政府采购合同书
 
甲方（采购方）：苏州工业园区社会保险基金和公积金管理中心
地址：苏州工业园区苏州大道东123号中新汇金大厦1楼、2楼
联系人：喻菊
联系电话：62880153
 
乙方（供应方）：江苏嘉恩网络安全科技有限公司
地址：苏州工业园区星桂街33号2003室
联系人：朱苏平
联系电话：15962167556
企业类型：小型
 
备案方：苏州工业园区财政局
联系地址：苏州工业园区现代大道999号现代大厦11楼
联系电话：0512-66681170
 
采购编号：SZZJ2020-Y-C-003
根据苏州正杰招投标咨询服务有限公司采购编号SZZJ2020-Y-C-003号政府采购文件及乙方的响应文件和成交通知书，甲方与乙方就此次采购的购销事宜，签订本合同书。
一、下列文件为本合同不可分割部分：
（一）成交通知书；
（二）招标文件；
（三）乙方成交的响应文件；
（四）乙方在采购过程中所作的其他承诺、声明、书面澄清等。
二、合同内容：
（一）服务内容：乙方负责完成甲方的信息安全服务项目。
1、项目背景：
近年来，苏州工业园区社会保险基金和公积金管理中心通过自身信息化建设工作，已建立基本完善的业务系统体系。随着新技术发展和使用,主管单位对传统的信息系统网络环境的可靠性、可用性和安全性提出了越来越高的要求，给系统管理带来新的挑战。同时《网络安全法》的施行和等保2.0的即将实施，把信息安全提到了一个新高度，在网络安全形势越来越严峻的今日，中心高度重视。
苏州工业园区社会保险基金和公积金管理中心目前正在运行的主要重要信息系统有：核心业务管理系统、网上缴费系统、医疗刷卡系统、门户网站（涉及公民信息）系统等。上述各信息系统涉及住房资金管理中心、银行信贷部门、公司及个人等，信息系统所处理的诸多事项如：个人住房抵押贷款、售房款相关业务、会计核算相关业务以及单位及个人的开户（销户、转入转出等）、缴交费用及计息、各类业务分离合并、费用的支出转出、强大的报表数据等查询信息等。园区公积金重要信息系统涉及公民公共利益，一旦信息系统遭到破坏或者非正常停止工作，会对社会秩序和公共利益造成严重伤害，所以对信息系统的安全防护保障工作尤其显得重要。
综合公积金信息系统数量较多，对系统依赖性较大，故需要专业的运维团队来保证和巩固系统建设的成果。通过建立一套有效的信息安全运维体系，对系统进行统一的安全管理，确保苏州工业园区社会保险基金和公积金管理中心现有的信息系统的正常运行，确保各个网络系统的安全、稳定运行，降低整体管理成本，提高信息系统的整体服务水平。
2、采购内容及要求
2.1漏洞扫描
2.1.1乙方需要按季度对苏州工业园区社会保险基金和公积金管理中心服务器、信息系统、主机设备进行漏洞扫描，使用漏扫设备必须为市场主流设备并且漏洞规则库是最新版本，扫描完成后提供扫描报告及处理建议。漏洞扫描主要包括：
（1）主机漏洞扫描：使用专业设备扫描主机是否存在漏洞并且制定相应报告给出处置建议。
（2）web漏洞扫描 ：使用专业设备扫描门户网站是否存在SQL注入、跨站脚本、信息泄露等高中低漏洞并且制定相应报告给出处置建议。
（3）弱密码漏洞扫描：使用专业设备扫描网络是否存在弱密码显现并且制定相应报告给出处置建议。
2.1.2乙方实际需交付物主要包括以下文档：《漏洞扫描方案》、《漏扫扫描报告》等。乙方按照以下内容要求进行响应：
（1）以表格方式明确漏洞扫描目标，至少包含扫描主机IP、目标网站域名，漏洞扫描必须出具漏洞扫描方法。
（2）以表格或图表方式明确漏洞扫描流程，至少包括流程图、责任单位和结果文档。
（3）乙方应派遣有经验的项目团队，且签订授权书以保证各方面安全工作有序开展。项目实施组提供不少于以7个人天为周期的漏洞扫描服务工作。
2.2渗透测试
2.2.1乙方必须根据苏州工业园区社会保险基金和公积金管理中心网络与信息系统安全方面存在的漏洞，进行手工渗透测试，渗透测试工程师需要进行手工的测试和分析漏洞的真实性，完成渗透测试之后，出具渗透测试报告和修复建议。并在实施渗透测试之后，提供渗透测试手册和操作记录，以便后续业务系统安全策略的调整。主要包括：
