蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司受蘇州數(shù)政安全技術(shù)有限公司之委托,對其采購的市委政法委社會治理類信息化平臺網(wǎng)絡(luò)安全服務(wù)進(jìn)行詢價(jià)采購����,歡迎合格的供應(yīng)商前來參加���。
一、 項(xiàng)目說明:
(一) 項(xiàng)目名稱:市委政法委社會治理類信息化平臺網(wǎng)絡(luò)安全服務(wù)
(二) 采購預(yù)算:人民幣壹拾萬捌仟元整(¥:108000.00)
(三) 合格詢價(jià)響應(yīng)供應(yīng)商的條件:
1����、具有獨(dú)立承擔(dān)民事責(zé)任的能力;
2���、具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會計(jì)制度����;
3����、具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力;
4���、有依法繳納稅收和社會保障資金的良好記錄��;
5�����、參加采購活動前三年內(nèi)�����,在經(jīng)營活動中沒有重大違法記錄����;
6�����、法律�、行政法規(guī)規(guī)定的其他條件。
二�����、采購要求:
(一)服務(wù)內(nèi)容
一)人工滲透測試服務(wù)
滲透測試(Penetration Test)是完全模擬遠(yuǎn)程黑客攻擊��,利用各種主流的攻擊技術(shù)和漏洞發(fā)現(xiàn)技術(shù),對中國共產(chǎn)黨蘇州市委員會政法委員會的蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)����、蘇州市市域社會治理現(xiàn)代化指揮平臺、蘇州市社會矛盾糾紛調(diào)處化解平臺一些隱形存在的安全漏洞和風(fēng)險(xiǎn)點(diǎn)作深入的探測�,發(fā)現(xiàn)系統(tǒng)最脆弱的環(huán)節(jié)。滲透測試能夠直觀的讓信息主管對信息系統(tǒng)的安全性有較深的感性認(rèn)知���,在系統(tǒng)進(jìn)行了安全加固之后進(jìn)行滲透測試�,則可以用于驗(yàn)證經(jīng)過安全保護(hù)后的網(wǎng)絡(luò)是否真的達(dá)到了安全目標(biāo)����。
1、遠(yuǎn)程深度滲透測試
在遠(yuǎn)程對政務(wù)云上的三個平臺系統(tǒng)進(jìn)行滲透測試工作�,包括并不限于漏掃、人工滲透業(yè)務(wù)系統(tǒng)相關(guān)的端口��、主機(jī)��、業(yè)務(wù)邏輯��、以及外部可影響到系統(tǒng)的威脅進(jìn)行深度挖掘和檢測�,在允許的情況下由外向目標(biāo)內(nèi)網(wǎng)進(jìn)行延伸滲透,并出具報(bào)告���。
2�、現(xiàn)場深度滲透測試
在現(xiàn)場系統(tǒng)進(jìn)行滲透工作,包括并不限于漏掃�、人工滲透業(yè)務(wù)系統(tǒng)相關(guān)的端口、主機(jī)�、業(yè)務(wù)邏輯、以及外部可影響到系統(tǒng)的威脅進(jìn)行深度挖掘和檢測��,在允許的情況下由外向目標(biāo)內(nèi)網(wǎng)進(jìn)行延伸滲透�,并出具報(bào)告。
3�����、服務(wù)頻率
項(xiàng)目周期內(nèi)按需提供2次服務(wù)�。
二)漏洞掃描服務(wù)
1、外網(wǎng)漏洞掃描
通過安全評估平臺����,從政務(wù)云側(cè)對蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)����、蘇州市市域社會治理現(xiàn)代化指揮平臺、蘇州市社會矛盾糾紛調(diào)處化解平臺的出口IP或Web應(yīng)用進(jìn)行漏洞��、弱口令掃描,并出具掃描報(bào)告����。
2、內(nèi)網(wǎng)漏洞掃描
將漏洞掃描設(shè)備接入到三個平臺信息系統(tǒng)所在內(nèi)部網(wǎng)絡(luò)環(huán)境�����,可選擇安全防護(hù)設(shè)備外側(cè)或內(nèi)側(cè)作為接入點(diǎn)�,對IP或Web應(yīng)用進(jìn)行漏洞、弱口令掃描����,并出具掃描報(bào)告。
主機(jī)掃描:端口掃描�����、弱口令檢測����、DNS域傳送漏洞、服務(wù)器指紋���、SMB遠(yuǎn)程代碼執(zhí)行漏洞�����、各種緩沖區(qū)溢出漏洞�、3389遠(yuǎn)程溢出等。
Web掃描:OWASP TOP 10漏洞掃描(SQL注入�、XSS等)、各種CVE漏洞(緩沖區(qū)溢出��、遠(yuǎn)程命令執(zhí)行)��、文件包含漏洞�、URL跳轉(zhuǎn)漏洞、目錄遍歷漏洞�����、web后臺探測��、web應(yīng)用程序指紋等���。
中間件檢測:phpmyadmin、tomcat��、weblogic等弱口令;MySQL�����、Oracle�、DB2等弱口令;struts2命令執(zhí)行漏洞��、weblogic反序列化漏洞����、各種已知CVE漏洞、中間件配置錯誤等���。
3�、漏洞修復(fù)復(fù)查
對通過漏洞掃描發(fā)現(xiàn)的高中危漏洞���,在修復(fù)后進(jìn)行閉環(huán)復(fù)查�,以確保漏洞得到最終修復(fù)��。
4�、服務(wù)頻率
服務(wù)周期內(nèi)每月提供1次服務(wù),共計(jì)12次���。
三)應(yīng)急響應(yīng)服務(wù)
1����、應(yīng)急響應(yīng)內(nèi)容
按照PDCERF模型,在應(yīng)急響應(yīng)時執(zhí)行準(zhǔn)備����、檢測、遏制�、根除、恢復(fù)�、跟蹤6個動作,幫助積極應(yīng)對各類惡意程序事件����、網(wǎng)絡(luò)攻擊事件、信息破壞事件�、信息內(nèi)容安全事件、設(shè)備設(shè)施故障等重大或突發(fā)事件�。
