蘇州市創(chuàng)杰招投標咨詢服務有限公司受蘇州數(shù)政安全技術有限公司之委托��,對其采購的中共蘇州市委政法委員會網(wǎng)絡安全服務進行詢價采購��,歡迎合格的供應商前來參加。
一����、 項目說明:
(一) 項目名稱:中共蘇州市委政法委員會網(wǎng)絡安全服務
(二) 采購預算:人民幣貳拾貳萬伍仟元整(¥:225000.00)
(三) 合格詢價響應供應商的條件:
1�、具有獨立承擔民事責任的能力;
2��、具有良好的商業(yè)信譽和健全的財務會計制度����;
3、具有履行合同所必需的設備和專業(yè)技術能力�;
4、有依法繳納稅收和社會保障資金的良好記錄���;
5��、參加采購活動前三年內��,在經(jīng)營活動中沒有重大違法記錄�����;
6���、法律、行政法規(guī)規(guī)定的其他條件���。
二���、采購要求:
(一)服務內容
一)蘇州長安網(wǎng)�����、協(xié)同辦公平臺和移動辦公app風險評估服務
從技術角度,參考國家及行業(yè)的標準規(guī)范���,運用科學方法和手段��,識別評估資產存在的脆弱性�����,評估網(wǎng)絡安全事件一旦發(fā)生可能造成的影響和危害程度����,提出有針對性的抵御威脅的防護對策和整改措施��,降低網(wǎng)絡安全事件發(fā)生的可能性及其能造成的影響�,減少業(yè)務平臺的脆弱性,從而將風險控制到可接受的水平��。
根據(jù)市委政法委工作需求,對蘇州長安網(wǎng)�����、協(xié)同辦公平臺和移動辦公app提供全年3次風險評估�。對上述業(yè)務平臺面臨的威脅、存在的脆弱性�����、現(xiàn)有防護措施及綜合作用而帶來風險的發(fā)生可能性進行評估��,最終提供完整的風險評估報告及修復建議�����。具體服務內容如下:
風險評估
1����、漏洞掃描
基于漏洞數(shù)據(jù)庫,通過掃描等手段對指定的遠程或者本地的網(wǎng)絡設備�、主機、數(shù)據(jù)庫�、操作系統(tǒng)、中間件��、業(yè)務平臺等進行安全弱點檢測。
2����、基線核查
對市委政法委的硬件資產和軟件平臺進行安全配置的核查,識別出現(xiàn)有安全配置與普適性規(guī)范或行業(yè)規(guī)范的安全配置要求之間的差距�����。
3��、加固復測
在業(yè)務平臺漏洞修復完成后�,第三方網(wǎng)絡安全服務團隊應組織人員對修復后的效果進行驗證���,確保各項安全漏洞得到有效加固��。
二)蘇州長安網(wǎng)��、協(xié)同辦公平臺和移動辦公app滲透測試服務
第三方網(wǎng)絡安全服務團隊在獲得市委政法委授權后��,以主流滲透工具結合自研的工具模擬黑客攻擊為主要手段���,以發(fā)現(xiàn)常見的高、中��、低危漏洞為主要目標,將發(fā)現(xiàn)的安全漏洞進行整理���,給出詳細說明����,并針對每1項安全漏洞提供相應的解決方法����。并結合修復情況,協(xié)助市委政法委針對修復后的漏洞進行復測驗證����。根據(jù)市委政法委工作需求,對蘇州長安網(wǎng)��、協(xié)同辦公平臺和移動辦公app提供全年3次滲透測試服務��。具體服務內容如下:
1�����、前期交互階段
與市委政法委工作人員進行溝通�、確定滲透測試的時間、范圍�、深度�����、測試方式(黑盒OR白盒��、現(xiàn)場OR遠程)等問題�,并拿到簽署的滲透測試授權函�����;
2���、情報搜集階段
第三方網(wǎng)絡安全服務團隊在拿到市委政法委授權后開始情報搜集工作,搜集階段是對市委政法委平臺進行一系列踩點工作��,包括:基礎資產收集���、互聯(lián)網(wǎng)信息泄露搜集���、指紋識別、業(yè)務系統(tǒng)功能收集��、接口信息收集等���;
3��、威脅建模階段
在搜集到充分的情報信息之后���,第三方網(wǎng)絡安全服務團隊對獲取的信息進行威脅建模(ThreatModeling)與攻擊規(guī)劃�,從大量的信息情報中理清思路����,確定出最可行的攻擊通道;
4�����、漏洞分析階段
漏洞分析階段是對威脅建模階段的初步實踐����,本階段需要針對威脅建模階段總結的測試方法進行一一驗證,通過測試總結出可行的測試方法���,排除不可行的測試方法�。由于市委政法委各業(yè)務平臺的防護能力不同����,本階段分析得出的漏洞利用方式會有一定的差異����;
5�����、滲透攻擊階段
本階段是對市委政法委的業(yè)務平臺進行攻擊性測試的階段�����,漏洞分析階段總結出的可行的漏洞利用方法�����,本階段可以直接拿來使用���,并以此為基礎擴大滲透測試成果;
6�����、報告交付階段
滲透測試工作全部完成后交付報告��,并在報告中詳細說明市委政法委平臺中存在的安全隱患以及專業(yè)的漏洞風險處置建議;
7���、匯報階段
本階段由第三方網(wǎng)絡安全服務團隊向市委政法委匯報本次滲透測試的成果���,并現(xiàn)場對提出的疑問進行現(xiàn)場答疑。
8��、漏洞復測階段
