招标
福建中烟信息安全检测服务项目-2021年项目询价函
金额
-
项目地址
福建省
发布时间
2021/04/09
公告摘要
公告正文
福建联审工程管理咨询有限公司受福建中烟工业有限责任公司 委托,根据《中华人民共和国政府采购法》等有关规定,现对福建中烟信息安全检测服务项目-2021年项目询价函进行其他招标,欢迎合格的供应商前来投标。
项目名称:福建中烟信息安全检测服务项目-2021年项目询价函
项目编号:联审询20210409-1
项目联系方式:
项目联系人:张先生
项目联系电话:0592-6215259
采购单位联系方式:
采购单位:福建中烟工业有限责任公司
采购单位地址:-
采购单位联系方式:-
代理机构联系方式:
代理机构:福建联审工程管理咨询有限公司
代理机构联系人:张先生,0592-6215259
代理机构地址: 厦门市思明区莲岳路221-1号902单元(公交大厦1号楼)
一、采购项目内容
询价函
各报价供应商:
受采购人福建中烟工业有限责任公司委托,我司进行福建中烟信息安全检测服务项目-2021年项目(询价编号:联审询20210409-1)的询价工作,请各报价供应商按照附件一所列内容,进行投入估算、报价(报价仅供编制控制价时参考),并将报价文件(附件一)加盖报价供应商公章后,于2021年04月13日下班前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二:服务内容及要求
询价单位:福建联审工程管理咨询有限公司
联系人:张先生 电话:0592-6215259 电子邮箱:fjlsxm@126.com
联系地址:厦门市思明区莲岳路221-1号902单元
日期:二〇二一年四月九日
附件一:
报价函
项目名称:福建中烟信息安全检测服务项目-2021年项目 询价编号:联审询20210409-1
附件二:服务内容及要求
1、服务内容
本次安全支持服务项目包括以下六方面内容。
1.1代码审计服务。即中标人通过对福建中烟指定信息系统的所有源代码进行检查,查明威胁点并加以验证,有效降低信息系统整体风险;此外,中标人应交付专业的源代码审计报告,提供安全问题的解决方案,并协助福建中烟完善代码安全开发规范。
1.2基线核查服务。即中标人应对福建中烟指定范围内的信息系统(含服务器、网络和安全等设备)进行安全配置核查,以发现漏洞扫描、渗透测试等工具和方法不能有效发现的安全配置弱点或缺陷,如网络设备的安全策略弱点和服务器的安全配置错误等。
1.3风险评估服务。即中标人应根据《信息安全技术-信息安全风险评估规范》(GB/T 20984-2007)要求,定期为福建中烟开展风险评估服务,以便掌握实时的安全状态,制定相应的应对策略并采取措施。中标人应根据《信息安全技术-个人信息安全影响评估指南》(GB/T 39335-2020)要求,定期为福建中烟开展个人信息安全影响评估服务,以便掌握个人信息安全状态,制定相应的应对策略并采取措施。中标人应根据《密码法》《国家政务信息化项目建设管理办法》《政务信息系统密码应用与安全性评估工作指南》要求,定期为福建中烟开展密码应用安全性评估服务,以便掌握政务信息系统密码应用安全状态,制定相应的应对策略并采取措施。
1.4网站监测服务。即中标人为福建中烟指定的网站提供远程实时监测,一旦发现网站出现安全事件、安全风险威胁及其它安全隐患,中标人应在第一时间内通知福建中烟网站管理人员,及时采取有效的应对措施,降低风险和减少损失。
1.5安全加固服务。即中标人应协助福建中烟开展相关安全加固活动,包括但不限于针对烟草行业“三全工作”中全面加固要求、信息系统等级保护测评结果、系统渗透测试、安全健康检查、代码审计、基线核查与风险评估等各方面发现的问题进行安全整改。
1.6应急响应服务。即中标人应在福建中烟发生安全事件时,安排安全专家提供7*24小时的安全应急响应工作,协助福建中烟安全管理人员及时采取措施、分析问题、恢复系统、追查来源和保留证据,并为进一步完善安全措施提供建议。
2、服务要求
2.1对代码审计的要求
(1)在本次服务项目,中标人应根据福建中烟的实际需求,提供4个信息系统的代码审计服务。
(2)中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对福建中烟指定的系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
