苏州市创杰招投标咨询服务有限公司受苏州数政安全技术有限公司之委托，对其采购的社保中心2024年网络安全服务项目进行询价采购，欢迎合格的供应商前来参加。

一、 项目说明：

（一） 项目名称：社保中心2024年网络安全服务项目

（二） 采购预算：人民币玖万元整（￥：*****.00）

（三） 合格询价响应供应商的条件：

1、具有独立承担民事责任的能力；

2、具有良好的商业信誉和健全的财务会计制度；

3、具有履行合同所必需的设备和专业技术能力；

4、有依法缴纳税收和社会保障资金的良好记录；

5、参加采购活动前三年内，在经营活动中没有重大违法记录；

6、法律、行政法规规定的其他条件。

二、采购要求：

（一）项目背景

网络安全是数字化发展中不可或缺的重要内容。“建设网络强国、数字中国、智慧社会”，推动数字政府建设，是党中央、国务院基于我国信息化和新型城镇化发展现状做出的重大决策。而数字政府大力发展的同时离不开网络安全，然而，越来越复杂的信息系统及大量云计算、物联网、移动网络、大数据等新兴技术的应用，给数字政府网络安全带来了巨大挑战。由于数字政府存在大量涉及国家安全、经济发展和社会公共利益的重要数据，一旦出现网络安全问题，就可能出现极其严重的后果。

已颁布实施的《网络安全法》明确要求网络运营者应当按照网络安全等级保护制度的要求，履行安全保护义务，保障网络免受干扰、破坏或者未经授权的访问，防止网络数据泄露或者被窃取、篡改，并提出了具体要求。《数据安全法》要求开展数据处理活动应当依照法律、法规的规定，建立健全全流程数据安全管理制度，组织开展数据安全教育培训，采取相应的技术措施和其他必要措施，保障数据安全。利用互联网等信息网络开展数据处理活动，应当在网络安全等级保护制度的基础上，履行上述数据安全保护义务。

（二）目的

通过安全服务梳理重点业务系统安全现状，发现苏州市社会保险基金管理中心（以下简称“苏州市社保中心”）业务系统架构方面的缺陷、常见网站安全漏洞、应用层业务流程和逻辑上的安全漏洞和敏感信息泄露的风险，掌握业务系统安全现状，为做好业务系统的安全加固和维护工作做好基础准备，便于后续进行系统修复和安全加固，制定相应的安全应急措施。

从而促进苏州市社保中心未来的信息安全规划，构建动态、完整、高效的信息安全保障体系，逐步形成持续完善、自我优化的安全运维体系和管理体系，从根本上提高苏州市社保中心信息系统的整体安全能力，为保证业务的健康发展和提升核心竞争力提供坚实的基础保障。

（三）项目工作内容

1、风险评估服务

按照风险评估标准，基于多角度、多纬度采用系统检查和人工访谈方式对苏州市社会保险基金管理中心重要业务系统的威胁和脆弱性进行评估，结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。

（1）服务内容

针对重要信息系统，风险评估的主要内容包括：基于评估标准，建立相应的评估模型，利用已有的评估技术和评估方法，针对信息系统展开全方位的评估工作，确保风险分析的内容与范围应该覆盖信息系统的整个体系，将系统资产的3个重要方面（机密性、可用性和完整性）作为目标，并从风险范围、风险程度和风险概率3个角度对系统的威胁和脆弱性进行识别，制定出风险控制措施。

按照国际风险评估信息安全要素提取惯例和标准，调查分析用户的已有策略，从管理、制度、落实情况、物理信息安全、人员信息安全、第三方信息安全等各方面来评估分析。调查业务流程，并对信息资产进行赋值和等级划分；结合工具扫描、人工评估对系统、网络、数据库以及管理制度进行信息安全性评估，并根据评估结果提供评估报告，并根据风险结果设计有针对性的安全整改计划。

