福建中烟信息系统安全检测评估服务-2023年询价函
福建中烟信息系统安全检测评估服务-2023年询价函
公告信息: | |||
采购项目名称 | 福建中烟信息系统安全检测评估服务-2023年 | ||
品目 | 服务/商务服务/资产及其他评估服务 | ||
采购单位 | 福建 (略) | ||
行政区域 | (略) | 公告时间 | 2023年06月09日 15:00 |
开标时间 | |||
预算金额 | ¥0.*万元(人民币) | ||
联系人及联系方式: | |||
项目联系人 | 张晓林 | ||
项目联系电话 | 0592-* | ||
采购单位 | 福建 (略) | ||
采购单位地址 | (略) 莲岳路118号 | ||
采购单位联系方式 | / | ||
代理机构名称 | 法正 (略) | ||
代理机构地址 | (略) 湖里区岐山路1号亿华中心215室 | ||
代理机构联系方式 | 张晓林0592-* |
法正 (略) 受福建 (略) 委托,根据《中华人民共和国政府采购法》等有关规定,现对福建中烟信息系统安全检测评估服务-2023年进行其他招标,欢迎合格的供应商前来投标。
项目名称:福建中烟信息系统安全检测评估服务-2023年
项目编号:询FZXM-CG招(2023)019号
项目联系方式:
项目联系人:张晓林
项目联系电话:0592-*
采购单位联系方式:
采购单位:福建 (略)
采购单位地址: (略) 莲岳路118号
采购单位联系方式:/
代理机构联系方式:
代理机构:法正 (略)
代理机构联系人:张晓林0592-*
代理机构地址: (略) 湖里区岐山路1号亿华中心215室
一、采购项目内容
询价函
各报价供应商:
受采购人福建 (略) 委托,我司进行信息系统安全检测评估服务-2023年(询价编号:询FZXM-CG招(2023)019号)的询价工作,请各报价供应商按照附件一、附件二所列内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报价文件(附件一)加盖报价供应商公章后,于2023年06月14日17:30前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二: 服务内容及要求
询价单位:法正 (略)
联系人:张晓林
电话:0592-*
电子邮箱:*@*63.com
联系地址: (略) 湖里区岐山路1号亿华中心215室
日期:2023年06月09日
附件一:
报价函
项目名称:信息系统安全检测评估服务-2023年
询价编号:询FZXM-CG招(2023)019号
序号 | 服务项目 | 单价(不含税,元/单位) | 单位 | 预计数量 | |
1 | 上线前安全评估服务 | 系统个数 | 7个 | ||
2 | 代码审计服务 | 系统个数 | 7个 | ||
3 | 季度健康检查服务 | 检查次数 | 6次 | ||
4 | 风险评估服务 | 评估次数 | 1次 | ||
5 | 密码评估服务 | 系统个数 | 1个 | ||
6 | 安全检查及指导服务 | 检查次数 | 3次 | ||
7 | 网站安全监测服务 | 自然月 | 17个月 | ||
8 | 安全知识普及培训服务 | 培训次数 | 3次 | ||
9 | 安全实践培训服务 | 培训次数 | 2次 | ||
10 | 攻防实践培训服务 | 培训次数 | 1次 | ||
11 | 专业认证培训服务 | 培训次数 | 1次 | ||
说明 | 1、具体服务数量以采购人实际需求为准; 2、上述报价包含了为完成服务项目所涉及的除税费外的一切费用; 3、本询价函非采购邀约。 | ||||
报价有效期 | 至2023年12月31日 | ||||
发票税率及种类 | % 增值税专用发票 | ||||
报价供应商信息 | 供应商全称(加盖公章): 地址: 联 系 人: 电话: 电子邮箱: 报价日期: |
附件二: 服务内容及要求
1、具体服务内容及要求
1.1上线前安全评估服务:中标人应根据招标人要求,在招标人新业务或新系统上线前,根据系统事先定义的等级保护要求以及烟草行业安全基线要求,进行全面的安全检查,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供系统上线安全评估报告。具体服务的内容及要求包括但不限于:
a.差距分析服务。中标人应根据等保2.0和烟草行业安全基线要求,进行差距分析,形成差距分析报告,并提供加固建议及协助整改。
b.漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进行漏洞扫描,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成漏洞扫描报告,对扫描结果进行分析,并提供加固建议及协助整改。
c.基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成基线核查报告,并提供加固建议及协助整改。
d.渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试,形成渗透测试报告,并提供加固建议及协助整改。
e.提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上所有内容的上线前安全评估报告,附上结果判定的过程证明材料,并提供残余问题处置建议。
1.2代码审计服务:中标人应根据招标人要求,对招标人指定信息系统的所有源代码进行检查,查明威胁点并加以验证,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供源代码审计报告,并协助招标人完善代码安全开发规范。具体服务的内容及要求包括但不限于:
a.中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对招标人指定的系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
