法正项目管理集团有限公司受福建中烟工业有限责任公司 委托，根据《中华人民共和国政府采购法》等有关规定，现对福建中烟信息系统安全检测评估服务-2023年进行其他招标，欢迎合格的供应商前来投标。

项目名称：福建中烟信息系统安全检测评估服务-2023年

项目编号：询FZXM-CG招（2023）019号

项目联系方式：

项目联系人：张晓林

项目联系电话：0592-*******

采购单位联系方式：

采购单位：福建中烟工业有限责任公司

采购单位地址：福建省厦门市莲岳路118号

采购单位联系方式：/

代理机构联系方式：

代理机构：法正项目管理集团有限公司

代理机构联系人：张晓林0592-*******

代理机构地址： 厦门市湖里区岐山路1号亿华中心215室

一、采购项目内容

询价函

各报价供应商:

受采购人福建中烟工业有限责任公司委托，我司进行信息系统安全检测评估服务-2023年(询价编号:询FZXM-CG招（2023）019号)的询价工作，请各报价供应商按照附件一、附件二所列内容，进行投入估算、报价（本询价函并非采购邀约，报价仅供参考），并将报价文件(附件一)加盖报价供应商公章后，于2023年06月14日17:30前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与！

顺祝商祺！

附件一：报价函

附件二: 服务内容及要求

询价单位：法正项目管理集团有限公司

联系人：张晓林

电话：0592-*******

电子邮箱：fzxmgs_2017@163.com

联系地址：厦门市湖里区岐山路1号亿华中心215室

日期：2023年06月09日

附件一:

报价函

项目名称：信息系统安全检测评估服务-2023年

询价编号：询FZXM-CG招（2023）019号

附件二: 服务内容及要求

1、具体服务内容及要求

1.1上线前安全评估服务：中标人应根据招标人要求，在招标人新业务或新系统上线前，根据系统事先定义的等级保护要求以及烟草行业安全基线要求，进行全面的安全检查，对发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供系统上线安全评估报告。具体服务的内容及要求包括但不限于：

a.差距分析服务。中标人应根据等保2.0和烟草行业安全基线要求，进行差距分析，形成差距分析报告，并提供加固建议及协助整改。

b.漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进行漏洞扫描，包括但不限于主机操作系统、数据库、中间件及网络服务应用，形成漏洞扫描报告，对扫描结果进行分析，并提供加固建议及协助整改。

c.基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查，包括但不限于主机操作系统、数据库、中间件及网络服务应用，形成基线核查报告，并提供加固建议及协助整改。

d.渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试，形成渗透测试报告，并提供加固建议及协助整改。

e.提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上所有内容的上线前安全评估报告，附上结果判定的过程证明材料，并提供残余问题处置建议。

1.2代码审计服务：中标人应根据招标人要求，对招标人指定信息系统的所有源代码进行检查，查明威胁点并加以验证，对发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供源代码审计报告，并协助招标人完善代码安全开发规范。具体服务的内容及要求包括但不限于：

a.中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员，对招标人指定的系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。

b.中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务，具体服务形式由招标人指定。其中整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计，代码覆盖率为100%，整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计，发现功能点存在的代码安全问题。

c.中标人的代码审计服务应至少包括三个阶段，即源代码审计前期准备、源代码审计实施以及现场复查实施阶段。

d.在审计工作完成后5个工作日内，中标人出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述，描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外，中标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议，为招标人的安全运维和问题修复工作提供参考。

1.3季度健康检查服务：中标人应每季度对招标人指定的范围（包括但不限于网络设备、安全设备、主机操作系统、数据库、中间件及网络服务应用）进行全面的漏洞扫描，对招标人指定的系统或网站进行渗透测试服务，对风险控制策略进行有效审核，根据发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供漏洞扫描报告和渗透测试报告。

1.4风险评估服务：中标人应根据《信息安全技术-信息安全风险评估规范》 《信息安全技术-信息安全风险评估实施指南》及招标人其他要求，提供全面风险评估服务，每次涉及信息系统总数不超过60个，具体核查范围由招标人指定。中标人应对发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供风险评估报告。具体服务的内容及要求包括但不限于：

a.中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、漏洞扫描、渗透测试、基线核查、人工检查等多种方式，对招标人的整体安全风险进行全面、彻底评估。

b.中标人应根据招标人的风险处置要求，协助招标人及时下发风险通知书，并跟踪问题整改情况，进一步降低招标人的网络安全风险隐患。

c.中标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产清单表、脆弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。

1.5密码评估服务：中标人应按照《信息安全技术 信息系统密码应用基本要求》及招标人其他要求，从物理和环境安全、网络和信息安全、设备和计算安全、应用和数据安全层面评估系统在密码技术应用方面的密码应用是否正确、合规、有效，以及密钥管理、安全管理方案是否符合《信息安全技术 信息系统密码应用基本要求》要求开展评估，对发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供密码评估报告。

