蜀道集团2024年度网络安全服务保障项目AQ1标段公开招标公告

正文内容

*.招标条件 本招标项目蜀道集团****年度网络安全服务保障项目，项目业主为**蜀道智慧交通集团有限公司，建设资金来自招标人自筹，招标人为**蜀道智慧交通集团有限公司。项目已具备招标条件，现对该项目的AQ*标段进行公开招标。 *.项目概况与招标范围 *.*项目概况 蜀道集团作为全国省级交通企业“第一方阵”，部署了大量的信息系统，汇聚了大量的企业和行业数据**，为保障蜀道集团总部网络信息系统平稳运行，坚决防范网络安全重大风险、遏制网络安全重大事故，对蜀道集团****年网络安全保障服务进行采购。 *.*招标范围及标段划分、服务期限 *.*.* 招标范围 本次招标范围为蜀道投资集团有限责任公司（以下简称“蜀道集团”）****年度网络安全服务保障项目，重点为蜀道集团总部和蜀道智慧交通集团本部在日常及重要活动期间提供网络安全保障，兼顾对蜀道集团重要信息系统进行网络安全监测等服务，具体内容为：重要活动期间网络安全保障、网络安全日常监测、信息系统安全检测、网络安全检查和抽查、攻防演练及应急演练、网络安全预警信息通报、网络安全制度建设、网络安全教育培训、蜀道大厦机房安全运维驻场、信息系统资产测绘、信息系统风险评估。（主要工作内容详见招标公告附表）。 *.*.* 标段划分 本次招标划分为*个标段，标段号为AQ*。 *.*.* 服务期限 合同签订之日起，为期一年。 *.投标人资格要求 *.* 投标人资格条件： （*）资格要求： 在中华人民**国境内注册，具有独立法人资格，持有有效的营业执照（含三证合一）、基本账户开户许可证或基本账户存款信息（由基本账户开户银行出具）。 （*）资质要求： 投标人具有中国网络安全审查技术与认证中心（CCRC）颁发的信息安全服务资质（提供证书复印件与查询页面截图，并加盖投标人单位章）。 （*）业绩要求： 近*年（****年 * 月 * 日至投标截止日），至少完成过 *个合同金额不低于 *** 万元的网络安全保障服务项目（提供合同关键页截图，并加盖投标人单位章）。 （*）信誉要求： a.在“信用中国”网站（http：//www.creditchina.gov.cn/）中被列入失信被执行人名单的投标人，不得参与投标。 b.在国家企业信用信息公示系统（http：//www.gsxt.gov.cn）中被列入严重违法失信企业名单的投标人，不得参与投标。 c.在****年*月*日至本项目投标截止日期间，投标人（单位）、法定代表人、项目负责人没有被人民法院生效判决或裁定认定为行贿犯罪（投标人须提交无行贿犯罪的承诺函）。 （*）人员要求： 拟派项目负责人近 * 年（****年 * 月 * 日至投标截止日）至少完成过*个合同金额不低于*** 万元的网络安全保障服务项目，并担任该项目的项目负责人（提供拟派项目负责人近*个月社保和业绩相关证明材料）。 *.* 本次招标不接受联合体投标。 *.*与招标人存在利害关系可能影响招标公正性的单位，不得参加投标。法定代表人为同一人或者存在控股、管理关系的不同单位，不得参加同一标段投标，否则，相关投标均无效。 *.招标采购文件获取的方式 *.* 获取方式为：自****年*月* 日** 时** 分至****年*月**日** 时**分通过蜀道投资集团有限责任公司集中招标采购平台(以下简称“ 蜀道集采平台”）（http://zb.shudaojt.com）进行注册并使用CA数字证书登录后参与投标并下载招标文件。投标人注册详见首页《投标人入驻手册》。 *.* 招标文件费用应以单位名义，从投标人对公账户转至招标人指定的招标文件费收取专用账户，若投标人未严格按照指定账户信息进行转账，导致购买招标文件失败，后果自负。 招标人指定的招标文件费收取专用账户信息如下： 单位名称：蜀道投资集团有限责任公司材料集采分公司 开户银行：中国民生银行股份有限公司**分行营业部 账号：标书费子账号 投标人需备注：蜀道集团****年度网络安全服务保障项目AQ*标段招标文件费（可简写）。 招标文件每个包件售价为***元/份，逾期不售，售后不退。 请仔细核对系统中的招标文件费子账号，若因投标人自身原因导致转账错误，费用概不退还。 *.