发送至邮箱
四川省烟草公司泸州市公司2024年信息设备及服务采购项目补遗书
致各投标人:
一、原招标文件第三章 主要采购内容及要求 三标段:网络安全监测及应急保障现场服务 第二条 服务内容现修改为:
(一)服务范围
(略) (略) (公司) (略) 络安全防护、系统持续稳定运行,及 (略) 置网络安全风险, (略) 络安全管理体系,构建“纵深防御” (略) 络安全保障体系,通过采购第 (略) 络安全监测及应急保障现场服务, (略) 络安全监测防护水平和应急保障能力, (略) 网络稳定安全运行。服务范围包括:
1、 (略) 局在岗职工800多人,办公终端(含国产化终端) 600余台,涵盖 (略) ( (略) 、 (略) 、 (略) 、合江县、泸县、古蔺县、叙永县)、物流中心、市公司机关。
2、 (略) 局网络机房部署服务器20余台,网络安全设备10余台, (略) 络安全系统3个。核心业务应用系统10余个,自建等保二级系统2个。
3、 (略) 8个机关办公大楼、1个物流中心以及古蔺县、叙永县30个收购线,3 (略) 卷烟、 (略) 点的所 (略) 。
(二)服务要求
1、 (略) 络安全设备安全策略管理及优化服务
(1)持续对本地各边界隔离防火墙设备进行安全策略优化。
(2)通过工 (略) (略) 域边界、物 (略) 边界、第三方外联边 (略) 络设备、安全设备、主机层面的访问控制策略进行审核评估。
2、 (略) 络安全设备资产及拓扑信息实时更新服务
明确IP地址对应的业务系统、主机运维、应用运维单位及责任人。 (略) (略) (略) 的 (略) 、服 (略) 及边界防护形状。
3、 (略) 资产发现服务
(1) (略) 资产发现是通过搜 (略) 络爬虫等多种技术相结合,通过对关键字、域名及IP的综合查询及关联分析, (略) 梳 (略) 资产全景图的服务。
(2)通过工 (略) 网络 (略) 出口地址进行资产发现,以IP地址和端口为单位,明确每一个暴 (略) 的服务端口的用途及责任人。
4、 (略) 络安全设备运维保障服务
(1) (略) 网络安全软硬件设备的运行情况进行日常监测和巡检, (略) 络安全设备始终保持良好运行状态, (略) 络安全防护作用。
(2)包括安全软硬件设备物理故障、策略 (略) 理;安全软硬件设备突 (略) 理及响应;故障知识库的建立更新。 (略) 公司日常办公及业务系统的持续运行能力,并建 (略) 理流程,规 (略) 理工作。
(3) (略) 的安全软硬件设备的补#库、特征库、病毒库、版本进行手动升级,确保安全设备、系统的有效性。并建立系统升级流程,规范系统升级工作。
(4)为了保证安全产品出现故障时能够及时恢复,需要定期对安全设备的配置和策略进行备份,备份内容存放在专用的服务器,并对备份操作记录备案。
5、安全数据关联分析
通过人工 (略) 络安全设备信息壁垒,做到统筹分析、关联分析、过程分析、结果分析。 (略) 络安全设备运行信息、报警信息、日志信息、策略信息等进行数据关联分析,排查误报错报信息,向市公司提交经过研判和关联分析的准确结果,及 (略) (略) 络安全风险。
6、本地自建系统渗透测试服务
针对本地自建业务系统,进行定期渗透测试,模拟黑 (略) 内、外网自建应用系统开展渗透测试,全面发现WEB中间件、应用中间件以及应用系统的安全漏洞,包括但不限于:SQL注入、命令注入、XSS、CSRF、文件上传、文件包含、越权访问、暴力破解、目录遍历、敏感信息泄露、以及针对Web中间件的远程命令执行等漏洞。
7、 (略) 络安全日志分析服务
(略) 络安全设备的日志,采用人工和自动化工具相结合的方式,对日志进行审计分析,记录保存日志审计结果。
