常州市城乡建设局信息安全风险评估及安全服务项目竞争性谈.doc_第1页
常州市城乡建设局信息安全风险评估及安全服务项目竞争性谈.doc_第2页
常州市城乡建设局信息安全风险评估及安全服务项目竞争性谈.doc_第3页
常州市城乡建设局信息安全风险评估及安全服务项目竞争性谈.doc_第4页
常州市城乡建设局信息安全风险评估及安全服务项目竞争性谈.doc_第5页
已阅读5页,还剩18页未读 继续免费阅读

下载本文档

版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领

文档简介

1 / 23 常州市城乡建设局信息安全风险评估及安全服务项目竞争性谈判文件 常采竞20160337 号 采购人:常州市城乡建设局 集中采购机构:常州市政府采购中心 2016 年 8 月 前附表 项号内容规格 2 / 23 1 项目名称:常州市城乡建设局信息安全风险评估及安全服务项目 项目编号:常采竞20160337 号 2 谈判保证金数额:元(本项目不需要) 户名:常州市政府非税收入专户 开户银行:工商银行常州分行营业部 账号:1105020109000099895 3采购人联系方式:刘先生,联系电话4响应文件份数:正本壹份、副本贰份 5 响应文件提交接收时间:2016 年 8 月 16 日上午 10:30 响应文件提交截止时间:2016 年 8 月 16 日上午 10:30 响应文件提交地点:常州市政府采购中心 9 楼 905 室 联系人:朱先生联系电话: 6谈判会议时间:2016 年 8 月 16 日上午 10:30 地 点:常州市政府采购中心 9 楼 905 会议室 7评审办法:最低评标价法 8报价次数:至少 2 次 目 录 竞争性谈判公告 2矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢。 第一章总则 3聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮。 第二章响应文件 5残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納。 第三章响应文件密封和提交 8酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄。 3 / 23 第四章谈判报价 9彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简。 第五章谈判、评审、评定成交 10謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱。 第六章采购内容及要求 14厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷。 第七章格式附表 15茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗。 2 / 23 竞争性谈判采购公告 常采竞20160337 号 常州市政府采购中心受常州市城乡建设局委托,就其信息安全风险评估及安全服务项目实 行竞争性谈判方式采购,有关事项公告如下。鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑。 一、项目名称及编号 项目名称:常州市城乡建设局信息安全风险评估及安全服务项目 项目编号:常采竞20160337 号 二、项目简要说明: 本项目服务范围涵盖常州市城乡建设局基础硬件设施、网络环境和信息系统,对组织架构、 策略体系、人员安全、物理安全、网络及安全设备、服务器系统及应用系统(含数据库、 中间件)进行风险评估和安全服务。包括:15 台服务器和存储设备,19 台网络和安全设备 (包括防火墙、VPN、路由器、交换机等) ,9 个信息系统(包括综合信息平台及公共数据 库、城建热线综合业务平台等)及 1 套虚拟化支撑平台。籟丛妈羥为贍偾蛏练淨槠挞曉养鳌顿。 三、供应商资格条件: 1、供应商须符合政府采购法第二十二条规定; 2、供应商须具有中国信息安全测评中心颁发的信息安全服务资质(安全工程类一级)和常 州市信息安全检查评估机构备案证书;預頌圣鉉儐歲龈讶骅籴買闥龅绌鳆現。 3、本项目不接受联合体投标,必须具备独立完成本项目的能力。 四、谈判文件领取的时间和地点:供应商自公告之日起自行下载谈判文件。 五、响应文件提交及谈判信息: 响应文件提交截止暨开标时间:2016 年 8 月 16 日上午 10:30。 响应文件提交暨开标地点:常州市政府采购中心 9 楼 905 室。 六、联系方式: 采购中心联系人:朱卫华 联系电话传真电话联系地址:常州市龙锦路 1259-2 号 网 址: 采购人名称:常州市城乡建设局 联系人:刘先生 联系电话联系地址:常州市龙城大道 1258 号 常州市政府采购中心 2016 年 8 月 9 日 第一章 总 则 一、采购项目: 常州市城乡建设局信息安全风险评估及安全服务项目 二、供应商的资格要求: 见谈判公告 三、谈判费用 供应商应自行承担其编制、提交响应文件以及参加招竞争性谈判活动所产生之一切费用。 无论竞争性谈判活动中的做法和结果如何(包括采购单位决定取消采购的),采购人和集中 采购机构对上述费用不负任何责任。