招标
长沙经济技术开发区管理委员会:长沙经开区管委会网络安全及信息系统运维服务采购项目一标段(网络安全运维服务)采购需求公开
金额
-
项目地址
湖南省
发布时间
2023/03/21
公告摘要
公告正文
一、功能及要求:
运维单位应全面了解长沙经开区管委会的网络现状、应用分布、信息系统建设现状,以及其面临的安全威胁、信息系统的安全隐患和不足,从人员配备、日常维护、安全管理、整改提升等方面,对所有网络、服务器、操作系统、数据库、中间件、安全设备、信息化设备等组成的 IT 基础设施提供相关安全保障和运维服务。
二、相关标准:
服务质量标准按照国家相关规定执行,符合国家现行技术要求标准,项目涉及的标准、规范,以国家和行政主管部门颁布的最新标准和规范为准;
三、技术规格:
1.服务内容:具体包括安全顾问(管理咨询、技术分析、配置检查、安全通告)、安全监督审计(安全运行监督、逻辑访问策略审计、网络安全控制审计、系统安全性审计)、应急响应体系建设(预案规划培训、应急响应服务)、应急故障处理、安全加固指导、重大活动期间安全保障等。
2.服务要求
(1)运维团队:运维服务采用驻场与二线支持相结合的模式,其中驻场服务人员 2 人;另外提供二线支持服务,二线服务支持团队由项目经理、技术工程师和质量管理等人员组成,共同完成运维服务工作。业主单位仅为运维单位提供驻场服务人员的办公场地,驻场服务人员的工资、保险、人身安全及就餐等均由运维单位负责;驻场服务人员须与业主单位上班时间同步,上下班时间须分别提前和推迟30分钟到离场,并严格遵守业主单位内部管理制度和服从工作安排;合同期内,未经业主单位许可运维单位不得随意调离或更换驻场服务人员,如不称职业主单位有权要求运维单位更换。
运维单位须安排不少于2名具备相关资质证书,并有系统网络、安全设备、应用调试等丰富经验的工程师驻场服务。投入项目的运维工程师需熟悉主流网络设备调试;熟悉了解、熟练操作各大主流安全厂商的安全产品。
(2)服务期限:本项目服务期限三年,合同签订之日起三年内,须提供7×24小时运维服务,含周末和节假日等非工作时间。日常正常上下班,攻防演练及重大活动等特殊期须做好值班值守。
(3)响应时间:运维单位须建立网络安全应急保障队伍,提供7×24小时应急故障处理服务,一般故障,2小时内解决;重大故障,半小时内报告相关领导,并在4小时内解决,涉及第三方公司的须及时联系相关维护人员进行检修。
(4)保密要求:运维单位及运维人员须严格遵守保密相关规定,在为业主单位提供服务的过程中知悉或处理的数据等进行保密,不得提供或泄露给任何第三方,参与本项目的运维人员须与甲方签订保密协议。
3.考核要求
(1)服务期内甲方每季度按《网络安全运维服务考核评分表》对乙方的运维服务进行考评打分,并按年度综合评分支付乙方的年度服务费用。综合评分结果90分以上(含90分)按100%支付;60-90分(不含90分)按得分比例支付;60分以下(不含60分)按60%支付。甲方实际支付的服务费应扣除因乙方服务响应不及时,而导致甲方采取应急措施所产生的费用;
(2)若乙方连续3个季度的得分低于60分,甲方有权即时终止合同。
四、交付时间和地点:
1、付款人:长沙经济技术开发区管理委员会
2、付款方式:合同签订之日起,业主单位在收到运维单位的有效发票后10个工作日内支付合同年运维费的40%;合同期满一年且验收合格,业主单位结合验收报告的支付比例意见[综合评分结果90分以上(含90分)按100%支付;60-90分(不含90分)按得分比例支付;60分以下(不含60分)按60%支付],在10个工作日内支付合同年运维费余款给运维单位;合同期满二年且验收合格,业主单位结合验收报告的支付比例意见,在10个工作日内支付合同年运维费给运维单位;合同期满三年且验收合格,业主单位结合验收报告的支付比例意见,在10个工作日内支付合同年运维费给运维单位。
3、本项目服务期限:本项目服务期限三年。
五、服务标准:
(1)运维团队:运维服务采用驻场与二线支持相结合的模式,其中驻场服务人员 2 人;另外提供二线支持服务,二线服务支持团队由项目经理、技术工程师和质量管理等人员组成,共同完成运维服务工作。业主单位仅为运维单位提供驻场服务人员的办公场地,驻场服务人员的工资、保险、人身安全及就餐等均由运维单位负责;驻场服务人员须与业主单位上班时间同步,上下班时间须分别提前和推迟30分钟到离场,并严格遵守业主单位内部管理制度和服从工作安排;合同期内,未经业主单位许可运维单位不得随意调离或更换驻场服务人员,如不称职业主单位有权要求运维单位更换。
运维单位须安排不少于2名具备相关资质证书,并有系统网络、安全设备、应用调试等丰富经验的工程师驻场服务。投入项目的运维工程师需熟悉主流网络设备调试;熟悉了解、熟练操作各大主流安全厂商的安全产品。
(2)服务期限:本项目服务期限三年,合同签订之日起三年内,须提供7×24小时运维服务,含周末和节假日等非工作时间。日常正常上下班,攻防演练及重大活动等特殊期须做好值班值守。
(3)响应时间:运维单位须建立网络安全应急保障队伍,提供7×24小时应急故障处理服务,一般故障,2小时内解决;重大故障,半小时内报告相关领导,并在4小时内解决,涉及第三方公司的须及时联系相关维护人员进行检修。
(4)保密要求:运维单位及运维人员须严格遵守保密相关规定,在为业主单位提供服务的过程中知悉或处理的数据等进行保密,不得提供或泄露给任何第三方,参与本项目的运维人员须与甲方签订保密协议。
六、验收标准:
本项目采用一般程序验收。
七、其他要求:
无
采购需求仅供参考,相关内容以采购文件为准。
运维单位应全面了解长沙经开区管委会的网络现状、应用分布、信息系统建设现状,以及其面临的安全威胁、信息系统的安全隐患和不足,从人员配备、日常维护、安全管理、整改提升等方面,对所有网络、服务器、操作系统、数据库、中间件、安全设备、信息化设备等组成的 IT 基础设施提供相关安全保障和运维服务。
二、相关标准:
服务质量标准按照国家相关规定执行,符合国家现行技术要求标准,项目涉及的标准、规范,以国家和行政主管部门颁布的最新标准和规范为准;
三、技术规格:
1.服务内容:具体包括安全顾问(管理咨询、技术分析、配置检查、安全通告)、安全监督审计(安全运行监督、逻辑访问策略审计、网络安全控制审计、系统安全性审计)、应急响应体系建设(预案规划培训、应急响应服务)、应急故障处理、安全加固指导、重大活动期间安全保障等。
名称 | 单位 | |
安全体系建设服务 | 1次/年 | |
安全顾问服务 | 安全管理咨询 | 1次/年 |
安全技术分析 | 12次/年 | |
安全通告服务 | 全年无限次 | |
安全配置检查服务 | 4次/年 | |
安全培训服务 | 安全意识培训 | 1次/年 |
安全技能培训 | 2次/年 | |
安全监督审计服务 | 安全运行监督 | 12次/年 |
逻辑访问策略审计 | 4次/年 | |
网络安全控制审计 | 2次/年 | |
系统安全性审计 | 1次/年 | |
应急响应体系建设 | 预案规划 | 1次/年 |
预案培训 | 2次/年 | |
应急响应服务 | 全年无限次 | |
应急故障处理 | 全年无限次 | |
安全加固咨询服务 | 4次/年 | |
重大活动期间安全保障 | 6次/年 | |
信息系统安全运维(日常安全策略调整、安全检查、等保测评整改、安全设备维护等) | 常驻2人 |
2.服务要求
(1)运维团队:运维服务采用驻场与二线支持相结合的模式,其中驻场服务人员 2 人;另外提供二线支持服务,二线服务支持团队由项目经理、技术工程师和质量管理等人员组成,共同完成运维服务工作。业主单位仅为运维单位提供驻场服务人员的办公场地,驻场服务人员的工资、保险、人身安全及就餐等均由运维单位负责;驻场服务人员须与业主单位上班时间同步,上下班时间须分别提前和推迟30分钟到离场,并严格遵守业主单位内部管理制度和服从工作安排;合同期内,未经业主单位许可运维单位不得随意调离或更换驻场服务人员,如不称职业主单位有权要求运维单位更换。
