1.1 本项目预算约为人民币689000元。

1.2 采购范围：

一、服务背景：

（一）国家层面、集团层面要求：

工信部先后出台了24号令《电信和互联网用户个人信息保护规定》和《省级基础电信企业网络与信息安全工作考核要点与评分标准》,并将敏感信息泄露纳入考核要点，通过两部委考核，检查运营商客户信息防护，截止2016年多个省公司业务支撑系统被检查出存在前台客户信息未模糊化、URL越权访问等重大业务安全问题。工信部先后出台了24号令《电信和互联网用户个人信息保护规定》和《省级基础电信企业网络与信息安全工作考核要点与评分标准》,并将用户个人信息自查工作以及用户个人信息泄露事件纳入考核要点，并通过两部委考核检查运营商客户信息防护情况。

集团信安中心将组织自有安全专家并联合国家信息安全专控队伍，开展数据安全专项检查，对违规情况进行严肃问责，督促数据安全防控体系有效落地。检查重点包括各省客户信息管理现状、客户信息模糊化情况、客户信息越权访问情况、金库模式安全情况、大数据平台安全等客户信息泄露风险点。并要求各省建立常态化的安全督查检查机制，发现问题及时整改。

通过客户信息安全检测与监控服务工作，采用技术检测手段，及时检测并发现全省公司关键业务系统存在客户信息泄露漏洞和风险，并立即采取有效措施进行修复，提高客户信息保护工作的管理水平，降低客户信息泄露风险。

（二）山西移动客户敏感信息安全管理现状：

山西移动的敏感数据包括客户个人隐私或企业商业价值的信息的数据，主要分布在业务支撑系统部（以下简称业支部）的BOSS系统、CRM系统、经营分析系统、大数据平台及网管WAP、HSS等系统中，涵盖生产、运维及使用等环节。

从数据和类型来看，主要包括用户详单、集团客户资料、帐单详单、技术资料、位置等几类高价值敏感信息。这些数据以文件形式或关系数据表的形式存放于各个系统的众多的主机和数据库中。

从敏感数据访问、使用等角度，主要存在以下几个数据泄露环节：

（1）开发环节，涉及集成商、第三方、运营商开发和测试人员、外围系统人员(包括应用开发环节、数据迁移、应用接口、应用测试等环节)。

（2）运维环节，涉及运营商维护人员、代维厂商(包括主机管理、数据库管理、应用管理、安全管理、存储管理、网络管理等环节)。

（3）使用环节，涉及使用部门以外的业务部门和人员包括客户服务环节（营业厅营业员、客服坐席、跨区服务面向最终用户服务、渠道或代销合作伙伴、合作营业厅的接入，自助服务、网上服务等）、统计数据发布环节（审阅、传递、修改、浏览统计数据）。

针对上述安全隐患，由于缺乏对业务层面的敏感数据泄露漏洞主动检查手段、业务操作流量的全面深入分析及全量数据的生命周期管控，因此仍然存在敏感数据泄露的重大风险和导致数据泄露的重大安全事件发生的可能性，亟需通过安全服务手段加强敏感信息安全防护能力。

二、服务内容：2017年重点从以下五个方面开展服务：

1、敏感数据保护现状梳理：

参照相关安全要求及考核办法并结合山西移动各系统自身特性，从数据安全管理、安全风险控制、技术运营支撑等方面，对各系统的管控要求、管控责任、管控流程进行差距分析，梳理山西移动敏感数据保护现状。

2、敏感信息泄露逻辑漏洞深度检测：

采用安全专家与半智能化工具相结合的服务方式，主动发现敏感信息存在的泄露风险，并针对发现的数据泄露安全隐患和薄弱环节提出合理整改意见，协助厂商从业务安全层面完善敏感数据泄露风险点加固与修复，持续优化敏感信息风险管控体系。

