一、项目信息  项目名称：南昌住房公积金管理中心信息安全服务   项目编号：62********88  项目联系人及联系方式： 陶工  ********   报价起止时间：******** 11:34  -  ******** 18:00   采购单位：南昌住房公积金管理中心   供应商规模要求： -   供应商资质要求： -   供应商报价要求：报价含税 报价含运费   二、采购需求清单   商品名称 参数要求 购买数量 控制金额(元) 建议品牌 安全运维服务 核心参数要求:商品类目: 安全运维服务; 描述:根据《中华****网络安全法》和《公****网安全监督检查规定》等文件要求，结合对中心重要信息****网站安全保护情况现场执法检查结果，针对检查发现的问题进****网络安全风险###路安全漏洞。现采购****网络安全培训、三级等级保护测评和信息安全风险评估，排查信息系统可能存在的安全隐患，对发现的安全隐患进行及时修复，强化系统安全性，保障系统安全平稳运行。;三级等保测评1:严格按照《信息安全等级保护管理****网络安全保护等级实施指南****网络安全等级保护测评****网络安全等级保护测评过程指南》文件，对南昌住房公积金综合管理系****网络安全等级保护测评：包括信息系统安全物理环境****网络、安全区域边界、安全计算环境、安全管理中心、安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理，共10个层面的安全测评。;三级等保测评2:形成等级测评项目的最终结论，并编****网络安全等级保护等级测评报告****网安部门备案。由于采购人信息系统为涉及民生类重大信息系统，为保证等级保护服务质量，同时根据公安部第三研究****网络安全服务认证技术规范-等级保护测评》要求，供应商必须任命一名高级测评师为本技术主管，全面负责项目实施技术工作。;三级等保测评3:同时供应商必须为本项目指定一名高级测评师为本项目质监负责人（技术主管不能同时担任质监负责人），为本项测评质量负责。响应文件中必须提供以上人员的证书扫描件及供应商近6个月为其缴纳的社保凭证加盖公章。;系统风险评估1:对以上信****网络、安全设备、等资产，以及信息安全组织、信息安全方针、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件、业务连续性管理、符合性等方面做重要性识别、威胁性识别、脆弱性识别，按照《信息安全技术 信息安全风险评估方法》（GB/T ********）风险计算原理对评估对象进行风险赋值，确定不可接受风险的具体范围。;系统风险评估2:同时包括以下内容： （1）对公****网站（包括微信、APP等）进行安全风险测评。 （2）对公积****网开放地址进行安全渗透性测试。 （3）对公积****网开放地址进行漏洞评估与修复。 （4）信息系统（包括微信）协助安全加固和优化。为保证供应商具备较强的风险评估能力，供应商必****网络安全审查技术与认证中心颁发的风险评估一级证书（响应文件必须提供证书扫描件加盖供应商公章）;数据风险评估1:对信息系统中的API数据资产进行梳理，API数据安全评估服务构建以数据为中心、以风险为驱动的API安全，发现更多业务和数据上的风险场景。致力于帮助中心发现、保****网暴露面上的API收集全量API流量，并利用机器学习、AI 和大数据引擎来发现所有API及其暴露的数据，从而防范API攻击并从源头消除漏洞。;数据风险评估2:API接口发现。通过解析API流量，自动发现所有内部、外部和第三方API，提供参数、参数函数和暴露的敏感数据等精细细节，帮助了解攻击面并评估风险。敏感数据标签识别。根据数据标签的识别策略自动解析API事件中的敏感数据，并给对应的API接口打上此API包含的数据标签。覆盖个人信息安全规范上的9大类共计71小类数据标签的识别。通过识别数据暴露面，可以防止敏感数据暴露。;数据风险评估3:通过流量中的API资产，发现这些API上的安全问题，并针对这些安全问题特征进行合理的分类分级，在安全问题模块呈现出来，帮助中心找出存在弱点的API接口。问题类型主要有：口令认证问题、高危接口问题、数据暴露问题、访问权限问题、安全规范问题。通过发现问题并指导进行安全优化升级，提升来自于API接口的数据安全风险隐患。;安全培训:为提升采购人整体信息安全水平。