深圳市水务局2021年度网络安全渗透测试与攻防演习需求公示

内容
 
发送至邮箱

深圳市水务局2021年度网络安全渗透测试与攻防演习需求公示


( (略) 2 (略) 络安全渗透测试与攻防演习 )需求公示

项目名称

 (略) 2 (略) 络安全渗透测试与攻防演习

采购类型

服务类

采购人名称

 (略) 市水 (略)

采购方式

公开招标

财政预算限额(元)

 点击查看>> . *

项目背景

* 、《中华 (略) 络安全法》明确指 (略) 络安全风险的分析评估。
* 、我市《关于启动“护网 * ”网络安全专项工作的通知》(深网安通〔 * 〕1号)明确要求“常态、持续化开展漏洞隐患排查及整改加固”“强化管控, (略) 络安全 * 项措施,实攻实防, (略) 络安全攻防演习”。
* 、 (略) 局长办公会议重大问题会议纪要(深水纪重〔 * 〕6号)明确要求要 (略) 络安全系统建设。

投标人资质要求

1.具有独立法人资格或具有独立承担民事责任的能力的其它组织(提供营业执照或事业单位法人证等法人证明扫描件,原件备查)。2.本项目不接受投标人选用进口产品参与投标。3.参与本项目投标前 * 年内,在经营活动中没有重大违法记录(由供应商在《政府采购投标及履约承诺函》中作出声明)。4.参与本项目政府采购活动时不 (略) 门禁止参与政府采购活动且在有效期内的情况(由供应商在《政府采购投标及履约承诺函》中作出声明)。5.参与本项目的供应商具备《中华人民共和国政府采购法》第 * 十 * 条第 * 款的条件(由供应商在《政府采购投标及履约承诺函》中作出声明)。6.参与政府采购项目投标的供应商未被列 (略) 人、重大税收违法案件当事人名单、政府采购严 (略) 为记录名单(由供应商在《政府采购投标及履约承诺函》中作出声明)。注:“信用中国”、“中 (略) ”、“ (略) ”以及“ (略) 市政 (略) ”为供应商信用信息的查询渠道,相关信息以开标当日的查询结果为准。资质参考选项:工程勘察资质、工程设计资质、建筑业 (略) (略) 门规定从事本项目工作须具备的相关资质条件。8.联合体投标要求,本项目选用方式(1) 。(1)本项目不接受联合体投标。(2)本项目接受联合体投标(联合体成员单位数量不超过家),联合体牵头单位由具有(资质、级别) 的企业承担。以联合体投标,投标人还必须提供《联合体投标协议》(格式自定),载明联合体各方承担的工作和义务。联合体各方应当共同与采购人签订采购合同,就采购合同约定的事项对采购人承担连带责任。9.本项目不允许转包分包。

服务类清单

序号采购计划编号 需求内容 数量单位备注财政预算限额(元)
1PLAN- 点击查看>> 点击查看>> (略) 2 (略) 络安全渗透测试与攻防演习1.0 * 年下半年服务费 点击查看>> .0
2PLAN- 点击查看>> 点击查看>> (略) 2 (略) 络安全渗透测试与攻防演习1.0 * 年上半年服务费 点击查看>> .0

具体技术要求

1.项目概况及项目目标:
在本次项目中通过 (略) 络安全检测工具,对 (略) 各网络系统、主机、应用系统等 (略) 渗透测试、攻防演练等操作,以寻找现有环境中的不安全因素,并针对这些薄弱环节,制定针对性的安全加固方案, (略) 络安全渗透测试和攻防演练工作,以达到以下目的:
(1) (略) 问题隐患:发现 (略) 关键信息基础设施存在的突出问题和深层次漏洞隐患。
(2)检查安全防护能力:检测 (略) 已建成的安全防护措施是否有效。
(3)检验监测预警能力:检验 (略) (略) 络安全监测发现、预警能力。
(4) (略) (略) 能力:检验 (略) (略) (略) (略) 置及响应能力。
(5) (略) 门协同能力:检验安全管理 (略) 门之间的快速协同能力。
(6)积累实战攻防经验:通过真实的实战攻防演练,积累实战经验。
2.项目依据及参考标准:
根据《中华 (略) 络安全法》《网络安全技术 网络安全等级保护基本要求(GB/T 点击查看>> 9)》《 (略) 办公厅关于开展新中国成立 * 周 (略) 络安全保障工作的通知》(办信息函〔 * 号)、 (略) 络安 (略) 《关于启动“护网 * ”网络安全专项工作的通知》(深网安通〔 * 〕1号)、《 (略) (略) 关于印发 (略) 市 * 年度绩效管理工作实施方案的通知》“网络安全与舆情应对”及“数字政府建设”部分、《 (略) (略) 络安全联合检查工作方案》等法律规范、政策标准的文件要求, (略) 的实际工作情况,开展 * 年 (略) 网络安全工作。
3.工作内容及工程量清单:

序号

服务名称

服务内容与范围

服务频率

1

信息系统渗透测试

(略) (略) (略) 有应用系统( (略) 署在政务云系统的系统、 (略) 系统、 (略) 系统等)采用信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web 脚本渗透、B/S 或 C/S 应用程序测试等渗透方法, (略) (略) 非破坏性质的攻击性测试并将渗透过程和细节产生形成渗透报告,由此证 (略) 存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。渗透次数不少于 * 次/年,系统被渗透成功次数不低于 * 次。成功渗透的标准:取得服务器、网站、数据库或业务系统权限,并提供重要信息截图。

