海南省土地储备整理交易中心2023年网络与数据安全服务项目遴选公告

正文内容

**省土地储备整理交易中心 ****年网络与数据安全服务项目 遴选公告 一、项目基本情况 项目名称：**省土地储备整理交易中心“****年网络与数据安全服务项目” 服务期限：自签订合同之日起**个月。 项目预算：不超过六十万元（含税），报价超过预算无效。 付款方式：本项目合同签订后，我中心收到服务单位开具的付款申请函和足额有效发票之日起**个工作日内，向服务单位支付本项目合同总额**%的首付款。服务期满，经我中心验收合格后，服务单位提供付款申请单及足额有效发票，我中心收到付款申请单及发票后**个工作日内支付本项目合同总价的**%尾款。 本项目不接受联合体申报。 二、服务内容、成果及要求 项目服务内容 序号 服务名称 服务内容 服务工具 数量 单位 * 重保网站持续监测服务 对包括**省自然**和规划厅门户网站、**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省土地超*系统在内的重保网站进行持续性监测，监测内容包括：漏洞监测、网页挂马监测、黑链监测、敏感词监测、网站可用性监测 **全监测平台 * 子域名/年 * 重保期间安全值守服务 重大节日和会议期间，包括但不限于两会、博鳌亚洲论坛等网信、**等部门要求的重要时期网络安全保障提供****小时技术保障工作，协助处理信息安全事件，以保障重要时期网络及信息系统安全稳定运行。 针对重保期间业务系统面临的高级网络攻击和威胁，需要提供基于持续性高级威胁检测和高级安全数据分析的服务工具并结合人工服务，协同原有安全防护体系，提升重保期间中所面临的内部和外部威胁攻击的检测、分析和溯源处置能力，实现“预测->发现->检测->响应”的闭环防护能力。 APT高级威胁分析工具 * 项 * 重点系统渗透测试服务 对**省自然**和规划厅门户网站、**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省国土空间规划一体化信息平台、**省土地超*系统，借鉴黑客的攻击手法，由安全专家进行模拟攻击，发现网络和业务系统中网络和系统存在的安全缺陷，提供渗透测试报告和改进建议。渗透测试依据主流测试标准（例如：OWASP），测试项包括：注入、跨站脚本、无效的验证和会话管理、对**不安全的直接引用、错误的安全配置、跨站伪造请求、失败的网址访问权限、未经验证的网址重定向、不安全的密码存储、薄弱的传输层保护、输入验证、输出编码、身份验证和密码管理、访问控制、加密规范、错误处理和日志、数据库安全等。 / * 个 * 应急演练服务 配合我中心、相关处室单位完成**省不动产登记综合服务平台实战应急演练服务和省厅门户网站网络安全应急演练桌演各一次，分别制定网络安全应急演练预案和应急演练脚本，并出具演练总结。 / * 项 * 安全咨询及漏洞修复服务 针对我中心反馈的网络安全问题提供整改方案；完善网络安全相关制度；起草年度网络安全工作计划，编制网络安全相关工作汇报材料；指导系统运维单位完成系统漏洞修复、等保测评整改和密码测评整改，及整改情况的复核工作。 / * 项 * 数据资产梳理 梳理和汇总省自然**和规划厅（含下属单位）的信息系统资产,其中资产类型包含主机、网络设备、安全设备、数据库、中间件、存储设备、应用系统等软件资产和硬件资产。一年服务期内，每季度更新*次资产台账。 / * 项 * 数据安全风险评估 对**省不动产登记综合服务平台、**省国土空间基础平台开展数据安全风险评估，围绕数据处理活动过程，聚焦可能影响数据安全的风险，调研管理制度、数据安全技术防护措施落实情况、数据处理人员权限、信息系统业务方向、数据资产情况和数据处理活动频率等相关要素，对标数据安全法、数据安全能力成熟度模型和**省电子政务外网数据安全管理办法，从管理和技术两个方向评估数据安全合规风险、数据安全技术防护能力可能存在的问题，降低数据泄露风险，提供整改建议及指导，输出整体数据安全风险评估报告。 数据库漏洞扫描工具，web漏洞扫描工具 * 个 * 数据安全审计 对**省自然**和规划厅门户网站、**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省国土空间规划一体化信息平台、**省土地超*系统开展数据安全日志审计，通过分析数据库审计日志和系统安全日志，挖掘数据操作过程存在的高危风险，针对高危风险提供安全审计报告，并指导完成整改。 / * 个 * 应急响应 远程或现场方式及时响应和处理信息安全事件，协助我中心降低影响，分析问题产生的原因，提供应急响应报告和改进建议。一年服务期内，该项服务不限次数。 / * 项 ** 网络设备策略评估 根据我中心要求，针对网络设备策略申请进行网络安全评估，确认是否符合省大数据管理局申请标准。 / * 项 ** 电子政务外网信息系统安全基线配置检查 根据《**省电子政务外网信息系统安全基线配置管理规范》对**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省国土空间规划一体化信息平台、**省土地超*系统等重要系统开展政务信息系统建设部署和运行维护过程中的安全配置管理工作，出具安全基线核查报告。 / * 个 项目服务要求 项目实施团队成员要求 本项目服务期间，服务单位需要至少配备*人以上的服务团队，包括*名项目经理、*名资深数据安全专家、*名安全服务工程师和*名数据安全工程师。参与技术服务工作的服务人员，必须为服务单位正式员工，服务期间需签署保密协议，涉及人员更换调整的，需书面报我中心审核，同意后可进行调整。 项目实施响应要求 本项目服务期间，服务单位需定期汇报项目的实施进度，包括但不限于项目经理每周进行至少*次的工作汇报，且应电话保持*×**小时畅通； 为保障项目服务响应速度，服务单位需承诺项目服务期间提供本地化技术支持服务，对于我中心的电话咨询和常规服务需求在**分钟内予以答复，紧急服务需求在*小时内到达指定现场。 项目实施工具要求 开展相应安全服务工作期间，服务单位应免费提供服务内容中所列的相关工具**台，如提供的服务工具**台非服务单位自有产品的，需获得使用授权。 本项目不得转包、分包。 （三）项目服务成果 *.按项目服务内容开展各项网络安全工作，服务成果包含但不限于网站监测服务报告、重保期间值守报告、渗透测试报告、网络安全整改报告、应急演练预案报告、数据安全风险评估报告、资产梳理清单台账、数据安全审计报告、应急响应处置报告（如有）、年度网络安全工作计划等相关工作成果及工作过程记录文档；根据我中心要求时间，提供电子版和纸质版各一份，报告内容应表述清晰，排版有序。 *.项目实施过程提供的所有资料及工作成果均归我中心所有。 三、资格要求 （一）在中华人民**国注册，具有独立承担民事责任能力的法人（需提供营业执照、税务登记证、组织机构代码证复印件，或者三证合一复印件,均需加盖公章。） （二）投标人近三年内参加过的政府采购活动中没有重大违法、违规、违约记录（提供加盖公章的投标人无违法记录声明函）。 （三）未被列入信用中国网站(www.creditchina.gov.cn)渠道信用记录失信被执行人、重大税收违法案件当事人名单及中国政府采购网(www.ccgp.gov.cn)政府采购严重违法失信行为记录名单的供应商(网址证明截图加盖公章)。 （四）具有依法缴纳税收和社会保障资金的良好记录（提供****年*月至今任意*个月的依法缴纳税收证明和缴纳社保证明复印件）。 （五）健全的财务会计制度（提供****年财务审计报告或****年至今任意*个月的财务报表（资产负债表、损益表/利润表、现金流量表）。 （六）投标人必须对本项目第二条“服务内容、成果及要求”进行完全响应，不允许只对其中部分内容进行响应，否则视为无效投标（提供完全响应承诺函）。 （六七）以上材料均须加盖投标单位公章，如发现投标单位提供虚假材料的，其投标将被拒绝。 （七）投标人必须对本项目第二条“服务内容、成果及要求”进行完全响应，不允许只对其中部分内容进行响应，否则视为无效投标（提供加盖公章的完全响应承诺函）。 （八）本项目的特定资格要求：无。 （九）本项目不得转包、分包。 四、选择标准 由我中心组织专家评审，符合本公告资格要求和报名材料要求且综合评分最高的单位为第一中选单位。综合评分标准详见本公告附件*《评分标准》。 五、报名方式、时间、报名时需提交的材料、递交地址 （一）报名方式：现场报名 （二）报名时间：****年 *月 **日-****年 *月 *日，上午*:**-**:**、下午**:**-**:**。 （三）报名时需提交的材料（密封装订*份） *.报名函、报价单（详见附件）。 **.满足本公告第二条、第三条所列“服务内容及要求”和“资格要求”的证明材料，并附资料清单目录。 **.本公告项目工作服务方案（自行编制，无固定格式要求)。 **.