|
采购人 |
广州民航信息技术有限公司 |
|
项目名称 |
广州民航信息技术有限公司信息安全支持服务 |
|
供货地点 |
广州市 |
|
供货内容 |
信息安全支持服务 |
|
供应商商务 资格要求 |
1. 1.供应商必须是中华人民共和国境内正式注册,并具有有效的独立法人资格,有能力完成本项目的法人或其他组织; 2. 2.供应商需为一般纳税人,可开具增值税专用发票; 3. 3.供应商需提供标注统一社会信用代码的三证合一的证照并加盖公章; 4. 4.法定代表人为同一个人的两个及两个以上法人,母公司、全资子公司及其控股公司,以及其5.他形式有资产关联关系的供应商,不得在本项目中同时参加; 5. 6.本项目不许分包和转包,由采购人与成交供应商直接签订采购合同; 6. 7.本次采购不接受联合体参与; 7. 8.不得被列入经营异常名录或严重违法失信企业 名单。需提供从“国家企业信用信息公示系统”网站(www.gsxt.gov.cn)截图“行政处罚信息”、“列入经营异常名录信息”、“列入严重违法失信名单(黑名单)信息”三方面截图证明并加盖公章。 8. 9.不得被列入失信被执行人或企业经营异常名录。需提供从“信用中国”网站(http://www.creditchina.gov.cn/)截图“严重失信主体名单”证明并加盖公章。 9. 具有良好的商业信誉和健全的财务会计制度; 10. 10..响应供应商必须是一般纳税人,可开具增值税专用发票; 11. 11.响应文件准备完整,思路清晰,重点突出;
|
|
服务需求 |
一、项目背影 广州民航信息技术有限公司拟引入了第三方信息安全支持服务,协助公司开展信息安全的检查、梳理、加固和应急处置等。 二、服务需求 服务需求详见附件1; 三、服务期 从完成合同签署起计算,服务周期为一年。 四、人员技能要求 (1)安排项目经理1名,要求具备: 1. 计算机相关专业本科以上学历; 2. CISP注册信息安全工程师证书; 3. CISAW(SI)信息安全保障人员安全运维方向证书; 4. CISSP 信息系统安全专业认证证书; 5. PMP项目管理专业人员资格认证证书; (2)安排渗透及培训工程师2名,要求具备: 1. 计算机相关专业本科以上学历; 2. CISP-PTE注册信息安全专业人员渗透测试工程师证书; 3. 两年或者以上渗透测试经验,在SRC或者安全社区提交过高质量漏洞或在CNVD、CNNVD、CVE提交过高质量漏洞。 (需提供学历及资格证书复印件并对工作经验做承诺) 五、供货周期 合同签订后5天内召开项目启动会。
|
|
报名方式 |
1.参与本次采购活动的供应商请于2022年9月26日周一10:00前,将报名邮件发送至lishuo3304@travelsky.com.cn(抄送357155495@qq.com)。 2.报名邮件内容请写明:报名项目名称、供应商全称、联系人、电话、邮箱。 3.没有报名的供应商不得递交响应文件。 4.报名截止后会邮件通知竞价的具体地点。 |
|
响应文件要求 |
1.正本1份,副本0份; 2.电子版1份; 3.供应商依据采购文件的规定提供报价单,如参数要求有偏离需备注说明,报价单每页需加盖公章。 4.供应商提供的营业执照复印件和其它相关文件,每页均需加盖公章。 5.响应文件应在密封处加盖公章,标注正本和副本,封皮应注明:项目名称、供应商名称、供应商地址、联系人及联系方式。 |
|
响应文件 送达时间和地点
|
1.纸质竞价文件送达时间:2022年9月29日周四11:00; 2.送达地址: (1)顺丰:北京市顺义区后沙峪镇中国航信高科技产业园区西门; (2)闪送或亲自送达:北京市顺义区后沙峪镇中国航信高科技产业园区东南门旗杆处; 3.逾期送达或不符合规定的响应文件恕不接收。 4.工作日接收文件时间为:9:00-17:30。 |
|
1. 电子版发送时间:2022年9月29日周四10:00-10:30; 2. 接收邮箱地址:lishuo3304@travelsky.com.cn(抄送357155495@qq.com) |