8、应急演练服务
(略) 开展 (略) 络安全应急演练,增 (略) 置能力,不断完 (略) 络安全应急预案, (略) 络安全应急预案能用、可用、好用。
(1)重要会议(两会等) (略) (略) 络安全风险排查、系统加固、重保在线值守,重保工作总结及安全建议等。
(2) (略) 、省局、市级组织的模拟攻防演练期间,提供现场风险排查和加固、漏洞整改、 (略) 应用安全加固等技术支持服务,在模拟攻防演练期间提供现场保障服务, (略) 络安全设备、系统、终端、服务器、业 (略) 络环境进行实时监控和分析,及时发现异常流量和异常行为进行 (略) 置。模拟攻防演练结束后的总结和整改建议。
9、区县 (略) 络安全巡检服务
(略) (略) 络安全巡检,提交巡检报告和整改建议。 (略) 网络安全各项管理规定落实情况,通过远程巡检和现场巡检, (略) 网络安全管理不足和短板,为市公司提交整改建议和措施。
10、区县培训服务
对区县 (略) 络安全意识培训、网络安全技能培训。通 (略) 络安全意 (略) 络安全技术培训, (略) 络安全意识,提高各部门、单位系 (略) 络安全技术水平,有能 (略) (略) 络安全事件。 (略) 县 (略) 络安全意识、法律法规宣贯,将网络安全监控服务下沉基层。
11、 (略) 公司制定信息安全管理制度和规范
(1) (略) 公司完成 (略) 络安全工作相关的考核内容的整改和完善工作,提出合理化建议及整改办法, (略) 烟草公司各项考核成果符合度。
(2) (略) (略) 络安全制度进行梳理和完善,制定行 (略) 安全管理细则。在涉及工控系统、应用系统开发过程中,从网络安全管理角度提出建议和安全基线, (略) 络安全保障“同步规划、同步实施、同步保障”。
(3) (略) (略) 络安全监督检查纳入日常安全管理工作,积极采用各种技术检查手段,深入开展安全检查。 (略) 公司建立全面梳理、全面诊断、全面加固长效机制,利用信息化手段实现全面梳理实时化、自动化、信息化, (略) 、市公司要求不断完善建立全面诊断流程和指标,制定全面加固相关规范和标准。
(4) (略) (略) 络安全责任机制,以及考核、督查检查、问责工作范围等线条工作, (略) 公司落实强化等级保护、风险评估和应急保障能力具体要求, (略) 公司不断完善信息通报预警机制, (略) 公司推进重要数据和个人信息安全保护工作的开展和落实。
12、轻咨询服务
依据《等保条例》、《网络安全法》、《数据安全法》、《个人信息保护法》及烟草行业各项管理规范的要求,为市公司提出已建和新建信息系统合规性整改建议和措施。 (略) 络安全各项合规性工作的执行情况,如等保测评及整改进度,辅助完成等保测评整改各项要求。
13、 (略) 局网络安全专业技术认证培训及再教育
(略) (略) 络安全专业相关认证培训工作。
14、 (略) (略) 络安全相关其他工作。
(略) 公司信息中心安排的其他需要配合、协调等工作。
(三)服务保密要求
按照相关管理规定,对所服务业务应用系统,中标人要签署保密协议或在本项目合同中加入保密条款,明确中标人的安全保密职责,包括但不限于如下内容:
1.投标人服务人员必须按照国家有关保密法规和外来施工人员有关保密管理规定,保证#方涉密信 (略) 理、存储、传输国家秘密的安全。
2.投标人应对招标方提供的图纸资料、技术文件等涉密载体都必须进行有效控制,实行专人专柜管理。提供的各类涉密载体不得向第三方泄露。
3.各种形式的交流,双方均应注意保密。严禁在普通电话、手机、电传、传真、信函中涉及#方涉密信息系统应用、运行等内容。
