项目名称
深圳市气象局和服务中心2021年信息安全运维服务项目 
采购类型
服务 
采购人名称
深圳市气象服务中心 
采购方式
公开招标 
财政预算限额（元）
1050,000.00 
项目背景
近年来，国家主管部门和深圳市政府对电子政务信息安全的重视程度不断加强，信息安全相关的政策、法规、标准接连出台，在风险评估、安全检测与管理等各个方面均提出了越来越明确的要求。根据《关于加强国家电子政务工程建设项目信息安全风险评估工作的通知》（发改高技[2008]2071号）、《关于印发深圳市人民政府信息系统安全检查办法的通知》（深府办[2009]138号）和《关于印发深圳市电子政务信息安全管理试行办法的通知》（深府办[2013]23号）的要求， 2015-2020年度我局立项实施了信息系统安全服务项目，对我局系统建立健全安全管理制度、增强信息系统安全和安全修复加固等方面均起到到重要作用。因此2021年度拟继续实施信息系统安全服务项目，针对我局系统信息安全现状进行水平评估和改进分析，将安全防护措施覆盖到我局信息化应用的重要领域，使2021年我局信息安全绩效考核评估成绩达到A等级以上。
 
 
投标人资质要求
1、 投标人具有独立法人资格。
2、 本项目允许分公司或子公司参与报名，分公司或子公司参选的须获得总公司授权，提供总公司授权文件并加投标人公章；经过总公司授权的分公司或子公司可以使用总公司所有资质文件。
3、 投标时应提供营业执照（事业单位则提供事业单位法人证书）和相关资质证书复印件。
4、 近三年内（即至少从2018年4月开始计算，供应商成立不足三年的可从成立之日起算）无行贿犯罪记录。（投标文件中无需提供证明材料）。
 
 
服务类清单

序号	采购计划编号	需求内容	数量	单位	备注	财政预算限额(元)
1	PLAN-2021-440301-0110044002-01004	深圳市气象局和服务中心2021年信息安全运维服务项目	1.0	项		1050000.0

