目录
为了应对这些网络安全问题带来的挑战,博物馆构建了以网络安全为目标的持续化安全托管服务来提升博物馆信息安全的实际防护效果。当前博物馆网络安全托管服务即将到期,到期后博物馆将面临受限于人力、技术资源以及整体安全运营经验不足的情况,致使博物馆信息网络缺少安全保障,安全效果无法达到预期。因此,急需专业的信息网络安全托管服务,以确保博物馆信息网络安全。
供应商须对本项目服务需求进行整体响应,任何只对其中一部分内容进行的响应都被视作无效处理。
本需求文件中,标注有“★”的条款必须实质性响应(满足或优于),供应商要特别加以注意,必须对此作出响应,负偏离(或不响应)将导致投标响应无效。凡标有“▲”的参数不满足将导致严重扣分。
供应商出具符合本项目需求的服务技术方案、同时配备相应技术人员和项目经理,由广东省博物馆项目负责人统一协调工作任务。
本项目在服务要求中所涉及到的需求条款供供应商参考。供应商所投服务技术方案和重保期服务要求不得低于本文件所描述的服务要求。
(一)在中华人民共和国境内注册的,具有独立法人资质的一般纳税人企业。
(二)具有独立承担民事责任的能力。
(三)具有良好的商业信誉。
(四)具有履行合同所必需的经验和专业技术能力。
(五)有依法缴纳税收和社会保障资金的良好记录。
(六)法律、行政法规规定的其他条件。
(一)营业执照
(二)报价单
(三)真实性承诺函
(四)供应商服务能力证明(相关证书复印件)
(五)相关业绩(合同复印件)
(六)拟投入服务管理团队人员情况
(七)技术条款响应情况
(八)对本项目现状分析情况
(九)安全保障服务方案
(十)重保期应急响应服务方案
(十一)培训方案
(十二)其他与本项目相关的材料
说明:以上材料均需加盖投标人公章,不盖公章将列为无效文件。
(一) 报价无论是否被采纳,报价方均须承担响应询价所发生的一切费用。
(二)本项目由广东省博物馆组织评审,以综合评分高者得的方式进行采购。评选结果向报价人发出通知。
(三) 本次采购内容最高限价为 17 万元,高于限价则视为无效报价。
(四) 报价方提供的报价材料均需加盖公章。
(五)递交时间:2025年6月5日至2025年6月11日(公示5个工作日)。报价单位的报价文件需密封递交并在封口处加盖公章,报价方上述所需资料一式三份提交至广东省博物馆信息技术部(邮寄地址:广州市天河区珠江东路2号余工收)。该采购文件原件必须一并放在密封文件袋内。密封件上标明项目名称。
项目限价:人民币 17 万元。
联系人:余工 联系电话:020-38046853
提供网络安全托管服务,以保障网络安全“持续有效”为目标,围绕资产、漏洞、威胁、事件四个风险要素,通过云端安全运营平台和安全专家团队有效协同的“人机共智”模式,与用户一同构建7*24小时持续守护、有效预防和主动闭环的体系化安全运营能力。
服务内容 | 数量 | 服务期 |
安全托管服务MSS | 1项 | 合同签订起1年 |
重保值守服务 | 1项 | 合同签订起1年 |
《信息安全技术 网络安全等级保护安全设计技术要求》(GB/T 25070-2019);
《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2022);
《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2022);
《信息安全技术 网络安全等级保护定级指南》(GB/T 22240-2020);
《信息安全技术 网络安全等级保护测评过程指南》(GB/T 28449-2018);
《信息安全技术 操作系统安全技术要求》(GB/T 20272—2023);
《信息安全技术 数据库管理系统安全技术要求》(GB/T20273-2023);
《信息安全技术 服务器安全技术要求和测评准则》(GB/T 39680—2020);
