南通卫生高等职业技术学校拟对网络安全等级保护测评及安全服务项目进行招标

招标文件编号：BS2019060

江苏南通卫生职业技术学校

网络安全等级保护评价及安全服务项目招标文件

江苏南通卫生高等职业技术学校（以下简称投标人）拟投标网络安全等级保护评价及安全服务项目。欢迎符合条件的单位（以下简称投标人）参与投标。

一、招标文件编号：BS2019060

二、投标供应商资格要求

1、具有独立承担民事责任的能力；具有良好的商业信誉和健全的财务会计制度；具备履行合同所必需的设备和专业技术能力；有依法缴纳税款和社保基金的能力备案；参加本次政府采购活动前三年，在经营活动中无重大违法记录。

2、信息系统安全服务可提供南通本地化服务；

3、在有效期内有网络安全等级保护评估机构的推荐证书；

4、保安服务人员、考核人员的时间、地点及考核时限满足招标人要求（详见第三项）；

3、2019年1月1日以来，同规模及以上类似案件不少于1起（提供合同复印件并加盖公章）；

4、未列入“信用中国”网站失信被执行人名单、重大涉税违法案件当事人名单、政府采购严重失信记录名单及书面声明近三年无重大违规记录；

5、法定代表人为同一人的两家及以上公司，母公司、全资子公司及其直接控制或间接控制的关联公司，不得同时投标；

6、本项目不接受联合体投标分包或投标后分包。

三、项目要求

(一）信息系统安全服务

1、简介

我单位信息系统部署在校园机房、公有云和专属云平台，拥有自己的服务器、网络和安全设备。此次购买是为期一年的网络安全服务。

2、安全服务内容及要求

本项目主要服务地点为江苏省南通卫生高等职业技术学校。服务范围主要是主校区的网络设备、机房、配套设备。

序列号

主要项目

子项目

1

基本安全服务

服务器安全

2

互联网安全

3

专业的网络安全服务

安全扫描服务

4

渗透测试服务

5

新应用上线安全检测服务

6

7×24小时网站监控服务

7

咨询服务

日常安全咨询

8

安全规划和解决方案设计

9

紧急支持服务

应急响应

10

应急演练

11

安全通知服务

安全通知

12

安全培训服务

安全培训

13

其他

所有信息系统的分级和归档。

3.基本安全服务

(1）服务器安全

规划和部署服务器安全策略，关闭服务器上未使用的端口，制定服务器安全需求分析信息安全服务项目，管理服务器安全事件，防止服务器被攻击和应用程序瘫痪（2次/月）。

每月对服务器进行定期检查，并做好检查记录。检查内容包括硬件运行状况、系统软件运行情况、发现问题及解决办法（1次/月）。

(2）网络安全

安全设备例行检查：针对堡垒主机、数据库审计、日志审计、VPN等安全设备，每月进行一次例行检查，并做好检查记录，包括安全系统可访问性、延迟、性能观察，如CPU、内存使用、攻击信息记录、提交安全分析报告（1次/月）。

网络安全设备配置管理：定期备份网络安全设备配置，防止因异常情况导致网络中断无法尽快恢复（2次/月）。

安全设备的策略制定和部署：根据业务系统需求，制定合理的安全策略，规划安全策略部署方案并实施，包括访问控制策略、基于源和目的的业务控制等（2次/月）。

安全故障排查：安全故障排查主要是指对网络设备的配置和运行造成的网络瘫痪、无法访问等问题进行排查和处理，以保证网络的稳定运行。

安全系统的日常维护和管理：包括在我办提供的规则库和病毒库有效期内定期升级安全设备，更新部署针对性策略等（2次/月） .

