编制说明

1、签订合同应遵守《中华人民共和国政府采购法》、《中华人民共和国民法典》。

2、签订合同时，采购人与中标人应结合招标文件第五章规定填列相应内容。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

甲方：福州市不动产登记和交易中心

乙方：福建国科信息科技有限公司

根据招标编号为[350100]FJZSZB[GK]2021003的福州市不动产登记和交易中心信息系统安全保障服务（2021-2022年）采购项目项目（以下简称：“本项目”）的招标结果，乙方为中标人。现经甲乙双方友好协商，就以下事项达成一致并签订本合同：

1、下列合同文件是构成本合同不可分割的部分：

1.1合同条款；

1.2招标文件、乙方的投标文件；

1.3其他文件或材料：□无。□（若有联合协议或分包意向协议）无。

2、合同标的

3、合同总金额

3.1合同总金额为人民币大写：壹拾玖万捌仟伍佰元整（￥198500.0000）。

4、合同标的交付时间、地点和条件

4.1交付时间：合同签订后 （10） 天内交货；

4.2交付地点：福建省福州市鼓楼区福屿路200号；

4.3交付条件： 按国家和行业标准验收合格，经采购人验收合格后交付使用 。

5、合同标的应符合招标文件、乙方投标文件的规定或约定，具体如下：

5.1 安全等保咨询服务 乙方提供的等保咨询是协助采购方建立等级保护体系，并帮助采购方通过现有的3个三级系统及后续新增系统的等保测评。等保咨询服务遵循《信息系统安全等级保护实施指南》协助采购方从系统定级、差距评估、方案设计、建设整改、系统测评五个方面进行等保体系的建设，达到符合国家等级保护的基本要求，帮助顺利通过测评中心测评的目标。 5.2 互联网资产发现服务 乙方提供定期梳理互联网上资产的安全风险，梳理暴露在互联网上的资产信息，输出互联网暴露端口列表和漏洞情况，提供安全整改建议报告，督促完成安全整改，避免被上级及外部监管单位通报。 乙方在服务过程中采用的服务工具平台包含资产管理功能，提供资产清单导入导出（资产清单内容包括内网IP/开放端口_内网/公网IP 开放端口_公网/端口服务/业务类型/服务器类型/域名/操作系统/归属部门项目经理/邮箱/电话/备注等信息）、资产清单在线编辑、资产自动发现（包括IP地址、开放端口、应用协议等信息，资产发现的结果可导出为excel格式）、资产变更自动对比及记录等功能。 成果：输出《资产信息报告》频度：每年2次 5.3 安全巡检服务 乙方定期对本次服务对象进行巡检。发现是否存在安全隐患和可疑事件，运行是否正常。巡检内容包括设备的运行状态、策略、配置、日志分析等。提供安全巡检报告及日志分析报表。 乙方在服务过程中使用的服务工具支持安全日志分析功能，可自动对安全设备日志进行采集，对安全设备的厂商无限制，可对攻击源、攻击目标、攻击事件类型进行统计和TOP10分析，可通过IP关联的地址信息将攻击来源和强度在地图上直观的显示。 成果：安全设备巡检记录及升级记录、日志分析报告 频度：外网每月一次，内网每季度一次 5.4 网站安全监测服务 提供7*24小时网站实时安全监测服务。通过对网站的不间断监测服务从而提升网站的安全防护能力和网站服务质量，并通过安全监测平台的事件跟踪功能建立起一种长效的安全保障机制。网站安全监测维度分别为安全风险检测（漏洞检测），安全事件监测（网站篡改、暗链、网页木马、敏感关键字）、网站可用性监测等，形成7*24小时的实时监测机制。 安全漏洞检测服务 通过大数据漏洞扫描技术，定期对目标网站进行全面的安全漏洞扫描，发现系统存在的各类安全隐患，并持续跟踪漏洞修复情况。 安全事件监测服务 对网站进行页面资源与指纹信息的分析，通过监测技术对各类安全事件进行全面分析感知，包括篡改、暗链、黑页、挂马、后门等，并向相关部门和人员进行定向安全通报。支持对网站被植入暗链等篡改事件进行监测，包括对广告、游戏、博彩、色情、医疗、推广等类型的暗链进行监测。 内容监测服务 云监测引擎结合语义分析和聚类分析，构建机器学习算法，可精准识别敏感词汇。结合积累多年的海量大数据样本库，能够高效识别变种敏感词汇。根据定制模型，建立多维度用户画像，高效识别色情、涉政、暴恐、垃圾广告等敏感词汇。 网站可用性监测服务 对于实时性要求比较高的重点网站，采用分布式节点进行数据监测，以多链路多点监测形式，发现在不同区域内网站系统的多线路访问可用性情况。