|
|
评审方法 |
1.最低投标价法: 符合资格要求的供应商,报价最低的为第一候选成交供应商;(最低报价相同的采取以邮件报名顺序排序选取第一候选成交供应商。) 2.采取腾讯会议的方式进行远程开标,报名截止后将邮件发送会议地址链接至报名邮箱。 |
|
发票种类及内容 |
增值税专用发票; |
|
付款条件 |
分三期付款:合同签订后于一个月内预付款项的30%,完成前六个月的工作后并通过中期验收支付款项的40%,尾款于服务期满后并通过终期验收的一个月内支付。 |
|
本次采购活动联系人 |
1.中国民航信息网络股份有限公司 2.地址:北京市顺义区后沙峪镇中国航信高科技产业园区 3.联系人:李硕 电话:57650148 邮箱:lishuo3304@travelsky.com.cn |
附件1:信息安全项目服务需求清单
|
序号 |
项目名称 |
内容 |
完成标准 |
|
1. |
人工渗透测试与培训服务 |
提供人工渗透测试与培训服务,该项服务内容如下: (1) 服务形式:由具备高级攻防技能(具备CISP-PTS或CISSP等个人资质证书)的人员模拟黑客对系统发起入侵,寻找薄弱点,以拿到目标系统的控制权限为目的,不对系统造成破坏。并在渗透测试工作结束后,开展知识传递和技能培训工作。 (2) 服务对象:B/S或C/S架构的应用系统; (3) 服务要求:渗透前应经过甲方授权许可,测试时间应与甲方协商后进行;培训应包括:每次渗透过程所发现的漏洞和脆弱性的讲解;每次渗透过程所利用的方法、工具、技巧;每次渗透过程发现的漏洞的修复经验及案例分享。 (4) 服务系统数量:不低于5套 (5) 服务交付物:每个系统单独出具渗透测试报告及复测报告。 |
(1)对指定的应用系统进行人工渗透测试,每个系统单独输出《渗透测试报告》。 (2)协助甲方进行代码安全整改,提供指导意见,并在甲方整改结束后,开展渗透测试复测工作,检验整改成效,输出《渗透测试复测报告》。 |
|
2 |
应急响应服务 |
提供一年专业的应急响应服务, 7*24小时远程支持,2小时到达现场支持,具体需求如下: (1)入侵事件响应服务 提供的应急响应内容包括采取紧急措施和行动,恢复业务到正常服务状态;调查安全事件发生的原因,避免同类安全事件再次发生。 (2)DDOS事件响应服务 在通过研判确定DDOS攻击后,需提供专业DDOS云流量服务,协助清洗异常流量直至业务系统恢复正常。 (3)安全设备策略调优服务 对目前在用的安全设备(包括但不限于常见的IPS/WAF/DDOS等设备)进行相关策略调试及优化,输出防御报告。如设备被爆出有重大安全漏洞时,需协助尽快修复(每月提供一次,全年共计12次)。
|
(1)服务种类如下:网络入侵调查、拒绝服务攻击响应、大规模病毒爆发响应、主机和网络异常响应和其他应急事件。 (2)提供7*24小时应急响应服务,10分钟内提供远程应急支持服务,2小时到达现场应急支持服务。 处理事故并提交书面《安全事件调查分析报告》:包括事故原因、过程描述、入侵来源、证据报告、解决方案、安全建议、处理结果等。 (3)协助完成在用安全设备相关策略调试优化及漏洞修复,输出相关报告。包括完成安全策略梳理和分类,对防攻击策略进行梳理和配置,提交《安全策略配置清单》(包括但不限于IPS/WAF/DDOS设备): A.每月针对中高风险放行日志(IPS放行日志)进行评估,结合项目组访问关系梳理并提交《中高风险日志分析报告及IPS防御策略建议》。 B.每月对Web信息系统拦截数据及人工渗透后的漏洞进行分析;每月出具《中高风险漏洞分析报告及WAF防御策略建议》。
C.每月针对DDOOS拦截日志分析,并出具《拦截日志分析报告及DDOS防御策略建议》。 |
|
3 |
安全培训 |
全年投入不少于2人天。本项服务要求服务方提供专业的安全技术培训和安全意识培训,培训内容需适用甲方实际工作情况。 |
(1)制定详细合理的培训计划,原则上采取线下授课方式,如有特殊情况也可采用线上培训方式; (2)培训内容需与甲方沟通,并提前报备至甲方。 |
解决方案
联系我们
