招标
福建中烟信息系统安全检测评估服务-2023年询价函
金额
-
项目地址
福建省
发布时间
2023/06/27
公告摘要
项目编号询fzxm-cg招(2023)019号
预算金额-
招标公司福建中烟工业有限责任公司
招标联系人张晓林
招标代理机构法正项目管理集团有限公司
代理联系人张晓林0592-5063087
标书截止时间2023/06/30
投标截止时间2023/06/30
公告正文
福建中烟信息系统安全检测评估服务-2023年询价函
(招标编号:询FZXM-CG招(2023)019号)
项目所在地区:福建省,厦门市
一、招标条件
本福建中烟信息系统安全检测评估服务
2023年已由项目审批/核准/备案机关批准,项目资金来源为其他资金0,招标人
为福建中烟工业有限责任公司。本项目已具备招标条件,现招标方式为公开招
标,特邀请有兴趣的潜在投标人提出资格预审申请。
二、项目概况和招标范围
规模:/
范围:本招标项目划分为1个标段,本次招标为其中的:
(001)信息系统安全检测评估服务-2023年;
三、投标人资格要求
(001信息系统安全检测评估服务-2023年)的投标人资格能力要求:/;
本项目不允许联合体投标。
四、资格预审文件的获取
获取时间:从2023年06月28日09时00分到2023年06月30日17时25分
获取方式:详见附件
五、资格预审申请文件的递交
递交截止时间:2023年06月30日17时30分
递交方式:详见附件电子上传文件递交
六、资格预审开始时间及地点
资格预审开始时间:
资格预审地点:
评审办法:/
七、其他
详见附件
八、监督部门
本招标项目的监督部门为/。
九、联系方式
招标人:福建中烟工业有限责任公司
地 址:福建省厦门市莲岳路118号
联系人:/
电 话:/
电子邮件:/
招标代理机构:法正项目管理集团有限公司
地 址: 厦门市湖里区岐山路1号亿华中心215室
联系人: 张晓林
电 话: 0592-5063087
电子邮件: fzxmgs_2017@163.com
招标人或其招标代理机构主要负责人(项目负责人 签名)
招标人或其招标代理机构: (盖章)
询价函
各报价供应商:
受采购人福建中烟工业有限责任公司委托,我司进行信息系统安全检
测评估服务-2023年(询价编号:询FZXM-
CG招(2023)019号)的询价工作,请各报价供应商按照附件一、附件二所列内
容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报
价文件(附件一)加盖报价供应商公章后,于2023年06月30日17:30前扫描并
发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二:服务内容及要求
询价单位:法正项目管理集团有限公司
联系人:张晓林
电话:0592-5063087
电子邮箱:fzxmgs_2017@163.com
联系地址:厦门市湖里区岐山路1号亿华中心215室
日期:2023年06月27日
3/9
附件一:
报价函
项目名称:信息系统安全检测评估服务-2023年
询价编号:询FZXM-CG招(2023)019号
| 序号 | 服务项目 | 单价(不含税,元/单位) | 单位 | 预计数量 | |||
| 1 | 上线前安全评估服务 | 系统个数 | 7个 | ||||
| 2 | 代码审计服务 | 系统个数 | 7个 | ||||
| 3 | 季度健康检查服务 | 检查次数 | 6次 | ||||
| 4 | 风险评估服务 | 评估次数 | 1次 | ||||
| 5 | 密码评估服务 | 系统个数 | 1个 | ||||
| 6 | 安全检查及指导服务 | 检查次数 | 3次 | ||||
| 7 | 网站安全监测服务 | 自然月 | 17个月 | ||||
| 8 | 安全知识普及培训服务 | 培训次数 | 3次 | ||||
| 9 | 安全实践培训服务 | 培训次数 | 2次 | ||||
| 10 11 | 攻防实践培训服务 | 培训次数 | 1次 | ||||
| 专业认证培训服务 | 1、具体服务数量以采购人实际需求为准; | 培训次数 | 1次 | ||||
| 说明 | 2、上述报价包含了为完成服务项目所涉及的除税费外的一切费用; 3、本询价函非采购邀约。 | ||||||
| 报价有效期 | 至2023年12月31日 | ||||||
| 发票税率及种类 | %增值税专用发票 | ||||||
| 报价供应商信息 报价日期: | 供应商全称(加盖公章): 地址: 联系人: 电话: 电子邮箱: | ||||||
419
附件二:服务内容及要求
1、具体服务内容及要求
1.1上线前安全评估服务:中标人应根据招标人要求,在招标人新业务或新系统上线
前,根据系统事先定义的等级保护要求以及烟草行业安全基线要求,进行全面的安全检
查,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供系统上线
安全评估报告。具体服务的内容及要求包括但不限于:
a.差距分析服务。中标人应根据等保2.0和烟草行业安全基线要求,进行差距分析,
形成差距分析报告,并提供加固建议及协助整改。
b.漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进行漏
洞扫描,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成漏洞扫描报
告,对扫描结果进行分析,并提供加固建议及协助整改。
C.基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查,包括但不
限于主机操作系统、数据库、中间件及网络服务应用,形成基线核查报告,并提供加固建
议及协助整改。
d.渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试,形成渗透
测试报告,并提供加固建议及协助整改。
e. 提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上所有