渗釤呛俨匀谔鱉调硯錦鋇絨钞陉鳅陸。 3 / 23 四、谈判文件 、谈判文件的组成 本文件及依法对本文件所作的书面更正内容均为谈判文件的组成部分。 、谈判文件的更正 供应商在收到谈判文件后,如有疑问需要澄清,应在答疑会议 1 日前以书面形式向集中采 购机构提出,如无疑问,视作供应商完全响应谈判文件的条款和要求。集中采购机构作出的 澄清或修改将公告通知所有谈判文件收受人。铙誅卧泻噦圣骋贶頂廡缝勵罴楓鳄烛。 谈判文件各项条款最终解释权归常州市政府采购中心,供应商对集中采购机构提供的谈判 文件所做出的推论、解释和结论,集中采购机构概不负责。供应商由于对谈判文件的任何 推论和误解以及集中采购机构对有关问题的口头解释所造成的后果,均由供应商自负。擁締 凤袜备訊顎轮烂蔷報赢无貽鳃闳。 集中采购机构有权对已发出的谈判文件进行必要的澄清或修改,并以更正公告形式通知所 有供应商。 集中采购机构可视具体情况,延长响应文件提交截止时间和谈判时间,并将此变更以公告 形式通知所有谈判文件收受人。贓熱俣阃歲匱阊邺镓騷鯛汉鼉匮鲻潰。 公告通知以江苏省政府采购网和常州市政府采购网所发布的为准。 五、供应商的义务 1、供应商应当认真阅读谈判文件,完全明了采购项目之名称、用途、数量、质量和交货日 期,完全明了供应商所应具备的资格条件。坛摶乡囂忏蒌鍥铃氈淚跻馱釣缋鲸鎦。 2、供应商应当按照谈判文件的要求编制响应文件。响应文件应对谈判文件提出的实质性要 求和条件作出完全响应。蜡變黲癟報伥铉锚鈰赘籜葦繯颓鲷洁。 3、供应商应在响应文件提交截止时间前,将密封的响应文件送达指定地点。 4、供应商不得相互串通谈判报价,不得排挤其他供应商的公平竞争,损害采购人或者其他 供应商合法权益。供应商不得与采购人串通,损害国家利益,公众利益或者他人的合法权 益。買鲷鴯譖昙膚遙闫撷凄届嬌擻歿鲶锖。 5、供应商在响应文件提交截止时间前,对所提交的响应文件可以补充、修改或者撤回,并 书面通知集中采购机构。补充、修改的内容为响应文件的组成部分。綾镝鯛駕櫬鹕踪韦辚糴飙钪 麦蹣鲵殘。 第二章 响应文件 六、响应文件组成 一式叁份,壹份正本,贰份副本。响应文件应当符合谈判文件的要求,并应包括但不限于 下列内容。 1、供应商情况说明: 供应商简介(含供应商规模、银行资信、技术能力及装备水平等) 、人员情况、典型项目介 绍。 2、供应商资格审查材料,证明供应商符合资格要求的证明材料包括但不限于以下材料(所 有项目若有缺失或无效将可能导致无效响应且不允许在响应文件提交截止后补正。响应文 件中提供复印件,并将原件(或公证件)同时携带至谈判现场备查,否则视作无效响应文 件):驅踬髏彦浃绥譎饴憂锦諑琼针咙鲲鏵。 1)响应函(附件一) ; 2)法定代表人资格证明书(附件二) ,授权委托书(附件三) ,供应商法定代表人或者委托 代理人的身份证; 4 / 23 3)有效的营业执照(事业单位的可提供组织机构代码证) ; 4)有效的税务登记证; 5)供应商资格要求涉及的证明材料。 3、谈判报价: 谈判报价的具体要求见谈判文件第四章。 4、项目技术和实施方案,应当包括但不限于如下主题: 1)项目技术方案 2)项目组织实施方案和管理计划 3)培训方案(含培训承诺中的所有培训,费用均由供应商负担) 4)技术支持、售后服务方案 5)优惠条款或承诺。 6)其他。 4、其他评审相关材料: 1)供应商应提交的各类证明资料; 2)典型项目合同 3)供应商参与本项目的技术人员一览表(提供姓名、学历、年龄、资质证书情况、以往参 加类似项目情况、在本项目中的责任等) ,明确负责本项目的项目经理、技术负责人,提供 相关人员的职称或资格证书复印件,提供项目经理、技术负责人、本项目技术人员的劳动 合同和社保缴费记录证明;猫虿驢绘燈鮒诛髅貺庑献鵬缩职鲱样。 4)供应商相关荣誉证明资料; 5)其他相关材料。 七、供应商应认真检查谈判文件的内容是否齐全,如有遗漏,应及时向集中采购机构索取, 否则责任自负。 八、响应文件的制作应当符合以下要求 1、供应商应准备响应文件的正本 1 套,副本 2 套,在每一份响应文件上要明确注明“正本” 或“副本”字样。一旦正本和副本内容有差异,以正本为准。锹籁饗迳琐筆襖鸥娅薔嗚訝摈馍鲰钵。 2、响应文件正本必须打印。供应商应按照要求,在正本规定的地方加盖单位公章或由供应 商法定代表人(或其委托代理人)签字,副本可通过正本复印。構氽頑黉碩饨荠龈话骛門戲鷯瀏鲮 晝。 3、全套响应文件应无修改和行间插字。如有修改,须在修改处加盖供应商法定代表人或其 委托代理人的印鉴。 4、谈判报价清晰准确,不存在影响其他供应商评分的严重错误。 九、在响应文件提交截止时间之前的密封完好的响应文件可以接受。 十、谈判保证金(本项目不需要) 1、供应商必须按要求在响应文件提交截止时间前向集中采购机构交纳谈判保证金元整(以 到账为准,拒绝以个人名义缴纳) ,谈判保证金可采用银行转账方式,缴纳后自行到常州市 政府采购中心综合科领取收据。輒峄陽檉簖疖網儂號泶蛴镧釃邊鲫釓。 2、在谈判时,响应文件中必须提供谈判保证金收款收据复印件(或执原件备查),对于未按要 求提交谈判保证金的,其响应文件将作为无效响应文件处理,不予参加评审。尧侧閆繭絳闕绚 勵蜆贅瀝纰縭垦鲩换。 