招標(biāo)公告
山推****公司-信息安全服務(wù)項目 ****公司有關(guān)部門批準(zhǔn)���,現(xiàn)采用公開招標(biāo)方式選擇中標(biāo)人,歡迎符合條件的投標(biāo)人前來參加投標(biāo)��。有關(guān)事宜公告如下:
一��、項目基本信息
1、 項目名稱:信息安全服務(wù)項目
2��、 招標(biāo)編號: ****
3�����、 項目地址:山推國際事業(yè)園總部大樓
4���、 到貨周期:兩周
5��、 資金來源:自籌
6��、 項目概況:信息安全服務(wù)項目一年����、信息安全重保服務(wù)一年
項目說明,主要采購清單,技術(shù)規(guī)格等主要參數(shù)����。
| 設(shè)備名稱 | 采購數(shù)量 | 規(guī)格參數(shù) | 維保類型 | 備注 |
| 安全服務(wù) | 1年 | 一��、信息安全服務(wù)要求 1�����、為山推提供信息安全服務(wù)��,包括但不限于信息安全風(fēng)險預(yù)警及處置��、滲透測試����、漏洞掃描、弱口令檢查�����、APP合規(guī)檢測��、業(yè)務(wù)上線前安全隱患排查�、互聯(lián)網(wǎng)暴漏面檢查、代碼審計�����、攻防演練�、應(yīng)急響應(yīng)服務(wù)��、安全設(shè)備策略調(diào)優(yōu)等服務(wù)���;指定專人組**全服務(wù)團隊���,團隊成員數(shù)量不少于三人����,團隊成員具備三年及以上類似本項目工作經(jīng)驗�,以及必須參加過省級攻防演習(xí)。所有攻防測試不影響系統(tǒng)運行��。所有安全技術(shù)人員����、專家必須為原廠商技術(shù)人員,工作人員進場前�����,須向山推提供原廠人員的社保等證明材料�,非原廠人員不得參與任何安全服務(wù)工作。 2��、安全服務(wù)實施前必須對山推全域信息系統(tǒng)��、網(wǎng)絡(luò)進行梳理��,確保無漏項,根據(jù)風(fēng)險級別進行分類分級���,部署安全防護策略����,提出改進措施����,形成首次安全服務(wù)分析報告。日常信息系統(tǒng)及網(wǎng)絡(luò)滲透�、漏掃等風(fēng)險檢測,必須涵蓋所有已公布漏洞檢測情況�。 3、制**服考核辦法����,根據(jù)考核效果,按季度支付安全費用�����。 二�����、信息安全技術(shù)要求 1�、信息安全風(fēng)險預(yù)警及處置:與山推現(xiàn)有7X24小時信息安全監(jiān)控服務(wù)、云WAF無縫對接���,實時風(fēng)險預(yù)警�����、分析���、聯(lián)動處理。信息安全相關(guān)信息聯(lián)動及共享服務(wù)����,通過微信服務(wù)號、微信群���、郵箱等手段�����,實現(xiàn)安全信息高效共享����,根據(jù)內(nèi)外部安全態(tài)勢,提供中高危安全風(fēng)險預(yù)警及處置方案��,協(xié)助消除安全隱患���。 2��、 滲透測試服務(wù)����,一個季度不少于一次��,同時需要根據(jù)山推要求額外隨時進行滲透測試����,每次滲透測試必須覆蓋山推全域網(wǎng)絡(luò)及信息系統(tǒng),滲透測試整改完成后���,需進行整改效果驗證��。滲透測試應(yīng)使用專業(yè)工具���,由參加過省級攻防演習(xí)的工程師模擬黑客���,對山推全域信息系統(tǒng)及網(wǎng)絡(luò)進行模擬攻擊����,最終形成滲透測試報告。 