福建省直单位住房公积金中心政务云资源安全服务项目采购公告

中标

金额

项目地址

福建省

发布时间

2022/06/27

公告摘要

项目编号-

预算金额15万元

招标公司福建省直单位住房公积金中心

招标联系人-

中标公司福建省星云大数据应用服务有限公司

中标联系人-

公告正文

福建省直单位住房公积金中心采用单一来源采购方式组织福建省直单位住房公积金政务云资源安全服务项目的采购活动，特邀请下列供应商参加本项目的协商。现将本项目有关事项告知如下：

一、采购人

福建省直单位住房公积金中心

二、项目名称

福建省直单位住房公积金政务云资源安全服务项目

三、采购内容及要求

福建省直单位住房公积金政务云资源安全服务项目采购内容及要求（详见附件1）

四、采购预算

15万元整

五、公告时间

2022年06月27日至2022年6月29日

六、邀请参加本项目协商的供应商名单如下：

计划名称	供应商名称	供应商地址
福建省直单位住房公积金政务云资源安全服务项目	福建省星云大数据应用服务有限公司	福建省福州市鼓楼区工业路洪山科技园科研楼5层

七、材料递交

提交响应文件截止时间及提交响应文件地点：2022-06-30 15:30（北京时间），供应商应在此之前将密封的响应文件送达（福建省福州市鼓楼区鼓屏路142号省直公积金中心三楼会议室），逾期送达的或不符合规定的响应文件将被拒绝接收。

八、协商时间及协商地点

协商时间：2022-06-30 16:00

协商地点：福建省福州市鼓楼区鼓屏路142号省直公积金中心三楼会议室。

九、注意事项

1、本项目不接受联合体参加，不允许成交供应商进行分包、转包。

2、以上如有变更，采购方会通过更正公告通知被邀请供应商，请供应商关注。

十、联系方式

对本采购事宜如有疑问，请拨打咨询电话：0591-87806529。

附件1：福建省直单位住房公积金政务云资源安全服务项目协商内容及要求.docx附件1：福建省直单位住房公积金政务云资源安全服务项目协商内容及要求.docx

附件2：信息安全保密责任承诺书.docx附件2：信息安全保密责任承诺书.docx

福建省直单位住房公积金中心

2022年6月27日

二、技术要求本项目为福建省直单位公积金中心部署在福建省级电子政务云平台上的共计30台云服务器及服务器上搭载的应用系统提供云上安全服务。一、项目概况安全服务项目协商内容及要求福建省直单位住房公积金政务云资源附件1

（1）项目经理：具有5年以上网络安全相关工作经验，项目经理必须为服务商直签正式员工。服务商应提供具备有丰富的云平台安全防护经验的专业技术团队服务于该项目，团队人员规模不少于2人，其中：1.2.1服务团队1.2服务实施要求1.1.服务内容