至少 * 次/年,重要系统可重复开展渗透测试工作。

2

攻防演练服务

1.为 (略) 应用 (略) 恶意攻击、篡改的安全防护、检测、预警能力, (略) 的系统的安全防护措施在管理、技术等安全防护方面的薄弱点, (略) 络安全加固提供科学的指引, (略) 系统的综合安全防护能力提升。 (略) 渗透测试情况选取的2-3网 (略) 景, 根据实际情况, (略) 按照《 (略) 网络安全事件应急预案(试行)》,制定详细的演练方案、脚本,并组织攻防领域经验丰富的专 (略) ,在保障业务 (略) 的前提下,采用“不限攻击路径,不限制攻击手段”的实战方式, (略) 络安全实战攻防演练。

2.提供攻 (略) 拍摄、视频制作、文字记录等服务。

全年根据实际情况至少1次

3

网络安全培训

1. (略) 络安全责任制的要求,为 * 方提供不少于2 人次的CISP专业培训。

2. (略) 网络安全培训,具体培训内容与 * 方商定。

根据实际情况提供服务

4

应急事件支持服务

1. (略) 络安全事件应急支持: (略) (略) (略) 络安全事件时,在规定时间内提供事件分析、技术支持服务,并协助 * (略) 置等, (略) 理相关故障,并将相关事件造成的不良影响降至最低。并出具相关事件报告与改善方案,防止事件再次发生。

2.重要时期与重要活动值班值守:配合 * 方开展法定节假日值班值守,协助 * 方参 (略) 门开展 (略) 络安全活动, (略) 络 (略) 安全值班及7* * 小时的远程协助值守。

1项,根据实际情况提供服务

5

(略) 支持服务

1. (略) 络安全现状、渗透测试以及攻防演练的情况, (略) 络安全风险点并提供建议。

2.根据市水 (略) 的要求,对于在各类检查和 (略) 络信息安全风险和问题, (略) 服务,并撰写整改建议协助整改。

1项,根据实际情况提供服务

6

网络安全宣传

1.采购 * 套国家、 (略) 络安全相关法律法规、标准规范,以 * 方提供的清单为准,并按照 * 方要求开展相关政策解读;

2.为 * (略) 络安全意识宣传材料,如宣传彩页、视频、小册子等。

3.组织参加 (略) 络安全宣传周活动,制作宣传海报,提供相关工作支持。

1项,根据实际情况提供服务

注:须协助客户解决漏洞扫描、系统渗透、 (略) 发现的问题,包括更新补 * 、杀毒、修补漏洞等工作。
4.技术要求:
(1)项目设备使用要求:
(2)项目组织实施要求:
①现场派驻要求:
②人员变更:项目组成员名单必须在投标文件中明确,在服务期限内,项目人员应相对稳定, (略) 人员,须提前 * 个工作日向采购方提供书面申请并经采购方书面同意后方可更换。中标方不得随意更换项目负责人和项目组成员,如不经采购方同意擅自更换,则采购方有权解除合同或根据 (略) 处罚。
(3)项目管理要求:
①服务单位需与 (略) 市水 (略) 签署保密协议,规范业务操作流程。
②服务单位需按照 (略) 络安全联合检查要求, (略) 服务报告机制,制 (略) 理预案。服务组定期向 (略) 市水 (略) 负责人员提供周、月、季报,统计服务当量,分析问题类型,对系统问题提前预警,提前防范。
③服务单位的工作纳入考核,对于服务不到位的情况给予惩罚。
④合同期内,服务 (略) 驻点办公, (略) 市水 (略) (略) 地,服务单位项目组成员需严格遵守相关管理制度,包括考勤制度、着装要求等。 。
(4)其他:
服 (略) 严格的项目管理措施, (略) 动态跟踪,每月收集并汇报项目总体情况、问题统计等情况。服务单位必须对项目管理制定相应的规则和办法。
服务单位需承担的主要任务及要求:
①须无条件为本 (略) 技术责任。
②按要求提 (略) 有相关文档和成果。
③知 (略) 归 (略) 市水 (略) 所有。
④在本项目过程中,遵循 (略) 市水 (略) 有关管理规定,并接受技术监督。
⑤根据本项目要求,提供不限于以上任务的其它相关服务。
服务单位 (略) 络安全和保密方面的规定, (略) 市水 (略) (略) 提供给的工作流程、管理模式、规程、系统信息以及其他相关等资料文档,不得泄露或用于其他方面。
服务单位应建 (略) 项目 (略) 络安全管理规范,以确保项目启动、实施 (略) 络安全管理。
非经 (略) 市水 (略) 书面许可,服务单位不得以任何形式泄漏项目资料。因服务单位原因导致项目资料、文档、数据或 (略) 其他有关秘密泄露的, (略) 市水 (略) 有权要求服务单位采取措施消除影响,并赔偿损失,影响严重的将追究法律责任。

商务需求

1.服务期限:
(1)服务期限: * 年
(2)续签要求,本项目选用方式
①不可续签。
②可续签,本项目合同期满后, * 方可根据实际情况及 * 方履约情况确定合同期限是否延长或续签,但最长不超过3年, (略) 的中标服务期限,合同 * 年 * 签,合同最多续签2次。 * 方可根据实际情况终止合同,并不再续签。合同项目提前终止时,按照实际工程量支付费用, * 方不负任何补偿责任。
(3)续签标准:
( * 方根据 * 方服务满意度情况以及合同履约情况决定是否续约)
2.质量考核验收标准及违约金:
(1)质量考核验收标准:
完成招标文件和通过规定内容
(2)考核表:
项目名称:填表时间:年月日 填表人:

序号

考核内容

考核细则

分值权重

得分

备注

1

准时性

本项目相关工作内容在项目实施计划、市水 (略) 工作计划、 (略) 重点工作任务约定期限内完成。
每发生 * 项未按要求完成,扣 * 分,扣完为止。

*

2

提前预警

中标单位应通过渗透测试提前发现 * 方应用系统漏洞并协助完成整改。
因未 (略) (略) 门通报的渗透测试漏洞(除0day漏洞外),每通报 * 起均扣分。其中前两起,每次扣5分,第 * 次起,每次扣 * 分,扣完为止。