《信息安全技术 终端计算机通用安全技术要求与测试评价方法》(GB/T 29240—2020);
《信息安全技术 网络安全等级保护实施指南》 (GB/T25058-2023);
序号 | 项目名称 | 服务类别 | 服务内容 | 单位 | 数量 | 备注 |
1 | 安全托管服务 | 安全托管服务MSS | 服务内容: 1、运营准备阶段 1.1服务上线 ▲组件部署与接入:安全专家对需要接入MSS的组件(如TSS/SIP/AF/EDR等)进行部署并接入至MSSP安全运营平台。 (提供云端服务平台支持对接的上述组件的能力证明,展示详细的对接步骤。) ▲资产收集与录入:安全专家在上线前对服务资产进行收集,并将资产信息录入到安全运营平台中进行管理。 (提供承诺函并加盖供应商公章。) 1.2安全现状评估 ▲策略检查:上线前安全专家对安全组件上的安全策略进行统一检查,确保安全组件上的安全策略始终处于最优水平,针对威胁能起到最好的防护效果。 (提供确保安全策略始终保持最优水平承诺函并加盖供应商公章) ▲脆弱性评估:对操作系统、数据库、常见应用/协议、系统与Web漏洞进行漏洞扫描,弱口令扫描可实现信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh、mysql、tomcat等。 (提供定期进行脆弱性评估承诺函并加盖供应商公章) ▲资产暴露面梳理:安全专家在上线前使用扫描组件对资产开展暴露面探测,以梳理资产面向互联网的开放情况,快速发现违规暴露在互联网中的资产及存在的风险并进行协助处置,实现对暴露面资产可管可控,降低暴露面资产的风险。(本项服务根据客户实际业务情况按需提供) (需提供服务工具具备以上暴露面梳理能力的证明截图并加盖供应商公章) 1.3安全问题处置 ▲策略调优:安全专家根据安全威胁/事件分析的结果以及处置方式,对安全组件上的安全策略进行调整工作。 (提供成交供应商云端服务平台策略检查工具的截图证明并加盖供应商公章,证明具备上述能力) ▲脆弱性问题修复指导:针对内网脆弱性,安全专家分析研判后提供实际佐证材料,并给出修复建议。 (提供一个威胁情报的安全通报工单,工单内容包含威胁情报的基本信息和推送信息以及跟进记录,要求明确说明关联资产信息的排查情况) 2、持续有效运营 2.1▲资产管理 资产指纹探测:持续服务过程中安全专家每季度对资产进行指纹(操作系统、中间件、软件厂商等信息)探测,并对指纹信息进行确认与更新,确保深信服安全运营中心中资产指纹信息的准确性和全面性。 资产变更管理:持续服务过程中安全专家每季度对资产进行存活性探测,当发现未存活资产或资产发生变更时,安全专家对变更信息进行确认与更新,确保深信服安全运营中心中资产信息的准确性和全面性。 (提供确保资产管理信息及时更新确保准确性和全面性的承诺函并加盖供应商公章) 2.2脆弱性管理 ▲漏洞扫描与验证:每季度针对服务资产的系统漏洞和Web漏洞进行全量扫描,并针对发现的WEB漏洞进行验证,验证WEB漏洞在已有的安全体系发生的风险及分析发生后可造成的危害。 (需提供服务平台具备高危可利用漏洞防护规则的证明,并且支持对扫描到的高危可利用漏洞能够自动匹配漏洞防护规则) 漏洞修复优先级排序与通告:基于漏洞扫描结果、资产重要性及漏洞的威胁情报,对漏洞进行重要性排序,确定修复的优先级;并将最终结果通告给用户。 ▲漏洞可落地修复方案:对漏洞进行分析并输出可落地的修复方案,通过工单系统跟踪修复情况。 (提供一个威胁情报的安全通报工单,工单内容包含威胁情报的基本信息和推送信息以及跟进记录,要求明确说明关联资产信息的排查情况) 漏洞复测与状态追踪:对修复的漏洞进行复测,及时更新漏洞工单的漏洞修复状态。 ▲弱口令分析与管理:实现信息化资产不同应用弱口令猜解检测,如:SMB、Mssql、Mysql、Oracle、smtp、VNC、ftp、telnet、ssh (提供具备脆弱性管理能力承诺函并加盖供应商公章) | 年 | 1 | |