类别	服务类	序号	服务项	服务内容	服务频次	交付成果
1	政务云上业务统一资产与漏洞管理	1.1	安全资产管理服务	提供资产和漏洞发现平台、挖掘工具、在线检测平台，基于互联网和内网，测试和识别资产信息，同时进行安全评估，以减少安全风险。	2次/年	《业务安全资产报告》
1	政务云上业务统一资产与漏洞管理	1.2	系统漏洞扫描服务	对主机系统、应用系统、数据库系统、中间件应用等IT资产，提供全方位的安全漏洞及安全隐患检查。	4次/年	《主机漏洞扫描报告》
1	政务云上业务统一资产与漏洞管理	1.3	漏洞风险跟踪服务	提供漏洞全生命周期管理服务，通过构建事故管理、问题管理、配置管理等管理流程，以在线服务的方式对漏洞进行实时跟踪。	按需	/
1	政务云上业务统一资产与漏洞管理	1.4	渗透测试服务	提供专家级应用渗透测试，对应用系统、中间件应用等IT资产，提供全方位的安全漏洞及安全隐患检查。	1次/年	《渗透测试漏洞报告》
1	政务云上业务统一资产与漏洞管理	1.5	安全基线检查服务	云主机、中间件、数据库系统安全配置核查：针对系统进行配置核查，覆盖系统管理方面和安全加强方面的问题。	4次/年	《主机基线报告》
1	政务云上业务统一资产与漏洞管理	1.6	监督检查配合服务	提供云上防御类设备、流量审计日志、流量攻击监测等材料配合业主各类合规检查	按需	/
2	政务云上业务安全流量采集与分析	2.1	异常流量分析服务（不包含https类业务）	提供系统安全分析，包括可疑访问、恶意访问、安全试探、异常访问数据分析等安全隐患的预警性分析。提供流量分析，结合业务场景，发现应用系统使用过程中产生的安全威胁隐患，及时发出预警，修复常规漏洞扫描难以发现或缺失的遗漏点，丰富威胁发现维度。	按需	/
2	政务云上业务安全流量采集与分析	2.2	安全隐患分析服务（不包含https类业务）	提供流量分析，结合业务场景，发现应用系统使用过程中产生的安全威胁隐患发现落地安全事件，及时发出预警，启动云上安全事件应急响应流程，溯源事件入口，并配合修复涉及漏洞及系统脆弱点，完成安全事件处理。	按需	/
3	政务云上业务主机安全日常监测	3.1	云主机入侵检测	提供主机版入侵检测，包括但不限于主机异常行为检测、主机日志收集、应用日志收集、应用漏洞检测、登录检测等，实时监测主机安全状态。	日常	/
4	政务云上业务应用安全监测与防御服务	4.1	网站安全监控服务	提供包括网站漏洞监控、网站挂马监控、暗链监控等安全服务。	日常	/
4	政务云上业务应用安全监测与防御服务	4.2	云应用防护服务（不包含https类业务）	提供定制化web安全防御服务，针对黑客发起的注入攻击、跨站脚本、Webshell上传、网页木马等攻击进行有效防护，并通过虚拟补丁技术加固WEB服务器组件漏洞。	日常	/
4	政务云上业务应用安全监测与防御服务	4.3	安全通告	提供最新的安全动态、技术和安全信息，包括实时安全漏洞通知、定期安全通告汇总和安全知识库更新等。	按需	《安全通告》
5	政务云上业务主动式防御服务	5.1	主动式防御服务	基于伪装代理或沙箱把攻击者的流量诱导进虚拟业务云端，并通过可视化大屏展示出来当前的威胁态势，实现主动防御的效果。	按需	/
6	政务云上业务安全总体运行状况分析服务	6.1	业务安全总体运行状况分析服务	定期从网络侧、主机侧等多个层面收集与统计业务系统阶段性安全运行数据，深度分析业务系统当前安全运行状况，从中发现安全运行薄弱点并给予改进建议。	4次/年	《业务系统安全运营报告》
7	政务云上业务统一管理与可视化服务	7.1	安全管理中心	提供安全可视化展示服务能力，展示内容包括安全漏洞、安全入侵、安全风险、攻击态势等。	日常	/
7	政务云上业务统一管理与可视化服务	7.2	资源管理中心	提供资源状态可视化展示能力，展示内容包括项目数量、虚拟机数量、数据库实例等。	日常	/
8	政务云上业务重要时期与护网保障	8.1	重保时期安全保障服务	在国内重大会议、重大节日、重大历史事件纪念日，在接收到用户的信息安全保障服务请求时，可及时响应并提供相应的应急预案、应急演练、信息安全保障方案等保障措施。	按需	《重要时期网络安全保障服务报告》
9	政务云上业务应急响应服务	9.1	应急演练	提供安全应急演练预案和各类演练计划，确保能够应对各类安全事件的发生。	1次/年	《网络安全应急演练方案》、《网络安全应急演练总结报告》
9	政务云上业务应急响应服务	9.2	应急响应与处置	提供突发安全事件的专家级应急服务，进行事件应急处置、漏洞修复建议、攻击溯源等工作，并形成完整的应急响应报告和总结工作。	按需	《网络安全事件应急处置报告》
9	政务云上业务应急响应服务	9.3	安全事件溯源服务	提供事件的细粒度溯源分析服务，进行事件应急处置、漏洞修复建议、攻击溯源等工作，并形成完整的应急响应报告和总结工作。	按需	/
10	政务云上业务数据安全监管服务	10.1	数据资产发现梳理服务	对省集中系统进行定期主动的资产扫描，通过立体化的业务数据库资产梳理，实现对业务数据库资产自动发现及数据分级分类管理。	1次/年	《数据监管服务报告》
10	政务云上业务数据安全监管服务	10.2	数据库访问行为审计服务	对省集中系统内数据库的操作行为进行监测。	1次/年	《数据监管服务报告》