應(yīng)急處置內(nèi)容包括但不限于市委政法委社會治理類信息化平臺相關(guān)硬件、產(chǎn)品���、網(wǎng)絡(luò)����、配置等方面的故障,各類安全事件�����,如:黑客攻擊�、木馬病毒����、異常流量、Web攻擊等�。通過及時對日志、流量�、文件、情報(bào)等維度的關(guān)聯(lián)分析與深度挖掘�,定位各類安全事件發(fā)生的原因,及時對惡意文件進(jìn)行清除����、漏洞修復(fù)、安全加固���,避免同類安全事件再次發(fā)生�����。
2���、服務(wù)頻率
服務(wù)周期內(nèi)����,按需提供服務(wù)����。
四)安全培訓(xùn)服務(wù)
1、全員安全意識培訓(xùn)
通過全員培訓(xùn)���,了解相關(guān)工作人員的安全知識掌握程度��,提升網(wǎng)絡(luò)安全知識��,減少員工在日常工作中由于安全知識的匱乏使單位遭受重大損失的幾率��,使工作人員深刻認(rèn)識網(wǎng)絡(luò)安全的重要性���,規(guī)范日常行為,幫助打造社會治理類信息化平臺網(wǎng)絡(luò)安全生態(tài)�����。培訓(xùn)形成與培訓(xùn)內(nèi)容配套的考核材料,包括且不局限于考核試卷�、調(diào)研問卷等。
2�、信息安全運(yùn)維培訓(xùn)服務(wù)
從安全角度培養(yǎng)單位運(yùn)維人員、開發(fā)人員等專業(yè)技術(shù)人員�����,豐富其專業(yè)網(wǎng)絡(luò)安全技能�����。面向運(yùn)維人員�,主要培訓(xùn)日常運(yùn)維工作中網(wǎng)絡(luò)安全意識��、基本網(wǎng)絡(luò)安全知識與技能��、常見安全設(shè)備運(yùn)維注意事項(xiàng)等內(nèi)容���。面對開發(fā)人員��,主要培訓(xùn)開發(fā)過程中網(wǎng)絡(luò)安全相關(guān)注意事項(xiàng)��,常見的代碼相關(guān)漏洞形成原因與主要規(guī)避手段�����,等保中對開發(fā)人員的要求等����。培訓(xùn)形成與培訓(xùn)內(nèi)容配套的考核材料,包括且不局限于考核試卷���、調(diào)研問卷等��。
3��、服務(wù)頻率
服務(wù)周期內(nèi)�,按需提供1次服務(wù)�。
五)應(yīng)急演練服務(wù)
組織相關(guān)人員,依據(jù)有關(guān)網(wǎng)絡(luò)安全應(yīng)急預(yù)案����,開展應(yīng)對蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)、蘇州市市域社會治理現(xiàn)代化指揮平臺�、蘇州市社會矛盾糾紛調(diào)處化解平臺網(wǎng)絡(luò)安全事件的活動。應(yīng)急演練通過模擬真實(shí)的安全事件呈現(xiàn)單位內(nèi)部應(yīng)對網(wǎng)絡(luò)安全事件處置過程���,以檢驗(yàn)應(yīng)急響應(yīng)中各方的協(xié)同反應(yīng)水平和實(shí)戰(zhàn)能力���、評估應(yīng)急響應(yīng)預(yù)案的實(shí)用性����、可行性�����、可靠性為目的��。
應(yīng)急演練模擬網(wǎng)絡(luò)和信息系統(tǒng)可能遭遇的安全事件��,如:發(fā)生網(wǎng)絡(luò)入侵事件��、大規(guī)模病毒爆發(fā)��、遭受拒絕服務(wù)攻擊等����,演練處置流程�����、處置方法等����,從而發(fā)現(xiàn)當(dāng)前存在的不足�,完善相關(guān)措施�����。一旦發(fā)生真實(shí)的攻擊事件能正確應(yīng)對����,確保系統(tǒng)的安全穩(wěn)定運(yùn)行。
1�����、應(yīng)急演練內(nèi)容
通過調(diào)研中國共產(chǎn)黨蘇州市委員會政法委員會社會治理類信息化平臺相關(guān)應(yīng)急管理現(xiàn)狀��,現(xiàn)有的應(yīng)急預(yù)案�����、組織架構(gòu)�����、應(yīng)急演練場景、應(yīng)系統(tǒng)架構(gòu)及部署情況��,編制網(wǎng)絡(luò)安全事件應(yīng)急預(yù)案�,根據(jù)應(yīng)急演練方案編寫應(yīng)急演練腳本,組織參演各方根據(jù)應(yīng)急演練腳本進(jìn)行排練�����。配合市委政法委組織開展正式演練�,記錄演練過程,填寫演練評價(jià)表�,演練結(jié)束后編制演練總結(jié)報(bào)告,匯總演練過程文檔�。
應(yīng)急演練的工作流程包括:
1)根據(jù)應(yīng)急預(yù)案定期進(jìn)行演練;
2)應(yīng)急演練中的預(yù)警處理和預(yù)警發(fā)布���;
3)應(yīng)急演練中的應(yīng)急處置;
4)應(yīng)急演練中的應(yīng)急保障��;
5)應(yīng)急演練總結(jié)輸出����。
2、服務(wù)頻率
服務(wù)周期內(nèi)�,按需提供1次服務(wù)。
六)風(fēng)險(xiǎn)評估
信息安全風(fēng)險(xiǎn)評估主要是依據(jù)有關(guān)信息安全技術(shù)與管理標(biāo)準(zhǔn),從風(fēng)險(xiǎn)管理角度����,對蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)、蘇州市市域社會治理現(xiàn)代化指揮平臺�����、蘇州市社會矛盾糾紛調(diào)處化解平臺的信息系統(tǒng)及由其處理��、傳輸和存儲的信息的保密性����、完整性和可用性等安全屬性進(jìn)行評價(jià)的過程,通過評估資產(chǎn)面臨的威脅以及威脅利用脆弱性導(dǎo)致安全事件的可能性���,結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對單位造成的影響��,并提出有針對性的抵御威脅的防護(hù)對策和整改措施���。信息安全風(fēng)險(xiǎn)評估貫穿于信息系統(tǒng)的規(guī)劃、設(shè)計(jì)���、實(shí)施�、運(yùn)行維護(hù)以及廢棄各個階段。
