详情见附件
(注：以下内容为附件图片识别，个别文字可能不准确，请以附件为准)

龙岩烟草工业有限责任公司信息系统安全检测评估服务-2025年等项目询价函
(招标编号：)
项目所在地区：福建省，龙岩市
一、招标条件
本龙岩烟草工业有限责任公司信息系统安全检测评估服务
2025年等项目已由项目审批/核准/备案机关批准，项目资金来源为国有资金0万
元，招标人为龙岩烟草工业有限责任公司。本项目已具备招标条件，现招标方
式为公开招标，特邀请有兴趣的潜在投标人提出资格预审申请。
二、项目概况和招标范围
规模：详见公告
范围：本招标项目划分为1个标段，本次招标为其中的：
(O01)龙岩烟草工业有限责任公司信息系统安全检测评估服务
2025年等项目：
三、投标人资格要求
(001龙岩烟草工业有限责任公司信息系统安全检测评估服务
2025年等项目)的投标人资格能力要求：/：
本项目不允许联合体投标。
四、资格预审文件的获取
获取时间：从2024年11月08日00时00分到2024年11月15日17时29分
获取方式：附件可下载
五、资格预审申请文件的递交
递交截止时间：2024年11月15日17时30分
递交方式：请各报价供应商按照附件一、附件二、附件三所列内容，进行
投入估算、报价（本询价函并非采购邀约，报价仅供参考），并将报价文件（附件
一、附件二)加盖报价供应商公章后，于2024年11月15日17：30前扫描并发送邮
件至我可联系人电子邮箱。请各报价供应商按照附件一、附件二、附件三所列
内容，进行投入估算、报价（本询价函并非采购道约，报价仅供参考），并将报
价文件（附件一、附件二）加盖报价供应商公章后，于2024年11月15日17：30前扫
描并发送邮件至我司联系人电子邮箱。
六、资格预审开始时间及地点
资格预审开始时间：
资格预审地点：
评审办法：
七、其他
详见附件
八、监督部门
本招标项目的监督部门为福建中烟工业有限责任公司龙烟审计派驻办
九、联系方式
招标人：龙岩烟草工业有限责任公司
地址：福建省龙岩市新罗区乘风路1299号
联系人：吴洪亮
电话：0597-2776583
电子邮件：wh122333 fjtic.cn
招标代理机构：福建瑞晟建设工程造价咨询有限公司
地址：
福建省龙岩市新罗区西陂街道华莲社区龙岩大道中276号A幢2102、2105室（龙
工大厦)
联系人：吴若凡
电话：0597-2332901
电子邮件：5309434958qq.c0m
招标人或其招标代理机构主要负责人（项目负青人）：适如
招标人或其招标代理机构：
询价函
各报价供应商：
我司进行信息系统安全检测评估服务-2025年等项且（询价编号：
1y20242S的询价工作，请各报价供应商按照附件一、附件二、附件三所列
内容，进行投入估算、报价（本询价函并非采购邀约，报价仅供参考），
并将报价文件（附件一、附件二）加盖报价供应商公章后，于2024年11月
15日17：30前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与
顺祝商祺」
附件一：报价函
附件二：详细报价函
附件三：服务内容及要求
询价单位：龙岩烟草工业有限责任公司
联系人：吴洪亮
电话：0597-2776583
电子邮箱：wh122333@Dfitic..cm
联系地址：福建省龙岩市新罗区乘风路1299号
日期：2024年11月8日
19
附件一：
报价函
项目名称：信息系统安全检测评估服务-2025年等
询价编号：1y202425
我搭但不限务致·珠风状气
配合生施费用
。服务以及为
说明
公司指健叶投资管理有限公司，金叶公司指福建省龙岩金叶复
烤有限责任公司，金公司指福建金阀再造阳叶发展有限公司。下同。
3。本淘给两逢要的激的
4,招标代理服务费55007000元由供应商支付，需考虑到成本中。
5、报价人须具备国内注质的独立法人资格，提供合格的企业法人营业执照副本复
印件：
项目名称
品目号
昌名
项目内容
服务地点
，元
息系统安全检
龙细公司自
测评估服务
系统安全检测龙岩市新罗区
2025年
评估服务
信息系统安全检厦纲公可信息
2
测评估服务
系统安全检测厦门市海沧区
2025年
信息系统安全检
信系统安全枪叶公同信见
测评估务
-2025年
系统安全检海沧区伊见彩件
信息系统安全检金阀公司信息
5
测评估服务
基统安全检慰福州声罗源
-2025年
平估服务
报价有效期
至2050630
发票税奉及种类
多增植税专用发票
系人
报价供应商信息
电话：
电子郎箱：
报价日期：
2/9
(
米窝
-
()
米
太-
S10
。
(
附件三：服务内容及要求
1、项目人员配置要求
(1)项目经理须具备PWP证书，以及CISP、CISSP、CISA、Security+,IS027001A
五种证书之一，且具有实施过三个或以上安全服务项目经验。
(2)项目实能人员数量：至少5名（不含项目经理），品目号1、2、3、4、5共5
个项目，每个项目至少有1名不同实施人员对接。项目所有实施人员须具备至少3年以
上工作经验。
(3)实施人员现场服务时间要求：中标人须为实际采购人提供现场服务，直至所
