重庆社会主义学院门户网站等保测评和安全服务项目比选邀请书
一、比选采购内容
项目名称 | 采购限价(万元/年) |
重庆社会主义学院门户网站等保测评和网站安全服务项目 | 10.8 |
二、比选特定资格条件
(一)投标人应具有网络安全等级测评资质(投标人有网络安全等级保护测评机构推荐证书)
(二)测评机构能够在公安部网络安全等级保护网www.djbh.net推荐目录中查询到。
三、采购服务内容
(一)项目概述
随着信息化建设的逐步深入,对系统依赖的程度越来越高,在未来信息化建设中占有非常重要的地位。根据《中华人民共和国网络安全法》、《信息安全等级保护管理办法》等法规和技术标准,应在充分调研的基础上,结合系统构成特点,通过等保测评、渗透测试、安全监控、应急响应等安全服务提高信息系统的安全性,使信息系统的安全达到一个较高的水平。为顺利达成项目目标,服务提供方应具有丰富的服务整改经验,为整改完善工作提供技术支撑。
1.供应商必须承诺对本项目技术文件以及由供的所有内部资料、技术文档和信息予以保密。供应商须按采购人的要求签订保密协议,未经采购人书面许可,不得以任何形式向第三方透露本项目标书以及本项目的任何内容。
2.供应商在项目实施过程中,应对项目进行规范化管理,要有项目管理组织、项目管理计划、服务资产管理等。同时,供应商应根据项目实际情况制定项目实施计划,严格按照项目实施计划推动项目实施,确保项目进度。
3.供应商应加强本项目资料的保密管控,必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施,记录资料由生成到销毁整个生命周期内的使用日志,并根据实际工作情况及时对制度进行调整。供应商应加强本项目在采购人工作场所使用设备,特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备,必须遵守该系统关于终端安全管理、移动存储介质管理等要求。
4.在项目实施过程中,供应商应成立相应的项目组,指定一名专职的项目经理协调和调度项目实施工作。
5.服务需求:
序号 | 服务名称 | 服务说明 | 服务方式 | 备注 |
1 | 应急响应 | -非入侵类事件7*24*365快速响应服务,2小时响应(全时段) -入侵事件分析 -恢复正常操作 -灾难数据的恢复、备份 -全面的系统病毒查杀 -对系统的安全进行重新全面评估 -消除入侵隐患,提供解决防范报告 -7*24*365快速响应服务, 1小时响应(全时段) | 2次/年 | 服务对象:门户网站系统
|
2 | 渗透测试 | 对关键系统的应用部分进行一次模拟黑客攻击,对系统和网络进行非破坏性质的攻击性测试。在保证整个渗透测试过程都在可以控制和调整范围之内的前提下,尽可能的获取目标信息系统的管理权限以及敏感信息,并将入侵的过程和细节产生报告给采购人,由此证实采购人系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略; 出具《渗透测试报告》,对发现的安全问题(说明、修复方式)进行逐项说明并提供参考解决方案; 1、测试对象:重庆社会主义学院(www.cqsy.org) 2、复测 对检查中发现的问题整改部分进行补充测试(2次),确认修复效果。 | 单次 | 服务对象:门户网站系统
|
3 | 门户网站安全监控 | 安全性监控: 基于互联网云中心对业务系统安全态势的持续监控;漏洞监控方面可以及时的发现由于被监控系统的更新、维护、环境变更等原因导致的安全状况变更,有效的跟踪反馈被监控系统的安全状态趋势。安全事件监控方面可以及时的发现被监控系统被篡改、被植入恶意代码等事件的发生。 可用性监控: 基于互联网云中心对业务系统可用性态势的持续监控;可用性监控可以及时的发现被监控系统因为网络故障、主机宕机、服务终端等原因造成的业务系统不可用等异常状态。 每日一次人工及时安全状态检测,检测项包括:黑链、病毒链接等; 网站响应时间、可用性实时监控(7*24级别全天24小时实时监控)。 | 持续服务/年 | 服务对象:门户网站系统 |
