重咨集团网络与信息安全技术服务采购 比选公告
为规范招标行为，本着公开、公平、公正的原则，我司拟对重咨集团网络与信息安全技术服务采购（项目名称）竞选，资金来源：企业自筹，资金落实情况：已落实，将采用竞争性比选（公开）的方式择优选定服务单位。特邀请有兴趣且符合条件的潜在比选申请人参与竞选。
1、项目名称：重咨集团网络与信息安全技术服务采购
2、项目地址：重庆市江北区五简路二号
3、项目概况：
3.1、比选范围及内容：

序号	项目名称	服务内容	数量/期限
1	安全基础梳理和摸底★	1、主要以管理和技术的手段，通过调研、上机查验等方式，摸清集团在管理制度和安全防护方面的现状、问题，并进行一次漏洞问题排查。 2、出具《重咨集团网络信息和数据安全管理制度清单》《重咨集团制度运行问题及差距清单》；《重咨集团信息化资产清单》《重咨集团应用系统清单》《重咨集团安全防护策略问题清单》；《漏洞扫描报告》、《基线核查报告》、《渗透测试报告》。	1次/年
2	网络与信息安全风险评估★	1、根据《中国人民共和国网络安全法》、等级保护制度要求，以及《信息安全技术 信息安全风险评估方法》（GB/T 20984-2022）等评估标准，对重咨集团进行包括物理安全、人员安全、管理安全、建设安全、运维安全、应用安全等的综合性安全风险评估，以识别集团自身在网络与信息安全管理、建设、运维、运营过程中的脆弱性及面临的风险，对风险进行定级并提出风险处理建议，协助重咨集团建立整改流程、跟踪机制，清晰掌握系统安全整改进度、效果、总体情况。 2、输出《重咨集团网络与信息安全风险评估问题单》、《重咨集团网络与信息安全风险评估报告》。	1次/年
3	数据安全风险评估★	1、根据《中华人民共和国数据安全法》、《重庆市数据条例》等法律法规和文件要求，对重咨集团本部的数据资产梳理以及重要信息系统进行数据安全风险评估，协助集团对数据资产分类分级管理、全生命周期安全防护等方面的完善，包括但不限于数据安全管理制度完善、数据资产梳理、数据分类分级、数据处理活动分析、数据全生命周期安全性防护分析。 2、输出《重咨集团数据资产清单及分类分级目录》、《重咨集团xx系统数据安全风险评估报告》。	1次/年
4	安全加固★	对在安全评估梳理、定期扫描、渗透测试、等保测评、安全检查中发现的漏洞进行安全加固，指导管理员，协助系统建设单位完成加固，并对加固完成情况进行验证把关。输出《重咨集团安全加固报告》。	2次/年
5	定期扫描服务★	1、对重咨集团基础网络单元、安全设备和主要信息系统，每月进行安全扫描。针对发现的安全问题提供整改建议，出具《重咨集团网络安全漏扫报告》。 2、针对扫描发现的安全隐患，协助重咨集团建立整改跟踪机制，规范整改行为，协助整改安全隐患，让集团能清晰掌握系统安全整改进度、效果、总体情况，按季度输出漏扫分析报告《重咨集团XX季度漏洞扫描分析报告》。	1次/月，共12次
6	定期渗透服务★	1、按约定周期开展渗透测试服务，对重咨集团重要信息系统，定期进行安全渗透测试。针对发现的安全问题提供整改建议，出具《重咨集团xx系统渗透测试报告》。 2、针对渗透发现的安全隐患，协助重咨集团建立整改跟踪机制，规范整改行为，协助整改安全隐患，让重咨集团能清晰掌握系统安全整改进度、效果、总体情况。服务完输出渗透分析报告《重咨集团渗透测试分析报告》。	1次/季度，共4次
7	安全策略优化★	对重要的网络安全设备进行策略核查，根据应用系统的环境对策略进行优化调整，输出《重咨集团策略优化报告》。	2次/年
8	安全监控服务★	1、1年365天7×24小时，至少每隔30分钟一次对重咨集团网站群的网站以及咨采平台网站页面进行安全性、可用性持续监控；有效反馈被监控系统的安全状态，及时发现系统被篡改、被植入恶意代码等、网络故障、服务宕机等安全事件；通过电话实时进行安全事件告警。 2、每半年输出一次监测分析报告《重咨集团网站安全监测分析报告》。	1年
9	安全培训★	1、在服务有效期内提供不少于两次安全培训，并提供培训课件。 2、针对重咨集团全体员工进行网络安全意识培训，提升集团全员网络与信息安全防范意识，不少于4学时。 3、针对重咨集团的技术人员开展进行网络安全涉及的法律法规、政策规定、网络安全防护基础，安全事件处置、安全基线达标、漏洞扫描及渗透测试等方面的培训。培训后运维人员能够掌握基本信息安全知识和工具使用方法，提升运维人员的安全技能，不少于8学时。 4、输出《重咨集团安全培训课件》、《安全培训记录》、《安全培训考查记录》。	2次/年
10	应急预案及演练★	1、协助完善重咨集团的安全应急预案。 2、根据重咨集团要求，制定演练计划，编写网络安全应急演练方案，搭建演练环境，安排技术人员到集团开展现场应急演练，对应急演练存在的不足提出优化建议，协助集团提升应对突发网络安全事件的监控能力和处置能力。 3、输出《重咨集团网络与信息安全应急预案》、《重咨集团网络信息与数据安全总体应急预案框架》、《重咨集团XXX事件应急演练方案》、《重咨集团应急演练总结》。	1次/年
11	应急响应★	针对外部黑客入侵、数据泄露、木马病毒等突发安全事件时，进行应急响应处理，避免事态恶化。遇到遭遇攻击或网页被篡改等恶性事件，要求1小时内到达现场，实施有效的紧急救援及恢复补救方案。应急响应服务工作完成后，针对此次事件的问题现象、发生原因以及处理过程，预防措施与建议进行总结报告。出具《重咨集团网络安全应急响应报告》。	不限次
12	安全检查服务★	在接受网络安全主管部门检查或上级部门开展网络安全检查期间的自查、差距分析、整改及陪同检查服务、相关工作配合服务。	不限次
13	网络与信息安全专业人员驻场服务★	派遣1位具有多年网络与信息安全行业工作经历的安全服务工程师驻场服务，协助重咨集团开展网络安全、数据安全等相关工作。驻场服务人员需全日制本科及以上学历，安全或计算机相关专业，相关行业工作一年以上，具有网络信息安全相关证书（CISP或CISAW或CISSP），具有相关工作能力。能对集团现有网信数安和商用密码安全性等相关管理制度文件进行修订、完善，并建立一套合规、全面并且符合集团组织机构的安全管理制度体系文件。能结合集团现有业务系统、网络架构、网络和安全策略以及日志进行分析和评估，能找出安全薄弱点，提出符合重咨集团安全需求的网络策略优化建议，并推进网络设备厂商或运维方优化实施。驻场人员工作时间按采购人正常上班时间执行，如遇特殊重大保障，按采购人安排开展工作。根据采购人安排完成相关工作。在服务期内未经采购人同意，驻场人员不得从事与采购人要求的服务内容无关的其他工作或比选申请人随意更换驻场人员。	1人/年

