以及国务院有关部门明确规定相关领域“较大数额罚款”标准高于200万元的,从其规定。
一旦我方中标,我方将严格履行政府采购合同规定的责任和义务。我方自愿按照招标文件规定的各项要求向甲方提供所需服务及货物,投标报价以政府采购云平台开标一览表中填写的报价为准。我方的投标报价是最终用户验收合格后的总价。我方全面研究了“”项目的招标文件(采购项目编号:),决定参加贵单位组织的本项目的投标。四川咨森招标代理有限公司:投标函投标文件第二部分技术、服务及其他要求响应部分
通讯地址:我单位联系方式:我方满足招标文件中所有实质性条款的要求。我方愿意提供贵单位可能另外要求的,与投标有关的文件资料,并保证我方已提供和将要提供的文件资料是真实、准确的,并对此承担一切法律后果。我方已详细阅读和审查了全部招标文件,包括修改文件(如有)以及全部相关资料和有关附件,并对上述文件均无异议。我方完全理解采购人不一定将合同授予最低报价的投标人的行为。我方为本项目提交的投标文件投标有效期为投标截止之日起120天。
采购项目名称:分项报价明细表日期:投标人名称(公章):联系电话及传真:邮政编码:
采购项目名称:服务偏离表日期:年月日投标人名称(公章):采购项目编号:
| 序号 | 服务项 | 服务名称 | 服务计量单位 | 年度预估数量 | 年度服务单价(万元) | |
| 1 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报中心平台服务 | 套/年 | 1 | |
| 2 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报数据服务 | 第三方情报源/个/年 | 1 | |
| 3 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报运营服务 | 项/年 | 1 | |
| 4 | 安全基础设施服务 | 隐私计算服务 | 隐私计算平台服务 | 套/年 | 1 | |
| 5 | 安全基础设施服务 | 隐私计算服务 | 隐私计算运营服务 | 场景 | 1 | |
| 6 | 基础安全防护服务 | API接口审计服务 | - | 项/年 | 1 | |
| 7 | 基础安全防护服务 | 全流量探针服务 | - | 套/年 | 6 | |
| 8 | 基础安全防护服务 | APP安全评估服务 | - | 次/系统 | 1 | |
| 9 | 基础安全防护服务 | APP防护加固服务 | - | 次/系统 | 4 | |
| 10 | 基础安全防护服务 | 威胁诱捕服务 | - | 套/年 | 2 | |
| 11 | 基础安全防护服务 | 零信任运维服务 | 零信任管控平台服务 | 套/年 | 1 | |
| 12 | 基础安全防护服务 | 零信任运维服务 | 运维接入代理服务 | 套/年 | 10 | |
| 13 | 基础安全防护服务 | 零信任运维服务 | 数据可信环境服务 | 套/年 | 10 | |
| 14 | 基础安全防护服务 | 零信任运维服务 | 可信环境感知服务 | 套/年 | 1 | |
| 15 | 基础安全防护服务 | 红蓝对抗服务 | - | 次 | 1 | |
| 16 | 基础安全防护服务 | 安全检查服务 | - | 次 | 9 | |
| 17 | 基础安全防护服务 | 系统对接风险评估服务 | - | 次/系统 | 50 | |
| 18 | 基础安全防护服务 | 安全应急响应服务 | - | 次 | 10 | |
| 19 | 基础安全防护服务 | 安全培训服务 | 安全意识培训服务 | 次 | 1 | |
| 20 | 基础安全防护服务 | 安全培训服务 | CDSP(数据安全认证专家)认证培训服务 | 人 | 1 | |
| 21 | 基础安全防护服务 | 安全培训服务 | CCSP(云安全认证专家)认证培训服务 | 人 | 1 | |
| 22 | 基础安全防护服务 | 区块链平台安全检测服务 | 次 | 1 | ||
| 23 | 基础安全防护服务 | 区块链风险评估服务 | 次 | 2 | ||
| 24 | 基础安全防护服务 | 安全保障体系评估服务 | 次 | 1 | ||
| 25 | 数据安全治理服务 | 数据安全管理体系建设服务 | - | 项 | 1 | |
| 26 | 数据安全治理服务 | 数据资产梳理服务 | - | 项 | 1 | |
| 27 | 数据安全治理服务 | 数据安全风险评估服务 | - | 次/系统 | 10 | |
| 28 | 数据安全治理服务 | 数据安全访问权限稽查服务 | - | 次/系统 | 10 | |
| 29 | 数据安全治理服务 | 数据安全策略管理服务 | - | 次/系统 | 10 | |
| 30 | 数据安全治理服务 | 数据安全风险监测及告警服务 | - | 项/年 | 1 | |
| 31 | 数据安全治理服务 | 数据安全溯源分析服务 | - | 项/年 | 1 | |
| 32 | 数据安全治理服务 | 数据安全应急响应处置服务 | - | 项/年 | 1 | |
| 总价 | ||||||
2、投标人必须据实填写,不得虚假响应,否则将取消其投标或中标资格。若采购人在项目实施中发现投标人虚假响应,则采购人有权单方面中止合同;若采购人在项目验收后一年内发现投标人有虚假响应行为,则采购人有权索投标人由此给采购人造成的一切损失。注:1、以上表格格式行、列可增减。日期:投标人名称(公章):采购项目编号:
| 编号 | 服务内容 | 招标文件要求 (详见招标文件第4章) | 投标响应 | 偏离说明 |
| 1 | ||||
| 2 | ||||
| … |
日期:投标人名称(公章):采购项目编号:采购项目名称:商务应答表
| 序号 | 招标文件商务要求 | 是否响应 (填写响应或不响应) |
| 1 | (根据招标文件第4章商务要求逐项填写) | |
| 2 | ||
| … |
投标人需如实完善表格内容。说明:根据《中华人民共和国政府采购法实施条例》第四十三条第三款要求,中标、成交结果公告应当公告中标(成交)供应商的相关内容,请供应商根据响应情况如实完善以下内容,结果公告时公布中标(成交)供应商的相关信息。技术、服务、商务应答附表注:投标人必须据实填写,不得虚假应答,否则将取消其中标候选资格或中标资格。
| 中标(成交)供应商的相关信息 | ||||||||
| *项目名称 | ||||||||
| *投标人名称 | ||||||||
| *注册地址 | *行政区域 | |||||||
| *供应商规模 | □大型企业 □中型企业 □小微型企业(对应处打“√”) | |||||||
| *单位联系方式 | *单位联系人 | *单位电话 | ||||||
| *单位联系方式 | *单位邮箱 | |||||||
| 注:以上*号项信息供应商须如实填写,若因供应商提供错误信息造成的问题,由其自身承担。 | ||||||||
| 投标人应答“采购文件”的主要内容 | 成交标的的名称 | |||||||
| 投标人应答“采购文件”的主要内容 | 成交标的的价格 | |||||||
| 投标人应答“采购文件”的主要内容 | 中标服务要求 | .... .... .... ...... | ||||||
投标人基本情况表日期:年月日投标人名称:(加盖公章)投标人应答的主要内容仅用于结果公告,投标人自行完善的内容视为不涉及供应商商业秘密。若投标人没有填写或没有递交此表,视为允许采购代理机构将投标人投标文件中所有相关的应答内容进行公告。(仅用于中标、成交结果公告,此表不作为评审内容)投标人应答的主要内容应与投标文件一致,可以进行简要概括性表述。
| 投标人名称 | |||||||
| 注册地址 | 邮政编码 | ||||||
| 联系方式 | 联系人 | 电话 | |||||
| 联系方式 | 传真 | 网址 | |||||
| 法定代表人 | 姓名 | 技术职称 | 电话 | ||||
| 技术负责人 | 姓名 | 技术职称 | 电话 | ||||
| 财务负责人 | 姓名 | 技术职称 | 电话 | ||||
| 成立时间 | 员工总人数: | ||||||
| 企业资质等级 | 其中 | 项目经理 | |||||
| 营业执照(法人证书)号 | 其中 | 高级职称人员 | |||||
| 注册资金 | 其中 | 中级职称人员 | |||||
| 开户银行 | 其中 | 初级职称人员 | |||||
| 账号 | 其中 | 技工 | |||||
| 经营范围 | |||||||
| 备注 | |||||||
采购项目编号:采购项目名称:项目负责人简历表日期:投标人名称(公章):
| 姓 名 | 性 别 | 年 龄 | |||||||
| 职 务 | 职 称 | 学 历 | |||||||
| 参加工作时间 | 从事项目负责人年限 | ||||||||
| 曾参与项目情况 | |||||||||
| 采购单位 | 采购项目名称 | 规模 | 项目起止日期 | 执行中或已完成 | 担任职务 | ||||
采购项目编号:采购项目名称:项目人员配置情况表日期:投标人名称(公章):
| 类别 | 职务 | 姓名 | 职称 | 学历 | 资格证明(附复印件,无可不提供) | |||
| 类别 | 职务 | 姓名 | 职称 | 学历 | 证书名称 | 级别 | 证号 | 专业 |
| 项目管理成员 | ||||||||
| 项目管理成员 | ||||||||
| 项目管理成员 | ||||||||
| ... | ||||||||
| ... | ||||||||
本公司(联合体)郑重声明,根据《政府采购促进中小企业发展管理办法》(财库﹝2020﹞46号)的规定,本公司(联合体)参加(单位名称)的(项目名称)采购活动,工程的施工单位全部为符合政策要求的中小企业(或者:服务全部由符合政策要求的中小企业承接)。相关企业(含联合体中的中小企业、签订分包意向协议的中小企业)的具体情况如下:中小企业声明函中小企业声明函日期:投标人名称(公章):注:以上表格格式行、列可增减。
企业名称(盖章):本企业对上述声明内容的真实性负责。如有虚假,将依法承担相应责任。以上企业,不属于大企业的分支机构,不存在控股股东为大企业的情形,也不存在与大企业的负责人为同一人的情形。……2.(标的名称),属于(采购文件中明确的所属行业);承建(承接)企业为(企业名称),从业人员人,营业收入为万元,资产总额为万元,属于(中型企业、小型企业、微型企业);1.(标的名称),属于(采购文件中明确的所属行业);承建(承接)企业为(企业名称),从业人员人,营业收入为万元,资产总额为万元,属于(中型企业、小型企业、微型企业);
本单位对上述声明的真实性负责。如有虚假,将依法承担相应责任。本单位郑重声明,根据《关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141号)的规定,本单位参加___单位的___项目采购活动提供(请填写:本单位、单位)的服务,该单位为符合条件的残疾人福利性单位。残疾人福利性单位声明函残疾人福利性单位声明函1从业人员、营业收入、资产总额填报上一年度数据,无上一年度数据的新成立企业可不填报。日期:
附:证明材料复印件3.4.12监狱企业证明材料2、中标人为残疾人福利性单位的,随中标结果同时公告其《残疾人福利性单位声明函》,接受社会监督。说明:1、如未提供残疾人福利性单位声明函,则其投标产品中的残疾人福利性单位的服务不能享受招标文件规定的价格扣除,但不影响投标人投标文件的有效性。日期:投标人名称(公章):
投标人名称(公章):采购项目编号:采购项目名称:3.4.13项目实施方案说明:如未提供监狱企业证明材料或证明材料盖章等不符合磋商文件要求的,则其提供产品或提供的服务中的小监狱企业生产的产品或提供的服务不能享受磋商文件规定的价格扣除,但不影响响应文件的有效性。参加政府采购活动的监狱企业应当提供省级以上监狱管理局、戒毒管理局(含新疆生产建设兵团)出具的属于监狱企业的证明文件复印件加盖供应商公章。
2017年,习近平总书记在全国两会上提出“城市管理应该像绣花一样精细”的总体要求,指出:“要强化智能化管理,提高城市管理标准,更多运用互联网、大数据等信息技术手段,提高城市科学化、精细化、智能化管理水平”。实现城市管理精细化,成为全国各地城市政府的一项重要任务。1..习近平总书记关于城市管理工作的重要指示项目背景项目概述招标项目技术、服务、政府采购合同内容条款及其他商务要求日期:年月日
国家在2016年颁布《网络安全法》后,陆续启动了《等保2.0》,并颁布了《密码法》、《数据安全法》、《关键基础设施保护条例》、《个人信息保护法》等安全法律法规,对关键基础设施、数据、个人隐私等做了更为明确的要求,智慧蓉城运行中心作为城市运行管理的核心系统,影响整个城市并扩展到影响到国家安全,对于安全保障工作就更为重要。3.国家对网络安全要求进一步提升以大运会保障为契机,以“智慧蓉城”运行中心建设为切入点,利用半年左右时间挂图作战,在2022年6月前,建成投用“智慧蓉城”运行中心,形成与“智慧蓉城”运行中心配套的政务值守、运行监测、风险预警和指挥调度管理体制,初步实现城市运行实时监测分析预警、突发事件高效协同处置,在相关领域形成一批可复制、可推广的智慧应用场景,超大城市敏捷治理、科学治理能力显著提升。为贯彻落实习近平总书记“一流城市要有一流治理,要注重在科学化、精细化、智能化上下功夫”的重要论述精神和网络强国、数字中国、智慧社会等系列决策部署,根据市委、市政府有关“智慧蓉城”建设的工作部署,加快推进城市运行“一网统管”建设,进一步推动超大型城市安全运行、服务完善、科学治理。2.成都市启动智慧蓉城运行中心建设工作2020年,习近平总书记在杭州城市大脑运营指挥中心考察时指出:推进国家治理体系和治理能力现代化,必须抓好城市治理体系和治理能力现代化,运用大数据、云计算、区块链、人工智能等前沿技术推动城市管理手段、管理模式、管理理念创新,从数字化到智能化再到智慧化让城市更聪明一些、更智慧一些,是推动城市治理体系和治理能力现代化的必由之路,前景广阔。
促进业务数据高效流通,实现数据流转可用不可见,促进政务数据高效流转,加快智慧蓉城建设步伐。提升系统安全保障能级,基于系统平台的安全风险分析,从原有的基础安全的安全架构、合规防御,提升至积极防御和情报协同阶段;重点治理智慧蓉城数据安全,保障数据及隐私安全。实现安全保障工作合规,智慧蓉城配套相关系统满足《等保2.0》、《数据安全法》、《个人信息保护法》、《关基条例》、《密码法》等法律法规合规要求。项目目标2017年,习近平总书记强调“书记是新的生产要素,是基础性资源和战略性资源”,标志着数字经济进入一个全新的阶段。数字经济体现在“政府推动”,重点强调通过数据资源化利用,赋能数字产业化和产业数字化,实现政府治理能力、民生服务水平以及经济发展质量三个方面的提升;另一方面体现在“市场配置”,强调通过数据要素化配置,实现经济社和的效益倍增、安全倍增以及财富倍增。目前政务数据交换共享有序开展,不过还存在部分较为敏感的数据难以有效利用,促进数据要素化和流动,是政府数据治理的关键路径。4.促进数据要素化和流动成为政府数据治理和数字经济发展的关键途径
服务清单3.数据安全治理服务主要包括数据安全管理体系建设服务、数据资产梳理服务、数据安全风险评估服务、数据访问权限稽查服务、数据安全策略管理服务、数据安全风险监测及告警服务、数据安全溯源分析服务、数据安全应急响应及处置服务。2.基础安全防护服务主要包括API接口审计服务、全流量探针服务、APP评估及加固服务、威胁诱捕服务、零信任运维服务、红蓝对抗服务、安全检查服务、系统接入安全评估、安全培训、区块链平台安全监测、区块链风险评估和安全保障体系评估服务等内容。1.安全基础设施服务主要包括打造一体化的威胁情报中心赋能基础安全防护,构建隐私计算平台促进业务数据高效流通。项目的服务内容主要包括安全基础设施服务、基础安全防护服务和数据安全治理服务等。主要服务内容
| 序号 | 服务项 | 服务名称 | 服务内容 | |
| 1 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报中心平台服务 | 为实现主动、协同式的网络安全威胁预警、检测和响应,有效降低平均威胁检测时间和响应时间,提高整网络安全整体防护能力,将通过部署本地化威胁情报能力中心融汇第三方安全厂商(含科研院所)、电子政务外网、全市各委办局自产生的威胁情报特征信息(域名、IP、威胁样本、威胁行为等),形成标准化威胁情报数据能力,以API接口形式实现与现有安全设备的联动处置。 |
| 2 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报数据服务 | 中心基础数据(比如:近期网络空间安全形式、热点以及活跃攻击组织),确保数据鲜活可用,针对待接入威胁情报能力中心的威胁情报数据进行数据治理,确保按照标准格式接入并存储数据(为后续数据的有效使用提供标准基础)。 |
| 3 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报运营服务 | 利用威胁情报能力中心平台及所含数据开展数据运营服务。服务内容包含网络安全风险预警、威胁样本分析与威胁情报赋能三个组成部分。 |
| 4 | 安全基础设施服务 | 隐私计算服务 | 隐私计算平台服务 | 针对智慧蓉城运行管理平台及配套支撑系统,通过隐私计算服务解决各委办局有条件共享/开放、不允许共享/开放中的高敏感数据、隐私数据的安全流通问题,实现数据流通过程中数据的所有权不被侵犯,同时又能使得数据可以授权和安全的使用,实现数据要素化安全。 |
| 5 | 安全基础设施服务 | 隐私计算服务 | 隐私计算运营服务 | 确保隐私计算平台正常运转,同时根据业务系统隐私计算场景提供场景分析、数据分析、隐私建模等内容。 |
| 6 | 基础安全防护服务 | API接口审计服务 | - | 针对智慧蓉城API接口调用过程中的数据泄露、违规行为等风险,采取在关键数据节点部署API接口审计系统,实现对API接口资产的识别、异常调用与数据违规使用监测预警以及数据泄露追踪溯源。(审计范围全面覆盖智慧蓉城7000个业务API接口,审计记录保留180天)详细内容。 |
| 7 | 基础安全防护服务 | 全流量探针服务 | - | 为加强政务云网络安全风险事件深度分析能力、提升网络流量数据包统一按需分发能力,将在政务云核心通讯节点部署全流量采集存储装置(包含全流量数据采集复制引擎设备和全流量探针设备),装置集成流量数据分发与流量数据包全内容记录等能力,将全面提升政务云威胁检测能力与效率,降低网络攻击造成的危害。同时,为保证威胁溯源需要,完整真实的还原网络安全事件的原始场景,事件日志存储应不低于180天,原始数据存储应不低于5天。 |
| 8 | 基础安全防护服务 | APP安全评估服务 | - | 为全面提升智慧蓉城运行管理平台移动APP主体安全防护水平,杜绝外部恶意攻击者利用移动APP存在的脆弱性风险发起攻击破坏行动,将定期对智慧蓉城移动APP进行全面安全检测,安全检测的内容将全面覆盖移动app代码脆弱性、业务漏洞以及配置不当等,针对发现的安全风险提供针对性修复方案与复测工作。 |
| 9 | 基础安全防护服务 | APP防护加固服务 | - | 针对智慧蓉城运行管理平台APP自身脆弱性及外部恶意威胁,将提供定制化文件加壳保护、防反编译、加密保护、防调试、防篡改等加固服务,全面降低移动APP被恶意攻击造成应用失陷、数据丢失的安全风险。 |
| 10 | 基础安全防护服务 | 威胁诱捕服务 | - | 为更快速有效的分析研判出攻击者的攻击动机、攻击目标、攻击路径及攻击手法,指导开展安全防御工作,通过在政务云互联网接入区部署威胁诱捕系统,实现在攻击者的进攻路径上制造陷阱、混淆攻击者的目标,有效加强智慧蓉城相关业务系统防御能力。 |
| 11 | 基础安全防护服务 | 零信任运维服务 | 零信任管控平台服务 | 针对外部(第三方)运维人员运维过程存在的身份不可控、越权运维、过度操作等安全风险,将通过建设零信任运维管控平台,为智慧蓉城相关系统运维过程提供基于动态的身份管理、认证管理、权限管理和审计管理等服务,全面护航智慧蓉城运维过程中的应用与数据安全。 |
| 12 | 基础安全防护服务 | 零信任运维服务 | 运维接入代理服务 | 通过部署运维接入代理组件,将在“运维人员-业务应用后台”之间构建动态的访问控制策略,对整体运维过程实现基于请求上下文的信任动态调整,实现有效运维安全。 |
| 13 | 基础安全防护服务 | 零信任运维服务 | 数据可信环境服务 | 针对运维过程中存在的数据泄露风险,将通过部署数据可信环境,提供数据可信使用环境,实现数据可用不可得,避免数据泄露。 |
| 14 | 基础安全防护服务 | 零信任运维服务 | 可信环境感知服务 | 为全面杜绝因运维终端自身安全不达标或已被恶意攻击控制造成对运维目标业务的风险蔓延,将通过部署可信环境感知组件,对运维终端自身脆弱性及恶意代码存在与否等关键安全状态持续检测,一旦触发安全规则,则执行阻断、预警、降低访问权限等策略,避免风险蔓延。 |
| 15 | 基础安全防护服务 | 红蓝对抗服务 | - | 通过组建红蓝对抗团队、编制场景化的红蓝对抗方案、搭建一套专业的红蓝对抗演习平台,在模拟真实生产环境的仿真场景下实施规范化、高效化的红蓝对抗演练,来实现全生命周期的攻防管理及全程留痕,同时检验并提升大数据中心相关人员的网络安全实战对抗能力。 |
| 16 | 基础安全防护服务 | 安全检查服务 | - | 1.按照上级、行业主管与第三方审计部门开展信息安全专项审计检查要求,编制针对性安全检查规范,组织专业技术人员执行检查工作,出具安全检查结论及整改建议。检查范围覆盖智慧蓉城及相关支撑系统。 |
| 16 | 基础安全防护服务 | 安全检查服务 | - | 2.针对区县智慧蓉城平台安全防护情况开展安全检查工作,制定专项安全检查规范,组织专业技术人员执行检查工作,出具检查结论及整改建议。检查范围覆盖成都市23个区(市)县。 |
| 17 | 基础安全防护服务 | 系统对接风险评估服务 | - | 针对各个部门系统对接智慧蓉城的信息系统,开展对接前安全评估,评估通过后方可实施对接。 |
| 18 | 基础安全防护服务 | 安全应急响应服务 | - | 针对智慧蓉城及配套系统发生严重安全事件,组织安全专家开展安全应急响应处置,解决问题,溯源问题,采取措施防止再次发生类似问题。 |
| 19 | 基础安全防护服务 | 安全培训服务 | 安全意识培训服务 | 提供网络安全法、数据安全法、个人隐私保护、关键基础设施保护条例等网络安全意识培训。 |
