依据《中华人民共和国政府采购法》《中华人民共和国政府采购法实施条例》《政府采购货物和服务招标投标管理办法》和有关法律法规及规章规定，太原市公共资源交易中心受中共太原市委网络安全和信息化委员会办公室委托，对市直机关及重点企业网络安全检查技术支撑项目组织国内公开招标采购，欢迎承认并履行招标文件各项规定的供应商参加投标。

1.项目名称：市直机关及重点企业网络安全检查技术支撑项目公开招标采购

2.招标编号：2020JFG518

3.项目概况：依据《中华人民共和国网络安全法》等法律法规，太原市委网信办对15家党政机关及重点企业开展网络安全检查工作，供应商为检查工作提供技术支撑，提出安全加固建议，编写检查报告。并在服务期内提供网络安全咨询培训、风险评估、漏洞检测、预警通报、事件应急处置、提供整改加固建议、一名技术人员驻用户现场服务等支撑服务。

4.资金来源：财政资金

5.预算金额：1,000,000元

招标内容：共一包，详见招标文件“第五部分采购需求”。

总体要求

★1、网络安全检查

遵循公认的ISO27001、GB/T20984-2007、GB/T22239-2019等安全标准指导网络安全检查工作，按照采购人提供的检查指标对15个网站或信息系统进行逐一检查，查找薄弱环节。对各单位建立健全网络安全技术防护体系及安全防护情况、应急工作、宣传教育培训等进行检查。对重要信息系统等级保护制度落实情况进行检查，对重要网络和信息系统中密码使用和管理，保密相关工作等开展检查。形成网络安全检查报告，针对问题提出整改加固建议。检查指标包括：

(1)安全物理环境：在内容上，安全物理环境层面检查过程涉及10个检查指标，分别如下：物理位置的选择;物理访问控制;防盗窃和防破坏;防雷击;防火;防水和防潮;防静电;温湿度控制;电力供应;电磁防护。

(2)安全通信网络：在内容上，安全通信网络层面检查过程涉及3个检查指标，分别如下：网络架构;通信传输;可信验证。

(3)安全区域边界：在内容上，安全区域边界安全层面检查实施过程涉及6个检查指标，分别如下：边界防护;访问控制;入侵防范;恶意代码和垃圾邮件防范;安全审计;可信验证。

(4)安全计算环境：在内容上，安全计算环境层面检查实施过程涉及11个检查指标，分别如下：身份鉴别;访问控制;安全审计;入侵防范;恶意代码防范;可信验证;数据完整性;数据保密性;数据备份恢复;剩余信息保护;个人信息保护。

(5)安全管理中心：在内容上，安全管理中心检查实施过程涉及4个检查指标，分别如下：系统管理;审计管理;安全管理;集中管控。

(6)安全管理制度：在内容上，安全管理制度检查实施过程涉及4个检查指标，分别如下：安全策略;管理制度;制定和发布;评审和修订。

(7)安全管理机构：在内容上，安全管理机构检查实施过程涉及5个检查指标，分别如下：岗位设置;人员配备;授权和审批;沟通和合作;审核和检查。

(8)安全管理人员：在内容上，安全管理人员检查实施过程涉及4个检查指标，分别如下：人员录用;人员离岗;安全意识教育和培训;外部人员访问管理。

(9)安全建设管理：在内容上，安全建设管理检查实施过程涉及10个检查指标，分别如下：定级和备案;安全方案设计;产品采购和使用;自行软件开发;外包软件开发;工程实施;测试验收;系统支付;等级测评;服务供应商选择。

(10)安全运维管理：在内容上，安全运维管理检查实施过程涉及14个检查指标，分别如下：环境管理;资产管理：介质管理;设备维护管理;漏洞和风险管理;网络和系统安全管理;恶意代码防范管理;配置管理;密码管理;变更管理;备份和恢复管理;安全事件处置;应急预案管理;外包运维管理。