5 / 23 3、未成交供应商的谈判保证金在将在中标通知书发出后的一周内予以全额退还(无息) , 请未成交供应商自行开具加盖本单位公章的财务收据到采购中心综合科办理退款。识饒鎂錕 缢灩筧嚌俨淒侬减攙苏鲨运。 4、成交供应商的谈判保证金将转入履约保证金,待合同按约履行完毕后的 7 个工作日内全 额退还(无息) ,履约保证金另有约定的除外。凍鈹鋨劳臘锴痫婦胫籴铍賄鹗骥鲧戲。 5、供应商出现下列情况,集中采购机构报经主管部门批准同意后有权取消其中标资格,并 没收其谈判保证金。 1)供应商在提交后又撤回其响应文件; 2)成交供应商未能在谈判文件规定的期限提交履约担保; 3)成交供应商无正当理由拒绝签订合同; 4)由于供应商的原因导致中标无效的。 第三章 响应文件密封和提交 十一、响应文件的密封与标志 1、供应商应将响应文件密封。 2、所有封袋上都应写明供应商名称、采购项目名称,采购项目编号,年月日。 3、所有响应文件都必须在封袋骑缝处加盖供应商公章。 4、供应商违反上述规定的,其响应文件将被作为无效响应文件,不予拆封和参加评审。 十二、响应文件提交,截止时间和地点 供应商须在竞争性谈判采购公告规定的响应文件提交截止时间之前在指定地点将响应文件 提交给集中采购机构。 供应商在提交响应文件时须提供法定代表人或代理人身份证原件,未提供的,集中采购机 构不接受其响应文件,不予参加谈判和评审。恥諤銪灭萦欢煬鞏鹜錦聰櫻郐燈鲦軫。 十三、响应文件的修改和撤回 在响应文件提交截止时间之前,供应商可以对所提交的响应文件进行修改和撤回,但所提 交的修改或撤回通知必须按谈判文件的规定进行编制、密封、标志(在包封上标明“修改” 或“撤回”字样,并注明修改或撤回的时间)和提交。响应文件提交截止时间之后,供应商 不得修改或撤回响应文件。鯊腎鑰诎褳鉀沩懼統庫摇饬缗釷鲤怃。 第四章 谈判报价 十四、项目总价应包括谈判文件所确定的采购范围相应货物或者服务的供货、包装、运输、 保险、安装调试管理、劳务、培训、办公设备、设备、工具、耗材、运送工具及耗材、利 润、风险、税金及政策性文件规定等各项应有费用,以及为完成该项货物或者服务项目所 涉及到的一切相关费用。硕癘鄴颃诌攆檸攜驤蔹鸶胶据实鲣赢。 十五、谈判报价方式 1、供应商应按照谈判文件中提供的格式完整、正确填写开标一览表。开标一览表中的报价 应与分项报价表的总价完全一致,如有不一致的,以开标一览表的报价为准。阌擻輳嬪諫迁择 楨秘騖輛埙鵜蔹鲢幟。 报价货币为人民币,评标时以人民币为准。 2、供应商应按照谈判文件规定格式填报投分项报价表。 3、培训服务费用报价:由各供应商根据企业自身情况自行决定是否单列。如供应商单列培 6 / 23 训费用,则自行将谈判文件所提供的“分项报价表”格式扩展。氬嚕躑竄贸恳彈瀘颔澩纷釓鄧鳌鲡貼。 4、售后服务费用报价:同上。 5、供应商需对每部分报价包含的服务内容进行明确说明。如有特别承诺,也需明确说明。 6、本项目的最高限价为 20 万元,项目总价高于最高限价的作为无效响应处理。 7、谈判报价次数:本项目采用至少二次报价,响应文件的谈判报价作为首次报价,在谈判 小组评审谈判结束后,所有继续参加谈判的供应商在规定时间内同时提交最终报价。釷鹆資 贏車贖孙滅獅赘慶獷緞瑋鲟将。 8、其他要求 第五章 谈判、评审、评定成交 十六、谈判会议时间和地点 见前附表 十七、评审、评定成交方法 本项目采用最低评标价法,响应文件满足谈判文件全部实质性要求且最终报价最低的供应 商为成交供应商。 十八、谈判评审会议 谈判评审会议按谈判文件中规定的时间、地点举行,由集中采购机构主持,在有关部门监 督下进行。采购人、所有供应商和政府采购管理机关等有关监督部门的代表参加会议。怂阐 譜鯪迳導嘯畫長凉馴鸨撟鉍鲞谣。 供应商应由法定代表人或者委托代理人携带身份证明原件准时参加谈判会议,并签名报到 以证明其出席。 十九、由监督部门会同供应商代表检查响应文件的密封情况,或由公证机关监督。检查完 毕后,供应商退场,由谈判小组开始组织评审。谚辞調担鈧谄动禪泻類谨觋鸾帧鲜奧。 二十、集中采购机构在响应文件提交截止时间前收到的所有合格响应文件,谈判评审时都 予以拆封,集中采购机构对谈判评审过程予以记录。嘰觐詿缧铴嗫偽純铪锩癱恳迹见鲛請。 二十一、响应文件出现下列情况之一的,将作为无效响应文件处理,无效响应文件不予参 加评审。 1、响应文件未按规评定成交志、密封、盖章的; 2、响应文件未加盖供应商公章的; 3、授权委托书无供应商公章、法定代表人的印鉴(或签名) ,或委托书非原件的; 4、供应商未通过报名的或者在名称上和法人地位上与报名情况发生实质性的改变的; 5、供应商不符合谈判文件中规定资格要求的,或者资格要求证明材料提供不齐全的; 6、响应文件未按谈判文件规定的格式、内容和要求编制,响应文件字迹潦草、模糊、难以 辨认; 7、供应商在一份响应文件中,对同一采购项目报有两个或多个报价,且未书面确定以哪个 报价为准的; 8、供应商在谈判报价中存在严重错误,并影响对其他供应商的评价的; 9、响应文件材料所述情况和所附相关资料不实的; 10、供应商以他人的名义投标、串通投标、以行贿手段谋取中标或者以其他弄虚作假方式 7 / 23 投标的。 11、逾期送达的响应文件; 12、未按谈判文件要求缴纳谈判保证金的; 13、供应商的最终谈判报价超出采购预算或者最高限价的; 14、谈判文件明确规定无效的其他情形,或者其他被谈判小组认定无效的情况; 15、不符合法律、法规和谈判文件规定的其他实质性要求的。 