| 20 | 基础安全防护服务 | 安全培训服务 | CDSP(数据安全认证专家)认证培训服务 | 完成培训及认证后将使得受训人对数据安全威胁、数据安全框架和最佳实践产生系统性认知,并具备安全设计、审计、评估、保护数据与隐私所需的关键知识、技能和能力,服务含考试费和培训费。 |
| 21 | 基础安全防护服务 | 安全培训服务 | CCSP(云安全认证专家)认证培训服务 | 面向日常工作涉及云安全架构设计、运营和服务编排的专业人士,完成培训及认证后将使得受训人提高实用技能知识,服务含考试费和培训费。 |
| 22 | 基础安全防护服务 | 区块链平台安全检测服务 | 面向智慧蓉城区块链平台开展安全检测服务,按照工信部发布行业标准YD/T 3747-2020《区块链技术架构安全要求》包含但不限于模拟攻击测试、核心代码白盒审计等方式,形成检测报告 | |
| 23 | 基础安全防护服务 | 区块链风险评估服务 | 根据国标GB/T 20984-2007 《信息安全技术 信息安全风险评估规范》要求,组织专业技术人员开展区块链平台风险评估服务工作,出具风险评估结论及整改建议。风险评估范围为围绕资产、威胁、脆弱性三大核心要素对区块链平台重大功能变更过程中的预变更模块自身的安全性,变更模块对区块链平台的安全性影响范围评估,并出具风险评估报告以及应对措施建议 | |
| 24 | 基础安全防护服务 | 安全保障体系评估服务 | 针对智慧蓉城运行管理平台及配套支撑系统现有的安全管理、安全技术保障能力以及具体安全保障执行情况,进行综合评估,指出存在的问题并给出意见建议。 | |
| 25 | 数据安全治理服务 | 数据安全管理体系建设服务 | - | 基于等级保护2.0管理要求、DSMM数据安全能力成熟度模型、数据安全法等相关法律法规,结合实际情况,通过咨询完善数据安全管理组织,协助完善制定数据安全策略、制度和流程等管理体系。数据安全管理体系建设服务主要包含但不局限于现有管理体系调研,体系建设框架及建设思路确认,体系内容(4级文档)建设,制度发布、修订以及安全管理制度宣贯等。 |
| 26 | 数据安全治理服务 | 数据资产梳理服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有数据智能发现与识别、数据索引标记能力、服务器扫描能力以及数据库扫描能力的自动化工具配合人工服务进行数据资产发现和梳理,主要包括但不局限于1.数据资产梳理:根据提供的数据资产清单,进行查漏补缺,协助发现网络环境内数据资产主机,以及数据类型、数据重要程度、数据量、数据所在位置、数据载体、数据责任部门与责任人,输出数据资产梳理清单。2.敏感数据发现:发现数据资产中的敏感数据,采用扫描的形式探测到数据资产的内部结构,如数据库的表、字段;大数据内部的表、列族、XML、属性;文件系统的目录结构、文件等。确定敏感数据内容和分布,输出敏感数据分布报告。3.敏感数据分类分级:基于前期敏感数据的梳理和定位,根据法律法规与行业标准或定义的分类分级规范,对敏感数据进行梳理,形成敏感数据规则,并输出敏感数据规则。 |
| 27 | 数据安全治理服务 | 数据安全风险评估服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有数据泄露建模能力的自动化工具配合人工服务从安全管理、安全技术、安全运维等方面分析面临的威胁和脆弱性,对安全现状及存在的安全风险进行综合评估,并给出评估建议。包含但不局限于数据资产及承载系统现状梳理,脆弱性扫描,配置核查,整体风险评估等内容,以系统为单位,输出数据安全风险评估报告。 |
| 28 | 数据安全治理服务 | 数据安全访问权限稽查服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有人物画像能力、水印管理能力的自动化工具配合人工服务梳理现有业务系统各类角色账号(包括但不限于数据提供方、数据使用方、数据监管方数据管理方、数据运营方和数据生产/开发方等类角色)的数据访问权限配置情况。数据访问权限稽查服务主要包括但不限于获取/梳理数据访问关系,系统验证权限控制措施,梳理稽查报告等内容,输出业务系统数据权限调研报告,业务系统数据访问走向图。 |
| 29 | 数据安全治理服务 | 数据安全策略管理服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有数据分类分类能力的自动化工具配合人工服务建立数据安全策略统一管理手段,主要实现数据安全策略的可视、可控、可管,对数据安全技术手段的策略定义、策略分析等工作,提供数据资产发现、数据脱敏、数据加密、数据水印等多种能力API接口,实现数据安全能力有效性验证,输出数据安全策略管理调研报告、数据安全策略管理建议。 |
| 30 | 数据安全治理服务 | 数据安全风险监测及告警服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有日志采集分析以及数据流转分析能力的自动化工具配合人工服务对其核心业务数据流转过程,利用数据安全工具监测发现业务数据流转过程中存在的异常行为、安全告警,并提供预警通告,定期输出数据安全风险监测服务报告。 |
| 31 | 数据安全治理服务 | 数据安全溯源分析服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有人物画像能力、数据泄露建模能力、数据溯源能力以及全生命周期管控能力的自动化工具配合人工服务对其核心业务数据流转过程在监测过程中发现的数据安全风险事件、用户异常行为、敏感信息访问行为等进行综合分析,为后续响应处置提供处置建议,针对典型告警事件按需协助客户进行事件溯源和定位,输出数据安全溯源分析报告。 |
| 32 | 数据安全治理服务 | 数据安全应急响应处置服务 | - | 针对智慧蓉城运行管理平台及配套支撑系统,通过具有数据访问异常分析能力的自动化工具配合人工服务对其核心业务系统在发生黑客入侵攻击、敏感数据资产泄露等安全事件时,及时对安全事件进行抑制处理,在事后协助恢复系统正常运行,输出数据安全应急响应预案、数据安全应急响应报告。 |
威胁情报中心服务,是为了提升安全管理中心监测预警能力,提升各项安全设备/系统的情报协同能力。服务内容威胁情报中心服务安全基础设施服务服务内容及要求
情报采集威胁情报中心平台服务需由情报采集、情报生产、情报狩猎、情报赋能、安全数据采集、数据存储、日志及情报查询、关联分析、研判溯源、情报预警通告、交互呈现等功能模块组成。威胁情报中心平台服务要求服务技术要求各服务之间利用威胁情报平台有效串联,实现数据与能力整合与使用。服务主要包含:威胁情报中心平台服务、威胁情报数据服务与威胁情报中心运营服务三部分组成,其中,威胁情报平台服务是搭建威胁情报的采集分析赋能的软件工具平台,威胁情报数据服务是购买外部数据服务实现威胁情报数据的实时注入,威胁情报中心运营服务是采购相关专业安全人员实现威胁情报平台服务能力有效远转。
支持STIX等国内外主流威胁信息表示规范数据的接入,同时支持扩展自定义数据类型。支持主动在线采集、被动在线接收、离线文件导入等多种方式。支持第三方数据对接,支持以开源共享、信息交换、购买等方式从第三方数据源获取的威胁信息,并对该类数据进行可信度评估。支持互联网数据,包括但不限于:IP指纹、IP定位数据、Web指纹、DNS数据、Whois数据、社工数据、漏洞库数据等,并保证各类数据的持续性、准确度和新鲜度。支持商业情报源,支持以查询量或情报数量计费的、各专业安全单位运营及提供的情报源,支持采用RESTFULAPI通过互联网进行情报查询和情报匹配。支持多源数据的釆集,主要数据源包括:商业情报源、开源情报源、互联网数据、第三方数据。
支持通过对APT样本特征的分析,以已有APT组织样本作为训练集,提取相关特征,训练高价值样本判定模型。支持对每天的海量恶意样本进行处理,支持通过机器学习模型来初步筛选高价值样本。情报狩猎支持家族信息和攻击组织研究,支持通过情报运营团队的样本分析和跟踪研究,支持提取各种僵木蠕家族在程序结构、系统行为、网络行为和规避技术等方面的共性,形成僵木蠕家族特征,支持总结和提炼出各种攻击组织的来源、目标、工具、手段等攻击组织相关特性。支持热点事件捕获,支持通过爬虫技术,对国内外安全从业人员和安全研究机构的微博、Twitter、博客、官方网站和其他开源情报发布渠道进行实时监测,解析页面内容、PDF等格式文件,通过机器学习和NLP算法分析出深度的IOC信息以及热点事件,实现威胁信息提取加工。情报生产
情报赋能支持基于图数据库直观的展示被隐藏在数据表迭代中的“关联关系”。支持Graph知识图谱,集成关联关系自动补全功能,支持补充大量的关联情报信息来支撑情报拓线,可以直观的展示被隐藏在数据表迭代中的“关联关系”。支持Intelligence高级检索,协助对样本进行狩猎,支持精细化拆分样本报告,其中包括动态链接库调用、导出函数、动态行为报告、杀软告警信息、metadata元数据、lang文件语言类型等等几十种字段。支持通过多种渠道积累高准确度规则库,支持将恶意样本进行分类,输出高价值的规则和由规则标定的恶意样本情报,并通过规则将恶意样本筛选出勒索、远控、CVE漏洞、WEB攻击、APT组织等多种类型恶意样本。支持规则狩猎,具备识别和分类恶意软件样本的扫描引擎,支持对样本的静态扫描。并构建一套规则库来补充事件情报维度,能够通过规则捞取威胁样本。
支持以Syslog、kafka等方式采集安全设备和探针产生的日志,对所有采集上来的日志进行范式化处理,将各种类型的日志格式转换成统一的格式,以及提供的范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。数据采集支持响应阻断,可以根据情报碰撞、威胁分析或情报狩猎的结果,通过手工或自动化的方式,阻止现有威胁和紧急威胁。支持情报支撑安全分析,支持通过采集大规模多渠道的碎片式攻击或异常数据,集中地进行深度融合、归并和分析,形成与网络安全防护有关的威胁信息线索。支持基于情报的主动防御,支持各种安全控制措施通过共享可机读的威胁情报,及时触发相关的防护和告警规则。支持基于情报的威胁检测,情报可与现有的防火墙、入侵检测、入侵防御、Web应用防护防火墙(WAF)、终端安全设备、安全管理中心平台结合,具有“看见威胁的能力”,发现最新威胁、隐藏的威胁、甚至未知威胁,并对其进行有效应急处置,支持应用方式包括安全设备通过情报API实现对流量的情报碰撞、威胁情报中心通过日志采集实现对全量流日志的情报碰撞以及威胁情报中心基于情报数据和日志数据的威胁狩猎。
日志及情报查询支持列式数据库,支持情报和日志数据的主要存储方式。支持索引数据库,支持场景包括短时间段内的告警或事件日志等。支持关系数据库,支持场景包括系统或应用配置数据、应用业务数据、系统审计、报告统计数据等。数据存储支持对日志进行信息补齐,在进行日志范式化的时候,加入日志类型、ATT&CK、攻击阶段等字段,对日志进行自动分类,为后续分析研判提供便利条件。
支持告警查询,提供多种查询条件检索目前已经发生的所有告警,便于进行综合的分析和处理告警。查询结果展示的列表支持自行配置展示内容的功能,可提供配置的展示内容有:告警名称、告警类型、告警级别、源IP、目的IP、攻击阶段、关联事件数、告警时间。支持告警概览展示告警总数(已处置,未处置)、告警趋势统计、告警级别分布、告警类型TOP5、告警子类型TOP5、告警源TOP5、受害资产TOP5等。▲支持多源情报查询,可以展示查询结果和历史情报查询信息(提供服务功能截图证明,并加盖投标人电子章)。支持日志查询,支持告警概览、告警查询、告警详情的搜索和查看。支持已授权用户查询IP地址、域名、URL、文件HASH等内容,反馈详细的情报信息给用户。支持提交可疑文件到云端沙箱,进行静态检测和动态分析,将分析结果呈现给用户。支持对查询结果进行加密传输。支持情报查询,支持将威胁情报数据提供给授权的用户进行查询使用,支持授权控制,授权控制内容包括:查询次数、查询速度、情报数据内容等。
支持对异构原始数据进行统一格式化处理,支持将各种不同表达方式的日志转换成的统一的描述形式,支持范式化字段包括日志接收时间、日志产生时间、日志持续时间、用户名称、源地址、源MAC地址、源端口、操作、目的地址、目的MAC地址、目的端口、日志的事件名称、摘要、等级、原始等级、原始类型、网络协议、网络应用协议、设备地址、设备名称、设备类型等。支持进行研判规则定义,包括数据原子规则、数据窗口规则、数据统计规则、输入输出规则等,支持基于设定的规则由研判分析引擎对抽取的数据进行归纳和分类,支持根据多源数据之间的固有联系,对各孤立的安全数据进行关联,形成多源数据的关联关系。支持进行多源异构数据加载、根据预先定义的配置,把各类型的安全数据格式转化成统一格式,对多源数据进行统一展示,对异构数据进行统一标记。支持基于多源异构数据的关联分析研判,支持由多源异构加载、多源异构数据标注、规则定义、资源定义、规则解析。关联分析支持告警详情,支持查看每一条告警日志更详细的监测内容,包括事件时间、事件级别、源MAC地址、目的MAC地址、源IP端口、目的IP端口、源地理位置、目的地理位置、网络协议、事件来源、应用类型、应用协议、事件类型、关联日志数、事件概要描述、事件详细描述。
情报预警通告支持风险评估和威胁分析,支持事后追踪溯源,通过利用情报提供的攻击者画像、恶意HASH值、恶意IP、恶意域名等信息,更精准高效地区分不同类型的攻击,支持利用威胁情报IOC对威胁进行实时检测,识别命令控制通信回连、恶意域名和URL的访问、高级持续性威胁等,支持对IP、域名、文件Hash等进行情报溯源,查询相关联的恶意样本信息、域名情报信息和IP情报信息等,并进行可视化呈现。支持通过IP、域名、Hash等进行情报溯源,查询相关联的恶意样本信息、域名情报信息和IP情报信息等,并进行可视化情报展现,支持提供最新热点安全漏洞、安全事件主动通告,提供各类安全事件的人工检索查询。支持包含攻击IP、C&C地址、挂马网站、钓鱼邮件和恶意软件等多方面的可机读威胁情报,支持威胁情报类型包括:垃圾邮件、赌博、色情、钓鱼网址、勒索软件、僵尸网络、恶意软件、DGA域名、C&C节点、扫描器节点、TOR节点、proxy代理、安全漏洞、数字货币、风险资产等,同时支持优先级、上下文等关键信息。研判溯源支持对大数据计算存储系统相关数据之间存在共性的部分进行自动关联补齐,支持通过关联补齐形成完整的数据,支持自动对日志的资产信息、用户信息、威胁情报信息与日志属性进行关联匹配。
支持设备管理,可对接入的安全探针进行统一分组管理,包括设备信息查看、设备特征库升级、设备登录、配置备份、DNS/NTP参数下发等操作。支持数据健康度监控,支持数据集与数据索引健康度监控。支持状态监控,可对探针的设备状态进行集中统一监控,监控内容包括探针的基础信息、CPU/内存磁盘使用情况、设备概况、设备资源使用排行、设备健康度排行等信息。日志管理支持自动预警通报下发,支持通过站内消息、短信、邮件和即时通信工具等方式,通知各部门查看通报并进行应急处置,同时支持向各部门推送最新安全通告,包括资讯标题、资讯详情、资讯来源、发生时间等内容。支持情报通报分级分类,支持突发性事件与安全事件两大通报类,其中突发事件通报内容包括有害程序事件、网络攻击事件、信息破坏事件、信息内容安全事件、设备设施故障和灾害性事件等;安全事件通报内容包括漏洞通告和安全预警等,内容包括事件类别、预警级别、起始时间、可能影响范围、警示事项、应采取的措施和时限要求、发布单位等内容。
支持数据源配置管理定义各种系统服务组件配置的信息管理功能。系统管理支持预置情报态势呈现,支持丰富的报表管理功能,支持根据时间、数据类型等定期自动生成报表,提供打印、导出以及邮件送达等服务。▲支持情报大屏展示,展示内容包括威胁情报地域分布地图、最新威胁情报、情报来源统计、情报类型统计、情报更新量等(提供服务功能截图证明,并加盖投标人电子章)。支持将抽取的可视化数据以多种图表的形式展示,包括雷达图、趋势图、柱状图、热力图、仪表盘、饼图等,要求网络威胁情报中心各页面加载时间≤3秒,各类检索操作返回时间≤5秒。交互呈现
支持组件安装,支持根据实际需要自动安装需要的服务组件。支持用户隔离,支持平台和日志按用户隔离。支持角色管理,支持定义拥有相同权限的一组抽象名称的统一管理功能,包括:用户分配、菜单分配、业务分配、数据标签分配。支持用户管理,管理使用这个系统的人员信息,支持单个用户的数据标签的权限分配;数据标签管理主要功能是:标签信息管理。支持业务管理,根据不同的使用场景定义相关的业务信息,针对不同业务指定对应的域用户组。支持权限管理,包含用户管理、菜单管理、数据标签管理、业务管理和角色管理。
威胁情报中心上线后,需提供对接智慧蓉城涉及的多种平台所必须的第三方安全设备或系统(如主机加固系统、流量探针、安全管理中心等)日志数据的服务。至少支持对接内容如下:对接要求支持监控报警,支持对于各个集群、主机、服务组件都可以针对性地设置各参数阈值进行报警监控,实时监控资源情况、服务状态、硬件负载等指标信息。支持集群管理,支持在系统管理中完成对大数据主机管理、大数据集群管理等操作。支持组件维护,支持针对性地对服务组件进行启动、重启、卸载、升级、重新部署等。支持组件配置,在安装好服务组件后,可以自定义服务组件的配置信息,并自动下发到目标组件使其生效。
(14)▲定制开发服务(提供承诺函,并加盖投标人电子章)对接威胁诱捕系统日志。对接威胁安全探针及全流量探针日志;对接第三方云端威胁情报平台数据;对接防火墙、IPS、WAF、VPN等安全设备安全日志;对接主机加固系统和终端防病毒日志;
持续开发服务,需要在收到应用开发需求后,在3个工作日评估出详细的开发需求,在1周内形成优化开发的设计,在1个月内完成对应的优化开发。为提升威胁情报中心的其他功能性目的的优化开发等内容对平台的功能模块的用户使用体验提升的优化开发对平台的流程步骤等进行优化开发对平台的页面呈现效果的优化开发在平台使用上线后,需根据用户单位的使用需求,持续迭代更新软件的版本持续软件开发,开发的内容主要包含以下内容:
支持综合及其他数据:包含PDNS数据、Whois数据、开源情报数据、恶意软件及攻击者档案等多种不同的情报数据类型,分别在情报关联分析应用和外部资产监控应用中使用,在情报关联分析中的作用包括报警研判、事件调查分析、黑客画像等。支持TTP数据:有关攻击者工具、技术、技战术手法的情报,具体包括和客户相关的攻击事件、恶意样本、软件漏洞等分析报告和预警通告,内容一般包括事件危害、影响范围、攻击机制、防范或检查机制能力。可以帮助组织提前预防攻击,并且有针对性的增强安全架构。这部分情报属于人读情报,以文本方式推送到平台。支持IP信誉:针对来自互联网攻击IP地址的情报信息,包括:是否有历史攻击行为、是否为IDC主机、是否是傀儡主机、是否是代理或Tor网主机、是否可能是扫描机器人等,用以过滤出优先级较高(或较低)的攻击事件,或了解攻击者的背景信息。IP类情报数量庞大且更新速度快,以远端查询为主。支持文件信誉威胁情报数据:文件信誉情报利用丰富的样本资源,采用多种技术方式进行分析,判断文件是否恶意以及具体的类型和家族等信息。以文件的HASH为索引,包括是否是白文件、是否恶意、恶意类型、家族信息等信息,针对已知木马、蠕虫、恶意软件、黑客工具、APT样本,同时可以提供对应对应hash样本的网络IOC信息。支持失陷威胁情报数据:有关攻击者的远程命令与控制服务器情报,用以发现内部被APT组织、僵尸网络、木马软件、后门工具等控制的失陷主机。此类情报将推送到威胁情报平台,以保障高速查询的需要。威胁情报数据服务要求
提供7×24小时热线和远程技术支持服务:提供7×24小时热线和远程技术支持。及时、高效地解决在监测发现高级别的威胁情报等。提供5×8小时现场人工值守服务:提供日常的威胁情报安全运营服务,包括开展威胁情报多源接入管理、情报优化、情报制作等服务。分析评估与智慧蓉城安全事件影响的范围和可能的波及面,及时下发工单,并进行流转及处理。提供7×24小时威胁情报监测服务:在智慧蓉城业务系统范围内,通过威胁情报中心平台进行7×24小时安全监控值守,实时收集网络安全管理中心平台服务、技术防护服务等相关安全威胁或安全事件等信息,提取、分析新的威胁情报线索,并添加到威胁情报中心平台,形成情报知识库。网络安全风险预警服务:结合“漏洞分析”及“资产探测”技术,在相关重大网络安全风险事件爆发之初,对引起风险事件的脆弱性或网络攻击行为进行精准分析,分析可造成危害的范围及特征信息,结合资产指纹信息与智慧蓉城相关业务系统的网络出口地址段,对潜在隐患资产进行精准匹配,强化风险掌控粒度;针对采集的APT组织活动轨迹,整理出相关组织活动状态与特征,输出定制分析报告,对网络安全APT活动轨迹精准判断;通过对暗网、黑客论坛、即时通讯软件群布控的数据采集探针,及时发现相关组织、个人可能开展的网络攻击破坏活动线索,进行精准预警。具体预警服务要求如下:威胁情报运营服务要求威胁情报对接:威胁情报数据是威胁情报平台运转的核心前提,在本服务项目建设过程中,平台应内置1亿条以上的基础情报库,并可通过与第三方主流威胁情报厂商对接威胁情报数据,实现威胁情报数据实时更新。
提供安全管理中心情报赋能;威胁情报赋能服务:胁情报中心上线后,对外以API接口以及网络安全威胁情报分析报告等形式提供能力输出,提供外部(横向委办局、纵向上下级单位)现有安全设备赋能联动服务,赋能至少包括:威胁样本分析服务:高级安全人员通过反编译、行为分析等技术,对采集到各类威胁样本开展追溯及关联分析,包括分析恶意样本用途、作用以及背后关联组织等,可提供自动化、人工样本分析服务,为样本分析并提供样本分析报告。威胁情报报告服务:以月报、单次事件报告等形式,输出威胁情报报告。输出的报告应通俗易懂,条理清晰。报告格式规范且统一,便于管理。提供威胁情报通告与警服务:现场威胁情报分析人员根据监测发现的威胁情报等级和处置流程,开展安全通告和安全预警服务。安全通告发布方式包括门户、邮件短信、企业微信、系统报警等多种通报方式。提供协助威胁情报关联事件处置服务:在智慧蓉城相关业务系统范围内,现场专业威胁情报分析人员通过威胁情报中心平台对各种威胁情报去重分析后,实现与安全管理中心平台实时对接赋能,及时关联分析内网IOC线索,协助现场安全运维人员根据安全风险和安全问题情况,有针对性地采取措施解决问题,降低风险。
单次故障恢复时间≤30分钟;平台服务可用性≥99.9%;依据威胁情报平台服务相关要求,要求其服务水平指标如下:服务水平标准要求在接收到安全赋能需求后,在1个工作日内做出服务响应,在2周内容实现情报赋能对接工作。提供各类安全设备、安全系统情报协同赋能。
0day漏洞爆发时,10天内升级形成漏洞威胁情报库;IOC失陷主机与威胁识别率≥90%;依据威胁情报数据服务相关要求,要求其服务水平指标如下:威胁情报服务报告的用户满意度≥90%。0day漏洞爆发时,10天内升级形成漏洞威胁情报库;IOC失陷主机与威胁识别率≥90%;