2 | 重保值守 | 重保值守服务 | 服务概述: ★驻场值守:在HW期间,安服工程师提供每天8小时的驻场值守服务,值守工作内容包括态势感知等安全流量设备日志分析与研判,每天输出值守报告。 (提供承诺函并加盖供应商公章,格式自拟) ▲服务期限:仅限于在本项目合同签订生效之日起一年内启用,自服务正式上线/启用之日起算服务期限,含原厂工程师50天的驻场值守服务。 (提供承诺函并加盖供应商公章,格式自拟) | 年 | 1 |
服务期:提供1年安全托管服务和重保值守服务。
驻场值守:在服务期间,安服工程师提供每天8小时的驻场值守服务。
服务期限满足合同签订生效之日起一年内启用,自服务正式上线/启用之日起算服务期限,含原厂工程师50天的驻场值守服务。
★重保期内,非驻场值守服务时间外,提供7*24小时响应服务,接到应急服务通知,提供15分钟内响应服务、1小时内到现场处置服务。
(1)应急响应服务主要工作内容包括:
1)应急响应过程中所涉及的资产对象包括但不限于:系统相关的服务器设备、操作系统、数据库、中间件;系统相关的业务应用系统;系统相关的业务数据;系统相关的安全设备等。
2)应急响应的安全事件类型包括但不限于:拒绝服务;恶意代码;未授权访问;不当应用;以上事件的综合。
3)应急响应的安全事件可能具有但不限于以下几种现象:重要业务系统出现资源占用异常升高(包括CPU和内存使用率、硬盘占用等);业务应用系统出现异常;重要业务系统出现异常进程、非法访问、爆发病毒等;重要系统出现启动或关机异常,系统崩溃;重要业务系统数据被窜改等。
4)应急响应服务内容包括但不限于:事件范围损失控制,取证,事件处理,外部攻击源追溯,内部脆弱性分析;提供相关文档详实记录分析判断过程及结果,包括使用软件记录应急响应人员在其主机上的所有操作,便于审计和考核;提供相关的工具和产品支持,包括:防病毒软件、实时监控软件、日志分析软件、取证工具等;入侵分析:判断安全事件类型;应急修复:排除潜在的隐患、恢复系统正常操作;入侵跟踪与诱捕:采取多种方式跟踪入侵,锁定入侵者;攻击取证:对攻击行为进行分析,攻击证据的提取与保存。
在重保护网期间,成交供应商为本项目成立工作小组,至少安排1名项目经理和2名技术服务人员,项目经理需具备PMP、CISP、ITIL、信息技术应用创新专业人员等相关证书,技术服务人员具有与本项目相关的中级(含)以上职称证书;根据实际情况至少有一名安服工程师提供每天8小时的驻场值守服务,值守工作内容包括但不限于态势感知等安全流量设备日志分析与研判,每天输出值守报告,具体负责:项目进度控制、编写项目周报、编制技术方案及项目总结报告等技术文档、协调完成本项目服务工作。
供应商资质要求:
供应商具有信息系统安全集成服务资质三级、信息系统安全运维服务资质三级、信息系统风险评估服务资质三级、信息系统应急处理服务资质三级。
供应商能力要求:
(1)供应商具有同类项目经验;
(2)供应商具备相关管理体系认证证书;
(3)供应商应针对本项目的制定运营服务方案,安全保障服务方案,应急响应服务方案,培训方案,重保期外应急响应服务方案,结合项目特点制定质量保证体系及措施等;成交供应商须严格执行采购人各项规章制度,确保项目的正常运转。
提供专业完备的人员保障组织机构和清晰的保障工作流程及说明。
提供信息网络安全风险评估,包含资产梳理、渗透测试、漏洞扫描、基线检查、安全加固、安全态势感知和网络边界防护控制能力扩充等。
提供网络安全应急响应演练以及安全意识培训服务。
(1)项目服务期结束,成交供应商提交满足合同要求的全部项目资料,向采购人提交项目验收申请,经采购人确认后,由采购人7日内组织验收。