4 | 等保测评 | 按照国家等级保护相关法规和技术标准,测评指标和对象:测评指标和对象选择须符合国标《GB/T 28448-2019网络安全等级保护测评要求》的相关要求。对构信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机(服务器)系统、数据库与数据备份恢复及其相关管理制度和记录,完成对系统信息安全等级保护测评。 | 单次 | 服务对象:门户网站系统 |
1.服务期:
服务合同签订后,服务期自2021年5月X日起至2022年5月X日止,服务合同一年一签,本项目金额为每年度项目费用。
2.服务地点:
重庆社会主义学院
(二)报价要求
供应商的报价包括完成本项目所需的服务费、人工费及提供服务所需的设备或货物购买(制造)费、辅材费、运输费、装卸费、安装调试费、培训费及各种应纳的税费。因成交供应商自身原因造成漏报、少报皆由其自行承担责任,采购人不再补偿。
(三)付款方式
等保测评完成后10个工作日内,付清项目总款项。
(四)知识产权
采购人在中华人民共和国境内使用成交供应商提供的货物及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控,成交供应商应承担由此而引起的一切法律责任和费用。
注:(若涉及软件开发等服务类项目知识产权的,知识产权归采购人所有)。
(五)联系方式
采购人:重庆社会主义学院
联系人:伍伯承 电 话:13638383961 黄小琴 17783195032
地 址: 重庆市南岸区涂山路140号
(六)评选方法
由学院相关部门责任人组成评审小组,采用最低价评审法。已入围评审的报价供应商,选择报价最低的成为成交供应商;未入围的报名供应商不参与评审。
(七)其它
1.凡有意参加的供应商,请于公告发布之日起至报名截止时间之前,电话参与报名。供应商须在截止时间之前报名并按要求送达响应文件,未按要求提供的为无效供应商,无论结果如何,供应商参与本项目的所有费用均由供应商自行承担。
2.为保证本项目服务质量,供应商应具有网络安全等级测评资质(响应文件中需提供网络安全等级保护测评机构推荐证书复印件和中国网络安全等级保护网官方截图,并加盖供应商公章)。
3.依据《网络安全等级保护测评机构管理办法》相关规定:“属于异地测评项目的,测评机构应从项目管理系统中生成测评项目基本情况表,并于测评项目实施前报送或传至被测评网络备案公安机关”。属于异地测评项目的,成交供应商应在合同签订前提交审核通过的《测评项目基本情况表》。如出现不能按时提交或备案不通过的,视为成交供应商不具备签订合同的基本条件,采购人有权按评审排名依序顺延。
(八)供应商提交响应文件
1.响应文件递交时间:2021年5月14日上午9点30分。
2.响应文件递交方式:参加单位5月14日上午9点到9点半将响应文件(加盖鲜章)与相关资质文件(如网络安全等级保护测评机构推荐证书)交社会主义学院信息处伍伯承,并于上午10点在映月楼三楼会议室以现场开标的形式开标。
3.响应文件递交地址:重庆社会主义学院映月楼三楼会议室
附件一:供应商编制响应文件要求
一、报价函
报价函
(采购人名称):
我方收到____________________________(项目名称)的询比采购文件,经详细研究,决定参加该项目的询比。
1.愿意按照询比采购文件中的一切要求,提供本项目的技术服务,报价为人民币大写: 元整;人民币小写: 元。
2.我方现提交的响应文件为:响应文件电子文档壹份。