(11)检查报告输出：供应商需出具被测信息系统网络安全检查报告，并通过市网络安全和信息化专家智库专家审查。

2、应急支撑

太原市范围为采购人提供7×24小时专业的信息安全响应服务，按照采购人要求对目标单位可能发生的重大突发网络安全事件提供应急服务，包括但不限于：协助提供网络安全公告，提供网络安全咨询、安全事件风险评估、安全事件追踪与溯源。

编制完善的应急服务方案(包括应急服务方案模板和针对采购方的实际服务方案)，当发现或怀疑系统有被入侵的迹象时，供应商安全专家将第一时间响应，务必赶赴现场协助采购方对安全事件进行分析、处理，并提供安全改进建议报告，应急处理后会为采购方提供一份应急响应报告，内容应该包括事件发生的时间、分析及处理的过程和方法、事件最终结论、针对此类事件及整体安全建议。设计至少三个具有针对性的应急工作场景，提供应急处置预案，如：门户网站被篡改、数据被破坏、服务器宕机等开展实战演练工作。负责设计应急实战演练工作方案并实施，供应商配合应急演练协调工作、应急演练对象的环境部署等。要求供应商具有较强的企业整体实力和及时处置能力，要求太原市六城区范围内一小时到达指定地点，六城区范围外两小时到达指定地点。建立有效的联系机制，保持7×24小时联系机制，如联系人信息发生变更，应主动告知采购人，确保双方之间的通信畅通。供应商联系人应熟悉相关支撑业务，具有一定的应急保障工作经验，及时关注采购人下发的各项应急支撑任务。根据应急处置的需要，提供专业人员供采购方应急处置人员进行信息安全咨询，可以采用电话、QQ、微信、邮件等方式，同时也具备随时承担应急任务，满足在现场处置的要求。

★3、日常工作支撑

供应商在服务期内派驻一名技术人员在采购人指定地点协助采购人开展相关工作。包括但不限于：网络安全咨询、远程巡检、漏洞扫描、渗透测试、安全监测等相关服务，全面保障信息系统的安全运行等。

(1)网络安全咨询。供应商提供具有高级资质的专家根据采购人的需要，针对基于目标对象的组织业务和安全现状，提供网络安全法和网络安全相关标准规范相关的条例的知识支持和技术咨询支撑。

(2)远程巡检。供应商根据采购人要求对目标网站、信息系统定期进行远程网络安全巡检，发现目标网站系统的漏洞，对网站中存在的高危漏洞进行验证，包括但不限于SQL注入、XSS攻击、恶意执行逻辑错误等典型漏洞信息。按照采购人要求格式出具远程网络安全巡检报告。巡检频度为每月1次，具体时间以采购人确认为主。

(3)识别常见的Web应用漏洞。根据采购人提供目标清单，检查识别目前流行的Web应用漏洞，例如SQL注入、跨网站脚本攻击以及缓存溢出等，并且定位Web应用漏洞所在的位置。

(4)可用性安全监控。根据采购人提供目标清单，检测网站可用性一旦网站出现宕机或被非法破坏而不能提供访问服务，立即上报采购人，并提出解决办法。

(5)木马清除和漏洞修复。检查过程中发现网站存在网页挂马现象或者WEB应用程序漏洞，供应商需提出木马清除方案和漏洞修复建议。采购方根据报告建议进行网站安全应急处理。

(6)漏洞扫描。对采购人提供目标清单开展完整漏洞扫描工作，并给出相关报告及整改建议。测试频度为每个目标系统一年不少于2次，以作业队伍方式持续扫描，具体时间以采购人确认为主。

(7)渗透测试。通过模拟黑客的攻击方法对系统和网络进行非破坏性质的攻击性测试，通过人工渗透测试发现逻辑性更强、更深层次的弱点，找出所存在的安全威胁和风险，帮助采购人及时完善安全策略，确保对采购人的信息系统不造成破坏性的损害，保证渗透测试前后信息系统的可用性、可靠性保持一致。具体测试情况将根据实际情况进行调整，测试频度为不低于每年一次，具体时间以采购人确认为主。

