招标
中国移动广东公司2023-2024年数据安全监督检查服务支撑公开比选项目_比选公告
数据调用链路进行合规审查
数据泄露溯源分析
数据操作行为进行审查
应用接口弱点漏洞检查
数据异常访问行为检查
数据安全自查
数据安全监督检查服务
数据访问对象身份进行合法性检查
数据安全常规监测
现场调研
应用系统
数据安全监督检查工具
数据跨域流动合规性
网段
环境准备
调试
敏感数据传输
信息安全服务
数据安全落实情况及合规情况进行检查
安装部署
数据传输接口
监督检查报告
ES系统
电子取证
数据安全风险监测
文件服务
敏感数据资产
数据库服务
敏感数据检测工具
分布检查
应用服务
敏感数据流动链路
邮件服务
数据安全检查
现场监督检查
金额
-
项目地址
广东省
发布时间
2023/05/22
公告摘要
项目编号
gdyd20230500370
预算金额
-
招标公司
中国移动通信集团广东有限公司
招标联系人
-
招标代理机构
中通服咨询设计研究院有限公司
代理联系人
张少恒18122711549
标书截止时间
2023/05/26
投标截止时间
-
公告正文
本项目为中国移动广东公司2023-2024年数据安全监督检查服务支撑公开比选项目(项目编号:GDYD20230500370)已由中国移动通信集团广东有限公司批准建设,采购人为中国移动通信集团广东有限公司,建设资金来自中国移动通信集团广东有限公司,项目出资比例为100%。项目已具备采购条件,现委托中通服咨询设计研究院有限公司进行公开比选,具有服务能力的供应商均可前来报名。
一、采购货物的名称、数量及主要技术参数
1.1项目内容:本项目拟采购数据安全监督检查服务2188人天,要求团队成员不少于11人,驻点服务2人。
序号
工作项
工作子项
工作内容
工作量(人天)
1
监督检查调研及环境准备
现场调研
调研每个被检查单位的网络部署环境,以及协助被检查单位准备工具部署所需要的主机资源、网络资源等
28
2
检查工具部署
安装部署、调试数据安全监督检查工具,并对接被检查单位/系统的流量以及每个检查点结束后,对工具和数据做安全清理。
80
3
现场监督检查
敏感数据资产
采用敏感数据检测工具,检查应用服务、数据库服务、文件服务、邮件服务开展数据活动中携带敏感数据的分布现状,与实际业务需求进行比对核查,检查敏感数据传输的合理性。
100
4
分布检查
检查是否定期梳理数据传输接口并更新接口情况清单,确保数据传输接口处于备案在册状态。
100
5
敏感数据流动链路检查
还原应用接口与数据库表字段之间敏感数据调用关系,对数据调用链路进行合规审查。
100
6
检查数据跨域流动合规性,评估各类实体节点(数据库、应用系统、网段)的安全性,确保敏感数据流动的可信可控。
100
7
数据异常访问行为检查
对数据访问对象身份进行合法性检查,确保数据访问对象身份的合法有效,识别未授权用户违规取数风险、越权访问、已失效账号访问等权限类风险。
100
对数据操作行为进行审查,基于数据类型与量级识别出大批量敏感数据拉取、非工作时间获取个人信息条数异常等异常数据访问行为类风险。
100
8
9
应用接口弱点漏洞检查
检查应用接口是否存在口令认证类相关弱点漏洞,重点关注接口请求与返回内容中是否存在账号与密码字段,是否存在密码强度不足、密码明文传输或透出等违规情况
100
10
检查应用接口是否存在安全规范类相关弱点漏洞,重点关注接口设计安全规范程度,检查是否存在URL夹带敏感信息、鉴权信息等接口设计不合规情况。
100
11
现场监督检查
应用接口弱点漏洞检查
检查应用接口是否存在访问权限类相关弱点漏洞,重点关注接口是否对访问实体进行差异化保护,检查是否存在接口无鉴权信息、接口存在可遍历参数等高危漏洞情况。
100
12
检查应用接口是否存在数据暴露类相关弱点漏洞,重点检查接口对外传输过程中数据暴露的类型与量级,检查是否存在敏感数据脱敏策略不一致,敏感数据暴露面过大等违规情况。
100
13
检查应用接口是否存在接口权限类相关弱点漏洞,重点关注是否存在后门漏洞接口。
100
14
数据泄露溯源分析
根据现场四项监督检查结果,分析可能存在的数据泄露事件,并对事件进行电子取证。
280
15
监督检查报告编制
针对现场的检查结果进行验证以及编制监督检查报告。
200
16
数据安全风险监测
数据安全常规监测、研判、预警及报送
每日登录数据安全监督检查平台查看被监测系统/单位的监测数据,跟踪运营监测情况,对移动内部进行数据风险监测和分析,提供风险预警,如发现数据安全风险隐患或安全事件,及时进行告警,出具相应的监测报告;协助移动对行业内相关单位或部门进性风险监测及报送。