3.我方承诺:本次询比的有效期为90天。
4.我方完全理解和接受贵方询比采购文件的一切规定和要求及评审办法。
5.在整个询比采购过程中,我方若有违规行为,接受按照重庆市政府采购·云平台规定给予惩罚。
6.我方若中选,将按照询比结果签订合同,并且严格履行合同义务。本承诺函将成为合同不可分割的一部分,与合同具有同等的法律效力。
7.我方理解,最低报价不是成交的唯一条件。
供应商名称(公章):
年 月 日
二、明细报价表
明细报价表
序号 | 名称 | 相关信息 | 数量 | 单价 | 合计 |
2111 |
|
|
|
|
|
22 |
|
|
|
|
|
13 |
|
|
|
|
|
4 |
|
|
|
|
|
5 |
|
|
|
|
|
6 |
|
|
|
|
|
7 |
|
|
|
|
|
8 | 人工费 |
| / |
|
|
9 | 各种税费 |
| / |
|
|
10 | 其他费用 |
| / |
|
|
11 | …… |
| / |
|
|
12 | 总计 |
|
注:本表可根据项目实际情况调整,并逐页盖章。
供应商名称(公章):
年 月 日
三、服务方案
服务方案(格式自定)
四、资格条件及其他
按照采购文件要求提供扫描件
五、其他应提供的资料
(一)其他资料
1.其他与项目有关的资料(自附):供应商总体情况介绍、其他与本项目有关的资料等。
六、法定代表人授权委托书(格式)/法定代表人(格式)(二选一)
法定代表人授权委托书
致: (采购人名称):
(法定代表人名称)是 (供应商名称)的法定代表人,特授权 (被授权人姓名及身份证代码)电话 代表我单位全权办理上述项目的询比、签约等具体工作,并签署全部有关文件、协议及合同。
我单位对被授权人的签字负全部责任。
在撤销授权的书面通知以前,本授权书一直有效。被授权人在授权书有效期内签署的所有文件不因授权的撤销而失效。
被授权人: 法定代表人:
(签字或盖章) (签字或盖章)
(附:被授权人身份证正反面复印件)
供应商名称(公章)
年 月 日
---------------------------------------------------------------------
法定代表人证明
致: (采购人名称):
(法定代表人名称及身份证代码)是 (供应商名称)的法定代表人,电话 代表我单位全权办理上述项目的询比、签约等具体工作,并签署全部有关文件、协议及合同。我单位对法定代表人的签字负全部责任。
法定代表人(签字或盖章): 供应商名称(公章)
年 月 日
(附:法定代表人身份证正反面复印件)
附件二:合同主要内容和模板
甲方合同编号:
乙方合同编号:
信息系统安全等级测评和安全服务
合同
项目名称:重庆社会主义学院门户网站三级等保测评和安全服务
被测单位: 重庆社会主义学院
委托单位: 重庆社会主义学院
(甲方)
测评单位/受托单位:
(乙方)
签订地点:
签订日期:
依据《中华人民共和国民法典》的规定,乙方受甲方委托,就重庆社会主义学院门户网站系统(三级)的安全等级保护测评和安全服务工作协商一致,特签订本协议。
一、乙方的工作内容、依据、方式和要求
(一) 内容:门户网站系统是重庆社会主义学院重要信息系统,为了提升系统的安全保护能力,加强信息安全管理,按照《信息安全等级保护管理办法》、《信息安全技术信息系统安全等级保护基本要求》的规定,需要进行安全等级保护测评(三级)。通过测评,准确反映该信息系统的安全防护能力现状,对发现的问题进行深入分析,提出整改建议,协助委托方完善系统安全保护措施,提升安全保护能力,最终达到并符合国家标准《信息安全技术信息系统安全等级保护基本要求(GB/T 22239-2008)》相关安全等级保护要求,并出具信息系统安全等级保护测评报告。