1.2.3服务承诺2、现场支持：业主需要服务商提供现场支持的，服务商应在4个小时内到达业主指定现场，并提供本项目范围内的相关服务。1、远程支持：服务商提供7x24小时事件响应和处置，随时进行故障响应与技术支撑，并提供本项目范围内的相关服务。1.2.2服务响应服务商必须明确人员名单，名单中的所有人员必须为服务商直签正式员工。（2）安全工程师：提供不少于1名安全工程师，提供本项目范围内的相关服务。

1.2.4.服务考核（4）报价人须承诺与采购人签订有关本项目的《信息安全保密责任承诺书》（详见附件2）。（3）报价人应保证本项目所提供的技术、产品、服务或任何一部分不会产生因第三方提出侵犯其专利权、商标权或其他知识产权而引起的法律和经济纠纷；如因第三方提出其专利权、商标权或其他知识产权的侵权之诉，则一切法律责任及采购人的损失（包括但不限于重新招投标的费用、律师费、诉讼费等），由服务商承担。（2）报价人须承诺不利用用户对所采购服务的依赖性谋取不正当利益或者迫使用户更新换代、额外购买等。（1）报价人须承诺在合同服务期内持续提供服务，在提供服务过程中不未授权控制、不使用有恶意代码或假冒产品、不非法收集用户数据。本项目涉及业务系统的任何形式的数据、文件的所有权均属于采购人，报价人无权处置。报价人须对以下服务事项提供承诺函。

3、交付条件：经采购人验收合格。2、交付时间：自合同签订之日起提供本项目约定的云上业务系统安全运维服务，服务期为一年。本合同期限届满前一个月，如采购方和成交人双方均未提出异议，则本协议有效期自动顺延一年，顺延的次数不超过二次。1、交付地点：福州市鼓楼区鼓屏路142号或业主指定地点。三、商务条件安全服务到期后，业主进行服务考核，具体考核内容如下表所述：

项目	分值	考核说明
技术保障	60分	1、未按约定时间开展网络安全保障工作的，一次扣1分，扣完为止。
技术保障	60分	2、未按约定时间提交服务报告，每少一次扣1分，扣完为止。
技术保障	60分	3、服务报告出现以下错误：内容不符、描述不清、前后不一致的，扣2分，扣完为止。
技术保障	60分	4、故障响应不及时，人员安排不及时，每出现一次扣3分，扣完为止；
人员安排	40分	1、技术支持服务中心至少配备1名安全专员。未配备扣5分，扣完为止。
人员安排	40分	2、技术人员专业性不强，态度不积极者，扣3分，扣完为止。

7、支付方式数据表格6、验收方式数据表格5、是否邀请投标人参与验收：否。4、是否收取履约保证金：否。

验收期次	验收期次说明
1	按合同及采购文件要求执行，如双方对验收结果产生争议的，采购人有权自行或委托招标代理机构在福建省政府采购网专家库中抽取专家对供应商交付的产品进行验收，双方认可专家验收意见为最终验收结果。