运维单位须安排不少于2名具备相关资质证书,并有系统网络、安全设备、应用调试等丰富经验的工程师驻场服务。投入项目的运维工程师需熟悉主流网络设备调试;熟悉了解、熟练操作各大主流安全厂商的安全产品。
(2)服务期限:本项目服务期限三年,合同签订之日起三年内,须提供7×24小时运维服务,含周末和节假日等非工作时间。日常正常上下班,攻防演练及重大活动等特殊期须做好值班值守。
(3)响应时间:运维单位须建立网络安全应急保障队伍,提供7×24小时应急故障处理服务,一般故障,2小时内解决;重大故障,半小时内报告相关领导,并在4小时内解决,涉及第三方公司的须及时联系相关维护人员进行检修。
(4)保密要求:运维单位及运维人员须严格遵守保密相关规定,在为业主单位提供服务的过程中知悉或处理的数据等进行保密,不得提供或泄露给任何第三方,参与本项目的运维人员须与甲方签订保密协议。
3.考核要求
(1)服务期内甲方每季度按《网络安全运维服务考核评分表》对乙方的运维服务进行考评打分,并按年度综合评分支付乙方的年度服务费用。综合评分结果90分以上(含90分)按100%支付;60-90分(不含90分)按得分比例支付;60分以下(不含60分)按60%支付。甲方实际支付的服务费应扣除因乙方服务响应不及时,而导致甲方采取应急措施所产生的费用;
(2)若乙方连续3个季度的得分低于60分,甲方有权即时终止合同。
网络安全运维服务考核评分表 | ||||
一、网络安全管理(44分) | ||||
名称 | 考核指标 | 分值 | 备注 | |
系统加固 (20分) | 1. 保障接入网络设备、服务器等设备进行安全加固,杜绝高危漏洞、较少中低风险漏洞。在上级部门等检查中发现高危漏洞的,服务器每个高危漏洞扣1分,电脑每个高危漏洞扣0.5分,中低漏洞的每个扣0.2分,扣完为止。对于老旧设备,经甲方确定无法进行加固的除外。 2.建立网络安全设备台账及相关制度,完善安全管理。未建立台账的,扣10分;台账更新不及时,根据情况每项扣0.5次。 | 20 | | |
安全策略 (24分) | 服务器部分(7分) | 接入的网络设备都在防火墙等安全设备进行了端口级别安全控制。策略设置率≥98%。 | 7 | |
80%≤设置率<92% | 3 | |||
设置率<80% | 0 | |||
网络及接入设备部分(7分) | 接入网络设备都在防火墙等安全设备进行了端口级别安全控制。策略设置率≥98%。 | 7 | | |
80%≤设置率<92% | 3 | |||
设置率<80% | 0 | |||
准入控制(10) | 准入控制全部启用,策略设置合理,安全可靠。U盘控制、文档控制等策略满足安全要求。 | 0-10 | | |
二、响应处理考核指标(25分) | ||||
驻监考勤 (10分) | 出勤率100% | 10 | | |
98%≤出勤率<100% | 7 | |||
出勤率<98% | 0 | |||
安全处置 (15分) | 及时处置率100% | 15 | | |
95%≤及时处置率<100% | 10 | |||
80%≤及时处置率<95% | 5 | |||
单次安全风险处理时间超过3天的,每次扣5分,扣完为止。 | 0 | |||
三、安全风险发生率考核指标(10分) | ||||
I 级风险 (5分) | 季度发生0次 | 5 | | |
季度发生1次及以上 | 0 | |||
II 级风险 (5分) | 季度发生0次 | 5 | | |
季度发生1次及以上,1次口1分,扣完为止。 | 0 | |||
四、定期巡检服务考核指标(5分) | ||||
按照甲方巡检要求完成巡检,巡检登记本记录清晰完整。没有巡检、无巡检记录或巡检问题没有整改的,每次扣1分,扣完为止。 | 5 | | ||
五、定期保养考核指标(5分) | ||||
严格按照要求定期维护保养,保养记录清晰完整。没有定期保养或缺少保养记录的,每台设备扣0.5分,扣完为止。 | 5 | | ||