1�����、評估內(nèi)容
依據(jù)《GB/T 20984-2007 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估規(guī)范》���、《GB/T 31509-2015 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)評估實(shí)施指南》��、《GB/T 33132-2016 信息安全技術(shù) 信息安全風(fēng)險(xiǎn)處理實(shí)施指南》����、《GB/T 22239-2019 信息安全技術(shù) 網(wǎng)絡(luò)安全等級保護(hù)基本要求》以及蘇州市委政法委相關(guān)網(wǎng)絡(luò)安全要求��,實(shí)施全面的網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估服務(wù)����。運(yùn)用科學(xué)的方法和手段,系統(tǒng)地識別網(wǎng)絡(luò)與信息系統(tǒng)的資產(chǎn)價(jià)值�����,以及所面臨的威脅及存在的脆弱性����,評估安全事件一旦發(fā)生可能造成的危害程度,提出有針對性地抵御安全威脅的防護(hù)措施���,為防范和化解信息安全風(fēng)險(xiǎn)����,將風(fēng)險(xiǎn)控制在可以接受的水平���,最大限度地保障網(wǎng)絡(luò)正常運(yùn)行�����,為開展安全保障體系建設(shè)提供依據(jù)���,為確立安全策略和制定安全規(guī)劃提供決策建議。
風(fēng)險(xiǎn)評估服務(wù)實(shí)施過程如下圖所示:
風(fēng)險(xiǎn)評估采用的方法包括問卷調(diào)查�、人員訪談、人工核查��、工具檢測和實(shí)地察看等幾個方面�����。
調(diào)查問卷由一組相關(guān)的封閉式或開放式問題組成����,用于在評估過程中獲取信息系統(tǒng)在各個層面的安全狀況���,包括安全策略、組織制度����、執(zhí)行情況等。
人員訪談是指評估人員與信息系統(tǒng)有關(guān)人員(個人/群體)進(jìn)行交流����、討論等活動,獲取相關(guān)證據(jù)��,了解有關(guān)信息����。
人工核查是根據(jù)評估檢查記錄表內(nèi)容,采用上機(jī)驗(yàn)證的方式檢查應(yīng)用系統(tǒng)�����、主機(jī)系統(tǒng)��、數(shù)據(jù)庫系統(tǒng)以及網(wǎng)絡(luò)設(shè)備的配置是否正確����,是否與文檔、相關(guān)設(shè)備和部件保持一致�����,對文檔審核的內(nèi)容進(jìn)行核實(shí)(包括日志審計(jì)等)�。
工具檢測是利用技術(shù)工具對信息系統(tǒng)進(jìn)行測試,包括基于網(wǎng)絡(luò)探測和基于主機(jī)審計(jì)的漏洞掃描��、工具掃描等���。
實(shí)地察看是指根據(jù)信息系統(tǒng)的實(shí)際情況�,評估人員到系統(tǒng)運(yùn)行現(xiàn)場通過實(shí)地的觀察人員行為�����、技術(shù)設(shè)施和物理環(huán)境狀況判斷人員的安全意識����、業(yè)務(wù)操作、管理程序和系統(tǒng)物理環(huán)境等方面的安全情況���。
2��、服務(wù)頻率
服務(wù)周期內(nèi)��,按需提供1次服務(wù)���。
七)資產(chǎn)梳理服務(wù)
1��、服務(wù)內(nèi)容
1)IP梳理
通過掃描工具或者地址MAC的查詢方式自動的對蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)�、蘇州市市域社會治理現(xiàn)代化指揮平臺���、蘇州市社會矛盾糾紛調(diào)處化解平臺相關(guān)資產(chǎn)歸類或者篩查�,出具資產(chǎn)報(bào)告����。
2)端口梳理
通過掃描工具或者關(guān)鍵節(jié)點(diǎn)防火墻的流量對照查詢方式自動的對蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)、蘇州市市域社會治理現(xiàn)代化指揮平臺���、蘇州市社會矛盾糾紛調(diào)處化解平臺相關(guān)資產(chǎn)歸類或者篩查�,出具資產(chǎn)報(bào)告�。
3)服務(wù)器設(shè)備梳理
隨著時間的推移,長時間沒有檢測三個平臺相關(guān)服務(wù)器設(shè)備及配件設(shè)備信息會導(dǎo)致在運(yùn)維時無法及時了解服務(wù)器的現(xiàn)有監(jiān)控情況�����。或者服務(wù)器的原有信息變更導(dǎo)致的信息不準(zhǔn)確���,基于以上的原因通過服務(wù)器帶外管理口(iLO、BMC�����、HDM等IPMI管理口)收集設(shè)備基本信息����,如硬件配置(CPU、內(nèi)存��、RAID卡�����、硬盤���、網(wǎng)卡等)��、RAID配置��、固件版本(BIOS�、iLO、CPLD�、RAID卡、硬盤等硬件固件)����、賬號相關(guān)信息(包括檢查是否有非授權(quán)賬號及所有是否有非授權(quán)登陸等)。在得到授權(quán)的情況下登陸操作系統(tǒng)���,檢查操作系統(tǒng)的本地存儲使用情況(如分區(qū)數(shù)量��、分區(qū)大小�����、剩余空間等)�,檢查空閑及高峰時期處理器和內(nèi)存的占用率����。生成數(shù)據(jù)報(bào)告或服務(wù)器設(shè)備臺賬。