市委政法委業(yè)務平臺的漏洞修補完成后�����,對漏洞進行復測����,用于驗證業(yè)務平臺的漏洞修補情況,并向市委政法委提交復測報告����。
三)安全威脅分析與主動響應服務
第三方網(wǎng)絡安全服務團隊通過每季度上門服務的方式,綜合運用豐富的技術經(jīng)驗及威脅情報知識庫�,依托強大的安全監(jiān)測能力,結合第三方網(wǎng)絡安全服務團隊現(xiàn)場的自主發(fā)現(xiàn)��,對網(wǎng)絡安全設備的安全流量日志進行分析研判�����,包括深度威脅分析、脆弱性排查���、及配置有效性分析等內容��;最后通過面對面匯報與解讀����,使市委政法委盡早發(fā)現(xiàn)關鍵風險問題��,并通過提供可落地修復處置建議和指導�����,推動風險處置閉環(huán)����。根據(jù)市委政法委工作需求,提供全年4次安全威脅分析和主動響應服務��。具體服務內容如下:
1�����、深度威脅分析
1.1外部威脅分析
第三方網(wǎng)絡安全服務團隊結合外部威脅分析指導對威脅狩獵環(huán)境的外部高價值攻擊行為進行分析�。
1.2網(wǎng)絡安全事件研判
依托市委政法委現(xiàn)有市委網(wǎng)絡安全設備,根據(jù)網(wǎng)絡安全事件關聯(lián)日志與事件上下文��,對事件開展深入的調查排除誤報����,并給出詳細的舉證信息。
1.3網(wǎng)絡安全事件分析
第三方網(wǎng)絡安全服務團隊運用豐富的技術經(jīng)驗����,依托強大的安全監(jiān)測能力,基于安全日志��、威脅情報等信息進行主動挖掘��,對網(wǎng)絡安全事件進行綜合分析����,分析事件成因和影響范圍。
1.4深度威脅調查
基于業(yè)務特定邏輯進行深度挖掘�����,盡可能快地發(fā)現(xiàn)漏洞或攻擊痕跡�,發(fā)現(xiàn)潛在的安全隱患和已失陷的主機�。
2�����、脆弱性排查
2.1高危可利用漏洞排查
幫助市委政法委及時整理高��?衫寐┒�,并提供可落地的修復方案協(xié)助修復漏洞。
2.2弱口令排查
幫助市委政法委全面識別業(yè)務弱密碼問題���,并將弱密碼問題分級分類����,找出危害大的弱口令��,協(xié)助優(yōu)先整改�。
2.3互聯(lián)網(wǎng)風險端口排查
找到對外的風險端口并及時做好風險加固。
2.4其他業(yè)務弱點挖掘
通過人工排查的方式對市委政法委業(yè)務平臺進行脆弱性挖掘�����,發(fā)現(xiàn)業(yè)務平臺存在的弱點���。
3��、配置有效性分析
3.1基礎配置調查
對市委政法委網(wǎng)絡安全設備版本�、規(guī)則庫等進行分析檢查�����。
3.2業(yè)務配置調查
對市委政法委網(wǎng)絡安全設備的安全策略及流量鏡像有效性進行分析調查�����。
四)應急演練服務
第三方網(wǎng)絡安全服務團隊根據(jù)國家相關標準�,提供相應的應急演練場景和專項應急預案,以協(xié)助市委政法委工作人員應對與處置網(wǎng)絡安全事件����;制定應急演練方案及腳本并協(xié)助開展應急演練,模擬網(wǎng)絡安全事件發(fā)生及處置的全過程�,提高應對網(wǎng)絡安全事件的處置能力,預防和減少網(wǎng)絡安全事件造成的危害和損失���。根據(jù)市委政法委工作需求����,提供全年1次應急演練服務�����。具體服務內容如下:
應急演練服務通過模擬各種突發(fā)事件場景進行,根據(jù)突發(fā)網(wǎng)絡安全事件的性質���,將應急演練場景可分為:有害程序事件演練��、網(wǎng)絡攻擊事件演練�����、信息破壞事件演練���、設備設施故障演練;
有害程序事件:內網(wǎng)傳播型病毒應急演練�����、勒索病毒應急演練����、挖礦病毒應急演練等;
網(wǎng)絡攻擊事件:漏洞攻擊應急演練���、后門攻擊應急演練等�;
信息破壞事件:網(wǎng)站篡改應急演練、網(wǎng)頁掛馬應急演練等����;
設備設施故障事件:網(wǎng)絡設備故障應急演練、服務器故障應急演練等
五)應急響應服務
當市委政法委網(wǎng)絡�����、業(yè)務平臺��、網(wǎng)站等發(fā)生外部黑客入侵��、數(shù)據(jù)泄露���、木馬病毒等突發(fā)網(wǎng)絡安全事件時,第三方網(wǎng)絡安全服務團隊提供包括事件檢測與分析�、風險抑制、問題處置�、協(xié)助業(yè)務恢復的服務,能夠協(xié)助市委政法委及時處置����,最大化降低網(wǎng)絡安全事件帶來的影響。根據(jù)市委政法委工作需求�����,提供全年4次現(xiàn)場安全應急響應服務。具體服務內容如下:
1�����、應急事件
web安全事件:市委政法委業(yè)務平臺或網(wǎng)站遭受惡意入侵��,利用網(wǎng)站進行反動信息����、賭博、黃色等信息發(fā)布����,傳播危害國家安全、社會穩(wěn)定和公共利益的內容的網(wǎng)絡安全事件����;
惡意程序事件:蓄意制造、傳播惡意程序��,或是因受到惡意程序的影響而導致的網(wǎng)絡安全事件���。惡意程序是指插入到信息系統(tǒng)中的一段程序����,惡意程序危害系統(tǒng)中數(shù)據(jù)、應用程序或操作系統(tǒng)的保密性�、完整性或可用性,或影響信息系統(tǒng)的正常運行���;