3����、漏洞掃描服務(wù):一個月不少于一次漏洞掃描服務(wù),同時需要根據(jù)山推要求額外隨時進行漏掃服務(wù)�����,每次漏掃必須覆蓋山推全域網(wǎng)絡(luò)及信息系統(tǒng)��,對指定服務(wù)器進行漏洞掃描���,形成漏掃報告及整改復(fù)測報告�����;每周進行一次弱口令掃描服務(wù)�,根據(jù)山推要求對指定服務(wù)器��、業(yè)務(wù)系統(tǒng)進行弱口令檢測,形成弱口令檢查報告��。 4���、業(yè)務(wù)上線前安全隱患排查服務(wù):業(yè)務(wù)上線前對業(yè)務(wù)系統(tǒng)進行全端口漏洞掃描����、形成漏掃結(jié)果��,待整改完成后����,進行復(fù)測,直至達到無漏洞為止��。新業(yè)務(wù)系統(tǒng)上線前應(yīng)進行代碼審計��,推薦人工和機器協(xié)同檢測方式�。 5、代碼審計服務(wù):一季度不少于三次����,同時需要根據(jù)山推要求額外隨時進行代碼審計服務(wù)。針對山推提供的系統(tǒng)源代碼�����,進行全量代碼安全審計,從業(yè)務(wù)邏輯層面�����、應(yīng)用實現(xiàn)架構(gòu)層面進行全面的評估�����,并通過專業(yè)工具及人工分析相結(jié)合�����、分批對核心系統(tǒng)開展代碼審計工作����,對程序可能存在的后門����、陷阱、SQL注入��、跨站漏洞��、輸入輸出注入等風(fēng)險進行有效的封堵,從源頭保證應(yīng)用安全�����,形成代碼審計報告�����。 6����、 攻防演練服務(wù),一年不少于一次�����,攻防演練時長不低于5天��,攻防演習(xí)工程師不少于五名���,包括兩****省國資委攻防演習(xí)的工程師��。負(fù)責(zé)攻防演習(xí)的方案制定及實施�,風(fēng)險整改�����、復(fù)測等工作。通過攻防演練深度挖掘高危隱匿漏洞和由于管理上疏漏所導(dǎo)致的漏洞��,形成攻防演練報告�。演練結(jié)束后山推安全團隊針對發(fā)現(xiàn)漏洞進行整改,整改完成后安全服務(wù)團隊需進行漏洞復(fù)測�。 7、網(wǎng)絡(luò)及安全設(shè)備調(diào)優(yōu)服務(wù)���,一季度不少于一次。調(diào)優(yōu)設(shè)備包括但不限于交換機���、路由器���、防火墻、WAF���、IPS��、數(shù)據(jù)庫審計��、數(shù)據(jù)庫防火墻�����、**盾���、日志審計�、態(tài)勢感知���、一體化運維設(shè)備等���,調(diào)優(yōu)內(nèi)容包括資產(chǎn)梳理、訪問控制梳理�����,設(shè)備冗余度檢查�����、網(wǎng)絡(luò)架構(gòu)評測及問題處理�。需要工程師熟練掌握山石、深信服�����、安恒、綠盟的等安全廠商的產(chǎn)品使用情況�。 8、 應(yīng)急響應(yīng)服務(wù)��,不限次數(shù)�。山推信息系統(tǒng)發(fā)生突發(fā)事件時,五分鐘響應(yīng)�����,半小時內(nèi)解決�����。如無法解決���,提供臨時處置方案,三小時內(nèi)到達現(xiàn)場�,根據(jù)山推要求提供現(xiàn)場服務(wù)支持。 9���、 信息安全培訓(xùn)服務(wù)�,由安全廠商提供信息安全技術(shù)培訓(xùn)�,培訓(xùn)主要包括:網(wǎng)絡(luò)基礎(chǔ)設(shè)施安全培訓(xùn)��、 操作系統(tǒng)安全培訓(xùn)���、數(shù)據(jù)安全培訓(xùn)、漏洞�、攻防技術(shù)培訓(xùn)等。應(yīng)基于山推需要每年開展不少于兩次信息安全意識培訓(xùn)�,同時在應(yīng)在“網(wǎng)絡(luò)安全宣傳周”等時期提供宣傳支持,同時進行釣魚郵件���、信息安全考試(含題庫)等工作�。 10��、攻防演練防守服務(wù)�����,在國家護網(wǎng)行動����、國資委、省**廳攻防演練����、****集團攻防演練期間���,安全服務(wù)團隊?wèi)?yīng)基于山推需要,安排安服團隊成員全程7X24小時進行防守�。 