（1）外网渗透测试：互联网计算机为起点，以互联网应用系统为攻击目标，要求对应用软件能渗透获得系统数据，甚至获得系统权限，并在获得互联网系统控制权限后，向内网进行渗透，测试互联网与内网边界隔离措施有效性。
（2）内网渗透测试：通过模拟内部外部人员，选取内部外部测试点，使用渗透测试的方式查找内部可能存在的渗透点,发现内部防护体系的薄弱环节，找出内部可能发生的恶意攻击事件和违规行为。
2.2.2乙方实际需交付物主要包括以下文档：《渗透测试方案》、《渗透测试报告》等。乙方按照以下内容要求进行响应：
（1）以表格方式明确渗透测试目标，至少包含目标主机IP、目标网站域名，渗透测试必须出具渗透测试方法。
（2）以表格或图表方式明确渗透测试流程，至少包括流程图、责任单位和结果文档，并列出渗透程中的风险及规避措施。
（3）乙方应派遣有经验的项目团队，且签订授权书以保证各方面安全工作有序开展。项目实施组提供不少于7个人天的渗透测试服务工作。
2.3安全加固服务
2.3.1乙方必须根据苏州工业园区社会保险基金和公积金管理中心网络与信息系统安全方面存在的不足和缺陷，根据网络与信息系统中不同设备的不同安全需求制定有针对性的加固服务，并在实施安全加固之后，提供加固服务手册和操作记录，以便后续业务系统安全策略的调整。
2.3.2乙方实际需交付物包括且不限于以下文档：《安全加固方案》、《安全加固报告》等。乙方按照以下内容要求进行响应：
（1）以表格方式明确安全加固内容，至少包含网络结构优化、网络设备加固、主机系统加固、WEB服务加固，并列出安全加固方法。
（2）以表格或图表方式明确安全加固流程，至少包括流程图、责任单位和结果文档，并列出加固过程中的风险规避措施。
（3）乙方应派遣有经验的项目团队，以保证各方面安全工作有序开展。项目实施组提供不少于30个人天的现场安全加固服务工作。
2.3.4安全加固服务实施完成后，苏州工业园区社会保险基金和公积金管理中心被加固系统基本符合等保合规性要求。
2.4信息安全巡检
2.4.1乙方定期对苏州工业园区社会保险基金和公积金管理中心信息安全设备进行巡检，对资产进行安全评估技术检测，检查设备运行状况是否正常，定期对安全产品进行维护，详细记录安全产品的运行维护日志。
2.4.2乙方定期对信息安全系统产品的策略进行正确性检查，策略发生变更时做好变更记录进行备份，并按要求对安全产品进行及时升级。
2.4.3乙方定期对机房环境、网络设备、主机服务器和安全设备等硬件系统进行全方位的综合风险分析，及时发现系统存在的高危安全漏洞和安全隐患，并提出切实可行的系统加固方案。
2.4.4乙方按照以下内容要求进行响应：
（1）安全巡检工作所需巡检记录表，至少包括机房环境、网络设备、安全设备、服务器等。
（2）派遣有经验的安全巡检团队进行项目实施，提供不少于48个人日的现场巡检工作。
（3）乙方实际需交付物包括且不限于以下文档：《安全巡检报告》、《安全巡检处置报告》等。
2.5未知威胁检测及处置
2.5.1乙方需按期对苏州工业园区社会保险基金和公积金管理中心内网进行未知威胁检测，及时发现内网威胁及漏洞，并且出具报告及处置建议，帮助苏州工业园区社会保险基金和公积金管理中心完成修复工作。
2.5.2乙方实际需交付包括且不限于以下文档：《未知威胁检测报告》、《威胁处置建议》等。
2.5.3乙方按照以下内容要求进行响应：
（1）未知威胁检测使用设备或技术需为业界主流产品、规则库最新、版本稳定。
（2）潜伏威胁探针：在核心交换层与内部安全域部署潜伏威胁探针，通过网络流量镜像在内部对用户到业务资产、业务的访问关系进行识别，基于捕捉到的网络流量对内部进行初步的攻击识别、违规行为检测与内网异常行为识别。探针以旁路模式部署，实施简单且完全不影响原有的网络结构，降低了网络单点故障的发生率。
（3）安全感知系统：在内网部署安全感知平台全网检测系统对各节点安全检测探针的数据进行收集，并通过可视化的形式为用户呈现内网业务资产及针对内网关键业务资产的攻击与潜在威胁；
（4）安全感知系统可以对主流的安全产品,设备和系统进行日志统一关联和事件联动处置。
（5）未知威胁检测需要提供《未知威胁检测报告》且协助苏州工业园区社会保险基金和公积金管理中心处理发现的威胁。
