参考《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》等法律法规及《浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知》（浙财监[2021]22号）要求，就“健康大脑+”一期建设项目核心代码审计服务进行公开询价采购，欢迎具有相关专业能力的供应商前来报名参与，具体公告如下：

一、采购人名称： (略) 卫生健康委员会

二、采购项目名称：“健康大脑+”一期建设项目核心代码审计服务采购

三、采购内容：

（一）“健康大脑+”一期建设项目核心代码审计服务和“健康大脑+”一期建设项目上线前安全检测服务。

（二）预算限价(略)元。

（三）“健康大脑+”一期建设项目核心代码审计服务内容包括：

服务要求

1. 依据标准

应依据以下国家信息安全标准：

（1）GB/T (略).51-2016《系统与软件工程 系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》

（2）GB/T (略)-2020 《信息安全技术 代码安全审计规范》

（3）YD/T 3447-2019 《联网软件源代码安全审计规范》

2.测评内容

根据要求，投 (略) 卫生健康委员会的“健康大脑+”一期建设项目提供源代码审计服务，内容包括但不限于以下内容：

（1）源码审计

依据CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web Application Security Project），以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等。

（四）“健康大脑+”一期建设项目上线前安全检测服务内容包括：

服务要求

1. 依据标准

应依据以下国家信息安全标准：

（1）《OWASP Testing Guide v3》

2.测评内容

根据要求，投 (略) 卫生健康委员会的“健康大脑+”一期建设项目提供上线前安全检测服务，内容包括但不限于以下内容：

系统部署与基础结构：识别系统版本、 (略) 版本、系统开放端口等信息。

输入验证、身份验证、授权：检查权限分配，用户账户认证方式正确性，是否存在超越权限用户，超级用户，是否存在任意下载、越权操作、越权执行等漏洞。

配置管理：是否有默认应用管理后台等，以及是否有相应弱口令。数据库配置信息，应用中间件配置安全性检测。

敏感数据泄漏： (略) 页源码是否含有敏感信息，如 (略) 含密码信息的页面源码是否含有明文密码等信息。

常见安全漏洞验证：Sql 漏洞、跨站漏洞、代码注入、命令远程执行、XML 等注入、文件上传等漏洞检测。

（五）项目实施要求

1.实施方应保证投标项目在采购人条件成熟时应立即开展实施；

2.实施方在项目实施过程中应服从采购人的统一领导和协调，采购人有权裁决实施方的责任范围，实施方必须执行，在采购人限定的时间内解决问题。如果实施方不能按时完成测评内容，采购人有权中止项目、索赔或拒付款项；

3.实施方需根据自己的工程实施经验结合采购人的实际需求进一步细化和完善工作任务书，作为项目实施的指导性文件；

4.实施方应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对项目目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保项目实施按时保质的完成；

5.本项目实施人员必须具有5年以上的测评工作经验，具有信息安全保障人员认证证书(CISAW)、CISP证书、信息安全管理系统审计认证（DNV）或CCRC 数据合规官（不少于3类）。

合同签订时需提供证书复印件和实施人员近三个月中任意一个月的社保证明扫描件及相应证书扫描件，中标供应商不能提供的 (略) 理。

6.成果递交方式：递交合格的审计/测试报告电子版本1份，纸质文档2份。

7.终验标准：以“健康大脑+”一期建设项目通过终验为准。

（六）服务期限：自合同签订之日起至项目最终验收完成。

（七）供应商资格要求

1.符合《中华人民共和国政府采购法》第二十二条等相关规定，并具有履行合同所必需的相关专业能力。

2.未被“信用中国”（http://**.cn）、中国 (略) （http://**.cn）、列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