11、APP合規(guī)檢測:檢查 APP對收集���、存儲�����、使用和共享用戶個人信息的方式是否合法合規(guī)�;評估 APP 對數(shù)據(jù)的存儲���、傳輸和處理是否遵循安全標(biāo)準(zhǔn)�,防止數(shù)據(jù)泄露����、篡改或被未經(jīng)授權(quán)的訪問����;審查 APP 所請求的系統(tǒng)權(quán)限是否與其功能必要相關(guān),是否存在過度獲取權(quán)限的情況等。 ﹒ 11��、互聯(lián)網(wǎng)暴漏面檢查:減少互聯(lián)網(wǎng)連接通道�、歸攏外網(wǎng)訪問出口、關(guān)閉容易被利用的����、非必要的高危端口、整改不安全的已知的資產(chǎn)����、修復(fù)漏洞、弱口令等問題���、梳理訪問控制不當(dāng)?shù)膬?nèi)部系統(tǒng)�����、梳理違規(guī)搭建����、非法運行的系統(tǒng)��、梳理過期未退運或臨時發(fā)布的系統(tǒng)�����、梳理誤操作導(dǎo)致泄漏的開發(fā)測試環(huán)境系統(tǒng)、完善安全策略��、重點保護集權(quán)系統(tǒng)�、發(fā)現(xiàn)異常網(wǎng)絡(luò)訪問行為。 | 服務(wù) | |
| 重保服務(wù) | 1年 | 攻防演練開展前須采取預(yù)防措施��,包括互聯(lián)網(wǎng)暴漏面掃描��、漏洞排查���、弱口令掃描���、安全設(shè)備策略梳理等加固工作,同時給出攻防演練防守方案及詳細(xì)重保服務(wù)保障措施�����,確定信息安全服務(wù)保障團隊(安全服務(wù)人員不得少于三名,所有成員必須為原廠工程師����,****國資委或同等級別的攻防演習(xí),工作年限不少于三年)����。 攻防演習(xí)期間,安全重保服務(wù)團隊實時監(jiān)控�、處理、上報信息安全風(fēng)險����,具體技術(shù)要求如下: 1.安全攻擊監(jiān)控:7*24h實時監(jiān)控山推全域(包括但不限于公有云、私有云����、云WAF、態(tài)勢感知以及內(nèi)部網(wǎng)絡(luò)系統(tǒng)等)信息安全態(tài)勢�。 2.風(fēng)險研判處置:安全重保服務(wù)團隊將威脅事件進行研判處置,可通過WAF����、IPS、防火墻�����、云WAF封禁相關(guān)風(fēng)險IP并記錄。極端情況下經(jīng)山推授權(quán)后���,可采取關(guān)停網(wǎng)絡(luò)等措施�。 3.安全溯源分析:安全重保服務(wù)團隊對風(fēng)險事件進行追溯分析�����,定位及追蹤攻擊IP�����,取證并協(xié)同山推進行上報反饋���。 4.安全防守匯報:安全重保服務(wù)團隊每間隔一小時向防守群匯報相關(guān)安全動態(tài),同時整理輸出《安全重保服務(wù)日報》�。攻防演練結(jié)束后,輸出《攻防演練防守總結(jié)報告》��,包括安全加固建議及整改結(jié)果復(fù)測。 5���、防守成功的判斷標(biāo)準(zhǔn): 1)攻防演習(xí)對山推全域信息資產(chǎn)進行有效攻擊,如果未受到任何攻擊��,則重保服務(wù)無效�; 2)根據(jù)攻防演習(xí)正式報告(由山推出具攻防結(jié)果),山推全域網(wǎng)絡(luò)及信息系統(tǒng)在演習(xí)期間不被攻破�,未發(fā)現(xiàn)任何高中低危漏洞,山推不丟失任何分值�����。 | 軟件 | |
| 說明:
1���、 所投產(chǎn)品不低于以上配置參數(shù)�����,所投產(chǎn)品必須滿足項目要求���,不足項可自行補充;