网站服务质量实时监测提供目标站点的域名解析可用性、网站服务可用性、以及网站内容可用性监测，能够较为全面的实时了解网站可用性状况。 重大威胁预警服务 通过对国内外互联网上最新网络安全威胁情报的实时监控，第一时间获取最新安全威胁，形成专有的基础指纹信息库。当互联网上有重大安全事件或者0day漏洞爆发时，根据指纹匹配对用户进行快速的初步预警，然后根据精确的检测策略，对用户进行精确的预警并且提供0day预警报告。 成果：《网站安全监测报告》 频度：每周一次，提供一个站点的安全监测服务 5.5 应急响应及演练服务 5.5.1 应急演练服务 在日常工作中拟定的安全预案模拟各类安全攻击和演练场景进行演练操作，包括信息安全、网络安全、业务安全等，并组织相应的人员进行排练。 成果：《安全应急演练预案》 频度：每年2次 5.5.2 应急响应服务 建立安全应急小组，在出现安全事件时提供技术支撑。信息网络中发生黑客入侵、网页篡改、病毒传播以及其它网络安全事件时，提供远程支持及现场支撑，能够立即远程一键中断涉及安全事件的信息系统对互联网服务，并提供内网一键断网途径，现场支撑要求2小时内到达现场，实施最有效的紧急救援，进行事件还原和入侵追踪，并提出恢复补救方案。 成果：《应急响应服务报告》 频度：应急时提供 5.6 重大时期安全保障服务 重要时期主要指国家、政府或企事业单位及商业社会团体需要经历的，具有重大政治、经济影响的一段时间或配合上级安全检查工作时间。在此期间，提供网络安全保障，提供特殊保障和技术支撑服务、配合进行网络安全检查工作等。保证单位重要信息系统的安全稳定运行，以保障业务单位或部门更好的完成既定的战略或战术目标。 在重大时期安全保障服务期间，服务工程师使用检查工具对业务系统进行安全自查，安全自查包含对服务器主机、数据库、 WEB应用、中间件和用户弱口令等安全对象进行自查。 成果：《安全保障服务报告》 频度：每年4次 5.7 安全扫描服务 乙方提供的安全扫描将信息资产与风险漏洞相结合，尽可能准确发现网络应用系统和主机的安全漏洞，在发现基础上对每个漏洞提出详细的修复建议作为后续的安全加固的依据。 乙方在服务过程中使用的服务工具提供自动化漏洞扫描功能、配置基线检查和弱口令自动发现功能，并能够对发现的漏洞、配置问题、弱口令问题进行跟踪记录，提供功能运行证明资料，。 成果：《安全扫描报告》 频次：每年2次 5.8 安全渗透测试服务 乙方提供的渗透测试是由具备高技能和高素质的安全服务人员发起，并模拟常见黑客所使用的攻击手段对目标系统进行模拟入侵。目的在于充分挖掘和暴露系统的弱点，从而让单位管理人员了解系统所面临的威胁。渗透测试往往作为风险评估的一个重要环节，为风险评估提供重要的原始参考数据。 乙方提供的渗透测试主要将WEB应用安全性测试分为信息收集、漏洞扫描与验证、手工漏洞挖掘、报告输出四个阶段来开展。其中，信息收集阶段的主要工作是尽可能了解测试目标，掌握测试目标的信息（如功能模块、访问方式、应用场景等），获取必要的测试条件（如测试账号）。漏洞扫描与验证阶段，使用自动化测试工具对通用的安全漏洞进行扫描和发现，并通过手工验证的方式验证漏洞的存在性和危害性。手工漏洞挖掘阶段，在自动化测试的基础上，进一步从攻击者的思维对系统进行威胁分析，并模拟黑客攻击的思路和手段，对梳理出的安全威胁进行非破坏性的验证尝试，从而发现系统的漏洞。在完成上述工作后，将发现的漏洞以明确且易于阅读的方式整理成报告，并提供相应的解决方案，提交给应用管理人员进行整改，同时建立漏洞跟踪机制，确保所有发现的漏洞已处置完毕，形成闭环。 成果：输出《渗透测试报告》 频度：每年2次 5.9 风险评估服务 乙方通过信息安全技术，了解采购核心业务系统的安全现状，为这些系统的后续安全建设提供指引；通过信息安全管理调研评估，了解客户核心业务系统的安全管理现状，为后续信息安全管理工作提供指导建议；也为下一步的信息安全规划工作提供依据。最终增强业务系统的安全风险控制能力，确保当下企业内核心业务系统安全稳定的运行。严格要求参与风险评估工作的工作人员秉持标准性原则、可控制原则、完备性原则、保密性原则、最小影响原则、规范性原则等工作原则去实施风险评估工作。 成果：《风险评估报告》 频次：每年2次 5.10 安全加固服务 乙方在扫描及安全性评估的基础上提出加固方案，协助采购方对系统进行安全加固，利用多种技术手段对信息系统中的操作系统平台和重要的网络设备提供安全加固和配置优化，同时将其集成到已有的环境中，每年提供加固次数2次。 