4)存儲設(shè)備梳理
存儲通過管理平臺�,對數(shù)據(jù)存儲設(shè)備及光纖交換機(jī)進(jìn)行全面的檢查。分別對光交的端口使用情況(端口的剩余數(shù)�����,激活數(shù),可分配數(shù))��、光交的配置(zone的劃分�、激活的zone、cfg包含的zone���、激活的cfg)、存儲空間使用情況(裸容量����、總?cè)萘俊⒖捎萌萘�����、可回收容量等)��、存儲池(磁盤組��、CPG等)的配置情況���、卷的劃分和主機(jī)映射(導(dǎo)出等)情況����、鏈路冗余情況等數(shù)據(jù)做完整的整理,給出專業(yè)的數(shù)據(jù)報(bào)告或數(shù)據(jù)存儲設(shè)備臺賬���。
5)賬號檢查
根據(jù)資產(chǎn)清單��,按照等級保護(hù)相關(guān)要求��,登錄每一臺設(shè)備���。重點(diǎn)檢查該設(shè)備上的賬號情況,檢查內(nèi)容包括但不限于�����,賬號有效性檢查��,對于測試賬號�、過期賬號、無效賬號等統(tǒng)一進(jìn)行刪除或禁用�;密碼復(fù)雜度檢查,對于仍需使用的賬號檢查每一個賬號的密碼復(fù)雜性是否滿足等保要求���,針對違規(guī)的賬號通知賬號所有人進(jìn)行整改或禁用賬號���;賬號權(quán)限檢查�����,根據(jù)業(yè)務(wù)需要檢查每一個賬號的權(quán)限開通是否合理�,對于權(quán)限過大的賬號通知設(shè)備管理員對賬號進(jìn)行降權(quán)或設(shè)置賬號允許使用時間��;三權(quán)分立檢查�,根據(jù)等保要求設(shè)備不允許使用超級管理員賬號,將檢查每一臺設(shè)備是否禁用超級管理員賬號并使用管理員����、審計(jì)員和操作員賬號����,對于不合規(guī)的設(shè)備,將通知運(yùn)維人員進(jìn)行整改加固�����。賬號梳理完成后�����,將相關(guān)賬號信息補(bǔ)充到資產(chǎn)表中,形成明確的資產(chǎn)賬號清單����。
2、服務(wù)頻率
服務(wù)周期內(nèi)����,按需提供1次服務(wù)。
八)安全巡檢服務(wù)
1�、服務(wù)內(nèi)容
1)安全設(shè)備巡檢
對蘇州市網(wǎng)格化社會治理大數(shù)據(jù)平臺(二期)、蘇州市市域社會治理現(xiàn)代化指揮平臺�����、蘇州市社會矛盾糾紛調(diào)處化解平臺的相關(guān)系統(tǒng)及設(shè)備進(jìn)行巡檢����,對設(shè)備的物理運(yùn)行情況、清潔情況�、系統(tǒng)運(yùn)行情況、系統(tǒng)資源利用情況�����、系統(tǒng)運(yùn)行日志���、相應(yīng)功能是否正常運(yùn)行等進(jìn)行檢查并記錄�,排除可能存在的安全問題和隱患。
定期對設(shè)備配置�����、日志進(jìn)行備份���。
在安全設(shè)備故障處理過程中的所有協(xié)調(diào)配合及總結(jié)報(bào)告工作�。
2)安全策略管理
根據(jù)安全工作需要�����,對安全設(shè)備自身的配置進(jìn)行變更調(diào)整�����,如登錄口令��、登錄方式�、密碼復(fù)雜度等設(shè)備運(yùn)維策略�����;
定期對安全設(shè)備業(yè)務(wù)訪問策略進(jìn)行梳理分析,發(fā)現(xiàn)過期�����、冗余���、無效�、不明確用途等策略�,根據(jù)分析結(jié)果提供優(yōu)化調(diào)整建議;
根據(jù)業(yè)務(wù)系統(tǒng)部署與調(diào)整����,制定和更新安全設(shè)備的防護(hù)、檢測策略��。
3)定制安全告警
定期通過對項(xiàng)目范圍內(nèi)所有安全系統(tǒng)及設(shè)備的報(bào)警日志進(jìn)行分析���,梳理近一月的信息安全情勢�、安全狀況�����,提出改進(jìn)建議���。
定制網(wǎng)絡(luò)安全設(shè)備的告警能力����,確保發(fā)生重大安全事件時,能及時發(fā)出告警動作����。
2、服務(wù)頻率
服務(wù)周期內(nèi)每季度提供1次服務(wù)���,共計(jì)4次���。
(二)產(chǎn)出物說明
|
序號
|
工作內(nèi)容
|
工作產(chǎn)出
|
數(shù)量
|
|
1
|
人工滲透測試服務(wù)
|
《系統(tǒng)滲透測試報(bào)告》
|
2次
|
|
2
|
漏洞掃描服務(wù)
|
《系統(tǒng)漏洞掃描報(bào)告》
|
12次
|
|
3
|
應(yīng)急響應(yīng)服務(wù)
|
《應(yīng)急響應(yīng)報(bào)告》
|
按需提供
|
|
4
|
安全培訓(xùn)服務(wù)
|
《安全培訓(xùn)報(bào)告》、培訓(xùn)課件
|
1次
|
|
5
|
應(yīng)急演練服務(wù)
|
《網(wǎng)絡(luò)安全應(yīng)急演練報(bào)告》《網(wǎng)絡(luò)安全應(yīng)急預(yù)案件》
|
1次
|
|
6
|
風(fēng)險(xiǎn)評估
|
《網(wǎng)絡(luò)安全風(fēng)險(xiǎn)評估報(bào)告》
|
1次
|
|
7
|
資產(chǎn)梳理服務(wù)
|
《資產(chǎn)清單》���、《網(wǎng)絡(luò)拓?fù)鋱D》
|
1次
|
|
8
|
安全巡檢服務(wù)
|
《安全巡檢報(bào)告》
|
4次
|
(三)服務(wù)人員要求
1��、人員要求
為能保證在規(guī)定時間內(nèi)完成項(xiàng)目建設(shè)���,供應(yīng)商必須提供穩(wěn)定的專業(yè)化的技術(shù)支持服務(wù)隊(duì)伍�,完善的技術(shù)支持服務(wù)體系。