有服务内容完成（含文档确认），并经双方确认完毕后，方可离开现场。
2、服务内容及具体要求
2.1新系统上线前安全评估服务：中标人应根据实际采购人要求，在实际采购人新
业务或斯系统上线前，根据系统事先定义的等级保护要求以及烟草行业安全基线要求，
进行全面的安全检查，对发现的问题提供加固建议并协助整改，对整改后的系统进行复
测，提供系统上线安全评估报告。具体服务的内容及要求包括但不限于：
(1)差距分析服务。中标人应根据等保20和烟草行业安全基线要求，进行差距
分析，形成差距分析报告，并提供加周建议及协助整改。
(2)漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进
行漏洞扫描，包括但不限于主机操作系统、数据库、中间件及网络服务应用，形成漏洞
扫描报告，对扫描结果进行分析，并提供加固建议及协助整改。
(3)基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查，包括
但不限于主机操作系统、数据库、中间件及网络服务应用，形成基线核查报告，并提供
加固建议及协助整改。
(4)渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试，形成
渗透测试报告，并提供加周建议及协助整改。
(5)提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上
限公
所有内容的上线前安全评估报告，附上结果判定的过程证明材料，并提供残余问题处置
建议。
2.2代码审计服务：中标人应根据实际采购人要求，对实际采购人指定信息系统的
所有源代码进行检查，查明威胁点并加以验证，对发现的问题提供加国建议并协助整改，
鹤
对整改后的系统进行复测，提供源代码审计报告，并协助实际采购人完善代码安全开发
规范。具体服务的内容及要求包括但不限于：
5/9
(1)中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解
的安全服务人员，对实际采购人指定的系统的源代码和软件架构的安全性、可靠性进行
全面的安全检查。
(2)中标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务，
具体服务形式由实际采购人指定。其中整体源代码审计是指源代码审计服务人员对被审
计系统的所有源代码进行整体的安全审计，代码覆盖率为10%，整体源代码审计采用源
代码扫描和人工分析确认相结合的方式进行分析，发现源代码存在的安全漏洞。功能点
人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计，发现功
能点存在的代码安全问题，
(3)中标人的代码审计服务应至少包括三个阶段，即源代码审计前期准备、源代
码审计实施以及现场复查实施阶段。
(4)在审计工作完成后5个工作日内，中标入出具源代码审计报告。报告应根据
审计结果针对源代码中的每个安全弱点进行详细描述，描述内容至少包括安全蜀点所在
的代码页名、代码行数、句题代码片段以及弱点使导致的安全问型等。除此之外，中
标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议，为实际采购人的安
全运维和问题修复工作提供参考。
23风险评估服务：中标人应根据《信息安全技术信息安全风险评估规范)、《信
息安全技术一信息安全风险评估实施指南)及实际采胸人其他要求，提供全面风险评估
服务，每次涉及信息系统总数不超过0个，具体核查范围由实际采购人指定。中标人
应对发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供风险评估报
告。具体服务的内容及要求包括但不限于：
(1)中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、
漏洞扫描、渗透测试、基线核查、人工检查等多种方式，对实际采测人的整体安全风险
进行全面、彻底评估。
(2)中标人应根据实际采购人的风险处置要求，协助实际采购人及时下发风险通
知书，并跟踪问题整改情况，进一步降低实际采购人的网络安全风险隐患。
(3)中标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产
清单表、胞弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。
2.4个人信息安全评估服务：中标人应根据《信息安全技术个人信息安全规范》
《信息安全技术个人信息安全影响评估指南》及实际采购人其他要求，提供信息系统
个人信息安全影响评估服务，具体核查范围由实际采购人指定。中标人应对发现的问题
堤供加固建议并协助整改，对整改后的系统进行复测，提供个人影响安全影响评估报告
报告。且体服务的内容及要求包括但不限于，：
(1)中标人应通过安全访谈、管理制度评估、技术性测试等多种方式，对实际采
购人的应用系统涉及个人信息的使用场景开展个人权益影响分析、安全事件可能性分析
风险等级判定等工作，全面了解系统个人信息安全风险，保障个人信息安全