*

3

响应情况

根据重大事件基础支持和保障的响应情况,不按照招标文件响应要求开 (略) 支持的,每次扣 * 分,扣完为止。

*

计分

满 分

* 分

注:采购单位按 (略) 填写。
(3)验收要求:
完成合同内容并提交相关工作成果
(4)违约金要求:
考核表每扣1分,扣取合同价的1%作为违约金
3.日常工作文件/项目提交成果:
(1)渗透测试报告;
(2)攻防演练:演练方案、演练脚本、演练拍摄视频、演练总结;
(3)网络安全培训记录;
(4) (略) 方案;
(5) (略) 络安全法律法规、制度规范文件;
(6) (略) 络安全宣传材料、网络安全宣传周活动材料。

4.售后要求:
(1) (略) :
中标人应为本项目成立专 (略) 和 (略) ,确定1名项目专职技术人员作为项目对接窗口。
(2)售后服务期限:
项目服务期内及合同到期后 * 个月内。
(3)故障响应时间:
当 (略) (略) 络安全事件后,服务单位应立即以电话支持的方式提供远程技术支持,采用远程指导方式在 * 分钟内对信息 (略) (略) 置,尽可能降低影响。同时根据《 (略) 络安全突发事件应急预案》事件的分类分级标准,当发生 * 般性安全事件时 * 方应半小时内响应,1小时内技术 (略) ;当发生重 (略) 全事件时 * 方应 * 分钟内响应, * 分 (略) 。
5.合同计价方式,本项目选用方式 (1) 。
(1)总价包干合同。
(2)固定单价合同。
6.投标报价要求:
(1)投标人应根据本企 (略) 决定报价,但不得以低于其企业成本的报价投标;评标时, (略) 认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求 (略) 合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的, (略) 应当将其作 (略) 理。
(2)投标人的投标报价, (略) 文件及 (略) 列的 (略) (略) ,不得以任何理由予以重复,并以投标人在投标文件中提出的综合单价或总价为依据。
(3) (略) 文件予以更正,否则, (略) (略) 列的清单中项目和数量填报综合单价或总价。投标人未填综合单价或总价的项目,在实施后,将不得以支付,并视作该项费用已包括在其它有价款的综合单价或总价内。
(4)投标人应充分了解项目的位置、情况、道路及任何其它足以影响投标报价的情况,任何因忽视或误解项目情况而导致的索赔或服务期限延长申请将不获批准。
(5)投标人不得期望通过索赔等方式获取补偿,否则,除可能遭到拒绝外,还可能将 (略) 为记录在案,并可能影响其以后参加政府采购的项目投标。各投标人在投标报价时,应充分考虑投标报价的风险。
8.分项报价表:

序号

费用名称

数量

金额

备注

1

信息系统渗透测试

2

攻防演练

3

网络安全培训

4

应急事件支持服务

5

(略) 支持服务

6

网络安全宣传

合计

注:采购单位按项目实际情况填写。
9. 履约担保,本项目选用方式 (1)
(1)无需履约担保。
(2)需提供履约担保,担保金额为合同金额的 * %(不超过合同金额的 * %)。
* .付款方式:
(1)预付款:合同签订后支付合同金额的 * %(不超过合同金额的 * %)。
(2)进度款按实际工作进度支付,累计支付至合同金额的,本项目选用方式
① * %(专项资金)。
② * %(部门预算)。
(3)尾款:验收合格并完成审计后按最终审计价支付合同尾款。

评标信息

序号

评分项

权重

1

价格

*

2

(略) 分

*

行号

评分因素

权重

评分规则

1

实施方案

*

( * )评审内容:
投标人对项目提供实施方案:
(1) (略) 和局属 (略) 络安全了解程度。
(2)能清楚渗透服务的背景及需求,详细制定渗透测试工作的使用的工具、攻击的方式、 (略) 置流程。
(3)详细制定攻防演练方案,包括方案形式、准备阶段、渗透测试、攻防实战、演练总结等方面的具体细节安排。
(4)应急事件支持服务方案和响应计划。
(5) (略) 络 (略) 络安全宣传周的宣传方案。

( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

2

项目重点难点分析、应对措施及相关的合理化建议

*

( * )评审内容:
投标人对项目重点难点分析、应对措施及相关的合理化建议:
(1)如何通过渗透测试, (略) 的综合安全防护能力。
(2)如何通过观看攻防演练活动,让观众有代入感,提升人们的安全意识,强化组织的应急响应流程。
(3)如何保证相关系统安全 (略) 门通报前通过渗透测试发现。
(4)针对上述或投标人认为的项目重点、难点的给出合理的应对措施分析。
(5)投标人针对项目实施提出的相关合理化的建议。

( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

3

项目完成(服务期满)后的服务承诺

5

( * )评审内容:
投标人对项目完成(服务期满)后的服务承诺:
(1)项目完成后服务人员信息与联系方式。
(2)项目完成后服务时限。
(3)项目完成后服务内容与响应时间。
( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

4

违约承诺

4

( * )评审内容:
针对质量不合格、安全事故、环保事故、工期延误、工作失误等提供相应违约责任承诺及违约经济赔偿承诺。
( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

3

(略) 分

*

行号

评分因素

权重

评分规则

1

投标人通过相关认证情况

5

( * )评分内容:
1. (略) 络安全审查 (略) (略) 络安全风险评估服务资质证书;
2. (略) 络安全审查 (略) (略) (略) 理服务资质证书;
3.国家信息安全漏洞共享平台(CNVD)的用户组成员;
4.中国信 (略) 颁发 (略) 能力认证证书:
5.具备能力成熟度集成模型 CMMI L5认证(研发)证书;
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分,其他不得分。