2��、本次項目實施時間由山推決定,實施人員必須為原廠專業(yè)工程師���。
3����、服務(wù)期限為一年�,項目中出現(xiàn)的任何爭議最終解釋權(quán)歸山推所有。 |
二���、投標(biāo)資格要求
1. 投標(biāo)人須遵守《中華人民**國招標(biāo)投標(biāo)法》�����、《中華人民**國民法典》及其它有關(guān)的法律和法規(guī)����;為中華人民**國國內(nèi)注冊的獨立法人機構(gòu)�����,具有獨立承擔(dān)民事責(zé)任能力����;
2. 投標(biāo)人經(jīng)營范圍滿足招標(biāo)項目需求���,投標(biāo)人注冊資本不得少于人民幣500萬元(供參考),滿足技術(shù)��、質(zhì)量����、資金等要求���,財務(wù)狀況良好��、經(jīng)營穩(wěn)定���,具有全面履約的能力;
3. 投標(biāo)人需執(zhí)業(yè)兩年以上�,近兩年沒有違反職業(yè)道德和違法執(zhí)業(yè)行為;無不良信用記錄�����,未被暫?�;蛉∠型稑?biāo)資格;
4. 不接受被列入重大稅收違法案件當(dāng)事人名單����、政府采購嚴(yán)重違法失信行為記錄名單的投標(biāo)人參與投標(biāo);不接受因違法經(jīng)營受到刑事處罰����、被責(zé)令停產(chǎn)停業(yè)、被吊銷許可證或執(zhí)照���、有較大數(shù)額罰款的投標(biāo)人參與投標(biāo)��;不接受在“國家企業(yè)信用信息公示系統(tǒng)”���、“中國執(zhí)行信息公開網(wǎng)”、“信用中國”等信息平臺中���,存在行政處罰及失信記錄等信息的投標(biāo)人參與投標(biāo)����;
5. 投標(biāo)方****集團黑名單��;
6. 投標(biāo)單位負(fù)責(zé)人為同一人或者存在控股�、管理關(guān)系的不同單位,不得參加同一標(biāo)段投標(biāo)或者未劃分標(biāo)段的同一招標(biāo)項目投標(biāo);
7. 不接受投標(biāo)方的直接或間接股東����、法定代表人、董事�、監(jiān)事、高管為招標(biāo)人員工及其親屬等投標(biāo)人參與投標(biāo)�����;
8. 本項目不接受聯(lián)合體投標(biāo)���,中標(biāo)后不得分包或轉(zhuǎn)包;
9. 制造商與其代理商不能同時參加投標(biāo)���,只能選擇其中一種方式�;
10. 無招標(biāo)違規(guī)�����、謊報年度報告信息���、提供虛假資質(zhì)資料等行為或其他行政處罰記錄����;
三、投標(biāo)報名應(yīng)提交的資料(所有資料必須每頁加蓋公章)
1. 提供有效期內(nèi)三證合一的營業(yè)執(zhí)照��,公司簡介�;
2. 法定代表人身份證明、身份證或法定代表人授權(quán)委托書����、被授權(quán)人身份證(均要求在有效期內(nèi)、復(fù)印件蓋公章)����;
3. 提供開戶行許可證、****銀行征信證明)��,要求銀行出具時間半年內(nèi)均有效�����;企業(yè)近半年完稅證明�、企業(yè)納稅信用等級(可提供納稅網(wǎng)站首端口頁截圖);
4. ****事務(wù)所審計且出具無保留意見的近三年(2021-2023年)審計報告(優(yōu)先提供)或財務(wù)報表(資產(chǎn)負(fù)債表��、利潤表必須清晰蓋章版)���;
5. 相關(guān)合同:具備該類設(shè)備生產(chǎn)�����、安裝成熟經(jīng)驗���,提供近兩年已完成承攬項目預(yù)覽表及相關(guān)方案�,提供近2年相同或類似項目合同復(fù)印件�����,不少于2份�;
6. 特殊資質(zhì);行業(yè)許可等���;
