川庆公司信息安全技术支撑性运维加固服务项目
川庆公司信息安全技术支撑性运维加固服务项目
第一章 招标公告
川庆公司信息安全技术支撑性运维加固服务项目 招标公告
招标编号:ZY23-XN305-FW1276
本招标项目川庆公司信息安全技术支撑性运维加固服务项目已由中国石油集团川庆钻探工程有限公司钻采工程技术研究院 以/批准建设,项目业主为中国石油集团川庆钻探工程有限公司钻采工程技术研究院,建设资金来自/,出资比例为/,招标人为中国石油集团川庆钻探工程有限公司钻采工程技术研究院 。项目已具备招标条件,现对该项目进行公开招标。
2.1 招标项目名称:川庆公司信息安全技术支撑性运维加固服务项目采购。
2.2 项目概况:根据招标人业务需求,为川庆公司信息安全技术支撑性运维加固服务项目提供现场技术服务,包括:“护网”行动(国家级、省级、市级)&信息安全突发事件处置、重保工作&信息安全突发事件处置、实时监控信息安全态势(平时5×8小时或重保7×24小时)、信息安全检查评估与系统加固、信息安全培训&安全意识宣贯、权限管理、身份管理与认证系统2.0子站点运维管理、安全系统(设备)运维、桌面安全2.0系统&终端敏感信息审计系统技术支持(覆盖川庆公司二级单位)、云资源池安全、工业控制系统安全、WEB应用资产&主机资产探测、堡垒机&身份管理与认证2.0系统对接、DMZ基础架构加固服务、DMZ虚拟服务器安全加固服务、DMZ WEB应用防护服务。
2.3 招标范围:
服务内容 | 主要工作量 |
“护网”行动 (国家级、省级、市级) 信息安全突发事件处置 | 1.收集信息安全威胁情报; 2.通报信息安全突发事件; 3.信息安全突发事件处置(资源调度、等级评估、灾难恢复等相关工作); 4.信息安全突发事件舆情管理和上下级沟通协调; 5.“护网”行动应急指挥与响应。 |
重保工作 信息安全突发事件处置 | 1.收集信息安全威胁情报; 2.通报信息安全突发事件; 3.信息安全突发事件处置(资源调度、等级评估、灾难恢复等相关工作); 4.信息安全突发事件舆情管理和上下级沟通协调; 5.重保活动应急指挥与响应。 |
实时监控信息安全态势(5*8或7*24) | 1.网络安全、终端安全、物理安全、应用交付和服务器安全、工业控制系统安全等; 2.风险评估与态势分析、大数据分析与风险定位等; 3.集团信息安全问题通报、排查与处置; 4.公司信息安全预警、排查与处置。 |
信息安全检查评估与系统加固 | 1.集团公司信息安全检查; 2.四川省信息安全检查; 3.陕西省信息安全检查; 4.信息系统上线前检查; 5.川庆钻探常态化信息安全检查; 6.配合信息系统等级保护检查。 |
信息安全培训&安全意识宣贯 | 1.账号与权限管理培训; 2.信息安全管理制度培训; 3.安全技术培训; 4.各单位信息安全宣贯; 5.《中华人民共和国网络安全法》、《关键信息基础设施安全保护条例(征求意见稿)》和《信息安全技术 网络安全等级保护基本要求2.0》; 6.集团公司网络安全管理办法。 |
权限管理 | 1.受理新用户申请; 2.受理现有用户密钥重置; 3.受理现有用户组织机构变更维护; 4.与其他应用账户进行同步更新; 5.现有账户定期清理; 6.受理帐户登录故障处理; 7.二级单位管理员权限管理; 8.受理新用户证书申请、审核、发放证书、USBKEY和移动加密机的介质发放; 9.受理现有用户的USBKEY和移动加密机的解锁、变更密钥、证书更新申请; 10.受理现有用户的USBKEY和移动加密机补办申请; 11.受理USBKEY和移动加密机用户权限证书冻结、解冻、吊销申请; 12.现有USBKEY和移动加密机用户故障处理; 13.USBKEY和移动加密机设备台帐管理; 14.统一身份认证平台映射问题处理; 15.服务流程梳理、规范与修订; 16.受理新用户同步工作; 17.ERP角色互斥风险评估; 18.受理公司机关员工账号与权限管理,包括集团所有统建系统和川庆全部自建系统; 19.自建信息系统帐号权限梳理; 20.自建信息系统弱口令检查; 21.自建信息系统账户定期清理; 22.受理用户登录故障处理; 23.自建信息系统帐号风险评估。 |
身份管理与认证系统 2.0子站点运维管理 | 1.人员管理:对内部人员和外部人员数据进行管理,包括增、删、改、查等; 2.机构管理:对内部组织机构和临时组织机构进行管理; 3.主数据维护:建立全局主数据,为各应用系统提供权威基础数据; 4.平台身份管理、帐号管理、权限管理:通过统一权限管理应用的访问权限; 5.分级管理维护; 6.多因子认证配套维护:包括数字证书、二维码、短信网关相关配套维护; 7.主动防御配置:认证策略配置,基于时间、IP、地点等限制条件设置不同的认证策略; 8.安全审计:审计访问记录和操作登录信息,实时监测所管辖范围内的用户对企业各应用系统的访问状态; 9.信息统计:统计应用系统帐号使用情况,包括公共帐号、一人多帐号、长期未使用帐号等。 |