網(wǎng)絡攻擊事件:通過網(wǎng)絡或其他技術手段���,利用信息平臺的配置缺陷�����、協(xié)議缺陷�、程序缺陷或使用暴力攻擊對信息系統(tǒng)實施攻擊,并造成信息系統(tǒng)異��;驅π畔⑾到y(tǒng)當前運行造成潛在危害的網(wǎng)絡安全事件�;
信息破壞事件:通過網(wǎng)絡或其他技術手段,造成業(yè)務平臺中的信息被篡改�����、假冒、泄漏����、竊取等而導致的網(wǎng)絡安全事件。
2��、應急時效
特別重大事件(Ⅰ級)�,5分鐘作出響應,提供遠程7*24小時響應服務�����、1小時到達現(xiàn)場進行應急響應服務�;
重大事件(Ⅱ級),10分鐘作出響應�,提供遠程7*24小時、2小時到達現(xiàn)場進行應急響應服務���;
較大突發(fā)事件(Ⅲ級)�����,30分鐘作出響應�����,提供遠程7*24小時響應服務�����、4小時到達現(xiàn)場進行應急響應服務��;
一般性突發(fā)事件(Ⅳ級)���,30分鐘作出響應����,提供遠程7*24小時響應服務��、遠程無法解決時�,在4小時到達現(xiàn)場進行應急響應服務���。
六)重保服務
市委政法委在重大活動�、會議期間�����,第三方網(wǎng)絡安全服務團隊提供全年2次(每次15人天)的網(wǎng)絡安全重點保障服務�。具體工作內容如下:
派駐網(wǎng)絡安全工程師提供每天8小時的值守服務����,值守工作內容包括態(tài)勢感知�����、網(wǎng)絡安全設備等安全流量設備日志分析與研判��,網(wǎng)絡安全事件問題處置���,做好實時威脅監(jiān)測工作�,對于安全威脅和網(wǎng)絡安全事件能夠快速發(fā)現(xiàn)����、快速遏制傳播、快速溯源�����、快速閉環(huán)處置�����。每天輸出值守報告�。
七)蘇州市涉黑涉惡舉報平臺(網(wǎng)頁端及小程序端)網(wǎng)絡安全服務
1����、漏洞掃描服務
根據(jù)市委政法委工作需求����,第三方網(wǎng)絡安全服務團隊對蘇州市涉黑涉惡舉報平臺(網(wǎng)頁端及小程序端)提供全年12次漏洞掃描服務。具體服務內容如下:
基于漏洞數(shù)據(jù)庫�����,通過掃描等手段對指定的遠程或者本地的網(wǎng)絡設備����、主機、數(shù)據(jù)庫�、操作系統(tǒng)、中間件�����、業(yè)務平臺等進行安全弱點檢測���。另外,還需對緊急漏洞進行單獨評估����。
在業(yè)務平臺漏洞修復完成后���,第三方網(wǎng)絡安全服務團隊應組織人員對修復后的效果進行驗證,確保各項安全漏洞得到有效加固�。
2、滲透測試服務
第三方網(wǎng)絡安全服務團隊在獲得市委政法委授權后���,以主流滲透工具結合自研的工具模擬黑客攻擊為主要手段���,發(fā)現(xiàn)常見的高、中��、低危漏洞為主要目標���,將發(fā)現(xiàn)的安全漏洞進行整理���,給出詳細說明,并針對每1項安全漏洞提供相應的解決方法�����。并結合修復情況�����,協(xié)助市委政法委針對修復后的漏洞進行復測驗證。根據(jù)市委政法委工作需求�,對蘇州市涉黑涉惡舉報平臺(網(wǎng)頁端及小程序端)提供全年12次滲透測試服務。
(1)前期交互階段
與市委政法委工作人員進行溝通����、確定滲透測試的時間、范圍�����、深度��、測試方式(黑盒OR白盒�����、現(xiàn)場OR遠程)等問題���,并拿到簽署的滲透測試授權函���;
(2)情報搜集階段
第三方網(wǎng)絡安全服務團隊在拿到市委政法委授權后開始情報搜集工作����,搜集階段是對市委政法委平臺進行一系列踩點工作���,包括:基礎資產收集、互聯(lián)網(wǎng)信息泄露搜集����、指紋識別、業(yè)務系統(tǒng)功能收集��、接口信息收集等�;
(3)威脅建模階段
在搜集到充分的情報信息之后,第三方網(wǎng)絡安全服務團隊對獲取的信息進行威脅建模(ThreatModeling)與攻擊規(guī)劃�����,從大量的信息情報中理清思路�����,確定出最可行的攻擊通道���;
(4)漏洞分析階段
漏洞分析階段是對威脅建模階段的初步實踐���,本階段需要針對威脅建模階段總結的測試方法進行一一驗證�����,通過測試總結出可行的測試方法���,排除不可行的測試方法。由于市委政法委各業(yè)務平臺的防護能力不同�����,本階段分析得出的漏洞利用方式會有一定的差異�����;
(5)滲透攻擊階段
本階段是對市委政法委的業(yè)務平臺進行攻擊性測試的階段��,漏洞分析階段總結出的可行的漏洞利用方法�����,本階段可以直接拿來使用�����,并以此為基礎擴大滲透測試成果;
(6)報告輸出階段
滲透測試工作全部完成后交付報告����,并在報告中詳細說明市委政法委平臺中存在的安全隱患以及專業(yè)的漏洞風險處置建議�;
(7)匯報階段