*招标文件缴费与查询：使用CA数字证书登录“ 蜀道集采平台”，进入“我的项目”菜单，点击报名项目的“招标文件领取”按钮，点击“网上支付”，根据系统中的账户信息进行缴费；在进入的页面点击“到账查询”按钮，进行招标文件费缴纳情况查询。 *.投标文件的递交 *.*投标文件递交的截止时间为：****年* 月**日**时** 分（投标截止时间，下同）。投标人应在投标截止时间前，通过“蜀道集采平台”注册并使用CA数字证书登录，将加密的电子投标文件上传。 *.*投标文件的解密 解密方式：投标文件递交截止时间后**分钟内完成解密工作，投标人持投标单位企业CA锁登录，进入“开标签到解密”菜单，按照开标系统的指令，选择对应的项目的投标文件进行远程解密（开标前及系统公布投标人名单前，不要提**行远程解密）。因投标人自身原因未能按时完成解密的，视为逾期未提交投标文件，其投标无效。 *.* 招标人定于投标文件递交截止的同一时间，于**省***高新区天府一街***号*栋**层蜀道集团招标管理服务中心开标室进行远程在线开标。 *.* 以下情况招标人将不予受理投标文件： 投标文件逾期未完成上传、未按规定加密上传或未按相应投标标段对应上传的，“蜀道集采平台”将拒收相应投标文件。若证明是投标人原因导致开标时对其加密的投标文件未解密成功的，视为投标人撤销投标文件。 *.评标办法 本次招标采用技术评分最低标价法，采用资格后审、双信封形式，第一信封采用综合评估法，按照第一信封综合得分由高到低取前*名（若不足*名，则取实际数量）进入第二信**标，第二信封采用经评审的最低投标价法，最终按评标价由低到高排序推荐*～*名中标候选人。 *.提出异议和投诉的渠道 *.*异议的提出：进入蜀道集采平台(https://zb.shudaojt.com)投标人登录对应项目后，点击“异议”菜单提出。超出异议时效的，则不予受理。 开标过程中的异议最迟在招标人点击唱标按钮后**分钟内提出。 *.*投诉的渠道:进入蜀道集采平台(https://zb.shudaojt.com)投标人登录对应项目后，点击“投诉”菜单提出。在有异议程序的事项中，超出异议期间没有提出异议的，不得进行投诉。超出投诉时效的，则不予受理。 *.发布公告的媒介 本次招标公告在蜀道投资集团有限责任公司集中招标采购平台（https://zb.shudaojt.com）、中国招标投标公共服务平台（http://bulletin.cebpubservice.com）、天府阳光采购服务平台（http://www.tfygcgfw.com）和**蜀道智慧交通集团有限公司官网(https://www.shudaoit.com/）上同时发布。 *.联系方式 招 标 人：**蜀道智慧交通集团有限公司 地 址：**省***高新区交子大道 ***号蜀道大厦*层 邮政编码：****** 联 系 人：林先生 联系电话：*********** **.其他 本次招标采用电子投标，数字认证、投标人注册和投标流程通过蜀道投资集团有限责任公司集中招标采购平台（http：//zb.shudaojt.com）下载专区操作手册进行下载，如遇系统技术问题请联系平台相关老师。 **蜀道智慧交通集团有限公司 ****年*月 附表 主要工作内容 序号 主要工作 具体内容 成果要求 * 重要活动期间网络安全保障 *.根据行政主管部门和上级单位以及集团公司要求，在未来一年重要活动期间（国庆、春节、四中全会等，不少于**天）提供****小时的专业技术保障人员驻场服务，确保系统持续、稳定运行； *.提供突发事件应急处置保障，当发生事件时，能快速做出研判，在**分钟内组织技术专家进行处置，并于事后出具处置报告。 *.编制重保期间每日网络安全日报； *.在关键时间节点形成阶段性总结报告。 * 网络安全日常监测 *.利用流量监测工具或态势感知工具对集团总部机房、算力中心机房的日常网络流量进行采集，通过监测和分析，发现网络中存在的各种威胁和沦陷主机； *.提供网站漏洞发现、网页篡改监测、网页挂马监测、黑词/暗链监测、可用性监测、仿冒/钓鱼网站监测等服务，对监测结果进行研判，及时推送可能造成影响的安全事件； *.对攻击事件进行分析，还原攻击路径、攻击手法、攻击过程，并查找其他受影响设备，提出最佳的应对方案和措施。 *.按月出具流量检测分析报告和网站安全分析报告； *.及时推送安全事件报告； *.根据实际工作要求编制处置方案及改进建议。 * 信息系统安全检测 *.利用安全扫描评估工具每月对蜀道集团总部和蜀道智慧交通集团的核心服务器及重要的网络设备进行漏洞扫描，查找安全漏洞和系统隐患； *.利用安全扫描评估工具每月对蜀道集团互联网侧的所有信息系统进行漏洞扫描（不少于***个）查找系统安全漏洞； *.分*次对蜀道集团门户网站、财务、人资等重要信息系统以及新上线系统进行渗透测试（每次不少于***个系统），查找系统的脆弱性和风险点； *.利用扫描工具每半年对蜀道集团总部和蜀道智慧交通集团的终端电脑进行保密文档扫描，防止涉密文件泄露； *.建立风险跟踪台账，协助和跟进督促相关整改负责人完成风险整改。 *.按月出具漏洞扫描报告（分设备和系统）； *.形成渗透测试报告； *.形成保密文档扫描报告； *.形成信息系统风险台账，按月记录全部系统的漏洞情况和漏洞整改情况。 * 网络安全检查和抽查 *.协助集团公司开展网络安全检查，提供人员和技术支持； *.对蜀道集团开展*次“红队评估”服务（覆盖信息系统数量不少于***个），通过随机抽查及时发现存在问题，并协助系统责任单位进行整改。 l．编制年度网络安全检查实施方案； *．形成红队评估报告。 * 攻防演练及应急演练 *.开展*次网络安全攻防演练，以系统提权、控制业务、获取数据为目的开展实战攻击，检验蜀道集团信息系统的网络安全防护能力（覆盖信息系统数量不少于***个）； *.攻防演练结束后总结时挑选两个攻防演练成果作为模拟场景，设计攻击及应急环节，组织开展应急演练，检验和宣贯网络安全事件应急预案。 *.开展应急演练后根据演练时实际应急流程可优化程度对蜀道集团应急预案进行优化及修订。 *.制定攻防演练实施方案，形成攻防演练总结报告和整改建议书； *.制定应急演练方案，编制应急演练脚本（如果需要），形成应急演练总结报告； *.结合应急演练情况对应急预案进行优化和修订。 * 网络安全预警信息通报 收集和整理国家及行业发布的网络安全重大漏洞、安全风险、热点事件、安全态势、内外部威胁情报等，提供实时的网络安全预警信息通报和应急响应措施建议。 按月形成预警信息汇总报告。 * 网络安全制度建设 根据《蜀道集团网络安全管理办法》管理体系架构，编制蜀道集团数据安全相关的管理制度*份。 暂定为《数据安全管理办法》《数据安全事件应急响应实施指南》，根据具体工作情况进行调整。 * 网络安全教育培训 *.根据实际工作要求及日常工作内容，开展针对全员的安全意识培训课程，提升蜀道集团全员日常工作中网络安全意识风险； *.针对蜀道集团网络安全相关管理人员开展安全政策解读及安全建设规划培训； *.针对蜀道集团网络信息安全相关工作人员开展安全技能培训，包括但不限于：应急响应技术、安全测试技术、流量分析技术等。 *.制作培训教材，包括但不限于视频、PPT等； *.组织讲师进行授课； *.提供一次面向网络安全产品操作的技术培训； *.提供*个CISP或同级别认证考试培训名额。 * 蜀道大厦机房安全运维驻场 提供蜀道大厦机房全年***小时的专业技术人员驻场服务，逐步完善网络安全管理制度和工作机制，规范日常管理工作和审批程序。 *.编制机房管理的相关工作规范； *.开展日常管理工作，形成机房值守工作台账。 ** 信息系统资产测绘 *.提供资产测绘工具对现有信息系统资产进行ICMP的方式进行存活探测，在网络禁PING时也能采用其他探测方式进行存活资产探测； *.利用PDNS、大网测绘情报、域名备案情报等情报数据内容，发现企业暴露在互联网的影子资产； *.对蜀道集团内网、外资产开展全面梳理，建立资产台账，定期对资产台账进行更新。 形成蜀道集团信息系统资产台账，并持续更新。 ** 信息系统风险评估 *.参照《GB/T *****-**** 信息安全技术 信息安全风险评估实施指南》、《GB/T *****-**** 信息安全技术 信息安全风险评估方法》，对蜀道集团总部和蜀道智慧交通集团的信息系统资产、威胁、脆弱性、安全措施进行识别和分析，确定风险计算模型，从物理层、网络层、系统层和应用层等方面进行评估，全面分析系统面临的信息安全风险。 *.通过对集团总部、算力中心的网络架构，数据流向了解后根据核心数据库、数据存储点，逆向反推攻击链路，梳理链路后对链路上安全设备策略、安全能力等进行评估。 *.形成风险评估报告； *.形成链路安全评估报告。