 
3.2、合同估算金额：约50万元。
4、服务期：1年。
5、比选申请人资格条件要求：
5.1．具有有效的营业执照或法人证书；
5.2．具有良好的商业信誉和健全的财务会计制度；
5.3．具备履行合同所必需的设备或工具（包括但不限于漏洞扫描器、渗透测试工具等）和专业技术能力（包括但不限于2个高级或以上、3个中级或以上相关职称人员）；
5.4. 有依法缴纳税收和社会保障资金的良好记录；
5.5. 近三年内，在经营活动中没有重大违法记录；
5.6. 具有IS09001质量管理体系认证证书；
5.7. 具有ISO27001信息安全管理体系认证证书；
5.8. 具有CCRC信息安全服务风险评估资质认证证书。
6、凡有意参加竞选者，请于2024年3月28日（北京时间，下同）起在重庆国际投资咨询集团有限公司网（http://www.cqiic.com/）下载比选文件、澄清、修改、补充通知、最高限价通知等全部内容。不管下载与否都视为潜在比选申请人全部知晓有关比选全部内容。
6.2比选申请人通过电子邮件形式（电子邮箱：1638754528@qq.com）提出疑问，提问时间从本公告发布至2024年3月31日17时00分（北京时间）前。
6.3比选人应于2024年4月1日18时00分（北京时间）前在重庆国际投资咨询集团有限公司网（http://www.cqiic.com/）发布澄清或修改。
7、比选地点：重庆咨询大厦开标大厅，具体详见比选当天重咨大厦负一楼大厅指示牌。
比选截止时间：2024年4月4日10：00（提前30分钟接收比选申请文件），逾期送达的或者未送达指定地点的比选申请文件，比选人不予受理。
8、发布媒介：本次比选公告同时在《中国招标投标公共服务平台（http://www.cebpubservice.com）》、《重庆国际投资咨询集团有限公司网（www.cqiic.com）》和《咨采平台（http://www.zicaipingtai.com）》上发布。
9、联系方式：
比 选 人：重庆国际投资咨询集团有限公司
地    址：重庆市江北区五里店五简路2号重咨大厦
联 系 人：朱女士
电    话：023-67705706
 
代理机构：重庆招标采购（集团）有限责任公司
地址：重庆市江北区五里店五简路2号重庆咨询大厦
联系人：王女士
电话：023-67100375
附件下载：

重咨集团网络与信息安全技术服务采购一比选文件（发售版）.docx