本階段由第三方網(wǎng)絡安全服務團隊向市委政法委匯報本次滲透測試的成果,并現(xiàn)場對提出的疑問進行現(xiàn)場答疑����。
(8)漏洞復測階段
市委政法委業(yè)務平臺的漏洞修補完成后,對漏洞進行復測����,用于驗證業(yè)務平臺的漏洞修補情況,并向市委政法委提交復測報告����。
3、云安全檢測服務
對蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)提供實時的云安全監(jiān)測服務���,在保障平臺正常運行前提下��,通過云安全檢測服務��,及時發(fā)現(xiàn)平臺存在的安全問題���,提供網(wǎng)絡安全事件的預警和解決方案建議��,提高業(yè)務平臺的安全保障水平����,根據(jù)市委政法委工作需求����,具體服務內容如下:
(1)平臺可用性監(jiān)測:充分運用多條網(wǎng)絡線路對蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)域名或IP地址進行7*24小時互聯(lián)網(wǎng)連通性檢測,通過get�、head、post 等方式進行監(jiān)控���,及時發(fā)現(xiàn)網(wǎng)絡中斷����、DNS解析故障等問題�,并通過電話、短信��、郵件等方式向市委政法委進行預警����,協(xié)助做好排查��、定位故障原因����。
(2)DNS解析監(jiān)測:通過多條網(wǎng)絡線路采用遠程探測的方式�,對蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)域名或IP地址進行7*24小時DNS解析監(jiān)測服務,及時發(fā)現(xiàn)DNS解析故障等問題����,并向市委政法委進行預警��,協(xié)助市委政法委排查�����、定位故障原因�。一旦發(fā)現(xiàn)解析出現(xiàn)異常或解析失敗后�,經(jīng)人工驗證在第一時間發(fā)出告警信息。DNS掃描會詳細檢查目標站點授權域服務器的各項設置���,指出設置不合理的地方����,并根據(jù)RFC相關標準給出合理的改進建議。
(3)網(wǎng)頁篡改監(jiān)測:網(wǎng)頁篡改監(jiān)測服務對蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)頁面進行定時檢測�,采用html標簽域比對技術,對頁面的大小�����、頁面元素等進行技術比對��。監(jiān)測引擎對網(wǎng)站進行初始化采樣并建立篡改監(jiān)測基準�����,對基準內容進行泛格式化處理�����,解析出html的相關標簽作為后續(xù)比對的基準�����。及時發(fā)現(xiàn)頁面被惡意刪除��、篡改等事件��,并向市委政法委進行預警���,提供頁面恢復方案建議����,并迅速恢復頁面,降低頁面篡改事件帶來的影響�����。
(4)網(wǎng)頁敏感信息監(jiān)測:通過智能算法精確檢測對蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)頁面中是否包含敏感關鍵詞�����,包括:反動���、色情等非法信息,并采取人工核查的方式對敏感關鍵字的真實性進行判定�����,一旦發(fā)現(xiàn)敏感信息及時向市委政法委預警���,定位敏感信息的發(fā)布位置�����,提醒市委政法委工作人員及時刪除敏感信息���。
(5)網(wǎng)站掛馬監(jiān)測:內置木馬檢測特征庫��,對蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)進行定時檢測�����,基于靜態(tài)特征匹配���、異常狀態(tài)檢測等技術手段,判別蘇州市涉黑涉舉報平臺(網(wǎng)頁端及小程序端)是否存在被植入的木馬程序��,并及時向市委政法委進行預警�,協(xié)助市委政法委定位、隔離和刪除木馬程序�,降低掛馬事件造成的影響。
(6)暗鏈監(jiān)測:暗鏈監(jiān)測服務通過對檢測頁面的深度����、頁面數(shù)量的爬取,基于大數(shù)據(jù)支撐的暗鏈發(fā)現(xiàn)技術手段�,采用動態(tài)URL獲取、靜態(tài)分析等技術獲取站內URL���,提取具備隱藏屬性的鏈接��,判斷是否屬于站內鏈接�,若獲取的鏈接并非站內地址,則與暗鏈指紋庫進行匹配�,并結合惡意URL特征庫進行分析,從而發(fā)現(xiàn)暗鏈��。同時�����,支持對已檢測出的URL進行白名單設置�����,縮小告警范圍�,提高檢測效率�����。
(二)產出物說明
一)風險評估服務
第三方網(wǎng)絡安全服務團隊每次風險評估服務過后����,協(xié)助市委政法委完成現(xiàn)階段資產脆弱性排查�。要求評估徹底���。做到實時預警�����、及時處置�����。
另外���,第三方網(wǎng)絡安全服務團隊每次風險評估服務完成后,交付《風險評估報告》�。
二)滲透測試服務
第三方網(wǎng)絡安全服務團隊在保障不影響業(yè)務平臺正常運行的前提下,提供滲透測試服務���。協(xié)助市委政法委發(fā)現(xiàn)平臺漏洞��、以及隱蔽脆弱性等問題�。