二十二、评审、评定成交 评审由集中采购机构依法组建的谈判小组负责。由谈判小组出具书面评审报告并推荐成交 供应商。 二十三、响应文件的澄清 1、为了有助于响应文件的审查、评价和比较,谈判小组可以书面方式要求供应商对响应文 件中含义不明确、对同类问题表述不一致或者明显文字和计算错误的内容作必要的澄清、 说明或者补正。供应商的澄清、说明或者补正应以书面方式进行并不得超出响应文件的范 围或者改变响应文件的实质性内容。熒绐譏钲鏌觶鷹緇機库圆鍰缄鹗鲚圆。 2、响应文件中的大写金额和小写金额不一致时的,以大写金额为准;单价乘数量不等于总 价,数量符合谈判文件要求,以单价计算金额为准;单价金额小数点有明细错位的,应以 总价为准,并修改单价;缺项漏项或者数量不符合谈判文件要求的作为无效响应文件处理; 对不同文字文本响应文件的解释发生异议的,以中文文本为准。鶼渍螻偉阅劍鲰腎邏蘞阕簣择睜鲔 诌。 3、所有澄清或说明必须以书面方式正式为之,由法定代表人或其代理人的签名或盖章。 4、供应商拒不按照谈判小组要求作出澄清、说明或者补正的,作为无效响应处理。 二十四、评审中作为终止竞争性谈判活动的情况 1、因情况变化,不再符合规定的竞争性谈判采购方式适用情形的 2、出现影响采购公正的违法、违规行为的; 3、供应商的报价均超过了采购预算,采购人不能支付的; 4、因重大变故,采购任务取消的。 二十六、授予合同,合同条款 1、成交供应商应当在成交公告发出之日起的三十日内与采购人签订合同。 2、成交供应商应按采购人要求的时间、地点派代表前来与采购人具体商谈签订合同。谈判 文件、成交供应商的响应文件及澄清文件等,均为签订合同的依据。纣忧蔣氳頑莶驅藥悯骛覲僨 鴛鋅鲒嗚。 3、采购人在授予合同时有权对“响应文件”中的货物及配置在合法范围内进行调整。 4、成交供应商因不可抗力导致无法按期签订合同的,应当在不可抗力发生之日起 5 日内提 出,并提供书面证据,采购人及成交供应商互不承担任何责任及损失。如成交供应商无正 当理由未按期签订合同的,视为自动放弃中标资格,并承担违约责任。颖刍莖蛺饽亿顿裊赔泷涨 负這恻鲑觶。 5、货款支付: (1)合同签订生效后 10 个工作日内支付合同总价 30%的预付款; (2)所有项目整体风险评估通过验收后 10 个工作日内支付合同总价 60%的款额; (3)其余 10%合同款在服务期满前 10 个工作日内支付。 8 / 23 第六章 采购内容及要求 常州市城乡建设局信息安全风险评估及安全服务需求 一、项目目标 为准确识别信息安全各种风险和威胁,规避或减少信息安全事件造成的不良影响和损失, 常州市城乡建设局拟采购信息安全风险评估及安全服务项目。濫驂膽閉驟羥闈詔寢賻減栖綜诉鲐卺。 1、根据信息安全风险级别,运用科学方法和手段,系统地分析网络和信息系统所面临的威 胁及其脆弱性,评估安全事件一旦发生可能造成的危害程度,提出针对性的信息安全解决 方案和加固建议,为网络、软硬件系统的安全与稳定运行提供有力的保障。銚銻縵哜鳗鸿锓謎 諏涼鏗穎報嚴鲍蝇。 2、通过专业的安全服务和管理,及时协助信息安全管理人员发现和处理服务范围内的设备 及系统安全事故,提供有针对性的安全咨询及安全规划方案,最大限度保障网络和信息安 全。挤貼綬电麥结鈺贖哓类芈罷鸨竇鲋鑿。 二、项目内容 (一)信息安全风险评估 1、评估范围 本项目评估范围涵盖常州市城乡建设局基础硬件设施、网络环境和信息系统,对组织架构、 策略体系、人员安全、物理安全、网络及安全设备、服务器系统及应用系统(含数据库、 中间件)进行风险评估。包括:15 台服务器和存储设备,19 台网络和安全设备,9 个信息 系统及 1 套虚拟化支撑平台。赔荊紳谘侖驟辽輩袜錈極嚕辫鏢鲈蕆。 序号分类名称数量 1DELL R9102 2DELL R7101 3HP DL3804 4HP DL3882 5HP DL1202 6HP DL3601 7DELL PS61002 8华北工控机 PC6101 9ZTE RS89021 10ZTE 52502 11Cisco 35601 12H3C S63003 13H3C 55603 14H3C S75031 15H3C S51201 16H3C F1001 17启明星辰 FW1008DP1 18天融信 TG470C1 19深信服 AF1850 1 20 硬件 (34) 深信服 VPN30501 9 / 23 21深信服 VPN20502 22市政公用地理信息集成系统1 23建设工程专业理论知识与技术水平测试系统1 24综合信息平台及公共数据库1 25基于 GIS 应用的城建档案管理系统1 26局移动端公众服务平台(微信号)1 27常州市建筑市场监督管理信息系统1 28混凝土质量追踪及动态监管系统1 29局本级及局属事业单位财务信息平台1 30 信息系统 (9) 城建热线综合业务平台1 31基础平台虚拟化支撑平台1 2、评估内容 从物理安全、网络安全、主机安全、应用安全、数据安全、虚拟化支撑平台安全、安全管 理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理十一个层次分别加 以建设、加固。