(2)验收内容:项目技术服务内容要求的全部服务成果文档,包括但不限于应用系统资产清单、硬件资产清单、项目月报、编制技术方案及项目总结报告等技术文档等。
(3)验收执行标准:
1)采购需求中描述的相关技术要求;
2)采购需求中列出的主要参照技术标准、规范以及其他与本项目的相关安全质量标准或行业规范;
3)采购人与成交供应商在项目实施过程中约定的其他相关技术要求;
4)完成项目所有建设内容,并按照成果要求内容提交满足合同要求的的所有成果。
(1)在项目服务期内,完成各项服务工作所需使用的各项软硬件产品,均由成交供应商提供。由此产生的各类费用,均由成交供应商自行承担,采购人不另行支付。
(2)在项目服务期内,成交供应商提供的软硬件产品,如有数据存储设备(例如硬盘、U盘等),在服务期内该数据存储设备应由采购人保管,服务期结束后该存储设备均归采购人所有,不再返还成交供应商。
(3)重保期外,在发生安全事件时,成交供应商提供7x24小时的应急响应服务,安服工程师需要在15分钟内电话响应,且在一个小时内到达现场,重保期外服务所产生的费用由采购人支付。
(1)成交供应商对本合同的签订、履行以及本合同签订、履行过程中所获得的相关资料、信息、数据以及其他秘密,负有严格保密义务。未经采购人书面同意,成交供应商不得以任何形式予以公布、发布、披露、泄露,也不得以任何形式作非本项目之外的其他任何用途使用。若成交供应商违反保密义务,成交供应商应当赔偿采购人由此而造成的全部损失,承担全部法律责任。
(2)因履行保密义务而产生的相关费用已包含在本合同之中,采购人无需另行向成交供应商或者成交供应商工作人员支付任何保密费用。
(3)本条款以及本合同中的保密义务,均为长期义务,且不因本合同的终止或解除而失效。
序号 | 评审分项 | 评审细则 | 单项 分值 |
1 | 供应商服务能力 | 供应商具有以下相关证书: 1、提供信息系统安全集成服务资质三级或以上、信息系统安全运维服务资质三级或以上、信息系统风险评估服务资质三级或以上、信息系统应急处理服务资质三级或以上;供应商每提供一个,得1.5分,最高得6分; 注:需提供相关证书复印件,已失效的不得分,未提供以上材料的不得分。 2、提供质量管理体系认证证书、信息安全管理体系认证证书、信息技术服务管理体系认证证书,供应商每提供一个,得1分,最高得3分; 注:同时提供证书复印件及打印网站公布的链接信息资料【网址以http://www.cnca.gov.cn/网站公布为准】,已失效或撤销或暂停的不得分,未提供以上材料的不得分。公开信息中无法查询或与公开信息不一致的,供应商必须提供发证机构出具的证明函。 | 9分 |
2 | 项目业绩 | 1、2022年1月1日至磋商截止之日止(以合同签订时间为准)供应商承接过的同类项目业绩,每提供一个同类项目业绩得2分;此项最高得8分,同一业主续签不重复计分。 注:①提供项目合同关键页复印件(合同关键页包括:合同封面、服务内容页及双方签章页),②同一项目不同年份的合同只计一次分值,不重复计算业绩分数。同一业主在同一采购项目中续签的合同不重复计分。同一合同只计取一次分值。 | 8分 |
3 | 拟投入服务管理团队人员情况 | 1、项目经理:拟投入本项目的项目经理具有PMP;CISP注册信息安全专业人员;ITIL;信息技术应用创新专业人员;每提供一个证书得2分,最高得8分; 2、拟投入技术服务人员中(项目经理除外)具有CISP注册信息安全专业人员;CISAW信息安全保障人员认证;或与本项目相关的中级(含)以上职称证书的,每人得2.5分,最高得5分。 (同一个人拥有多个证书不重复计分,须提供以上相关证书及社会保障部门出具的近6个月内任意一个月在供应商单位缴纳社保的有效凭证的复印件,如开标日上一个月的社保材料因社保部门暂时无法取得,可以往前顺延一个月;未按要求提供相关证明材料的不得分) | 13分 |
合计 | 30分 | ||