服务方式要求服务响应响应及处置完成延迟≤1个工作日。预警信息发布成功率≥98%;服务报告完整性≥90%;服务满意度≥90%;依据威胁情报运营服务相关要求,要求其服务水平指标如下:
升级服务过程,采用一人执行一人监督,以防止升级过程中出现误操作。平台运维服务由驻场威胁情报分析人员通过日常巡检、系统检查、系统升级等各种人工方式提供;根据需要的定制开发内容,并进行定制开发;策略配置部署服务通过驻场威胁情报分析人员完成相关的策略配置及部署;以软件形式进行服务交付;本次服务过程要求通过提供本地化威胁情报平台服务的方式实现该服务内容,具体详细要求如下:
5×8小时现场专业安全情报分析人员人工值守服务;7×24小时安全监测服务;★驻场威胁情报运营人员≥2名;(不与驻场基础安全服务人员及数据安全服务人员复用)本次威胁情报运营服务将采取人工方式实现整体运营工作,其具体要求如下:以威胁情报中心内部数据库数据呈现为主要服务方式,相关数据可接受威胁情报中心相关功能模块的调取使用;本次威胁情报数据服务具体详细要求如下:
隐私计算平台服务要求服务技术要求隐私计算服务包括:隐私计算平台服务、隐私计算运营服务两部分组成。隐私计算平台服务,是提供促进各委办局高敏感数据或隐私数据的安全流通的软件平台,以及配套的隐私计算平台运行维护等服务内容。隐私计算运营服务是提供按照需求开展隐私场景分析、隐私数据分析和隐私计算建模服务、定制开发对接等服务。服务内容隐私计算服务7×24小时热线和远程技术支持。
日志管理服务:支持实现各种流程的日志记录功能,支持对业务流程的审计功能。服务具体应包括如下功能:用户账户日志、参与节点日志、数据管理日志、项目管理日志、合约管理日志、作业执行日志、日志审计、区块链对接。作业管理服务:支持本方隐私计算任务的全局监控管理。服务具体应包括如下功能:我发起的作业查询、我参与的作业查询、作业详情、报表管理。报表管理包括如下功能:项目分类图表、热门数据使用申请图表、项目执行图表、API调用图表。合约管理服务:支持数据使用过程的授权管理,实现数据使用的“可控可计量”。服务具体应包括如下功能:我发起的合约查询。我参与的合约查询、等待我方签约的合约查询、支持对本方需要签约的计算合约的查询、合约签批。项目管理服务:支持隐私计算任务统一入口,分门别类管理各种类型的隐私计算任务。服务具体应包括如下功能:项目创建、项目参与方选择、项目合约签订、项目作业执行、项目作业终止、项目作业重执行、项目作业执行情况查询、项目查询。数据管理服务:支持实现本方数据上传和共享管理,对数据共享使用情况进行统一化监控。服务具体应包括如下功能:本地数据接入、数据目录上架、数据目录下架、数据目录删除、数据目录查询、数据目录使用情况。隐私计算平台至少需要由数据管理、项目管理、合约管理、作业管理、日志管理、监管管理、账户管理、隐私计算服务引擎等功能模块组成。
隐私求交服务引擎:支持持有各自集合的多参与方来共同计算各有数据集合的交集运算。在协议交互的最后,一方或是多方得到正确的交集,而且不会得到交集以外任何其他方集合中的任何信息。联合建模服务引擎:支持结合多方数据进行模型训练,支持联合建模的数据对齐、特征工程、模型训练、模型评估、推理预测等过程。结合密码安全协议,防止模型训练过程中泄密原始数据和模型梯度数据,优化计算策略和计算架构,提升联合建模的效率。联合统计服务引擎:支持在保护各方数据隐私的前提下,利用多方数据进行联合统计分析。各方本地数据及算法参数对其他方和隐私计算平台保密,结果使用方只得到统计结果,得不到任何其他信息。隐私计算服务引擎:支持从多个业务领域的业务场景中抽象出来的共性场景应用模式的服务引擎,可以有效支撑上层的各类隐私计算场景应用,具体要求如下:账户管理服务:支持账户角色功能统一授权管理。服务具体应包括如下功能:登录、修改密码、新建用户、修改账户信息、锁定用户账户、用户权限授权。监控管理服务:支持对平台使用情况,包括API调用、硬件资源占用情况等,进行统一化监控。服务具体应包括如下功能:本方CPU使用情况监控、本方内存使用情况监控、本方磁盘使用情况监控、本方网络使用情况监控、本方API调用情况监控。
隐私场景分析、隐私数据分析和隐私计算建模服务:在智慧蓉城相关业务系统范围内,对业务系统提出的隐私计算需求进行隐私场景分析、隐私数据分析和隐私计算建模服务,输出对应分析报告,并和隐私计算平台完成适配。依据本次隐私计算运营服务所涵服务内容,具体服务要求如下:隐私计算运营服务要求隐私计算平台对接要求:隐私计算平台作为促进数据交换共享的能力平台,需要与数据交换共享平台开展有效对接,并按照安全监管要求与安全管理中心、统一身份认证平台等对接。隐私计算安全协议要求:在保护数据提供方隐私信息的前提下,实现隐私数据共享的基础密码学安全协议。支持常见的隐私计算协议:秘密分享、同态加密、不经意传输、混淆电路、零知识证明、差分隐私等。隐匿查询服务引擎:支持查询方向数据提供方查询信息,同时保护查询方的查询意图和数据提供方的数据明细信息。
(2)依据隐私计算运营服务相关要求,要求其服务水平指标如下:单次故障恢复时间≤30分钟。平台服务可用性≥99.9%;(1)依据隐私计算平台服务相关要求,要求其服务水平指标如下:服务水平标准要求▲定制开发服务:要求一年建设一个场景。场景开发完成后,若需求变化则视为新的场景(提供承诺函,并加盖投标人电子章)。
以软件形式进行服务交付;(1)服务过程要求通过提供隐私计算平台的方式实现该服务内容,具体详细要求如下:服务方式要求服务报告完整性≥90%。服务满意度≥90%;计算结果满意度≥90%;
5×8小时隐私计算场景分析服务;(2)隐私计算运营服务要求采取人工方式实现整体运营工作,具体要求如下:升级服务过程,采用一人执行一人监督,以防止升级过程中出现误操作。平台运维服务由安全服务人员通过日常巡检、系统检查、系统升级等各种人工方式提供;根据沟通确定的需求进行定制开发;平台软件部署及策略配置服务通过安全服务人员完成;
结合目前已有的完全措施,补充基础安全防护服务主要包括API接口审计服务、全流量探针服务、APP评估及加固服务、威胁诱捕服务、零信任运维服务、红蓝对抗服务、安全检查服务、系统对接风险评估、安全应急响应、安全培训服务、区块链平台安全检测服务、区块链风险评估服务和安全保障体系评估服务等内容。基础安全防护服务7×24小时热线和远程技术支持。5×8小时隐私计算建模服务;5×8小时隐私计算数据分析服务;
支持≥7000个API接口;服务技术要求提供智慧蓉城云平台环境下API接口审计服务,至少包含提供API接口审计系统平台实现API接口关键业务梳理、异常行为监测、数据合规预警、数据泄漏溯源等能力,提供平台与已建的安全管理中心的数据对接,派驻专人开展日常API审计系统平台的日常运行维护,以及API业务梳理、行为监测预警及数据泄漏溯源分析等运营服务。服务内容API接口审计服务供应商需指派1名基础安全防护负责人(不与项目经理及数据安全服务负责人复用),以及根据具体每项服务内容指派驻场人员开展安全防护服务,且驻场人员不复用。
▲支持记录敏感信息访问监测,依据预先定义的敏感数据规则,通过数据解析去发现流量中未脱敏的信息,形成监测日志,包括监测记录包括:访问源地址,访问源名称,被访页面/接口地址,敏感级别,被访问应用名称,目的地址,访问时间,敏感类型,敏感数据详情(提供服务功能截图证明,并加盖投标人电子章);支持新建访问域(访问域名称,单个IP或IP地址段),通过名称进行访问源区域的划分,支持对IP访问源进行流量过滤;支持记录接口访问行为,监测非工作时间段访问,监测记录包括:访问源地址,访问源名称,被访页面/接口地址,敏感级别,被访问应用名称,目的地址,访问时间,合规时间范围,是否合规;通过内置违法违规关键字监测引擎,监测返回数据中是否存在的违规数据;通过敏感数据识别规则比对方式,监测、识别分析敏感数据未经脱敏处理直接通过明文在业务系统、Web前台进行传输的场景;支持HTTP协议解析,还原HTTP事件请求和返回内容;
针对API接口审计系统的操作使用培训用户满意率≥90%;接到API接口审计及检测服务策略调整要求申请后3个工作日内完成调整;API接口审计系统可用率≥99%(系统故障率低于1%);服务水平标准要求支持记录一定时间规则阈值内,登录次数的行为,监测记录包括:访问源地址,访问源名称,被访页面/接口地址,敏感级别,被访问应用名称,目的地址,访问时间,访问频次,周期。▲支持依据内置违法信息规则,通过数据解析去发现流量中传输的违法关键字,形成监测日志,包括监测记录包括:访问源地址,访问源名称,被访页面/接口地址,敏感级别,被访问应用名称,目的地址,访问时间,关键字类型,关键字详情(提供服务功能截图证明,并加盖投标人电子章);
★提供2名驻场安全服务人员开展安全防护服务;API接口审计系统通过软件形式进行交付;服务方式要求服务报告的用户满意度≥90%。接到服务开通通知后,3个工作日内完成服务开通;接到服务对接通知后,3个工作日内提供相应对接接口,并提供相应的对接配合;
全流量探针服务服务报告由安全服务人员根据服务过程中产生的记录、问题及处理结果等信息整理成对应的报告并提供给用户或相关管理部门。对接服务由安全服务人员通过提供数据接口及相关配合;运维服务由安全服务人员通过日常巡检、系统检查、系统升级等各种人工方式提供;培训服务通过安全服务人员通过线下资料发送及技术支持电话方式提供;API接口审计系统的部署与策略配置服务通过安全服务人员完成;
全流量探针设备要求标准软硬件一体化设备,冗余电源,配备≥1个RJ45管理端口,配备≥48个SFP+万兆插槽(含24个万兆光模块),≥6个QSFP28100G插槽(可向下兼容40G);全流量数据采集复制引擎要求服务技术要求提供全流量探针服务,主要包括全流量采集存储装置(包含全流量数据采集复制引擎和全流量探针设备),包含相关软硬件系统部署、调试,日常的运行维护,系统数据与安全管理中心的对接等服务内容,实现政务云通信关键节点链路数据进行集中采集、集中处理与统一调度。服务内容
▲支持HTTP应用层元数据解析,可支持解析host、URL、User-Agent、referer、cookie、accept-language、xff、Content-Type等元数据信息(提供服务功能截图证明,并加盖投标人电子章);支持对输出端口建立分流组,输出流量的分流策略支持数据报文过滤匹配,包括基于七元组、报文特征、报文内容深层标识等的策略分流,每个输出端口的分流流量可保持会话完整性;▲支持捕获过滤功能,通过BPF语法和流过滤条件对数据包进行过滤,过滤条件包括源IP、源端口、目的IP、目的端口、协议等(提供服务功能截图证明,并加盖投标人电子章);支持达到所有端口线速及转发数据64字节小包而不丢包,能完成复制、汇聚、负载均衡、过滤、指定流量的输出,且每个端口都能收发复用和单纤的输入,能够通过配置达到单纤发送的效果。支持分组式的管理端口功能,不同组之间的端口不会相互影响,支持1对多复制输入,多对1的汇聚输出,以及多对多的汇聚复制输出,还可进行1->N路的分流输出,通过配置过滤规则,建立规则条目编号范围为0-65535,最大支持2000条规则,完全可以配置多种过滤条件,达到定制流量输出的效果;支持全流量原始数据存储与检索的能力,能够实现精准、可靠的高性能数据包记录功能,为每个数据包提供纳秒级时间戳,对数据进行压缩和加密,同时以网络录像机形式提供回放历史流量数据包;标准软硬件一体化设备,冗余电源,CPU≥2颗,CPU总核数≥24核,内存容量≥128GB,配备≥2个千兆电口,≥4个万兆光口,≥4个业务接口插槽,≥900GB固态硬盘,≥168TB机械硬盘,最大处理能力≥10Gbps,最大新建连接≥10万每秒,最大并发连接数≥1000万每秒,原始数据报文检索速度≥50TB每秒。
服务水平标准要求满足事件日志存储不低于180天,原始数据存储不低于5天。支持与第三方系统对接(比如:安全管理中心),可通过RESTAPI接口调取Pcap原始报文,以及可通过Syslog、Kafka等方式与第三方系统实现日志数据交换,进行威胁取证分析。▲支持按照HTTP应用协议URL/HOST/method元数据字段检索全量会话流日志和原始数据包,支持元数据关键字检索,关键字检索条件支持使用通配符进行模糊检索(提供服务功能截图证明,并加盖投标人电子章);支持识别主流的网络应用,识别应用类型≥1100种,并支持按照应用类型自定义是否存储数据包;支持HTTPS应用层元数据解析,可支持提取服务器名称、客户端指纹、服务端指纹、SSL版本、SSL加密套件、证书签名算法、证书发布者、证书使用者、证书有效期等元数据信息;
接到其他系统对接服务要求后,5个工作日内提供相应对接接口,并提供相应的对接配合。事件日志存储≥180天,原始数据存储≥5天;服务满意度≥90%;历史数据回放准确率≥99%;安全威胁事件溯源分析准确率≥90%;全流量采集存储装置可用性≥99%;
全流量采集存储装置的运维服务由安全服务人员通过日常巡检、系统检查、系统升级、补丁修复等各种人工方式进行交付;全流量采集存储装置的培训服务通过安全服务人员以线下或线上培训进行交付;全流量采集存储装置的部署与策略配置通过安全服务人员进行交付;全流量采集存储装置服务通过软硬一体化设备进行交付;★提供2名驻场人员开展安全防护服务;服务方式要求
沟通准备阶段:应通过充分沟通明确服务范围、目标、分工责任及内容等信息,并制定《APP安全评估服务方案》。应取得采购人的测试授权申请书,对具体的测试人员信息、测试对象、测试方法、详细测试时间计划及测试风险告知等信息进行约定,并根据约定内容完成相关实施前提环境准备;服务技术要求针对移动APP/小程序开展,通过人工+工具方式编制评估方案、采集信息、执行专项渗透,安全检测的内容将全面覆盖移动APP代码脆弱性、业务漏洞以及配置不当等,并针对发现的安全风险提供针对性修复方案与复测工作,并形成服务报告。服务内容APP安全评估服务全流量采集存储装置的服务报告由安全服务人员根据服务过程中产生的记录、问题及处理结果等信息,整理形成对应的报告进行交付。
APP评估的检测误报率≤1%;服务水平标准要求报告阶段:整理测试记录编写摘要报告及详细技术报告,报告包含问题位置、成因、复现方法及修复建议等信息。渗透执行阶段:模拟黑客攻击对目标APP的漏洞进行利用,获取APP权限并记录测试过程,在达到项目测试目标后进行测试清理;脆弱性分析阶段:从威胁来源视角进行漏洞识别与分析得出最佳攻击路径,分析APP资产价值,并梳理出业务访问关系、流程信息,发现目标存在的安全漏洞,并验证漏洞有效性;信息收集阶段:对测试授权书中授权的测试对象进行识别,选择测试范围内的相关信息进行收集,包括但不限于目标APP环境信息、客户组织信息、第三方厂商信息、现有的防护信息等;
提供人工服务的方式,包括利用具备自主知识产权的评估工具、人工检测等方式对APP进行安全评估等。服务方式要求验收的各项文档的完整性≥90%。评估实施阶段的安排合理性≥90%;评估准备阶段,评估方案的完整性≥90%;服务满意度≥90%;
针对APP的ISO和安卓的文件进行加固防护,在不知道APP源代码的情况下,基于软件生命周期理论的“事后”阶段展开防护,开发者需要开发完成APP后对打包的APP程序文件进行加固防护,以避免发布后被恶意攻击和破解;服务技术要求针对APP的IOS版本、安卓版本和小程序的自身脆弱性及外部恶意威胁,提供定制化文件加壳保护、防反编译、加密保护、防调试、防篡改等加固服务,全面降低移动APP被恶意攻击造成应用失陷、数据丢失的安全风险。服务内容APP防护加固服务提供专家分析的方式,对检测数据进行验证分析,形成有效漏洞的验证报告。
服务的可用率≥99%;服务水平标准支持ROOT越狱检测、模拟器检测、防双开/多开、防界面截屏/录屏、防日志泄漏等服务,保护APP运行环境安全。提供安全键盘、防界面截屏/录屏、防界面劫持等扩展保护技术,防止钓鱼欺诈攻击,保护输入数据安全;支持对APP应用的全文件完整性校验、开发者签名校验保护,防止针对应用的篡改和二次打包;支持对APP的DEX、SO文件进行高级加密、加壳、虚拟化保护,防止通过IDA等工具逆向破解分析;
APP防护加固服务支持通过SAAS化服务、软件或软硬一体机进行交付。服务方式服务报告的用户满意度≥90%。接到服务开通通知后,3个工作日内完成服务开通;接到服务对接通知后,3个工作日内提供相应对接接口。并提供相应的对接配合;服务培训用户满意率≥90%;
服务内容威胁诱捕服务服务报告由安全服务人员根据服务过程中产生的记录、问题及处理结果等信息整理成对应的报告。运维服务由安全服务人员通过日常巡检、系统检查、系统升级等各种人工方式提供;培训服务通过安全服务人员通过线下资料发送及技术支持电话方式提供;APP防护加固系统部署和加固策略配置由安全服务人员完成;
▲支持以攻击源为单位记录攻击事件,以时间线方式记录入侵全过程,可查看攻击事件详细信息及入侵指令的能力(提供服务功能截图证明,并加盖投标人电子章);支持无感知反制能力,在攻击者进行攻击的同时无感知的进行反制溯源,获取攻击者信息,无需攻击者进行软件安装或特定链接的点击,可获取到攻击者的主机信息,微信号,主机名等信息;支持真实系统缺陷模拟和业务快速仿真,业务快速仿真可通过界面快速升级的能力;支持常见应用及网络服务模拟,模拟的类型包括但不限于:mediawiki、tomcat、wildfly、phpmyadmin、struts、thinkphp、ftp、weblogic、wordpress、extmail、Jenkins、joomla、shiro、http等;服务技术要求威胁诱捕服务是包括在政务云互联网接入区部署威胁诱捕系统,实现在攻击者的进攻路径上制造陷阱、混淆攻击者的目标,有效加强智慧蓉城相关业务系统防御能力,把威胁诱捕系统输入接入网络安全中心,并对威胁诱捕系统进行日常运维和威胁诱捕日常运营。
服务的可用率≥99%;服务水平标准要求可基于智慧蓉城关键业务系统进行高仿真定制,较一般仿真具有更强的迷惑性,反制能力更具针对性。支持国产操作系统部署,如凝思操作系统,深度操作系统,中标麒麟操作系统等;▲支持真实系统缺陷模拟,如Weblogic、Shiro、Struts2等,保障威胁诱捕系统的高仿真度和诱捕能力(提供服务功能截图证明,并加盖投标人电子章);支持与第三方系统(如:安全管理中心等)日志数据对接服务,能够通过Syslog、Kafka等方式与第三方系统实现日志数据交换服务;
威胁诱捕服务通过软件或软硬件一体机进行交付。★提供1名驻场安全服务人员开展安全防护服务;服务方式要求用户满意度≥90%。提供的攻击分析准确性≥90%;威胁诱捕率≥90%;
服务内容零信任运维服务服务报告由安全服务人员根据服务过程中产生的记录、问题及处理结果等信息整理成对应的报告并提供给相关接口人员。运维服务由安全服务人员通过日常巡检、系统检查、系统升级等各种人工方式交付。培训服务通过安全服务人员通过线下培训或线上培训进行交付。威胁诱捕系统部署及策略配置服务通过安全服务人员完成。
服务技术要求可信环境感知服务对终端自身脆弱性及恶意代码存在与否等关键安全状态持续检测,并与零信任管控平台的外部接口进行对接,实现可信环境感知系统扩展动态鉴权因子,充实权限管理模块的授权维度。数据可信环境服务用于智慧蓉城业务系统运维过程中,严格限制相关人员使用数据的权限,即需要通过数据可信环境服务严格管控相关人员的数据使用权,而没有数据下载权,以避免数据非法下载导致泄漏。运维接入代理服务用于用户/终端和业务应用后台维护之间的安全访问,是零信任的访问控制策略执行节点。运维人员通过可信接入代理访问授权业务应用系统资源(主机、数据库、服务器等)时,可实现运维权限细腻度的控制。零信任管控平台服务是针对外部(第三方)运维人员运维过程存在的身份不可控、越权运维、过度操作等安全风险,将通过零信任运维管控平台服务,为智慧蓉城相关系统运维过程提供基于动态的身份管理、认证管理、权限管理和审计管理等服务,全面护航智慧蓉城运维过程中的应用与数据安全。零信任运维服务主要包括零信任管控平台服务、运维接入代理、数据可信环境、可信环境感知等4项服务内容。
支持标准接口,实现与外部风险源系统(比如终端环境感知系统、UEBA用户实体行为分析系统)对接,接收计算结果,评估用户风险等级;支持自定义用户风险等级分数区间,设置不同风险等级对应的处置动作,实现用户权限随风险等级变化动态调整;支持资源属性管理,属性包括:资源名称、所属业务系统、资源类型、资源IP、资源图标、资源协议/端口、资源负责人、管理帐号等内容;支持资源所属业务系统管理,树形展示,可直接在业务系统树上进行增删改操作,并支持拖拽方式实现业务系统的移动,如业务系统下已有资源则不可拖拽移动;支持用户全生命周期管理,支持用户属性管理,属性包括但不限于:用户名、真实姓名、所属组织、用户类型、手机号、邮箱、身份证号、认证方式、岗位、令牌编号、令牌密钥、创建时间、有效期等内容;支持用户组织机构管理,树形展示,可直接在组织机构树上进行增删改操作,并支持拖拽方式实现组织机构的移动,如组织机构下已有用户则不可拖拽移动;零信任管控平台服务要求
支持会话监控,可查看会话详情,包括:用户、资源名、资源IP、资源端口、帐号、会话开始时间等,并可实时阻断用户会话;支持帐号一致性稽核,通过比对发现平台侧和资源侧帐号不一致情况,基于发现结果实现帐号的采集和同步,使平台与资源两侧帐号一致;▲支持分权分域管理,设置不同管理角色具备不同的管理功能,比如安全管理,系统管理员,审计管理员。互相独立的分级管理员,只能管理自己授权范围内的管理内容,不能查看和管理其他管理员的管理内容(提供服务功能截图证明,并加盖投标人电子章);▲支持风险告警配置,包括告警接收人设置,选择已纳入管理的用户;支持设置告警间隔时间,可自定义触发告警的间隔时间;支持自定义告警内容模板(提供服务功能截图证明,并加盖投标人电子章);▲支持认证方式分级管理,包括对认证方式进行分级分类,设置低风险认证方式、中风险认证方式和高风险认证方式,可根据风险等级设置对应认证方式,当风险等级从低风险变为中风险时,对应的处置动作为升级为中风险认证方式(提供服务功能截图证明,并加盖投标人电子章);▲支持动态策略管理,包括根据终端环境感知或用户行为分析上报的风险分数动态调整策略;支持自定义高、中、低风险分数区间;支持针对不同风险设置不同处置动作,包括:删除/恢复授权、中断会话、二次认证、升级/恢复认证方式、触发告警(提供服务功能截图证明,并加盖投标人电子章);
▲支持对数据库敏感信息进行自动发现和分布可视化展示,支持的数据库类型包括Oracle、DB2、MySQL、Sybase、SQLServer、postgresq等(提供服务功能截图证明,并加盖投标人电子章);支持资源批量登录,支持用户自定义快速登录组,支持资源登录时,指定协议、帐号和工具后快速加入到快速登录组,支持快速登录组中资源批量登录、全量登录和单个登录;统一登录界面、单点认证、主从账号管理、审计日志管理、系统管理等;实现对运维操作(telnet/ssh/ftp/sftp/RDP/VNC/X11等)的集中管理、访问控制、单点登录以及操作审计等功能;运维接入代理服务要求支持对网络设备、安全设备、服务器、数据库、应用系统、中间件的特殊高权限帐号实现统一管理功能。支持访问授权自助开通,可选择已有资源和帐号进行绑定,也可自定义填写资源和帐号信息新增并绑定,审批通过后平台自动执行;