安全日志汇总分析：汇总分析网络中所有安全系统的日志，包括杀毒系统和客户端管理系统，评估网络安全系统的运行状况（一次/季度）。

安全风险分析与强化：根据业务需求，制定网络安全解决方案，强化网络安全管理机制，实现网络安全策略的有效部署，提升网络安全稳定性（一次/季度）。基本安全服务的范围是：

序列号

系统

设备

IP

目的

在服务期内，新设备和虚拟主机都包含在服务范围内。需要指定基础安保服务，定期开展服务。

4、专业的网络安全服务

(1）安全扫描服务

对网络中的主机（操作系统、中间件、数据库、应用软件）、安全设备等进行全网扫描，及时发现最新漏洞，提交安全扫描报告（1次/月）。

根据安全扫描报告，根据实际情况对安全风险进行安全加固和系统优化。对于需要其他第三方支持的（如需要应用开发者修复或原厂响应的），提供改进建议（1次/月）。

(2）渗透测试服务

根据要求，在不影响系统正常运行的前提下，对重要信息系统进行多维度的信息系统测试服务，找出可能渗透的相关漏洞指标。及时提出漏洞指标的整改措施（1次/年）。

(3）新应用启动安全服务

如果甲方在服务年度内有新应用上线，应在正式上线前扫描新应用并进行完整的风险评估，并根据风险评估结果协助用户进行相应的整改工作报告。并协助重要信息系统的等级备案。

（4）7×24小时网站监控服务

提供远程网页挂马监测服务、远程网页篡改监测服务、远程网页敏感内容监测服务、远程网站稳定性监测服务、远程网站域名监测服务、远程钓鱼网站监测服务，并定期出具定期监测报告。使甲方能够实时掌握网站的风险状况和安全趋势，监控并定期衡量网站的风险隐患。

提供网页挂马远程监控服务，网页挂马智能检测技术，高效准确识别网页挂马，第一时间通知甲方清除，

提供远程网页篡改监控服务，发现被篡改情况，及时修复。

提供远程网页敏感内容监控服务，实时监控甲方网站页面，发现任何敏感关键词，及时通知甲方删除。

提供远程网站稳定性监控服务。第三方服务机构实时监控甲方网站的响应速度、首页加载时间等反映网站运行状态的内容。如发现网站无法访问，将尽快通知甲方恢复和减少业务。中断甲方造成的经济损失。

提供远程网站域名监控服务。第三方服务机构实时监控甲方的DNS授权服务器和ISP的DNS缓存服务器以及甲方网站域名的解析。如无法解析或解析错误，应第一时间通知甲方处理，以减少因域名不可用造成的业务损失。

远程钓鱼网站监控服务，第三方服务机构实时监控互联网上存在的钓鱼或钓鱼网站。一旦发现针对甲方的钓鱼或钓鱼网站，将第一时间通知甲方，协助拦截和关闭，保护甲方的经济利益和品牌声誉。

5.咨询服务

(1）日常安全咨询：当软硬件系统出现异常，怀疑发生安全事件时，提供分析建议；发生病毒爆发时，提供技术解决方案；发生重大安全事件时，提供技术解决方案和系统加固建议，并提供相应的应急协调服务。

(2）安全规划与方案设计：为信息系统安全建设提供规划与方案设计服务，包括项目立项、前期调研、可行性研究、方案设计、设备选型参考、项目管理协助、项目验收协助和整体咨询服务解决方案。

6、紧急支援

(1）应急响应：在服务过程中，如果客户遇到安全事件，必须启动应急技术支持服务，提供应急技术支持团队提供应急支持服务，制定应对措施，半小时内响应，24小时内解决，一般问题2小时内。提供7*24热线支持，现场/远程技术支持，最大限度降低用户风险，快速排除故障。

(2）应急演练：在服务年度内协助我单位进行应急演练，并协助完成应急演练计划的修订。

7、安全通知

安全通知服务通过电子邮件、电话、上门拜访等方式及时向客户传递安全技术和安全信息，当出现重大安全风险时，需要及时通知，并提出应对措施主要安全风险的战略，以协助响应。

8、安全培训

提供安全意识与技能培训服务，包括：网络架构知识培训、安全意识培训、信息与信息安全、风险管理与风险评估、技术培训不超过合同总金额的5%，培训内容应由甲方指定提供，以及网络和安全产品培训等项目，培训费用由中标人提供。