4.投标人应甄选政治可靠、思想进步、作风正派、技术合格的人员承担本项目的维护工作,并保持这些人员的相对稳定。
5.投标人应负责对本单位工作人员进行上岗前的保密培训,并定期进行保密教育和检查。
6.投标人应确保招标方的涉密文件、资料不因员工离岗、离职而外流造成国家秘密泄露。
7.投标人若违反保密本协议或条款造成严重影响的,招标方有权单方中止该合同,投标人若因违反保密法律规定,导致涉密事件,应立即 (略) ,并及时向招标方通报所造成的损失;造成严重后果的,将依法追究投标人的法律责任。
(四)应急保障服务技术工具(软、硬件系统)要求
为保证服务的质量和效率,投标人应能提供辅助软、硬件工具,不限于:漏洞扫描系统、专业渗透测试工具、防火墙策略梳理工具、运维人员管理系统、专业的威胁情报信息等内容。以上工具和软件,需使用有安全保障的正规产品和系统,非国产化系统需经采购人审批后方可使用。采购人对投标人使用的各种软硬件系统版权等纠纷不承担任何相关连带责任。
(五)驻场应急保障服务要求
指派现场驻场保障人员一名,负 (略) 理各类应急保障相关工作。负责驻场的技术人员需具备以下条件之:
1、 (略) 络安全服务相关资质证书,CISP、CCSRP、CCSC (有一种即可)
2、 (略) 络安全工作经验。
二、投标文件递交时间现修改为:2024年12月13日10时00分(北京时间)至2024年12月13日10时30分(北京时间)。
三、投标截止时间现修改为:2024年12月13日10时30分(北京时间)。
四、开标时间现修改为:2024年12月13日10时30分(北京时间)。
五、保证金交款截止时间现修改为:2024年 12 月 12 日12:00点前(投标保证金的交纳以银行到账时间为准)。
六、其余不变,招标文件与此补遗内容 (略) 作相应修改。
(略) (略) 公司
2024年11月26日
致各投标人:
一、原招标文件第三章 主要采购内容及要求 三标段:网络安全监测及应急保障现场服务 第二条 服务内容现修改为:
(一)服务范围
(略) (略) (公司) (略) 络安全防护、系统持续稳定运行,及 (略) 置网络安全风险, (略) 络安全管理体系,构建“纵深防御” (略) 络安全保障体系,通过采购第 (略) 络安全监测及应急保障现场服务, (略) 络安全监测防护水平和应急保障能力, (略) 网络稳定安全运行。服务范围包括:
1、 (略) 局在岗职工800多人,办公终端(含国产化终端) 600余台,涵盖 (略) ( (略) 、 (略) 、 (略) 、合江县、泸县、古蔺县、叙永县)、物流中心、市公司机关。
2、 (略) 局网络机房部署服务器20余台,网络安全设备10余台, (略) 络安全系统3个。核心业务应用系统10余个,自建等保二级系统2个。
3、 (略) 8个机关办公大楼、1个物流中心以及古蔺县、叙永县30个收购线,3 (略) 卷烟、 (略) 点的所 (略) 。
(二)服务要求
1、 (略) 络安全设备安全策略管理及优化服务
(1)持续对本地各边界隔离防火墙设备进行安全策略优化。
(2)通过工 (略) (略) 域边界、物 (略) 边界、第三方外联边 (略) 络设备、安全设备、主机层面的访问控制策略进行审核评估。
2、 (略) 络安全设备资产及拓扑信息实时更新服务
明确IP地址对应的业务系统、主机运维、应用运维单位及责任人。 (略) (略) (略) 的 (略) 、服 (略) 及边界防护形状。
3、 (略) 资产发现服务
(1) (略) 资产发现是通过搜 (略) 络爬虫等多种技术相结合,通过对关键字、域名及IP的综合查询及关联分析, (略) 梳 (略) 资产全景图的服务。