(3)中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务。其中整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。
(4)中标人的代码审计服务应至少包括四个阶段,即源代码审计前期准备、源代码审计实施、复查实施以及成果汇报阶段。
(5)在审计工作完成后五个工作日内,中标人出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,中标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为福建中烟的安全运维和问题修复工作提供参考。
2.2对基线核查的要求
(1)中标人提供的基线核查服务范围包括福建中烟的各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。服务内容应包括设备的账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面。
(2)中标人提供的基线人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告。此外,中标人还应加入自动化工具检查,通过借助配置核查系统或专门开发的检查脚本来自动化完成部分工作,以利于消除手工误操作的隐患,提高检查效率和精确度。
(3)中标人在基线核查工作结束后五个工作日内完成并提交安全配置检查报告。安全配置检查报告应包括工作基本任务描述、工作相关人员、时间、地点、范围、内容等方面内容,并对被检查信息系统的安全配置进行客观评价,对存在安全隐患或配置缺失的部分给出有针对性的安全修复建议。
2.3对风险评估的要求
(1)中标人应根据福建中烟的工作安排,在服务期内提供一次全面风险评估服务,具体风险评估范围由招标人指定;在服务期内提供一次个人信息安全影响评估服务,具体评估系统由招标人指定;在服务期内提供政务信息系统密码应用方案,提供一次密码应用安全性评估服务,具体评估系统由招标人指定。
(2)中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、安全漏洞扫描、人工安全检查等多种方式,对福建中烟的整体安全风险进行全面、彻底评估。
(3)中标人的风险评估服务交付物应包括但不限于《业务信息系统调研报告》、《资产清单表》、《脆弱性评估报告》、《威胁分析报告》、《风险评估报告》、《2021年度个人信息安全影响评估报告》、《密码应用方案》、《密码应用安全性评估报告》等。
2.4对网站监测的要求
(1)当发生紧急安全事件,如福建中烟的网站被挂马、网页被篡改及其它无法访问等情况,中标人应在5分钟以内以电话、短信和邮件等形式对福建中烟指定联系人进行通告。
(2)中标人提供的网站监测,应包括脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP服务监测等)及认证性检测(如远程钓鱼网站监测)等。
(3)中标人为福建中烟提供的网站监测服务交付物应包括但不限于《网站安全监测周报》、《网站安全监测月报》等。
2.5对安全加固的要求
(1)中标人根据福建中烟的实际需求协助开展相关安全加固,提供的安全加固服务包括但不限于操作系统安全加固、数据库安全加固、中间件及WEB服务器安全加固、网络设备安全加固及安全设备加固等,对相关安全问题提供解决方案和相关的安全建议,并对安全加固工作进行跟踪、复查及统计。
(2)中标人为福建中烟提供的安全加固服务交付物应包括但不限于《安全加固前风险通知书》、《安全加固实施跟踪与统计》、《安全加固总结报告》等。
2.6对应急响应的要求
(1)中标人应提供现场应急服务,即在接到福建中烟应急服务请求后,中标人的安全支持人员应在接到请求4小时内赶赴福建中烟现场,协助福建中烟分析、解决各类安全事件。
(2)中标人应提供远程应急服务,即中标人可通过电话、QQ远程协助、远程临时接入等非现场的活动,协助福建中烟分析、解决各类安全事件。
(3)中标人应根据福建中烟要求,提供重要时期网络安全保障工作支持服务。
(4)中标人为福建中烟提供的应急响应服务交付物应包括但不限于《应急响应处理报告》等。
3、驻场人员数量:至少1名。
二、开标时间:
三、其它补充事宜
四、预算金额:
预算金额:0.0000000 万元(人民币)
项目名称:福建中烟信息安全检测服务项目-2021年项目询价函
项目编号:联审询20210409-1
项目联系方式:
项目联系人:张先生
项目联系电话:0592-6215259