安全系统(设备)运维 | 1.根据网络安全需求,对安全设备策略进行变更; 2.根据网络安全需求,对操作系统进行升级,补丁更新; 3.根据集团项目组要求,对应用系统进行升级,补丁更新,策略调整,数据备份,配置调整; 4.根据集团项目组要求,采集对应数据提供给集团; 5.对安全设备进行定期巡检,对重要安全设备每日巡检1次,其他安全设备每周巡检1次,如出现设备问题,联系厂商对问题设备配件进行修复更换。 |
桌面安全2.0系统、终端敏感信息审计系统技术支持(覆盖川庆公司二级单位) | 1.对二级单位上报客户端相关问题提供技术支持; 2.对二级单位管理人员开展技术交流; 3.对二级单位管理员提出后台数据查询要求提供技术支持; 4.与集团项目组协调,解决桌面安全2.0客户端与终端敏感信息审计系统相关问题。 |
云资源池安全 | 1.卡巴斯基防病毒系统运行维护; 2.云资源池访问控制与最小权限管理; 3.特权用户权限管理(账号权限分发、使用、撤销)。 |
工业控制系统安全 | 1.系统漏洞扫描及协助补丁更新; 2.安全隐患排查及数据分析总结。 |
WEB应用资产&主机资产探测 | 1.对川庆公司WEB应用资产进行扫描探测; 2.对川庆公司主机资产进行扫描探测。 |
堡垒机&身份管理与认证2.0系统对接 | 1.根据川庆公司实际情况,出具堡垒机&身份管理与认证2.0系统对接方案; 2.对堡垒机进行硬件、软件升级; 3.协调沟通集团项目组,完成堡垒机&身份管理与认证2.0系统对接。 |
DMZ基础架构加固服务 | 按年为川庆公司DMZ区提供基础架构加固服务:通过网络流量监测分析,实时监控川庆公司DMZ信息安全态势;通过安全策略配置,实现不同安全域的有效隔离和入侵行为的基础防护。 |
DMZ虚拟服务器安全加固服务 | 按年为川庆公司DMZ区提供虚拟服务器安全加固服务:对虚拟服务器安全事件进行统一监控分析,实现虚拟服务器信息安全事件自动检测、防护和预警。 |
DMZ WEB应用防护服务 | 按年为川庆公司DMZ区提供WEB应用防护服务:在确保数据传输正常的前提下,对川庆公司DMZ网站及应用系统进行安全监测与预警,包括系统漏洞、网站挂马、系统篡改、敏感信息外泄、域名劫持、暗链监测等。 |
标段划分:/
2.4 本次招标设置最高投标限价:详见第五章发包人要求,超过最高投标限价的投标将予以否决。
2.5 服务地点:招标人指定的服务地点。
2.6 服务期限:自合同签订之日起一年止。
2.7 服务要求:满足招标人提出的技术要求。
2.8 定标原则:有效投标人≥3家,评标委员会推荐前2名有效投标人为中标候选人,招标人确认排名第1的中标候选人为中标人;有效投标人为1~2家,评标委员会应进行竞争性评判,存在竞争性的,推荐全部有效投标人为中标候选人,招标人原则上确定前1名为中标人。
*3. 投标人资格要求
3.1投标人具备并提供合格有效的加载统一社会信用代码的营业执照。若为事业单位投标,提供事业单位法人证书。非独立法人分支机构参加需提供具有独立法人资格的总公司针对本项目的授权书,并提供三证合一营业执照副本,法人单位和其分支机构只能一个参与投标。
3.2不接受联合体投标。
3.3投标人必须具有有效的ISO9001或GB/T*****质量管理体系认证证书。
3.4投标人必须具有有效的由中国信息安全测评中心或中国网络安全审查技术与认证中心颁发的相关信息安全体系认证证书。(提供证书扫描件)
3.5为符合《中石油天然气集团公司网络保密管理办法》的规定,保证网内商密系统的信息安全,投标人须具有有效的涉密信息系统集成资质证书。(提供证书扫描件)
3.6投标人必须具有2名及以上中国信息安全测评中心注册信息安全专业人员(CISP)或者中国网络安全审查技术与认证中心认证信息安全保障人员(CISAW)。(提供证书扫描件和近一年内连续三个月投标人为其缴纳的社保证明资料并加盖公章)
3.7财务要求:2021年至2023年未被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照的;未进入清算程序,或未被宣告破产,或其他未丧失履约能力的情形;投标人应提供2022年经会计师事务所或审计机构审计的财务状况表。成立日期晚于2023年1月1日的,从成立年开始提供。
3.8信誉要求:
①未被工商行政管理机关在全国企业信用信息公示系统中列入严重违法失信企业名单;
②未被最高人民法院在“信用中国”网站或各级信用信息共享平台中列入失信被执行人名单;
③投标人或其法定代表人、拟委任的项目负责人无行贿犯罪行为;
④开标当日未被中国石油招标投标网暂停或取消投标资格的。