b.中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务,具体服务形式由招标人指定。其中整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。
c.中标人的代码审计服务应至少包括三个阶段,即源代码审计前期准备、源代码审计实施以及现场复查实施阶段。
d.在审计工作完成后5个工作日内,中标人出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,中标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为招标人的安全运维和问题修复工作提供参考。
1.3季度健康检查服务:中标人应每季度对招标人指定的范围(包括但不限于网络设备、安全设备、主机操作系统、数据库、中间件及网络服务应用)进行全面的漏洞扫描,对招标人指定的系统或网站进行渗透测试服务,对风险控制策略进行有效审核,根据发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供漏洞扫描报告和渗透测试报告。
1.4风险评估服务:中标人应根据《信息安全技术-信息安全风险评估规范》 《信息安全技术-信息安全风险评估实施指南》及招标人其他要求,提供全面风险评估服务,每次涉及信息系统总数不超过60个,具体核查范围由招标人指定。中标人应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供风险评估报告。具体服务的内容及要求包括但不限于:
a.中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、漏洞扫描、渗透测试、基线核查、人工检查等多种方式,对招标人的整体安全风险进行全面、彻底评估。
b.中标人应根据招标人的风险处置要求,协助招标人及时下发风险通知书,并跟踪问题整改情况,进一步降低招标人的网络安全风险隐患。
c.中标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产清单表、脆弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。
1.5密码评估服务:中标人应按照《信息安全技术 信息系统密码应用基本要求》及招标人其他要求,从物理和环境安全、网络和信息安全、设备和计算安全、应用和数据安全层面评估系统在密码技术应用方面的密码应用是否正确、合规、有效,以及密钥管理、安全管理方案是否符合《信息安全技术 信息系统密码应用基本要求》要求开展评估,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供密码评估报告。
1.6安全检查及指导服务:中标人应根据招标人要求,配合到招标人5家直属单位开展网络安全检查及指导服务。中标人每次必须派出至少3名具有相关工作经验的工程师到现场检查。
1.7网站安全监测服务:中标人应根据招标人要求,通过网站检测云平台对招标人所有外部网站进行7*24小时监测。监测时间未超过15天(含15天)按半个月计算,超过15天按一个月计算。中标人应根据招标人要求,在招标人发生紧急安全事件5分钟以内以电话、短信和邮件等形式对招标人指定联系人进行通告,如招标人的网站被挂马、网页被篡改及其它无法访问等情况。具体服务的内容及要求包括但不限于:
a.中标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP 服务监测等)及认证性检测(如远程钓鱼网站监测)。
b.中标人为招标人提供的网站监测服务交付物应包括但不限于《网站安全监测周报》《网站安全监测月报》等。
1.8安全知识普及培训服务:中标人应根据招标人要求, (略) 内招标人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会工程学或网络安全法律法规等相关现场培训,每次培训0.5天。
1.9安全实践培训服务:中标人应根据招标人要求, (略) 内招标人指定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训,每次2天。
1.10攻防实践培训服务:中标人应根据招标人要求, (略) 内招标人指定地点提供包括但不限于攻防实战、CTF等相关现场培训,每次5天。攻防实战课程包括但不限于攻击队技术框架原理及实战指导、边界突破、权限维持、内网漫游、社会工程学及攻击反制等内容。CTF课程包含但不限于Web安全、密码学、杂项、逆向工程或Pwn分析等内容。
1.11专业认证培训服务:中标人应根据招标人要求,提供包括但不限于CISSP、CISP、CISA、CCSP、CCIE Security、ISO 27001、TOGAF 9.2、COBIT、CISP-PTE或CISP-DSG的培训及认证内容。具体培训及认证内容和培训时间由招标人安排。
2、服务团队及要求
2.1项目负责人资质要求:项目负责人须具备PMP证书,以及CISP、CISSP、CISA、Security+、ISO 27001LA五种证书之二,且具有实施过三个或以上安全服务项目经验。
2.2项目实施人员资质要求。数量:至少3名(不含项目负责人),项目所有实施人员需具备至少2年以上工作经验。
2.3攻防实践培训服务人员资质要求。数量:至少2名,攻防实战课程的培训讲师须具备两个或以上网络安全事件应急响应处置经验,CTF课程的培训讲师须具备三个或以上网络攻防演台(如笔记本电脑、PC、工作站等)和操作系统软件等均由中标人推荐,经招标人确认后由中标人提供并在服务中使用。
3.4中标人服务需要的运行环境(如场地、网络环境等)由招标人提供,中标人应根据服务开展需要向招标人说明需要的运行环境的具体要求。
3.5中标人应在接到招标人通知后,在指定时间到达指定地点开始服务工作。
二、开标时间:
三、其它补充事宜
四、预算金额:
预算金额:0.* 万元(人民币)
公告信息: | |||
采购项目名称 | 福建中烟信息系统安全检测评估服务-2023年 | ||
品目 | 服务/商务服务/资产及其他评估服务 | ||
采购单位 | 福建 (略) | ||
行政区域 | (略) | 公告时间 | 2023年06月09日 15:00 |
开标时间 | |||
预算金额 | ¥0.*万元(人民币) | ||
联系人及联系方式: | |||
项目联系人 | 张晓林 | ||
项目联系电话 | 0592-* | ||
采购单位 | 福建 (略) | ||
采购单位地址 | (略) 莲岳路118号 | ||
采购单位联系方式 | / | ||
代理机构名称 | 法正 (略) | ||
代理机构地址 | (略) 湖里区岐山路1号亿华中心215室 | ||
代理机构联系方式 | 张晓林0592-* |
法正 (略) 受福建 (略) 委托,根据《中华人民共和国政府采购法》等有关规定,现对福建中烟信息系统安全检测评估服务-2023年进行其他招标,欢迎合格的供应商前来投标。
项目名称:福建中烟信息系统安全检测评估服务-2023年
项目编号:询FZXM-CG招(2023)019号
项目联系方式:
项目联系人:张晓林
项目联系电话:0592-*
采购单位联系方式:
采购单位:福建 (略)
采购单位地址: (略) 莲岳路118号
采购单位联系方式:/
代理机构联系方式:
代理机构:法正 (略)
代理机构联系人:张晓林0592-*
代理机构地址: (略) 湖里区岐山路1号亿华中心215室
一、采购项目内容
询价函
各报价供应商:
受采购人福建 (略) 委托,我司进行信息系统安全检测评估服务-2023年(询价编号:询FZXM-CG招(2023)019号)的询价工作,请各报价供应商按照附件一、附件二所列内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报价文件(附件一)加盖报价供应商公章后,于2023年06月14日17:30前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二: 服务内容及要求
询价单位:法正 (略)
联系人:张晓林
电话:0592-*
电子邮箱:*@*63.com
联系地址: (略) 湖里区岐山路1号亿华中心215室
日期:2023年06月09日
附件一:
报价函
项目名称:信息系统安全检测评估服务-2023年
询价编号:询FZXM-CG招(2023)019号
序号 | 服务项目 | 单价(不含税,元/单位) | 单位 | 预计数量 | |
1 | 上线前安全评估服务 | 系统个数 | 7个 | ||
2 | 代码审计服务 | 系统个数 | 7个 | ||
3 | 季度健康检查服务 | 检查次数 | 6次 | ||
4 | 风险评估服务 | 评估次数 | 1次 | ||
5 | 密码评估服务 | 系统个数 | 1个 | ||
6 | 安全检查及指导服务 | 检查次数 | 3次 | ||
7 | 网站安全监测服务 | 自然月 | 17个月 | ||
8 | 安全知识普及培训服务 | 培训次数 | 3次 | ||
9 | 安全实践培训服务 | 培训次数 | 2次 | ||
10 | 攻防实践培训服务 | 培训次数 | 1次 | ||
11 | 专业认证培训服务 | 培训次数 | 1次 | ||
说明 | 1、具体服务数量以采购人实际需求为准; 2、上述报价包含了为完成服务项目所涉及的除税费外的一切费用; 3、本询价函非采购邀约。 | ||||
报价有效期 | 至2023年12月31日 | ||||
发票税率及种类 | % 增值税专用发票 | ||||
报价供应商信息 | 供应商全称(加盖公章): 地址: 联 系 人: 电话: 电子邮箱: 报价日期: |
附件二: 服务内容及要求
1、具体服务内容及要求
1.1上线前安全评估服务:中标人应根据招标人要求,在招标人新业务或新系统上线前,根据系统事先定义的等级保护要求以及烟草行业安全基线要求,进行全面的安全检查,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供系统上线安全评估报告。具体服务的内容及要求包括但不限于:
a.差距分析服务。中标人应根据等保2.0和烟草行业安全基线要求,进行差距分析,形成差距分析报告,并提供加固建议及协助整改。
b.漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进行漏洞扫描,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成漏洞扫描报告,对扫描结果进行分析,并提供加固建议及协助整改。
c.基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成基线核查报告,并提供加固建议及协助整改。
d.渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试,形成渗透测试报告,并提供加固建议及协助整改。
e.提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上所有内容的上线前安全评估报告,附上结果判定的过程证明材料,并提供残余问题处置建议。
1.2代码审计服务:中标人应根据招标人要求,对招标人指定信息系统的所有源代码进行检查,查明威胁点并加以验证,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供源代码审计报告,并协助招标人完善代码安全开发规范。具体服务的内容及要求包括但不限于:
a.中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对招标人指定的系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