（2）工具扫描分析

针对主机、网络设备、数据库、应用系统等使用漏洞扫描工具进行脆弱性评估，得出网络系统中存在的信息安全隐患和漏洞，同时根据网络实际情况提出信息安全建议。

（3）人工评估分析

人工检查网络中主机、网络设备、应用系统、数据库等的配置以及相关机制进行评估，挖掘网络系统的脆弱性。

包括以下内容：

信息安全配置检查

系统管理和维护的正常配置，合理配置，及优化配置。例如系统目录权限，账号管理策略，文件系统配置，进程通信管理等。

信息安全机制检查

信息安全机制的使用和正常配置，合理配置，及优化配置。例如日志及审计、备份不恢复，签名不校验，加密不通信，特殊授权及访问控制等。

数据库配置检查

数据库文件和口令设置等。

2、渗透测试服务

（1） 服务内容

渗透测试模拟黑客行为对目标对象进行入侵，目的是发现目标对象的管理与技术弱点以及这些弱点被成功利用的可能。通过远程或本地方式对信息系统进行非破坏性的入侵测试。主要开展网络安全渗透、网站安全渗透、业务应用系统安全渗透以及对现有系统、网络、终端的逻辑和物理控制措施进行安全测试。找出安全漏洞所在，提高应用系统的安全性。

（2） 渗透测试流程

1) 方案制定

服务单位应将实施范围、方法、时间、人员等具体的方案与苏州市社会保险基金管理中心交流沟通，并得到获取到苏州市社会保险基金管理中心授权许可后，才可以进行渗透测试的实施。

在测试实施之前，做到让苏州市社会保险基金管理中心对渗透测试过程和风险的知晓，使随后的正式测试流程都在甲方可控制范围内。

2) 信息收集

这包括：业务系统名称、URL、账号和密码；检测工具（NESSUS、Nmap、AcunetixWVS、BurpSuite、SQLMAP等）进行收集。

3) 测试实施

操作系统可检测到的漏洞测试、应用系统检测到的漏洞测试（如：Web应用），此阶段如果成功的话，可能获得普通权限。

渗透测试人员可能用到的测试手段有：扫描分析、溢出测试、口令爆破、社会工程学、客户端攻击、中间人攻击等，用于测试人员顺利完成工程。在获取到普通权限后，尝试由普通权限提升为管理员权限，获得对系统的完全控制权。一旦成功控制一台或多台服务器后，测试人员将利用这些被控制的服务器作为跳板，绕过防火墙或其他安全设备的防护，从而对内网其他服务器和客户端进行进一步的渗透。此过程将循环进行，直到测试完成。最后由渗透测试人员清除中间数据。

4) 报告输出

渗透测试人员根据测试的过程结果编写直观的渗透测试服务报告。内容包括：具体的操作步骤描述；响应分析以及最后的安全修复建议。

渗透测试应站在实战角度对业务系统进行的安全评估，可以让开发公司、用户相关人员直观的了解到自己网络、系统、应用中隐含的漏洞和危害发生时可能导致的损失。

3、应急响应服务

安全事件是指网络或系统中的计算机或网络设备系统的硬件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄漏造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患。按照事件严重程度分为紧急和一般两种。紧急事件指设备/系统发生的故障或异常严重影响单位业务正常运行，一般故障指设备/系统发生的故障或异常暂不影响（或只是局部影响）业务正常运行。

如发生以下情况，可定义为安全事件：

l 非授权访问，通过入侵的方式进入到未被授权访问的网络中，而导致数据信息泄漏；

l 信息泄密，数据在传输中因数据被截取、篡改、分析等而造成信息的泄漏；

l 拒绝服务，造成不能正常访问服务器提供的相关服务；

l 系统性能严重下降，有不明的进程运行并占用大量的CPU处理时间；

l 在系统日志中发现非法登录者；

l 发现网络大面积爆发计算机病毒感染；

l 发现有人在不断强行尝试登录系统；

l 系统中出现不明的新账号；

l 管理员收到来自其它站点系统管理员的警告信，指出系统可能被威胁；

l 文件的访问权限被修改；

l 因安全漏洞导致的系统问题；

l 其它的入侵行为。

当发生如上安全事件，安全应急团队半小时内远程响应、1小时内赶到现场，分析入侵行为，提供最佳防范方法，将情况控制并将损失缩至最小，同时提供入侵事故过程描述并提交相应的防范报告，使信息网络系统在最短时间内恢复正常工作。

应急响应服务的内容主要有以下几个方面：

l 对重要系统提供7x24小时应急事件处置支撑服务。

l 入侵调查及分析，协助检查和追踪入侵来源

l 消除被破坏的和非法的文件；

l 对系统的安全进行重新评估；

l 消除未来的入侵隐患，提出安全整改建议，提供解决和防范报告并与技术人员共同实施；

l 应急事件应重点包括：病毒、非法入侵、DDOS攻击、网页篡改，在事故发生后应提交相应的调查报告：包括事故原因、过程描述、入侵来源、证据报告、解决方案、安全建议、处理结果等。同时提供相应的网络安全技术支持和咨询。每次事故处理后均作详细记录，记录中应详细描述处理流程。