具体技术要求
 
一、信息安全防护工作
（1）负责对气象局及服务中心25个对外服务等重要信息系统及服务器漏洞进行实时监控及人工扫描，全面隐患排查和运维审查等，进行总结分析、提出整改加固建议和复查服务期内正式安全设备每月至少一次出具《气象局信息系统安全监控情况报告》。
（2）负责对于气象局及服务中心323台终端和25个对外服务等重要信息系统的服务器例行漏洞扫描工作并协助更新系统补丁。同时针对发现的安全漏洞和弱点，综合分析脆弱性检测所获取的网络架构信息、手工采集数据和漏洞扫描结果，识别系统在整体网络架构和设备配置上所存在的安全隐患，提出相应的安全加固建议，明确利害关系与操作风险，确认是否予以实施，形成最终的加固实施方案，并按照实施方案完成优化操作。加固操作完成后，密切监控系统的运行服务状态，对加固效果进行跟踪和验证评价，随时处理异常事件。
（3）负责对气象局及服务中心的7台安全设备以及试用设备进行状态巡检、日志分析，服务期内正式安全设备每月至少一次出具气象局安全设备使用情况报告。试用安全设备投入运行后一个月内出具《气象局试用安全设备使用情况报告》。
（4）《气象局安全设备使用情况报告》和《气象局试用安全设备使用情况报告》必须全面分析安全设备各主要模块的功能在我中心的应用情况，并根据日常运行情况，总结出安全设备的预警模式和防护流程。《气象局试用安全设备使用情况报告》还必须包括该试用安全设备与其他品牌同类型设备的优劣对比。
（5）服务期内每季度至少一次的全体漏洞扫描和加固，对外服务系统每月至少一次的漏洞扫描和加固（包含从互联网安全扫描和从本地进行安全扫描)。遇有重大事件、信息系统发生重大变更后或厂商发布严重安全警告和新系统上线时根据委托方要求不定期进行漏洞扫描和加固。当漏洞扫描完成后，中标人工程师将根据检测结果，进行统计、分析和汇总，并对发现的问题提出解决方案，输出《气象局某某设备主机层漏洞扫描报告》、《气象局某某系统应用层漏洞扫描报告》、《气象局某某设备或系统漏洞整改方案》和《气象局某某系统安全策略加固方案》，每系统一套；对工具扫描结果，安全工程师进行分析和验证，综合评估服务器的边界防护能力、访问控制策略的限制、服务和端口开放的合理性、操作系统存在的安全漏洞、应用服务的安全漏洞及网络安全问题，提交完整的安全加固方案，针对不同操作系统和信息设备提供详细的操作步骤和时间、人员安排和加固过程中的风险应对措施等。
（6）服务期内正式安全设备每月至少一次出具气象局病毒情况报告，必须全面分析气象局及服务中心网络中病毒发生情况和服务器、终端的病毒感染情况分析总结，提出整改建议、督促落实和进行复查；对未安装统一防病毒的windows系统服务器和终端进行排查，督促安装整改。同时通过气象局及服务中心的安全设备（包含试用设备），对气象局的流量进行实时分析，及时发现流量中存在的恶意行为，保障我局的网络安全。
（7）协助气象局及服务中心对于2021年的信息安全工作进行审计并综合汇总。
（8）提供信息安全事件应急响应处置服务，当出现安全事件时，服务方必须立即进行响应，进行应急处置，严控风险再现、升级或扩散，在1个小时内恢复原有系统正常运行，消除相关安全隐患源；1个工作日内完成后期处置善后工作；3个工作日内提交事件分析报告。
（9）通过在特殊时期、深圳重大灾害、外事活动和重要节假日开展安全保障服务，以随时应对和处理该时期内市气象局信息系统发生的各类安全事件，在接到事件处理诉求将第一时间进行响应，提供技术支援，协助深圳市气象局应急响应工作，及时排除问题和恢复系统正常运行，将事件所带来的负面影响和经济损失降至最低。
（10）材料汇编：
n  2021年深圳市气象局对下属单位信息安全联合检查要求将信息安全制度及制度落实记录、信息资产造册包括计算机资产和服务器资产、非涉密系统违规处理涉密文件检查记录、服务外包管理情况、应急演练记录、安全培训记录、等保测评报告、风险评估报告、安全事件处置情况等材料制作成“2021年信息安全联合检查材料汇编”；
n  协助气象局上报网站扫描和主机扫描的资料
n  协助气象局及服务中心制定下级单位信息安全检查要求
（11）协助服务中心完成上级部门及信息安全相关主管部门检查支撑工作，具体工作内容根据上级部门检查发文内容要求定。