9、其他

(1）配合上级管理单位要求的网络安全检查。

(2）重大事件（会议、活动等），根据用户要求提供系统保障。

(3）配合所有信息系统的分级和归档工作。

(二）网络安全等级保护评估

1、评估范围

序列号

系统名称

录制状态

1

校园门户

中学

2

校园卡

中学

3

办公OA系统

中学

2、测评内容

(1）一般要求：

①完成上述信息系统安全等级评估，评估后采购方确认并出具符合信息系统等级评估要求的评估报告；

②对上述信息系统不符合信息安全等级保护相关管理规范和技术标准的，提出切实可行的整改方案，并提供相应的安全整改建议。

(2）质量要求：

①等级评价与服务原则：合规性原则、标准化原则、规范性原则、可控性原则、诚信原则。

②信息系统安全等级保护等级及评价服务依据：

《GB/T 22239-2008 信息安全技术-信息系统安全等级保护的基本要求》，

《GB/T 22240-2008信息安全技术信息系统安全等级保护分级指南》，

《GB/T 28448-2012信息安全技术信息系统安全等级保护评价要求》，

《GB/T 28449-2012信息安全技术信息系统安全等级保护评价流程指南》，

《GB/T 25058-2010信息安全技术信息系统安全等级保护实施指南》。

(3）信息安全等级评估内容：

①安全技术评价：包括物理安全、网络安全、主机系统安全、应用安全和数据安全五个方面；

②安全管理评价：从安全管理组织、安全管理体系、人员安全管理、制度建设管理和系统运维管理五个方面进行安全控制评价；

(4）提供整改咨询服务，根据被测系统的最终评估报告，针对当前系统状态提出安全整改建议并协助整改工作。

3、评估原则

(1）客观公正原则：评估人员应不偏不倚，在主观判断最小的情况下，根据评估双方共同认可的评估方案，以明确的评估为基础方法和解释，应该进行评估活动。

(2）可重复性和可再现性原则：按照相同的要求，使用相同的评估方法，重复执行每个评估实施过程应该产生相同的结果。

(3）连续性原则：在瞬息万变的信息安全环境下，确保招标人在有效服务期内风险评估结论的准确性和及时性。重新评估本地信息资产和服务体系或新建信息化项目，降低招标人成本，保证信息安全评价的动态稳定性。

(4）可扩展性原则：评估过程结束后，信息安全评估过程必须保持可扩展性，并进一步加强评估结束后招标人的安全管理有效性和可用性。

p>

(5）保密原则：在评价过程中，严格遵守保密原则，签订保密协议，服务过程中涉及的用户信息不得泄露给他人未经许可，不得泄露给任何其他第三方。利用该等信息损害招标人利益。

(6）交互原则：在整个评审过程中，每个阶段都可以根据招标人的要求和实际情况及时调整评审的内容和方法，从而更好地进行风险评估工作。

(7）影响最小原则：评估工作应尽量减少对系统和网络正常运行的影响，不应对业务的正常运行产生重大影响（包括显着的系统性能）降级、网络拥塞、服务中断等）），如果无法避免，请描述。

(8）规范性原则：信息安全等级保护评价服务的实施必须由专业的评价服务人员按照规范的操作流程进行，操作过程和结果必须相应记录，并完成服务报告。

(9）质量保证原则：在整个评审过程中，必须严格按照项目实施计划和流程进行质量管理，加强监督，把控项目进度和质量.

4、评估员和时间框架要求

(1）对现场评估人员要求：本次评估至少需要高级评估员1名，中级评估员2名，初级评估员1名。本次评估项目不得分包或分包，所有现场评估员必须是公司自己的正式员工，所有现场评估人员必须持证上岗，提供项目组成员名单、社保部门出具的社保缴费证明、相关证明复印件等，项目组未经招标人同意，不得变更成员。

(2）考核时间要求：合同签订后一周内开始考核。

(3）评估期限要求：评估工作开始后60日内完成信息安全等级保护评估，并出具盖章报告。

四、项目价格及报价

1、本项目的供应商应包括人工费、设备费、税金等所有费用，包括设备调试费、人员培训费，以及所需的设备、配件等设备及辅助材料提供服务。 本项目总价固定，请投标人按要求谨慎报价。因报价和质量造成的损失由投标人承担。

2、本项目最高售价20万元。

五、其他

1、签订合同：自中标（交割）通知之日起15个工作日内按时签订合同。 .