3.本项目不允许转包、不允许分包。

4.本项目不接受联合体投标。

（八）投标人需提供的材料：

1.资质部分

1.1企业法人营业执照副本复印件；

1.2企业法定代表人身份证复印件。

2.投标报价文件

2.1“健康大脑+”一期建设项目核心代码审计服务报价表。

以上资料均需加盖单位公章(略)式(略)份。

四、获取采购文件的时间、方式及采购文件售价

1.日期：2024年12月17日至2024年12月22日止，上午8:30-11:30、下午14:00-17:00。

2.方式： (略) 卫生健康 (略) 。

3.售价：免费。

五、递交响应文件截止时间和地点

2024年12月23日14：30，现场或 (略) (略) (略) 530号819室，逾期不予受理。

六、开标时间及地点

2024年12月23日14：30， (略) (略) (略) 5 (略) 卫生健康委员会会议室。

七、采购办法

1.原则

本项目评标应遵循公平、公正、科学、择优的原则。

2.办法

推荐满足本项目要求的合格供应商中投标报价最低的供应商为中标候选人。

3.中标人选取依据

评审小组根据采购办法推荐中标候选人，经采购人确认后，确定项目中标人，同时发布采购结果公告，发出中标通知书。

4.投标文件的包装及份数：

（1）资格证明文件、投标报价文件（(略)式(略)份）。密封封装，并加盖公章。

八、联系方式：

1.采购人联系地址： (略) (略) (略) 530号

2.项目联系人：黄先生 联系电话 0580-(略)

3.项目质疑人联系人：李先生 联系电话：0580-(略)

4.投诉举报联系单位： (略) 卫生健康委员会机关党委纪委

5.投诉举报联系人：王先生 联系电话：0580-(略)

附件：“健康大脑+”一期建设项目核心代码审计服务报价表

(略) 卫生健康委员会

2024年12月17日

附件：

“健康大脑+”一期建设项目核心代码审计服务报价表

投标人名称： （加盖公章）

投标人法定代表人： （签字或盖章）

日期： 年 月 日

参考《中华人民共和国政府采购法》、《中华人民共和国政府采购法实施条例》等法律法规及《浙江省财政厅关于进一步促进政府采购公平竞争打造最优营商环境的通知》（浙财监[2021]22号）要求，就“健康大脑+”一期建设项目核心代码审计服务进行公开询价采购，欢迎具有相关专业能力的供应商前来报名参与，具体公告如下：

一、采购人名称： (略) 卫生健康委员会

二、采购项目名称：“健康大脑+”一期建设项目核心代码审计服务采购

三、采购内容：

（一）“健康大脑+”一期建设项目核心代码审计服务和“健康大脑+”一期建设项目上线前安全检测服务。

（二）预算限价(略)元。

（三）“健康大脑+”一期建设项目核心代码审计服务内容包括：

服务要求

1. 依据标准

应依据以下国家信息安全标准：

（1）GB/T (略).51-2016《系统与软件工程 系统与软件质量要求和评价（SQuaRE）第51部分：就绪可用软件产品（RUSP）的质量要求和测试细则》

（2）GB/T (略)-2020 《信息安全技术 代码安全审计规范》

（3）YD/T 3447-2019 《联网软件源代码安全审计规范》

2.测评内容

根据要求，投 (略) 卫生健康委员会的“健康大脑+”一期建设项目提供源代码审计服务，内容包括但不限于以下内容：

（1）源码审计

依据CVE(Common Vulnerabilities & Exposures)公共漏洞字典表、OWASP十大Web漏洞（Open Web Application Security Project），以及设备、软件厂商公布的漏洞库，结合专业源代码扫描工具对各种程序语言编写的源代码进行安全审计。提供包括安全编码规范咨询、源代码安全现状测评、定位源代码中存在的安全漏洞、分析漏洞风险、给出修改建议等。