(2)中标人应根据实际采购人的风险处置要求跟踪问整改情况，进一步降低实
际采购人的个人信息安全风险隐患。
(3)中标人的个人信息安全影响浮估服务交付物应包括但不限于《龙烟公司个人
信息及个人敏感信息举例识别表》、《个人信息安全规范检查记录》、《个人信息处理
活动映射关系表》、《个人权益影响分析表》、《个人信息安全事件可能性分析表》
(综合风险分析及整改评估措施》、《个人信息安全影响评估报告》等。
2.5健康检查服务：中标人应对实际采购人指定的范围（包括但不限于网络设备、
安全设备、主机操作系统、数据库、中间件及网络服务应用)进行全面的混洞扫描，对
实际采购人指定的系统或网站进行渗透测试服务，对风险控制策略进行有效审核，根据
发现的问题提供加固建议并协助整改，对整改后的系统进行复测，提供漏潮扫描报告和
渗透测试报告。
2.6网站安全监测服务：中标人应根据实际采购人要求，通过网站检测云平台对实
际采购人所有外部网站进行724小时监测。监测时间未超过15天（含15天）按半个
月计算，超过15天按一个月计算。中标人应根据实际采购人要求，在实际采购人发生
紧急安全事件5分钟以内以电话，短信和邮件等形式对实际采购人指定联系人进行通告，
如实际采购人的网站被挂马、网页被幕改及其它无法访问等情况。具体服务的内容及要
求包括但不限于：
(1)中标人提供的网站监测内容包括但不限于隐品性检测（如远程和扫等）、完整
性检测（如远程网页木马、敏感内容、网页慕改监测等）、可用性检测（如网页测速、1SP
服务监测等)及认证性检测（如远程钓鱼网站监测）。
(2)中标人为实际采购人提供的网站监测服务交付物应包括但不限于《网站安全
监测周报》《网站安全监测月报》等。
2.7应急前应服务：
(1)中标人应根据实际采购人要求，提供重要时期以及攻防演习期间的网络安全
保障工作支持服务，必要时派人提供7×24小时驻场服务。攻防演习前根据实际采购人
安排，对实际采购人的互联网资产（如网站、P、敏感信息等）进行测绘和模拟攻击，
根据发现的问愿提供加阁建议并协助整改，对整改后的问题进行复测，提供攻击测试报
告。
9/9
(2)当实际采购人业务网络或系统出现安全事件时，中标人需提供安全应急专家
进行7×24小时的现场安全应急响应工作，协助实际采购人的安全人员及时发现问题，
恢复系统，追查来源，保留证据。在接到实际采购人安全事件通知后，须在30分钟内
提供解决方案，并经实际采购人同意。对于可以远程解决的事件，必须在30分钟内指
派专业工程师对接，对于必须到达现场解决的事件，若事件发生地在厦门的4小时内到
达现场，事件发生地在福建省内厦门以外地区的6小时内到达现场。到达现场后24小
时内解决事件，恢复网络与信息系统。在网络与信息系统恢复正常后，应在一周之内向
实际采购人提供完整的安全事件分析处理报告。
2.8安全知识普及培训服务：中标人应根据实际采购人要求，到福建省内实际采购
人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会
工程学或网络安全法律法规等相关现场培训，每次培训0.5天。
29安全实践培训服务：中标人应根据实际采购人要求，到福建省内实际采购人指
定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训，
每次2天。
2.10专业认证培训服务：中标人应根据实际采购人要求，提供包括但不限于CISS即
CISP、CISA、CCSP、CCIE Security、IS02700I、T0GAF9.2、COBIT、CISP-PTE或CTSP-DSG
的培训及认证考试。具体培训及认证内容和培训时间由实际采购人安排。
2.11续证服务：中标人应根据实际采购人要求，提供包括但不限于CISP证书续证
服务。
2.12等保工作服务：中标人应根据实际采购人要求，配合信息系统等保定级、备案、
测评等相关工作，包括但不限于定级咨询、定级专家道请、配合安全相关文档编写、协
助备案、安全设备及防护措施检查、安全问题整改等事宜。
2.13配置备份服务：中标人应根据实际采购人婴求，每月协助送行一次安全设备特
征库、病毒特征库、国件的升级及安全设备的配置备份。具体范国由实际采购人指定。
2.14事件处置服务：中标人应每月协助实际采购人对日常巡检、日志分析及其它米
源发现的安全事件进行记录并跟踪处置。协助编写整改通知书，对于无法处理的事件，
给出整改建议。具体范围由实际采购人指定。
2.15应急演练服务：中标人应每季度协助实际采购人制定演练计划，开展应急演练，
完成演练总结。
3、配套文持服务及要求
中标人应根据实际采购人要求，免费配合策划网络安全宜传周活动方案，是供网络
安全宜传周活动素材，提供网络安全专题专栏素材：提供网络安全应急演练方案与环境
8/9
(如钓鱼攻击演练)等：配合上级单位、公安等外部检查单位的安全检查工作：根据实
际采购人要求，提交周报、月报、季报、半年报、年报，每项服务完成后5个工作日内
提供相关服务报告，每半年装订一次安全服务工作资料。
/
919
联系人：郝工
电话：010-68960698
邮箱：1049263697@qq.com