塤礙籟馐决穩賽釙冊庫麩适绲挝鲅偬。 2.1 物理安全 物理安全主要涉及的方面包括环境安全(防火、防水、防雷击等)设备和介质的防盗窃防 破坏等方面。具体包括:物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防 尘、防火、防水和防潮、防静电、温湿度控制、电力供应和电磁防护。裊樣祕廬廂颤谚鍘羋蔺递 灿扰谂鲂茎。 2.2 网络安全 网络安全主要关注的方面包括:网络结构、网络边界以及网络设备自身安全等,具体的评 估点包括:访问控制、安全审计、边界完整性检查、入侵防范、恶意代码防范、网络设备 防护。仓嫗盤紲嘱珑詁鍬齊驁絛鯛鱧俁鱿親。 2.3 主机安全 主机系统安全涉及的评估点包括:身份鉴别、安全标记、访问控制、可信路径、安全审计、 剩余信息保护、入侵防范、恶意代码防范和资源控制。绽萬璉轆娛閬蛏鬮绾瀧恒蟬轅紗鱼臚。 2.4 应用安全 应用系统安全的评估点包括:身份鉴别、访问控制、安全审计、剩余信息保护、通信完整 性、通信保密性、抗抵赖、软件容错、资源控制、代码安全。骁顾燁鶚巯瀆蕪領鲡赙骠弒綈閶魉齠。 2.5 数据安全 明确需要保护的数据,评估点包括:数据的保密性、完整性、备份和恢复措施的有效性。 2.6 虚拟化支撑平台安全 (1)安全咨询服务 针对虚拟化支撑平台,提出安全防护对策,协助常州市城乡建设局对虚拟化支撑平台进行 安全体系建设,制定安全方案,保证虚拟化支撑平台的安全运行。瑣钋濺暧惲锟缟馭篩凉貿锕戧 晋魇缫。 (2)安全运维服务 对各类操作日志进行分析审计,包括虚拟机、数据库、数据传输、VDC 及各种配置与管理 信息。发现异常并提出解决方案,以保证系统安全。鎦诗涇艳损楼紲鯗餳類碍穑鳓责髌鹊。 对虚拟化支撑平台产生的安全相关的告警信息、报错信息等进行分析处理,提供虚拟化支 撑平台的安全运维服务。 对虚拟化支撑平台的防火墙、入侵防护、病毒防护等安全设备的日志进行分析,安全策略 10 / 23 设置进行优化、分析并依据业务需求进行变更。栉缏歐锄棗鈕种鵑瑶锬奧伛辊刪髋綠。 制定虚拟化支撑平台的应急响应方案,对应急响应方案进行测试和演练。 2.7 安全管理制度 安全管理制度主要包括:管理制度、制定和发布、评审和修订。 2.8 安全管理机构 安全管理机构主要包括:岗位设置、人员配备、授权和审批、沟通和合作以及审核和检查。 2.9 人员安全管理 对人员安全的管理,主要涉及两方面:对内部人员的安全管理和对外部人员的安全管理。 具体包括:人员录用、人员离岗、人员考核、安全意识教育和培训和外部人员访问管理。 辔烨棟剛殓攬瑤丽阄应頁諳绞綽髅鱉。 2.10 系统建设管理 系统建设管理分别从工程实施建设前、建设过程以及建设完毕交付等三方面考虑,具体包 括:系统定级、安全方案设计、产品采购和使用、工程实施、测试验收、系统交付、系统 备案、等级测评和安全服务商选择。峴扬斕滾澗辐滠兴渙藺诈機愦頇骧经。 2.11 系统运维管理 系统运维管理方面需对环境管理、资产管理、介质管理、设备管理、监控管理、系统安全 管理、网络安全管理、恶意代码防护管理、密码管理、变更管理、备份和恢复管理、安全 事件处置、应急预案管理。詩叁撻訥烬忧毀厉鋨骜靈韬鰍椟骥鲚。 3、评估过程 3.1 资产边界分析 (1)分析待评估资产范围; (2)划分内部资产子系统; (3)对各子系统进行边界确认; (4)确定最终资产子系统边界; 3.2 资产识别 (1)根据资产表格进行资产审计; (2)分组对本地、非本地区域资产进行有效录入登记; (3)每类资产明细需要审计资产详细配置与当前状态; 3.3 威胁识别 (1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防 雷、防火、防盗等多个方面进行物理威胁识别;则鯤愜韋瘓賈晖园栋泷华缙輅赞骣紆。 (2)从网络拓扑、地址分配、VLAN 划分、路由协议、准入控制、访问控制等多个方面进 行网络威胁识别; (3)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护 等多方面进行系统威胁识别;胀鏝彈奥秘孫戶孪钇賻锵咏繞敘骢驗。 (4)从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码 安全、审计安全等多个方面进行应用威胁识别;鳃躋峽祷紉诵帮废掃減萵輳慘纈骡窥。 (5)从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威 胁识别。 3.4 脆弱性识别 (1)从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防 雷、防火、防盗等多个方面进行物理脆弱性识别;稟虛嬪赈维哜妝扩踴粜椤灣鲳飫骠馁。 (2)从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、 11 / 23 日常运维等多方面进行系统脆弱性识别;陽簍埡鲑罷規呜旧岿錟麗鲍轸沩骞硨。 (3)从网络拓扑、地址分配、VLAN 划分、路由协议、准入控制、访问控制、日常运维等 多个方面进行网络脆弱性识别;沩氣嘮戇苌鑿鑿槠谔應釵蔼绋较骝額。 (4)从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计 安全、日常运维等多个方面进行应用脆弱性;钡嵐縣緱虜荣产涛團蔺缔嵛恽囂骜疯。 (5)从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别; 3.5 已有安全措施登记 (1)识别已有操作系统安全策略; (2)识别已有应用系统安全策略; (3)识别已有网络系统安全策略; (4)识别已有安防系统安全策略; (5)识别已有机房系统安全策略; 3.6 风险分析 (1)根据收集的用户数据进行分析,评估要素关系映射; (2)根据评估要素关系进行风险值计算 (3)形成风险评估报告; (4)针对风险评估报告的解决方案; 3.7 应用系统渗透性测试 在常州市城乡建设局相关部门的授权下,对常州市城乡建设局相关的应用系统进行渗透测 试,并提供相关渗透测试报告。懨俠劑鈍触乐鹇烬觶騮揚銥鯊臘骛韦。 应用系统渗透性测试,通过手工测试的方法去验证漏洞是否真实存在和该漏洞对系统构成 的威胁有多大,来最终确定其风险等级,除此之外需要通过手工测试的方法,发现扫描器 无法扫描的逻辑性更强的漏洞。更全面的找出对系统构成威胁的漏洞,将威胁降到最低。 系统有重大升级和改造时,及时提供安全评估服务。 (中标人要提供持有中国信息安全认证 中心认证的信息安全保障员“网络攻防”方向的持证人员从事该项任务) 。謾饱兗争詣繚鮐癞别瀘 鯽礎輪駭骚獅。 3.8 web 应用监测预警服务 从脆弱性、可用性、域名劫持、挂马、暗链、网页篡改等多个维度对互联网 web 应用进行 724 小时周期性监测。针对不同监测功能进行独立的邮件告警配置,来达到周期告警的目 的。对于紧急安全事件,需即时短信告警,以帮助管理人员对互联网 web 应用安全事件做 出实时响应。呙铉們欤谦鸪饺竞荡赚趱為練溅骗閻。 3.9 系统加固服务 依据评估结果,和常州市城乡建设局共同制定系统加固实施方案,依据方案实施加固,并 输出完整的系统加固实施记录。莹谐龌蕲賞组靄绉嚴减籩诹戀邻骖灏。 3.10 整体项目风险评估报告 进行全面的风险评估与过程跟踪,出具各阶段的项目风险评估报告与项目加固过程跟踪报 告。问题整改后进行全面复测,形成整体项目最终的风险评估报告。麸肃鹏镟轿騍镣缚縟糶尔摊 鲟嫗骓镭。 4、评估成果 须在项目实施的各个阶段及时提交测评成果,包括(但不限于)风险评估方案、风险评估 程序、资产识别清单、重要资产清单、威胁列表、脆弱性列表、已有安全措施确认表、风 险处理计划、风险评估记录等。风险评估项目实施各阶段提交的成果文档主要包括(但不 限于)以下内容:納畴鳗吶鄖禎銣腻鰲锬颤階躜萵骒潤。 常州市城乡建设局信息系统资产调查报告 12 / 23 常州市城乡建设局信息系统资产赋值报告 常州市城乡建设局信息系统现状分析报告 常州市城乡建设局信息系统风险评估报告 常州市城乡建设局信息安全整体加固报告 常州市城乡建设局应用系统渗透测试报告 常州市城乡建设局信息安全整体解决方案 常州市城乡建设局信息安全体系建议报告 (二)信息安全服务 1、应急响应服务 服务周期:合同签订之日起一年内 服务内容(包括但不限于): (1)对设备提供现场安全维护和工作时间安全维护服务。经维护发现设备故障或损坏时, 及时向常州市城乡建设局信息中心技术人员详细说明故障原因及损坏程度,并提供最佳的 解决方案。损坏件更换完毕后,协助常州市城乡建设局信息中心将有关设备恢复到原来的 运行状态;風撵鲔貓铁频钙蓟纠庙誑繃纸鯉骐鍔。 (2)提供对意外事故的处理; (3)提供对非法入侵的处理和调查恢复; (4)提供对网络攻击的应急防护; (5)提供应急响应服务的同时,进行数据备份,确保数据的安全存放,并在故障排除后将 数据恢复到原有状态; (6)制定网络安全应急方案(包括防病毒、入侵检测、数据备份、防火墙以及核心交换机) ,并协助常州市城乡建设局进行至少一次应急演练,并提交相关报告。灭嗳骇諗鋅猎輛觏馊藹狰 廚怃牺骏沣。 服务要求: (1)为常州市城乡建设局信息安全突发事件提供 724 小时技术支持; (2)为常州市城乡建设局的信息安全咨询提供 524 小时专人电话服务; (3)对于突发的网络安全事故,中标方技术人员需在 2 小时内到达现场; (4)每次维护均要有记录,年末提供年度汇总报告。 2、安全通报服务 服务周期:合同签订之日起一年内 服务内容:每月通过特定方式向常州市城乡建设局提供安全通告列表,实时提供最新出现 的安全漏洞和安全升级通告。对于影响力范围广、破坏大的计算机病毒提供具体的检测和 修复办法。铹鸝饷飾镡閌赀诨癱骝吶转鮭钱验锁。 3、安全检测服务 服务周期:合同签订之日起一年内,每月巡检、每季度出具季度安全报告。 服务范围: (1)对网络安全进行全面的评估检测,分析和检测网络拓扑及结构设计的安全性、网络边 界连接的安全性等,制定网络拓扑优化、安全域规划与配置、IP 规划、VLAN 优化等策略, 并根据实际情况配合调整与实施等;攙閿频嵘陣澇諗谴隴泸鐙浍蹤島骋檻。 (2)对服务器、路由器、安全设备、数据备份设备、软件等的安全日志进行分析检测和安 全配置检查,提出系统加固建议以及相关的应急措施;趕輾雏纨颗锊讨跃满賺蚬騍純蠅骊銬。 (3)对服务器进行漏洞扫描,根据漏洞扫描、渗透测试结果对系统策略进行优化设计; (4)协助常州市城乡建设局开展网络安全检查工作,并出具常州市城乡建设局网络安全检 查报告。 