▲支持金库预审批功能,预审批通过后在指定时间段内不再触发金库审批,方便登录和操作(提供服务功能截图证明,并加盖投标人电子章)。支持帐号金库和指令金库功能,实现用户登录指定帐号或操作指定命令时进行控制;支持核查已纳管的资源帐号类型,包括僵尸账号、孤儿帐号、绕行帐号、幽灵帐号等;支持帐号采集,可将资源侧帐号采集到平台进行统一管理,并可设置帐号过滤,被过滤的帐号则不会被采集;被代理人通过临时委托方式将自身拥有的权限授予代理人的行为,通过委托方式可临时将相关工作内容交与代理人处理,也可随时收回其委托的权限,并查看代理人所有的操作记录;▲支持根据敏感发现结果,对数据库运维时进行敏感信息的实施脱敏处理,并且可以根据用户权限大小设置不同的用户脱敏权限(提供服务功能截图证明,并加盖投标人电子章);
▲支持对保存在虚拟个人文件夹中的在线文档强制加入水印显示,并且水印内容可自定义(提供服务功能截图证明,并加盖投标人电子章);支持虚拟个人文件夹下载文件审批,审批方式包括短信审批、静态审批和在线审批;支持用户从虚拟个人文件夹下载文档到本地终端审批功能,可自定义设置审批策略,审批策略内容包括名称、审批人类型、审批人、操作人类型、操作人、是否免审批、免审批开始时间、免审批结束时间、审批模式和描述信息;支持虚拟个人文件夹中的文档在线可预览、可编辑、可分发,提供文档在线办公能力;支持运维人员导出或下载的文档不能直接下载到本地终端,而强制下载到虚拟个人文件夹,即安全可信的网络存储空间;数据可信环境服务要求
支持对终端脆弱性扫描统计呈现,并对漏洞按照一般、低危、中危、高危进行统计分类;▲支持环境安全基线检查,包括:终端补丁漏洞检查、防火墙状态检查、远程桌面状态检查、共享目录检查、共享打印机检查、共享IPC检查、屏保状态及时间检查、非法外联检查、终端密码弱口令检查(提供服务功能截图证明,并加盖投标人电子章);支持详细记录终端进程每一次变动信息,包括:进程ID、进程名、动作(启动、退出)、进程路径、父进程ID、父进程名、进程命令行参数、启动或退出时间、进程所属会话、启动进程的用户名称;支持终端业务资产清点,包括:运行进程数量、应用信息、服务、账户、最后登录时间、启动项、网络连接、开放端口;可信环境感知服务要求▲支持对下载到本地终端的离线文档进行管控,管控功能包括:复制控制、打印控制和强制加入背景水印显示(提供服务功能截图证明,并加盖投标人电子章)。
服务水平标准要求提供可信终端授权≥150个点。支持进程关联溯源、网络连接溯源、文件移动溯源能力,追溯威胁源头;支持基于白名单外设自学习及白名单运行控制能力,保护业务所需外设可正常使用,防止未知外设接入带来的潜在安全风险;支持主机防火墙网络封堵、微隔离连接控制、进程抑制、文件删除、文件隔离;▲支持根据安全基线规则内容对终端进行动态综合评分及分值权重配置(提供服务功能截图证明,并加盖投标人电子章);
服务报告的用户满意度≥90%。接到服务开通通知后,3个工作日内完成服务开通;接到服务对接通知后,3个工作日内提供相应对接接口。并提供相应的对接配合;服务培训用户满意率≥90%;接到服务策略调整要求申请后3个工作日内完成调整;服务的可用率≥99%;
运维服务由安全服务人员通过日常巡检、系统检查、系统升级等各种人工方式提供;培训服务通过安全服务人员通过线下培训或线上培训完成;零信任运维服务的相关软件部署与策略配置通过安全服务人员完成;★提供1名驻场安全服务人员开展安全防护服务;零信任运维服务通过软件形式进行交付;服务方式要求
服务技术要求红蓝对抗服务通过组建红蓝对抗团队,编制场景化的红蓝对抗方案,在模拟真实生产环境的仿真场景下实施规范化、高效化的红蓝对抗演练,来实现全生命周期的攻防管理及全程留痕,同时检验并提升大数据中心相关人员的网络安全实战对抗能力。服务内容红蓝对抗服务服务报告由安全服务人员根据服务过程中产生的记录、问题及处理结果等信息整理成对应的报告。对接服务由安全服务人员通过提供数据接口及相关配合;
服务满意度≥90%;服务水平标准要求要求提供红蓝对抗演练平台,平台集结选手(攻击方、防守方)、裁判和平台管理者角色,支持创建演习演习、定义演习规则和演习模式,支持将攻击成果、防御成果、战绩证明、评审记录、攻击实况、战队排名等信息进行实时大屏展现。攻击队应提供多途径网络攻击手段,在权限允许的情况下可采用多种网络攻击途径对防守方目标系统进行攻击,如:web渗透、内网渗透、漏洞利用、暴力破解、数据库攻击、日志清除、钓鱼欺诈、拒绝服务、逆向工程、网络设备攻击等。在攻击路径中发现的安全漏洞和隐患,攻击方实施攻击应及时向演练指挥部报备,不允许对防守方资产进行破坏性操作,要避免影响业务系统正常运行;开展红蓝对抗演练工作,攻击组严格按照约定的攻击手段对目标系统实施攻击,并记录攻击过程和成果证据;防守组按照既定方案进行防护工作,并记录防守过程和成果证据。攻击组和防守组按照要求通过演练平台提交攻击成果和防守成果。监督组在攻击成果提交后对攻击组的攻击行为、成果的合规性和有效性开展溯源审计。由监督组对提交的漏洞进行确认,确认漏洞的真实性,并根据演练计分规则进行分数评判。由应急处置组对攻击过程中的突发事件进行处理,保障演练的正常开展;提供红蓝对抗演练方案,确认演练方案对各环节的描述与实际服务目标是否一致,内容是否完整有效和可落地,每次演练持续时间≥7天;
服务交付物要求:演练总结相关报告、演练问题整改方案。红队成员具备CISP-PTE/Security+等相关安全证书;蓝队成员具有多次参演红蓝对抗演练的实战经验;提供红蓝对抗演练的安全专家具备多年的网络安全技术经验,熟悉网络安全防护体系和安全检查工具,具备红蓝对抗的处理流程和安全攻防技术对抗演练经验;红蓝对抗总结报告全面,能从多个视角提出合理化改进建议;红蓝对抗方案能够结合实际业务场景且具备可实操性;服务报告完整性≥90%;
所有参演人员在预设时间段内,在不影响核心业务稳定运行的前提下,针对真实业务系统进行实战对抗演练。(2)真实演练通过部署攻防演练靶机系统,所有参演人员针对靶机系统进行演练。(1)模拟演练红蓝对抗服务可通过模拟演练或真实演练场景进行:服务方式要求
服务技术要求检查工作主要包括编制针对性安全检查规范,组织专业技术人员开展检查工作,出具安全检查结论及整改建议。另一方面,是作为智慧蓉城的主管部门对针对区县平台的安全防护情况开展安全检查工作,检查范围覆盖成都市23个区(市)县。安全检查一方面针对上级、行业主管与第三方审计部门针对智慧蓉城市级城市运行管理平台的相关信息系统开展信息安全专项审计检查要求,而开展的内部安全检查。服务内容安全检查服务
安全检查服务至少包括安全检查方案、安全检查评估报告及区(市)县安全自查报告。按照网信、公安及其他上级主管部门的安全检查频率,计划每年至少开展1次自查。区市县智慧蓉城及电子政务主管部门职责落实抽查频率,计划每半年开展1次。市级部门网络安全防护情况抽查频率,计划每半年开展1次。区市县及市级部门专项安全抽查频率,计划每年开展1次。按照上级部门要求,开展疫情、重大活动等专项安全检查工作,制定专项安全检查规范,组织专业技术人员执行检查工作,出具检查结论及整改建议。检查范围覆盖市级各部门及区县政务领域主管部门。针对市级各部门安全防护情况开展安全抽查工作,制定专项安全检查规范,组织专业技术人员执行检查工作,出具检查结论及整改建议。检查范围覆盖成都市级各部门。按照智慧蓉城城市运行管理平台安全建设保障相关制度要求,以及电子政务领域主管部门职责落实情况,组织专业人员对23个区(市)县的信息安全自查结果开展抽查。参照上级主管部门与第三方审计部门开展信息安全专项审计检查的要求,对智慧蓉城城市运行管理平台相关系统所面临的威胁、存在的弱点、造成的影响,以及三者综合作用所带来风险的可能性进行评估。
服务方式要求检查服务报告的全面性≥90%。检查实施阶段的检查合理性≥90%;准备阶段的安全检查方案的完整性≥90%;服务满意度≥90%;服务水平标准要求
系统对接风险评估服务主要面向智慧蓉城核心系统城市运行管理平台,与之对接的各级部门系统,在对接前需要开展安全风险评估。主要包括:安全风险基线设定、安全风险技术核查、安全风险管理核查、安全风险报告等服务内容。服务内容系统对接风险评估服务现场检测方式主要包括上机检查、配置核查、相关制度文档查阅和现场访谈等。远程测试方式包括从互联网、政务外网等网络环境远程进行漏洞扫描、安全配置核查等;安全检查工作采取远程测试和现场检测相结合的方法进行;
服务水平标准要求服务交付物至少包括:《安全基线标准》、《对接系统安全风险评估报告》。对各级部门系统开展安全风险评估服务,识别并评价其面临的威胁及弱点,确定资产风险等级,选择安全控制措施,制定风险处置计划,进行残余风险分析;对各级部门系统接入智慧蓉城核心系统城市运行管理平台的安全报告进行核查,并提出整改建议;制定对接蓉城核心系统城市运行管理平台的安全基线规范,涵盖操作系统、接口、数据库、中间件等方面;服务技术要求
安全检查工作采取远程测试和现场检测相结合的方法进行;服务方式要求评估服务报告的全面性≥90%。评估实施阶段的评估合理性≥90%;准备阶段的安全检查方案的完整性≥90%;服务满意度≥90%;
服务技术要求根据智慧蓉城及相关系统实际需求,在发生严重安全事件时,本地安全支撑人员很难快速解决问题时,派驻资深安全专家开展安全事件问题解决和溯源,提供严重安全事件应急分析,处置,溯源和报告服务,防止再次发生类似安全事件。服务内容安全应急响应服务现场检测方式主要包括上机检查、配置核查、相关制度文档查阅和现场访谈等。远程测试方式包括从互联网、政务外网等网络环境远程进行漏洞扫描、安全配置核查等;
专家解决问题率≥95%;专家分析处理安全事件不超过2个工作日;专家现场响应时间不超过半个工作日,远程响应时间不超过5分钟;服务水平标准要求安全资深人员要求:安全专家具备多年的网络安全技术经验,熟悉网络安全防护体系和安全检查工具,具备网络安全事件的处理流程和安全攻防技术对抗经验。提供严重安全事件应急分析,处置,溯源和报告服务。
服务技术要求安全培训服务主要包括面向信息化相关人员的网络安全意识培训,以及面向安全管理人员的CDSP和CCSP安全专项培训。培训的内容包含不限于培训材料的筹备、培训专家的聘请、培训的实施、培训总结评估等。服务内容安全培训服务要求根据需求,现场或远程处置支撑。服务方式要求
提供CCSP(云安全认证专家)认证培训服务,面向日常工作涉及云安全架构设计、运营和服务编排的专业人士,完成培训及认证后将使得受训人提高实用技能知识,服务含考试费和培训费。培训服务流程包括培训前的准备阶段、培训服务实施阶段、培训服务总结和效果评估,每年至少提供1人次CCSP认证培训。CCSP认证培训服务要求提供CDSP(数据安全认证专家)认证培训服务,完成培训及认证后将使得受训人对数据安全威胁、数据安全框架和最佳实践产生系统性认知,并具备安全设计、审计、评估、保护数据与隐私所需的关键知识、技能和能力,服务含考试费和培训费。培训服务流程包括培训前的准备阶段、培训服务实施阶段、培训服务总结和效果评估,每年至少提供1人次CDSP认证培训。CDSP认证培训服务要求提供网络安全法、数据安全法、个人隐私保护、关键基础设施保护条例等网络安全意识培训。培训服务流程包括培训前的准备阶段、培训服务实施阶段、培训服务总结和效果评估,每年至少开展1场网络安全意识培训。网络安全意识培训服务要求
集中培训服务方式要求培训服务总结的全面性≥90%。培训效果调查的满意度≥90%;培训的服务满意度≥90%;服务水平标准要求
参照上级主管部门与第三方审计部门开展信息安全专项审计检查的要求,以及工信部发布行业标准YD/T3747-2020《区块链技术架构安全要求》,对区块链平台进行多维度的安全检测。安全检测手段应包含但不限于模拟攻击测试、核心代码白盒审计等方式,安全检测内容应包含标准要求的共识机制安全、账本安全、权限管理模块安全等八大项十四个小项的内容,并出具安全检测报告及整改建议;服务技术要求面向智慧蓉城区块链平台开展安全检测服务,按照工信部发布行业标准YD/T3747-2020《区块链技术架构安全要求》包含但不限于模拟攻击测试、核心代码白盒审计等方式,形成检测报告。服务内容区块链平台安全检测服务线上培训
实施阶段的检测合理性≥90%;准备阶段的检测方案的完整性≥90%;服务满意度≥90%;服务水平标准要求安全检测服务应在区块链平台部署到生产环境前完成。针对区块链平台安全检测中发现的问题,安全检测服务方应给出安全修复建议。并在修复建议实施结束后,针对修复结果进行检测确认;
根据国标GB/T20984-2007《信息安全技术信息安全风险评估规范》要求,组织专业技术人员开展区块链平台风险评估服务工作,出具风险评估结论及整改建议。风险评估范围为围绕资产、威胁、脆弱性三大核心要素对区块链平台重大功能变更过程中的预变更模块自身的安全性,变更模块对区块链平台的安全性影响范围评估,并出具风险评估报告以及应对措施建议。服务内容区块链风险评估服务区块链平台安全检测工作主要采取模拟攻击测试、核心代码白盒审计等方式进行。具体审计方式主要采用核心模块源代码人工白盒审核,其它模块做模拟攻击测试等方式,对链平台的共识机制安全、账本安全、权限管理模块安全等内容开展安全性检测工作。服务方式要求安全检测报告的全面性≥90%。
服务水平标准要求在区块链平台运行过程中,服务内容提供方应按需提供相关的安全咨询、安全应急响应服务。针对安全风险评估中发现的风险,服务内容提供方给出应对措施建议。并在应对措施实施结束后,针对应对措施进行评估确认;安全风险评估应包含安全风险评估方案、安全风险评估报告;在区块链平台进行重大变更,包含但不限于跨链/移链操作、权限管理模块变更等改变区块链平台当前运行方式的相关操作实施之前,围绕资产、威胁、脆弱性三大核心要素评估相关模块自身是否存在安全风险,以及在变更实施过程中变更模块对区块链平台的安全性影响范围做评估,完成资产识别、威胁识别和脆弱性识别,分析可能出现的安全事件及其影响,并给出相应的风险值;服务技术要求
风险评估主要通过专业人员现场评估方式主要包括现场访谈、系统测试、报告梳理等方式开展。服务方式要求安全风险评估报告的全面性≥90%。实施阶段的评估合理性≥90%;准备阶段的风险评估方案的完整性≥90%;服务满意度≥90%;
评估现有安全保障的技术能力,确保技术能力能满足各类合规要求和业务系统实现风险防护要求;评估主要内容主要包括:服务技术要求针对智慧蓉城运行管理平台及配套支撑系统现有的安全管理、安全技术保障能力以及具体安全保障执行情况,进行综合评估,指出存在的问题并给出意见建议。服务内容安全保障体系评估服务
服务水平标准要求拥有政府智慧城市网络安全保障体系建设工作经验。安全保障体系评估工作经验超过10年;服务平台人员要求:评估现有安全保障的具体执行情况,确保技术、管理措施落实到具体的工具、流程、人员中。评估现有安全保障的管理能力,确保现有组织架构、人员、制度能适配安全管理的要求;
体系评估主要通过专业人员现场评估方式主要包括现场访谈、文档查阅、系统测试、报告梳理等方式开展。服务方式要求提供意见建议有效性≥90%;指出问题的合理性≥90%;服务满意度≥90%;收到需求服务后2个工作日内派专家到现场进行评估;
基于等级保护2.0管理要求、DSMM数据安全能力成熟度模型、数据安全法等相关法律法规,结合实际情况,通过咨询完善数据安全管理组织,协助完善制定数据安全策略、制度和流程等管理体系。数据安全管理体系建设服务主要包含但不局限于现有管理体系调研,体系建设框架及建设思路确认,体系内容(4级文档)建设,制度发布、修订以及安全管理制度宣贯等。服务内容数据安全管理体系建设服务★整体需要要求提供1名数据安全服务负责人(不与项目经理及基础安全防护负责人复用)和不少于3名驻场数据安全服务人员(不与驻场基础安全服务人员复用)。开展数据安全治理。一是建设数据安全管理体系,基于等保2.0、数据安全法、DSMM模型,建设数据安全配套管理、制度流程和标准规范;二是摸清数据安全家底,通过数据资产梳理、数据访问权限梳理、数据安全策略梳理,全面理清数据资产分布、建立对应的权限控制和安全策略模型;三是治理数据安全风险,通过数据安全风险评估、数据越权行为稽查、数据泄漏风险评估等措施,持续发现和改进数据安全风险;四是持续运营数据安全,通过建立实时的数据安全监测分析、预警通告和应急处置机制,持续运营保障数据安全。数据安全治理服务
服务水平标准要求制定相应的数据安全管理制度,包括不限《智慧蓉城数据分级分类规范》、《智慧蓉城数据安全事件管理制度》《数据安全组织架构现状调研表》、《业务数据流转流程记录表》、《业务数据流程风险记录表》、《数据安全组织架构合规对比表》、《数据安全组织架构优化调整建议报告》、《现有数据安全管理制度调研表》、《现有数据安全管理制度业务适配度调研记录表》、《数据安全管理制度优化建议》以及数据安全管理制度四层文档。数据安全管理制度和规范设计时,范围应覆盖数据的全生命周期;制定数据安全管理制度文档,包括数据安全管理制度和办法、数据安全操作指南和作业指导、相关表格和报告及检查记录模板等管理制度文件;按照DSMM三级规范要求,对现有组织架构进行评估调研,并根据要求提供数据安全组织建设建议;服务技术要求
服务方式要求单个管理制度优化完善实施工期≤1个自然月;数据安全管理制度体系实施工期≤6个自然月;数据安全组织架构建设实施工期≤3个自然月;数据安全管理制度体系文档覆盖率≥90%;数据安全组织架构规划编制的符合性≥90%;
实现对数据库、大数据资源、Windows主机、Unix主机、Linux主机、应用系统的管理;服务技术要求数据资产梳理服务需要提供资产梳理配套的工具系统和专业人工服务,根据其对业务系统的影响程度、数据丢失后对单位的影响程度和数据的业务属性、数据敏感级别、数据类型、使用权限等相关纬度,对资产进行发现、梳理、敏感数据识别、分级分类的服务。梳理内容包含内数据资产主机、数据资产的内部结构信息,如数据库的表、字段;大数据内部的表、列族、XML、属性;文件系统的目录结构、文件、铭感数据信息等内容。并根据发现和梳理的数据资产形成数据资产视图。服务内容数据资产梳理服务要求人工服务方式。
支持手动修改敏感数据的分类分级策略。支持数据分类列表中展示资产名称、所属业务系统、资产类型、数据库名、模式名、表名、字段名、数据类型、所属分类、所属分级、确认状态、操作等信息;支持数据分类分级可视化,图形展示敏感数据重量、数据资产信息、数据分类/分级详情;支持主动扫描识别数据库、大数据组件、主机系统中的敏感数据;▲支持对Oracle、DB2、SQLServer、MySQL、PostgreSQL、Sybase、Informix、MariaDB等类型的数据库自动识别敏感数据(提供服务工具能力截图证明,并加盖投标人电子章);支持资产手动导入,资源属性包括资产名称、资产类型、所属业务系统、IP、端口、管理帐号名称、管理帐号密码、责任人;
服务期间,提供5*8小时现场服务和7*24远程响应服务;单个业务系统资产梳理及数据资产梳理清单交付时间≤10个工作日;敏感数据资产识别错误率应≤3%;数据资产梳理遗漏率≤1%;数据资产探测及扫描时不能对业务正常使用造成影响;服务水平标准要求
数据安全风险评估服务需要提供安全风险评估配套的工具系统和专业人工服务,旨在发现数据资产隐藏的脆弱性,从数据资产脆弱性、业务流转脆弱性、敏感数据威胁影响以及安全防护现状等方面进行风险评估。整理数据资产面临的安全风险及问题,并针对安全风险提供整改建议和意见。服务内容数据安全风险评估服务人工现场服务,并附带相关配套数据资产梳理工具服务方式。服务方式要求服务提交物要求:《数据资产清单》、《数据分类分级清单》、《数据资产梳理报告》。
支持对安全预警制定事件处置流程,通过持续的安全运营工作,实现数据安全风险处置闭环。支持对数据安全分析结果异常行为事件进行相关预警,包括如下方面内容:异常访问、暴力破解、越权访问、高风险指令、高频访问、敏感数据外发;▲支持展现并自定义各种数据安全场景事件,包括:高频访问、越权访问、高风险指令、敏感数据外发、异常访问、暴力破解,列表方式展示事件日志信息(提供服务工具能力截图证明,并加盖投标人电子章);▲支持风险中心监测视图,主要包含风险等级、风险事件总量、已处理事件数、未处理事件数、事件详情等展示(提供服务工具能力截图证明,并加盖投标人电子章);支持采集并展现各个能力组件的审计日志,包括但不限于数据库审计、数据库防火墙、数据库加密、数据动态脱敏、数据库运维审计、数据库运维动态脱敏、应用安全管控等;服务技术要求
服务方式要求服务提交物要求:《数据安全风险评估报告》。服务响应时间≤1个工作日;单个业务系统风险评估实施交付时间≤10个工作日;数据安全风险评估服务开展期间不得影响业务系统正常使用;服务水平标准要求
▲支持基于人(帐号)的敏感数据行为画像,按照不同的群组,生成群组画像并作为群组成员的基线。通过将个人数据操作和群组画像进行比对,生成画像偏离事件(提供服务工具能力截图证明,并加盖投标人电子章);服务技术要求数据访问权限稽查需要提供数据访问权限稽查的工具系统和专业人工服务,梳理现有业务系统各类角色账号(包括但不限于数据提供方、数据使用方、数据监管方数据管理方、数据运营方和数据生产/开发方等类角色)的数据访问权限配置情况。数据访问权限稽查服务主要包括但不限于获取/梳理数据访问关系,系统验证权限控制措施,梳理稽查报告等内容,输出业务系统数据权限调研报告,业务系统数据访问走向图。服务内容数据访问权限稽查服务人工现场服务,并附带相关配套数据安全风险评估及展示工具服务方式。
数据安全访问权限梳理服务开展期间不得影响业务系统正常使用;服务水平标准要求支持将获取到的泄露数据进行智能分析,提取数据中嵌入的水印信息进行分析,或是与留存的数据指纹比对,确认数据泄露源头。支持数字水印管理,对于指定的数据库数据,可将水印标记嵌入到原始数据中,支持伪行伪列、不可见字符,或是数据指纹留存,水印内容支持自定义;支持文档水印管理,对于运维或者应用访问下载的Office、pdf等格式文档,自动通过文档管控工具添加水印信息,水印内容支持自定义;支持水印管理能力,水印管理包括文档水印管理和数字水印管理,为数据泄露溯源提供支撑;
人工现场服务,并附带相关配套数据访问权限稽查及展示工具服务方式。服务方式要求服务提交物要求:《数据安全访问权限策略清单》。服务响应时间≤1个工作日;单个业务权限梳理交付时间≤10个工作日;数据安全访问权限梳理遗漏率≤5%;