根据采购人单位实际情况组织制定培训方案并组织相关培训，培训对象由采购人确定，培训内容为全员信息安全意识培训或相关技术人员信息安全技术培训。具体培训时间和内容由双方沟通商定，服务商只负责提供培训讲师。;应急预案及演练:根据****网络和信息系统情况，协助中心制定一份完整的安全事件应急预案。在应急响应预案制定以后，协助中心有组织有规划地模拟****网络安全应急预案的扎实演****网络突发事件时，及时有效地对事件做出响应，切实履行应急响应预案内容，准确给出应急处理方法，将危害降到最低。为保证服务质量，供应商必****网络安全审查技术与认证中心颁发的应急处理证书（响应文件必须提供证书扫描件加盖供应商公章）;突发事件响应1:在合同期内，在服务周期范围内，在突发/重大信息安全事件后，按需提供不少于 1 次现场应急响应服务，响应时间1小时内，人员到场时间不超过2小时。安排信息系统专业应急人员完成实施工作，根据每次应急响应的情况，必要时提供应急工具参与应急响应工作，并进行分析，出具《安全事件分析报告》。同时，尽可能地减****网络安全事件的损失， 提供有效的响应和恢复指导，并努力防止安全事件的发生。;突发事件响应2:为保障服务质量，规避实施风险，要求供应商所使用的应急工具支持以下功能点： （1）支持正向攻击类情报源，并支持行业分类，至少覆盖金融(银行、证券、保险)、电力、能源、教育等30个行业；（2）系统内置****网公司情报源(腾讯、360、奇安信、华为情报源)，提供受控外联类情报源,受控外联情报类型至少包含 IP类、URL 类和域名类情报；;突发事件响应3:（3）支持情报源的基础属性画像，至少包含归属地、经纬度、运营商等属性； （4）支持最近三个月的攻击轨迹溯源，至少包含历史攻击单位、攻击类型、被攻击单位所属行业等属性。;突发事件响应4:响应文件中提供具有CMA认证标志的第三方检测机构出具的测评工具功能检测报告原件扫描件，以上材料加盖投标供应商公章。注:功能点需通过醒目标识标记出对应功能点在报告中的检测情况，未提供或提供不符合要求视为无效响应，且报告时间需早于本次****网时间;月度安全巡检:每月针对采购人的业务系统开展漏洞扫描和验证的巡检服务，每次针对业****网开展漏洞扫描服务，进行漏洞发现，漏洞扫描范围包括但不仅限于主机漏洞/SQL注入/XSS跨站/命令执行/目录遍历/上传漏洞等，扫描完成之后阅读安全巡检报告（漏洞扫描），并提出切实可行的安全漏洞修复建议。;人员值守及驻场运维服务1****网信办等信息安全部门组织的相关活动中提供安全保障，供应商提供不****网络安全专家团队依托安全防护设备、安全监测平台在此期间进行监测值守、分析研判、应急处置、溯源分析等安全保障。根据工作实际情况提供远程或现场防守。;人员值守及驻场运维服务2:保障结束后进行全方位的总结，汇总、分析攻击情况，进行充分、全面的复盘分析，总结当前防守过程中防守方采用的应对措施和手段，对不足之处给出合理整改建议,形成总结报告。必须符合信息技术服务标准。;资格要求1:1、具有独立承担民事责任的能力； 2、具有良好的商业信誉和健全的财务会计制度； 3、具有履行合同所必需的设备和专业技术能力； 4、具有依法缴纳税收和社会保障资金的良好记录；;资格要求2:5、参加此次政府采购活动前三年内，在经营活动中没有重大违法记录；在投标截止时间前在“信用中国”及中****网（********）上未被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单；;资格要求3:6、其他条件： 按照等级保护测评资质要求，供应商需提供公安部第三研究****网络安全服务认证证书等级保护测评服务认证》，响应文件中提供证书复印件加盖公章佐证。;次要参数要求: 1件 ********.00 -   买家留言：供应商必须完全响应采购内容并提交加盖公章的完全响应承诺函及加盖公章的相关证明材料。   附件： 南昌公积金安全服务内容********南昌公积金安全服务内容******** 

本招标项目仅供 正式会员查阅，您的权限不能浏览详细信息,请点击注册/登录，请联系工作人员办理入网升级。
联系人：方婷
电话：010-53341173
手机：13011091135 (欢迎拨打手机/微信同号)
邮箱：fangting@zbytb.com

下载招标公告:南昌住房公积金管理中心信息安全服务竞价公告.pdf