测评对象包括:社会主义学院门户网站的安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理等方面,乙方应按照网络安全等级保护相关要求进行测评。根据国家等级测评规范的规定,对同类设备按照恰当性、重要性、安全性、共享性、代表性原则进行抽查。乙方提供的服务内容如下:
序号 | 服务名称 | 服务说明 | 服务方式 | 备注 |
1 | 应急响应 | -非入侵类事件7*24*365快速响应服务,2小时响应(全时段) -入侵事件分析 -恢复正常操作 -灾难数据的恢复、备份 -全面的系统病毒查杀 -对系统的安全进行重新全面评估 -消除入侵隐患,提供解决防范报告 -7*24*365快速响应服务, 1小时响应(全时段) | 2次/年 | 服务对象:门户网站系统
|
2 | 渗透测试 | 对关键系统的应用部分进行一次模拟黑客攻击,对系统和网络进行非破坏性质的攻击性测试。在保证整个渗透测试过程都在可以控制和调整范围之内的前提下,尽可能的获取目标信息系统的管理权限以及敏感信息,并将入侵的过程和细节产生报告给甲方,由此证实甲方系统所存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略; 出具《渗透测试报告》,对发现的安全问题(说明、修复方式)进行逐项说明并提供参考解决方案; 1、测试对象:重庆社会主义学院(www.cqsy.org) 2、复测 对检查中发现的问题整改部分进行补充测试(2次),确认修复效果。 | 单次 | 服务对象:门户网站系统
|
3 | 门户网站安全监控 | 安全性监控: 基于互联网云中心对业务系统安全态势的持续监控;漏洞监控方面可以及时的发现由于被监控系统的更新、维护、环境变更等原因导致的安全状况变更,有效的跟踪反馈被监控系统的安全状态趋势。安全事件监控方面可以及时的发现被监控系统被篡改、被植入恶意代码等事件的发生。 可用性监控: 基于互联网云中心对业务系统可用性态势的持续监控;可用性监控可以及时的发现被监控系统因为网络故障、主机宕机、服务终端等原因造成的业务系统不可用等异常状态。 每日一次人工及时安全状态检测,检测项包括:黑链、病毒链接等; 网站响应时间、可用性实时监控(7*24级别全天24小时实时监控)。 | 持续服务/年 | 服务对象:门户网站系统 |
4 | 等保测评 | 按照国家等级保护相关法规和技术标准,测评指标和对象:测评指标和对象选择须符合国标《GB/T 28448-2019网络安全等级保护测评要求》的相关要求。对构信息系统不可分割的软件应用系统与应用软件、物理机房、网络环境与设备、主机(服务器)系统、数据库与数据备份恢复及其相关管理制度和记录,完成对系统信息安全等级保护测评。 | 单次 | 服务对象:门户网站系统 |
(二) 依据:《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《信息安全等级保护管理办法》(公通字[2007]43号)、《中华人民共和国国家标准 GB/T 17859-1999 计算机信息系统安全保护等级划分准则》、《中华人民共和国国家标准 GB/T 22239-2019 信息安全技术 网络安全等级保护基本要求》、《中华人民共和国国家标准GB/T 28448-2019 信息安全技术 网络安全等级保护测评要求》、《中华人民共和国国家标准GB/T 28449-2018 信息安全技术 网络安全等级保护测评过程指南》、《中华人民共和国国家标准 GB/T 20984-2007信息安全风险评估规范》。
(三)方式:乙方对被测信息系统从技术安全要求和管理安全要求两方面进行检测评估,测评方式包括访谈、文档审查、配置检查、工具测试和实地查看等。
(四)要求:
1.乙方应按照本条第(二)款项下行政法规、规范性文件、技术标准的要求及其他相关法律、法规、规范性文件的规定,坚持客观、公正的第三方立场进行测评工作,保持测评结果及结论的独立性和科学性。
2. 乙方应根据测评工作的具体情况编制测评项目计划和测评方案,乙方应将测评项目计划和测评方案提交甲方确认,经过甲乙双方确认且甲方签署《现场测试授权书》后,乙方进入现场实施测评工作。
3. 乙方应将测评工作对被测信息系统及相关业务的影响告知甲方,由甲乙双方协商确定测评工作时间安排以减小对甲方正常业务和工作的影响。
4.乙方在本项目实施过程中,应对本项目进行规范化管理,须有项目管理组织、项目管理计划、服务资产管理等,乙方应根据本项目实际情况制定项目实施计划,严格按照项目实施计划推动项目实施,确保项目进度。
5.在本项目实施过程中,乙方应成立相应的项目组,指定一名专职的项目经理协调和调度项目实施工作。
(五)工作成果:乙方根据检测结果,针对甲方在公安局备案的系统出具有效的安全等级测评报告(含系统安全保护整改建议及相关的检测过程文档),共1套(可根据记录内容多少分为多册),原则上每套3册(乙方存档1册、属地公安机关存档1册、甲方1册)。
二、甲方的协作事项
为保证测评工作顺利进行,甲方需向乙方提供必要的协作和配合:
(一)甲方应与乙方一起准确填写《信息系统基本情况调查表》,如实反映被测信息系统的现状。
(二)甲方应组织协调本单位内部的相关人员,回答访谈问询,对需要验证的内容上机进行操作,确认测评后设备状态等。
(三) 甲方应协调本单位提供测评工作所需的管理制度、规范、设计文档和过程记录等文档资料。
(四)甲方应协调本单位在现场测评前应完成系统和数据备份,必要时承担相应的数据恢复工作。
(五) 甲方(或被测单位)提供的信息系统应该是可测评的。
三、知识产权和保密要求
(一)甲方承诺所提供的信息系统包括安全产品、软件产品如操作系统、数据库系统、应用软件等具有合法知识产权,没有任何侵犯他人知识产权的行为。若有侵权行为,甲方承担由此而引起的一切后果。
(二)测评工作的成果和结论属甲方所有,乙方对其引用、使用和公开应得到甲方的授权。
(三) 乙方应对本项目技术文件以及由甲方提供的所有内部资料、技术文档和信息予以保密,未经甲方书面许可,不得以任何形式向第三方透露本项目标书以及本项目的任何内容。乙方应加强本项目资料的保密管控,必须针对本项目建立项目纸质、声音、影像、图像、电子等各种形态资料及其载体的保密管控措施,记录资料由生成到销毁整个生命周期内的使用日志,并根据实际工作情况及时对制度进行调整。乙方应加强本项目在甲方工作场所使用设备,特别是笔记本电脑、移动存储介质等便携设备使用的保密管理。接入系统网络内使用的设备,必须遵守该系统关于终端安全管理、移动存储介质管理等要求。甲、乙双方应签署“附件1”的《保密协议》,并按《保密协议》承担保密责任和义务。
(四)甲方如果要引用乙方出具的测评报告,必须完整引用,不得作部分内容引用。若因违背此约束而造成的不良后果,由甲方负责。
(五)甲方在中华人民共和国境内使用乙方提供的货物及服务时免受第三方提出的侵犯其专利权或其它知识产权的起诉。如果第三方提出侵权指控,乙方应承担由此而引起的一切法律责任和费用。若本合同项下服务涉及软件开发等服务类项目知识产权的,知识产权归乙方所有。
四、服务期限、测评期限及履行地点
(一)本合同有效期自2021年5月X日起至2022年5月X日止,本合同有效期届满且乙方完成本协议中要求的安全等级保护测评和安全服务工作后,在本合同条款不发生变化的前提下,且甲乙双方均未以书面及其他方式提出异议,本合同自动续签一年,以此类推。
(二)测评期限为30天,自《信息系统基本情况调查表》填写完毕之日起算,甲方应在测评期限内完成本协议第一条约定的社会主义学院门户网站安全等级保护测评(三级),若甲方需对被测信息系统进行安全加固和整改,且经甲乙双方协商一致,测评期限可相应顺延。