500
17
数据安全检查协助
支撑移动省公司开展上级单位的数据安全迎检专项支撑工作,主要进行数据安全自查,次数不少于4次,具体内容如下:
1)协助省公司进行集团检查前的数据安全自查;
2)协助省公司进行网络安全相关主管部门检查前的数据安全自查;
3)协助省公司对地市公司的数据安全落实情况及合规情况进行检查;
合计
2188
1.2项目规模:本项目不含税总价为1,857,612.00元。
1.3标段划分:不划分标段。
1.4项目实施地点:广东。
1.5服务周期:自合同签订之日起至2024年6月30日。
包段
产品名称
产品单位
需求数量
包1
信息安全服务
项
2188.000
二、资格要求
2.1 资格审查方式:资格后审;
审查方法:合格制,由评审委员会对应答单位的资质进行审查,符合资质要求的单位才进入评审环节。
2.2应答方资格要求:
(1)营业执照:应答方须是在中华人民共和国境内注册的独立法人、事业单位或其他组织(如是分支机构,则须提供具备独立法人资格的上级机构授权证明)且须提供合法有效的营业执照或事业单位法人证书;对于已按“三证合一”登记制度更换新版营业执照的(营业执照、组织机构代码证、税务登记证三证合一),须提供由工商部门颁发的加载统一社会信用代码的营业执照。
(2)资质要求:应答方需具备中国通信企业协会(CESSCN)颁发的通信网络安全服务能力评定证书(风险评估)一级及以上证书,须提供有效的证书复印件或扫描件。
备注:通信网络安全服务能力评定证书和网络安全服务能力评定证书均认可。
(3)业绩要求
:
应答方须自2020年1月1日至应答截止日(以合同签订时间为准)至少具备一个合同金额不得低于10万元的同类项目经验(同类项目指: 数据安全检查或检测类的项目经验)
注:应答方须需提供:①合同关键页(包括但不限于合同签订主体、合同标的、合同金额页、签字盖章页)及至少一张发票复印件作为证明文件,如合同无法说明项目内容符合上述同类项目经验内容,可由甲方出具的相应证明文件作依据(证明文件须加盖合同甲方公司章或合同章,或甲方项目使用部门部门章); ②以合同金额作为判定或评分依据;若为框架合同,金额统计以框架签署后下达的订单合同累计金额为准。 ③对于框架合同,若只提供订单合同未提供对应的框架合同,相应的订单合同无效。④发票开具时间不早于单个合同或框架合同生效时间,否则视为无效发票。 ⑤若根据框架合同正文的要求(需提供对应的内容页),框架内以非订单合同形式下达采购需求或确认工作量的,上述备注中的“订单合同”根据实际情况替换成相应形式的证明材料。
(4)单位负责人为同一人或者存在控股、管理关系的不同单位,不得参加同一标段/包或者未划分标段/包的同一项目应答。
(5)信誉要求:应答方没有处于被行政主管部门或行政监督部门责令停业,投标资格被取消,财产被接管、冻结或破产状态;最近三年内没有在中国移动总部和广东移动采购活动中骗取中标和严重违约;最近三年内没有在中国移动总部和广东移动采购活动中出现投标/应答文件中承诺条款与中选后实际服务情况出现重大偏差等不良信誉记录。
(6)本项目不接受联合体参与,不允许转包、分包。
本项目不接受联合体投标。
三、获取比选文件
3.1 本项目实行网上发售电子版采购文件,不再出售纸质采购文件。采购文件售卖时间为2023年05月22日23时00分至2023年05月26日17时00分(北京时间,下同),凡有意参与的潜在供应商,请登录中国移动采购与招标网(http://b2b.10086.cn,下同)进行购买采购文件(已在该系统注册过的投标人请登录系统购买采购文件,未在该系统注册的投标人请先进行系统注册而后购买采购文件)。
3.2 采购文件每套售价零元(¥0元),售后不退。支付要求:无。
注意: 无论采购文件是否收费,供应商请务必在 采购文件售卖截止时间前 登录中国移动采购与招标网,进入“招投标操作”界面,选择比选项目进行采购文件购买操作;否则将无法正常应答。
3.3 中国移动采购与招标网首页提供操作手册,供应商可以下载并根据操作手册提示进行信息注册、CA证书办理、下载采购文件及应答。 供应商针对系统操作的咨询,可拨打中国移动采购与招标网技术支持联系电话,详见系统首页“技术服务”专区。
3.4 供应商必须在应答截止时间之前办理CA证书,并使用CA证书进行加密后才能应答;否则将无法正常应答。CA证书具体办理流程参见中国移动采购与招标网首页下方下载专区“CA证书办理及安装”说明。