支付期次	支付比例（%）	支付期次说明
1	60	合同签订后，成交人提供符合采购人要求的合法税务发票，采购人收到发票后15个工作日内支付。注:采购人因财政资金未及时到位导致延期付款的，不承担违约责任。
2	40	验收合格，成交人提供符合采购人要求的合法税务发票，采购人收到发票后15个工作日内支付。注:采购人因财政资金未及时到位导致延期付款的，不承担违约责任。

9.3政府采购合同生效后，任何一方因对方违约，向违约方主张权利所支出的律师费、诉讼费、保全费、差旅费等费用均有权要求违约方承担。9.2供应商擅自将本项目转包或分包的，采购人有权单方解除采购合同，供应商还应向采购人支付合同总金额20%的违约金。供应商应立即返还采购人已支付的费用。9.1在签定采购合同之后，供应商提供的服务和交付成果的实际情况与采购文件不符，或未按合同规定的质量和参数的要求提供服务的，视为不合格，采购人有权拒收并解除合同，供应商应向采购人支付合同总金额20%的违约金。供应商应立即返还采购人已支付的费用。9、违约责任采购人拥有项目涉及信息系统的全套源代码所有权（使用权和修改权），未经许可，供应商不得将本项目成果用于本项目之外的目的。供应商保证对在签订、讨论、履行合同过程中及前、后所获悉的来自于采购人且无法自公开渠道获得的任何与采购人相关的、载于任何介质的资料自动视为采购人保密资料，供应商应自取得、知悉该资料之日起承担保密义务，不得因任何原因以任何方式对任何第三方泄露、披露或以任何手段从中受益、牟利，直至收到采购人书面通知后方可终止本保密义务；法律或有管辖权的政府机关要求供应商披露的除外；供应商违反本保密义务的，应承担相应的违约责任并赔偿由此给采购人造成的全部损失；本保密条款将长期有效，不因本合同因任何原因中止或终止而失效；本合同或部分条款被判无效的，本保密条款继续有效。8、保密义务

本采购文件未明确的其它约定事项或条款，待采购人与供应商签订合同时，由双方协商订立。12、其他因采购合同所产生的一切争议，均应友好协商解决。协商不成的，任何一方均可选择将争议提交至采购人所在地人有管辖权民法院起诉。11、管辖政府采购合同中采购人与供应商双方所预留的住所为双方唯一收件地址，任何一方向对方所预留的住所寄送邮件（含仲裁机构/人民法院司法送达），自邮件寄出三日视为送达收件方。任何一方变更前应提前三日书面通知对方，否则造成损失由收件方自行承担。10、通知

第二条对第一条所称的秘密信息，我司严格遵守下列条款：本协议所称秘密信息包括：我司在为贵单位提供服务期间接触的所有技术资料、数据、客户信息以及本合同内容、合同履行情况等资料和信息（无论口头、书面或电子形式，包括但不限于会议纪要、人员信息、技术知识、调查、报告、解释、预测、设计构思和规划、发展研讨、说明书、设计图、图表、范例、电子流水、项目进度、网络拓扑结构、设备资料、价格资料、技术参数和信息、客户和供应商资料和信息、内部决策、商业信息、有关的知识产权、以及以任何方式反映出来的有关贵单位及其所属分支机构不向公众公开的信息和资料及其存储介质）。第一条定义我司因为与贵单位开展“福建省直单位住房公积金政务云资源安全服务项目”业务合作的过程中需披露和接受秘密信息（“秘密信息”），为妥善保护甲方在业务运营中的秘密信息，明确我司所应承担的保密义务，郑重承诺遵守本承诺书的有关条款，如有违反本承诺书有关条款的行为，由我司承担由此带来的一切民事、行政和刑事责任。我司由法定代表人（委托人）签署本承诺书。信息安全保密责任承诺书附件2