b.中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务,具体服务形式由招标人指定。其中整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。
c.中标人的代码审计服务应至少包括三个阶段,即源代码审计前期准备、源代码审计实施以及现场复查实施阶段。
d.在审计工作完成后5个工作日内,中标人出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,中标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为招标人的安全运维和问题修复工作提供参考。
1.3季度健康检查服务:中标人应每季度对招标人指定的范围(包括但不限于网络设备、安全设备、主机操作系统、数据库、中间件及网络服务应用)进行全面的漏洞扫描,对招标人指定的系统或网站进行渗透测试服务,对风险控制策略进行有效审核,根据发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供漏洞扫描报告和渗透测试报告。
1.4风险评估服务:中标人应根据《信息安全技术-信息安全风险评估规范》 《信息安全技术-信息安全风险评估实施指南》及招标人其他要求,提供全面风险评估服务,每次涉及信息系统总数不超过60个,具体核查范围由招标人指定。中标人应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供风险评估报告。具体服务的内容及要求包括但不限于:
a.中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、漏洞扫描、渗透测试、基线核查、人工检查等多种方式,对招标人的整体安全风险进行全面、彻底评估。
b.中标人应根据招标人的风险处置要求,协助招标人及时下发风险通知书,并跟踪问题整改情况,进一步降低招标人的网络安全风险隐患。
c.中标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产清单表、脆弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。
1.5密码评估服务:中标人应按照《信息安全技术 信息系统密码应用基本要求》及招标人其他要求,从物理和环境安全、网络和信息安全、设备和计算安全、应用和数据安全层面评估系统在密码技术应用方面的密码应用是否正确、合规、有效,以及密钥管理、安全管理方案是否符合《信息安全技术 信息系统密码应用基本要求》要求开展评估,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供密码评估报告。
1.6安全检查及指导服务:中标人应根据招标人要求,配合到招标人5家直属单位开展网络安全检查及指导服务。中标人每次必须派出至少3名具有相关工作经验的工程师到现场检查。
1.7网站安全监测服务:中标人应根据招标人要求,通过网站检测云平台对招标人所有外部网站进行7*24小时监测。监测时间未超过15天(含15天)按半个月计算,超过15天按一个月计算。中标人应根据招标人要求,在招标人发生紧急安全事件5分钟以内以电话、短信和邮件等形式对招标人指定联系人进行通告,如招标人的网站被挂马、网页被篡改及其它无法访问等情况。具体服务的内容及要求包括但不限于:
a.中标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP 服务监测等)及认证性检测(如远程钓鱼网站监测)。
b.中标人为招标人提供的网站监测服务交付物应包括但不限于《网站安全监测周报》《网站安全监测月报》等。
1.8安全知识普及培训服务:中标人应根据招标人要求, (略) 内招标人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会工程学或网络安全法律法规等相关现场培训,每次培训0.5天。
1.9安全实践培训服务:中标人应根据招标人要求, (略) 内招标人指定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训,每次2天。
1.10攻防实践培训服务:中标人应根据招标人要求, (略) 内招标人指定地点提供包括但不限于攻防实战、CTF等相关现场培训,每次5天。攻防实战课程包括但不限于攻击队技术框架原理及实战指导、边界突破、权限维持、内网漫游、社会工程学及攻击反制等内容。CTF课程包含但不限于Web安全、密码学、杂项、逆向工程或Pwn分析等内容。
1.11专业认证培训服务:中标人应根据招标人要求,提供包括但不限于CISSP、CISP、CISA、CCSP、CCIE Security、ISO 27001、TOGAF 9.2、COBIT、CISP-PTE或CISP-DSG的培训及认证内容。具体培训及认证内容和培训时间由招标人安排。
2、服务团队及要求
2.1项目负责人资质要求:项目负责人须具备PMP证书,以及CISP、CISSP、CISA、Security+、ISO 27001LA五种证书之二,且具有实施过三个或以上安全服务项目经验。
2.2项目实施人员资质要求。数量:至少3名(不含项目负责人),项目所有实施人员需具备至少2年以上工作经验。
2.3攻防实践培训服务人员资质要求。数量:至少2名,攻防实战课程的培训讲师须具备两个或以上网络安全事件应急响应处置经验,CTF课程的培训讲师须具备三个或以上网络攻防演台(如笔记本电脑、PC、工作站等)和操作系统软件等均由中标人推荐,经招标人确认后由中标人提供并在服务中使用。
3.4中标人服务需要的运行环境(如场地、网络环境等)由招标人提供,中标人应根据服务开展需要向招标人说明需要的运行环境的具体要求。
3.5中标人应在接到招标人通知后,在指定时间到达指定地点开始服务工作。
二、开标时间:
三、其它补充事宜
四、预算金额:
预算金额:0.* 万元(人民币)
最近搜索
无
热门搜索
无