内容的上线前安全评估报告,附上结果判定的过程证明材料,并提供残余问题处置建议
Q
1.2代码审计服务:中标人应根据招标人要求,对招标人指定信息系统的所有源代码
进行检查,查明威胁点并加以验证,对发现的问题提供加固建议并协助整改,对整改后
的系统进行复测,提供源代码审计报告,并协助招标人完善代码安全开发规范。具体服
务的内容及要求包括但不限于:
a.中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的
安全服务人员,对招标人指定的系统的源代码和软件架构的安全性、可靠性进行全面
的安全检查。
b.中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务,具
体服务形式由招标人指定。其中整体源代码审计是指源代码审计服务人员对被审计系
统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代
519
设备和计算安全、应用和数据安全层面评估系统在密码技术应用方面的密码应用是否正
确、合规、有效,以及密钥管理、安全管理方案是否符合《信息安全技术
信息系统密码应用基本要求》要求开展评估,对发现的问题提供加固建议并协助整改,
对整改后的系统进行复测,提供密码评估报告。
1.6安全检查及指导服务:中标人应根据招标人要求,配合到招标人5家直属单位开
展网络安全检查及指导服务。中标人每次必须派出至少3名具有相关工作经验的工程师
到现场检查。
1.7网站安全监测服务:中标人应根据招标人要求,通过网站检测云平台对招标人所
有外部网站进行7*24小小时监测。监测时间未超过15天(含15天)按半个月计算,超过15天
按一个月计算。中标人应根据招标人要求,在招标人发生紧急安全事件5分钟以内以电
话、短信和邮件等形式对招标人指定联系人进行通告,如招标人的网站被挂马、网页被
篡改及其它无法访问等情况。具体服务的内容及要求包括但不限于:
a.中标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整性检
测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP
服务监测等)及认证性检测(如远程钓鱼网站监测)。
b.中标人为招标人提供的网站监测服务交付物应包括但不限于《网站安全监测周报
网站安全监测月报》等。
1.8安全知识普及培训服务:中标人应根据招标人要求,到福建省内招标人指定地点
提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会工程学或网
络安全法律法规等相关现场培训,每次培训0.5天。
1.9安全实践培训服务:中标人应根据招标人要求,到福建省内招标人指定地点提供
包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训,每次2天。
1.10攻防实践培训服务:中标人应根据招标人要求,到福建省内招标人指定地点提
供包括但不限于攻防实战、CTF等相关现场培训,每次5天。攻防实战课程包括但不限于
攻击队技术框架原理及实战指导、边界突破、权限维持、内网漫游、社会工程学及攻击反
制等内容。CTF课程包含但不限于Web安全、密码学、杂项、逆向工程或Pwn分析等内容。
1.11专业认证培训服务:中标人应根据招标人要求,提供包括但不限于CISSP、CISP
CISA、CCSP、CCIE Security、ISO 27001、TOGAF 9.2、COBIT、CISP-PTE或CISP-
DSG的培训及认证内容。具体培训及认证内容和培训时间由招标人安排。
7/9
2、服务团队及要求
2.1项目负责人资质要求:项目负责人须具备PMP证书,以及CISP、CISSP、CISA、Secu
rity+、ISO 27001LA五种证书之二,且具有实施过三个或以上安全服务项目经验。
2.2项目实施人员资质要求。数量:至少3名(不含项目负责人),项目所有实施人员
需具备至少2年以上工作经验。
2.3攻防实践培训服务人员资质要求。数量:至少2名,攻防实战课程的培训讲师须
具备两个或以上网络安全事件应急响应处置经验,CTF课程的培训讲师须具备三个或以
上网络攻防演习保障经验。
以上2.1至2.3的工作经验指具备安全服务类相关(运维、测评、支持、检测等)项目
实施经验。
2.4中标人如需重新指定或更换本方的小组成员,应提前10个工作日向招标人出具
书面说明阐明合理理由并征得招标人的书面同意方可进行。不论中标人以何种理由更换
小组成员,更换后的小组成员资质不应低于原小组成员资质且应符合采购文件要求,同
时,招标人有权要求中标人提供相应的资质证明材料。如双方未达成一致,依照原服务
团队名单执行。如招标人允许服务人员变更,更换人员应在原服务人员离场前至少10个
工作日到达现场,做好与原服务人员的工作交接,并在更换人员熟练开展工作后,原服
务人员方可离场。
2.5中标人进场服务前,招标人有权对中标人服务人员证书资质等材料进行核验,
若发现中标人提供服务人员与约定不一致,招标人有权要求中标人无条件更换服务人员
2.6
项目服务期间,中标人服务人员须遵守招标人的工作场所及文档整理相关要求。
2.7若中标人服务人员实际素质能力或无法满足项目业务需要的,招标人有权要求
中标人更换服务人员,中标人必须无条件更换。
3、其他要求
3.1中标人在开展服务前,应提前1天通知招标人,经招标人同意后方可开展相关工
作。在开展服务过程中,应采用可靠的安全检测工具,不得影响招标人现有网络系统与
信息系统的正常运行,不得影响招标人生产业务的正常运行。
8/9
3.2中标人服务过程中所使用到的各种工具软件均由中标人推荐,经招标人确认后
由中标人提供并在服务中使用。
3.3中标人服务所需要的所有硬件平台(如笔记本电脑、PC、工作站等)和操作系统
软件等均由中标人推荐,经招标人确认后由中标人提供并在服务中使用。
3.4中标人服务需要的运行环境(如场地、网络环境等)由招标人提供,中标人应根
据服务开展需要向招标人说明需要的运行环境的具体要求。
3.5中标人应在接到招标人通知后,在指定时间到达指定地点开始服务工作。
9/9
解决方案
联系我们
返回顶部