▲支持数据安全能力可视化服务,展示能力组件总数、已建设能力组件数、待建设能力组件数、异常能力组件数、正常能力组件数、能力组件状态、能力清单等(提供服务工具能力截图证明,并加盖投标人电子章);支持对接各类数据安全能力组件,包括但不限于:数据库审计、数据库防火墙、数据库加密、数据静态脱敏、数据库运维审计、数据库运维动态脱敏、应用安全管控等;技术要求数据安全策略管理需要提供数据访问权限稽查的工具系统和专业人工服务,建立数据安全策略统一管理手段,主要实现数据安全策略的可视、可控、可管,实施数据安全技术手段的策略定义、策略分析等工作,提供数据资产发现、数据脱敏、数据加密、数据水印等多种能力API接口,实现数据安全能力有效性验证,输出数据安全策略管理调研报告、数据安全策略管理建议。服务内容数据安全策略管理服务
策略服务实施期间不得影响业务系统的正常使用;服务水平标准要求服务工具内置默认数据分级模板,可对分级模板进行编辑,支持分级模版导入和导出。服务工具内置默认数据分类模版,可对分类模板进行编辑,支持分类模版导入和导出;▲支持安全策略可视化,呈现各类数据安全策略,以及策略与各个安全能力组件的应用关系,便于安全策略的集中制定。包括:数据分类策略、数据分级策略、敏感数据发现策略、敏感数据管控策略、敏感数据监控策略等(提供服务工具能力截图证明,并加盖投标人电子章);▲支持统一制定数据安全策略,对各类数据安全能力组件进行策略编排、调度(提供服务工具能力截图证明,并加盖投标人电子章);
人工现场服务,并附带相关配套数据安全策略管理工具系统的服务方式。服务方式要求服务提交物要求:《数据分类策略清单》、《数据分级策略清单》、《访问控制策略清单》、《数据DLP策略清单》、《数据脱敏策略清单》、《数据加密策略清单》。服务响应时间≤1个工作日;单个业务系统策略梳理交付时间≤10个工作日;策略梳理遗漏率≤1%;
支持对敏感数据的流转场景如敏感信息未脱敏化、无认证访问行为、参数篡改访问、低权访问高权业务、跨区域非法办理业务以及账号复用、批量且高频的访问敏感信息等场景进行监测和审计;支持对现网中已有数据安全探针的数据安全信息进行采集;服务技术要求数据安全风险监测及告警需要提供数据访问权限稽查的工具系统和专业人工服务,对其核心业务数据流转过程,利用数据安全工具监测发现业务数据流转过程中存在的异常行为、安全告警,并提供预警通告,定期输出数据安全风险监测服务报告。服务内容数据安全风险监测及告警服务
服务响应事件≤10分钟;提供7*24远程数据安全监测及告警服务,5*8现场安全监测及响应服务;服务水平标准要求支持对数据运维操作和业务操作进行监测分析,以人为中心建立行为基线,发现数据业务操作和运维操作异常。支持对异常的访问行为、敏感数据未授权访问行为、异常攻击行为等进行实时监测,并编写数据安全监控报告;支持对服务范围内的产生的审计日志、操作日志及告警日志进行监控;
数据安全溯源分析需要提供数据安全溯源分析的工具系统和专业人工服务,对其核心业务数据流转过程在监测过程中发现的数据安全风险事件、用户异常行为、敏感信息访问行为等进行综合分析,为后续响应处置提供处置建议,针对典型告警事件按需协助用户进行事件溯源和定位,输出数据安全溯源分析报告。服务内容数据安全溯源分析服务人工现场服务,并附带相关数据安全风险监测及预警工具系统的服务方式。服务方式要求服务提交物要求:《数据安全风险监测运营月报》、《数据安全风险监测运营年报》。
服务水平标准要求▲支持对数据进行水印标识,支持伪行、伪列、指纹水印,为数据泄露溯源提供支撑(提供服务工具能力截图证明,并加盖投标人电子章)。支持对数据来源进行追溯,对数据泄露的源头进行定位;支持以时间维度展现,通过数据流转视图,展现数据泄露场景;支持以数据为中心建立数据流转视图,以时间维度对数据进行梳理,以数据文件为单元,建立数据流转视图,为数据安全溯源服务提供可视化视图;服务技术要求
服务方式要求服务提交物要求:《数据安全溯源分析报告》。服务响应时间≤30分钟;单次服务交付时间≤5个工作日;数据安全溯源分析服务误报率≤5%;提供7*24远程服务,5*8现场服务;
服务内容要求包括提供严重数据安全事件应急分析,处置;服务内容要求数据安全应急响应处置服务,是对核心业务系统在发生黑客入侵攻击、敏感数据资产泄露等安全事件时,及时对安全事件进行抑制处理,在事后协助恢复系统正常运行,输出数据安全应急响应预案、数据安全应急响应报告。服务内容数据安全应急响应处置服务人工现场服务,并附带相关数据安全溯源分析工具系统的服务方式。
远程应急响应支撑时间≤10分钟;现场应急响应时间≤30分钟;提供7*24远程应急响应支撑服务,5*8现场应急响应处置服务;服务水平标准要求结合数据数据安全溯源分析服务,对数据资产泄漏事件进行溯源,整理数据资产泄漏溯源分析报告。数据安全应急事件处置完成后,对处置过程进行总结,形式数据安全应急事件处置知识经验;
本项目采购三年服务期,每年度开展一次服务考核。项目的考核以打分形式考核结论,每次服务考核总分100分,每扣0.01分扣除年度0.01%服务费用。服务考核方案服务考核主要采用人工现场和远程支撑的方式开展。服务方式要求服务提交物要求:《数据安全应急响应处置报告》。
表3.21服务考核表服务考核按照服务考核表每年度逐项进行考核。服务考核标准服务考核方案,每年度根据服务的实际开展情况,在当年签订的合同内容中进行优化更新。
| 序号 | 服务项 | 服务内容 | 服务说明 | 扣分说明 |
| 1 | 服务建设 | 服务建设 | 在签订合同后,各项服务系统平台须在3个月内完成建设,服务人员也须在3个月筹备到位,并通过服务能力建设评审专家验收 | 1)每延迟一天通过专家验收,扣0.1分;2)验收过程中发现服务目录对应的服务项还存在不能完全满足服务要求的情况,每项扣0.1分;3)若存在由于甲方原因或者其他不可抗逆原因导致的延迟,经过甲方确认,可以延后并不做扣分处理。 |
| 2 | 服务团队 | 人员缺失 | 在服务过程中,按照用户要求提供相应数量、资质的人员。 | 1)项目经理、技术负责人等管理人员缺失的,每缺一人天,扣0.03分;2)现场服务团队如运维工程师、监测预警服务人员等缺失的,每缺一人天,扣0.02分;3)人员资质不匹配的,按照现场服务团队人员缺失计算扣分。 |
| 3 | 服务团队 | 日常考勤 | 服务期间人员日常考勤:需到现场提供服务的人员,应按日常工作时段到场提供服务。 | 1)每有一人次人员缺勤的扣0.02分(因业务需要外出但未报备按缺勤处理);2)每有一人次人员迟到早退扣0.01分。3)驻场人员每人每月因私请假不超过两天,每超出一人天,扣0.02分;单次不足一人天的,应合并累计计算,仍不足一人天的,扣0.01分;同一人因私请假超过四人天的,每超出一人天,扣0.05分。4)根据劳动法规相关规定且经所在单位审核同意,驻场人员可执行个人年休假,休假前应提前不少于20日向业主单位进行报备,并指定符合岗位工作要求的其他人员进行工作交接,单次休假时长不超过5个工作日,全年休假时长不超过10个工作日,每超过一人天,扣0.05分。5)项目组整体每月因私请假合并累计计算不超过二十二人天,每超出一人天,扣0.05分;超出不满一人天的,扣0.02。 |
| 4 | 服务团队 | 重大活动保障 | 根据用户实际需求,需到场参与重大活动保障的,应按时到场提供服务。 | 1)每有一人次人员缺勤的扣0.02分;2)每有一人次人员迟到早退扣0.01分。 |
| 5 | 服务团队 | 人员稳定 | 服务期间,项目服务人员稳定,减少人员更换次数(业主单位要求调整除外)。 | 1)每考核周期项目经理、技术负责人等管理人员有一人次更换名额,每超过一人次扣0.2分;2)每考核周期普通服务人员有一次更换名额,每超过一人次扣0.1分;3)一个考核周期同一岗位人员变更次数超过两次的,每超出一人次,扣0.5分。 |
| 6 | 服务团队 | 工作交接 | 服务期间,人员更换需按照管理制度做好交接工作。 | 1)服务期间人员更换未做好交接工作的,属于项目经理或技术负责人级别的,每有一人次扣1分;项目组其他服务人员,每有一人次扣0.5分; 2)造成重大不良影响的,每有一人次,扣0.5分。 |
| 7 | 服务团队 | 服务态度 | 所有人员服务态度应热情、友好、真诚。 | 1)服务态度恶劣的,对客户有言语冲撞、受到用户点名投诉或更严重情况的,每有一人/次扣0.2分;2)同一人员出现三次及以上,业主单位有权要求人员更换。 |
| 8 | 服务团队 | 工作质量 | 服务期间,项目服务人员应认真负责,严格把关,做好工作落实,确保服务质量满足用户要求。 | 1)项目服务人员出现工作散漫、不严谨、不认真负责等问题,每发现一次扣0.2分;2)同一人员出现达三次及以上,业主单位有权要求更换人员。 |
| 9 | 服务保障 | 服务履约 | 按照双方认可的需求确认单为依据完成服务内容。 (实际业务场景不具备服务条件等特殊情况造成的缺失服务内容除外) | 1)每缺少完成一项服务内容,扣除1分;2)不满足实际使用需求的服务内容,每有一项,扣除0.5分。 |
| 10 | 服务保障 | 服务响应 | 服务期间,应及时响应用户需求,积极应对系统故障。有约定响应时间的,应在约定时间内响应及处置;无约定响应时间的,应在收到请求或发现问题的30分钟内明确响应及处置。 | 1)对有特殊约定响应时间的,按照相关约定考核;2)对未约定响应时间的应在30分钟内给予响应,每超过10分钟,扣0.01分。3)对有特殊约定处置时间的,按照相关约定考核;4)对未约定处置完成时间的应在1日内完成处置,每超出1日,扣0.1分。 |
| 11 | 服务保障 | 服务电话 | 设有服务电话(对外公开服务电话、服务人员即时通讯工具等),并保持电话24小时畅通。 | 1)未设服务电话扣2分;2)服务电话无人接听,每有一次扣0.1分;3)未在要求的响应时间内回复电话、短信(或其他即时通讯信息)的,每有一项/次扣0.01分。(信号盲区、运营商链路故障、占线或其他非人为因素引起的无法接通除外。) |
| 12 | 服务保障 | 执行能力 | 根据制定的服务方案、服务计划提供完整、可靠、优质的各类服务。 | 未按照通过审核的服务方案、服务计划提供服务,每有一项/次扣0.1分。 |
| 13 | 服务保障 | 执行能力 | 根据制定的迭代开发方案和计划,实施系统开发和迭代更新。 | 1)未按照通过审核的迭代开发方案和计划实施系统开发和迭代更新的,每有一次,扣0.2分;2)逾期进行或未达到用户要求的,每有一项/次,扣0.05分,同一事件多次(两次或两次以上)未达到用户要求的,每有一项/次扣0.1分。 |
| 14 | 服务保障 | 执行能力 | 根据制定的重大活动或会议保障方案实施保障。 | 1)未提供保障服务的,每缺一次扣1分;2)未达到用户要求的,每有一项/次扣0.2分,同一事件多次(两次或两次以上)未达到用户要求的,每有一项/次扣0.5分。3)保障过程中,出现一般性失误或造成不良影响,但不影响重大活动或会议整体进行的,每有一次扣0.1分;4)出现重大失误或造成恶劣影响并影响重大活动或会议整体进行的,每有一次扣10分;5)出现特别重大失误或造成非常恶劣导致重大活动或会议中断的,每有一次扣15分。 |
| 15 | 服务保障 | 执行能力 | 根据制定的应急预案进行应急演练。 | 1)未按计划进行应急演练,每缺一次扣0.5分;2)逾期演练或未达到用户要求的扣0.1分,同一事件多次(两次或两次以上)未达到用户要求的,每有一项/次扣0.2分。 |
| 16 | 系统保障 | 技术能力 | 系统计划内停机维护时间超出服务协议规定的最长时限。 | 全年每个应用系统计划内停机时间不超过8小时,如实际计划停机时间超过8个小时,每超1分钟,扣0.01分。(以上系统计划内停机时间经甲方认定由非乙方原因引起的系统停机时间不包含在内。) |
| 17 | 系统保障 | 系统稳定性 | 服务期间,各应用系统运行稳定,故障少,按考核周期进行考核(政务云、基础网络、主机故障、接入的业务系统故障等第三方原因引起的故障除外)。 | 1)每个系统出现单次故障时间少于30分钟的,每有一次扣0.1分;2)出现单次故障时间大于30分钟且小于等于1小时的,每有一次扣0.2分;3)出现单次故障时间大于1小时且小于等于2小时的,每有一次扣0.3分;4)出现单次故障时间大于2小时的,每超出20分钟加扣0.2分。全年单个应用系统失效时间超过262.8分钟后,每超1分钟,扣0.01分。(以上失效时间经甲方认定由非乙方原因引起的系统失效时间不包含在内,系统计划内停机维护时间不包含在内。) |
| 18 | 系统保障 | 系统安全 | 服务期间,应尽量避免系统出现安全问题;系统出现安全问题后应及时按照预设流程或应急方案进行处置,做好记录;事后应进行专题分析,提交专题报告,并优化系统。(政务云、基础网络、接入的业务系统安全问题等第三方原因引起的安全问题除外)。 | 1)每年度系统出现轻微安全问题(如数据库在非工作期间缺失15分钟以内,或系统自身原因导致网络中断5分钟以内的情形)的次数不超过2次,每超过一次扣0.1分;2)每年度系统出现一般性安全问题(如工作期间页面崩溃无法访问时间达到5分钟不足15分钟的情形等)次数应不超过1次,每超过一次扣1分;3)每年度系统出现重大安全问题(如敏感数据信息泄露或工作期间页面崩溃无法访问达15分钟或以上的情形等),每有一次扣10分;4)每年度系统出现特别重大安全问题(如系统被劫持黄赌毒链接等情形),每有一次扣15分。5)系统出现安全问题后,响应不及时、未进行处置或未按规定流程处置或的,每有一项/次扣0.2分。 |
| 19 | 系统保障 | 系统安全 | 服务期间,配合第三方测评单位及时组织开展安全加固、漏洞修复等工作后进行复测工作。 | 未按确认的计划时间完成安全加固、漏洞修复等工作,影响第三方测评进度,每逾期一天扣0.02分。 |
| 20 | 系统保障 | 故障处置 | 按预设规定和流程对系统出现的故障进行处置。 | 1)故障处置措施不当或响应时间不及时,每有一项/次,扣0.2分;2)故障处置措施不当或响应时间不及时造成重大不良影响或重大损失的,每有一次,扣0.5分;3)影响极为严重的,每有一次扣1分。 |
| 21 | 系统保障 | 系统运维 | 按照制定的服务运行管理制度、运维服务管理规范开展系统运维工作。 | 未按照规定开展系统运维工作的,每有一项/次扣0.1分。 |
| 22 | 安全保障 | 安全保障 | 利用安全服务保障系统业务不发生安全事件 | 1)因安全服务导致业务性能下降的一般事件,每次扣0.01分;2)因安全服务导致业务中断的严重事件,每次扣2分;3)因为安全服务不到位导致被外部通报等事件,每次扣20分;4)因安全服务导致业务数据泄漏等重大安全事件,每次扣20分。 |
| 23 | 用户评价 | 用户投诉 | 受到用户单位或者使用公众投诉。 | 受到用户单位或用户上级单位投诉的,每有一次扣0.2分。(在同一阶段对同一系统故障的投诉,视为同一次投诉)。 |
| 24 | 用户评价 | 用户满意度 | 每年度进行一次用户满意度调查。 | 满意度调查总分100分。满意度调查的分值N,N≥95分,不扣分,N<95分,扣分值为(100-N)/50。 |
| 25 | 服务文档 | 方案计划 | 按年度依照要求制定、更新服务方案和服务计划。 | 1)未提供要求方案计划的,每有一次扣0.2分;2)逾期提交的,每逾期一天扣0.01分;3)按期提交,但质量未达到要求的,扣0.05分;4)连续两次及以上提交内容质量未达到要求的,每超过一次扣0.1分。 |
| 26 | 服务文档 | 方案计划 | 收集用户需求,进行需求调研和需求分析,制定系统迭代开发方案和迭代开发计划。 | 1)未提供要求方案计划的,每有一次扣0.2分;2)逾期提交的,每逾期一天扣0.01分;3)按期提交,但质量未达到要求的,扣0.05分;4)连续两次及以上提交内容质量未达到要求的,每超过一次扣0.1分。 |
| 27 | 服务文档 | 方案计划 | 按照用户要求制定重大活动或会议保障方案。 | 1)未提供要求方案计划的,每有一次扣0.2分;2)逾期提交的,每逾期一天扣0.01分;3)按期提交,但质量未达到要求的,扣0.05分;4)连续两次及以上提交内容质量未达到要求的,每超过一次扣0.1分。 |
| 28 | 服务文档 | 方案计划 | 根据用户需求,结合项目实际情况,制定年度、月度推进方案计划,针对独立事项拟定推进方案,根据审核通过后计划和方案组织实施推广工作,提供符合要求的服务。 | 1)未提供要求方案计划的,每有一次扣0.2分;2)逾期提交的,每逾期一天扣0.01分;3)按期提交,但质量未达到要求的,扣0.05分;4)连续两次及以上提交内容质量未达到要求的,每超过一次扣0.1分。 |
| 29 | 服务文档 | 服务报告 | 定期按照用户要求提交周报、月度、季度、年度运维报告、服务报告、运营推广报告和月度考勤等。 | 1)未提供要求资料文档的,每有一次扣0.2分;2)逾期提交的,每逾期一天扣0.01分; |
| 30 | 服务文档 | 服务报告 | 根据重大活动或会议保障情况,提供相应报告 | 3)资料文档质量未达到要求的,每退回一次扣0.1分; |
| 31 | 服务文档 | 日常需求 | 按照业主需求和项目需求,对相关数据进行收集分析,编制如数据分析报告等相应资料文档。 | 1)同一资料文档因质量未达到要求被退回三次及以上的,将根据影响严重情况进行追加扣分。 |
| 32 | 服务文档 | 与第三方单位协作配合 | 服务期间,应根据用户要求积极配合第三方(如:软件系统测试、等级保护测评等)提供相应资料文档。 | (要求资料文档均应确保其内容的正确性,完整性、可追溯性。) |
| 33 | 服务文档 | 日常运维 | 按照用户要求进行系统巡检、服务现场巡查和巡检,并做好记录。 | 系统维护、巡检记录不完整、不规范的,每有一项/次扣0.01分。 |
| 34 | 服务文档 | 突发应急 | 按预设规定和流程对系统出现的故障进行处置,并做好记录,出具故障报告。 | 故障处理记录和故障报告缺失或未达到用户要求的,每有一次扣0.01分。 |
| 35 | 服务文档 | 突发应急 | 系统出现安全问题后,应组织专题分析,进行安全加固,并形成分析报告 | 1)未进行有效专题分析、未提交专题分析报告或未进行有效优化措施的,每有一项/次,扣0.1分;2)问题记录、处置记录缺失或未达到用户要求,每有一次扣0.01分。 |
| 36 | 服务文档 | 突发应急 | 按照用户要求制定并更新系统应急预案。 | 应急预案更新逾期提供或未达到要求的,每有一项/次扣0.05分,同一事件多次(两次或两次以上)未达到要求的,每有一项/次扣0.1分。 |
服务扣款对服务期内出现的服务响应时效性较差、轻微系统故障、重大活动保障不足、对单一整改项出现整改失败、以及对服务整改要求执行不到位的情况,考核方将向服务团队发出服务警告。服务警告针对服务期内出现的服务团队人员不足、日常管理制度执行存在偏差等轻微问题,考核方可随时责令服务方进行整改,整改形式包括但不限于人员优化、人员增补、制度完善、制度宣贯等方面。服务整改服务考核应用
项目实施与质量保证商务要求另外,采购人会根据本项目实际服务效果设立一票否决考核项(具体项目及内容以服务合同为准),如服务方被执行一票否决的,则视为考核不合格,考核方有权与服务方解除合同关系,并依照合同内容向服务方执行违约条款。在服务方拒不执行考核方的整改要求、服务方人为原因造成用户方极为重大损失、服务过程中出现重大违纪违规行为或服务考核得分低于60分等违反相关服务合同条款的情况下,考核方有权与服务方解除合同关系,并依照合同内容向服务方执行违约条款。服务解除根据服务考核方案中规定考核内容及扣分分值,按照实际服务质量进行评分,每年度进行服务评估,按服务费用计算公式扣除每年度费用。
六、投标人应配合项目监理方工作,保障项目的成功实施。应按照本项目所采购的监理服务之具体要求提供与项目相关的所有技术文档和资料(含项目实施及验收报告),并且均应以磁介质(或光盘)和纸张为载体,文件格式为Word文档。五、投标人应成立相应的项目团队,并指定一名专职的项目经理(即项目负责人,不与数据安全服务负责人及基础安全防护负责人复用),负责项目协调和管理工作。项目团队组建完成后,项目经理应在考核单位的指导下制定团队管理制度,制度范围包括但不限于日常考勤制度、人员考核制度、工作汇报制度、文档管理制度、例会沟通管理制度等。在相关管理制度不适用于项目实际情况时,应对制度内容进行优化调整。四、投标人应承担数据交互对接所需的数据接口开发的所有费用,确保项目保质保量如期完成。三、投标人应详细阐述实施的组织保障、时间保障、技术保障等,以及运行维护期内的维修、维护内容及服务方式和范围。二、投标人应具有与本项目匹配的服务能力。一、投标人应负责本项目软件开发、系统部署和自测等工作;对所开发软件的相关操作全部文档化。
本项目为采购服务单价,实际服务费用按实际使用的服务内容、数量,以及本次采购服务单价、服务时间据实结算。服务费结算方式服务期限为3年,合同一年一签。服务期限八、投标人应提供7×24小时技术支持服务,服务方式包含但不限于现场、语音电话。服务请求应在10分钟内响应,如现场人员解决不了,高级技术人员应于1个小时内到达现场,应于2小时内处理相关故障,并形成书面处理记录。七、投标人应配合采购人做好软件测评、等保测评、密码测评等相关工作。
供应商在项目执行过程中所接触到的与采购人相关的文档、数据等信息均为保密内容。凡参与平台建设、运维、运营相关服务的相关人员均须与中标人签订保密协议,供应商与采购人签订“保密协议”,建立规范的保密制度,采取一切必要的技术手段和措施,确保保密内容安全,确保软件系统的可靠、有效,平台数据的安全、保密以及平台工作的有序、规范。由于供应商及其工作人员泄露、冒用、误用或违法使用采购人信息而造成的一切责任和损失,均由供应商承担。保密内容不得泄露,且保密责任不因合同的中止、解除或项目建设完成而失效。保密要求项目服务费前三个季度按季度实际使用情况结算,最后一个季度根据服务考核情况支付尾款,具体付款方式以合同为准。付款方式季度服务费即本项目服务期内服务总金额,是将每月的月度服务费用汇总,年度最后一个季度服务费用须减去年度服务扣款。月度服务费以自然月为单位计算,月度服务费=(服务内容1单价×数量×服务时间)+(服务内容2单价×数量×服务时间)……+(服务内容n单价×数量×服务时间);其中,按年计费的服务项,每月费用为其年度费用/12。
本项目招标文件、投标文件及合同等。经系统用户、专家、监理方等评审通过的文档,包括不限于以下文档:采购人已通过评审并修改完成的服务方案、服务报告、服务经费报告等;国家有关法律、法规,国家、省、市政府印发的有关信息化和电子政务项目管理规定;验收标准服务验收供应商在项目执行过程中须提供服务人员相关信息,配合采购人进行人员背景审查。