（12）根据2021年联合检查要求对气象局及服务中心的5个业务系统进行风险评估工作，本次风险评估围绕着业务、资产、威胁、脆弱性、安全措施和风险这些基本要素展开。在对基本要素的评估过程中，需要充分考虑战略、安全需求、安全事件、残余风险、业务重要性和资产价值等与这些基本要素相关的各类属性。
（13）对气象局现有的服务器资产进行梳理，形成相应的资产清单。
（14）协助第三方测评机构对气象局的业务系统进行等保测评。需要完成2个二级以上的业务系统的等保测评工作。
（15）对政务云的6个业务系统、公有云的14个业务系统进行漏洞扫描，全面隐患排查和运维审查等，进行总结分析、提出整改加固建议和复查，并定期对审计设备和安全防护设备的日志进行安全审计。
（16）购置绿盟极光扫描器一年的授权保障现有的绿盟扫描器继续提供服务。
（17）对气象局指定的系统进行渗透测试，重点发现网站应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，输出渗透测试报告。
（18）开展应急演练，发现深圳市气象局信息系统存在的脆弱性，为其提供专业的安全建议，协助深圳市气象局修复现阶段存在的安全隐患，提高深圳市气象局的网络安全防护能力。
（19）对气象局和服务中心改造、扩建，新系统的上线等提供技术论证和安全咨询服务，定期通报安全行业动态、系统漏洞和病毒预警信息，每年开展一次信息安全整体诊断分析。
二、信息安全意识培训
（1）协助委托方确定信息安全管理体系的层次及建立方式，明确各层次在安全管理体系中的职责以及安全策略；协助为信息安全服务工作建立一套切实可行的技术和管理规范和流程，以规范服务过程中的操作行为和责任落实，持续完善气象局信息安全管理制度。
（2）面向委托方全体员进行全员培训，使普通的计算机使用人员知晓信息安全的重要性、安全管理制度的要求及其职责范围内需要注意的安全问题，内容涵盖信息安全的基本概念、安全管理制度要求和日常操作安全须知等知识。
（3）培训讲师具备相关安全认证资质。
三、服务人员要求
服务方至少2名以上人员具备CISP或网络安全相关中级及以上职称证书，未能达到上述要求的，将追究服务方违约责任。
四、合同续签
采购人可以根据项目需要和中标供应商的履约情况确定合同期限是否延长，但最长不得超过三十六个月。
五、服务要求
（1） 协助落实深圳市2021年绩效评估对于信息安全检查工作的要求。
（2） 协助落实2021年联合检查对于信息安全检查工作的要求及我局内对于信息安全的其他工作。
六、违约责任
   （1）未能在规定时间完成本项目的各项工作将追究服务方违约责任，每延迟一天委托方有权利在未付款项中扣除壹仟元违约金。但支付总额不超过合同总额的30%，否则，委托方有权解除合同，并要求服务方在 5个工作日内退还委托方已支付的款项，赔偿委托方所遭受的损失。
（2）当气象局网站出现被篡改或挂马等重大信息安全事件，视为中标人由未能提供准确、专业规范服务所致，属严重违约，每次出现上述事件，委托方有权利在未付款项中扣除叁万元违约金。出现3次及以上，委托方有权解除合同，并要求服务方在 5个工作日内退还委托方已支付的款项，赔偿委托方所遭受的损失。
（3）在市网络安全绩效评估中，如是由于中标人的工作失职，识别问题、解决问题和协调问题不及时，导致本单位绩效扣分，视为由中标人未能提供准确、专业规范服务所致，属违约，每次出现上述事件一次或绩效考核每扣一分，委托方有权利在未付款项中扣除壹万元违约金。服务期年度深圳市气象局网络安全绩效考核评估成绩低于A等级，委托方有权利扣除叁万元违约金，如果合同款项已全部支付，服务方应在 5个工作日内退还叁万元违约金。
（4）在重大特殊时期需要人员在现场做好安全值守的工作；未能达到上述要求的，将追究服务方违约责任，每天处罚违约金壹仟元。委托方有权在支付相关款项时扣除。
（5）服务方和项目组成员均需签订《安全保密协议》，严格遵守有关保密规定，不得将委托方信息化内容、密码及网络环境等资料泄密给第三方，违者将追究法律责任。
（6）以上条款所约定的服务方应向委托方赔偿损失包括但不限于委托方向第三方承担的赔偿金、违约金、以及委托方因此而发生的律师费、诉讼费、公证费、评估费、鉴定费等。
 