7. 制造商與其代理商不能同時參加投標(biāo),只能選擇其中一種方式�;代理商需要提供制造商營業(yè)執(zhí)照(復(fù)印件蓋公章)、公司簡介����、對招標(biāo)項目的授權(quán)書等相關(guān)材料;
8. 投標(biāo)單位在“信用中國”���、“國家企業(yè)信用信息公示系統(tǒng)”�����、“中國執(zhí)行信息公開網(wǎng)”無失信�、違法等記錄,提供近一周內(nèi)下載的信用中國報告及“國家企業(yè)信用信息公示系統(tǒng)”�����、“中國執(zhí)行信息公開網(wǎng)”的報告或截圖要求清晰蓋章版�;提供在陽光采購服務(wù)平臺(http://www.****.com)注冊完成的界面截圖;
9. 如某項資料確實不能提供����,請書面說明原因并蓋章。
1) 報名:報名材料按照以上順序做材料目錄���,所****公司印章:
2) 報名材料發(fā)至報名郵箱: ****@shantui.com和****@shantui.com����,郵件標(biāo)題為:招標(biāo)編號+項目名稱-報名材料-公司簡稱����;
3) 郵件內(nèi)容編輯為:報名項目名稱及招標(biāo)招標(biāo)編號��、****公司名稱����、項目聯(lián)系人及聯(lián)系方式(項目招投標(biāo)過程中����,不得更換);
4) 要求報名材料為叁份PDF文檔(不大于20M)���,分別命名為:
a. 公司名稱-基本材料:此文件包括第三大條:第1���、2、3���、6���、8條����;
b. 公司名稱-財務(wù)材料:此文件包括第三大條:第4條,內(nèi)容為清晰蓋章版�����;
c. 公司名稱-項目相關(guān)材料:第5、7條�,及其他相關(guān)材料。
5) 報名郵件首頁明確注明報名項目名稱及招標(biāo)項招標(biāo)編號���、****公司名稱�、項目聯(lián)系人及聯(lián)系方式���;
未按以上要求格式提交資料的����,無法有效審核���,報名無效���,不再另行通知。
四��、報名和獲取招標(biāo)文件的時間及方式
1. 報名時間:2024年8月6日—2024年8月12日17時00分���,報名截止時間后送達的報名文件將被拒收�;
2. 獲取招標(biāo)文件時間:公告結(jié)束后,資格審查通過后���,招標(biāo)方向?qū)彶橥ㄟ^的參標(biāo)方統(tǒng)一發(fā)送招標(biāo)文件���。
3. 報名聯(lián)系人:主管部門電話:0537-****075
項目聯(lián)系人:166****0950
報名期限內(nèi),潛在投標(biāo)人按要求提交報名材料��,如需要補充材料�,在規(guī)定時間內(nèi)完成,逾期報名無效�����。報名時的資料查驗不代表資格審查的最終通過或合格�����。
4. 疑問處理
提交疑問時間:2024年8月12日
提交疑問方式:將答疑問題以word文件格式發(fā)郵件至【主管部門人員郵箱】����,并電話聯(lián)系工作人員查收(【主管部門人員姓名+電話】),郵件名格式為:XXX****公司簡稱)XX項目答疑文件�。同時須在郵件中以文字方式提供投標(biāo)單位全稱���、投標(biāo)授權(quán)人姓名����、聯(lián)系方式(固定電話、手機���、電子郵箱)����。
答疑��、澄清和修改文件方式:招標(biāo)人將以電子郵件的方式將招標(biāo)文件的答疑澄清文件發(fā)送至答疑文件提交時登記的電子郵箱��。
如需要統(tǒng)一澄清的��,通過公共媒介統(tǒng)一澄清���。
五���、繳費須知:
1.所有繳費不接受私人賬戶匯款及現(xiàn)款交存,只接受公對公轉(zhuǎn)賬�,繳費詳細(xì)信息詳見招標(biāo)文件;
2.招標(biāo)文件售價:200元/份,售后不退��,招標(biāo)文件發(fā)售WORD版或PDF版��;