本项目季度验收,由服务采购人组织内部项目管理人员,针对服务的提供内容进行验收,根据验收结果支付季度服务费用。季度履约验收服务准备期验收通过后项目进入第一阶段服务期;服务准备期验收达不到采购文件和合同约定要求,采购人不予签字认可,中标服务供应商须对不符合部分采取措施进行改进,直至符合要求后再次提出服务准备期验收申请。本项目实施服务准备期验收条件(①按照“服务内容及要求”,初步具备服务能力后。②按照本项目监理要求提供相应项目过程文档。),由中标服务供应商向采购人提出服务准备期验收申请,经采购人与采购人聘请的第三方项目管理单位(监理单位等)同意后由采购人组织专家验收小组对项目(包括系统软硬件、应用系统等)在功能、技术指标等方面进行验收。服务准备期即在服务合同签订到服务能力建设完成期间,本项目实施服务准备期验收参照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)文件的相关规定组织开展验收活动。服务准备期验收
违约责任若服务考核不通过的,采购人有权终止合同以及取消中标人续签合同的资格。本项目实施履约验收条件(①年度服务期满;②年度服务考核通过且达到服务考核标准要求(年度考核分超过60分);③按照本项目监理要求提供相应项目过程文档;④配合完成项目等保备案、密评工作;⑤用户使用报告),由中标服务供应商向采购人提出项目履约验收申请,经采购人与采购人聘请的第三方项目管理单位(监理单位等)同意后由采购人组织专家验收小组对项目年度服务内容进行服务考核和履约验收。本项目按照《财政部关于进一步加强政府采购需求和履约验收管理的指导意见》(财库〔2016〕205号)文件的相关规定开展项目履约验收活动;年度履约验收供应商在完成季度工作后,提出验收申请,验收需准备的材料包含不限于:季度服务工作报告、季度服务费用报告。
2.如供应商违反本合同约定不能提供符合采购人要求的设备、软件或服务,采购人有权通知供应商限期补救,如供应商未能在采购人通知的期限内纠正其违约行为并提供采购人满意的服务,视为供应商不能履行,采购人有权通知供应商解除本合同,供应商应按合同总金额的5%向采购人支付违约金。若采购人由此遭受任何损失超过违约金的,供应商应承担相应赔偿责任。1.在采购人严格按照本合同约定履行其义务的前提下,如供应商单方面擅自终止合同,供应商应退还采购人支付供应商的全部合同款,并按合同总金额的5%向采购人支付违约金。采购人由此遭受任何损失超过违约金的,供应商应承担相应赔偿责任。供应商违约责任2.因采购人工作人员的疏忽或故意的错误行为而造成的供应商损失,采购人应负责赔偿。1.在供应商严格按照本合同约定履行其全部义务的前提下,如采购人单方终止合同,由采购人承担相应的责任,除支付全部合同款项外,按合同总金额的5%向供应商支付违约金。供应商由此遭受任何损失超过违约金的,采购人应承担相应赔偿责任。采购人违约责任
采购预算无。其他要求5.如供应商未按合同要求履行网络安全保障责任,,导致采购人损失,供应商应承担相应赔偿责任。4.如供应商未按合同约定履行保密义务或未对安全中心服务相关系统平台拥有合法的知识产权而致采购人被任意第三方追索的,采购人有权解除合同,供应商应按合同总金额的5%承担违约责任。3.因供应商工作人员的疏忽或故意的错误行为而造成的采购人损失,供应商应负责赔偿。
相关标准、规范要求单项报价最高限价表★本项目最高限价详见单项报价最高限价表,供应商报价高于对应最高限价的则其投标文件将按无效投标文件处理。最高限价本项目采购预算为1028.9万元/年。
| 序号 | 服务项 | 服务名称 | 服务计量单位 | 年度预估数量 | 年度服务单价限价(万元) | |
| 1 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报中心平台服务 | 套/年 | 1 | 48.5 |
| 2 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报数据服务 | 第三方情报源/个/年 | 1 | 25 |
| 3 | 安全基础设施服务 | 威胁情报中心服务 | 威胁情报运营服务 | 项/年 | 1 | 46.8 |
| 4 | 安全基础设施服务 | 隐私计算服务 | 隐私计算平台服务 | 套/年 | 1 | 40 |
| 5 | 安全基础设施服务 | 隐私计算服务 | 隐私计算运营服务 | 场景 | 1 | 20 |
| 6 | 基础安全防护服务 | API接口审计服务 | - | 项/年 | 1 | 95.7 |
| 7 | 基础安全防护服务 | 全流量探针服务 | - | 套/年 | 6 | 17.9 |
| 8 | 基础安全防护服务 | APP安全评估服务 | - | 次/系统 | 1 | 4.6 |
| 9 | 基础安全防护服务 | APP防护加固服务 | - | 次/系统 | 4 | 6.5 |
| 10 | 基础安全防护服务 | 威胁诱捕服务 | - | 套/年 | 2 | 10 |
| 11 | 基础安全防护服务 | 零信任运维服务 | 零信任管控平台服务 | 套/年 | 1 | 48.5 |
| 12 | 基础安全防护服务 | 零信任运维服务 | 运维接入代理服务 | 套/年 | 10 | 2.1 |
| 13 | 基础安全防护服务 | 零信任运维服务 | 数据可信环境服务 | 套/年 | 10 | 2 |
| 14 | 基础安全防护服务 | 零信任运维服务 | 可信环境感知服务 | 套/年 | 1 | 12 |
| 15 | 基础安全防护服务 | 红蓝对抗服务 | - | 次 | 1 | 23 |
| 16 | 基础安全防护服务 | 安全检查服务 | - | 次 | 9 | 3.5 |
| 17 | 基础安全防护服务 | 系统对接风险评估服务 | - | 次/系统 | 50 | 0.5 |
| 18 | 基础安全防护服务 | 安全应急响应服务 | - | 次 | 10 | 0.5 |
| 19 | 基础安全防护服务 | 安全培训服务 | 安全意识培训服务 | 次 | 1 | 2 |
| 20 | 基础安全防护服务 | 安全培训服务 | CDSP(数据安全认证专家)认证培训服务 | 人 | 1 | 1.3 |
| 21 | 基础安全防护服务 | 安全培训服务 | CCSP(云安全认证专家)认证培训服务 | 人 | 1 | 2 |
| 22 | 基础安全防护服务 | 区块链平台安全检测服务 | 次 | 1 | 20 | |
| 23 | 基础安全防护服务 | 区块链风险评估服务 | 次 | 2 | 5 | |
| 24 | 基础安全防护服务 | 安全保障体系评估服务 | 次 | 1 | 20 | |
| 25 | 数据安全治理服务 | 数据安全管理体系建设服务 | - | 项 | 1 | 10 |
| 26 | 数据安全治理服务 | 数据资产梳理服务 | - | 项 | 1 | 43.2 |
| 27 | 数据安全治理服务 | 数据安全风险评估服务 | - | 次/系统 | 10 | 5.4 |
| 28 | 数据安全治理服务 | 数据安全访问权限稽查服务 | - | 次/系统 | 10 | 5.2 |
| 29 | 数据安全治理服务 | 数据安全策略管理服务 | - | 次/系统 | 10 | 7.2 |
| 30 | 数据安全治理服务 | 数据安全风险监测及告警服务 | - | 项/年 | 1 | 36 |
| 31 | 数据安全治理服务 | 数据安全溯源分析服务 | - | 项/年 | 1 | 43.2 |
| 32 | 数据安全治理服务 | 数据安全应急响应处置服务 | - | 项/年 | 1 | 43.2 |
| 总价 | 1028.9 | |||||
资格性审查标准见下表,以下证明材料均须加盖投标人电子章:本项目资格审查由采购人和代理机构共同组建的资格审查小组依据法律法规和招标文件的规定,对投标文件中的资格证明材料等进行审查,以确定投标人是否具备投标资格,并出具资格审查报告。资格审查2、本章实质性要求未明确证明材料的,在对应的商务应答表或服务偏离表或技术偏离表中应答即可。注意:1、以上打★号的为本章的实质性要求,不允许有负偏离。★投标人应承诺为本项目提供的所有服务符合现行国家相关标准、行业标准、地方标准或者其他标准、规范(提供承诺函原件)。
| 资格审查项 | 通过条件 | 结论 | ||
| (一)资格要求 | 1、具有独立承担民事责任的能力 | 营业执照复印件(正本或副本)或法人证书复印件(正本或副本)或执业许可证明【供应商为自然人的仅提供身份证复印件。】。 | ||
| (一)资格要求 | 2、具有良好的商业信誉和健全的财务会计制度 | (1)具有良好的商业信誉的证明材料 | 供应商具有良好的商业信誉的书面声明或承诺函原件。 | |
| (一)资格要求 | 2、具有良好的商业信誉和健全的财务会计制度 | (2)具有健全的财务会计制度的证明材料 | 承诺函原件 | |
| (一)资格要求 | 3、具有履行合同所必需的设备和专业技术能力 | 承诺函原件 | ||
| (一)资格要求 | 4、有依法缴纳税收和社会保障资金的良好记录 | (1)缴纳社会保障资金的证明材料 | 承诺函原件 | |
| (一)资格要求 | 4、有依法缴纳税收和社会保障资金的良好记录 | (2)缴纳税收的证明材料 | 承诺函原件 | |
| (一)资格要求 | 5、投标人只有在“政府采购云平台”完成获取招标文件申请并下载招标文件后才视作依法参与本项目 | 以“政府采购云平台”所提供的名单为准。投标人无需上传资料。 | ||
| (一)资格要求 | 6、参加政府采购活动前三年内,在经营活动中没有重大违法记录 | 1、投标人参加政府采购活动前三年内,在经营活动中没有重大违法记录的书面声明材料原件【注:(1)投标人参加政府采购活动前三年内,在经营活动中没有重大违法记录(说明:投标人在参加政府采购活动前3年内因违法经营被禁止在一定期限内参加政府采购活动,期限届满的,可以参加政府采购活动,但投标人应提供相关证明材料);(2)声明函原件。】。 2、资格审查小组共同通过“信用中国”网站、“中国政府采购网”,在递交投标文件截止时间后对投标人进行查询(说明:投标人参加政府采购活动前三年内,在经营活动中没有重大违法记录[注:投标人在参加政府采购活动前3年内因违法经营被禁止在一定期限内参加政府采购活动,期限届满的可以参加政府采购活动,但投标人应提供相关证明材料])。 | ||
| (一)资格要求 | 7、法律、行政法规规定的其他条件 | 提供承诺函原件 | ||
| (一)资格要求 | 8、投标保证金 | 无 | ||
| (一)资格要求 | 9、法定代表人身份证明书原件及法定代表人身份证复印件或护照复印件 | 法定代表人身份证明书原件(自然人参加投标的不须提供身份证明书)及身份证复印件或护照复印件【注:(1)法定代表人身份证明书符合招标文件要求;(2)法定代表人身份证复印件(身份证两面均应复印,在有效期内)或护照复印件(法定代表人为外籍人士的,按此提供);(3)供应商为非法人单位的,上述“法定代表人”指供应商的主要负责人;(4)供应商为自然人的仅提供本人身份证复印件】。 | ||
| (一)资格要求 | 10、联合体投标 | 非联合体投标 | ||
| (二)资质要求 | 无 | 无。 | ||
| (三)其他要求 | 行贿犯罪记录 | 在行贿犯罪信息查询期限内,投标人及其现任法定代表人、主要负责人没有行贿犯罪记录的书面声明材料原件。 | ||
| (三)其他要求 | 信用记录 | 1.投标人未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单【注:(1)投标人未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单(投标人在参加政府采购活动前被禁止在一定期限内参加政府采购活动,期限届满的可以参加政府采购活动,但投标人应提供相关证明材料);(2)提供书面声明材料原件。】。 2.资格审查小组通过“信用中国”网站、“中国政府采购网”,在递交投标文件截止时间后对投标人进行查询(说明投标人未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单[投标人在参加政府采购活动前被禁止在一定期限内参加政府采购活动,期限届满的可以参加政府采购活动,但投标人应提供相关证明材料])。 | ||
| (三)其他要求 | 投标文件资格审查部分盖章 | 均按招标文件要求盖章。 | ||
| (三)其他要求 | 投标文件资格性审查部分的语言 | 语言符合招标文件的要求。 | ||
| (三)其他要求 | 不属于禁止参加投标或投标无效的供应商 | 根据招标文件的要求不属于禁止参加投标或投标无效的供应商的承诺函原件。 | ||
总则评标办法四、本章所称重大违法记录是指,供应商因违法经营受到刑事处罚或者责令停产停业、吊销许可证或者执照、较大数额罚款等行政处罚。同时规定,供应商在参加政府采购活动前3年内因违法经营被禁止在一定期限内参加政府采购活动,期限届满的,可以参加政府采购活动。三、通过资格审查的供应商<3名,本项目采购失败。二、资格审查小组通过“信用中国”网站、“中国政府采购网”,在投标文件截止时间对投标人进行信用记录查询。供应商响应为承诺的,应保证为诚信承诺,并对真实性负责,采购活动结束后采购人或采购代理机构将通过信用中国等网站核实供应商所作承诺的真实性。注:一、以上每一项结论均为“通过”的,则投标人的投标文件通过资格性审查;如有其中任意一项结论为“不通过”的,则投标人的投标文件按无效投标文件处理。如果资格审查小组认为投标人有任意一项不通过的,应在资格审查表中载明不通过的具体原因。
(二)审查投标人投标文件等是否满足招标文件要求,并作出评价;(一)熟悉和理解招标文件;四、评标委员会按照招标文件规定的评标方法和标准进行评标,并独立履行下列职责:三、评标工作应遵循公平、公正、科学及择优的原则,并以相同的评标程序和标准对待所有的投标人。二、评标工作由采购代理机构负责组织,具体评标事务由招标采购单位依法组建的评标委员会负责。评标委员会由采购人代表和有关技术、经济等方面的专家组成。一、根据《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》、《政府采购货物和服务招标投标管理办法》(财政部第87号令)等法律规章,结合采购项目特点制定本评标办法。
五、评标过程独立、保密。投标人非法干预评标过程的行为将导致其投标文件作为无效处理。(七)法律、法规和规章规定的其他职责。(六)向招标采购单位、财政部门或者其他监督部门报告非法干预评标工作的行为;(五)起草评标报告并进行签署;(四)推荐中标候选投标人,或者受采购人委托确定中标人;(三)根据需要要求招标采购单位对招标文件作出解释;根据需要要求投标人对投标文件有关事项作出澄清、说明或者更正;
熟悉、理解招标文件和停止评标评标程序综合评分法。评标方法七、评标委员会评价投标文件的响应性,对于投标人而言,除评标委员会要求其澄清、说明或者更正而提供的资料外,仅依据投标文件本身的内容,不寻求其他外部证据。六、评标委员会决定投标文件的响应性依据投标文件本身的内容,而不寻求外部的证据。
(四)采购项目属于政府采购促进中小企业发展的范围,但是招标文件未依法体现促进中小企业发展相关规定的;(三)采购项目属于国家规定的优先、强制采购范围,但是招标文件未依法体现优先、强制采购相关规定的;(二)招标文件明显以不合理条件对投标人实行差别待遇或者歧视待遇的;(一)招标文件的规定存在歧义、重大缺陷的;二、评标委员会熟悉和理解招标文件以及评标过程中,发现本招标文件有下列情形之一的,评标委员会应当停止评标:一、评标委员会正式评标前,应当对招标文件进行熟悉和理解,内容主要包括招标文件中投标人采购项目技术、服务和商务要求、评标方法和标准以及可能涉及签订政府采购合同的内容等。
评标委员会依据本招标文件的实质性要求,对符合资格的投标文件进行审查,以确定其是否满足本招标文件的实质性要求。本项目符合性审查事项仅限于本招标文件的明确规定。对于文件第2章标注“实质性要求”但未标明如何响应的,可不提供具体证明或单独响应,投标文件是否满足招标文件的实质性要求,必须以本招标文件的明确规定作为依据,否则,不能对投标文件作为无效处理,评标委员会不得臆测符合性审查事项。在投标文件符合性审查过程中,如果出现评标委员会成员意见不一致的情况,按照少数服从多数的原则确定,但不得违背政府采购基本原则和招标文件规定。符合性检查三、出现上述第二条规定应当停止评标情形的,评标委员会成员应当向招标采购单位书面说明情况。除本条规定和评标委员会无法依法组建的情形外,评标委员会成员不得以任何方式和理由停止评标。(七)招标文件有违反国家其他有关强制性规定的情形。(六)招标文件将投标人的资格条件列为评分因素的;(五)招标文件规定的评标方法是综合评分法之外的评标方法,或者虽然名称为综合评分法,但实际上不符合国家规定;
二、除政府采购法律制度规定的情形外,本项目投标人或者其投标文件有下列情形之一的,作为无效投标处理:投标文件组成、明显不符合招标文件的规定要求,影响评标委员会评判的。(二)其他不影响采购项目实质性要求的情形。(一)投标文件中表格、顺序等格式(如:“注”等),未按招标文件格式制作的;一、投标文件(包括投标报价表)有下列情形的,本项目不作为实质性要求进行规定,即不作为符合性审查事项,不得作为无效投标处理:
| 序号 | 符合性审查项 | 通过条件 | 结论 |
| 1 | 投标文件(资格审查部分以外)签章 | 投标文件均按招标文件要求盖章(评分标准中要求提供的证明材料除外)。 | |
| 2 | 投标文件的计量单位、语言、报价货币、投标有效期 | 计量单位、报价货币、投标有效期均符合招标文件的要求。 | |
| 3 | 投标报价 | (1)报价唯一; 未超过招标文件规定的最高限价; 投标报价应包含本次招标要求的所有货物及服务的费用; (4)在评标过程中,评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效处理。注:供应商应自行衡量并准备相关证明材料,提交的书面说明、相关证明材料(如涉及),应当加盖投标人(法定名称)电子印章,在评标委员会要求的时间内通过政府采购云平台进行递交,否则无效(给予供应商澄清、说明的时间不得少于30分钟,供应商已明确表示澄清、说明完毕的除外)。如因系统故障(包括组织场所停电、断网等)导致系统无法使用的,由投标人按评标委员会的要求进行澄清或者说明。 | |
| 4 | 第4章打★号的技术、商务和其他要求 | 投标文件均实质性响应招标文件第4章中加★号的技术、商务和其他要求。 | |
| 5 | 除资格性审查要求的证明材料外,招标文件要求提供的其他证明材料 | 无。 |
2、投标文件中已经明确的内容事项;1、按财政部规定应当在评标时不予承认的投标文件内容事项;三、评标委员会要求投标人澄清、说明或者更正,不得超出招标文件的范围、不得以此让投标人实质改变投标文件的内容、不得影响投标人公平竞争。本项目下列内容不得澄清:二、投标人的澄清、说明或者补正应当采用书面形式,应当加盖投标人(法定名称)电子签章,在评标委员会要求的时间内通过政府采购云平台进行递交,否则无效(给予供应商澄清、说明的时间不得少于30分钟,供应商已明确表示澄清、说明完毕的除外)。澄清、说明或者更正不影响投标文件的效力,有效的澄清、说明或者更正材料,是投标文件的组成部分。如因断电、断网、系统故障或其他不可抗力等因素,导致系统无法使用的,由投标人按评标委员会的要求进行澄清或者说明。投标人的澄清、说明或者补正不得超出投标文件的范围或者改变投标文件的实质性内容。一、对于投标文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容,评标委员会应当以书面形式(须由评标委员会全体成员签字)要求投标人作出必要的澄清、说明或者补正,并给予供应商必要的反馈时间。解释、澄清有关问题
(四)总价金额与按单价汇总金额不一致的,以单价金额计算结果为准。(三)单价金额小数点或者百分比有明显错位的,以开标一览表的总价为准,并修改单价;(二)大写金额和小写金额不一致的,以大写金额为准;(一)投标文件中开标一览表(报价表)内容与投标文件中相应内容不一致的,以开标一览表(报价表)为准;四、投标文件报价出现前后不一致的,除招标文件另有规定外,按照下列规定修正:3、投标文件未提供的材料。
复核按招标文件中规定的评标细则及标准,对符合性检查合格的投标文件进行商务和技术评估,综合比较与评价。比较与评价五、投标人提交的书面说明、相关证明材料(如涉及),应当加盖投标人(法定名称)电子印章,在评标委员会要求的时间内通过政府采购云平台进行递交,否则无效(给予供应商澄清、说明的时间不得少于30分钟,供应商已明确表示澄清、说明完毕的除外)。澄清、说明或者更正不影响投标文件的效力,有效的澄清、说明或者更正材料,是投标文件的组成部分。如因系统故障(包括组织场所停电、断网等)导致系统无法使用的,由投标人按评标委员会的要求进行澄清或者说明。评标委员会应当积极履行澄清、说明或者更正的职责,不得滥用权力。投标人的投标文件可以要求澄清、说明或者更正的,不得未经澄清、说明或者更正而直接作无效投标处理。同时出现两种以上不一致的,按照前款规定的顺序修正。修正后的报价按照《政府采购货物和服务招标投标管理办法》(中华人民共和国财政部令第87号)第五十一条第二款的规定经投标人确认后产生约束力,投标人不确认的,其投标无效。
评标委员会成员对客观评审因素评分不一致的;分项评分超出评分标准范围的;分值汇总计算错误的;评标结果汇总完成后,除下列情形外,任何人不得修改评标结果:二、评标结果汇总完成后,评标委员会拟出具评审报告前,招标采购单位应当组织2名以上的工作人员,在采购现场监督人员的监督之下,依据有关的法律制度和采购文件对评审结果进行复核,出具复核报告。一、评分汇总结束后,评标委员会应当进行复核,特别要对拟推荐为中标候选供应商的、报价最低的、投标文件被认定为无效的进行重点复核。
(三)招标采购单位现场复核时,没有采购监督人员现场监督的;(二)招标采购单位现场复核时,复核工作人员数量不足的;(一)评标委员会已经出具评标报告并且离开评标现场的;三、有下列情形之一的,不得修改评标结果或者重新评审:评标报告签署前,经复核发现存在以上情形之一的,由评标委员会自主决定是否采纳招标采购单位的书面建议,并承担独立评审责任。评标委员会采纳招标采购单位书面建议的,应当按照规定现场修改评标结果或者重新评审,并在评标报告中详细记载有关事宜;不采纳招标采购单位书面建议的,应当书面说明理由。招标采购单位书面建议未被评标委员会采纳的,应当按照规定程序要求继续组织实施采购活动,不得擅自中止采购活动。招标采购单位认为评标委员会评标结果不合法的,应当书面报告采购项目同级财政部门依法处理。评标报告签署后,招标采购单位发现存在以上情形之一的,应当组织原评标委员会进行重新评审,重新评审改变评标结果的,书面报告本级财政部门。经评标委员会认定评分畸高、畸低的。
(三)其他无法保证电子化交易的公平、公正和安全的情况。(二)因组织场所停电、断网等原因,导致采购活动无法继续通过交易系统实施的;(一)系统发生故障(包括感染病毒、应用或数据库出错)而无法正常使用的;四、出现下列情形之一的,应当中止电子化采购活动,并保留相关证明材料备查:(五)招标采购单位未提供书面建议的。(四)招标采购单位现场复核内容超出规定范围的;