( * )评分依据:
1.要求提供有效的认证(资格)证书作为得分依据。
2.以上资料均要求提供扫描件,原件备查。

2

投标人同类项目业绩情况

3

( * )评分内容:
填写与项目相关的业绩,不 (略) 政 (略) 业的类似业绩,不得设置特定金额。项目业绩总数量要求不得超过3项。
1.近 * 年( * * 4月至今)具有中央、省级、 (略) 市的党政机关及其 (略) 门渗透测试类业绩,每具有1项有效业绩得 * %分,本项最高得 * %分。(提供业绩数量不超过3项目)

( * )评分依据:
1.业绩必须为已验收(履约评价)合格的业绩,业绩时间以项目验收或履约评价时间为准。
2.要求同时提供合同关键信息和项目履约(验收)合格评价证明文件作为得分依据,项目履约(验收)合格评价证明文件需加盖合同 * 方公章(或 * 方业务章)。
3.通过合同关键信息无法判断是否得分的,也可以提供能证明得分的其它证明资料,如项目报告或合同 * 方出具的证明文件等。
4.以上资料均要求提供扫描件,原件备查。

3

投标人获奖情况

2

( * )评分内容:
填写与项目相关的奖项,不 (略) 政 (略) 业的奖项。
近 * 年( * 年4月至今)获得中央、省级、 (略) (略) 络安 (略) (略) 络攻防演练相关获奖证书:
1.具有国家级奖项得 * %分。
2.具有副省级或省级奖项得 * %分。
以上2项不累加计分,只计最高分。

( * )评分依据:
1.要求提供奖项照片或获奖(荣誉)证书等证明材料作为得分依据。
2.以上资料均要求提供扫描件,原件备查。
3.国家级要求颁发 (略) ( (略) (略) 政机关);省级、副省级要求颁发单位为省(自治区、直辖市)、 (略) 市党政机 (略) 门。

4

拟安排的项目负责人情况

6

( * )评分内容:
1.具有有效期内的CISSP证书
2.具有有效期内的CISP证书
3.具有有效期内的CISAW证书
4.具有有效期内的CCSK证书
5.具有有效期内的PMP证书
6.具有有效期内的信息系统项目管理师(高级)证书
7.具有有效期内的软考系统集成项目管理工程师证书
8.具有有效期内的 ISO * 1 Foundation证书
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分, * 项以下不得分。( * )评分依据:
1.要求提供通过投标人相关证明资料作为得分依据。
2.以上资料均要求提供扫描件( (略) 截图),原件备查。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。

5

拟安排的 (略) 成员(主要技术人员)情况(项目负责人除外)

*

( * )评分内容:
拟安排的 (略) 成员(主要技术人员)的考察人数不超过 * 人。
为了保证服务质量及快速响应能力,拟安排的服务人员,要求具有CISP证书。
1.满足条件的人数达 * 人及以上得 * %分。
2.满足要求条件的人数达 * 人- * 人得 * %分。
3.满足要求条件的人数达 * 人以下得30%分。

( * )评分依据:
1.要求提供通过投标人相关证明资料(CISP证书)作为得分依据。
2.以上资料均要求提供扫描件( (略) 截图),原件备查。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。

6

(略) 点

3

1. (略) 供应商,或非 (略) 供应商但在深 (略) (或售后机构)(分 (略) 营业执照扫描件,售后机构必须同时提供售后服务 (略) 合同及售后机构营业执照扫描件作为得分依据,原件备查)的,得 * %分;否则不得分。
2.外地供应商承诺:中标后设立本地经营(服务)网点的,提供承诺文件(格式自定)的,得1 * %分;未提供承诺或承诺内容不满足要求均不得分。

4

诚信情况

5

序号

评分因素

权重

评分规则

1

(略) 诚信管理情况

5

投标人在参与政府采购活动中存在诚信相关问 (略) (略) 理措施实施期限内的,本项不得分,否则得满分。投标人无需提供任何证明材料,由工作 (略) 提供相关信息。

5

现场演示(讲标、答辩)

5

序号

评分因素

权重

评分准则

1

现场演示(讲标、答辩)情况

5

( * )评审内容:
投标人 (略) 演示(讲标、答辩),对项目内容、项目实施方案以及重点难 (略) 现场分析和讲解。
现场演示(讲标、答辩)突出主题,突出重点难点,分析透彻的评价为优,得 * %分。
现场演示(讲标、答辩)能围绕主题,能对 (略) 分析的评价为良,得 * %分。
现场演示(讲标、答辩)基本围绕主题,对重点难点把握较准确的评价为中,得 * %分。
现场演示(讲标、答辩)不能围绕主题,不能把握重点难点 (略) 演示(讲标、答辩)的评价为差,不得分。
( * )备注:
投标人须自带电脑、网络设备等其它完成讲标 (略) 需的设备。( (略) 络,由投标供应商 (略) 搭建)。项目经理需携带身份证原件及工作证件证明其身份。演示时长不得分超过 * 分钟。

其他

附件

服务类政府采购项目采购需求申报书(修订版) 点击查看>> .doc

( (略) 2 (略) 络安全渗透测试与攻防演习 )需求公示

项目名称

 (略) 2 (略) 络安全渗透测试与攻防演习

采购类型

服务类

采购人名称

 (略) 市水 (略)

采购方式

公开招标

财政预算限额(元)