六、培训考核指标(3分) | ||||
按照甲方要求完成每季度培内容及课时,资料完备的。 | 3 | | ||
培训没有达到甲方要求扣3分。 | ||||
七、资料考核指标(3分) | ||||
按照甲方要求,提交月运维总结报告和年度运维总结报告。每月没有提交月运维总结报告或报告不符合甲方要求的,每次扣1分,没有提交年度总结报告或报告不符合甲方要求的,每次扣1分,扣完为止。 | 3 | | ||
八、完成其他交办的工作(5分) | ||||
按照甲方的要求,按时按质按量完成其他交办的工作。 | 5 | | ||
不完成或者没有按时完成,每次扣1分,扣完为止。 | ||||
其它情况加、扣分: 1.发生网络安全事件、出现网络攻击并被远程控制设备、发生泄密事件,一次扣完所有分值,并解除运维服务合同; 2.发现运维服务人员及运维单位未按照甲方或上级保密要求处理数据,发生数据泄密的,甲方有权解除合同,并追究运维人员及运维单位责任; 3.在上级有关部门组织的护网行动或攻防演练中,较好地完成了交付的任务,甲方根据完成情况,可酌情予以加分。 | ||||
备注: 1.I 级风险是指发现重大漏洞,有发生网络安全攻击或泄密风险;II级风险是指网络存在安全风险,有可能导致网络安全事件。 2.驻监考勤:年度请假天数在全年应上班天数的5%以内,请假不计入缺勤;否则,超出天数记缺勤。国家法定节假日应甲方要求加班的,可冲抵请假天数。请假不得影响运维服务响应。 | ||||
季度得分 |
四、交付时间和地点:
1、付款人:长沙经济技术开发区管理委员会
2、付款方式:合同签订之日起,业主单位在收到运维单位的有效发票后10个工作日内支付合同年运维费的40%;合同期满一年且验收合格,业主单位结合验收报告的支付比例意见[综合评分结果90分以上(含90分)按100%支付;60-90分(不含90分)按得分比例支付;60分以下(不含60分)按60%支付],在10个工作日内支付合同年运维费余款给运维单位;合同期满二年且验收合格,业主单位结合验收报告的支付比例意见,在10个工作日内支付合同年运维费给运维单位;合同期满三年且验收合格,业主单位结合验收报告的支付比例意见,在10个工作日内支付合同年运维费给运维单位。
3、本项目服务期限:本项目服务期限三年。
五、服务标准:
(1)运维团队:运维服务采用驻场与二线支持相结合的模式,其中驻场服务人员 2 人;另外提供二线支持服务,二线服务支持团队由项目经理、技术工程师和质量管理等人员组成,共同完成运维服务工作。业主单位仅为运维单位提供驻场服务人员的办公场地,驻场服务人员的工资、保险、人身安全及就餐等均由运维单位负责;驻场服务人员须与业主单位上班时间同步,上下班时间须分别提前和推迟30分钟到离场,并严格遵守业主单位内部管理制度和服从工作安排;合同期内,未经业主单位许可运维单位不得随意调离或更换驻场服务人员,如不称职业主单位有权要求运维单位更换。
运维单位须安排不少于2名具备相关资质证书,并有系统网络、安全设备、应用调试等丰富经验的工程师驻场服务。投入项目的运维工程师需熟悉主流网络设备调试;熟悉了解、熟练操作各大主流安全厂商的安全产品。
(2)服务期限:本项目服务期限三年,合同签订之日起三年内,须提供7×24小时运维服务,含周末和节假日等非工作时间。日常正常上下班,攻防演练及重大活动等特殊期须做好值班值守。
(3)响应时间:运维单位须建立网络安全应急保障队伍,提供7×24小时应急故障处理服务,一般故障,2小时内解决;重大故障,半小时内报告相关领导,并在4小时内解决,涉及第三方公司的须及时联系相关维护人员进行检修。
(4)保密要求:运维单位及运维人员须严格遵守保密相关规定,在为业主单位提供服务的过程中知悉或处理的数据等进行保密,不得提供或泄露给任何第三方,参与本项目的运维人员须与甲方签订保密协议。
六、验收标准:
本项目采用一般程序验收。
七、其他要求:
无
采购需求仅供参考,相关内容以采购文件为准。
返回顶部