13 / 23 服务内容: (1)运行环境评估检测:对环境、设备、场地线路等物理设施进行安全评估并对安全隐患 提出相应的解决建议或进行修复和改造。夹覡闾辁駁档驀迁锬減汆藥徑鴕骇枪。 (2)平台安全评估检测:对服务器的操作系统、网络设备、备份设备、应用程序的安全性 进行评估检测并对安全隐患和脆弱性进行修复。视絀镘鸸鲚鐘脑钧欖粝佥爾鱿痨骆钤。 (3)安全产品审计和升级:对安全产品(防火墙、入侵检测系统、防病毒系统、数据备份 系统等)的日志进行审计,对出现的安全隐患提出解决建议,对在免费升级维护期内的产 品提供升级服务。偽澀锟攢鴛擋緬铹鈞錠铃铋跄铲骅擷。 服务目标:全面给出相应的安全隐患和脆弱性报告,以及安全性整改建议。使客户对系统 安全性状况和整体安全状况有全面具体的了解,保护用户不遭受新的安全性威胁带来的损 失,保护安全与性能的平衡。达到以下目标:緦徑铫膾龋轿级镗挢廟耬癣纥徑骄鄰。 (1)及时提供操作系统安全漏洞信息,并协助作出相应处理或给予建议解决方案; (2)及时发现系统配置漏洞,并协助作出相应处理或给予建议解决方案; (3)及时通报应用软件安全漏洞,并协助作出相应处理或给予建议解决方案; (4)保证操作系统的安全等级与最新安全技术的同步,保障应用系统的安全; (5)及时通报数据备份硬、软件系统的动转情况,对存在的安全隐患给出解决方案。 4、安全总体规划服务 提出信息系统安全防护对策,协助常州市城乡建设局对信息系统进行安全体系建设,制定 安全方案,保证信息系统的安全运行;对系统集成项目、应用软件集成项目、安全集成项 目等进行安全方案咨询服务,并负责安全性审查和实施过程的全面监控。騅憑钶銘侥张礫阵轸 蔼揽齊弯議骂拧。 5、安全管理体系服务 依照常州市城乡建设局管理要求内容,协助建立、完善、监督、执行相关安全保护管理制 度。 (1)计算机机房安全管理制度; (2)安全管理责任人、信息审查员的任免和安全责任制度; (3)网络安全漏洞检测和系统升级管理制度; (4)操作权限管理制度; (5)用户登记制度; (6)信息发布审查、登记、保存、清除和备份制度,信息群发服务管理制度。 协助用户落实以下安全保护技术措施: (1)系统重要部分的冗余或备份措施; (2)系统安全加固措施 三、实施原则 1、客观性和公正性原则 测评人员应当没有偏见,在最小主观判断情形下,按照测评双方相互认可的测评方案,基 于明确定义的测评方式和解释,实施测评活动。疠骐錾农剎貯狱颢幗騮鸪詼驤齔骀输。 2、可重复性和可再现性原则 依照同样的要求,使用同样的测评方式,对每个测评实施过程的重复执行应该得到同样的 结果。可再现性和可重复性的区别在于,前者与不同测评者测评结果的一致性有关,后者 与同一测评者测评结果的一致性有关。镞锊过润启婭澗骆讕瀘載撻贏祷驿懼。 3、连续性原则 确保在高速变化的信息安全环境中,在有效的服务期间内,保证招标方风险评估结论的准 确性和及时性,对于招标方单位新增设的信息资产和服务,或新建立的信息化项目,进行 14 / 23 局部系统的重新评估。从经济上,降低了招标方单位的成本,从信息安全性上,保证信息 安全评估的动态稳定性。榿贰轲誊壟该槛鲻垲赛纬闼糝锷驾躦。 4、扩展性原则 在风险评估过程结束后,倡导信息安全评估过程要保持扩展性,从扩展的属性上进一步加 强评估结束后被评估用户单位的安全管理有效性和可用性。邁茑赚陉宾呗擷鹪讼凑幟结廢擴驽弯。 5、保密原则 在风险评估过程中,需严格遵循保密原则,招标方与投标方签订保密协议,对服务过程中 涉及到的任何用户信息未经允许不向其他任何第三方泄漏,以及不得利用这些信息损害用 户利益。嵝硖贪塒廩袞悯倉華糲饃励骝詡驻赌。 6、互动原则 在整个风险评估过程中,强调用户的互动参与,每个阶段都能够及时根据用户的要求和实 际情况对评估的内容、方式做出相关调整,进而更好的进行风险评估工作。该栎谖碼戆沖巋鳧 薩锭谟贛赘众驺嶠。 7、最小影响原则 风险评估工作应该尽可能小地影响系统和网络的正常运行,不能对业务的正常运行产生明 显的影响(包括系统性能明显下降、网络阻塞、服务中断等) ,如无法避免,则应做出说明。 劇妆诨貰攖苹埘呂仑庙痙湯簖粜驹責。 8、规范性原则 信息安全风险评估服务的实施必须由专业的评估服务人员依照规范的操作流程进行,对操 作过程和结果要有相应的记录,并提供完整的服务报告。臠龍讹驄桠业變墊罗蘄嚣驮广闰驸孙。 9、质量保障原则 在整个风险评估过程中,将特别重视项目质量管理。项目的实施将严格按照项目实施方案 和流程进行,并由项目协调小组从中监督,控制项目的进度和质量。鰻順褛悦漚縫冁屜鸭骞阋苈 騍擯驷谑。 四、测评技术要求 按照江苏省信息化条例 、 江苏省信息安全风险评估管理办法(试行) 、 信息安全技术 政府部门信息安全管理基本要求 (GBT 29245-2012) 、 信息安全技术 信息安全风险评估 规范 (GB20984-2007-T) 、 信息安全技术 信息安全风险评估实施指南 (GB/T 31509- 2015) 、常州市城乡建设局安全管理规定,对常州市城乡建设局信息系统进行安全评估,明 确信息系统存在的问题和不足,主要包括:穑釓虚绺滟鳗絲懷紓泺視娇賭謗驵墮。 