2.配合贵单位相关的安全专项检查，并就检查结果进行持续整改，防范管理或技术漏洞造成的保密信息泄露事件。1.遵守保密信息最小授权，最少知情原则进行相关保密信息安全管理。妥善保管保密信息，不得复制、泄漏或遗失。亦不得依据保密信息，就任何问题，向任何第三方做出任何建议。（四）我司承诺健全各项互联网安全保护管理制度和落实各项安全保护技术措施，并承诺在执行层面落实以下信息安全保密义务：（三）我司承诺在开展“福建省直单位住房公积金政务云资源安全服务项目”服务过程中，遵守本承诺书中的内容，保障贵单位与我司在业务合作过程中信息安全和保密的合法诉求，避免因不当信息使用或泄漏造成贵单位在经济、法律、社会等层面的负面影响，使双方的业务往来充分体现公开、公平、透明、恪守诚信的精神，共同预防来自任何第三方的非法信息截获、售卖等商业行为，保障贵单位业务的持续、稳健运营和发展。（二）我司承诺，未经贵单位事先书面授权，不以任何方式将本承诺书中定义的“保密信息”向任何其他组织或个人泄露、转让、许可使用、交换、赠与或与任何其他组织或个人共同使用或不正当使用。（一）我司承诺遵守《中华人民共和国计算机信息系统安全保护条例》和《计算机信息网络国际联网安全保护管理办法》等国家的有关法律、法规和行政规章制度。

我司承诺，如果因我司违反本承诺书的规定给贵单位造成损失的，我司将赔偿贵单位全部损失，包括贵单位因我司的违约行为所受到的实际经济损失，贵单位因调查我司的违约行为而支付的合理费用，以及争取补救措施所引起的所有费用和损失；如果因我司违反本承诺书而侵犯了贵单位的合法权益的，我司将承担侵权责任和有关刑事责任。此赔偿责任不受我司向贵单位提供的项目服务期限已期满的限制。第四条违约责任我司根据本承诺书对秘密信息应承担的保密义务自贵单位提供服务之日起算，我司应履行保密义务直至贵单位给我司书面通知解密为止。第三条保密期限（五）在公司内部管理贯彻落实《员工信息安全保密承诺书》，由于我司职员违背保密承诺，未按照本承诺书规定使用保密信息或向第三方披露保密信息，或依据该等保密信息向第三方做出任何建议，均被视等同视为我司违反了本承诺书的规定。3.我司承诺在项目实施过程中不未授权控制、不使用有恶意代码或假冒产品、不非法收集用户数据。

甲方声明本协议具有独立性，乙方的保密义务不因双方就“省公积金业务云上安全服务项目”业务签订的相关主合同的解除、撤销、无效或终止而终止。本协议自双方法定代表人（负责人）或授权代表签字并加盖公章之日起生效，至保密期限到期时终止。对本协议的任何修改须经双方书面签署方为有效。本协议条款亦适用于继承人和受让人。第六条协议的效力、变更和终止本协议适用中华人民共和国法律。任何因执行本协议而发生的纠纷，可以由双方协商解决，协商不成的，任何一方都有权向贵单位所在地有管辖权的人民法院提起诉讼。第五条法律适用与争议解决

第八条本协议壹式贰份，甲方执壹份，乙方持壹份，具有同等法律效力。第七条本协议是有关甲方披露秘密信息的完整的、唯一的协议，并将取代双方此前所有口头或书面交换的意见。本协议任何条款或甲方依本协议规定提供任何秘密信息均不构成甲方对乙方就其所拥有或将来拥有的任何知识产权的授予。甲方对于因其提供的秘密信息而给乙方或任何第三方造成的任何损害不承担赔偿责任。甲方对所披露的信息不附带任何种类的保证。

乙方：日期：签字：（盖章）甲方：

日期：签字：（盖章）