4、应急演练服务

（1）应急预案编制

应急预案的编制步骤分为启动应急预案编制工作、风险评估、业务影响分析、应急资源和能力评估、编制应急预案、应急预案的评审与修改、应急预案的发布与生效七个步骤。

1）启动应急预案编制工作

各单位应指定各类应急预案编制责任部门，及时启动应急预案编写工作，完成各类应急预案的编写工作。

为了保证应急预案编制工作的效率，编制人员的规模应限定在合理的范围内。应急预案可以由外部机构参与编制，但要以本单位的相关人员为主，参与编制应急预案的外部机构没有决策权。

2）风险评估

l 基础情况调查

针对编写预案的类型和范围应开展充分的调查工作，收集和参阅本单位或其他有关单位的应急预案，确保与其它相关应急预案的协调一致，同时了解本单位现有应急工作机制、组织结构、报告制度等，并对重要业务系统开展深入调查，了解业务系统相关资产、日常运维模式、日常应急处理方式、业务流程等相关内容。

l 风险评估

风险评估是应急预案编制的基础和关键过程，风险评估的结果有助于确定需要重点考虑的应急对象，提供划分应急响应优先级的依据，各单位应基于风险评估的结果确定应急响应工作的重点。

3）业务影响分析

在进行应急预案编写前，应充分了解单位业务系统的整体情况，编写应急预案前，还需要针对编写对象进行专门的业务影响分析，分析业务功能及相关资源配置、确定信息系统的关键资源、确定信息安全事件影响、确定应急响应恢复目标等。

4）应急资源评估

应急资源包括人力资源、物质资源和技术资源。应急资源直接影响到应急行动的有效性和效率，应从人力资源、物质资源和技术资源三个方面对应急资源进行评估，在现有应急资源的基础上编制应急预案。

5）编制应急预案

在完成了调查和风险评估、业务影响分析、并对应急资源进行评估之后，可正式开始编制应急预案，应急预案的编写应符合相关规范的要求；根据应急预案的类别，在编写过程中，要充分向相关领域的专家咨询，并与业务部门、系统运维部门等相关部门业务骨干进行充分讨论，结合实际工作，完成预案的编写。

6）应急预案的评审和修改

确保应急预案的科学性、合理性以及对实际情况的符合性，各级应急办应依据相关信息安全法规标准和其它有关应急预案编制的指南性文件，组织开展预案评审工作。编写部门应根据评审意见对预案进行修改，使其更具实用性和指导性。

7）应急预案的发布与生效

网络与信息安全应急预案经评审通过、批准并发布后，需报备案。

应急预案生效后，应及时组织开展相关工作，包括：预案的宣贯，预案的培训，落实和检查各有关部门的职责和资源准备，组织预案的演练等。

（2）预案培训

应急预案培训的目的是使所有人员了解各自在网络与信息安全应急工作中的职责，明确发生网络与信息安全事件时应采取的行动步骤。培训工作突出针对网络与信息安全应急工作相关管理人员和技术人员的专业培训，根据应急工作组织中不同的角色职责，制定和实施有针对性的管理和技术培训。

定期组织应急预案培训，并认真做好培训效果的反馈和培训计划的更新。对于重要系统的专项应急预案在组织培训的基础上，通过实际的应急响应演练过程，帮助相关人员不断更新应急响应相关的知识和技能，提高各类人员的应急工作熟练程度，提高突发事件发生时应急响应的效率。

（3）应急演练

应急演练是模拟突发网络与信息安全事件，各有关部门和人员按照应急预案中描述的步骤所进行的一系列活动和措施。通告开展应急演练，以检验应急预案的正确性，不断加强人员的安全意识和应急响应的熟练程度。

根据业务特点设计应急演练方案，方案包括丰富、全面的应急演练场景，如包含防病毒、网络、渗透攻击等演练场景。根据演练方案编制演练脚本，搭建演练环境，提供自动化工具用于构建跨站攻击、网页篡改等复杂演练场景，并提供必要的演练设备，演练开始前为具体参与人员提供演练培训。