以上为关键条款,不满足将被否决。
4. 招标文件的获取
4.1凡有意参加投标的潜在投标人,请于 2023 年10月20日至 2023 年10月25日23:59:59(北京时间,下同)内完成以下步骤后登录中国石油电子招标投标交易平台下载电子招标文件。
① 投标登记
登录中国石油电子招标投标交易平台,搜索本项目,在拟投标标包处点击“报名”,网址:http://ebidmanage.cnpcbidding.com/bidder/ebid/base/login.html。
(如未在中国石油电子招标投标交易平台上注册过的潜在投标人需要先注册并通过平台审核。具体操作请参考中国石油招标投标网操作指南中“投标人用户手册”相关章节。)
② 支付标书费
登陆中国石油招标中心招标文件购买平台,在可购买的订单列表下支付标书费,网址:http://www2.cnpcbidding.com/#/wel/index。
(登陆账号和中国石油电子招标投标交易平台一致,密码需要重新设置。投标人首次登录需通过手机验证码登录,登录后设置登录密码,提交成功后可以同时使用户名密码或手机验证码登录。详见附件《中国石油招标中心投标商用户操作手册》,咨询电话:**********。)
4.2招标文件按项目售价为200元人民币,请有意参加投标的潜在投标人确认自身资格条件是否满足要求,售后不退,应自负其责。
4.3本次招标文件采取线上发售的方式。潜在投标人在4.1规定的时间内完成4.1规定的2项工作(投标登记和支付标书费)后,潜在投标人可在中国石油电子招标投标交易平台下载招标文件。
4.4潜在投标人在中国石油招标中心招标文件购买平台上付款成功后,在“我的订单”中会生成一条购买记录,点击订单详情,自行下载招标文件电子发票,不再开具纸质发票。
4.5此次采购招标项目为全流程网上操作,需要使用U-key完成投标工作。
① 所有首次参与中国石油招标项目投标人必须办理U-key。具体办理通知公告及操作手册下载方法如下:登录中国石油招标投标网首页:https://www.cnpcbidding.com“通知公告栏目”的“操作指南”中“电子招投标平台Ukey办理通知公告及操作手册”,即可下载“Ukey办理通知公告及操作手册.zip”。
② 已办理U-key的投标人应复核U-key证书是否处于有效期内,如证书失效,需按上述程序购买新的U-key。
5. 投标文件的递交
5.1本次招标采取网上递交电子投标文件的投标方式
投标文件递交的截止时间(投标截止时间及开标时间,下同)为2023年11月10日8时 40分,投标人应在截止时间前通过中国石油电子招标投标交易平台递交电子投标文件。
注:请投标人注意:为确保投标有效,对于使用“投标客户端”编制的投标文件,在按照操作要求进行信息关联、签章、加密和上传后,确保上传的文件的附件状态都是验签完成。点击验签确认,当前状态是“已确认”,并且下方出现“撤标”按键,才视为成功提交投标文件。其它状态都是投标不成功,请投标人密切关注!如在投标截止时间前未能成功上传投标文件,投标将被拒绝。(为避免投标人在投标文件递交截止时间前未能成功上传投标文件,建议投标人提前2日递交投标文件)具体操作流程参见“操作指南-投标人操作手册”。
5.2逾期上传的投标文件,中国石油电子招标投标交易平台将予以拒收。
5.3 潜在投标人应在投标截止时间前须按项目提交投标保证金,每项目 2万元。
t本次招标公告在中国石油招标投标网(http://www.cnpcbidding.com)上发布。
7. 联系方式
招标人:中国石油集团川庆钻探工程有限公司钻采工程技术研究院 | 招标机构:中国石油物资有限公司西南分公司 |
地址: | 地址:四川省成都市青羊区小关庙街6号 |
邮 编: | 邮 编:****** |
联系人:鲍先生 | 联系人:尚先生 |
电话:0838-******* 传 真: | 电话:028-682***** 传 真:/ |
电子邮件: | 电子邮件: |
网址: | 网址:/ |
开户银行: | 开户银行:/ |
账号: | 账号:/ |
财务咨询:杨女士 | |
电 话:028-******** |
网站注册、U-Key办理、招标管理平台(购买招标文件及投标保证金递交)及电子交易平台操作指导:
咨询电话:**********
交易平台运营机构:中油物采信息技术有限公司
能源一号网站邮箱:energyahead@cnpc.com.cn
请务必在操作前认真阅读操作手册,如有疑问再在工作时间咨询。
中国石油物资有限公司西南分公司
(中国石油天然气集团有限公司招标中心西南分中心)
2023年10月20日
|
招标
|
中国石油物资有限公司西南分公司 关注我们可获得更多采购需求 |
关注 |
最近搜索
无
热门搜索
无