（四）“健康大脑+”一期建设项目上线前安全检测服务内容包括：

服务要求

1. 依据标准

应依据以下国家信息安全标准：

（1）《OWASP Testing Guide v3》

2.测评内容

根据要求，投 (略) 卫生健康委员会的“健康大脑+”一期建设项目提供上线前安全检测服务，内容包括但不限于以下内容：

系统部署与基础结构：识别系统版本、 (略) 版本、系统开放端口等信息。

输入验证、身份验证、授权：检查权限分配，用户账户认证方式正确性，是否存在超越权限用户，超级用户，是否存在任意下载、越权操作、越权执行等漏洞。

配置管理：是否有默认应用管理后台等，以及是否有相应弱口令。数据库配置信息，应用中间件配置安全性检测。

敏感数据泄漏： (略) 页源码是否含有敏感信息，如 (略) 含密码信息的页面源码是否含有明文密码等信息。

常见安全漏洞验证：Sql 漏洞、跨站漏洞、代码注入、命令远程执行、XML 等注入、文件上传等漏洞检测。

（五）项目实施要求

1.实施方应保证投标项目在采购人条件成熟时应立即开展实施；

2.实施方在项目实施过程中应服从采购人的统一领导和协调，采购人有权裁决实施方的责任范围，实施方必须执行，在采购人限定的时间内解决问题。如果实施方不能按时完成测评内容，采购人有权中止项目、索赔或拒付款项；

3.实施方需根据自己的工程实施经验结合采购人的实际需求进一步细化和完善工作任务书，作为项目实施的指导性文件；

4.实施方应根据采购人工作需求、进度要求、实际情况制定详细的项目实施管理规范和项目实施计划，对项目目标、工作任务、阶段性工作、项目组织机构、职责分工、项目进度、质量控制等内容进行详细的说明，以确保项目实施按时保质的完成；

5.本项目实施人员必须具有5年以上的测评工作经验，具有信息安全保障人员认证证书(CISAW)、CISP证书、信息安全管理系统审计认证（DNV）或CCRC 数据合规官（不少于3类）。

合同签订时需提供证书复印件和实施人员近三个月中任意一个月的社保证明扫描件及相应证书扫描件，中标供应商不能提供的 (略) 理。

6.成果递交方式：递交合格的审计/测试报告电子版本1份，纸质文档2份。

7.终验标准：以“健康大脑+”一期建设项目通过终验为准。

（六）服务期限：自合同签订之日起至项目最终验收完成。

（七）供应商资格要求

1.符合《中华人民共和国政府采购法》第二十二条等相关规定，并具有履行合同所必需的相关专业能力。

2.未被“信用中国”（http://**.cn）、中国 (略) （http://**.cn）、列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单。

3.本项目不允许转包、不允许分包。

4.本项目不接受联合体投标。

（八）投标人需提供的材料：

1.资质部分

1.1企业法人营业执照副本复印件；

1.2企业法定代表人身份证复印件。

2.投标报价文件

2.1“健康大脑+”一期建设项目核心代码审计服务报价表。

以上资料均需加盖单位公章(略)式(略)份。

四、获取采购文件的时间、方式及采购文件售价

1.日期：2024年12月17日至2024年12月22日止，上午8:30-11:30、下午14:00-17:00。

2.方式： (略) 卫生健康 (略) 。

3.售价：免费。

五、递交响应文件截止时间和地点

2024年12月23日14：30，现场或 (略) (略) (略) 530号819室，逾期不予受理。

六、开标时间及地点

2024年12月23日14：30， (略) (略) (略) 5 (略) 卫生健康委员会会议室。

七、采购办法

1.原则

本项目评标应遵循公平、公正、科学、择优的原则。

2.办法

推荐满足本项目要求的合格供应商中投标报价最低的供应商为中标候选人。

3.中标人选取依据

评审小组根据采购办法推荐中标候选人，经采购人确认后，确定项目中标人，同时发布采购结果公告，发出中标通知书。

4.投标文件的包装及份数：

（1）资格证明文件、投标报价文件（(略)式(略)份）。密封封装，并加盖公章。

八、联系方式：

1.采购人联系地址： (略) (略) (略) 530号

2.项目联系人：黄先生 联系电话 0580-(略)

3.项目质疑人联系人：李先生 联系电话：0580-(略)

4.投诉举报联系单位： (略) 卫生健康委员会机关党委纪委

5.投诉举报联系人：王先生 联系电话：0580-(略)

附件：“健康大脑+”一期建设项目核心代码审计服务报价表

(略) 卫生健康委员会

2024年12月17日

附件：

“健康大脑+”一期建设项目核心代码审计服务报价表

投标人名称： （加盖公章）

投标人法定代表人： （签字或盖章）

日期： 年 月 日