5、漏洞扫描服务

（1） 服务内容

安全服务人员漏洞扫描系统，结合资产管理掌握的资产情况，以IT资产为核心，将IT资产与风险漏洞相结合，定期对某某局各业务系统开展全面的漏洞安全评估。

安全评估内容包括检查系统存在的弱口令，收集系统不必要开放的账号、服务、端口，形成整体安全风险报告，先于攻击者发现安全问题，在尽可能准确发现IT资产的安全漏洞之余，还将协助进行漏洞修补

安全漏洞扫描服务是进一步加强了“探测与发现”漏洞全面性，同时增强了 “管理漏洞”侧重“修复”的能力，在发现的基础上，对每个漏洞给出详细信息和一些修补建议。

1) 操作系统层漏洞识别

操作系统（包括Windows、AIX和Linux等）的系统补丁、漏洞、病毒等各类异常缺陷。

开放服务，包括但不限于操作系统开放的非必要端口、服务等。

空/弱口令系统帐户检测。

例如：身份认证：通过telnet进行口令猜测。

访问控制：注册表 HKEY_LOCAL_MACHINE 普通用户可写，远程主机允许匿名FTP登录，ftp服务器存在匿名可写目录。

系统漏洞：System V系统Login远程缓冲区溢出漏洞，Microsoft Windows Locator服务远程缓冲区溢出漏洞。

安全配置问题：部分SMB用户存在薄弱口令，试图使用rsh登录进入远程系统。

2) 应用层漏洞识别

应用程序（包括但不限于数据库Oracle、MSSQL，Web服务，如Apache、WebSphere、Tomcat、IIS等，其他SSH、FTP等）缺失补丁或版本漏洞检测。

空弱口令应用帐户检测。

数据库软件：Oracle tnslsnr没有设置口令，Microsoft SQL Server Resolution服务多个安全漏洞。

Web服务器：Apache Mod_SSL/Apache-SSL远程缓冲区溢出漏洞，Microsoft IIS printer ISAPI远程缓冲区溢出，Web服务程序分块编码传输漏洞。

电子邮件系统：Sendmail头处理远程溢出漏洞，Microsoft Windows SMTP服务认证错误漏洞。

防火墙及应用网管系统：防火墙拒绝服务漏洞。

其它网络服务系统：POP3 USER命令远程溢出漏洞，Linux系统远程格式化漏洞。

（2） 服务流程

整个安全漏洞扫描服务的流程分为三个阶段：准备阶段、扫描过程和报告汇报。通过这三个阶段结合安全漏洞扫描内容和实际系统情况，完成安全漏洞扫描服务。

准备阶段：前期技术交流包括相关安全扫描技术、扫描原理、扫描方式及扫描条件进行交流和说明；同时商谈安全漏洞扫描服务的范围，主要是哪些主机，网络设备，应用系统等；并结合实际业务情况需求，确定扫描范围，扫描实施的时间，设备接入点，IP地址的预留，配合人员及其他相关的整体漏扫方案。

扫描过程：依据前期准备阶段的漏扫方案，进行漏洞扫描、漏洞分析和漏洞测试，扫描过程主要是进行范围内的漏洞信息数据收集，为下一步的报告撰写提供依据和数据来源。漏洞扫描，主要采用漏洞扫描工具进行范围内的安全扫描。漏洞分析，主要是对扫描结果进行分析，安全工程师会结合扫描结果和实际系统状况，进行安全分析。漏洞验证，对部分需要人工确定和安全分析的漏洞，进行手工测试，以确定其准确性和风险性。

报告与汇报：主要对现场进行扫描后的数据进行安全分析，安全工程师对漏洞扫描工具输出的报告，漏洞分析结果及漏洞测试具体情况进行综合梳理，分析，总结。最后给出符合需求单位实际情况的安全需求的安全建议。

（3） 服务注意事项及措施

漏洞扫描是一项风险比较高的测试活动，扫描不当可能导致被扫描目标发生服务性能下降、影响其可用性。漏洞扫描还会尝试部分漏洞或者配置的脆弱性验证，可能会与原有的管理发生冲突，在扫描方案确定前应与需求部门进行沟通和交流，以此降低风险。扫描实施的时间选择，应避免业务高峰期和重要时期内。