5.11 基线核查服务 乙方通过自动化的进行安全基线检查，从而节省传统的手动单点安全配置检查的时间，并避免传统人工检查方式所带来的失误风险，同时能够出具详细的检测报告，使用户全面了解当前系统的配置情况，大大提高检查结果的准确性和合规性，节省时间成本，让检查工作变得简单。 乙方的核查服务主要使用评估工具，通过远程的方式对被评估对象进行一系列的安全探测，以发现网络中和系统中可能存在的不安全配置项与安全隐患，包括操作系统、网络设备、数据库、中间件等设备及系统的安全基线加固建议。 成果：《基线核查报告》 频次：外网每月一次，内网每季度一次 5.12 安全培训服务 5.12.1 安全意识培训 乙方提供的安全意识培训目的：使受训人员了解网络安全的概念、最新政策法规、热点事件及工作过程中需要注意的安全问题，形成安全意识，提升单位整体安全水平，满足等级保护标准中对于安全意识培训的要求。 乙方提供的培训主要内容包含：网络安全的基本概念、网络安全典型事件分析、国际网络安全形势、国内网络安全发展历史及趋势、口令安全、软件使用安全、认识与防范恶意程序、移动办公与网络访问安全、重要信息保密与数据备份、钓鱼、电信诈骗的防范、社会工程学攻击形式与防范、APT攻击案例、个人隐私信息保护。 频度：每年开展一次安全意识培训，每次半天。 5.12.2 安全技术培训 乙方提供的安全技术培训目的：使受训人员了解网络安全相关的技术，掌握安全开发、安全维护过程中需要的专业技能，提升单位整体安全水平，满足等级保护标准中对于安全技能培训的要求。 乙方提供的安全技术培训主要内容包含：网络安全技术、安全漏洞的检测与修复、操作系统的安全加固、数据库的安全加固、中间件的安全加固、安全性需求分析、安全编码、WEB应用安全性测试、应急响应。 频度：每年开展二次安全技能培训，每次一天。 5.13 数据安全保障服务 5.13.1 数据安全管理体系咨询服务 乙方提供的数据安全管理体系总共分为四级，第一级为安全战略导向，第二至四级合规导向。根据不同的数据安全等级从数据安全管理办法、数据安全人员管理制度、四方管理制度、数据安全资产管理制度、数据安全应急管理制度、数据生命周期安全管理制度，及结合服务过程中程形成的指南/流程性文件如：合作方保密协议、数据分类分级指南、数据监控与审计指南、合作方清单、资产管理表、数据使用申请表等，多维度建立数据安全管理体系，实现数据可知可控。 5.13.2 数据安全咨询评估服务 乙方组织建设检测评估：包含对于人员访谈、文档查阅等方式，从数据安全规划、组织和人员、合规管理、敏感数据资产、监控与审计、安全事件应急、数据收集、数据传输、数据存储、数据使用、数据销毁等维度，针对组织建设情况进行检测。 乙方提供制度流程检测评估：包含对人员访谈、文档查阅、系统查看等方式，从数据安全规划、组织和人员、合规管理、敏感数据资产、监控与审计、安全事件应急、数据收集、数据传输、数据存储、数据使用、数据销毁等维度，针对组织制度流程建设、执行等环节进行检测。通过人员访谈、文档查阅等方式，从网络环境和技术措施、个人信息处理活动、参与人员与第三方等方面针对个人信息保护情况进行检测。 乙方提供技术防护检测评估：包含人员访谈、系统查看等方式，从数据合规管理、敏感数据资产、监控与审计、安全事件应急、数据收集、数据传输、数据存储、数据使用、数据销毁等维度，针对组织技术能力配备情况进行检测。通过工具检测方式，从操作审计记录，数据库账号，个人、法人、通关信息保护，数据库安全情况等维度进行检测。个人信息保护能力检测评估：通过人员访谈、文档查阅等方式，从网络环境和技术措施、个人信息处理活动、参与人员与第三方等方面针对个人信息保护情况进行检测。 服务成果：数据安全咨询评估报告。 5.13.3数据安全合规性评估服务 乙方提供数据安全合规性评估服务包括评估数据安全防护措施是否满足《信息安全技术网络安全等级保护基本要求》即等保2.0、《数据安全法》、《网络安全法》、《个人信息保护条例》、各行各业相关数据安全法规的基本要求。 服务成果：数据安全合规性评估报告。 5.13.4数据安全技术建设规划服务 乙方提供的数据安全技术建设规划服务针对数据安全评估咨询服务中数据生命周期的风险分析和数据分级方案所识别的技术类风险，基于对应的技术加固建议，并规划可落实的技术建设方案，在满足合规基线要求的前提下，达到可接受的差距目标，输出相应数据安全建设规划方案。

