2021年昆明滇池投资有限责任公司信息安全综合服务机构比选公告

2021年昆明滇池投资有限责任公司信息安全综合服务机构比选公告
　　一、比选概述 　　**滇池投资有限责任公司****年信息安全综合服务机构选聘，采购人为**滇池投资有限责任公司，资金来自企业自筹，项目出资比例为***%。根据《中华人民**国招标投标法》、《中华人民**国招标投标法实施条例》等有关法律法规的规定，**滇池投资有限责任公司对****年信息安全综合服务项目进行比选采购。 　　二、项目概况与比选范围 　　*.项目概况 　　负责对**滇池投资有限责任公司****年信息安全综合服务项目提供的技术服务。 　　*.比选：按照公开、公平、公正、择优的原则，采用比选****年信息安全综合服务机构。本次比选工作由比选小组根据各比选申请人递交的文件，根据综合评审的原则推荐成交人。 　　*.比选范围：按照现行国家、省、*相关网络安全要求，信息安全综合服务工作包括以下工作内容： 　　*.*服务范围和内容 　　服务范围是甲方在信息安全方面提出的要求，主要包括以下内容： 　　安全日志分析、安全漏洞扫描、应急响应及安全值守、安全设备运维、风险评估、网站安全检测、信息安全迎检，最终出具成果报告。 　　*.*具体服务要求 　　*.*.* 服务周期和地点 　　在本项目约定的服务条款基础上，入围单位可根据实际情况与用户方，在服务周期和服务地点等方面进行再约定。 　　*.*.* 综合服务标准规范 　　参照与信息安全相关的国家标准规范展开工作： 　　《中华人民**国网络安全法》 中华人民**国主席令 第五十三号 　　《信息安全技术 信息系统安全等级保护基本要求》(GB/T *****-****) 　　《信息安全技术 信息系统通用安全技术要求》(GB/T*****-****) 　　《信息安全技术 网络基础安全技术要求》(GB/T*****-****) 　　《信息安全技术 操作系统安全技术要求》(GB/T*****-****) 　　《信息安全技术 数据库管理系统安全技术要求》(GB/T*****-****) 　　《信息安全技术 服务器技术要求》(GB/T*****-****) 　　《信息安全技术 终端计算机系统安全等级技术要求》(GA/T***-****) 　　*.*具体技术要求 　　安全巡检; 　　★根据等级保护基本要求对重要信息系统进行安全巡检。巡检内容包括安全设备、网络设备、服务器、中间件、数据库、应用系统等。 　　对安全巡检过程中发现的系统脆弱点，以及政策明确需要整改加固的内容进行加固。包括操作系统加固、数据库加固、web服务器和中间件加固、网络设备加固、安全设备加固、终端安全加固等。要求每季度至少一次安全巡检服务。 　　安全巡检所需检查工具为安全稽核系统，系统详细参数要求见下表： 　　测评工具详细参数备注 　　安全稽核系统需具备以下功能： 　　仪表盘：查看资产、策略统计信息 　　资产管理：管理资产信息，根据IP段搜索资产并添加到资产管理中 　　策略管理：管理系统基础策略信息、管理系统高级策略信息、管理基线库信息 　　扫描管理：管理基础扫描信息、管理高级扫描信息 　　★离线任务：离线状态下实现信息安全扫描 　　报表管理：用于下载各种报表 　　系统设置：用户管理、角色管理、机构管理、区域管理、菜单管理 　　★须提供安全稽核工具原厂《计算机系统安全专用产品销售许可证》，销售许可证中的名称须为“信息安全稽核管理系统”，不得提供与此无关的资质材料(加盖原厂公章)。 　　★须提供原厂家针对本项目的有效授权书原件及针对本项目的有效售后服务承诺书(加盖原厂公章)。 　　安全日志分析 　　★采集所涉及业务系统的主机日志、应用日志、数据库日志、安全设备日志，并进行日志过滤、筛选和关联分析，分析是否存在过去已经发生但未被发现的入侵行为，以及是否存在目前正在发生的入侵行为。要求每季度进行一次全面设备、系统安全日志分析 　　安全漏洞扫描 　　通过漏洞检测，检查和评估目标系统是否存在SQL注入、跨站脚本、木马上传等漏洞，快速掌握系统中存在的薄弱环节，进而促进漏洞修补工作。降低与缓解系统漏洞造成的威胁与损失，保证业务顺利开展，并给出整改加固建议。 　　应急响应及安全值守 　　制定专项应急预案，落实和完善以应急预案为基础的信息系统应急管理工作。同时设计场景进行演练，检验专项应急预案的有效性，验证相关组织和人员应对网络和信息安全突发事件的组织指挥能力和应急处置能力，以提高公司信息系统应对突发事件的综****应急处置能力。 　　当发生黑客入侵、系统崩溃或其它影响业务正常运行等信息安全事件时，调动相关技术力量配合参与响应行动，完成现场处置、应急响应以及事后的调查分析整改工作。