1、差距分析 通过、调查问卷、人员访谈、文档查看、现场勘查、人工检查、记录分析、技术测试、渗 透测试等方式进行安全技术和安全管理方面的评估,判断安全技术和安全管理的各个方面 与等级保护相应等级基本要求之间的差距,给出差距分析结果,提出信息系统的安全保护 需求。隶誆荧鉴獫纲鴣攣駘賽涝鈧籜军驴該。 2、风险评估 对信息系统重要资产进行风险评估,分析并确定不能接受的安全风险,然后确定额外安全 措施并判断对超出基本要求部分实施额外安全措施的必要性,提出信息系统的额外安全保 护需求。浹繢腻叢着駕骠構砀湊農瑤帳结驳喷。 3、管理体系规划设计 针对信息系统的安全需求,规划设计管理体系,包括组织体系和制度体系。 4、技术体系规划设计 针对信息系统的安全需求和信息安全方针策略,规划设计技术体系,包括技术防护体系、 技术管控体系和技术恢复体系。鈀燭罚櫝箋礱颼畢韫粝銨鹏骆隶驱讹。 15 / 23 5、实施运作 (1) 依据管理体系规划设计和技术体系规划设计的成果,设计分期分批的主要建设内容, 并将建设内容组合成不同的项目,阐明项目之间的依赖或促进关系等。惬執缉蘿绅颀阳灣熗鍵舣 讷赃棧驯嘆。 (2)在时间和经费上对安全建设项目进行总体考虑,分到不同时期和阶段,设计建设顺序, 进行投资估算,形成安全建设项目计划。贞廈给鏌綞牵鎮獵鎦龐朮戗笾賂驮見。 五、项目进度及实施要求 1、本项目服务开始时间以合同签订后的生效日期为准; 2、合同生效后,立即参与服务范围内软、硬件项目的实施过程,开展信息安全风险评估、 加固工作和信息安全服务;嚌鲭级厨胀鑲铟礦毁蕲鷯鑭嵝卢驭劳。 3、实施时间: 3.1 信息风险评估:以各信息系统的实际开发进度为准,结束时间以完成所有信息系统的 整改和复测工作、评估对象正常投入运营为准。评估和整改、复测工作应在系统竣工验收 之后 2 个月内完成。薊镔竖牍熒浹醬籬铃騫违紗駑缓马蚀。 3.2 信息安全服务:合同签订后一年。 4、项目服务内容、过程和成果必须符合国家信息安全法律、法规、规章、规范性文件、标 准的相关规定和要求。 5、中标单位须提供工程师驻点实施本项目,确保项目服务质量。 六、验收要求 1本项目验收合格的条件必须至少满足以下各项要求: (1)完成风险评估范围内所有内容的检测和评估工作; (2)配合完成检测出问题的整改和加固工作; (3)整改后,完成风险评估范围内所有内容的复测工作; (4)各阶段提供的测评成果需符合国家信息安全的相关规定。 2验收成果资料包括(但不限于)以下内容: (1)初次风险评估报告和整改后的风险评估报告; (2)问题整改方案和实施计划; (3)过程跟踪的记录和成果。 第七章 格式附表 附件一: 响 应 函 致:常州市政府采购中心 我单位收到贵单位“常采竞2016号”谈判文件后,经详细研究,我们决定参加该项目采购 活动。为此,我方郑重声明以下诸点,并负法律责任。齡践砚语蜗铸转絹攤濼絡減貽颜馔農。 1、按谈判文件规定的各项要求,向采购人提供所需货物与服务。谈判报价包括但不限于谈 判文件及其准备(包括现场踏勘、技术核对等) 、设备(包括备品备件、专用工具) 、技术 资料、设计、制造、检验、包装、技术资料、发货、运输、装卸至现场指定地点、安装调 试、技术指导培训、质保期及维保服务和谈判文件所要求的相关服务等全部内容。绅薮疮颧 訝标販繯轅赛怃贿豎毆馑蒞。 2、我方承诺质保期为年。 3、如果我方中标,我方愿意在签订合同时支付履约保证金,承诺提供集中采购机构在谈判 文件中要求的所有资料,全面履行谈判文件规定的每一项要求,按期、按质、按量完成任 16 / 23 务。饪箩狞屬诺釙诬苧径凛骗橥峽軋馐侠。 4、我方承诺该响应文件在该项目的全过程中保持有效,不作任何更改和变动。 5、我们愿按中华人民共和国合同法履行自己的全部责任。 6、我方同意按谈判文件规定交纳谈判保证金,遵守贵机构有关采购活动的各项规定。 7、愿意提供谈判文件中要求所有资料,并保证完全真实准确,若有虚假和违背,我公司愿 意承担由此而产生的一切后果。烴毙潜籬賢擔視蠶贲粵貫飭驴哕馏艰。 8、与本次采购活动有关的正式通讯地址为: 地 址: 电 话: 传 真: 供应商法定代表人或代理人(签字或盖章): 供应商名称(公章): 日 期: 年 月 日. 附件二: 法定代表人资格证明书 单位名称: 地址: 姓名: 性别: 年龄: 职务: 系 的法定代表人。为实施 (常采竞2016号 的工作,签署上述项 目的响应文件、进行合同谈判、签署合

温馨提示

  • 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
  • 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
  • 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
  • 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
  • 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
  • 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
  • 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

评论

0/150

提交评论