6、加固咨询服务

加固咨询服务的目标是解决在安全评估中发现的技术性安全问题，所有的被评估对象应不再存在高风险漏洞。同时，在此过程中注意避免影响修补加固对象原有的功能和性能（若可能存在，必须事先指出，并进行周密的计划和布置规避相应的风险）。

加固咨询服务内容是根据专业安全检测结果，协助制定相应的系统加固方案，针对不同目标系统，通过协助修改安全配置、增加安全机制等方法，合理进行安全性加强。

安全加固首先要让加固对象满足安全基线要求，并采用优化配置、调整安全策略、安装安全软件等方式进行，在尽量不影响修补加固对象原有功能和性能的基础上，解决在安全评估中发现的安全问题，修补其中存在的漏洞。

安全加固过程中，应不仅仅局限于单独的加固对象，对象所处的环境，包括其他安全设备的安全防护（比如入侵检测系统、防火墙等）、网络结构等，都属于需要考虑的范围。在安全咨询服务实施期间，应对加固对象存在的问题提出积极的建议，并指导进行安全加固服务。

7、基线核查服务

基线核查服务就是针对漏洞扫描工具不能有效发现的方面（网络设备的安全策略弱点和部分主机的安全配置错误等）进行安全辅助的一种有效评估手段。除已知、未知的漏洞外，安全配置的弱点或配置上的缺陷也同样会被攻击者利用，因此，有必要对组织范围内的系统和设备进行基线核查。

基线核查的服务内容主要集中在设备的账号管理、口令管理、认证授权、日志配置、进程服务、外部端口等几个方面，覆盖了与安全问题相关的各个层面。

基线核查服务的针对不同系统的具体检查内容如下：

1) 网络设备基线核查内容

网络设备基线核查包含但不限于以下内容：

l 帐号和口令管理

l 认证和授权策略

l 网络与服务

l 访问控制策略

l 通讯协议、路由协议

l 日志审核策略

l 加密管理

l 设备其他安全配置

2) 主机操作系统检查内容

主机操作系统基线核查包含但不限于以下内容：

l 系统漏洞补丁管理

l 帐号和口令管理

l 认证、授权策略

l 网络与服务、进程和启动

l 文件系统权限

l 访问控制

l 通讯协议

l 日志审核功能

l 剩余信息保护

l 其他安全配置

3) 数据库检查内容

数据库基线核查包含但不限于以下内容：

l 帐号和口令管理

l 认证、授权策略

l 访问控制

l 通讯协议

l 日志审核功能

l 其他安全配置

4) 中间件及常见网络服务检查内容

中间件及常见网络服务基线核查包含但不限于以下内容：

l 帐号和口令管理

l 认证、授权策略

l 通讯协议

l 日志审核功能

（四）产出物说明

序号	工作内容	服务频率	工作产出	产出物数量
1	风险评估服务	1年1次	《风险评估报告》	1份
2	渗透测试服务	1年2次	《渗透测试报告》	2份
3	应急响应服务	按需	《安全事件应急处置报告》	按需
4	应急演练服务	1年1次	《网络安全应急预案》 《网络安全应急演练报告》	1份
5	漏洞扫描服务	1年4次	《漏洞扫描报告》	4份
6	加固咨询服务	1年4次	《加固咨询报告》	4份
7	基线核查服务	1年2次	《基线核查报告》	2份

（五）服务人员要求

为能保证在规定时间内完成项目建设，供应商必须提供稳定的专业化的技术支持服务队伍，完善的技术支持服务体系。

具体人员要求如下：

项目经理（1人）：具备相关行业工作经验，负责日常管理、工作安排，安全托管文档材料审核和归档，向苏州市社会保险基金管理中心汇报工作，各项资源调配，投诉管理工作。

项目组人员（3人）：具备相关信息安全经验，熟悉主流网络和安全设备，负责项目安全的调研、规范编制及现场日常的安全巡检、安全测试、应急响应等工作，专业能够涵盖网络安全、应用安全等专业。如果应急事件发生，则人员响应要求在1小时内进行安全事件的响应和处理，且工作时间将不仅限于正常工作时间，将根据事件处理要求进行响应

（六）服务期限和服务地点

1.服务期限：合同签订后一年。

2.服务地点：采购人指定地点。

（七）责任考核

对成交单位进行考核（百分制），考核周期为三个月一次，考核标准如下表。在服务期内，如连续两次考核不达标（得分低于60）或超过三次（不连续）考核不达标，采购单位有权终止合同。