 点击查看>> . *

项目背景

* 、《中华 (略) 络安全法》明确指 (略) 络安全风险的分析评估。
* 、我市《关于启动“护网 * ”网络安全专项工作的通知》(深网安通〔 * 〕1号)明确要求“常态、持续化开展漏洞隐患排查及整改加固”“强化管控, (略) 络安全 * 项措施,实攻实防, (略) 络安全攻防演习”。
* 、 (略) 局长办公会议重大问题会议纪要(深水纪重〔 * 〕6号)明确要求要 (略) 络安全系统建设。

投标人资质要求

1.具有独立法人资格或具有独立承担民事责任的能力的其它组织(提供营业执照或事业单位法人证等法人证明扫描件,原件备查)。2.本项目不接受投标人选用进口产品参与投标。3.参与本项目投标前 * 年内,在经营活动中没有重大违法记录(由供应商在《政府采购投标及履约承诺函》中作出声明)。4.参与本项目政府采购活动时不 (略) 门禁止参与政府采购活动且在有效期内的情况(由供应商在《政府采购投标及履约承诺函》中作出声明)。5.参与本项目的供应商具备《中华人民共和国政府采购法》第 * 十 * 条第 * 款的条件(由供应商在《政府采购投标及履约承诺函》中作出声明)。6.参与政府采购项目投标的供应商未被列 (略) 人、重大税收违法案件当事人名单、政府采购严 (略) 为记录名单(由供应商在《政府采购投标及履约承诺函》中作出声明)。注:“信用中国”、“中 (略) ”、“ (略) ”以及“ (略) 市政 (略) ”为供应商信用信息的查询渠道,相关信息以开标当日的查询结果为准。资质参考选项:工程勘察资质、工程设计资质、建筑业 (略) (略) 门规定从事本项目工作须具备的相关资质条件。8.联合体投标要求,本项目选用方式(1) 。(1)本项目不接受联合体投标。(2)本项目接受联合体投标(联合体成员单位数量不超过家),联合体牵头单位由具有(资质、级别) 的企业承担。以联合体投标,投标人还必须提供《联合体投标协议》(格式自定),载明联合体各方承担的工作和义务。联合体各方应当共同与采购人签订采购合同,就采购合同约定的事项对采购人承担连带责任。9.本项目不允许转包分包。

服务类清单

序号采购计划编号 需求内容 数量单位备注财政预算限额(元)
1PLAN- 点击查看>> 点击查看>> (略) 2 (略) 络安全渗透测试与攻防演习1.0 * 年下半年服务费 点击查看>> .0
2PLAN- 点击查看>> 点击查看>> (略) 2 (略) 络安全渗透测试与攻防演习1.0 * 年上半年服务费 点击查看>> .0

具体技术要求

1.项目概况及项目目标:
在本次项目中通过 (略) 络安全检测工具,对 (略) 各网络系统、主机、应用系统等 (略) 渗透测试、攻防演练等操作,以寻找现有环境中的不安全因素,并针对这些薄弱环节,制定针对性的安全加固方案, (略) 络安全渗透测试和攻防演练工作,以达到以下目的:
(1) (略) 问题隐患:发现 (略) 关键信息基础设施存在的突出问题和深层次漏洞隐患。
(2)检查安全防护能力:检测 (略) 已建成的安全防护措施是否有效。
(3)检验监测预警能力:检验 (略) (略) 络安全监测发现、预警能力。
(4) (略) (略) 能力:检验 (略) (略) (略) (略) 置及响应能力。
(5) (略) 门协同能力:检验安全管理 (略) 门之间的快速协同能力。
(6)积累实战攻防经验:通过真实的实战攻防演练,积累实战经验。
2.项目依据及参考标准:
根据《中华 (略) 络安全法》《网络安全技术 网络安全等级保护基本要求(GB/T 点击查看>> 9)》《 (略) 办公厅关于开展新中国成立 * 周 (略) 络安全保障工作的通知》(办信息函〔 * 号)、 (略) 络安 (略) 《关于启动“护网 * ”网络安全专项工作的通知》(深网安通〔 * 〕1号)、《 (略) (略) 关于印发 (略) 市 * 年度绩效管理工作实施方案的通知》“网络安全与舆情应对”及“数字政府建设”部分、《 (略) (略) 络安全联合检查工作方案》等法律规范、政策标准的文件要求, (略) 的实际工作情况,开展 * 年 (略) 网络安全工作。
3.工作内容及工程量清单:

序号

服务名称

服务内容与范围

服务频率

1

信息系统渗透测试

(略) (略) (略) 有应用系统( (略) 署在政务云系统的系统、 (略) 系统、 (略) 系统等)采用信息收集、端口扫描、远程溢出、口令猜测、本地溢出、客户端攻击、中间人攻击、web 脚本渗透、B/S 或 C/S 应用程序测试等渗透方法, (略) (略) 非破坏性质的攻击性测试并将渗透过程和细节产生形成渗透报告,由此证 (略) 存在的安全威胁和风险,并能及时提醒安全管理员完善安全策略。渗透次数不少于 * 次/年,系统被渗透成功次数不低于 * 次。成功渗透的标准:取得服务器、网站、数据库或业务系统权限,并提供重要信息截图。

至少 * 次/年,重要系统可重复开展渗透测试工作。

2

攻防演练服务

1.为 (略) 应用 (略) 恶意攻击、篡改的安全防护、检测、预警能力, (略) 的系统的安全防护措施在管理、技术等安全防护方面的薄弱点, (略) 络安全加固提供科学的指引, (略) 系统的综合安全防护能力提升。 (略) 渗透测试情况选取的2-3网 (略) 景, 根据实际情况, (略) 按照《 (略) 网络安全事件应急预案(试行)》,制定详细的演练方案、脚本,并组织攻防领域经验丰富的专 (略) ,在保障业务 (略) 的前提下,采用“不限攻击路径,不限制攻击手段”的实战方式, (略) 络安全实战攻防演练。