第三方網(wǎng)絡安全服務團隊在每次滲透測試服務完成后�����,交付《業(yè)務平臺滲透測試報告》,報告中詳細說明業(yè)務平臺中存在的安全隱患以及專業(yè)的漏洞風險處置建議�。另外,在市委政法委完成風險處置后��,提供復測��,確保風險處置閉環(huán)����。
三)安全威脅分析與主動響應服務
通過此項服務內容,市委政法委可以更清晰����、徹底的對安全威脅、網(wǎng)絡安全事件進行分析研判����,包括威脅入口點溯源,攻擊鏈溯源�����,威脅影響面分析��。另外���,根據(jù)外部威脅形勢�,不斷優(yōu)化防護策略���,提高市委政法委網(wǎng)絡整體防護能力��。具體包括:
1����、能夠協(xié)助市委政法委對已經(jīng)入侵的潛伏威脅進行深度識別分析���,能夠降低現(xiàn)有的網(wǎng)絡安全隱患導致的網(wǎng)絡安全事件發(fā)生幾率���。
2、隨時明確安全現(xiàn)狀及已有安全控制措施的防護效果�����。
3�����、根據(jù)綜合安全服務實施的結果,給出符合市委政法委實際情況的加固建議及后期建設方案�����,進行更有針對性的安全建設�,為后續(xù)的安全工作提供方向及依據(jù)。
第三方網(wǎng)絡安全服務團隊在每次安全威脅分析與主動響應服務完成后�,交付《安全威脅分析與主動響應服務報告》。
四)應急演練服務
通過應急演練預案編排和應急演練工作的執(zhí)行�����,市委政法委可以對有害程序事件���、網(wǎng)絡攻擊事件和信息破壞類事件有更加及時的監(jiān)測預警方式����、并快速作出威脅傳播遏制���、對受攻擊資產進行排查和處置�������?傊�����,第一時間發(fā)現(xiàn)��,損失影響面最小化���。
第三方網(wǎng)絡安全服務團隊在實施前應對市委政法委重要業(yè)務平臺特點進行摸排調研,與市委政法委共同商議并制定《應急演練方案》�����、《應急演練腳本》����,并在應急演練服務完成后,交付《應急演練總結報告》���。
五)應急響應服務
根據(jù)突發(fā)的網(wǎng)絡安全事件���,第三方網(wǎng)絡安全服務團隊提供安全應急響應服務,要求根據(jù)安全問題視嚴重程度不同���,在規(guī)定時間內完成應急處置����。第三方網(wǎng)絡安全服務團隊在每次網(wǎng)絡安全事件處置完畢后,交付《應急響應報告》(如未發(fā)生網(wǎng)絡安全事件����,則無此報告)。
六)重保服務
在重大活動��、會議期間���,第三方網(wǎng)絡安全服務團隊提供網(wǎng)絡安全重點保障服務���,派駐網(wǎng)絡安全工程師值守保障,協(xié)助市委政法委防范化解網(wǎng)絡安全風險�,遏制網(wǎng)絡安全事故,全力做好“重�!逼陂g網(wǎng)絡安全保障工作。
在重保服務前��,提供《重保值守計劃表》���,在重保服務期間����,每天提供《重保值守日報》,如在重保服務期間發(fā)生網(wǎng)絡安全事件�,在處置完畢后交付《事件分析與處置報告》(如未發(fā)生網(wǎng)絡安全事件�,則無此報告)。
七)漏洞掃描服務
第三方網(wǎng)絡安全服務團隊通過漏洞掃描服務��,協(xié)助市委政法委發(fā)現(xiàn)現(xiàn)階段平臺漏洞���,提供相應解決方案���,并督促建設單位及時落實整改,在每次漏洞掃描服務完成后�,交付《漏洞掃描報告》。
八)云安全檢測服務
第三方網(wǎng)絡安全服務團隊通過云安全服務開展業(yè)務平臺實時監(jiān)測����、預警,一旦發(fā)現(xiàn)的問題�����,及時向市委政法委報告并協(xié)助做好問題處置����,每月交付《安全監(jiān)測報告》�����。
(三)服務人員要求
1����、人員要求
為能保證在規(guī)定時間內完成項目建設����,供應商必須提供穩(wěn)定的專業(yè)化的技術支持服務隊伍,完善的技術支持服務體系����。
具體人員要求如下:
項目經(jīng)理(1人):具備相關行業(yè)工作經(jīng)驗,負責日常管理���、工作安排��,安全托管文檔材料審核和歸檔��,向蘇州市委政法委匯報工作�,各項資源調配���,投訴管理工作�。
項目組人員(2人):具備相關信息安全經(jīng)驗,熟悉主流網(wǎng)絡和安全設備�,負責項目安全的調研、規(guī)范編制及現(xiàn)場日常的安全巡檢���、安全測試����、應急響應等工作��,專業(yè)能夠涵蓋網(wǎng)絡安全����、應用安全等專業(yè)�����。如果應急事件發(fā)生���,則人員響應要求在1小時內進行安全事件的響應和處理��,且工作時間將不僅限于正常工作時間����,將根據(jù)事件處理要求進行響應。
(四)服務期限和服務地點
1����、服務期限:合同簽訂后一年。
2�、服務地點:采購人指定地點。
(五)責任考核
對成交單位進行考核(百分制)���,考核周期為三個月一次����,考核標準如下表��。在服務期內��,如連續(xù)兩次考核不達標(得分低于60)或超過三次(不連續(xù))考核不達標����,采購單位有權終止合同。