(三)履行地点:重庆社会主义学院。
五、工作验收方法
测试工作达到了本协议第一条所列要求,采用乙方向甲方出具安全等级测评报告(含系统安全保护整改建议及相关的检测过程文档)且安全等级测评报告经甲方确认的方式验收。
六、服务费用及其支付方式
(一)经甲、乙双方协商,本项目的服务费用为人民币 元整(大写:元整),服务费用已包括完成本合同项下服务所需的服务费、人工费及提供服务所需的设备或货物购买(制造)费、辅材费、运输费、装卸费、安装调试费、培训费及乙方应缴纳的全部税费。
(二)支付方式:
甲方收到乙方出具的安全等级测评报告和乙方开具的服务费用全额增值税专用发票之日起15个工作日内向乙方一次性支付全额服务费用。
七、违约金或者损失赔偿额的计算方法
(一)若乙方未经甲方同意转让本合同下的义务,甲方有权拒绝支付或扣减转让部分的服务费用,扣减费用如不足以弥补甲方损失,则乙方还应补偿甲方由此遭受的损失。
(二)因乙方原因造成甲方设备损坏的,乙方应负责修理、更换并赔偿甲方因此遭受的损失。
(三)乙方逾期完成测评,每逾期15天,则乙方应按本合同第六条约定的服务费用总额的0.8%向甲方支付违约金。
(四)因甲方提供的信息系统及相应协作、配合工作不符合本协议第一条、第二条的要求造成乙方测评工作无法开展,乙方应要求甲方更换产品或补充材料,因此而延误的时间乙方将在本协议规定的期限基础上顺延。
(五)本合同生效后,甲方未能在规定日期或合同双方所同意的延期期限内,向乙方支付本合同第六条约定的服务费用,每超期15天,甲方应向乙方支付逾期款项0.8%的违约金。
八、争议的解决办法
本协议在履行过程中发生争议,甲乙双方应本着诚信友好协商解决。若双方不愿协商、调解解决或者协商、调解不成的,双方商定,采用以下第 (一) 种方式解决。
(一) 因本合同所发生的任何争议,申请 重庆仲裁委员会 仲裁;
(二) 在甲方所在地法院按司法程序解决。
九、通知与送达
任何一方向另一方发出本合同相关的任何通知、信函、法律文书(包括因本合同履行而可能发生的争议引起之诉讼时,法院或仲裁机构据以送达的各类法律文书)或其他通信均应以专人递交或特快专递方式发出。在以下情形发生时,该等通知、信函、法律文书或其他通信将视为被送达(不论是否查无此人、拒收、退件或者其他方式不能传递给被送达人的):
(一)以专人递交的,在交付之日即视为有效送达。
(二)以特快专递发出的,在寄出日后的第4日视为有效送达。
(三)一切通知、信函、法律文书、其他通信均应发往本合同首部列明的甲乙双方联系地址。任何一方变更联系地址的,应在变更后3日内书面通知另一方(争议被法院或仲裁机构受理后变更联系地址的,变更方还应通知法院及仲裁机构),否则另一方、法院或仲裁机构向变更前的联系地址发送通知信函、法律文书、相关文件的,视为已履行送达义务。
十、其他
(一)本合同自甲乙双方法定代表人(或授权代表)签字并加盖双方公章或合同专用章之日起生效。
(二)合同一式4份,甲、乙双方各持2份,具有同等法律效力。
(三)在本合同终止的情形下,双方除应对相关费用/违约金进行清算外,乙方有义务向甲方提供必要的交接和协助。
(四)乙方除应按照本合同内容履行义务之外,还应按照《重庆社会主义学院门户网站等保测评和安全服务项目比选邀请书》的内容履行义务。本合同未尽事宜,以《重庆社会主义学院门户网站等保测评和安全服务项目比选邀请书》为准,《重庆社会主义学院门户网站等保测评和安全服务项目比选邀请书》与本合同约定不一致的,则以本合同为准。
(以下无正文)
甲方(盖章):重庆社会主义学院
法定代表人或授权代表(签字):
乙方(盖章):
法定代表人或授权代表(签字):
上一条: [ 重庆社会主义学院后勤综合服务公告 ] |
后一条: [ 重庆社会主义学院2020年度部门决算情况说明 ] |