采购单位联系方式:
采购单位:福建中烟工业有限责任公司
采购单位地址:-
采购单位联系方式:-
代理机构联系方式:
代理机构:福建联审工程管理咨询有限公司
代理机构联系人:张先生,0592-6215259
代理机构地址: 厦门市思明区莲岳路221-1号902单元(公交大厦1号楼)
一、采购项目内容
询价函
各报价供应商:
受采购人福建中烟工业有限责任公司委托,我司进行福建中烟信息安全检测服务项目-2021年项目(询价编号:联审询20210409-1)的询价工作,请各报价供应商按照附件一所列内容,进行投入估算、报价(报价仅供编制控制价时参考),并将报价文件(附件一)加盖报价供应商公章后,于2021年04月13日下班前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二:服务内容及要求
询价单位:福建联审工程管理咨询有限公司
联系人:张先生 电话:0592-6215259 电子邮箱:fjlsxm@126.com
联系地址:厦门市思明区莲岳路221-1号902单元
日期:二〇二一年四月九日
附件一:
报价函
项目名称:福建中烟信息安全检测服务项目-2021年项目 询价编号:联审询20210409-1
| 说明 | 1、报价包括但不限于:技术服务费、软硬件维护费、专用工具费、税费、风险费、培训费等运维服务期内一切费用。 2、本询价函非采购邀约。 | |||
| 服务内容 | 要求与成果 | 服务期限 | 合计报价(元) | 备注 |
| 福建中烟信息安全检测服务项目-2021年项目 | 本次安全支持服务项目包括以下六方面内容: (1)代码审计服务。 (2)基线核查服务。 (3)风险评估服务。 (4)网站监测服务。 (5)安全加固服务。 (6)应急响应服务。 具体详见附件二 | 合同签订之日至2021-12-31 | | |
| 报价有效期 | | |||
| 发票税率及种类 | | |||
| 报价供应商信息 | 供应商全称(加盖公章): 地址: 联 系 人: 电话: 电子邮箱: 报价日期: | |||
附件二:服务内容及要求
1、服务内容
本次安全支持服务项目包括以下六方面内容。
1.1代码审计服务。即中标人通过对福建中烟指定信息系统的所有源代码进行检查,查明威胁点并加以验证,有效降低信息系统整体风险;此外,中标人应交付专业的源代码审计报告,提供安全问题的解决方案,并协助福建中烟完善代码安全开发规范。
1.2基线核查服务。即中标人应对福建中烟指定范围内的信息系统(含服务器、网络和安全等设备)进行安全配置核查,以发现漏洞扫描、渗透测试等工具和方法不能有效发现的安全配置弱点或缺陷,如网络设备的安全策略弱点和服务器的安全配置错误等。
1.3风险评估服务。即中标人应根据《信息安全技术-信息安全风险评估规范》(GB/T 20984-2007)要求,定期为福建中烟开展风险评估服务,以便掌握实时的安全状态,制定相应的应对策略并采取措施。中标人应根据《信息安全技术-个人信息安全影响评估指南》(GB/T 39335-2020)要求,定期为福建中烟开展个人信息安全影响评估服务,以便掌握个人信息安全状态,制定相应的应对策略并采取措施。中标人应根据《密码法》《国家政务信息化项目建设管理办法》《政务信息系统密码应用与安全性评估工作指南》要求,定期为福建中烟开展密码应用安全性评估服务,以便掌握政务信息系统密码应用安全状态,制定相应的应对策略并采取措施。
1.4网站监测服务。即中标人为福建中烟指定的网站提供远程实时监测,一旦发现网站出现安全事件、安全风险威胁及其它安全隐患,中标人应在第一时间内通知福建中烟网站管理人员,及时采取有效的应对措施,降低风险和减少损失。
1.5安全加固服务。即中标人应协助福建中烟开展相关安全加固活动,包括但不限于针对烟草行业“三全工作”中全面加固要求、信息系统等级保护测评结果、系统渗透测试、安全健康检查、代码审计、基线核查与风险评估等各方面发现的问题进行安全整改。
1.6应急响应服务。即中标人应在福建中烟发生安全事件时,安排安全专家提供7*24小时的安全应急响应工作,协助福建中烟安全管理人员及时采取措施、分析问题、恢复系统、追查来源和保留证据,并为进一步完善安全措施提供建议。
2、服务要求
2.1对代码审计的要求
(1)在本次服务项目,中标人应根据福建中烟的实际需求,提供4个信息系统的代码审计服务。