2.6安全培训
2.6.1乙方提供安全培训服务，培训内容包括安全技术或安全意识，培训内容为当前信息安全形势及注意事项，培训讲师必须具有相关专业资格和具有实际工作经验与教学经验，乙方在响应文件中给出拟培训讲师人选和介绍。主要内容包括：
（1）安全意识培训，如日常安全操作规范，网络安全法律法规解读等。
（2）安全技能培训，如网络安全设备基础调试，日常终端安全工具使用等。
2.6.2在服务周期内根据苏州工业园区社会保险基金和公积金管理中心要求提供二次培训，培训时间为1天。
2.6.3本次培训的内容及课时安排。
2.6.4乙方实际需交付物包括且不限于以下文档：《安全培训PPT》、《培训记录文档》等。
2.7应急响应
2.7.1乙方应根据网络与信息安全突发事件的起因、机理，将网络与信息安全突发事件进行分类。同时参照网络与信息安全突发事件的分类原则，按照网络与信息安全威胁产生原因，将网络与信息安全预警信息分类。通过上述分类，乙方应按照网络与信息安全对可能造成的危害、紧急程度和发展势态，将安全事件进行分级，并制定安全事件分级管理制度。
2.7.2乙方实际需交付包括且不限于以下文档：《应急响应报告》、《建议处置报告》等。
乙方按照以下内容要求进行响应：
（1）在应急需求发起后，技术支撑人员必须在3小时内到达苏州工业园区社会保险基金和公积金管理中心指定现场对安全事件进行处理。
（2）乙方应派遣有经验的项目团队进行安全事件处置与应急响应服务工作，以保证各方面安全工作有序开展。
2.8信息安全咨询
按照市各级信息安全主管部门的要求，对现有信息安全管理体系和技术防护体系工作进行合规性与有效性检查,同时，对系统信息安全管理的工作现状和面临的风险进行综合分析，提出针对性的安全架构设计和整改方案。
乙方应指派的专业信息安全咨询顾问团队在服务期内为甲方提供信息安全技术咨询服务。具体内容如下：
（1）安全运维咨询，从应用安全、数据安全、网络安全、主机安全、数据备份安全、应急响应、应急演练、制度管理方面，提供综合一体化的咨询服务，并提交安全运维设计整体方案。
（2）测评整改服务：根据安全主管部门的测评报告，对测评过程中发现系统存在的潜在问题和安全风险，通过对安全问题科学有效的分析，找准整改重点，编写整改报告，为进一步提升安全防护能力夯实基础。
乙方实际需交付物包括且不限于以下文档：《安全咨询规划报告》、《测评整改报告》等。   
乙方按照以下内容要求进行响应：
（1）从全局的总体网络安全（机房、主机、网络、应用、数据、安全、人员、制度、规范、应急演练、应急预案、应急处置等）上考虑，网络安全工作存在的问题或风险，综合分析，提供解决建议，制定分工表和时间表，规划网络安全建设和实施。出具一次信息安全总体规划报告，不同层面（应用、网络、主机、数据、管理等）出具阶段性信息安全咨询规划建议。
（2）乙方应派遣有经验的咨询团队开展咨询工作，以保证各层面的咨询全面有效。项目成员在现场的咨询时间每月不得少于2个工作日，总共不少于48个人天的现场咨询。
3、其他要求
3.1服务人员要求
根据甲方实际情况，成立信息安全服务项目组：
（1）项目经理（1人）：具有网络安全相关资质和类似项目经验，具备相关行业工作经验，负责日常管理、工作安排，安全托管文档材料审核和归档，向客户汇报工作，各项资源调配，投诉管理工作。
（2）服务人员（2人）：负责项目的具体信息安全维护工作，需具有网络及信息安全相关资质和类似项目经验。包括但不限于网络日常运维、网络故障排查与处理、网络与安全巡检、安全测试、应急响应支援等工作，专业能够涵盖网络安全。应急响应支援工作要求在应急事件发生后1小时内进行安全事件的处理的支援。
（3）技术支撑人员（2人）：项目实施过程中实行专人专职原则，保证各项网络及安全服务全面有效，能够发现实际存在问题和安全风险。
项目组所有人员必须熟练掌握网络及安全相关标准与规范，能够应对可能的突发性安全事件应急工作。
3.2工具配备要求
（1）乙方必须单独配备安全检测工具，包含但不限于以下种类工具：网络漏洞扫描系统、web漏洞扫描系统。
（2）乙方必须在技术方案内明确专项检查所需要的技术检测工具，至少包含以下内容：名称、型号、主要功能、数量等。