（八）项目安全

成交单位在项目服务期间应制定项目安全实施管理措施，并严格遵守安全管理要求，成交单位在项目服务过程中因管理不当、维护措施不当等因素或不按安全管理要求，造成人员安全或财产损失事故的，其责任均由成交单位承担，采购单位不承担责任。

（九）项目保密要求

1、成交单位及其工作人员需遵守采购单位的保密规定，不以任何形式将收集的所有资料、数据等进行泄漏、传播；

2、项目服务人员需签署相关保密协议，承担工作中接触相关内容的保密义务；

3、项目成果最终所有权属采购单位，在项目完成时成交单位必须全部移交；

4、成交单位须维护项目服务成果，不得转让给第三方重复使用；

5、以上保密规定如有违反，采购单位有权追究成交单位相关法律责任。

三、响应报价文件组成及其他说明：

（一）询价响应文件的制作要求：

1、询价响应文件组成 ：

（1）企业营业执照副本、税务登记证副本复印件或三证合一营业执照副本复印件

（2）响应单位法定代表人（或负责人）身份证复印件、法定代表人（或负责人）授权委托书和委托代理人身份证复印件（如为授权）

（3）响应报价表

（4）服务偏离表

（5）询价响应函

（6）项目实施方案

（7）响应单位资格承诺书及相关证明资料

注：以上资料若不能如实提供或提供不完整的视为无效投标。

2、文件的签署和密封要求：

（1）按上述要求制作询价响应文件叁份（一正两副），并须装订成册；响应文件封面明确标明“正本”和“副本”，正本和副本如有不一致之处，以正本为准；

（2）询价响应文件均应采用打印或使用不能擦去的黑色或蓝色墨水书写，由响应单位法定代表人或其授权代表在询价文件要求处亲自签署或盖章，并在询价响应文件的每一页上加盖公章，未加盖公章的页视为无效页。

（3）询价响应文件须装袋密封，封口处须加盖单位公章，密封袋及响应文件封面上应注明采购项目名称、询价采购编号、询价响应单位名称、地址、联系人、联系电话等。

3、采购单位有权拒绝未按上述要求制作的询价响应文件。

（二）询价响应文件错误的修正原则

1、响应文件的大写金额与小写金额不一致的，以大写金额为准。总价金额与按单价汇总金额不一致的，以单价金额计算结果为准；单价金额小数点有明细错位的，应以总价为准，并修改单价；

2、对不同文字文本投标文件的解释发生异议的，以中文文本为准。

3、供应商不同意以上修正的，其询价响应文件将被拒绝。

（三）询价响应文件的补充、修改和撤回

供应商在提交询价响应文件截止时间前，可以对所提交的响应文件进行补充、修改或者撤回，并书面通知采购代理机构。补充、修改的内容作为响应文件的组成部分。补充、修改的内容与响应文件不一致的，以补充、修改的内容为准。

（四）询价响应文件的澄清、说明和更正

询价小组在对响应文件的有效性、完整性和响应程度进行审查时，可以要求供应商对响应文件中含义不明确、同类问题表述不一致或者有明显文字和计算错误的内容等作出必要的澄清、说明或者更正。供应商的澄清、说明或者更正不得超出响应文件的范围或者改变响应文件的实质性内容。

询价小组要求供应商澄清、说明或者更正响应文件应当以书面形式作出。供应商的澄清、说明或者更正应当由法定代表人或其授权代表签字或者加盖公章。由授权代表签字的，应当附法定代表人授权书。供应商为自然人的，应当由本人签字并附身份证明。

为保证在评审小组要求供应商解释或者澄清其响应文件时能够及时得到回复，在评审开始前，供应商法定代表人或授权代理人可到评审现场等候。供应商的澄清、说明或者更正应在评审小组向其提出澄清、说明或者更正要求后三十分钟内提交给评审小组。在评审期间、供应商应注意调整其行程安排，如响应供应商未到场，则视为供应商放弃上述权利，相关后果自负。

（五）递交响应询价文件及确定成交供应商日期和地点：

1、本次询价通知书的响应截止时间为2024年10月28日16：00前。响应单位应在截止时间前将询价响应文件密封，并在文件封面注明投标编号，并在文件封口处加盖单位公章后送达苏州市干将西路399号银海大厦303室创杰公司 联系人：潘莉莉 顾凡键 联系电话：0512-********，未按询价采购文件要求制作的询价响应文件或过时送达的询价响应文件，一律为无效投标。