安全应急专家第一时间赶到事件现场，使网络信息系统在最短时间内恢复正常工作，协助查找入侵来源，给出入侵事故过程报告，同时给出解决方案与防范报告，挽回或减少经济损失。 　　在特殊时期，依据现场值守制度，技术人员现场值守，对网络与信息系统进行高频率的安全监控;获取最新的安全信息，供运维单位及时调整安全策略，为快速处置各类信息安全事件提供保障。 　　安全设备运维 　　对现有安全设备进行运行维护，包括原有安全设备及今年新增安全设备，监控网络安全设备的安全事件告警信息，并及时对告警信息进行处理，全面提升公司网络安全防护水平。 　　风险评估 　　从风险管理角度，运用科学的方法和手段，系统地分析信息系统所面临的威胁及其存在的脆弱性，评估安全事件一旦发生可能造成的危害程度，提出有针对性的抵御威胁的防护对策和整改措施。 　　全面、准确的了解组织机构的网络安全现状，发现系统的安全问题及其可能的危害，为系统最终安全需求的提出提供依据，准确了解组织的网络和系统安全现状。 　　网站安全检测 　　★为了确保网站安全平稳运行，确保网络及信息的安全，防范各类病毒和有害信息的传播和破坏，对**滇池投资有限责任公司对外网站进行定期安全监测，检查和评估目标网站是否存在SQL注入、跨站脚本、木马上传等漏洞，快速掌握Web网站中存在的薄弱环节。要求对外网站进行安全检测，对发现的问题及时处理。对外网站系统安全检测主要内容包括： 　　远程网站漏洞扫描服务、远程网页挂马检测服务、远程网页敏感内容检测服务、远程网站性能检测服务、远程网站域名检测服务 　　信息安全迎检 　　根据甲方需要，协助甲方完成信息安全巡检工作。 　　*.项目地点：**。 　　*.服务期限：**个月。 　　*.比选方式：本项目比选采用的币种为人民币，价格形式为固定总价，并应考虑税收、保险、利润、物价、工期等变化等因素，不因具体承担服务内容及后续服务内容、工作量等而调整。比选申请人按照相关收费标准，结合*场行情，以及自身情况进行比选，所比选格包含完成本项目及合同约定工作所需的全部费用，本服务费用上限为**万元(含税)。 　　*.不接受联合体投标。 　　三、资格要求 　　*.比选人应当符合《中华人民**国政府采购法》第二十二条规定的条件。 　　*.采购人根据本项目的特殊要求规定比选人应具备的特定条件： 　　*.*比选人须为在中国境内注册的法人或其他组织; 　　*.*比选人应具备ITSS信息技术服务运行维护标准符合性证书; 　　*.*比选人应具备中国信息安全测评中心颁发的信息安全服务资质(工程类一级)及以上;(原件或复印件加盖公章); 　　*.*省外企业须在**设有分支机构(提供分支机构营业执照等证明文件); 　　*.比选人在投标截止时间前未被列入“信用中国”网站( www.creditchina.gov.cn)失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单及中国政府采购网( www.ccgp.gov.cn)“政府采购严重违法失信行为信息记录”。提供上述网站信用信息查询记录的网页截图，并加盖比选人公章。 　　*.法定代表人为同一个人的两个及两个以上法人，母公司、全资子公司及其控股公司，都不得在本项目中同时投标。 　　*.本次招标不接受联合体投标。 　　四、比选文件的领取 　　凡有意参加比选的单位，请于****年**月**日至****年**月*日，到**滇池投资有限责任公司三楼总工办报名。报名时请携带营业执照证照副本复印件(加盖单位公章)、法定代表人证明书(原件)、法定代表人授权委托书(原件)、法定代表人(负责人)或其委托代理人身份证(原件及复印件)。 　　五、比选文件的递交 　　*.比选文件递交截止时间及比选时间：****年**月*日**时**分(**时间，下同)。 　　*.逾期送达的或者未送达指定地点的比选文件，采购人不予受理。 　　*.比选文件递交地点：**滇池投资有限责任公司*楼会议室(***滇中路**滇池投资有限责任公司办公大楼)。 　　六、比选公告发布的媒介 　　本公告在**滇池投资有限责任公司网站(http://www.kmdctz.com)发布，我公司对其他网站或媒体转载的公告及公告内容不承担任何责任。 　　七、其他 　　*.比选申请人应承担其编制比选文件与递交比选文件所涉及的一切费用。不管比选结果如何，采购人对上述费用不承担任何责任。 　　*.比选工作完成后，如项目情况发生变动，在双方尚未签订正式合同的情况下，双方互不承担责任。 　　八、监督单位 　　比选监管部门：**滇池投资有限责任公司纪检监察室 　　联系电话：****-********。 　　九、联系方式 　　采购人：**滇池投资有限责任公司 　　地址：******滇池路第一水质净化厂内**滇池投资有限责任公司 　　联系人：李牧 　　电话：***********