具體人員要求如下:
項(xiàng)目經(jīng)理(1人):具備相關(guān)行業(yè)工作經(jīng)驗(yàn)����,負(fù)責(zé)日常管理����、工作安排���,安全托管文檔材料審核和歸檔�,向蘇州市委政法委匯報(bào)工作�,各項(xiàng)資源調(diào)配,投訴管理工作��。
項(xiàng)目組人員(4人):具備相關(guān)信息安全經(jīng)驗(yàn),熟悉主流網(wǎng)絡(luò)和安全設(shè)備����,負(fù)責(zé)項(xiàng)目安全的調(diào)研���、規(guī)范編制及現(xiàn)場日常的安全巡檢�、安全測試�����、應(yīng)急響應(yīng)等工作,專業(yè)能夠涵蓋網(wǎng)絡(luò)安全�����、應(yīng)用安全等專業(yè)�����。如果應(yīng)急事件發(fā)生��,則人員響應(yīng)要求在1小時內(nèi)進(jìn)行安全事件的響應(yīng)和處理��,且工作時間將不僅限于正常工作時間���,將根據(jù)事件處理要求進(jìn)行響應(yīng)��。
(四)服務(wù)期限和服務(wù)地點(diǎn)
1����、服務(wù)期限:合同簽訂后一年�。
2、服務(wù)地點(diǎn):采購人指定地點(diǎn)��。
(五)責(zé)任考核
對成交單位進(jìn)行考核(百分制)�,考核周期為三個月一次����,考核標(biāo)準(zhǔn)如下表��。在服務(wù)期內(nèi)�����,如連續(xù)兩次考核不達(dá)標(biāo)(得分低于60)或超過三次(不連續(xù))考核不達(dá)標(biāo)�,采購單位有權(quán)終止合同�。
|
考核結(jié)構(gòu)
|
評價(jià)描述
|
分值
|
|
工作內(nèi)容及成果50分
|
任務(wù)完成效率20分
|
充分規(guī)劃、在規(guī)定時間內(nèi)提前完成任務(wù)1次及以上
|
16-20分
|
|
充分規(guī)劃�����、在規(guī)定時間內(nèi)如期完成任務(wù)
|
8~15分
|
|
未充分規(guī)劃�、在規(guī)定時間內(nèi)不能完成任務(wù)1次及以上
|
0~7分
|
|
任務(wù)完成質(zhì)量20分
|
考核周期內(nèi)未出現(xiàn)質(zhì)量異常(投訴、失誤��、返工)
|
16-20分
|
|
考核周期內(nèi)出現(xiàn)1次質(zhì)量異常(投訴�����、失誤�����、返工)
|
8~15分
|
|
考核周期內(nèi)出現(xiàn)1次以上重大質(zhì)量異常(投訴、失誤�����、返工)
|
0~7分
|
|
響應(yīng)及時性10分
|
考核周期內(nèi)主動響應(yīng)客戶需求�����,積極處理問題
|
8-10分
|
|
考核周期內(nèi)合理響應(yīng)客戶需求
|
4~7分
|
|
考核周期內(nèi)響應(yīng)客戶需求被動����,消極處理問題
|
0~3分
|
|
人員安排及出勤20分
|
出勤記錄10分
|
考核周期內(nèi)人員全勤
|
8-10分
|
|
考核周期內(nèi)出現(xiàn)1次以上(含1次)3次以下(不含3次)遲到、早退
|
4~7分
|
|
考核周期內(nèi)出現(xiàn)3次以上(含3次)遲到�����、早退
|
0~3分
|
|
制度執(zhí)行10分
|
熟悉各項(xiàng)規(guī)章制度����,嚴(yán)格遵守并督促他人遵守
|
8-10分
|
|
了解各項(xiàng)規(guī)章制度,基本能夠遵守
|
4~7分
|
|
不熟悉各項(xiàng)規(guī)章制度���,常有違反制度的行為
|
0~3分
|
|
服務(wù)滿意度30分
|
工作滿意度20分
|
考核周期內(nèi)未出現(xiàn)質(zhì)量異常(投訴�����、失誤�����、返工)
|
16~20分
|
|
考核周期內(nèi)出現(xiàn)1次質(zhì)量異常(投訴�、失誤���、返工)
|
8~15分
|
|
考核周期內(nèi)出現(xiàn)1次以上重大質(zhì)量異常(投訴�����、失誤����、返工)
|
0~7分
|
|
溝通匯報(bào)10分
|
重視且樂于溝通�,懂得換位思考,促進(jìn)相互理解
|
6~10分
|
|
不注重溝通����,遇到?jīng)_突與矛盾以強(qiáng)硬或回避的態(tài)度來解決
|
0~5分
|
(六)項(xiàng)目安全
成交單位在項(xiàng)目服務(wù)期間應(yīng)制定項(xiàng)目安全實(shí)施管理措施,并嚴(yán)格遵守安全管理要求�����,成交單位在項(xiàng)目服務(wù)過程中因管理不當(dāng)、維護(hù)措施不當(dāng)?shù)纫蛩鼗虿话窗踩芾硪��,造成人員安全或財(cái)產(chǎn)損失事故的�����,其責(zé)任均由成交單位承擔(dān)����,采購單位不承擔(dān)責(zé)任。
(七)項(xiàng)目保密要求
1��、成交單位及其工作人員需遵守采購單位的保密規(guī)定�����,不以任何形式將收集的所有資料�����、數(shù)據(jù)等進(jìn)行泄漏����、傳播�;
2���、項(xiàng)目服務(wù)人員需簽署相關(guān)保密協(xié)議�����,承擔(dān)工作中接觸相關(guān)內(nèi)容的保密義務(wù)�����;
3、項(xiàng)目成果最終所有權(quán)屬采購單位��,在項(xiàng)目完成時成交單位必須全部移交����;
4、成交單位須維護(hù)項(xiàng)目服務(wù)成果�,不得轉(zhuǎn)讓給第三方重復(fù)使用;
5�、以上保密規(guī)定如有違反,采購單位有權(quán)追究成交單位相關(guān)法律責(zé)任�。
三、響應(yīng)報(bào)價(jià)文件組成及其他說明:
(一)詢價(jià)響應(yīng)文件的制作要求
1���、詢價(jià)響應(yīng)文件組成 :
(1)企業(yè)營業(yè)執(zhí)照副本�����、稅務(wù)登記證副本復(fù)印件或三證合一營業(yè)執(zhí)照副本復(fù)印件
(2)響應(yīng)單位法定代表人(或負(fù)責(zé)人)身份證復(fù)印件���、法定代表人(或負(fù)責(zé)人)授權(quán)委托書和委托代理人身份證復(fù)印件(如為授權(quán))
(3)響應(yīng)報(bào)價(jià)表
(4)服務(wù)偏離表
(5)詢價(jià)響應(yīng)函
(6)項(xiàng)目實(shí)施方案
(7)響應(yīng)單位資格承諾書及相關(guān)證明資料
注:以上資料若不能如實(shí)提供或提供不完整的視為無效投標(biāo)�����。
2��、文件的簽署和密封要求:
(1)按上述要求制作詢價(jià)響應(yīng)文件叁份(一正兩副)���,并須裝訂成冊;響應(yīng)文件封面明確標(biāo)明“正本”和“副本”���,正本和副本如有不一致之處�,以正本為準(zhǔn)����;
(2)詢價(jià)響應(yīng)文件均應(yīng)采用打印或使用不能擦去的黑色或藍(lán)色墨水書寫,由響應(yīng)單位法定代表人(或負(fù)責(zé)人)或其授權(quán)代表在詢價(jià)文件要求處親自簽署或蓋章����,并在詢價(jià)響應(yīng)文件的每一頁上加蓋公章�,未加蓋公章的頁視為無效頁��。
(3)詢價(jià)響應(yīng)文件須裝袋密封�,封口處須加蓋單位公章,密封袋及響應(yīng)文件封面上應(yīng)注明采購項(xiàng)目名稱��、詢價(jià)采購編號�����、詢價(jià)響應(yīng)單位名稱����、地址���、聯(lián)系人�����、聯(lián)系電話等���。
3�����、采購單位有權(quán)拒絕未按上述要求制作的詢價(jià)響應(yīng)文件�����。
(二)詢價(jià)響應(yīng)文件錯誤的修正原則
1���、響應(yīng)文件的大寫金額與小寫金額不一致的,以大寫金額為準(zhǔn)������?們r(jià)金額與按單價(jià)匯總金額不一致的,以單價(jià)金額計(jì)算結(jié)果為準(zhǔn)���;單價(jià)金額小數(shù)點(diǎn)有明細(xì)錯位的���,應(yīng)以總價(jià)為準(zhǔn),并修改單價(jià)�;
2、對不同文字文本投標(biāo)文件的解釋發(fā)生異議的,以中文文本為準(zhǔn)�����。
3���、供應(yīng)商不同意以上修正的��,其詢價(jià)響應(yīng)文件將被拒絕�����。
(三)詢價(jià)響應(yīng)文件的補(bǔ)充��、修改和撤回
供應(yīng)商在提交詢價(jià)響應(yīng)文件截止時間前���,可以對所提交的響應(yīng)文件進(jìn)行補(bǔ)充、修改或者撤回�����,并書面通知采購代理機(jī)構(gòu)��。補(bǔ)充�、修改的內(nèi)容作為響應(yīng)文件的組成部分。補(bǔ)充��、修改的內(nèi)容與響應(yīng)文件不一致的��,以補(bǔ)充�����、修改的內(nèi)容為準(zhǔn)����。
(四)詢價(jià)響應(yīng)文件的澄清、說明和更正
詢價(jià)小組在對響應(yīng)文件的有效性���、完整性和響應(yīng)程度進(jìn)行審查時�����,可以要求供應(yīng)商對響應(yīng)文件中含義不明確�、同類問題表述不一致或者有明顯文字和計(jì)算錯誤的內(nèi)容等作出必要的澄清�、說明或者更正。供應(yīng)商的澄清��、說明或者更正不得超出響應(yīng)文件的范圍或者改變響應(yīng)文件的實(shí)質(zhì)性內(nèi)容�����。
詢價(jià)小組要求供應(yīng)商澄清、說明或者更正響應(yīng)文件應(yīng)當(dāng)以書面形式作出�����。供應(yīng)商的澄清����、說明或者更正應(yīng)當(dāng)由法定代表人(或負(fù)責(zé)人)或其授權(quán)代表簽字或者加蓋公章。由授權(quán)代表簽字的��,應(yīng)當(dāng)附法定代表人(或負(fù)責(zé)人)授權(quán)書�。供應(yīng)商為自然人的,應(yīng)當(dāng)由本人簽字并附身份證明�����。
為保證在評審小組要求供應(yīng)商解釋或者澄清其響應(yīng)文件時能夠及時得到回復(fù)���,在評審開始前���,供應(yīng)商法定代表人(或負(fù)責(zé)人)或授權(quán)代理人可到評審現(xiàn)場等候����。供應(yīng)商的澄清��、說明或者更正應(yīng)在評審小組向其提出澄清����、說明或者更正要求后三十分鐘內(nèi)提交給評審小組�。在評審期間、供應(yīng)商應(yīng)注意調(diào)整其行程安排�����,如響應(yīng)供應(yīng)商未到場���,則視為供應(yīng)商放棄上述權(quán)利�����,相關(guān)后果自負(fù)����。
(五)遞交響應(yīng)詢價(jià)文件及確定成交供應(yīng)商日期和地點(diǎn)
1��、本次詢價(jià)通知書的響應(yīng)截止時間為2024年10月22日17:00前����。響應(yīng)單位應(yīng)在截止時間前將詢價(jià)響應(yīng)文件密封���,并在文件封面注明投標(biāo)編號,并在文件封口處加蓋單位公章后送達(dá)蘇州市干將西路399號銀海大廈303室創(chuàng)杰公司 聯(lián)系人:潘莉莉��、顧凡鍵�,聯(lián)系電話:0512-65238816,未按詢價(jià)采購文件要求制作的詢價(jià)響應(yīng)文件或過時送達(dá)的詢價(jià)響應(yīng)文件�,一律為無效投標(biāo)。