6、验收

6.1验收应按照招标文件、乙方投标文件的规定或约定进行，具体如下：

由甲方单位自行组织验收。。

6.2本项目是否邀请其他投标人参与验收：

不邀请。

7、合同款项的支付应按照招标文件的规定进行，具体如下：

。

8、履约保证金

无。

9、合同有效期

自合同签订之日起生效，运维期满且完成付款之日截止。

10、违约责任

10.1本项目不允许乙方以任何名义和理由进行转包，如有发现，甲方有权单方终止合同，视为乙方违约，甲方有权要求乙方赔付总合同款的20%作为违约金；乙方违约对甲方造成的损失的，需另行支付相应的赔偿。 10.2任何一方违反本合同的约定，使得本合同的全部或部分不能履行，违约一方应按本合同约定承担违约责任，本合同没有约定的，按照法律法规承担违约责任，并赔偿对方因此遭受的损失（包括但不限于由此产生的诉讼费和律师费等相关费用）；如双方违约，根据实际情况各自承担相应的责任。 10.3甲方无故未能按时付款，每逾期一日，应向乙方支付逾期金额1‰的违约金；并要求甲方支付剩余合同款，违约金的最高限额为合同总价的20%；如对乙方造成损失的，甲方需另行支付相应的赔偿。 10.4乙方不能完成所承诺的服务而造成甲方经济损失的，甲方有权单方终止合同，并追回所有己付款项，同时乙方应向甲方赔付总合同款的20%作为违约金。 10.5由于甲方原因需调整项目内容、进度的，甲、乙双方需另行协商签订书面补充协议。。

11、知识产权

11.1乙方提供的采购标的应符合国家知识产权法律、法规的规定且非假冒伪劣品；乙方还应保证甲方不受到第三方关于侵犯知识产权及专利权、商标权或工业设计权等知识产权方面的指控，任何第三方如果提出此方面指控均与甲方无关，乙方应与第三方交涉，并承担可能发生的一切法律责任、费用和后果；若甲方因此而遭致损失，则乙方应赔偿该损失。

11.2若乙方提供的采购标的不符合国家知识产权法律、法规的规定或被有关主管机关认定为假冒伪劣品，则乙方中标资格将被取消；甲方还将按照有关法律、法规和规章的规定进行处理，具体如下：无。

12、解决争议的方法

12.1甲、乙双方协商解决。

12.2若协商解决不成，则通过下列途径之一解决：

13、不可抗力

13.1因不可抗力造成违约的，遭受不可抗力一方应及时向对方通报不能履行或不能完全履行的理由，并在随后取得有关主管机关证明后的15日内向另一方提供不可抗力发生及持续期间的充分证据。基于以上行为，允许遭受不可抗力一方延期履行、部分履行或不履行合同，并根据情况可部分或全部免于承担违约责任。

13.2本合同中的不可抗力指不能预见、不能避免、不能克服的客观情况，包括但不限于：自然灾害如地震、台风、洪水、火灾及政府行为、法律规定或其适用的变化或其他任何无法预见、避免或控制的事件。

14、合同条款

根据实际情况填写。招标文件第五章已有规定的，双方均不得对规定进行变更或调整；招标文件第五章未作规定的，双方可通过友好协商进行约定。

15、其他约定

15.1合同文件与本合同具有同等法律效力。

15.2本合同未尽事宜，双方可另行补充。

15.3本合同自签订之日起生效。

15.4本合同纸质文件一式 肆 份。合同电子文本通过政府采购网上公开信息系统自动备案。合同纸质文本需与备案电子文本一致，以备案电子文本为准，具有同等效力。

15.5其他：□无。□ 无 。