2、2024年10月29日10：00在苏州市干将西路399号银海大厦302室创杰公司确定成交供应商。成交供应商收到成交通知书后，应在十五日内签订合同。

四、报价说明：

1、响应单位需根据本询价采购文件要求制作响应文件。本次报出的价格一次性报定不得更改，响应单位报价包括完成全部服务所需的人工费、材料费、通讯费、交通费、资料费、政策性文件规定及合同包含的所有风险、责任等各项应有费用。不论响应单位是否列出相关费用明细，招标人均可以认为响应单位已在总价中包含了全部费用。

2、响应单位应对所要采购的全部内容进行报价，只报其中部分内容的，为无效报价。

五、综合说明及其他：

1、响应单位所提供的服务能够至少达到以上要求。

2、响应单位必须承诺采购文件中提出的全部要求，如果其中某些条款不响应时，应在文件中逐条列出，未列出的视同响应。

3、若响应单位在服务管理期间发生下列行为之一的，采购人可解除服务合同，并不再支付合同费用：

（1）将服务转包他人；

（2）无法有效开展服务的其它行为。

4、服务履约期间采购方有权按照考核标准对该采购项目服务进行检查考核。

5、成交单位对服务缺陷不予更正，招标人有权另请其他单位更正，所发生的费用在合同价款中扣除。

6、响应单位应对所投项目的全部服务内容进行报价，只投其中部分内容者，其投标文件将被拒绝。响应单位对服务缺陷不予更正，采购方有权另请其他单位更正，所发生的费用由成交单位承担。

7、参照相关法规的规定，招标采购单位将对供应商进行信用查询，凡经确认不符合相关法律法规规定的，将拒绝其参与采购活动。

8、成交服务费：成交单位按照预算金额计算并支付，具体为100万元以内1.5%、100万元～500万元以内1.1%差额定率累进法的60%计算并支付成交服务费，不足叁仟元的按3000元计算，该费用应在领取成交通知书时付清。

六、付款步骤：

本合同分三期进行付款：

1.合同签订后1月内，乙方服务人员入场并提交项目实施方案。项目实施方案经双方认可后，乙方开具发票（发票金额为合同总金额的20%），甲方支付合同总金额的20%。

2.合同签订后6个月，甲方根据阶段性考核结果支付服务款，支付金额不超过合同总金额的50%：

3.服务期满后，甲方根据考核验收结果，支付剩余款项：

（1）若考核完全达标（当期责任考核得分不少于90分），甲方支付给乙方结余服务费比例的100%；

（2）若考核基本达标（当期责任考核得分不少于70分），甲方支付给乙方结余服务费比例的80%；

（3）若考核不达标（当期责任考核得分低于70分），结余服务费将不予支付，并终止服务合同。

七、评审办法：

1、采购人授权询价小组根据质量和服务均能满足采购文件实质性响应要求且报价最低的原则确定成交供应商。

2、若满足上述原则的最低报价响应供应商超过一家时，则由采购单位以抽签的方式决定成交供应商。

八、项目的终止：

出现下列情形之一的，将终止询价采购活动：

1、因情况变化，不再符合规定的询价采购方式适用情形的；

2、出现影响采购公正的违法、违规行为的；

3、在采购过程中符合竞争要求的供应商或者报价未超过采购预算的供应商不足3家的。

九、合同生效：

1、合同经招标代理机构盖骑缝章，甲乙双方代表签字或盖章、加盖公章（或合同章）后生效。

2、合同签订生效后甲乙双方即直接产生权利与义务的关系，合同执行过程中出现的问题应按照《中华人民共和国民法典》的规定办理。在合同履行过程中，双方如有争议，任何一方均可要求招标代理机构进行调解，调解不成，则任何一方均可向需方所在地人民法院提起诉讼。

3、合同在执行过程中出现的未尽事宜，双方应在不违背本合同和甲方采购目的的原则下协商解决，协商结果以书面形式盖章记录在案，并提交招标代理机构一份备存，作为本合同的附件，与本合同具有同等的法律效力。