招标公告刊登的媒体名称、开标日期和地点;评标委员会推荐中标候选人后,应当向招标采购单位出具评标报告。评标报告应当包括下列内容:出具评标报告评标结果按评审后得分由高到低顺序排列。得分相同的,按投标报价由低到高顺序排列。得分且投标报价相同的并列。投标文件满足招标文件全部实质性要求,且按照评审因素的量化指标评审得分最高的投标人为排名第一的中标候选人。确定中标候选人出现前款规定的情形,不影响采购公平、公正的,待上述情形消除后继续组织采购活动;影响或者可能影响采购公平、公正的,应当依法废标或者终止采购活动。
报价最高的投标人为中标候选人的,评标委员会应当对其报价的合理性予以特别说明。其他需要说明的情况,包括评标过程中投标人根据评标委员会要求进行的澄清、说明或者补正,评标委员会成员的更换等;评标结果,确定的中标候选人名单或者经采购人委托直接确定的中标人;开标记录和评标情况及说明,包括投标无效投标人名单及原因;评标方法和标准;投标人名单和评标委员会成员名单;
供应商应自行衡量并准备相关证明材料,提交的书面说明、相关证明材料(如涉及),应当加盖投标人(法定名称)电子印章,在评标委员会要求的时间内通过政府采购云平台进行递交,否则无效(给予供应商澄清、说明的时间不得少于30分钟,供应商已明确表示澄清、说明完毕的除外)。如因系统故障(包括组织场所停电、断网等)导致系统无法使用的,由投标人按评标委员会的要求进行澄清或者说明。在评标过程中,评标委员会认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求其在评标现场合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的,评标委员会应当将其作为无效处理。低于成本价投标处理评标委员会成员对需要共同认定的事项存在争议的,应当按照少数服从多数的原则作出结论。持不同意见的评标委员会成员应当在评标报告上签署不同意见及理由,否则视为同意评标报告。持不同意见的评标委员会成员认为认定过程和结果不符合法律法规或者招标文件规定的,应当及时向招标采购单位书面反映。招标采购单位收到书面反映后,应当书面报告采购项目同级财政部门依法处理。评标争议处理规则评标委员会成员应当在评标报告中签字确认,对评标过程和结果有不同意见的,应当在评标报告中写明并说明理由。签字但未写明不同意见或者未说明理由的,视同无意见。拒不签字又未另行书面说明其不同意见和理由的,视同同意评标结果。
评分办法评标委员会成员应依据招标文件规定的评分标准和方法独立打分,加权汇总每项评分因素的得分,得出每个有效投标人的总分。技术类评分因素由技术方面评标委员会成员独立评分。经济类评分因素由经济方面评标委员会成员独立评分。政策合同类的评分因素由法律方面评标委员会成员独立评分。采购人代表原则上对技术类评分因素独立评分。价格和其他不能明确区分的评分因素由评标委员会成员共同评分。本次综合评分的因素是:见评分标准。评标委员会只对通过符合性审查的投标文件,根据招标文件的要求采用相同的评标程序、评分办法及标准进行评价和比较。评标细则及标准投标人提供书面说明后,评标委员会应当结合采购项目采购需求、专业实际情况、投标人财务状况报告、与其他投标人比较情况等就投标人书面说明进行审查评价。投标人拒绝或者变相拒绝提供有效书面说明或者书面说明不能证明其报价合理性的,评标委员会应当将其投标文件、投标文件作为无效处理。
说明:评分标准A1、A2……An分别为每个经济类评委的打分,n1为经济类评委人数;B1、B2+……Bn分别为每个技术类评委(含采购人代表)的打分,n2为技术类评委(含采购人代表)人数;C1、C2……Cn分别为评审委员会每个成员的打分,n3为评委人数。评标得分=(A1+A2+……+An)/n1+(B1+B2+……+Bn)/n2+(C1+C2+……+Cn)/n3本次评标采用综合评分法,由评标委员会各成员独立对通过符合性审查的投标人的投标文件进行评审和打分。
| 评审因素 | 评分标准 | 分值 | 说明 |
| 报价 | 对小型企业、微型企业、监狱企业、残疾人福利性单位生产的产品的价格(如涉及)给予10%的扣除,用扣除后的价格参与评审; 经评标委员会评审,通过符合性审查且投标报价最低的投标人的投标报价作为评标基准价; 投标报价得分=(评标基准价/投标报价)×10。 | 10分 | 共同评分因素 |
| 投标人实力 | 1.投标人具备有效的网络安全应急服务支撑单位证书(国家级)、国家信息安全测评信息安全服务资质证书(安全工程类三级及以上)、ITSS信息技术服务标准符合性证书,每提供一个证书得2分,本项最多得6分。 2.投标人具有有效的国家信息安全测评信息安全服务资质证书(安全运营类一级)、信息系统建设和服务能力等级证书(优秀级CS4或以上级别)、国家信息安全漏洞库CNNVD技术支撑单位等级证书(一级)的,每提供一个证书得2分,本项最多得6分。 3.为保障本次项目投标人具备完善的网络安全事件应急工作机制,能规范性的协助开展应急演练及攻防演练工作,减少和预防网络安全事件造成的损失和影响,投标人为《信息安全技术 网络安全事件应急演练指南》(GB/T 38645-2020)起草单位的得3分。(提供指南首页和起草单位名单页截图,并加盖投标人电子章) 注:除序号3评分项外,序号1和2评分项提供有效证书复印件并加盖投标人电子章,不提供或未按要求提供材料的不得分。 | 15分 | 技术类评分因素 |
| 团队人员能力 | 投标人拟派驻服务于本项目的团队人员中: 1.项目经理同时具有项目管理证书(信息系统项目管理师或PMP项目管理资格认证证书)、高级安全技术能力证书(高级网络信息安全工程师)、网络能力证书(计算机技术与软件专业技术资格证书网络规划设计师或全国计算机等级考试四级合格证书四级网络工程师)、信息安全管理体系证书(ISO27001-Foundation信息安全管理体系认证证书)、风险管理证书(CISAW风险管理专业级)、云计算安全证书(CISP-CSE注册云安全工程师或CCSSP注册云安全系统认证专家)、应急服务证书(CISAW应急服务专业级或CCSRP网络与信息安全应急人员认证证书)以及漏洞挖掘能力证书(CNVD原创漏洞证明)的,得16分,以上证书每少一项扣2分,扣完为止。 2.基础安全服务负责人同时具有高级安全技术能力证书(高级网络信息安全工程师)、服务管理证书(IT服务项目经理或CISP-CISO注册信息安全管理人员)、信息安全管理体系证书(ISO27001-Foundation信息安全管理体系认证证书)、安全集成证书(CISAW安全集成专业级)、安全运维证书(CISAW安全运维专业级)、应急服务证书(CISAW应急服务专业级或CCSRP网络与信息安全应急人员认证证书)的,得6分,以上证书每少一项扣1分,扣完为止。 3.数据安全治理服务负责人同时具有高级安全技术能力证书(高级网络信息安全工程师)、风险管理证书(CISAW风险管理专业级)、服务管理证书(IT服务项目经理或CISP-CISO注册信息安全管理人员)、数据安全治理证书(CISP-DSG注册数据安全治理专业人员)、应急服务证书(CISAW应急服务专业级或CCSRP网络与信息安全应急人员认证证书)、漏洞挖掘能力证书(CNVD原创漏洞证明)的,得6分,以上证书每少一项扣1分,扣完为止。 4.投标人拟投入驻场团队成员(不含项目经理、基础安全服务负责人、数据安全治理负责人),驻场团队人员至少具备CISP(注册信息安全专业人员)、CISAW(信息安全保障人员)、CCSRP(网络与信息安全应急人员认证)、ISO27001-Foundation(信息安全管理体系认证证书)、CDSP(数据安全认证专家)证书其中一项,驻场团队人员具备上述一个或多个证书时,每提供一名人员得1分,本项最多得6分。 注:投标人需提供团队人员在有效期内的身份证复印件、证书复印件、在职证明材料并加盖投标人电子章,不提供或未按要求提供材料的不得分,合同签订前提供证书原件备查。 说明:上述在职证明是指,如:劳动合同或社保缴纳证明等可以证明劳动关系的证明材料。 | 34分 | 技术类评分因素 |
| 服务方案 | 根据投标人提供的项目服务方案进行评分。 投标人须针对本项目提供服务方案,服务方案包含①总体安全架构设计②安全基础设施服务方案③基础安全防护服务方案④数据安全治理服务方案⑤项目服务计划⑥项目服务团队及质量保障措施,提供上述内容的,得6分;每缺一项或每有一项内容存在缺陷(缺陷指内容阐述不清晰存在偏差或过于简略)或每有一项内容不符合采购需求(指存在不适用项目实际情况、凭空编造、逻辑漏洞、原理错误情形)的扣1分,扣完为止。不提供不得分。 | 6分 | 技术类评分因素 |
| 履约能力 | 自2018年1月1日(含)以来,投标人具有类似安全服务项目业绩案例的,每提供1个得1分,本项最多得5分。 注:1.针对每个业绩案例提供合同关键页复印件(合同复印件至少包含合同首页、合同主要服务内容、合同签字页以及甲方的联系人和联系方式)、任意一次银行流水证明并加盖投标人电子章,不提供或未按要求提供材料的不得分。2.同一业绩不重复加分。 | 5分 | 共同评分因素 |
| 技术响应 | 投标人完全满足招标文件“服务内容及要求”章节中“▲”项服务采购技术要求指标的,得30分,每有一项参数有负偏离扣1分,扣完为止。 注:▲参数提供的有效证明材料佐证的,以佐证材料为准,未要求提供证明材料的▲参数以服务偏离表响应情况为准。 | 30分 | 技术类评分因素 |
出现影响采购公正的违法、违规行为的;符合专业条件的投标人或者对招标文件作实质响应的投标人不足三家的;本次政府采购活动中,出现下列情形之一的,予以废标:废标二、评分标准中要求提供复印件的证明材料须清晰可辨。一、评分的取值按四舍五入法,保留小数点后两位;
定标原则定标对于评标过程中废标的采购项目,评标委员会应当对招标文件是否存在倾向性和歧视性、是否存在不合理条款进行论证,并出具书面论证意见。废标后,采购代理机构应在四川政府采购网上公告,并公告废标的情形。投标人需要知晓导致废标情形的具体原因和理由的,可以通过书面形式询问招标采购单位。因重大变故,采购任务取消的。投标人的报价均超过了采购预算,采购人不能支付的;
如果中标候选人及其现任法定代表人、主要负责人存在行贿犯罪记录,采购人将不确定其为中标人。采购人在收到评标报告后3个工作日内,按照评标报告中推荐的中标候选人顺序确定中标人;中标候选人并列的,采取随机抽取方式选择中标人。采购代理机构在评标结束后2个工作日内将评标报告送采购人。评标委员会将评标情况写出书面报告,推荐中标候选投标人。定标程序本项目根据评标委员会确定的中标候选人名单,采购人按顺序确定1名中标人。
遵守评审工作纪律;评标专家在政府采购活动中承担以下义务:评标专家义务招标采购单位不退回投标人投标文件和其他投标资料。根据采购人确定的中标人,采购代理机构在四川政府采购网上发布中标公告,并自采购人确定中标之日起2个工作日内向中标人发出中标通知书。注意:采购人按照推荐的中标候选投标人顺序确定中标人,不能认为采购人只能确定第一中标候选投标人为中标人,采购人有正当理由的,可以确定后一顺序中标候选投标人为中标人,依次类推。
法律、法规和规章规定的其他义务。配合答复处理投标人的询问、质疑和投诉等事项;发现采购文件内容违反国家有关强制性规定或者存在歧义、重大缺陷导致评审工作无法进行时,停止评审并向采购组织单位书面说明情况;及时向监督部门报告评审过程中采购组织单位向评审专家做倾向性、误导性的解释或者说明,投标人行贿、提供虚假材料或者串通、受到的非法干预情况等违法违规行为;不得泄露评审文件、评审情况和在评审过程中获悉的商业秘密;按照客观、公正、审慎的原则,根据采购文件规定的评审程序、评审方法和评审标准进行独立评审;
评标过程中,不得干预或者影响正常评标工作,不得发表倾向性、引导性意见,不得修改或细化招标文件确定的评标程序、评标方法、评标因素和评标标准,不得接受投标人主动提出的澄清和解释,不得征询采购人代表的意见,不得协商评分,不得违反规定的评标格式评分和撰写评标意见,不得拒绝对自己的评标意见签字确认。评标过程中,不得与外界联系,因发生不可预见情况,确实需要与外界联系的,应当在监督人员监督之下办理。评标前,应当将通讯工具或者相关电子设备交由招标采购单位统一保管。遵行《中华人民共和国政府采购法》第十二条和《中华人民共和国政府采购法实施条例》第九条及财政部关于回避的规定。评标专家在政府采购活动中应当遵守以下工作纪律:评标专家工作纪律
签订地点:XXXX。合同编号:XXXX。合同主要条款遵守有关廉洁自律规定,不得私下接触投标人,不得收受投标人及有关业务单位和个人的财物或好处,不得接受采购组织单位的请托。服从评标现场招标采购单位的现场秩序管理,接受评标现场监督人员的合法监督。在评标过程中和评标结束后,不得记录、复制或带走任何评标资料,除因规定的义务外,不得向外界透露评标内容。
本项目采购内容包括项目的服务内容主要包括安全基础设施服务、基础安全防护服务和数据安全治理服务等。第一条项目基本情况根据《中华人民共和国政府采购法》、《中华人民共和国合同法》及智慧蓉城运行管理平台安全中心服务项目(项目编号:成都市政采招号)的《单一来源采购文件》、乙方的《响应文件》及《成交通知书》,甲、乙双方同意签订本合同。详细技术说明及其他有关合同项目的特定信息由合同附件予以说明,合同附件及本项目的采购文件、响应文件、《成交通知书》等均为本合同不可分割的部分。双方同意共同遵守如下条款:供应商(乙方):采购人(甲方):签订时间:XXXX年XX月XX日。
第三条服务内容与质量标准本项目期限为1年。第二条合同期限3.数据安全治理服务主要包括数据安全管理体系建设服务、数据资产梳理服务、数据安全风险评估服务、数据访问权限稽查服务、数据安全策略管理服务、数据安全风险监测及告警服务、数据安全溯源分析服务、数据安全应急响应及处置服务。2.基础安全防护服务主要包括API接口审计服务、全流量探针服务、APP评估及加固服务、威胁诱捕服务、零信任运维服务、红蓝对抗服务、安全检查服务、系统接入安全评估、安全培训、区块链平台安全监测、区块链风险评估服务和安全保障体系评估服务等内容。1.安全基础设施服务主要包括打造一体化的威胁情报中心赋能基础安全防护,构建隐私计算平台促进业务数据高效流通。
2、付款特别约定:本项目的资金来源为财政资金,若因财政拨款原因导致甲方逾期付款,甲方不承担相关违约责任。1、签订合同且收到乙方发票后15个工作日内。乙方未向甲方提供发票或提供的发票不符合合同约定与甲方要求的,甲方有权拒绝付款并顺延付款时间,且不承担任何违约责任。(二)服务费支付方式:(一)本项目服务费用:中标价第四条服务费用及支付方式详见技术、服务及其他商务要求
(一)甲方有权对合同规定范围内乙方的服务行为进行监督和检查。对甲方认为不合理的部分有权下达整改通知书,并要求乙方限期整改。第七条甲方的权利和义务乙方保证所提供的服务的所有权完全属于乙方且无任何抵押、查封等产权瑕疵。如有产权瑕疵的,视为乙方违约。乙方应负担由此而产生的一切责任,并赔偿由此给甲方造成的损失。第六条无产权瑕疵条款乙方应保证所提供的服务或其任何一部分均不会侵犯任何第三方的专利权、商标权或著作权等知识产权。未经甲方书面许可,乙方不得擅自使用、披露、修改或许可他人使用。若因乙方所提供的服务或其任何一部分导致甲方被第三人追索任何权利的,由乙方承担全部责任并赔偿由此给甲方造成的全部损失。第五条知识产权
(二)根据本合同的规定向甲方收取相关服务费用,并有权在本项目管理范围内管理及合理使用。(一)对本合同规定的委托服务范围内的项目享有管理权及服务义务。第八条乙方的权利和义务(四)国家法律、法规所规定由甲方承担的其它责任。(三)根据本合同规定,按时向乙方支付应付服务费用。(二)负责检查监督乙方管理工作的实施及制度的执行情况。
无第九条履约保证金(六)国家法律、法规所规定由乙方承担的其它责任。(五)乙方对于履行本合同所获悉的属于甲方且无法自公开渠道获得的文件及资料(包括单位计划、运营活动、财务信息、技术信息、经营信息及其他商业秘密)予以保密。未经甲方书面同意,乙方不得向任何第三方泄露该资料或文件的全部或部分内容。双方的保密义务不受本合同的终止或解除的影响。(四)接受项目行业管理部门及政府有关部门的指导,接受甲方的监督。(三)及时向甲方通告本项目服务范围内有关服务的重大事项,及时配合处理投诉。
(五)乙方未按合同约定履行保密义务给甲方造成损失的,乙方应赔偿甲方因此遭受的损失,损失难以量化的,以【300】万计。(四)乙方未经甲方同意,擅自转包、分包本项目,甲方有权立即终止合同并要求乙方支付合同总额20%的违约金,乙方还应赔偿由此给甲方造成的损失。(三)如乙方未能按照甲方要求完成合同约定服务内容,甲方有权要求乙方限期整改,乙方逾期未整改或经2次整改后仍达不到甲方要求的,甲方有权终止合同,乙方应支付甲方合同总额20%的违约金,造成甲方经济损失的,乙方还应补足赔偿。(二)如因乙方工作人员在履行职务过程中的的疏忽、失职、过错等故意或者过失原因给甲方造成损失或侵害,包括但不限于甲方本身的财产损失、由此而导致的甲方对任何第三方的法律责任等,乙方对此均应承担全部的赔偿责任。(一)甲乙双方必须遵守本合同并执行合同中的各项规定,保证本合同的正常履行。第十条违约责任
(三)不可抗力事件延续120天以上,双方应通过友好协商,确定是否继续履行合同。(二)不可抗力事件发生后,应立即通知对方,并寄送有关权威机构出具的证明。(一)在合同有效期内,任何一方因不可抗力事件导致不能履行合同,则合同履行期可延长,其延长期与不可抗力影响期相同。第十一条不可抗力事件处理(七)本合同所称损失,包括但不限于甲方的直接经济损失、律师费、仲裁费、保全费、鉴定费、公证费等全部费用。(六)本次采购服务期限:三年。任何一方单方面提前变更、中止或者终止本合同,须提前10个工作日书面通知对方,并赔偿由此给对方造成的损失。
(一)合同经双方法定代表人或授权委托代理人签字并加盖单位公章后生效。第十三条合同生效及其他(三)在仲裁期间,除正在进行仲裁部分外,合同其他部分继续执行。(二)仲裁裁决应为最终决定,并对双方具有约束力。(一)在执行本合同中发生的或与本合同有关的争端,双方应通过友好协商解决,并以补充合同形式明确,经协商在60天内不能达成协议时,应提交成都仲裁委员会仲裁。第十二条解决合同纠纷的方式
3、项目响应文件2、项目修改澄清文件(如有)1、采购文件第十四条附件(三)本合同一式捌份,自双方签章之日起起效。甲方叁份,乙方叁份,政府采购代理机构壹份,同级财政部门备案壹份,具有同等法律效力。(二)合同执行中涉及采购资金和采购内容修改或补充的,双方须签书面补充协议,应当报请政府采购监管部门审批,并将补充协议报政府采购监督管理部门备案,方可作为主合同不可分割的一部分。
甲方(盖章):乙方(盖章):8、其他7、第三方信息技术服务机构网络与数据安全责任书6、保密协议5、项目考核表4、成交通知书
信用融资注:合同条款可根据采购人及中标人签订合同时的实际情况进行修改调整。注:以上合同条款采购人与成交人签订合同时可根据实际情况进行调整、修改或重新起草合同条款。签约日期:XX年XX月XX日签约日期:XX年XX月XX日授权代表:授权代表:法定代表人(授权代表):法定代表人(授权代表):
各市(州)、扩权县(市)财政局,各省直机关、事业单位、团体组织,各金融机构,各采购代理机构,各政府采购供应商:详情请向代理机构咨询,联系电话028-85330515。政策文件附后。为持续深入贯彻落实中央、省、市关于支持民营经济健康发展有关精神,落实《四川省财政厅关于推进四川省政府采购供应商信用融资工作的通知》(川财采〔2018〕123号)、《成都市中小企业政府采购信用融资暂行办法》和《成都市级支持中小企业政府采购信用融资实施方案》等政策措施。本项目为支持执行政府采购信用融资项目。本次采购活动的中小企业供应商如中标或成交,可无需提供财产抵押或第三方担保,凭借政府采购合同向融资机构申请融资,融资机构根据其授信政策为供应商提供信用融资。现已有多家银行确定为政府采购信用融资业务银行,现将部分银行名单公布如下:
附件
成都市政府采购信用融资银行联系方式一览表
| 银行名称 | 联系部门 | 联系电话 |
| 成都银行 | 中小企业部 | 028-87793283 |
| 中国建设银行成都第六支行 | 小企业部 | 028-84521961 |
| 交通银行四川省分行 | 普惠金融事业部 | 028-86525254 |
| 中国农业银行成都天府新区分行 | 公司业务部 | 028-63168277 |
| 四川天府银行成都分行 | 普惠金融事业部 | 028-65193380 |
| 浦发银行成都分行 | 普惠金融部 | 028-69598953 |
| 上海银行成都分行 | 公司业务部 | 028-86029074 |
| 成都农村商业银行 | 公司金融部 | 028-85599425 |
| 中国民生银行成都分行 | 公司业务部 | 028-85102180 |
| 中国工商银行成都分行 | 普惠部 | 028-86615126 |
| 中国邮政储蓄银行成都分行 | 小企业金融部 | 028-65008905 |
四川省财政厅文件
川财采采(2018)123号
财政部门推进“政采贷”,银行和供应商按照自愿原则参与。供应商自愿选择是否申请“政采贷”,银行依据其内部审查制度和决策程序决定是否为供应商提供融资,自担风险。(一)财政引导,市场运行二、基本原则政府采购供应商信用融资(以下简称“政采贷”),是指银行以政府采购供应商信用审查和政府采购信誉为基础,依托政府采购合同,按优于一般企业的贷款程序和利率,直接向申请贷款的供应商发放无财产抵押贷款的一种融资模式。一、融资概念为贯彻落实党的十九大精神、国务院“放管服”改革决策部署、省委十一届三次全会“大力推进创新驱动发展战略”精神,助力解决政府采购中标、成交供应商资金不足、融资难、融资贵的困难,促进供应商依法诚信参加政府采购活动,根据《中华人民共和国政府采购法》、《四川省人民政府关于印发进一步规范政府采购监管和执行若干规定的通知》(川府发〔2018〕14号)等有关规定,现就推进四川省政府采购供应商信用融资工作有关事项通知如下。
(一)银行暨“政采贷”金融产品三、基本条件银行按优于同期一般企业的贷款利率,向政府采购供应商提供信用贷款,贷款额度由银行根据政府采购合同的具体情况确定,不要求申请融资的供应商提供财产抵押或第三方担保,不收取融资利息之外的额外费用。(三)优质优惠,加强扶持财政部门与银行建立“政采贷”工作机制,推动政府采购政策功能和金融资源的有机结合,拓宽银行的融资业务,助力解决政府采购中标、成交供应商资金不足、融资难、融资贵的困难,促进企业健康发展。(二)建立机制,服务银企