 
商务需求
 

注意：提供项目服务期限（完成期限）、项目进度安排、付款方式、验收要求、培训要求、售后服务要求。 合同款项： 1．中标人与深圳市气象服务中心进行合同的签订。 2.本项目的总价款为（人民币大写）壹佰零伍万（人民币元），即【1050000元】。 工期、进度 1.工期：项目签订之日起至2021年12月15日。 2.进度：根据货物清单中所列各项完成期限时间输出相关成果。 3.付款方式：项目签订合同后分三次付款，签订合同后支付50%，进场服务3个月并每月出具《深圳市气象局及下属单位月度信息系统安全监控情况报告》后进行进度评估后支付40%，项目最终验收后支付尾款10%。 4.验收要求：完成应急演练及协助完成市联合检查材料编制后且在收到乙方提交的验收材料后10个日历日内，由双方项目组成员共同进行逐一确认，确认无误后由双方确认并签署《验收报告》。验收标准：达到合同要求的全部内容，提供相应的文档。 变更指令 1.委托方可以在执行合同期间的任何时候书面向中标人发出指令，在本合同的一般范围内对不限于下述内容进行变更： 1).中标人提供的服务。 2.若上述变更导致了中标人履行合同义务的费用或所需时间的增加或减少，则按合同条款的规定并遵照委托方制定的相关程序对合同价格或完成期限或两者进行合理的调整。中标人必须在接到委托方的变更指示后10天内根据本款提出调整的实施意见。委托方根据项目实际情况对项目实施阶段计划进行调整时合同价格不变。 3.除非委托方书面同意，中标人不得对项目作任何变更。但是，中标人可以向委托方提出变更的建议。 4.委托方在执行合同期间发出的变更及增减工作量应视为合同的组成部分。 保密条款 甲乙双方一致同意在任何时候对其持有的有关另一方的事务或其事务运转操作方法等机密信息实行严格保密。双方同意不得在任何时间向任何人透露任何保密信息，除非有另一方的书面指示或出于一方履行其义务的合理要求；双方同意不对保密信息进行拷贝或抄写。 1.对于一方向另一方提供或使用的资料和秘密信息，另一方负有安全保护和保密的责任，不得向任何第三方透露、不得随意丢弃而造成泄密；对于本合同项目的最终成果及阶段性成果，双方均负有保密义务。 2.未经双方授权代表签字认可，任何一方不得向第三方透露本合同内容。 3.本条款不因本合同或其下项目的变更、解除或终止而失效。 4.中标人人员通过本项目的实施接触到用户政务网络、应用系统的资料、配置或业务数据，以及个人隐私、委托方的工作信息等，中标人均有义务和责任对委托方上述网络、网站、服务器系统和业务应用系统的信息资料或数据进行保密。若中标人及其工作人员未履行好保密职责，发生信息泄漏等行为，中标人需无条件承担委托方的一切损失，挽回对委托方造成的不利影响，并承担相应的法律责任。 上述条款对以下内容不适用： 已属于常识且不受版权控制的内容； 已通过出版物或其他原因（未经授权行为或疏忽除外）而成为不受版权控制的内容； 由任何第三方未加任何约束提供的内容，且该第三方对这些内容无任何明确、暗含或暗示的保密义务； 按法律要求需向任何机关、机构或媒体公开的内容。 保密期限为长期有效，不因合同变更、解除、终止而失效。