2、支付：在等级保护评估完成并出具评估报告后支付工程金额的60%，服务期（一年）结束后支付剩余的40%完成。

3、交货期（服务时间）：自合同签订之日起1年。

4、发货（服务）地点：江苏省南通市卫生职业技术学校。

5、保修期：无。

6、验收或评估计划：等级保护评估的时限是在评估开始后60天内完成信息安全等级保护评估并出具盖章报告。

7、售后服务及其他（包括安装、调试、培训、维护等）

参见招标文件中的其他条款。

六、投标须知

(一）供应商如有疑问，应在发布招标公告和招标文件后3日内以书面形式提出询问或提问。供应商未在规定时间内提出询问或提问的信息安全服务项目， 3天即视为供应商 了解并接受本投标文件的全部内容，投标后供应商不得对投标文件的全部内容提出任何问题，以非书面不作为为以后处理的依据挑战。

(二）招标文件的澄清、修改和问答

1。招标人有权对已发出的招标文件进行必要的澄清或修改。

2。招标人可酌情取消或延长相关时间，不负责解释。

3。招标人对招标文件的澄清和修改构成招标文件的一部分，对供应商具有约束力。

4。供应商对招标文件及招标人对有关问题的口头说明造成的推断和误解所造成的后果负责。

5。招标人应酌情组织问答会。

(三）投标产生的一切费用由投标人承担，投标人不收取任何费用。

(四）投标保证金

1、投标人缴纳投标保证金5000元，中标后转为履约保证金。投标保证金由投标人在投标时以现金形式提交，保证金由招标人在投标时交验。

2、投标人在提交投标材料时未交纳保证金以备查验的，视为放弃本次投标资格。

3、支付定金的投标人无故未投标的，招标人有权没收定金作为罚款。

4、未能中标的投标人，开标后现场退还原价；中标人押金在合同签订后转为合同履约保证金，在工程验收交付后原价退还，合同另有约定的除外。

5、中标人无正当理由拒不签订合同的，招标人有权取消中标资格，并有权扣除投标保证金作为违约金。

(五）招标文件的准备

1、编译说明

(1）投标人应仔细阅读招标文件的全部内容，按照招标文件的以下要求准备招标文件。

(2）招标人不接受电话或传真投标。

2、编译要求

招标文件装订牢固，装订成册。不允许使用活页夹、拉杆夹、文件夹、塑料便利脊（插入或穿孔）。招标文件行间不得插字、涂改、增删。如有错漏补正，必须由招标文件签字人签字并加盖供应商公章。

招标文件分为正本和副本一份，并标明“正本”和“副本”字样。正本与副本如有差异，以正本为准。正本和副本应分开盖章，并在公章处加盖单位公章，并在封面上注明招标项目、投标人、联系电话等信息。投标报价单必须密封在一个小信封中，放入投标文件原件，封面上注明投标人、联系人、联系电话等信息。

招标文件原件及复印件包含以下一、第二部分

第一部分，资格审查部分，应包括以下内容，不得有遗漏或遗漏项目，否则视为中标。所有材料的复印件必须加盖公章。

(1）招标文件目录。

(2）投标人营业执照（复印件加盖公章）。

(3）法定代表人授权委托书及法定代表人及受托人身份证复印件（法定代表人亲自参加投标的除外。见附件）格式 1）.

(4）网络安全等级保护评估机构推荐证书（复印件加盖供应商公章，原件供参考）；

(5）供应商近三年无重大违法记录的书面声明（加盖供应商公章）；

(6）供应商投标承诺书（格式见附件4，原件加盖供应商公章）；

(7）提供供应商自2019年1月1日起承担的信息系统2级及以上保护评估案例1例，出具合同副本并加盖供应商公章；

(8）人员名单：提供安全服务人员名单；至少高级评估员1名，中级评估员2名，初级评估员1名，并提供评估人员职称证书复印件。提供以上三个月社保缴费证明材料，加盖供应商公章；

(9）技术部分正负偏差表（见附件3，加盖供应商公章）。填写正负偏差表，如完全回答，请在空白表中列出. 如未完全回复，请务必列在偏差表中；若列不完整，则视为故意隐瞒。

第二部分技术审查部分

根据第三项的项目要求和第八项的评分标准编制。 （提供公司信息、荣誉业绩、服务内容、响应内容、人员、设备性能参数、交货地点、安装调试、售后服务等）