2.提供攻 (略) 拍摄、视频制作、文字记录等服务。

全年根据实际情况至少1次

3

网络安全培训

1. (略) 络安全责任制的要求,为 * 方提供不少于2 人次的CISP专业培训。

2. (略) 网络安全培训,具体培训内容与 * 方商定。

根据实际情况提供服务

4

应急事件支持服务

1. (略) 络安全事件应急支持: (略) (略) (略) 络安全事件时,在规定时间内提供事件分析、技术支持服务,并协助 * (略) 置等, (略) 理相关故障,并将相关事件造成的不良影响降至最低。并出具相关事件报告与改善方案,防止事件再次发生。

2.重要时期与重要活动值班值守:配合 * 方开展法定节假日值班值守,协助 * 方参 (略) 门开展 (略) 络安全活动, (略) 络 (略) 安全值班及7* * 小时的远程协助值守。

1项,根据实际情况提供服务

5

(略) 支持服务

1. (略) 络安全现状、渗透测试以及攻防演练的情况, (略) 络安全风险点并提供建议。

2.根据市水 (略) 的要求,对于在各类检查和 (略) 络信息安全风险和问题, (略) 服务,并撰写整改建议协助整改。

1项,根据实际情况提供服务

6

网络安全宣传

1.采购 * 套国家、 (略) 络安全相关法律法规、标准规范,以 * 方提供的清单为准,并按照 * 方要求开展相关政策解读;

2.为 * (略) 络安全意识宣传材料,如宣传彩页、视频、小册子等。

3.组织参加 (略) 络安全宣传周活动,制作宣传海报,提供相关工作支持。

1项,根据实际情况提供服务

注:须协助客户解决漏洞扫描、系统渗透、 (略) 发现的问题,包括更新补 * 、杀毒、修补漏洞等工作。
4.技术要求:
(1)项目设备使用要求:
(2)项目组织实施要求:
①现场派驻要求:
②人员变更:项目组成员名单必须在投标文件中明确,在服务期限内,项目人员应相对稳定, (略) 人员,须提前 * 个工作日向采购方提供书面申请并经采购方书面同意后方可更换。中标方不得随意更换项目负责人和项目组成员,如不经采购方同意擅自更换,则采购方有权解除合同或根据 (略) 处罚。
(3)项目管理要求:
①服务单位需与 (略) 市水 (略) 签署保密协议,规范业务操作流程。
②服务单位需按照 (略) 络安全联合检查要求, (略) 服务报告机制,制 (略) 理预案。服务组定期向 (略) 市水 (略) 负责人员提供周、月、季报,统计服务当量,分析问题类型,对系统问题提前预警,提前防范。
③服务单位的工作纳入考核,对于服务不到位的情况给予惩罚。
④合同期内,服务 (略) 驻点办公, (略) 市水 (略) (略) 地,服务单位项目组成员需严格遵守相关管理制度,包括考勤制度、着装要求等。 。
(4)其他:
服 (略) 严格的项目管理措施, (略) 动态跟踪,每月收集并汇报项目总体情况、问题统计等情况。服务单位必须对项目管理制定相应的规则和办法。
服务单位需承担的主要任务及要求:
①须无条件为本 (略) 技术责任。
②按要求提 (略) 有相关文档和成果。
③知 (略) 归 (略) 市水 (略) 所有。
④在本项目过程中,遵循 (略) 市水 (略) 有关管理规定,并接受技术监督。
⑤根据本项目要求,提供不限于以上任务的其它相关服务。
服务单位 (略) 络安全和保密方面的规定, (略) 市水 (略) (略) 提供给的工作流程、管理模式、规程、系统信息以及其他相关等资料文档,不得泄露或用于其他方面。
服务单位应建 (略) 项目 (略) 络安全管理规范,以确保项目启动、实施 (略) 络安全管理。
非经 (略) 市水 (略) 书面许可,服务单位不得以任何形式泄漏项目资料。因服务单位原因导致项目资料、文档、数据或 (略) 其他有关秘密泄露的, (略) 市水 (略) 有权要求服务单位采取措施消除影响,并赔偿损失,影响严重的将追究法律责任。

商务需求

1.服务期限:
(1)服务期限: * 年
(2)续签要求,本项目选用方式
①不可续签。
②可续签,本项目合同期满后, * 方可根据实际情况及 * 方履约情况确定合同期限是否延长或续签,但最长不超过3年, (略) 的中标服务期限,合同 * 年 * 签,合同最多续签2次。 * 方可根据实际情况终止合同,并不再续签。合同项目提前终止时,按照实际工程量支付费用, * 方不负任何补偿责任。
(3)续签标准:
( * 方根据 * 方服务满意度情况以及合同履约情况决定是否续约)
2.质量考核验收标准及违约金:
(1)质量考核验收标准:
完成招标文件和通过规定内容
(2)考核表:
项目名称:填表时间:年月日 填表人:

序号

考核内容

考核细则

分值权重

得分

备注

1

准时性

本项目相关工作内容在项目实施计划、市水 (略) 工作计划、 (略) 重点工作任务约定期限内完成。
每发生 * 项未按要求完成,扣 * 分,扣完为止。

*

2

提前预警

中标单位应通过渗透测试提前发现 * 方应用系统漏洞并协助完成整改。
因未 (略) (略) 门通报的渗透测试漏洞(除0day漏洞外),每通报 * 起均扣分。其中前两起,每次扣5分,第 * 次起,每次扣 * 分,扣完为止。