1.6安全检查及指导服务：中标人应根据招标人要求，配合到招标人5家直属单位开展网络安全检查及指导服务。中标人每次必须派出至少3名具有相关工作经验的工程师到现场检查。

1.7网站安全监测服务：中标人应根据招标人要求，通过网站检测云平台对招标人所有外部网站进行7*24小时监测。监测时间未超过15天（含15天）按半个月计算，超过15天按一个月计算。中标人应根据招标人要求，在招标人发生紧急安全事件5分钟以内以电话、短信和邮件等形式对招标人指定联系人进行通告，如招标人的网站被挂马、网页被篡改及其它无法访问等情况。具体服务的内容及要求包括但不限于：

a.中标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP 服务监测等)及认证性检测（如远程钓鱼网站监测）。

b.中标人为招标人提供的网站监测服务交付物应包括但不限于《网站安全监测周报》《网站安全监测月报》等。

1.8安全知识普及培训服务：中标人应根据招标人要求，到福建省内招标人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会工程学或网络安全法律法规等相关现场培训，每次培训0.5天。

1.9安全实践培训服务：中标人应根据招标人要求，到福建省内招标人指定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训，每次2天。

1.10攻防实践培训服务：中标人应根据招标人要求，到福建省内招标人指定地点提供包括但不限于攻防实战、CTF等相关现场培训，每次5天。攻防实战课程包括但不限于攻击队技术框架原理及实战指导、边界突破、权限维持、内网漫游、社会工程学及攻击反制等内容。CTF课程包含但不限于Web安全、密码学、杂项、逆向工程或Pwn分析等内容。

1.11专业认证培训服务：中标人应根据招标人要求，提供包括但不限于CISSP、CISP、CISA、CCSP、CCIE Security、ISO *****、TOGAF 9.2、COBIT、CISP-PTE或CISP-DSG的培训及认证内容。具体培训及认证内容和培训时间由招标人安排。

2、服务团队及要求

2.1项目负责人资质要求：项目负责人须具备PMP证书，以及CISP、CISSP、CISA、Security+、ISO *****LA五种证书之二，且具有实施过三个或以上安全服务项目经验。

2.2项目实施人员资质要求。数量：至少3名（不含项目负责人），项目所有实施人员需具备至少2年以上工作经验。

2.3攻防实践培训服务人员资质要求。数量：至少2名，攻防实战课程的培训讲师须具备两个或以上网络安全事件应急响应处置经验，CTF课程的培训讲师须具备三个或以上网络攻防演习保障经验。

以上2.1至2.3的工作经验指具备安全服务类相关（运维、测评、支持、检测等）项目实施经验。

2.4中标人如需重新指定或更换本方的小组成员，应提前10个工作日向招标人出具书面说明阐明合理理由并征得招标人的书面同意方可进行。不论中标人以何种理由更换小组成员，更换后的小组成员资质不应低于原小组成员资质且应符合采购文件要求，同时，招标人有权要求中标人提供相应的资质证明材料。如双方未达成一致，依照原服务团队名单执行。如招标人允许服务人员变更，更换人员应在原服务人员离场前至少10个工作日到达现场，做好与原服务人员的工作交接，并在更换人员熟练开展工作后，原服务人员方可离场。

2.5中标人进场服务前，招标人有权对中标人服务人员证书资质等材料进行核验，若发现中标人提供服务人员与约定不一致，招标人有权要求中标人无条件更换服务人员。

2.6 项目服务期间，中标人服务人员须遵守招标人的工作场所及文档整理相关要求。

2.7若中标人服务人员实际素质能力或无法满足项目业务需要的，招标人有权要求中标人更换服务人员，中标人必须无条件更换。

3、其他要求

3.1中标人在开展服务前，应提前1天通知招标人，经招标人同意后方可开展相关工作。在开展服务过程中，应采用可靠的安全检测工具，不得影响招标人现有网络系统与信息系统的正常运行，不得影响招标人生产业务的正常运行。

3.2中标人服务过程中所使用到的各种工具软件均由中标人推荐，经招标人确认后由中标人提供并在服务中使用。

3.3中标人服务所需要的所有硬件平台（如笔记本电脑、PC、工作站等）和操作系统软件等均由中标人推荐，经招标人确认后由中标人提供并在服务中使用。

3.4中标人服务需要的运行环境（如场地、网络环境等）由招标人提供，中标人应根据服务开展需要向招标人说明需要的运行环境的具体要求。

3.5中标人应在接到招标人通知后，在指定时间到达指定地点开始服务工作。

二、开标时间：

三、其它补充事宜

四、预算金额：

预算金额：0.******0 万元（人民币）