|
考核結構
|
評價描述
|
分值
|
|
工作內容及成果50分
|
任務完成效率20分
|
充分規(guī)劃�、在規(guī)定時間內提前完成任務1次及以上
|
16-20分
|
|
充分規(guī)劃、在規(guī)定時間內如期完成任務
|
8~15分
|
|
未充分規(guī)劃、在規(guī)定時間內不能完成任務1次及以上
|
0~7分
|
|
任務完成質量20分
|
考核周期內未出現(xiàn)質量異常(投訴���、失誤�����、返工)
|
16-20分
|
|
考核周期內出現(xiàn)1次質量異常(投訴����、失誤����、返工)
|
8~15分
|
|
考核周期內出現(xiàn)1次以上重大質量異常(投訴��、失誤�����、返工)
|
0~7分
|
|
響應及時性10分
|
考核周期內主動響應客戶需求��,積極處理問題
|
8-10分
|
|
考核周期內合理響應客戶需求
|
4~7分
|
|
考核周期內響應客戶需求被動�����,消極處理問題
|
0~3分
|
|
人員安排及出勤20分
|
出勤記錄10分
|
考核周期內人員全勤
|
8-10分
|
|
考核周期內出現(xiàn)1次以上(含1次)3次以下(不含3次)遲到、早退
|
4~7分
|
|
考核周期內出現(xiàn)3次以上(含3次)遲到�、早退
|
0~3分
|
|
制度執(zhí)行10分
|
熟悉各項規(guī)章制度,嚴格遵守并督促他人遵守
|
8-10分
|
|
了解各項規(guī)章制度�����,基本能夠遵守
|
4~7分
|
|
不熟悉各項規(guī)章制度��,常有違反制度的行為
|
0~3分
|
|
服務滿意度30分
|
工作滿意度20分
|
考核周期內未出現(xiàn)質量異常(投訴��、失誤�、返工)
|
16~20分
|
|
考核周期內出現(xiàn)1次質量異常(投訴、失誤����、返工)
|
8~15分
|
|
考核周期內出現(xiàn)1次以上重大質量異常(投訴、失誤��、返工)
|
0~7分
|
|
溝通匯報10分
|
重視且樂于溝通�,懂得換位思考,促進相互理解
|
6~10分
|
|
不注重溝通�,遇到?jīng)_突與矛盾以強硬或回避的態(tài)度來解決
|
0~5分
|
(六)項目安全
成交單位在項目服務期間應制定項目安全實施管理措施,并嚴格遵守安全管理要求��,成交單位在項目服務過程中因管理不當��、維護措施不當?shù)纫蛩鼗虿话窗踩芾硪螅斐扇藛T安全或財產損失事故的�����,其責任均由成交單位承擔���,采購單位不承擔責任��。
(七)項目保密要求
1����、成交單位及其工作人員需遵守采購單位的保密規(guī)定����,不以任何形式將收集的所有資料、數(shù)據(jù)等進行泄漏��、傳播�;
2�����、項目服務人員需簽署相關保密協(xié)議����,承擔工作中接觸相關內容的保密義務��;
3��、項目成果最終所有權屬采購單位���,在項目完成時成交單位必須全部移交;
4�、成交單位須維護項目服務成果,不得轉讓給第三方重復使用�;
5、以上保密規(guī)定如有違反��,采購單位有權追究成交單位相關法律責任��。
三����、響應報價文件組成及其他說明:
(一)詢價響應文件的制作要求
1、詢價響應文件組成 :
(1)企業(yè)營業(yè)執(zhí)照副本�����、稅務登記證副本復印件或三證合一營業(yè)執(zhí)照副本復印件
(2)響應單位法定代表人(或負責人)身份證復印件�����、法定代表人(或負責人)授權委托書和委托代理人身份證復印件(如為授權)
(3)響應報價表
(4)服務偏離表
(5)詢價響應函
(6)項目實施方案
(7)響應單位資格承諾書及相關證明資料
注:以上資料若不能如實提供或提供不完整的視為無效投標。
2���、文件的簽署和密封要求:
(1)按上述要求制作詢價響應文件叁份(一正兩副)�����,并須裝訂成冊�;響應文件封面明確標明“正本”和“副本”���,正本和副本如有不一致之處����,以正本為準����;
(2)詢價響應文件均應采用打印或使用不能擦去的黑色或藍色墨水書寫,由響應單位法定代表人(或負責人)或其授權代表在詢價文件要求處親自簽署或蓋章��,并在詢價響應文件的每一頁上加蓋公章��,未加蓋公章的頁視為無效頁�。
(3)詢價響應文件須裝袋密封,封口處須加蓋單位公章���,密封袋及響應文件封面上應注明采購項目名稱����、詢價采購編號�、詢價響應單位名稱、地址����、聯(lián)系人、聯(lián)系電話等�����。
3��、采購單位有權拒絕未按上述要求制作的詢價響應文件�����。
(二)詢價響應文件錯誤的修正原則
1����、響應文件的大寫金額與小寫金額不一致的�,以大寫金額為準�。總價金額與按單價匯總金額不一致的�,以單價金額計算結果為準;單價金額小數(shù)點有明細錯位的�����,應以總價為準����,并修改單價;
2�、對不同文字文本投標文件的解釋發(fā)生異議的,以中文文本為準����。
3、供應商不同意以上修正的���,其詢價響應文件將被拒絕���。
(三)詢價響應文件的補充、修改和撤回