*

3

响应情况

根据重大事件基础支持和保障的响应情况,不按照招标文件响应要求开 (略) 支持的,每次扣 * 分,扣完为止。

*

计分

满 分

* 分

注:采购单位按 (略) 填写。
(3)验收要求:
完成合同内容并提交相关工作成果
(4)违约金要求:
考核表每扣1分,扣取合同价的1%作为违约金
3.日常工作文件/项目提交成果:
(1)渗透测试报告;
(2)攻防演练:演练方案、演练脚本、演练拍摄视频、演练总结;
(3)网络安全培训记录;
(4) (略) 方案;
(5) (略) 络安全法律法规、制度规范文件;
(6) (略) 络安全宣传材料、网络安全宣传周活动材料。

4.售后要求:
(1) (略) :
中标人应为本项目成立专 (略) 和 (略) ,确定1名项目专职技术人员作为项目对接窗口。
(2)售后服务期限:
项目服务期内及合同到期后 * 个月内。
(3)故障响应时间:
当 (略) (略) 络安全事件后,服务单位应立即以电话支持的方式提供远程技术支持,采用远程指导方式在 * 分钟内对信息 (略) (略) 置,尽可能降低影响。同时根据《 (略) 络安全突发事件应急预案》事件的分类分级标准,当发生 * 般性安全事件时 * 方应半小时内响应,1小时内技术 (略) ;当发生重 (略) 全事件时 * 方应 * 分钟内响应, * 分 (略) 。
5.合同计价方式,本项目选用方式 (1) 。
(1)总价包干合同。
(2)固定单价合同。
6.投标报价要求:
(1)投标人应根据本企 (略) 决定报价,但不得以低于其企业成本的报价投标;评标时, (略) 认为投标人的报价明显低于其他通过符合性审查投标人的报价,有可能影响产品质量或者不能诚信履约的,应当要求 (略) 合理的时间内提供书面说明,必要时提交相关证明材料;投标人不能证明其报价合理性的, (略) 应当将其作 (略) 理。
(2)投标人的投标报价, (略) 文件及 (略) 列的 (略) (略) ,不得以任何理由予以重复,并以投标人在投标文件中提出的综合单价或总价为依据。
(3) (略) 文件予以更正,否则, (略) (略) 列的清单中项目和数量填报综合单价或总价。投标人未填综合单价或总价的项目,在实施后,将不得以支付,并视作该项费用已包括在其它有价款的综合单价或总价内。
(4)投标人应充分了解项目的位置、情况、道路及任何其它足以影响投标报价的情况,任何因忽视或误解项目情况而导致的索赔或服务期限延长申请将不获批准。
(5)投标人不得期望通过索赔等方式获取补偿,否则,除可能遭到拒绝外,还可能将 (略) 为记录在案,并可能影响其以后参加政府采购的项目投标。各投标人在投标报价时,应充分考虑投标报价的风险。
8.分项报价表:

序号

费用名称

数量

金额

备注

1

信息系统渗透测试

2

攻防演练

3

网络安全培训

4

应急事件支持服务

5

(略) 支持服务

6

网络安全宣传

合计

注:采购单位按项目实际情况填写。
9. 履约担保,本项目选用方式 (1)
(1)无需履约担保。
(2)需提供履约担保,担保金额为合同金额的 * %(不超过合同金额的 * %)。
* .付款方式:
(1)预付款:合同签订后支付合同金额的 * %(不超过合同金额的 * %)。
(2)进度款按实际工作进度支付,累计支付至合同金额的,本项目选用方式
① * %(专项资金)。
② * %(部门预算)。
(3)尾款:验收合格并完成审计后按最终审计价支付合同尾款。

评标信息

序号

评分项

权重

1

价格

*

2

(略) 分

*

行号

评分因素

权重

评分规则

1

实施方案

*

( * )评审内容:
投标人对项目提供实施方案:
(1) (略) 和局属 (略) 络安全了解程度。
(2)能清楚渗透服务的背景及需求,详细制定渗透测试工作的使用的工具、攻击的方式、 (略) 置流程。
(3)详细制定攻防演练方案,包括方案形式、准备阶段、渗透测试、攻防实战、演练总结等方面的具体细节安排。
(4)应急事件支持服务方案和响应计划。
(5) (略) 络 (略) 络安全宣传周的宣传方案。

( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

2

项目重点难点分析、应对措施及相关的合理化建议

*

( * )评审内容:
投标人对项目重点难点分析、应对措施及相关的合理化建议:
(1)如何通过渗透测试, (略) 的综合安全防护能力。
(2)如何通过观看攻防演练活动,让观众有代入感,提升人们的安全意识,强化组织的应急响应流程。
(3)如何保证相关系统安全 (略) 门通报前通过渗透测试发现。
(4)针对上述或投标人认为的项目重点、难点的给出合理的应对措施分析。
(5)投标人针对项目实施提出的相关合理化的建议。

( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

3

项目完成(服务期满)后的服务承诺

5

( * )评审内容:
投标人对项目完成(服务期满)后的服务承诺:
(1)项目完成后服务人员信息与联系方式。
(2)项目完成后服务时限。
(3)项目完成后服务内容与响应时间。
( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

4

违约承诺

4

( * )评审内容:
针对质量不合格、安全事故、环保事故、工期延误、工作失误等提供相应违约责任承诺及违约经济赔偿承诺。
( * )评审标准:
优良中差评分标准:
(1)投标文件响应内容全面;
(2)投标文件响应内容具体;
(3)投标文件响应内容针对性强;
(4)投标文件响应内容科学合理;
(5)投标文件响应内容可操作性强。
满足以上 * 项要求的评价为优,得 * %分。
满足以上 * 项要求的评价为良,得 * %分。
满足以上 * 项要求的评价为中,得 * %分。
其它情况的评价为差,不得分。