(二)供应商2、公示。四川省财政厅收到银行提交的书面申请后,对满足本通知要求的银行及其“政采贷”产品具体信息,及时在四川政府采购网向社会公示。银行申请材料中提供的“政采贷”产品不满足本通知要求的,四川省财政厅将退回申请,并告知理由。银行申请材料中应当载明其自愿提供“政采贷”产品,自担风险,不得要求或者变相要求财政部门和采购人为其提供风险担保、承诺。银行提供的“政采贷”产品应当满足“无抵押担保、程序简便、利率优惠、放款及时”的基本条件以及本通知其他相关规定。申请材料应当包括银行基本情况、“政采贷”产品名称、申请贷款条件、申请贷款方式、申请贷款程序、贷款审查流程、贷款额度、发放贷款时间、收款方式及其他优质服务和优惠承诺等。1、征集。在四川省行政区域内,有意向开展“政采贷”工作的银行,可以于2018年12月21日前,直接向四川省财政厅(政府采购监督管理处)提交书面申请。四川省财政厅可以根据情况每年征集一次有意向开展“政采贷”工作的银行。
5、未被法院、市场监管、税务、银行等部门单位纳入失信名单且在有效期内;4、无《政府采购法》第二十二条第一款第(五)项所称的重大违法记录;3、参加的政府采购活动未被财政部门依法暂停、责令重新开展或者认定中标、成交无效;2、具有依法履行政府采购合同的能力;1、具有依法承担民事责任的能力;政府采购供应商向银行申请“政采贷”,应当满足下列基本条件:
各级财政部门应当按照《四川省政府采购促进中小企业发展的若干规定》(川财采[2016]35号)等有关规定,对金融机构向小微企业提供“政采贷”贷款产生的损失,纳入财政金融互动政策范围给予风险补贴。五、财金互动四川省财政厅将在四川政府采购网统一构建四川省“政采贷”信息化服务平台,推进四川省“政采贷”工作信息化建设。四、构建平台7、其他银行要求的不属于提供财产抵押或第三方担保的条件。6、在一定期限内的(银行可以具体确定)政府采购合同履约过程中或者其他经营活动履约过程中,无不依法履约被有关行政部门行政处罚的或者产生法律纠纷被法院、仲裁机构判决、裁决败诉的;
对拟用于“政采贷”的政府采购合同,应在合同中注明贷款银行名称及账号,作为供应商本次采购的唯一收款账号。因发生特殊情况需要在还款前变更收款账号的,供应商应当事前书面告知采购人和放款银行,并获得采购人和放款银行同意。采购人和放款银行同意后,采购人与供应商应当就该条款重新签订政府采购合同或者签订补充协议作为原政府采购合同的一部分,并在签订后依法在7个工作日内向同级财政部门备案,2个工作日内在四川政府采购网公告。供应商与采购人在法定时间依法签订政府采购合同(政府采购合同签订后,应当依法在7个工作日内向同级财政部门备案,2个工作日内在四川政府采购网公告)后,可凭政府采购合同向银行提出“政采贷”正式申请。(二)正式申请有融资需求的供应商可根据四川政府采购网公示的银行及其“政采贷”产品,自行选择符合自身情况的“政采贷”银行及其产品,凭中标(成交)通知书向银行提出贷款意向申请。银行应及时按照有关规定完成对供应商的信用审查以及开设账户等相关工作。(一)意向申请六、基本流程
政府采购资金支付时,采购人必须将采购资金支付到政府采购合同中注明的贷款银行名称及账号,以保障贷款资金的安全回收。采购人不得将采购资金支付在政府采购合同约定以外的收款账号。(五)资金支付银行完成放款后,应当通过四川省“政采贷”信息化服务平台,填写《四川省“政采贷”信息统计表》(详见附件),每季度终了5个工作日内,向四川省财政厅(政府采购监督管理处)报送,以便相关部门及时掌握和分析“政采贷”信息,不断推进“政采贷”工作。(四)信息报送银行按规定对申请“政采贷”的供应商及其提供的政府采购合同等信息进行审查。审查过程中,银行认为有必要的,可以到采购人、采购代理机构或者财政部门对该政府采购合同的书面信息与备案信息进行核实,有关单位应当配合。银行审查通过后,应当按照其在四川政府采购网公示的“政采贷”产品服务承诺事项及时放款。(三)贷款审查
(四)采购代理机构在组织实施政府采购活动中,应当采取有效方式,向供应商宣传“政采贷”政策。银行需要借用采购代理机构的场所直接向供应商介绍其“政采贷”产品的,采购代理机构应当支持。(三)采购人应当积极支持“政采贷”工作,对于银行、供应商提出的合理需求,应当支持。对于已融资采购项目,供应商履约完成后,要及时开展履约验收工作,及时支付采购资金,不得无故拖延和拒付采购资金。(二)银行应当切实转变注重抵押担保的传统信贷理念,积极服务经济社会发展的大局,不断完善“政采贷”产品,优化贷款审查流程,简化贷款审查手续,提供更多优质服务,同时做好风险防控工作。银行对于供应商是否如期还款情况及未如期还款的主要原因等信息,应当及时向财政部门反馈。(一)各级财政部门应当高度重视“政采贷”工作,提高认识,充分发挥自身职能作用。不断完善政策措施,加强对“政采贷”采购项目的跟踪监督,对于银行向采购人、采购代理机构核实或者获取合法范围内的相关政府采购信息有困难的,可以积极进行协调。财政部门不得为“政采贷”提供任何形式的担保和承诺。七、职责要求政府采购资金支付过程中,银行需要查询采购资金支付进程有关信息的,财政部门和采购人应当支持。
银行不按照其在四川政府采购网公示的“政采贷”产品服务承诺事项办理供应商信用融资贷款申请的,由四川省财政厅进行约谈,责令限期整改;拒不整改或者变相拒不整改的,撤销其在四川政府采购网的公示信息,取消其资格,并在1-3年内拒绝接收其再次申请。(一)银行违规处理八、违规处理(七)相关单位和个人在开展“政采贷”工作过程中,发现新问题、新情况或者有意见建议的,请及时向四川省财政厅反馈。(六)财政部门、采购人、采购代理机构及其他有关单位和个人不得违规干预供应商选择“政采贷”银行及其产品,也不得违规干预银行向供应商进行贷款。(五)供应商应当依法参加政府采购活动,公平竞争,诚实守信,严格按照政府采购合同履约,严格按照借款合同偿还债务。
采购人无正当理由拖延和拒付采购资金的,或者采购代理机构拒绝支持银行借用场所向供应商介绍其“政采贷”产品的,或者有关单位或个人违规干预供应商选择“政采贷”银行及其产品的,或者有关单位或个人违规干预银行向供应商进行贷款的,由采购项目同级财政部门进行约谈,责令限期整改;拒不整改或者变相拒不整改的,按照有关规定依法处理。(三)其他违规处理供应商以政府采购合同造假或者其他造假方式违规申请信用融资的,或者违反有关规定或者约定,导致无法偿还信用融资贷款的,或者拒绝或无故拖延还款付息的,由有关部门单位依法处理,纳入“不具备《中华人民共和国政府采购法》第二十二条第一款第(二)项规定的具有良好的商业信誉条件”名单,并在四川政府采购网公示。(二)供应商违规处理
成都市财政局
文件
中国人民银行成都分行营业管理部
成财采[2019]17号
成都市财政局中国人民银行成都分行营业管理部
关于印发《成都市中小企业政府采购信用融资
暂行办法》和《成都市级支持中小企业
政府采购信用融资实施方案》的通知
成都天府新区、高新区财政金融局,各区(市)县财政局,市级
各部门、单位,各银行业金融机构:
为深入贯彻落实中央、省、市关于支持民营经济健康发展有
关精神,进一步发挥政府采购在促进中小企业发展中的政策引导
作用,有效缓解中小企业融资难、融资贵问题,市财政局、中国
人民银行成都分行营业管理部制定了《成都市中小企业政府采购
信用融资暂行办法》和《成都市级支持中小企业政府采购信用融
资实施方案》(以下简称《暂行办法》和《实施方案》),现印发给
你们,请按要求贯彻执行。
一、高度重视、迅速行动
政府采购信用融资是缓解中小企业资金短缺压力,优化中小
企业发展环境,促进经济发展的重要举措,各相关单位要统一思
想,充分认识政府采购信用融资工作的重要意义,结合政府采购
工作实际精心组织、周密部署,奏即推进政府采购信用融资工作,
支持有融资需求、符合条件的中小微企业实现高效融资
二、明确责任、压荐推进
市级各部门、单位即日起产格按照《暂行办法》和《实施方
案》相关规定和工作要求,结合职能职责认真抓好贯彻执行。各
区(市)县财政部门要根据《暂行办法》,结合本地实际制定具体
实施方案,在涵盖市级确定的融资机构基础上明确融资机构名单,
并于2019年6月30日前全面推进政府采购信用融资工作。
三、优化服务、营造氛围
各相关单位要充分发挥市场在资源配置中的决定性作用,强
化宣传引导、优化工作机制、加强跟踪问效,积极创造条件主动
服务,为融资双方提供优质高效的服务,让政府采购信用融资政
策惠及更多中小微企业,并将工作落实的经验做法及时形成信息
反馈市财政局,为推动中小微企业高质量发展营造法治化、国际
化、便利化的营商环境。
附件:1.成都市中小企业政府采购信用融资暂行办法
2
2.成都市级支持中小企业政府采购信用融资实施方案
财
市
行营
记
中国人民镇民管理部
20N22月26°
-3—
附件1
成都市中小企业政府采购信用融资暂行办法
第一章总则
第一条(政策依据)
为进一步贯彻落实国务院、四川省、成都市关于支持和促进
中小企业发展的政策措施,充分发挥政府采购政策导向作用,有
效缓解中小企业融资难、融资贵问题,支持中小企业参与政府采
购活动,根据《政府采购法》四川省政府采购促进中小企业发展
的若干规定》(川财采【2016]35号)和《四川省财政厅关于推
进四川省政府采购供应商信用融资工作的通知》(川财采[2018]
123号)有关精神,结合我市实际,制定本办法。
第二条(适用范围)
成都市行政区域内政府采购信用融资适用本办法。
第三条(术语定义)
本办法所称政府采购信用融资,是指融资机构以信用审查为
基础,依据政府采购合同,按相应的优惠政策向申请融资的中小
企业(以下简称供应商)提供资金支持的融资模式。
本办法所称融资机构,是指在成都市属地注册或设立分支机
构,有意向按照本办法开展政府采购信用融资业务,经同级财政
-4-
部门确定的银行机构。
本办法所称中小企业,包括中型、小型及微型企业,其划型
标准按照国家相关规定执行。
第四条(基本原则)
政府采购信用融资工作坚持政府引导、市场主导,自愿选择、
自担风险,诚实信用、互惠共赢的原则,切实发挥市场在资源配
置中的决定性作用。
第二章融资优惠
第五条(融资方式)
供应商无需提供财产抵押或第三方担保,凭借政府采购合同
向融资机构申请融资,融资机构根据其授信政策为供应商提供信
用贷款。
第六条(融资额度)
融资额度原则上不超过政府采购合同金额。
第七条(融资利率)
融资机构向供应商提供融资的利率应低于同期一般中小企
业的贷款利率。融资利率上浮比例原则上不超过中国人民银行公
布的同期贷款基准利率的30%。
第八条(融资期限)
融资期限原则上与政府采购合同履行期限一致。
-5—
第九条(融资效率)
融资机构应当建立政府采购信用融资绿色通道,配备专业人
员定向服务,简化融资审批程序。对申报材料齐全完备的供应商,
原则上应在5个工作日内完成审批,对审批通过且具备放款条件
的供应商,原则上应在5个工作日内完成放款
第十条(融资业务升级)
对履约记录良好、诚信资质高的供应商,融资机构应当在授
信额度、融资审查、融资利率等方面给予更大支持,促进供应商
依法诚信经营。
第十一条(贷款风险补贴)
对银行业金融机构向小微企业发放的贷款(无需抵押、质择
或担保的贷款)损失,财政部门按最高不超过年度新增损失类贷
款额的60%予以风险补贴,具体分担比例由各地根据金融机构小
微企业贷款发放总量、损失情况、财力状况等因素综合确定。
第三章融资流程
第十二条(融资流程)
(一)信息发布。采购人应当在发布的采购公告和采购文件
中载明采购项目可提供信用融资的信息。
(二)融资申请。有融资需求的供应商自主选择提供政府采
购信用融资服务的融资机构及产品,并按要求提供申请资料。
-6一
(三)融资审查。融资机构对供应商的融资申请进行审查,并
向供应商反馈审查及融资额度等情况。
(四)账户确认。供应商须在合作融资机构开立结算账户,并
与采购人在政府采购合同中或通过签订补充协议的方式约定唯一
收款账户,融资机构对唯一收款账户进行确认和锁定。
(五)放款。融资机构对政府采购合同及融资相关信息进行确
认,并向供应商提供相应的融资产品。
(六)贷款归还。采购人按相关规定和合同约定将合同资金支
付至约定的唯一收款账户
第四章职责分工
第十三条(财政部门职责)
牵头政府采购信用融资工作,做好政策引导和支持协调,为
开展政府采购信用融资提供便利。向融资机构提供相关必要信息,
推进政府采购中标(成交)信息、合同信息、融资信息和信用信
息等信息资源共享。适时调整开展政府采购信用融资业务的融资
机构名单。但在政府采购信用融资工作中,财政部门不得提供任
何形式的担保和承诺。
第十四条(融资机构主管部门职责)
引导融资机构依法依规并展政府购信用融资。推动成都市
政府采购监督管理系统与中征应收账款融资服务平台直联,实现
7一
政府采购信用融资线上办理,加强与财政部门的信息共享。
第十五条(采购人职责)
执行并宣传政府采购信用融资政策,在采购公告和采购文件
中载明政府采购信用融资政策。在采购代理机构委托协议中明确
政府采购信用融资工作相关要求。畅通银企对接渠道,支持供应
商开展政府采购信用融资。依法及时公开政府采购合同信息,协
助融资机构确认或更改合同支付信息。及时开展履约验收和资金
支付工作,不得无故拖延和拒付采购资金。
第十六条(融资机构职责)
宣传和推广政府采购信用融资政策,开发符合政府采购信用
融资政策的产品。在做好授信调查的基础上合理确定授信额度。
做好融资业务与政府采购业务的系统对接。制定业务管理规范,
做好相关风险防控工作。定期向同级财政部门反馈业务开展情况。
第十七条(供应商职责)
依法诚信参与政府采购活动,严格遵守国家法律、法规和政
府采购合同约定,对投标(响应)文件的真实性和相关承诺承担
法律责任。真实、完整、准确地向融资机构提供信用融资审查所
需相关资料。遵照融资约定及时还本付息
第五章监督管理
第十八条(采购人监管)
8
采购人不执行政府采购信用融资政策,或不正当千预供应商
选择合作融资机构,或无故拖延和拒付采购资金的,财政部门视
情节进行约谈、通报直至暂停拨付财政资金。
第十九条(融资机构监管)
融资机构违反规定开展政府采购信用融资业务,对政府采购
造成负面影响的,财政部门视情节取消其参与政府采购信用融资
的业务权限。
第二十条(供应商监管)
供应商弄虚作假或以伪造政府采购合同等方式违规获取政
府采购信用融资,或不按约定按时还款付息的,融资机构依法追
究相关责任。财政部门将其纳入“不具备《政府采购法》第二十二
条第一款第(二)项规定的具有良好的商业信誉条件”名单并予以
公示。
第三十一条(相关单位及工作人员监管)
各相关单位及其工作人员在履行职责中存在溢用职权、玩忽
职守、狗私舞等违法违纪行为的,依照有关规定处理,涉嫌犯
罪的,移送司法机关处理。
第六章附则
第二十二条(解释相关)
本办法由市财政局会同中国人民银行成都分行营业管理部
9-
负责解释。
第二十三条(施行相关)
本办法自印发之日起施行。市财政局、市金融办2013年12
月9日印发的《关于开展中小企业政府采购信用担保及融资试点
工作的通知》(成财采[2013]200号)同时废止。
10-
成都市财政局文件
成财采发【2020]20号
成都市财政局
关于增补“蓉采贷”政策合作银行及做好
相关工作的通知
成都天府新区、高新区财政金融局,各区(市)县财政局,市级
各部门、单位,各有关银行:
为深入贯彻落实《四川省财政厅关于推进四川省政府采购供
应商信用融资工作的通知》(川财采[2018]123号)和成都市中
小企业政府采购信用融资暂行办法及其实施方案等政策措施,充
分发挥政府采购促进中小企业发展作用,有效缓解中小企业融资
难、融资贵问题,积极营造政府采购领域优质营商环境,前期,
我局在省财政厅确定的四川省首期开展“政采贷”业务银行的基础
上,结合实际征集了首批在线开展政府采购信用融资业务银行。
根据银行报名情况,现增补中国银行四川省分行、招商银行成都
分行、广发银行成都分行、重庆银行成都分行、潮海银行成都分
行等5家银行作为我市政府采购信用融资政策合作银行,请相关
单位做好以下工作。
一、为更好推进政策落实和优化政府采购领域营商环境,现
将成都市中小企业政府采购信用融资统一命名为“蓉采贷”,作为
成都市政府采购项目享受“政采贷”政策支持的统一标识,请各区
(市)县财政部门,市级各部门、单位,相关银行规范使用。
二、“蓉采贷”政策合作银行(详见附件)以及设在各区(市)
县的支行,默认进入各区(市)县“蓉采贷”合作银行名单,无需
重复征集。请各区(市)县财政部门结合本地实施方案,进一步
做好“蓉采贷”政策的宣传和推进落实工作,为相关银行开展“蓉采
贷”业务提供便利,积极支持政府采购供应商高效融资。
三、请市级各部门、单位积极支持政府采购项目中标(成交)
供应商享受“蓉采贷”政策,做好政策宣传、合同公开及备案、账
户确认、资金支付等环节的支持和配合工作。
四、请相关银行于每月10日前将上月“蓉采贷”业务数据(含
各区(市)县支行)统一报送至市财政局政府采购监督管理处。
联系人:市财政局政府采购监督管理处吴昊联系电话:
61882598;电子邮箱:cdsczjcgc@163.com
附件:成都市“蓉采贷”政策合作银行名单
市财
成都市政理
-2一
| 888868-80皖2EL2998-80 | 961S58-80 | S222159880 | LL289T89810 | 08E86980 | E6866980 | 44065098-850 | 2H662288820 | 08120128-810 | HH12998-8 | S068009-820 | 221200880 | 8048-820 | 77773088820 | 0008S8-80 | 皖201LL98-820 | |
| 不中 | 不锈 | 母不幸西家县 | 最新不限公 | 安不限 | 始不 | 不不 | ||||||||||
一3—
授权代表:联系人:联系电话:地址:邮编:质疑供应商:一、质疑供应商基本信息质疑函范本
采购人名称:质疑项目的编号:包号:质疑项目的名称:二、质疑项目基本情况地址:邮编:联系电话:
法律依据:事实依据:质疑事项1:三、质疑事项具体内容采购文件获取日期:
签字(签章):公章:请求:四、与质疑事项相关的质疑请求……质疑事项2
4.质疑函的质疑事项应具体、明确,并有必要的事实依据和法律依据。3.质疑供应商若对项目的某一分包进行质疑,质疑函中应列明具体分包号。2.质疑供应商若委托代理人进行质疑的,质疑函应按要求列明“授权代表”的有关内容,并在附件中提交由质疑供应商签署的授权委托书。授权委托书应载明代理人的姓名或者名称、代理事项、具体权限、期限和相关事项。1.供应商提出质疑时,应提交质疑函和必要的证明材料。质疑函制作说明:日期:
地址:邮编:投诉人:一、投诉相关主体基本情况投诉书范本6.质疑供应商为自然人的,质疑函应由本人签字;质疑供应商为法人或者其他组织的,质疑函应由法定代表人、主要负责人,或者其授权代表签字或者盖章,并加盖公章。5.质疑函的质疑请求应与质疑事项相关。
地址:邮编:被投诉人1:地址:邮编:授权代表:联系电话:联系电话:法定代表人/主要负责人:
联系人:联系电话:地址:邮编:相关供应商:……被投诉人2联系人:联系电话:
采购文件公告:是/否公告期限:代理机构名称:采购人名称:采购项目编号:包号:采购项目名称:二、投诉项目基本情况
四、投诉事项具体内容采购人/代理机构于年月日,就质疑事项作出了答复/没有在法定期限内作出答复。投诉人于年月日,向提出质疑,质疑事项为:三、质疑基本情况采购结果公告:是/否公告期限:
投诉事项2法律依据:事实依据:投诉事项1:
日期:签字(签章):公章:请求:五、与投诉事项相关的投诉请求……
5.投诉书的投诉事项应具体、明确,并有必要的事实依据和法律依据。4.投诉书应简要列明质疑事项,质疑函、质疑答复等作为附件材料提供。3.投诉人若对项目的某一分包进行投诉,投诉书应列明具体分包号。2.投诉人若委托代理人进行投诉的,投诉书应按照要求列明“授权代表”的有关内容,并在附件中提交由投诉人签署的授权委托书。授权委托书应当载明代理人的姓名或者名称、代理事项、具体权限、期限和相关事项。1.投诉人提起投诉时,应当提交投诉书和必要的证明材料,并按照被投诉人和与投诉事项有关的供应商数量提供投诉书副本。投诉书制作说明:
7.投诉人为自然人的,投诉书应当由本人签字;投诉人为法人或者其他组织的,投诉书应当由法定代表人、主要负责人,或者其授权代表签字或者盖章,并加盖公章。6.投诉书的投诉请求应与投诉事项相关。
项目名称:智慧蓉城运行管理平台安全中心服务项目评审情况表
| 序号 | 供应商名称 | 是否通过资格性审查 | 是否通过符合性审查 | 商务/技术得分 | 价格得分 | 总分 | 评审结果 |
| 1 | 北京启明星辰信息安全技术有限公司 | 是 | 是 | 89.83 | 5.15 | 94.98 | 第一中标候选人:北京启明星辰信息安全技术有限公司,报价:10030000元;第二中标候选人:成都卫士通信息安全技术有限公司,报价:1002000元;第三中标候选人:北京升鑫网络科技有限公司,报价:5161000元。 |
| 2 | 成都卫士通信息安全技术有限公司 | 是 | 是 | 59.83 | 5.15 | 64.98 | 第一中标候选人:北京启明星辰信息安全技术有限公司,报价:10030000元;第二中标候选人:成都卫士通信息安全技术有限公司,报价:1002000元;第三中标候选人:北京升鑫网络科技有限公司,报价:5161000元。 |
| 3 | 北京升鑫网络科技有限公司 | 是 | 是 | 49.83 | 10.00 | 59.83 | 第一中标候选人:北京启明星辰信息安全技术有限公司,报价:10030000元;第二中标候选人:成都卫士通信息安全技术有限公司,报价:1002000元;第三中标候选人:北京升鑫网络科技有限公司,报价:5161000元。 |
| 4 | 中国软件与技术服务股份有限公司 | 是 | 是 | 48.83 | 5.03 | 53.86 | 第一中标候选人:北京启明星辰信息安全技术有限公司,报价:10030000元;第二中标候选人:成都卫士通信息安全技术有限公司,报价:1002000元;第三中标候选人:北京升鑫网络科技有限公司,报价:5161000元。 |
| 5 | 紫光云技术有限公司 | 是 | 是 | 44.83 | 5.02 | 49.85 | 第一中标候选人:北京启明星辰信息安全技术有限公司,报价:10030000元;第二中标候选人:成都卫士通信息安全技术有限公司,报价:1002000元;第三中标候选人:北京升鑫网络科技有限公司,报价:5161000元。 |
| 6 | 深圳市永达电子信息股份有限公司 | 是 | 分项报价超过最高限价,未通过符合性审查。 | 44.83 | |||
联系我们
上海总部:上海市浦东新区中科路1750号1幢张江科学之门模力社区606-607室
无锡分公司:无锡市新吴区江溪路77号北航投资(无锡)科创中心303室
邮 箱:bd@datauseful.com
给力助理小程序
给力讯息APP
给力商讯公众号
服务协议
版权所有©上海优司服信息科技有限公司 沪ICP备2022009382号 沪ICP备2022009382号-1
返回顶部