相关承诺函本地化技术支持服务承诺书（本地化技术支持服务承诺书应承诺提供本地化技术支持服务，承诺对电话咨询和常规服务需求在**分钟内予以答复，紧急服务需求在*小时内到达指定现场；完全响应承诺函应承诺对本项目第二条“服务内容、成果及要求”进行完全响应；承诺函自行编制，无固定格式要求，承诺书中应承诺提供本地化技术支持服务，承诺对电话咨询和常规服务需求在**分钟内予以答复，紧急服务需求在*小时内到达指定现场）。 *.报名函、报价单（详见附件）。 *.其他必要的证明材料或文件。 *.法定代表人证明书及法定代表人身份证复印件和，授权他人办理的，还需提供授权委托书及授权代理人身份证复印件。 以上材料按A*大小装订成册并封装，封面须注明项目名称、报名单位名称、联系人及电话等信息加盖公章，整本加盖骑缝章。 （四）报名资料递交地址 **省***国兴大道*号**省土地储备整理交易中心*楼。 报名单位请于截止时间前将报名材料送达**省土地储备整理交易中心，逾期不予受理。报名单位对所提供文件材料的真实性负责，若发现弄虚作假，取消其报名资格。 六、联系人及联系方式 联系人：武晗 联系电话：****-******** 七、其他 递交报名材料的投标单位需达到*家（含）以上，否则本次采购终止，重新启动采购工作。 **省土地储备整理交易中心 ****年 *月 **日    附件*报名函 报名函 **省土地储备整理交易中心： *.根据公告要求，我方递交的报名文件及有关材料，用于你方审核我方参加**省土地储备整理交易中心“****年网络与数据安全服务项目”资格条件。 *.我方在此声明，所递交的文件及有关材料真实、准确。如我方提供的文件材料有虚假的，视为我方自动放弃报名。                      申请人：（盖单位章）          法定代表人或其委托代理人：（签字）          电话： 附件*报价单 ****年网络与数据安全服务项目报价单 序号 服务名称 服务内容 数量 单位 单价 小计 * 重保网站持续监测服务 包括**省自然**和规划厅门户网站、**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省土地超*系统在内的重保网站进行持续性监测，监测内容包括：漏洞监测、网页挂马监测、黑链监测、敏感词监测、网站可用性监测 * 子域名/年 * 重保期间安全值守服务 重大节日和会议期间，包括但不限于两会、博鳌亚洲论坛等网信、**等部门要求的重要时期网络安全保障提供****小时技术保障工作，协助处理信息安全事件，以保障重要时期网络及信息系统安全稳定运行。 针对重保期间业务系统面临的高级网络攻击和威胁，需要提供基于持续性高级威胁检测和高级安全数据分析的服务工具并结合人工服务，协同原有安全防护体系，提升重保期间中所面临的内部和外部威胁攻击的检测、分析和溯源处置能力，实现“预测->发现->检测->响应”的闭环防护能力。 * 项 * 重点系统渗透测试服务 对**省自然**和规划厅门户网站、**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省国土空间规划一体化信息平台、**省土地超*系统，借鉴黑客的攻击手法，由安全专家进行模拟攻击，发现网络和业务系统中网络和系统存在的安全缺陷，提供渗透测试报告和改进建议。渗透测试依据主流测试标准（例如：OWASP），测试项包括：注入、跨站脚本、无效的验证和会话管理、对**不安全的直接引用、错误的安全配置、跨站伪造请求、失败的网址访问权限、未经验证的网址重定向、不安全的密码存储、薄弱的传输层保护、输入验证、输出编码、身份验证和密码管理、访问控制、加密规范、错误处理和日志、数据库安全等。 * 个 * 应急演练服务 配合我中心、相关处室单位完成**省不动产登记综合服务平台实战应急演练服务和省厅门户网站网络安全应急演练桌演各一次，分别制定网络安全应急演练预案和应急演练脚本，并出具演练总结。 * 项 * 安全咨询及漏洞修复服务 针对我中心反馈的网络安全问题提供整改方案；完善网络安全相关制度；起草年度网络安全工作计划，编制网络安全相关工作汇报材料；指导系统运维单位完成系统漏洞修复、等保测评整改和密码测评整改，及整改情况的复核工作。 * 项 * 数据资产梳理 梳理和汇总省自然**和规划厅（含下属单位）的信息系统资产,其中资产类型包含主机、网络设备、安全设备、数据库、中间件、存储设备、应用系统等软件资产和硬件资产。一年服务期内，每季度更新*次资产台账。 * 项 * 数据安全风险评估 对**省不动产登记综合服务平台、**省国土空间基础平台开展数据安全风险评估，围绕数据处理活动过程，聚焦可能影响数据安全的风险，调研管理制度、数据安全技术防护措施落实情况、数据处理人员权限、信息系统业务方向、数据资产情况和数据处理活动频率等相关要素，对标数据安全法、数据安全能力成熟度模型和**省电子政务外网数据安全管理办法，从管理和技术两个方向评估数据安全合规风险、数据安全技术防护能力可能存在的问题，降低数据泄露风险，提供整改建议及指导，输出整体数据安全风险评估报告。 * 个 * 数据安全审计 对**省自然**和规划厅门户网站、**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省国土空间规划一体化信息平台、**省土地超*系统开展数据安全日志审计，通过分析数据库审计日志和系统安全日志，挖掘数据操作过程存在的高危风险，针对高危风险提供安全审计报告，并指导完成整改。 * 个 * 应急响应 远程或现场方式及时响应和处理信息安全事件，协助我中心降低影响，分析问题产生的原因，提供应急响应报告和改进建议。一年服务期内，该项服务不限次数。 * 项 ** 网络设备策略评估 根据我中心要求，针对网络设备策略申请进行网络安全评估，确认是否符合省大数据管理局申请标准。 * 项 ** 电子政务外网信息系统安全基线配置检查 根据《**省电子政务外网信息系统安全基线配置管理规范》对**省不动产登记综合服务平台、**省国土空间基础平台、**省工程建设项目策划生成信息平台、**省建设用地使用权和矿业权网上交易系统、**省国土空间规划一体化信息平台、**省土地超*系统等重要系统开展政务信息系统建设部署和运行维护过程中的安全配置管理工作，出具安全基线核查报告。 * 项 总价：                  （大写），含税                      (小写)，含税 附件*评分标准 序号 评审因素 评审标准 分值 * 工作服务方案 针对本项目编制切实可行的工作服务方案，服务方案应针对询价公告中服务内容的各项要求，由评审专家根据投标人制定本项目总体工作服务方案的内容（包括但不限于服务需求分析、服务整体设计方案、安全服务实施方案、服务项目及风险管理方案等）的科学、合理、规范性等因素和纵横向对比情况进行评审： *、项目总体工作服务方案各项内容完整、全面且有详细流程，方案思路清晰，针对性强得**-**分； *、项目总体工作服务方案内容完整，方案基本合理，框架清晰，提供了大纲性总体工作服务方案，针对性一般的得**-**分； *、项目总体工作服务方案各项内容基本完整，但对本项目的针对性和可行性较差得**-**分； *、项目总体工作服务方案不完整有个别漏项且方案科学合理性差，整体针对性较差的得*-*分； *、未提供方案的，本项不得分。 ** *、用于重保期间安全值守服务的APT 高级威胁分析工具，具备ISCC中国国家信息安全产品认证证书（增强级），满足得*分，不满足不得分。（提供有效证书的复印件，并加盖厂商公章） *、用于数据安全风险评估服务的数据库漏洞扫描工具符合《GA/T ****-**** 信息安全技术 数据库扫描产品安全计算要求》增强级要求，并具备**部的《计算机信息系统安全专用产品销售许可证》（增强级），满足得*分，不满足不得分。（提供有效证书的复印件，并加盖厂商公章） *、用于数据安全风险评估服务的WEB漏洞扫描工具，具备国家信息安全漏洞库《CNNVD兼容性资质证书》，满足得*分，不满足不得分。（提供有效证书的复印件，并加盖厂商公章） ** * 企业资质 *、投标人具有ISO*****信息技术服务管理体系认证证书，得*分；（提供证书复印件加盖公章） * *、投标人具有ISO*****信息安全管理体系认证证书，得*分；（提供证书复印件加盖公章） * *、投标人具备CNCA国家认证监督委员会认可的认证机构-企业知识产权管理体系认证，得*分。（提供证书复印件加盖公章） * * 安全服务资质 投标人近三年内（自****年至****年）为国家信息安全漏洞库（CNNVD）优秀技术支撑单位，具备CNNVD颁发的特殊贡献奖的，两项均具备得*分，仅具备一项的得*分，未提供或提供证明材料不符要求的，本项不得分。（提供证书复印件加盖公章） * 投标人具备中国通信企业协会颁发的通信网络安全服务能力评定证书-风险评估，具备二级及以上得*分（包含二级），二级以下证书得*分，不具备或未提供证明材料的，本项不得分。