(2)通过工 (略) 网络 (略) 出口地址进行资产发现,以IP地址和端口为单位,明确每一个暴 (略) 的服务端口的用途及责任人。
4、 (略) 络安全设备运维保障服务
(1) (略) 网络安全软硬件设备的运行情况进行日常监测和巡检, (略) 络安全设备始终保持良好运行状态, (略) 络安全防护作用。
(2)包括安全软硬件设备物理故障、策略 (略) 理;安全软硬件设备突 (略) 理及响应;故障知识库的建立更新。 (略) 公司日常办公及业务系统的持续运行能力,并建 (略) 理流程,规 (略) 理工作。
(3) (略) 的安全软硬件设备的补#库、特征库、病毒库、版本进行手动升级,确保安全设备、系统的有效性。并建立系统升级流程,规范系统升级工作。
(4)为了保证安全产品出现故障时能够及时恢复,需要定期对安全设备的配置和策略进行备份,备份内容存放在专用的服务器,并对备份操作记录备案。
5、安全数据关联分析
通过人工 (略) 络安全设备信息壁垒,做到统筹分析、关联分析、过程分析、结果分析。 (略) 络安全设备运行信息、报警信息、日志信息、策略信息等进行数据关联分析,排查误报错报信息,向市公司提交经过研判和关联分析的准确结果,及 (略) (略) 络安全风险。
6、本地自建系统渗透测试服务
针对本地自建业务系统,进行定期渗透测试,模拟黑 (略) 内、外网自建应用系统开展渗透测试,全面发现WEB中间件、应用中间件以及应用系统的安全漏洞,包括但不限于:SQL注入、命令注入、XSS、CSRF、文件上传、文件包含、越权访问、暴力破解、目录遍历、敏感信息泄露、以及针对Web中间件的远程命令执行等漏洞。
7、 (略) 络安全日志分析服务
(略) 络安全设备的日志,采用人工和自动化工具相结合的方式,对日志进行审计分析,记录保存日志审计结果。
8、应急演练服务
(略) 开展 (略) 络安全应急演练,增 (略) 置能力,不断完 (略) 络安全应急预案, (略) 络安全应急预案能用、可用、好用。
(1)重要会议(两会等) (略) (略) 络安全风险排查、系统加固、重保在线值守,重保工作总结及安全建议等。
(2) (略) 、省局、市级组织的模拟攻防演练期间,提供现场风险排查和加固、漏洞整改、 (略) 应用安全加固等技术支持服务,在模拟攻防演练期间提供现场保障服务, (略) 络安全设备、系统、终端、服务器、业 (略) 络环境进行实时监控和分析,及时发现异常流量和异常行为进行 (略) 置。模拟攻防演练结束后的总结和整改建议。
9、区县 (略) 络安全巡检服务
(略) (略) 络安全巡检,提交巡检报告和整改建议。 (略) 网络安全各项管理规定落实情况,通过远程巡检和现场巡检, (略) 网络安全管理不足和短板,为市公司提交整改建议和措施。
10、区县培训服务
对区县 (略) 络安全意识培训、网络安全技能培训。通 (略) 络安全意 (略) 络安全技术培训, (略) 络安全意识,提高各部门、单位系 (略) 络安全技术水平,有能 (略) (略) 络安全事件。 (略) 县 (略) 络安全意识、法律法规宣贯,将网络安全监控服务下沉基层。
11、 (略) 公司制定信息安全管理制度和规范
(1) (略) 公司完成 (略) 络安全工作相关的考核内容的整改和完善工作,提出合理化建议及整改办法, (略) 烟草公司各项考核成果符合度。
(2) (略) (略) 络安全制度进行梳理和完善,制定行 (略) 安全管理细则。在涉及工控系统、应用系统开发过程中,从网络安全管理角度提出建议和安全基线, (略) 络安全保障“同步规划、同步实施、同步保障”。