3

(略) 分

*

行号

评分因素

权重

评分规则

1

投标人通过相关认证情况

5

( * )评分内容:
1. (略) 络安全审查 (略) (略) 络安全风险评估服务资质证书;
2. (略) 络安全审查 (略) (略) (略) 理服务资质证书;
3.国家信息安全漏洞共享平台(CNVD)的用户组成员;
4.中国信 (略) 颁发 (略) 能力认证证书:
5.具备能力成熟度集成模型 CMMI L5认证(研发)证书;
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分,其他不得分。

( * )评分依据:
1.要求提供有效的认证(资格)证书作为得分依据。
2.以上资料均要求提供扫描件,原件备查。

2

投标人同类项目业绩情况

3

( * )评分内容:
填写与项目相关的业绩,不 (略) 政 (略) 业的类似业绩,不得设置特定金额。项目业绩总数量要求不得超过3项。
1.近 * 年( * * 4月至今)具有中央、省级、 (略) 市的党政机关及其 (略) 门渗透测试类业绩,每具有1项有效业绩得 * %分,本项最高得 * %分。(提供业绩数量不超过3项目)

( * )评分依据:
1.业绩必须为已验收(履约评价)合格的业绩,业绩时间以项目验收或履约评价时间为准。
2.要求同时提供合同关键信息和项目履约(验收)合格评价证明文件作为得分依据,项目履约(验收)合格评价证明文件需加盖合同 * 方公章(或 * 方业务章)。
3.通过合同关键信息无法判断是否得分的,也可以提供能证明得分的其它证明资料,如项目报告或合同 * 方出具的证明文件等。
4.以上资料均要求提供扫描件,原件备查。

3

投标人获奖情况

2

( * )评分内容:
填写与项目相关的奖项,不 (略) 政 (略) 业的奖项。
近 * 年( * 年4月至今)获得中央、省级、 (略) (略) 络安 (略) (略) 络攻防演练相关获奖证书:
1.具有国家级奖项得 * %分。
2.具有副省级或省级奖项得 * %分。
以上2项不累加计分,只计最高分。

( * )评分依据:
1.要求提供奖项照片或获奖(荣誉)证书等证明材料作为得分依据。
2.以上资料均要求提供扫描件,原件备查。
3.国家级要求颁发 (略) ( (略) (略) 政机关);省级、副省级要求颁发单位为省(自治区、直辖市)、 (略) 市党政机 (略) 门。

4

拟安排的项目负责人情况

6

( * )评分内容:
1.具有有效期内的CISSP证书
2.具有有效期内的CISP证书
3.具有有效期内的CISAW证书
4.具有有效期内的CCSK证书
5.具有有效期内的PMP证书
6.具有有效期内的信息系统项目管理师(高级)证书
7.具有有效期内的软考系统集成项目管理工程师证书
8.具有有效期内的 ISO * 1 Foundation证书
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分。
具有 * 项认证证书得 * %分, * 项以下不得分。( * )评分依据:
1.要求提供通过投标人相关证明资料作为得分依据。
2.以上资料均要求提供扫描件( (略) 截图),原件备查。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。

5

拟安排的 (略) 成员(主要技术人员)情况(项目负责人除外)

*

( * )评分内容:
拟安排的 (略) 成员(主要技术人员)的考察人数不超过 * 人。
为了保证服务质量及快速响应能力,拟安排的服务人员,要求具有CISP证书。
1.满足条件的人数达 * 人及以上得 * %分。
2.满足要求条件的人数达 * 人- * 人得 * %分。
3.满足要求条件的人数达 * 人以下得30%分。

( * )评分依据:
1.要求提供通过投标人相关证明资料(CISP证书)作为得分依据。
2.以上资料均要求提供扫描件( (略) 截图),原件备查。评分中出现无证明资料或 (略) 提供资料判断是否得分的情况, * (略) 理。

6

(略) 点

3

1. (略) 供应商,或非 (略) 供应商但在深 (略) (或售后机构)(分 (略) 营业执照扫描件,售后机构必须同时提供售后服务 (略) 合同及售后机构营业执照扫描件作为得分依据,原件备查)的,得 * %分;否则不得分。
2.外地供应商承诺:中标后设立本地经营(服务)网点的,提供承诺文件(格式自定)的,得1 * %分;未提供承诺或承诺内容不满足要求均不得分。

4

诚信情况

5

序号

评分因素

权重

评分规则

1

(略) 诚信管理情况

5

投标人在参与政府采购活动中存在诚信相关问 (略) (略) 理措施实施期限内的,本项不得分,否则得满分。投标人无需提供任何证明材料,由工作 (略) 提供相关信息。

5

现场演示(讲标、答辩)

5

序号

评分因素

权重

评分准则

1

现场演示(讲标、答辩)情况

5

( * )评审内容:
投标人 (略) 演示(讲标、答辩),对项目内容、项目实施方案以及重点难 (略) 现场分析和讲解。
现场演示(讲标、答辩)突出主题,突出重点难点,分析透彻的评价为优,得 * %分。
现场演示(讲标、答辩)能围绕主题,能对 (略) 分析的评价为良,得 * %分。
现场演示(讲标、答辩)基本围绕主题,对重点难点把握较准确的评价为中,得 * %分。
现场演示(讲标、答辩)不能围绕主题,不能把握重点难点 (略) 演示(讲标、答辩)的评价为差,不得分。
( * )备注:
投标人须自带电脑、网络设备等其它完成讲标 (略) 需的设备。( (略) 络,由投标供应商 (略) 搭建)。项目经理需携带身份证原件及工作证件证明其身份。演示时长不得分超过 * 分钟。

其他

附件

服务类政府采购项目采购需求申报书(修订版) 点击查看>> .doc
    
查看详情》
相关推荐
 

招投标大数据

查看详情

收藏

首页

搜索

最近搜索

热门搜索