3.投標(biāo)保證金:5000元(大寫伍仟元整)���,
六���、發(fā)布公告的媒介
本次招標(biāo)公告、澄清文件����、中標(biāo)候選人公示、中標(biāo)公告在**招標(biāo)采購網(wǎng)(http://www.****.com)��、(http://www.****.cn/)�����、陽光采購服務(wù)平臺(http://www.****.com)發(fā)布����,山推官方網(wǎng)站(http://www.****.com)只發(fā)布招標(biāo)公告,請各潛在投標(biāo)人及時關(guān)注相關(guān)信息�����;
投標(biāo)單位須在陽光采購服務(wù)平臺注冊(http://www.****.com),否則中標(biāo)后無法公示�����。
七��、投標(biāo)文件遞交截止時間及開標(biāo)地點
遞交時間:資料審核通過后��,統(tǒng)一發(fā)送招標(biāo)文件���,約定開標(biāo)日期。
遞交方式:開標(biāo)現(xiàn)場遞交,特殊情況下可郵遞�。
遞交地點:**省**市327國道58號山推國際事業(yè)園辦公大樓
八、重要說明
1�、 本項目由****承辦,并對招標(biāo)過程中可能出現(xiàn)的爭議問題進行解釋���;
2��、 報名截止后���,我公司有權(quán)對投標(biāo)方資質(zhì)進行擇優(yōu)篩選,而不對未通過篩選的投標(biāo)方進行任何解釋;
3���、 各投標(biāo)人在交取招標(biāo)文件費后�����,視為認(rèn)同本招標(biāo)項目和招標(biāo)流程�。
4�����、 投標(biāo)人必須登記用于本項目招投標(biāo)過程中的準(zhǔn)確有效的聯(lián)系電話�����、電子信箱和聯(lián)系人����,并不得隨意更換。本項目招投標(biāo)過程中相關(guān)的招標(biāo)文件���、澄清����、修改、資料�����、通知等信息均由山推****公司通過此聯(lián)系方式發(fā)送至投標(biāo)人���,所有信息一旦發(fā)布即視為以書面形式通知所有潛在投標(biāo)人����,逾期不予確認(rèn)回復(fù)的均視為投標(biāo)人已收到相關(guān)信息�����,若因登記的聯(lián)系方式有誤��、通訊障礙�����、無人應(yīng)答或未及時查閱等因素給投標(biāo)人造成的一切損失均由投標(biāo)人承擔(dān)���;
5、 投標(biāo)保證金的收取及退還:根據(jù)公司管理辦法收取相應(yīng)保證金��,但無論中標(biāo)與否未中標(biāo)單位投標(biāo)保證金原則上需在招標(biāo)結(jié)果公布后退回,中標(biāo)單位保證金在合同簽訂后退還或自動轉(zhuǎn)為項目履約保證金(如招標(biāo)文件有要求)����。發(fā)生以下情況時,招標(biāo)人有權(quán)沒收投標(biāo)保證金:
a�����、 投標(biāo)人遞送投標(biāo)文件后����,無正當(dāng)理由放棄投標(biāo)的;
b����、 自中標(biāo)通知書發(fā)出之日起30 日內(nèi),中標(biāo)人無正當(dāng)理由不與招標(biāo)人簽訂合同的�����;
c����、 投標(biāo)人在投標(biāo)過程中被查實有串標(biāo)、圍標(biāo)��、陪標(biāo)等違規(guī)違紀(jì)行為的;
d����、 投標(biāo)人有違約違規(guī)行為或被投訴、舉報的���,在調(diào)查處理期間�����,保證金暫不退還��,待調(diào)查處理結(jié)束后按有關(guān)規(guī)定處理。
山推****公司
****
2024年8月5日