(3) (略) (略) 络安全监督检查纳入日常安全管理工作,积极采用各种技术检查手段,深入开展安全检查。 (略) 公司建立全面梳理、全面诊断、全面加固长效机制,利用信息化手段实现全面梳理实时化、自动化、信息化, (略) 、市公司要求不断完善建立全面诊断流程和指标,制定全面加固相关规范和标准。
(4) (略) (略) 络安全责任机制,以及考核、督查检查、问责工作范围等线条工作, (略) 公司落实强化等级保护、风险评估和应急保障能力具体要求, (略) 公司不断完善信息通报预警机制, (略) 公司推进重要数据和个人信息安全保护工作的开展和落实。
12、轻咨询服务
依据《等保条例》、《网络安全法》、《数据安全法》、《个人信息保护法》及烟草行业各项管理规范的要求,为市公司提出已建和新建信息系统合规性整改建议和措施。 (略) 络安全各项合规性工作的执行情况,如等保测评及整改进度,辅助完成等保测评整改各项要求。
13、 (略) 局网络安全专业技术认证培训及再教育
(略) (略) 络安全专业相关认证培训工作。
14、 (略) (略) 络安全相关其他工作。
(略) 公司信息中心安排的其他需要配合、协调等工作。
(三)服务保密要求
按照相关管理规定,对所服务业务应用系统,中标人要签署保密协议或在本项目合同中加入保密条款,明确中标人的安全保密职责,包括但不限于如下内容:
1.投标人服务人员必须按照国家有关保密法规和外来施工人员有关保密管理规定,保证#方涉密信 (略) 理、存储、传输国家秘密的安全。
2.投标人应对招标方提供的图纸资料、技术文件等涉密载体都必须进行有效控制,实行专人专柜管理。提供的各类涉密载体不得向第三方泄露。
3.各种形式的交流,双方均应注意保密。严禁在普通电话、手机、电传、传真、信函中涉及#方涉密信息系统应用、运行等内容。
4.投标人应甄选政治可靠、思想进步、作风正派、技术合格的人员承担本项目的维护工作,并保持这些人员的相对稳定。
5.投标人应负责对本单位工作人员进行上岗前的保密培训,并定期进行保密教育和检查。
6.投标人应确保招标方的涉密文件、资料不因员工离岗、离职而外流造成国家秘密泄露。
7.投标人若违反保密本协议或条款造成严重影响的,招标方有权单方中止该合同,投标人若因违反保密法律规定,导致涉密事件,应立即 (略) ,并及时向招标方通报所造成的损失;造成严重后果的,将依法追究投标人的法律责任。
(四)应急保障服务技术工具(软、硬件系统)要求
为保证服务的质量和效率,投标人应能提供辅助软、硬件工具,不限于:漏洞扫描系统、专业渗透测试工具、防火墙策略梳理工具、运维人员管理系统、专业的威胁情报信息等内容。以上工具和软件,需使用有安全保障的正规产品和系统,非国产化系统需经采购人审批后方可使用。采购人对投标人使用的各种软硬件系统版权等纠纷不承担任何相关连带责任。
(五)驻场应急保障服务要求
指派现场驻场保障人员一名,负 (略) 理各类应急保障相关工作。负责驻场的技术人员需具备以下条件之:
1、 (略) 络安全服务相关资质证书,CISP、CCSRP、CCSC (有一种即可)
2、 (略) 络安全工作经验。
二、投标文件递交时间现修改为:2024年12月13日10时00分(北京时间)至2024年12月13日10时30分(北京时间)。
三、投标截止时间现修改为:2024年12月13日10时30分(北京时间)。
四、开标时间现修改为:2024年12月13日10时30分(北京时间)。
五、保证金交款截止时间现修改为:2024年 12 月 12 日12:00点前(投标保证金的交纳以银行到账时间为准)。
六、其余不变,招标文件与此补遗内容 (略) 作相应修改。
(略) (略) 公司
2024年11月26日
四川
招投标大数据
最近搜索
无
热门搜索
无