（三）交付期限：自合同签订之日起一年。
（四）交付地点：甲方指定地点。
（五）服务要求：接到甲方通知后1小时内到现场确认采购人提出的要求，6小时内解决。  
三、价格与支付：
（一）合同价格按此次中标（成交）价格执行，合同金额为人民币（大写）伍拾捌万捌仟元整（人民币588000.00元）。合同金额包括完成所有采购内容所涉及的劳务费、收集资料费、调查费、会议费、评审费、人员费、培训费、交通费、办公设备费、食宿费、风险费、保险费、税金、利润等政策性文件规定及合同包含的所有风险、责任等各项应有费用。除非因特殊原因并经买卖双方协商同意，乙方不得再要求追加任何费用。同时，除非合同条款中另有规定，否则，乙方所报价格在合同实施期间不因市场变化因素而变动。
（二）合同价款的支付及付款方式：
1、付款步骤：按季度付款。每季度结束经验收合格后7个工作日内支付合同价款的25%。
（三）付款方式：银行转帐。
（四）根据国家现行税法对甲方征收的与本合同有关的税费均由甲方承担；根据国家现行税法对乙方征收的与本合同有关的一切税费均由乙方承担。
四、甲方权利和义务：
    （一）根据甲方管理要求及乙方的相关承诺，对乙方履行本合同情况实行验收考核。
（二）甲方有义务在适当的范围内公开考核结果。
五、乙方权利和义务：
（一）乙方根据国家标准、行业标准和规范要求及招标规定的质量标准和有关要求完成工作。
    （二）接受并主动配合甲方及主管部门的检查。
    （三）因乙方管理不善而损坏的硬件、设施应负责及时修复，或照价赔偿。
（四）乙方应做好详细的管理台账，建立管理档案，并按双方约定将项目情况汇总报送甲方。
六、管理基本要求：
    （一）为确保质量，乙方须安排管理人员进行监督管理。
    （二）实施过程中，乙方必须采取周密的安全措施，以避免对人身和财产的损害。如因乙方原因而造成人身伤害或财产损失的，由乙方承担。
    （三）对于乙方工作不能及时完成，且造成较大影响的，甲方有权进行处罚。
    七、不可抗力：
    （一）因不可抗力不能履行合同的，根据不可抗力的影响，部分或者全部免除责任。但合同一方迟延履行后发生严重后果的，不能免除责任。
    （二）合同一方因不可抗力不能履行合同的，应当及时通知对方，以减轻可能给对方造成的损失，并应当在合理期限内提供证明。
    八、合同的解除和转让：
    （一）合同的解除
    1、甲方和乙方协商一致，可以解除合同。并报政府采购监管部门审查备案。
    2、有下列情形之一，合同一方可以解除合同：
    （1） 因不可抗力致使不能实现合同目的，未受不可抗力影响的一方有权解除合同；
    （2） 因合同一方违约导致合同不能履行，另一方有权解除合同。
    （3）有权解除合同的一方，应当在违约事实或不可抗力发生之后三十天内书面通知对方以主张解除合同，合同在书面通知到达对方时解除。
    （二）合同的转让
    合同的部分和全部都不得转让。
    九、合同的生效：
    本合同在双方签字盖章且在乙方足额提交履约保证金后生效，生效合同至政府采购管理部门备案。
    十、争议解决：
    甲乙双方因合同发生争议，签约双方应友好协商解决。协商不成，任何一方可以向甲方所在地人民法院起诉。
    十一、其他附则：
    （一）合同份数：本合同一式四份，甲乙双方各执一份，采购代理机构一份，政府采购管理部门一份。
（二）本合同未尽事宜应按《中华人民共和国合同法》、《中华人民共和国政府采购法》以及其同相关法律、法规之规定解释，在执行过程中双方在不违背本合同和招标文件的原则下协商解决，协商结果以书面形式盖章记录在案，作为本合同的附件，与本合同具有同等效力，但须提交采购代理机构一份备存。
 
甲方签章：                乙方签章：            政府采购管理部门备案章
 
代理人：                  代理人：              授权代表人：
 
年   月   日              年   月   日              年   月   日