(2)中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对福建中烟指定的系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
(3)中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务。其中整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。
(4)中标人的代码审计服务应至少包括四个阶段,即源代码审计前期准备、源代码审计实施、复查实施以及成果汇报阶段。
(5)在审计工作完成后五个工作日内,中标人出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,中标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为福建中烟的安全运维和问题修复工作提供参考。
2.2对基线核查的要求
(1)中标人提供的基线核查服务范围包括福建中烟的各种网络设备、安全设备、主机操作系统、数据库、常见中间件及网络服务应用等。服务内容应包括设备的账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面。
(2)中标人提供的基线人工检查的内容主要包括登录信息收集、配置安全分析和形成检查报告。此外,中标人还应加入自动化工具检查,通过借助配置核查系统或专门开发的检查脚本来自动化完成部分工作,以利于消除手工误操作的隐患,提高检查效率和精确度。
(3)中标人在基线核查工作结束后五个工作日内完成并提交安全配置检查报告。安全配置检查报告应包括工作基本任务描述、工作相关人员、时间、地点、范围、内容等方面内容,并对被检查信息系统的安全配置进行客观评价,对存在安全隐患或配置缺失的部分给出有针对性的安全修复建议。
2.3对风险评估的要求
(1)中标人应根据福建中烟的工作安排,在服务期内提供一次全面风险评估服务,具体风险评估范围由招标人指定;在服务期内提供一次个人信息安全影响评估服务,具体评估系统由招标人指定;在服务期内提供政务信息系统密码应用方案,提供一次密码应用安全性评估服务,具体评估系统由招标人指定。
(2)中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、安全漏洞扫描、人工安全检查等多种方式,对福建中烟的整体安全风险进行全面、彻底评估。
(3)中标人的风险评估服务交付物应包括但不限于《业务信息系统调研报告》、《资产清单表》、《脆弱性评估报告》、《威胁分析报告》、《风险评估报告》、《2021年度个人信息安全影响评估报告》、《密码应用方案》、《密码应用安全性评估报告》等。
2.4对网站监测的要求
(1)当发生紧急安全事件,如福建中烟的网站被挂马、网页被篡改及其它无法访问等情况,中标人应在5分钟以内以电话、短信和邮件等形式对福建中烟指定联系人进行通告。
(2)中标人提供的网站监测,应包括脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP服务监测等)及认证性检测(如远程钓鱼网站监测)等。
(3)中标人为福建中烟提供的网站监测服务交付物应包括但不限于《网站安全监测周报》、《网站安全监测月报》等。
2.5对安全加固的要求
(1)中标人根据福建中烟的实际需求协助开展相关安全加固,提供的安全加固服务包括但不限于操作系统安全加固、数据库安全加固、中间件及WEB服务器安全加固、网络设备安全加固及安全设备加固等,对相关安全问题提供解决方案和相关的安全建议,并对安全加固工作进行跟踪、复查及统计。
(2)中标人为福建中烟提供的安全加固服务交付物应包括但不限于《安全加固前风险通知书》、《安全加固实施跟踪与统计》、《安全加固总结报告》等。
2.6对应急响应的要求
(1)中标人应提供现场应急服务,即在接到福建中烟应急服务请求后,中标人的安全支持人员应在接到请求4小时内赶赴福建中烟现场,协助福建中烟分析、解决各类安全事件。
(2)中标人应提供远程应急服务,即中标人可通过电话、QQ远程协助、远程临时接入等非现场的活动,协助福建中烟分析、解决各类安全事件。
(3)中标人应根据福建中烟要求,提供重要时期网络安全保障工作支持服务。
(4)中标人为福建中烟提供的应急响应服务交付物应包括但不限于《应急响应处理报告》等。
3、驻场人员数量:至少1名。
二、开标时间:
三、其它补充事宜
四、预算金额:
预算金额:0.0000000 万元(人民币)
解决方案
联系我们
返回顶部