 
 
评标信息
 
 

序号 评分项 权重 一 价格部分 20   序号 评分因素 权重 评分方式 评分准则 1 价格 20 专家打分 价格分 =[1－（投标价格-最低价）/最低价]×20 当价格分<0时，取0分。 *注：以所有通过符合性检查和不可偏离项检查的投标报价为有效报价，超过预算报价或明显低于成本报价的为无效报价。 二 技术部分 33   序号 评分因素 权重 评分方式 评分准则 1 实施方案（工作措施、工作方法、工作手段、工作流程） 10 专家打分 考察内容： 1.详细阐述投标方在信息安全服务中所采用的工作流程、工作方法与手段； 2.结合项目建设进度，所提交的文档（如：测评报告、风险评估报告）等完整性及时效性。 根据招标文件的需求和投标文件响应情况、投标人实施方案情况、信息安全风险评估、安全服务应急响应机制、渗透测试方案、等级保护顾问咨询方案与相关政策法规及国标的符合性等进行横向比较，分档评分： 评价为优得80%-100%分数； 评价为良得60%-80%分数； 评价为中得30%-60%分数； 评价为差不得分。 评价为“中”或“差”的，专家需说明情况。 2 项目重点难点分析、应对措施及相关的合理化建议 10 专家打分 考察内容： 1.清晰阐述标准框架结构系统； 2.主要内容科学完整； 3.项目的重点难点分析准确到位。 根据招标文件的需求和投标文件响应情况进行横向比较，分档评分： 评价为优得80%-100%分数； 评价为良得60%-80%分数； 评价为中得30%-60%分数； 评价为差不得分。 评价为“中”或“差”的，专家需说明情况。 3 质量（完成时间、安全、环保）保障措施及方案 8 专家打分 考察内容： 1.内容清晰完整； 2.制度措施合理到位； 3.进度安排科学、符合项目要求。 根据招标文件的需求和投标文件响应情况进行横向比较，分档评分： 评价为优得80%-100%分数； 评价为良得60%-80%分数； 评价为中得30%-60%分数； 评价为差不得分。 评价为“中”或“差”的，专家需说明情况。 4 违约承诺 5 专家打分 考察内容： 承诺满足招标文件要求，保证措施合理且有针对性，有具体的违约责任承诺的为优；承诺满足招标文件要求，保证措施合理但针对性一般，有具体的违约责任承诺的为良；承诺满足招标文件要求，保证措施基本合理，有具体的违约责任承诺的为中。 根据招标文件的需求和投标文件响应情况进行横向比较，分档评分： 评价为优得80%-100%分数； 评价为良得60%-80%分数； 评价为中得30%-60%分数； 评价为差不得分。 评价为“中”或“差”的，专家需说明情况。 三 综合实力部分 40   序号 评分因素 权重 评分方式 评分准则 1 投标人资格情况及通过相关认证情况 6 专家打分 1.       投标人《27001信息安全管理体系认证证书》得20%分数，未提供得0分 2.       投标人具有中国网络安全审查技术与认证中心颁发的《信息系统安全运维》资质证书得20%分数，未提供得0分 3.       投标人具有中国网络安全审查技术与认证中心颁发的《信息安全应急处理证书》资质证书的得20%分数，未提供得0分 4.       投标人具有中国网络安全审查技术与认证中心颁发的《信息安全风险评估证书》资质证书的得20%分数，未提供得0分 5.       具有《中国国家信息安全漏洞库技术支持单位》资质的得20%分数，未提供得0分 证明文件： 须提供相关资质证书复印件加盖公章。 提供的证明文件不满足要求或未提供证明文件的不得分。 2 投标人项目经验   3 专家打分 考察内容： 投标人在“信息安全服务工作”有充足的项目经验，至少提供三份近期项目案例，以合同扫描件为准（扫描件中须体现工作内容）。 提供三份有效证明得100%分数，不提供则不得分。 3 3 专家打分 投标人参加国家重大安保工作，并获得技术支撑单位荣誉的或相关单位感谢信、答谢函，每提供一个得10%，未提供，得0分。 以上案例须提供证明材料，并加盖公章，不提供证明材料不得分。 4 投标人行业能力 10 专家打分 1.       投标人获得国家大数据协同工程实验室大数据安全优秀案例奖证书的，的50%； 2.       投标人获得信息安全等级保护安全建设服务机构能力评估合格证书，得50%； 5 投标人自主知识产权产品（创新、设计）情况 6 专家打分 1.投标人在信息安全产品方面具有自主知识产权的每一个得10%分数，提供3个及以上得30%分数。 2.安全产品应用广范，单个安全产品可提供5个以上合同证明文件的，得30%分数；可提供10个以上合同证明文件的得70%分数。 证明文件： 1.须提供中华人民共和国版权局颁发的著作权登记证书或作品登记证书复印件并加盖投标人公章。 2.提供合同证明文件复印件并加盖投标人公章。 提供的证明文件不满足要求或未提供证明文件的不得分。 6 项目拟使用的车辆（场地、工具、机器）情况 3 专家打分 投标人具备开展业务信息系统服务器漏洞扫描、网络层扫描、Web应用层扫描所使用的专业检测工具。 具有自主知识产权扫描工具（支持系统扫描和WEB扫描功能）得100%分数。 证明文件： 须提供检查工具品牌、型号、产品功能、软件著作权。 提供的证明文件不满足要求或未提供证明文件的不得分。 7 本地化服务 5 专家打分 投标人具有本地化服务能力，即：是深圳本地公司或在深圳具有本地化分支机构的，得100%分数；未提供，得0分。 以上需要提供深圳本地分公司或子公司营业执照复印件，并加盖公章，未提供的得0分。   8 技术团队人员要求 4 专家打分 投标人技术团队人员要求： 1.同时具有CISA/CISSP证书1人； 2.具有CISP证书1人； 3.中级软件设计师证书2人； 4.中级网络工程师证书1人； 5.等保工程师证书5人。 四 诚信情况 7   序号 评分因素 权重 评分方式 评分准则 1 诚信评价 5 专家打分 根据《深圳市财政委员会关于加强招投标评审环节诚信管理的通知》（深财购[2013]27号）的要求，投标人在参与政府采购活动中存在诚信相关问题的，本项不得分，未出现相关诚信问题的得满分。以深圳市政府采购中心供应商库中的处罚记录为准。投标人无需提供任何证明材料，由采购中心工作人员向评委会提供相关信息。 2 履约评价情况 2 专家打分 根据深圳市政府采购中心项目履约情况现场抽检结果，投标截止日前一年内（以深圳市政府采购中心网站《关于给予供应商履约评价差的函》的落款日期为准），供应商履约评价出现评价为“差”的，本项不得分。未评价为“差”的，得满分。投标人无需提供任何证明材料，由采购中心工作人员向评委会提供相关信息。

 
 
 
 
其他
 
 
附件
附件2：项目招标申报书.docx