（提供证书复印件加盖公章） * 投标人具备中国网络安全审查技术与认证中心颁发的信息安全服务资质-信息安全应急处理服务，具备一级证书得*分，一级以下证书得*分，不具备或未提供证明材料的，本项不得分。（提供证书复印件加盖公章） * 投标人具备中国网络安全审查技术与认证中心CCRC颁发的《信息安全服务资质认证证书（信息系统安全集成）》，具备一级得*分，二级得*分，三级得*分，不具备或未提供证明材料的，本项不得分。（提供证书复印件加盖公章） * 投标人具备国测信息安全服务资质-云计算安全类资质，具备一级证书得*分，一级以下证书得*分，三级得*分，不具备或未提供证明材料，本项不得分。 * 投标人获得国家信息安全漏洞共享平台CNVD年度最具价值漏洞得*分，不具备或未提供证明材料的，本项不得分。 * * 服务团队配置 为保障服务项目进度和项目质量，在项目实施中投标人应安排足够的安全服务团队人员参与本项目，安全服务团队人员数量≥ *人，且项目人员需提供****年*月至今连续*个月社保证明，团队成员需配备*名资深项目经理，*名资深数据安全专家，至少*名安全服务工程师和至少*名数据安全服务工程师，服务人数未满足*人或未提供社保证明的，“服务团队配置项”不得分，具体要求如下：   *、资深项目经理（*名），每具备以下*个资质证书得*分，全部满足*项最高得*分，不具备以下任何一项证书本项不得分： （*）具备项目管理专业人士资格认证（PMP）证书，得*分； （*）具备CISP-PTS渗透测试专家认证证书，得*分； （*）具备中国网络安全审查技术与认证中心-网络安全应急响应工程师证书，得*分； （*）具备ISO***** LA培训证书，得*分； （*）具备CISAW-LPT信息安全保障人员认证证书，得*分； （*）具备中级及以上网络工程师，得*分。 （注：以上资质要求须提供相关证明文件并加盖公章，项目人员需提供在本单位缴纳****年*月至今连续*个月社保证明，否则本项不得分) * *、资深数据安全专家（*名），每具备以下*个资质证书得*分，全部满足*项最高得*分，不具备以下任何一项证书本项不得分： （*）具备数据安全认证专家（CDSP），得*分； （*）具备注册信息安全专业人员CISP（CISE或CISO）认证证书，得*分； （*）具备项目管理专业人士资格认证（PMP）证书，得*分； （*）具备云计算安全知识认证（CCSK）证书，得*分； （*）具备国际信息系统审计师认证（CISA）证书 ，得*分； （注：以上资质要求须提供相关证明文件并加盖公章，项目人员需提供在本单位缴纳****年*月至今连续*个月社保证明，否则本项不得分) * *、提供至少*名安全服务工程师，且每*名安全服务工程师同时具备以下资质证书要求得*分，满足其中一项得*分，不提供或者均不具备的，本项不得分： （*）具备注册信息安全专业人员CISP（CISE或CISO）认证证书，得*分； （*）具备注册渗透测试工程师CISP-PTE认证证书，得*分。 （注：以上人员不得重复计分证明材料，以上资质要求须提供相关证明文件并加盖公章，****年至今连续*个月在本单位缴纳的社保证明复印件并加盖公章，否则本项不得分。） * *、提供至少*名数据安全服务工程师，且每一名安全服务工程师同时具备以下资质证书要求得*分，满足其中一项得*分，不提供或者均不具备的，本项不得分： （*）具备注册信息安全专业人员CISP（CISE或CISO）认证证书，得*分； （*）具备数据安全能力成熟度模型测评师(DSMM)认证证书，得*分。 （注：以上人员不得重复计分证明材料，以上资质要求须提供相关证明文件并加盖公章，****年至今连续*个月在本单位缴纳的社保证明复印件，并加盖公章，否则本项不得分。） * * 类似项目业绩 投标人****年*月至今（以合同签订时间为准）承接过类似项目（类似业绩指：网站持续监测服务、重保期间安全值守服务、渗透测试服务、应急演练服务、安全咨询及漏洞修复服务、数据资产梳理、数据安全风险评估、数据安全审计、应急响应）业绩的有效证明文件进行评价，每个有效业绩得*分，满分*分。证明材料：需要提供相关合同关键页（包括合同首页、标的物、签字页）复印件并加盖公章，未按要求提供证明资料的业绩将不予计分。 * * 报价项 满足公告资格要求和报名材料要求且报价最低的报价为基准价，其价格分为本项满分**分。其他投标人的价格分统一按照下列公式计算： 价格分 = (基准价／投标报价)×价格分值×***% ** 合计 *** 附件：