供應商在提交詢價響應文件截止時間前,可以對所提交的響應文件進行補充��、修改或者撤回����,并書面通知采購代理機構��。補充����、修改的內容作為響應文件的組成部分。補充�、修改的內容與響應文件不一致的,以補充��、修改的內容為準�����。
(四)詢價響應文件的澄清�、說明和更正
詢價小組在對響應文件的有效性、完整性和響應程度進行審查時�����,可以要求供應商對響應文件中含義不明確、同類問題表述不一致或者有明顯文字和計算錯誤的內容等作出必要的澄清���、說明或者更正�。供應商的澄清���、說明或者更正不得超出響應文件的范圍或者改變響應文件的實質性內容�。
詢價小組要求供應商澄清����、說明或者更正響應文件應當以書面形式作出。供應商的澄清��、說明或者更正應當由法定代表人(或負責人)或其授權代表簽字或者加蓋公章�。由授權代表簽字的,應當附法定代表人(或負責人)授權書�。供應商為自然人的,應當由本人簽字并附身份證明��。
為保證在評審小組要求供應商解釋或者澄清其響應文件時能夠及時得到回復���,在評審開始前��,供應商法定代表人(或負責人)或授權代理人可到評審現(xiàn)場等候�。供應商的澄清、說明或者更正應在評審小組向其提出澄清��、說明或者更正要求后三十分鐘內提交給評審小組���。在評審期間����、供應商應注意調整其行程安排��,如響應供應商未到場����,則視為供應商放棄上述權利�,相關后果自負。
(五)遞交響應詢價文件及確定成交供應商日期和地點
1��、本次詢價通知書的響應截止時間為2024年10月28日16:00前�。響應單位應在截止時間前將詢價響應文件密封,并在文件封面注明投標編號���,并在文件封口處加蓋單位公章后送達蘇州市干將西路399號銀海大廈303室創(chuàng)杰公司 聯(lián)系人:潘莉莉�����、顧凡鍵����,聯(lián)系電話:0512-65238816,未按詢價采購文件要求制作的詢價響應文件或過時送達的詢價響應文件����,一律為無效投標。
2��、2024年10月29日10:00在蘇州市干將西路399號銀海大廈302室創(chuàng)杰公司確定成交供應商�。成交供應商收到成交通知書后,應在十五日內簽訂合同��。
四��、報價說明:
1�����、響應單位需根據(jù)本詢價采購文件要求制作響應文件�。本次報出的價格一次性報定不得更改,響應單位報價包括完成全部服務所需的人工費��、材料費��、通訊費、交通費�、資料費、政策性文件規(guī)定及合同包含的所有風險����、責任等各項應有費用。不論響應單位是否列出相關費用明細��,招標人均可以認為響應單位已在總價中包含了全部費用����。
2�、響應單位應對所要采購的全部內容進行報價,只報其中部分內容的����,為無效報價。
五�、綜合說明及其他:
1、響應單位所提供的服務能夠至少達到以上要求�����。
2�、響應單位必須承諾采購文件中提出的全部要求�,如果其中某些條款不響應時�����,應在文件中逐條列出�����,未列出的視同響應�。
3、若響應單位在服務管理期間發(fā)生下列行為之一的�����,采購人可解除服務合同���,并不再支付合同費用:
(1)將服務轉包他人���;
(2)無法有效開展服務的其它行為。
4��、服務履約期間采購方有權按照考核標準對該采購項目服務進行檢查考核���。
5�����、成交單位對服務缺陷不予更正��,招標人有權另請其他單位更正�����,所發(fā)生的費用在合同價款中扣除����。
6、響應單位應對所投項目的全部服務內容進行報價�����,只投其中部分內容者�����,其投標文件將被拒絕����。響應單位對服務缺陷不予更正���,采購方有權另請其他單位更正����,所發(fā)生的費用由成交單位承擔。
7��、參照相關法規(guī)的規(guī)定�����,招標采購單位將對供應商進行信用查詢����,凡經(jīng)確認不符合相關法律法規(guī)規(guī)定的,將拒絕其參與采購活動��。
8���、成交服務費:成交單位按照預算金額計算并支付�����,具體為100萬元以內1.5%��、100萬元~500萬元以內1.1%差額定率累進法的60%計算并支付成交服務費���,不足叁仟元的按3000元計算��,該費用應在領取成交通知書時付清����。
六�����、付款步驟:
本合同分三期進行付款:
1��、合同簽訂后1月內����,乙方服務人員入場并提交項目實施方案。項目實施方案經(jīng)雙方認可后��,乙方開具發(fā)票(發(fā)票金額為合同總金額的20%)�����,甲方支付合同總金額的20%��。
2�����、合同簽訂后6個月���,甲方根據(jù)階段性考核結果支付服務款�,支付金額不超過合同總金額的50%:
3�、服務期滿后�����,甲方根據(jù)考核驗收結果,支付剩余款項:
(1)若考核完全達標(當期責任考核得分不少于90分)�,甲方支付給乙方結余服務費比例的100%;
(2)若考核基本達標(當期責任考核得分不少于70分)��,甲方支付給乙方結余服務費比例的80%���;
(3)若考核不達標(當期責任考核得分低于70分)�,結余服務費將不予支付�����,并終止服務合同。
七���、評審辦法:
1�����、采購人授權詢價小組根據(jù)質量和服務均能滿足采購文件實質性響應要求且報價最低的原則確定成交供應商�����。
2���、若滿足上述原則的最低報價響應供應商超過一家時,則由采購單位以抽簽的方式?jīng)Q定成交供應商�。
八、項目的終止:
出現(xiàn)下列情形之一的��,將終止詢價采購活動:
1���、因情況變化��,不再符合規(guī)定的詢價采購方式適用情形的��;
2、出現(xiàn)影響采購公正的違法、違規(guī)行為的���;
3�、在采購過程中符合競爭要求的供應商或者報價未超過采購預算的供應商不足3家的���。
九����、合同生效:
1�、合同經(jīng)招標代理機構蓋騎縫章,甲乙雙方代表簽字或蓋章���、加蓋公章(或合同章)后生效�����。
2�����、合同簽訂生效后甲乙雙方即直接產生權利與義務的關系�,合同執(zhí)行過程中出現(xiàn)的問題應按照《中華人民共和國民法典》的規(guī)定辦理���。在合同履行過程中�,雙方如有爭議,任何一方均可要求招標代理機構進行調解����,調解不成,則任何一方均可向需方所在地人民法院提起訴訟����。
3、合同在執(zhí)行過程中出現(xiàn)的未盡事宜����,雙方應在不違背本合同和甲方采購目的的原則下協(xié)商解決,協(xié)商結果以書面形式蓋章記錄在案�,并提交招標代理機構一份備存,作為本合同的附件��,與本合同具有同等的法律效力��。
4��、合同一式叁份�����,甲乙雙方各執(zhí)一份,招標代理機構執(zhí)一份��。
十����、其他
1�����、響應單位在詢價響應文件中必須對所有采購產品的技術���、服務做出應答����,如果有其中某些條款不響應時��,須在響應文件中明確列出��,未列出的視同響應(且如成交后發(fā)現(xiàn)不符合采購要求的�,則視為虛假響應,按虛假響應處理)
2�����、響應單位在投標時提供的資料均應是真實的,若有虛假�����,由其自行承擔一切后果��。
3�、如響應單位對本通知書有疑義,以書面形式向招標代理機構咨詢����,一切材料以招標代理機構的書面材料為準。
十一��、聯(lián)系方式:
招標代理機構:蘇州市創(chuàng)杰招投標咨詢服務有限公司
地 址:蘇州市干將西路399號銀海大廈303室 郵編:215002
聯(lián)系人:潘莉莉�����、顧凡鍵 聯(lián)系電話:0512-65238816
采購單位聯(lián)系人:張文彬 聯(lián)系電話:18913170991
蘇州市創(chuàng)杰招投標咨詢服務有限公司
2024年10月22日
附件1:詢價響應報價表
詢價響應報價表
采購編號: 項目名稱:
|
序號
|
名稱
|
報價(元)
|
備注
|
|
1
|
|
|
|
|
2
|
|
|
|
|
3
|
|
|
|
|
總報價(人民幣大寫):
|
|
服務期限:
|
報價單位(公章): 聯(lián)系人: 聯(lián)系電話:
法定代表人(或負責人)或委托代理人:(簽字或簽章)
日期: 年 月 日
附件2:詢價響應函
詢價響應函
蘇州市創(chuàng)杰招投標咨詢服務有限公司:
我方收到貴公司 號詢價采購通知��,經(jīng)仔細閱讀和研究����,我方?jīng)Q定參加,并向貴公司承諾:
1����、我方愿意按照詢價采購通知的一切要求����,提供本項目的所有內容�����,我方的報價包含服務期限內完成該項目服務工作所需的所有費用���。
2、如果我方的詢價響應文件被接受����,我方將嚴格履行詢價采購通知中規(guī)定的每一項要求,嚴格履行合同的責任和義務�,保證按期、按質履行合同�,完成合同內容所規(guī)定的全部工作。
3�、我方愿意提供采購方在詢價采購通知中要求的所有資料,也同意向貴方提供貴方可能另外要求的與我方響應有關的任何證據(jù)或資料���。并保證所提供的資料全部是真實的��、有效的��,若有虛假���,我方愿承擔一切責任�。
4�����、我們同意按詢價響應文件中的規(guī)定�,本投標書的有效期限為開標后 45天。
5�����、我方愿意遵守詢價采購通知中所列的收費標準�����。
6�����、我方承諾該項報價在遞交后保持有效�����,不作任何更改和變動。我方同意成交后若不履行詢價采購通知的內容要求和各項承諾及義務的即被視為違約��,我方的成交標資格將被取消�����。
7�����、我方同意若無法按約定條款履行義務等行為����,采購方有權取消我方成交資格�。
8、與本次投標有關的通訊地址:
單 位: 聯(lián) 系 人:
地 址: 郵政編碼:
聯(lián)系電話: 傳 真:
響應單位:(公章)
法定代表人(或負責人)或委托代理人:(簽字或簽章)
日期: 年 月 日
代理人在授權委托書有效期內簽署的所有文件不因授權委托的撤銷而失效�����,除非有撤銷授權委托的書面通知�,本授權委托書自詢價響應文件遞交開始至合同履行完畢止���。
2�����、未在上表中說明的,如在響應文件其他內容中已有文字說明的���,則以已有文字說明為準�,否則���,將被認為完全響應采購文件的規(guī)定�����。但該表不作為響應單位對所投標的物(服務)關于技術要求等詳細描述和說明的替代��。