四、应答文件的递交
4.1 本项目不接受纸质应答文件的递交(应答保函、法定代表人授权书除外)。
4.2 电子应答文件通过中国移动电子采购与招标投标系统递交,应答截止时间为2023年06月05日09时30分。
4.3 本项目将于上述应答截止时间的同一时间在中国移动电子采购与招标投标系统进行唱价,应答人的法定代表人或者其委托的代理人可在中国移动电子采购与招标投标系统远程准时参加。
4.4 出现下列情形之一时,采购人/采购代理机构不予接收其应答文件:
4.4.1 逾期递交或者未递交中国移动电子采购与招标投标系统的应答人;
4.4.2 未按照本公告要求获得本项目采购文件的应答人。
4.5 电子应答文件递交异常的处理规则:应答人的电子应答文件出现递交异常时,采购人/采购代理机构需与系统支撑团队确认,若为系统故障原因造成的,则应推迟该项目的应答截止时间(具体时间另行通知)直至该应答人完成电子应答文件递交;若非系统故障原因造成的,由该应答人自行承担相应责任。
五、电子采购应答规则
5.1 供应商须在应答截止时间前完成在系统上递交电子应答文件。
5.2 当所有应答人的应答文件唱价解密异常时,则推迟唱价,直至应答文件可正常解密。当个别供应商电子应答文件唱价解密异常时,由系统确认非系统原因造成的,由应答人自行承担相应责任。
5.3 供应商的电子应答文件是经过CA证书加密后上传提交的,任何单位或个人均无法在应答截止时间(即唱价时间,下同)之前查看或篡改,不存在泄密风险。
5.4 供应商在应答截止时间之前可以多次提交或撤回电子应答文件,提交新应答文件前需撤回前一次提交的电子应答文件,并且前一次提交的电子应答文件系统将彻底删除。
5.5 供应商可以登录系统查看电子应答文件上传提交结果,了解和确认电子应答文件提交状态。
5.6 系统提供递交电子应答文件的渠道:
系统仅支持通过辅助投标工具进行递交电子投标文件
六、发布公告的媒介
本次比选公告仅在“中国移动采购与招标网” (http://b2b.10086.cn) 上发布,比选公告将明确对供应商的资格要求、发售采购文件的日期和地点、应答、开启应答等事宜。
七、联系方式
采购代理机构:中通服咨询设计研究院有限公司
地 址:广州市林和西横路219号康富来国际大厦5楼
邮 编:510610
联 系 人:张少恒、黄月明、熊军、文信翔、张鹏飞
电 话:18122711549(黄)
电子邮件:18122711549@139.com
采 购 人:中国移动通信集团广东有限公司
地 址:广州市天河区珠江新城珠江西路11号全球通大厦
邮 编:510623
异议渠道:点击进入异议页面
(此链接仅用于潜在应答人或其他利害关系人认为采购文件存在影响采购公平性、公正性问题的异议;不接受业务咨询)
八、免责声明
我公司发布本次项目采购信息的官方媒介包括:中国移动采购与招标网(http://b2b.10086.cn) 。除上述外,我公司不在其他任何网站、论坛等媒介上发布任何采购信息,其他任何媒介上转载的、以我公司为采购主体的采购信息均为非法转载,均为无效。
九、附加项
9.1请各潜在供应商务必更新项目负责人联系方式,以便采购代理机构能及时准确联系。
9.2如企业信息有变更的,请各潜在供应商在购买比选文件之前务必先在电子采购与招标投标系统更新企业信息,保证完成报名的企业信息与贵司营业执照显示的信息一致。
9.3请各潜在供应商务必在“比选文件获取时间”截止前在中国移动电子采购与招标投标系统及时完成“招标文件购买”操作。
9.4 自2022年1月1日起,中国移动电子采购与招投标系统(简称ES系统)不再支持北京数字认证股份有限公司(BJCA)证书,供应商在中国移动电子采购与招投标系统进行投标应答、标书澄清、签署廉洁承诺书等操作,均需使用CMCA证书,如供应商手头上持有的是旧版的BJCA证书,请尽快更换成CMCA证书(如手头上持有的是CMCA证书,务必查看证书是否在有效期内),若因未及时办理CMCA证书或证书失效未及时延续证书有效性而影响到投标等业务,由供应商自行承担后果,如供应商对证书办理、使用等有疑问请联系CMCA客服热线400-111-5580(CMCA证书办理流程、办理网点、费用标准及支撑方式等详见“中国移动采购与招标网”首页-右下角-下载专区"CA证书办理及安装”栏目,或点击下方链接进行查看:https://mpus.cmca.net:9090/rest/goUserChoose。)。
采购人/招标代理机构:中国移动通信集团广东有限公司/中通服咨询设计研究院有限公司
2023年5月22日
返回顶部