2���、2024年10月23日13:30在蘇州市干將西路399號銀海大廈302室創(chuàng)杰公司確定成交供應(yīng)商��。成交供應(yīng)商收到成交通知書后�����,應(yīng)在十五日內(nèi)簽訂合同��。
四�����、報(bào)價(jià)說明:
1����、響應(yīng)單位需根據(jù)本詢價(jià)采購文件要求制作響應(yīng)文件��。本次報(bào)出的價(jià)格一次性報(bào)定不得更改�,響應(yīng)單位報(bào)價(jià)包括完成全部服務(wù)所需的人工費(fèi)、材料費(fèi)�����、通訊費(fèi)���、交通費(fèi)����、資料費(fèi)���、政策性文件規(guī)定及合同包含的所有風(fēng)險(xiǎn)����、責(zé)任等各項(xiàng)應(yīng)有費(fèi)用��。不論響應(yīng)單位是否列出相關(guān)費(fèi)用明細(xì)�����,招標(biāo)人均可以認(rèn)為響應(yīng)單位已在總價(jià)中包含了全部費(fèi)用。
2���、響應(yīng)單位應(yīng)對所要采購的全部內(nèi)容進(jìn)行報(bào)價(jià)����,只報(bào)其中部分內(nèi)容的��,為無效報(bào)價(jià)�����。
五����、綜合說明及其他:
1、響應(yīng)單位所提供的服務(wù)能夠至少達(dá)到以上要求��。
2���、響應(yīng)單位必須承諾采購文件中提出的全部要求�����,如果其中某些條款不響應(yīng)時��,應(yīng)在文件中逐條列出�����,未列出的視同響應(yīng)��。
3�、若響應(yīng)單位在服務(wù)管理期間發(fā)生下列行為之一的�����,采購人可解除服務(wù)合同��,并不再支付合同費(fèi)用:
(1)將服務(wù)轉(zhuǎn)包他人��;
(2)無法有效開展服務(wù)的其它行為�。
4、服務(wù)履約期間采購方有權(quán)按照考核標(biāo)準(zhǔn)對該采購項(xiàng)目服務(wù)進(jìn)行檢查考核����。
5、成交單位對服務(wù)缺陷不予更正�,招標(biāo)人有權(quán)另請其他單位更正��,所發(fā)生的費(fèi)用在合同價(jià)款中扣除����。
6��、響應(yīng)單位應(yīng)對所投項(xiàng)目的全部服務(wù)內(nèi)容進(jìn)行報(bào)價(jià)�����,只投其中部分內(nèi)容者���,其投標(biāo)文件將被拒絕�。響應(yīng)單位對服務(wù)缺陷不予更正��,采購方有權(quán)另請其他單位更正�,所發(fā)生的費(fèi)用由成交單位承擔(dān)。
7�、參照相關(guān)法規(guī)的規(guī)定,招標(biāo)采購單位將對供應(yīng)商進(jìn)行信用查詢���,凡經(jīng)確認(rèn)不符合相關(guān)法律法規(guī)規(guī)定的�����,將拒絕其參與采購活動���。
8�����、成交服務(wù)費(fèi):成交單位按照預(yù)算金額計(jì)算并支付�,具體為100萬元以內(nèi)1.5%���、100萬元~500萬元以內(nèi)1.1%差額定率累進(jìn)法的60%計(jì)算并支付成交服務(wù)費(fèi),不足叁仟元的按3000元計(jì)算��,該費(fèi)用應(yīng)在領(lǐng)取成交通知書時付清��。
六�����、付款步驟:
本合同分三期進(jìn)行付款:
1���、合同簽訂后1月內(nèi)�,乙方服務(wù)人員入場并提交項(xiàng)目實(shí)施方案。項(xiàng)目實(shí)施方案經(jīng)雙方認(rèn)可后�,乙方開具發(fā)票(發(fā)票金額為合同總金額的20%),甲方支付合同總金額的20%��。
2��、合同簽訂后6個月�����,甲方根據(jù)階段性考核結(jié)果支付服務(wù)款���,支付金額不超過合同總金額的50%:
3�����、服務(wù)期滿后�,甲方根據(jù)考核驗(yàn)收結(jié)果��,支付剩余款項(xiàng):
(1)若考核完全達(dá)標(biāo)(當(dāng)期責(zé)任考核得分不少于90分)��,甲方支付給乙方結(jié)余服務(wù)費(fèi)比例的100%���;
(2)若考核基本達(dá)標(biāo)(當(dāng)期責(zé)任考核得分不少于70分)�����,甲方支付給乙方結(jié)余服務(wù)費(fèi)比例的80%���;
(3)若考核不達(dá)標(biāo)(當(dāng)期責(zé)任考核得分低于70分)�,結(jié)余服務(wù)費(fèi)將不予支付�,并終止服務(wù)合同。
七��、評審辦法:
1����、采購人授權(quán)詢價(jià)小組根據(jù)質(zhì)量和服務(wù)均能滿足采購文件實(shí)質(zhì)性響應(yīng)要求且報(bào)價(jià)最低的原則確定成交供應(yīng)商。
2�、若滿足上述原則的最低報(bào)價(jià)響應(yīng)供應(yīng)商超過一家時�����,則由采購單位以抽簽的方式?jīng)Q定成交供應(yīng)商��。
八���、項(xiàng)目的終止:
出現(xiàn)下列情形之一的��,將終止詢價(jià)采購活動:
1����、因情況變化,不再符合規(guī)定的詢價(jià)采購方式適用情形的����;
2、出現(xiàn)影響采購公正的違法�、違規(guī)行為的;
3�����、在采購過程中符合競爭要求的供應(yīng)商或者報(bào)價(jià)未超過采購預(yù)算的供應(yīng)商不足3家的���。
九��、合同生效:
1��、合同經(jīng)招標(biāo)代理機(jī)構(gòu)蓋騎縫章���,甲乙雙方代表簽字或蓋章、加蓋公章(或合同章)后生效����。