4、网络安全事件简报

供应商根据日常在太原市的网络安全事件信息，为采购人编写并提供太原市网络安全事件简报。简报频度为一月一次，涉及的内容包括但不限于以下几点：

(1)当月安全事件总结。

(2)当月网络中存在的安全威胁。

(3)对当月的网络异常进行分析。

注：1.所有招标内容除特别标注为“进口产品”外，均采购国产产品，即非“通过中国海关报关验放进入中国境内且产自国外的产品”，投标货物及服务各项技术标准应当符合国家强制性标准。

2.招标内容标注为“进口产品”的，满足需求的国产产品和进口产品按照公平竞争原则实施采购。

6.服务时间：自合同签订起一年

服务地点：采购人指定地点(太原市内)

7.投标人资格要求

(1)具有独立承担民事责任的能力;

(2)具有良好的商业信誉和健全的财务会计制度;

(3)具有履行合同所必需的设备和专业技术能力;

(4)有依法缴纳税收和社会保障资金的良好记录;

(5)参加政府采购活动前三年内，在经营活动中没有重大违法记录;

(6)特定条件：具有中国网络安全审查技术与认证中心颁发的信息安全风险评估服务二级及以上资质证书和中国网络安全审查技术与认证中心颁发的应急处理服务三级及以上资质证书;

(7)所属行业相关法律、法规等对投标人生产或经营该投标产品有特殊资格、证照等规定的，须提供其相关证明材料。

8.联合体投标

本项目不接受联合体投标。

9.招标文件获取

(1)获取时间：2020年9月2日上午9:00至2020年9月9日下午17:00

(2)获取方式：登录太原市行政审批服务管理局官网(xzspglj.taiyuan.gov.cn)首页【太原市公共资源交易平台】，凭机构数字证书通过【政府采购】-【投标人/供应商】入口登录后获取采购文件及相关资料。

10.现场考察及答疑会

无

11.投标样品提交

无

12.投标文件提交

(1)提交电子投标文件截止时间(投标截止时间)及开标时间：2020年9月28日上午09:30

(2)提交电子投标文件方式：登录太原市行政审批服务管理局官网(xzspglj.taiyuan.gov.cn)首页【太原市公共资源交易平台】，凭机构数字证书通过【政府采购】-【投标人/供应商】入口登录后上传投标文件并打印“网上递交投标文件回执”。投标截止时间前未完成投标文件网上提交的，将拒收投标文件。

(3)提交纸质投标文件时间：2020年9月28日上午09:00—09:30

(4)提交纸质投标文件地点(即开标地点)：太原市公共资源交易中心一号开标厅

13.参加本次投标的投标人下载采购文件前须办理数字证书。投标人参与项目遇到系统操作问题，请及时联系太原市公共资源交易中心。

联系电话：****-*******

14.参加本次投标的投标人应于开标前在中国山西政府采购网(http://www.ccgp-shanxi.gov.cn)免费注册。

中国山西政府采购网联系人：九鼎客服联系电话：400-8341-789

15.采购单位联系人及联系方式

采购单位名称：中共太原市委网络安全和信息化委员会办公室

地址：太原市新建路新闻大厦7层邮编：030000

联系人：吉进东联系电话：139*****502

16.集中采购机构联系人及联系方式

集中采购机构：太原市公共资源交易中心

地址：太原市万柏林区南屯路1号太原市为民服务中心四层C区

邮编：030021

联系人：高艳芳联系电话：****-*******

韩倩倩联系电话：****-*******

17.信息发布

本项目相关的招标文件澄清、修改以及终止公告、中标公告等信息均通过财政部门指定的政府采购信息发布媒体、太原市公共资源交易中心网站(ggzy.xzspglj.taiyuan.gov.cn)公布。

集中采购机构通过财政部门指定的政府采购信息发布媒体、太原市公共资源交易中心网站公布的信息视为已送达各投标人，投标人有义务在招标活动期间浏览相关网站。

18.公告期限

本招标公告的公告期限为5个工作日。

太原市公共资源交易中心

2020年09月01日