3、敏感信息泄露威胁监控：

采用常规互联网信息监测和钓鱼验证的手段，通过人工主动干预方式，利用社会工程学的方法，对疑似客户信息泄漏渠道进行分析验证，并协助对风险点进行识别、发现和处理。

4、金库模式安全性检测：

针对涉及到客户敏感信息的金库管控模式，对系统中涉及金库模式的传输安全性、敏感信息合规性、逻辑合理性等方面深入挖掘金库模式的安全隐患。

5、大数据平台安全检测：

对大数据平台应用安全，对大数据平台及其组件的基线安全进行全面检测，发现大数据应用、平台、组件存在的安全隐患。

三、服务范围：对涉及业务支撑网的BOSS、BASS、CRM、大数据平台，通信网的WAP、HSS、MSC、4A安全管控平台及业务网位置类业务涉及客户信息安全的业务系统进行全面的安全检测与监控服务。服务对象应包括客户基本资料、身份鉴权信息、通信信息及通信内容、位置信息等高价值数据资产。

四、服务周期：自合同签订之日起至2017年12月31日

2.1 具备独立法人资格，具有有效的营业执照、组织机构代码证、税务证书等证书或三证合一；

2.2 具备增值税一般纳税人资格；

2.3 具有中国信息安全测评中心颁发的信息安全服务资质证书安全工程类二级及以上资质、国家计算机网络应急技术处理协调中心颁发的信息安全应急处理服务资质、中国通信企业协会通信网络安全专业委员会风险评估服务认证。；

2.4 2014年至今不少于三个敏感信息或信息安全检测项目实施案例，需提供合同文本关键页（合同首页、签字/盖章页、主要服务内容页和采购方联系人名单）；

2.5 2014年至今的供货/服务中未出现严重违约或产品关键部分未出现重大的技术及质量问题，无涉及商业贿赂、重大诉讼、行政处罚等相关违规、违纪和违法行为（需按要求提供《应答信誉承诺书》）；

2.6 财务状况良好，提供近两年经过合法审计机构审计的财务审计报告，证明近两年无连续亏损，净资产为正值；

2.7 应答人不接受联合体应答。

本项目采用资格后审的方式，满足资格条件的应答方方能进入评分环节，不满足的应答方其应答文件将被否决。

需求方 ： 中国移动通信集团山西有限公司

地址 ： 山西省太原市经济开发区武洛街25号

代理机构 ： 公诚管理咨询有限公司

联系人 ： 李女士

电话 ： ****-*******

电子邮箱 ： gcmc_sxzb@163.com

账户名称 ： 公诚管理咨询有限公司

开户银行 ： 中信银行广州花园支行

账号 ： ********145*****054

关于报名的额外提醒：

微信公众号“公诚招标”（微信号gcbidding）为本项目微信报名的唯一渠道，除此以外，我公司不在其他微信号上发布登记报名、支付购买文件的信息，其他微信号的报名、支付均属无效。

投标人须按下述所列的所有步骤进行操作以完成全部报名流程：

（1）投标人完成报名申请后，招标人或招标代理机构将对投标人的报名信息进行审核，审核通过后，投标人完成第一阶段报名（但仍不具备参与本项目投标的资格）；

（2）投标人完成第一阶段报名后，请务必在招标文件售卖截止时间前登录中国移动采购与招标网，进入“投标管理”-“投标应答”-“投标应答”- “购买标书”界面，选择招标项目进行招标文件购买操作，否则将无法正常投标；

（3）已申请购买招标文件的投标方请通过关注微信公众号“公诚招标”（微信号gcbidding）,选择“微信报名”来完成项目的报名及资格预审文件/招标文件的购买，详细操作可见附件1 《微信购买文件操作指引》。微信报名所需上传材料：

（1）单位营业执照扫描件（加盖公章）；

（2）单位介绍信或法人证明书或法定代表人授权委托书扫描件；

（3）移动采购与招标系统报名截图

微信报名成功后，招标代理工作人员将确认购买标书，之后请在es系统下载文件。 购买操作指引详见附件。

（4）招标代理机构在确认收到招标文件费用后，通过中国移动采购与招标网确认投标人已完成购买，此时投标人完成所有报名流程，并获得通过中国移动采购与招标网下载招标文件的权限，此时投标人方具备参与本项目投标的资格。

（5）未在比选公告3.1条款的指定时间前支付招标文件费用的供应商无法获得下载招标文件权限，且不具备参与本项目投标的资格。招标文件在第一部分提供《电子招投标注意事项》，投标人在购买招标文件后须认真阅读。