2���、合同簽訂生效后甲乙雙方即直接產(chǎn)生權(quán)利與義務(wù)的關(guān)系,合同執(zhí)行過程中出現(xiàn)的問題應(yīng)按照《中華人民共和國民法典》的規(guī)定辦理�����。在合同履行過程中����,雙方如有爭議,任何一方均可要求招標(biāo)代理機(jī)構(gòu)進(jìn)行調(diào)解��,調(diào)解不成�,則任何一方均可向需方所在地人民法院提起訴訟。
3�、合同在執(zhí)行過程中出現(xiàn)的未盡事宜,雙方應(yīng)在不違背本合同和甲方采購目的的原則下協(xié)商解決��,協(xié)商結(jié)果以書面形式蓋章記錄在案����,并提交招標(biāo)代理機(jī)構(gòu)一份備存����,作為本合同的附件����,與本合同具有同等的法律效力����。
4、合同一式叁份�,甲乙雙方各執(zhí)一份,招標(biāo)代理機(jī)構(gòu)執(zhí)一份�����。
十�、其他
1、響應(yīng)單位在詢價(jià)響應(yīng)文件中必須對所有采購產(chǎn)品的技術(shù)����、服務(wù)做出應(yīng)答,如果有其中某些條款不響應(yīng)時����,須在響應(yīng)文件中明確列出,未列出的視同響應(yīng)(且如成交后發(fā)現(xiàn)不符合采購要求的����,則視為虛假響應(yīng)�,按虛假響應(yīng)處理)
2�、響應(yīng)單位在投標(biāo)時提供的資料均應(yīng)是真實(shí)的,若有虛假��,由其自行承擔(dān)一切后果���。
3��、如響應(yīng)單位對本通知書有疑義��,以書面形式向招標(biāo)代理機(jī)構(gòu)咨詢��,一切材料以招標(biāo)代理機(jī)構(gòu)的書面材料為準(zhǔn)�����。
十一��、聯(lián)系方式:
招標(biāo)代理機(jī)構(gòu):蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司
地 址:蘇州市干將西路399號銀海大廈303室 郵編:215002
聯(lián)系人:潘莉莉���、顧凡鍵 聯(lián)系電話:0512-65238816
采購單位聯(lián)系人:張文彬 聯(lián)系電話:18913170991
蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司
2024年10月16日
附件1:詢價(jià)響應(yīng)報(bào)價(jià)表
詢價(jià)響應(yīng)報(bào)價(jià)表
采購編號: 項(xiàng)目名稱:
|
序號
|
名稱
|
報(bào)價(jià)(元)
|
備注
|
|
1
|
|
|
|
|
2
|
|
|
|
|
3
|
|
|
|
|
總報(bào)價(jià)(人民幣大寫):
|
|
服務(wù)期限:
|
報(bào)價(jià)單位(公章): 聯(lián)系人: 聯(lián)系電話:
法定代表人(或負(fù)責(zé)人)或委托代理人:(簽字或簽章)
日期: 年 月 日
附件2:詢價(jià)響應(yīng)函
詢價(jià)響應(yīng)函
蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司:
我方收到貴公司 號詢價(jià)采購?fù)ㄖ��,?jīng)仔細(xì)閱讀和研究,我方?jīng)Q定參加�,并向貴公司承諾:
1、我方愿意按照詢價(jià)采購?fù)ㄖ囊磺幸��,提供本?xiàng)目的所有內(nèi)容�����,我方的報(bào)價(jià)包含服務(wù)期限內(nèi)完成該項(xiàng)目服務(wù)工作所需的所有費(fèi)用�。
2、如果我方的詢價(jià)響應(yīng)文件被接受�,我方將嚴(yán)格履行詢價(jià)采購?fù)ㄖ幸?guī)定的每一項(xiàng)要求,嚴(yán)格履行合同的責(zé)任和義務(wù)���,保證按期����、按質(zhì)履行合同��,完成合同內(nèi)容所規(guī)定的全部工作����。
3、我方愿意提供采購方在詢價(jià)采購?fù)ㄖ幸蟮乃匈Y料�,也同意向貴方提供貴方可能另外要求的與我方響應(yīng)有關(guān)的任何證據(jù)或資料�。并保證所提供的資料全部是真實(shí)的��、有效的��,若有虛假�����,我方愿承擔(dān)一切責(zé)任����。
4、我們同意按詢價(jià)響應(yīng)文件中的規(guī)定��,本投標(biāo)書的有效期限為開標(biāo)后 45天����。
5、我方愿意遵守詢價(jià)采購?fù)ㄖ兴械氖召M(fèi)標(biāo)準(zhǔn)���。
6�����、我方承諾該項(xiàng)報(bào)價(jià)在遞交后保持有效����,不作任何更改和變動�。我方同意成交后若不履行詢價(jià)采購?fù)ㄖ膬?nèi)容要求和各項(xiàng)承諾及義務(wù)的即被視為違約,我方的成交標(biāo)資格將被取消�。
7、我方同意若無法按約定條款履行義務(wù)等行為��,采購方有權(quán)取消我方成交資格��。
8���、與本次投標(biāo)有關(guān)的通訊地址:
單 位: 聯(lián) 系 人:
地 址: 郵政編碼:
聯(lián)系電話: 傳 真:
響應(yīng)單位:(公章)
法定代表人(或負(fù)責(zé)人)或委托代理人:(簽字或簽章)
日期: 年 月 日
代理人在授權(quán)委托書有效期內(nèi)簽署的所有文件不因授權(quán)委托的撤銷而失效�,除非有撤銷授權(quán)委托的書面通知,本授權(quán)委托書自詢價(jià)響應(yīng)文件遞交開始至合同履行完畢止����。
2���、未在上表中說明的��,如在響應(yīng)文件其他內(nèi)容中已有文字說明的��,則以已有文字說明為準(zhǔn)�����,否則�,將被認(rèn)為完全響應(yīng)采購文件的規(guī)定����。但該表不作為響應(yīng)單位對所投標(biāo)的物(服務(wù))關(guān)于技術(shù)要求等詳細(xì)描述和說明的替代����。