注:1.评委按分项的规定分数范围内给各供应商进行打分,并统计总分。
2.需求文件要求提交的与评价指标体系相关的各类有效资料,供应商如未按要求提交的,该项评分为零分。
序号 | 评审分项 | 评审细则 | 单项 分值 |
1 | 技术条款响应情况(“★”条款除外) | 根据供应商对本需求的“需求清单”中带“▲”条款的响应程度进行评审(共有12个“▲”条款),每有一项带“▲”要求满足或正偏离得1分,负偏离不得分,本项最高得12分。 注:1)如采购需求书中有明确要求提供证明资料的,以采购需求书中的要求为准;如采购需求书中未明确证明材料的,以供应商在条款响应文件中的响应情况为准,未提供的或参数不满足的都视为负偏离。2)标有序号的▲号条款均以一项单独的条款计算,无论是否隶属于上一级编号。 | 12分 |
2 | 对本项目现状分析情况 | 根据供应商对本需求的现状分析情况进行评审: (1)供应商对本项目的现状分析内容全面细致,完全符合项目实际情况、现状分析有针对性及理解到位的得12分; (2)供应商对本项目的现状分析内容基本全面细致,基本符合项目实际情况、现状分析基本有针对性及理解基本到位的得8分; (3)供应商对本项目的现状分析内容比较全面,较能符合项目实际情况、现状分析针对性一般及理解一般的得4分; (4)供应商对本项目的现状分析内容简单粗略,部分符合项目要求、缺乏针对性及理解一般的得2分; (5)未提供,不得分。 | 12 |
3 | 安全保障服务方案 | 根据供应商对本项目提供的安全保障服务内容进行评分,内容包括但不限于重保值守等,且能够提供符合要求的重保专业服务工具,实施人员需了解采购人现有安全设备及本项目提供的重保专业服务工具的使用和维护,可实现安全设备的有效联动和高效的风险处置,做好重要时期安全保障工作等: (1)涵盖上述所有内容项且服务方案对各项内容覆盖全面、完整的,可行性、合理性强,分析深入准确,设备联动性高,完全满足采购需求,得15分; (2)涵盖上述所有内容项且服务方案对各项内容覆盖全面、完整的,具有一定的合理性、可行性,分析较为深入,设备联动性较高,基本满足采购需求,得8分; (3)服务方案只涉及部分内容的,缺乏合理性、可操作性,分析不深入的,设备联动性一般,部分满足采购需求,得3分; (4)不提供的,得0分。 | 15分 |
6 | 重保期应急响应服务方案 | 1、应急响应服务时间: 电话响应时间≤15分钟,到达现场时间≤1H,得2分; 15分钟<电话响应时间≤30分钟,1H<到达现场时间≤1.5H,得1分; 电话响应时间>30分钟或到达现场时间>1.5H的,不得分。 (提供承诺函并加盖供应商公章,未提供不得分,格式自拟) 2、根据供应商提交的应急响应服务方案进行评分: 提供的售后服务方案合理、安全性高、科学、有保障,得4分; 提供的售后服务方案基本合理、安全性一般,得2分; 提供的售后服务方案不合理、安全性低,得1分; 无方案不得分。 | 6分 |
7 | 培训方案 | 根据供应商提交的培训方案进行评分: 1、培训方案内容全面:包含技术交底培训、不定期集中答疑培训、项目现场培训等内容;被培训人员按照维护、管理的不同要求进行分级培训;得15分; 2、培训方案内容较为全面:包含技术交底培训、项目现场培训等内容;得10分; 3、培训方案内容缺失较多,内容不全面,得5分 4、未提供培训方案,得0分。 | 15分 |
10 | 投标报价 | 价格采用低价优先法计算,即满足招标需求且投标价格最低的投标价为评标基准价,其价格为满分,其他投标人的价格统一按照下列公式计算: 投标报价得分=(评标基准/投标报价)×100×权重 | 10 |
合计 | 70 | ||
注:1.评委按分项的规定分数范围内给各供应商进行打分,并统计总分。
2.需求文件要求提交的与评价指标体系相关的各类有效资料,供应商如未按要求提交的,该项评分为零分。