4、合同一式叁份，甲乙双方各执一份，招标代理机构执一份。

十、其他

1、响应单位在询价响应文件中必须对所有采购产品的技术、服务做出应答，如果有其中某些条款不响应时，须在响应文件中明确列出，未列出的视同响应（且如成交后发现不符合采购要求的，则视为虚假响应，按虚假响应处理）

2、响应单位在投标时提供的资料均应是真实的，若有虚假，由其自行承担一切后果。

3、如响应单位对本通知书有疑义，以书面形式向招标代理机构咨询，一切材料以招标代理机构的书面材料为准。

十一、联系方式：

招标代理机构：苏州市创杰招投标咨询服务有限公司

地 址：苏州市干将西路399号银海大厦303室 邮编：******

联系人：潘莉莉 顾凡键 联系电话：0512-********

采购单位联系人：张文彬 联系电话：189*****991

苏州市创杰招投标咨询服务有限公司

2024年10月22日

附件1：询价响应报价表

询价响应报价表

采购编号：______

序号	名称	总报价（元）	备注
1
2
3
总报价（人民币大写）
服务期限：

报价单位（公章）： 联系人： 联系电话：

法定代表人（或负责人）或代理人（签字或签章）：

日期： 年 月 日

附件2：询价响应函

询价响应函

苏州市创杰招投标咨询服务有限公司 ：

我方收到贵公司 号询价采购通知，经仔细阅读和研究，我方决定参加，并向贵公司承诺：

1、我方愿意按照询价采购通知的一切要求，提供本项目的所有内容，我方的报价包含服务期限内完成该项目服务工作所需的所有费用。

2、如果我方的询价响应文件被接受，我方将严格履行询价采购通知中规定的每一项要求，严格履行合同的责任和义务，保证按期、按质履行合同，完成合同内容所规定的全部工作。

3、我方愿意提供采购方在询价采购通知中要求的所有资料，也同意向贵方提供贵方可能另外要求的与我方响应有关的任何证据或资料。并保证所提供的资料全部是真实的、有效的，若有虚假，我方愿承担一切责任。

4、我们同意按询价响应文件中的规定，本投标书的有效期限为开标后 45天。

5、我方愿意遵守询价采购通知中所列的收费标准。

6、我方承诺该项报价在递交后保持有效，不作任何更改和变动。我方同意成交后若不履行询价采购通知的内容要求和各项承诺及义务的即被视为违约，我方的成交标资格将被取消。

7、我方同意若无法按约定条款履行义务等行为，采购方有权取消我方成交资格。

8、与本次投标有关的通讯地址：

单 位： 联 系 人：

地 址： 邮政编码：

联系电话： 传 真：

响应单位：（单位盖章）

单位法定代表人（或负责人）或授权委托人：（签字或签章）

日期： 年 月 日

附件3：法定代表人授权委托书

法定代表人（或负责人）授权委托书

本授权委托书声明：我 （姓名）系 （响应单位名称）的法定代表人（或负责人），现授权委托___________________________（单位名称）的 （姓名）为我单位代理人，以本单位的名义参加苏州市创杰招投标咨询服务有限公司组织实施的编号为 __________________________号的活动。代理人在询价响应文件的合同询价过程中所签署的一切文件和处理与这有关的一切事务，我均予以承认。

代理人在授权委托书有效期内签署的所有文件不因授权委托的撤销而失效，除非有撤销授权委托的书面通知，本授权委托书自询价响应文件递交开始至合同履行完毕止。

代理人无转委托权。特此委托。

询价响应单位：（公章）

法定代表人（或负责人）：（签字或签章）

委托代理人：（签字或签章）

日期： 年 月 日

附件4：服务偏离表

服务偏离表

序号	服务内容	采购要求	投标要求	偏离/响应	说明

注：1、响应单位应对照采购文件技术要求等要求，所投标的物（服务）与采购文件的规定有偏离的，应在此表中申明与技术要求条文的偏差和例外。

2、未在上表中说明的，如在响应文件其他内容中已有文字说明的，则以已有文字说明为准，否则，将被认为完全响应采购文件的规定。但该表不作为响应单位对所投标的物（服务）关于技术要求等详细描述和说明的替代。

响应单位：（单位盖章）

法定代表人或委托代理人：（签字或盖章）

日期： 年 月 日

附件5：响应单位资格承诺书

响应单位资格承诺书

响应单位：（单位盖章）

法定代表人或委托代理人：（签字或盖章）

日期： 年 月 日

（全文完）