【招标公告】龙岩烟草工业有限责任公司信息系统安全检测评估服务-2025年等项目询价函
所属地区:福建龙岩市
发布日期:2024-11-09
【招标公告】龙岩烟草工业有限责任公司信息系统安全检测评估服务-2025年等项目询价函:本条项目信息由剑鱼标讯福建招标网为您提供。登录后即可免费查看完整信息。
基本信息
| 地区 |
福建 龙岩市 |
采购单位 |
龙岩烟草工业有限责任公司 |
| 招标代理机构 |
福建瑞晟建设工程造价咨询有限公司 |
项目名称 |
龙岩烟草工业有限责任公司信息系统安全检测评估服务-2025年等项目 |
| 采购联系人 |
*** |
采购电话 |
*** |
龙岩烟草工业有限责任公司信息系统安全检测评估服务-2***25年等项目询价函
(招标编号:/)
项目所在地区:福建省,龙岩市
一、招标条件
本龙岩烟草工业有限责任公司信息系统安全检测评估服务
2***25年等项目已由项目审批/核准/备案机关批准,项目资金来源为国有资金***万
元,招标人为龙岩烟草工业有限责任公司。本项目已具备招标条件,现招标方
式为公开招标,特邀请有兴趣的潜在投标人提出资格预审申请。
二、项目概况和招标范围
规模:详见公告
范围:本招标项目划分为1个标段,本次招标为其中的:
(******1)龙岩烟草工业有限责任公司信息系统安全检测评估服务
2***25年等项目;
三、投标人资格要求
(******1龙岩烟草工业有限责任公司信息系统安全检测评估服务
2***25年等项目)的投标人资格能力要求:/;
本项目不允许联合体投标。
四、资格预审文件的获取
获取时间:从2***24年11月***8日******时******分到2***24年11月15日17时29分
获取方式:附件可下载
五、资格预审申请文件的递交
递交截止时间:2***24年11月15日17时3***分
递交方式:请各报价供应商按照附件一、附件二、附件三所列内容,进行
投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报价文件(附件
一、附件二)加盖报价供应商公章后,于2***24年11月15日17:3***前扫描并发送邮
件至我司联系人电子邮箱。请各报价供应商按照附件一、附件二、附件三所列
内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报
价文件(附件一、附件二)加盖报价供应商公章后,于2***24年11月15日17:3***前扫
描并发送邮件至我司联系人电子邮箱。
六、资格预审开始时间及地点
资格预审开始时间:
资格预审地点:
评审办法:
七、其他
详见附件
八、监督部门
本招标项目的监督部门为福建中烟工业有限责任公司龙烟审计派驻办。
九、联系方式
招标人:龙岩烟草工业有限责任公司
地 址:福建省龙岩市新罗区乘风路1299号
联系人:***
电 话:***597-2776583
电子邮件:wh122333@fjtic.cn
招标代理机构:福建瑞晟建设工程造价咨询有限公司
地 址:
福建省龙岩市新罗区西陂街道华莲社区龙岩大道中276号A幢21***2、21***5室(龙
工大厦)
联系人:
***
电 话: ***597-23329***1
电子邮件: 53***943495@qq.com
招标人或其招标代理机构主要负责人(项目负责人):
签名)
招标人或其招标代理机构: 盖
询价函
各报价供应商:
我司进行信息系统安全检测评估服务-2***25年等项目(询价编号:
1y2***2425)的询价工作,请各报价供应商按照附件一、附件二、附件三所列
内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),
并将报价文件(附件一、附件二)加盖报价供应商公章后,于2***24年11月
15日17:3***前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二:详细报价函
附件三:服务内容及要求
询价单位:龙岩烟草工业有限责任公司
联系人:***
电话:***597-2776583
电子邮箱:wh122333@fjtic.cn
联系地址:福建省龙岩市新罗区乘风路1299号
日期:2***24年11月8日
1/9
附件一:
报价函
| 询价编号:1y2***2425 项目名称:信息系统安全检测评估服务~2***25年等 1、报价包括但不限于:服务费、差旅费、耗材费用、专用工具费、测试费、人工 |
| 说明 | 费、税费、采购保管费、配合实施费用、检验验收、安装调试费、培训费、售后 服务以及为完成本项目需要发生的切费用。 2、龙烟公司指龙岩烟草工业有限责任公司,厦烟公司指厦门烟章工业有限责任公 司,鑫叶公司指福建鑫叶投资管理集团有限公司,金叶公司指福建省龙岩金叶复 烤有限责任公司,金闽公司指福建金闽再造烟叶发展有限公司,下同。 3、本询价函非采购邀约 4、招标代理服务费55******~7*********元由供应商支付,需考虑到成本中。 5、报价人须具备国内注册的独立法人资格,提供合格的企业法人营业执照副本复 印件; 服务内 服务 |
| 项目名称 | 品 目 | 品名 | 项目内容 | 报价 服务地点 (不含 税,元) | 容及要 期限 求 合同 签订 之H 详见附 起至 2***25 12 31 |
| 信息系统安全检 测评估服务 2***25年 | 号 1 | 信息系统安全检 测评估服务 | 龙烟公司信息 系统安全检测 评估服务 | 龙岩市新罗区 | 详见附件 件三 |
| 2 | 2***25年 信息系统安全检 测评估服务 ~2***25年 | 厦烟公司信息 系统安全检测 评估服务 | 厦门市海沧区 |
| 3 | 信息系统安全检 测评估服务 | 鑫叶公司信息 系统安全检测 评估服务 | 厦门市海沧区 |
| 4 | ~2***25年 信息系统安全检 测评估服务 2***25年 | 金叶公司信息 系统安全检测 评估服务 | 龙岩市永定区 |
| 5 | 信息系统安全检 测评估服务 ~2***25年 | 金闽公司信息 系统安全检测 福州市罗源县 评估服务 | |
| 报价有效期 | | 至2***25~***6-3*** | |
| 发票税率及种类 | %增值税专用发票 |
| 报价供应商信息 | 供应商全称(加盖公章): 地址: 联系人: 电话: 电子邮箱: 报价日期: |
2/9
附件二:详细报价函
| 序 号 | 服务内容 | 服务单价 (不含税) | 单位 | 龙烟公司 | 厦烟公司 | 鑫叶公司 | 金叶公司 | 金闽公司 | |
| 预计数 量 | 小计(元) | 预计数 量 | 小计(元) | 预计数 量 | 小计(元) | 预计数 量 | 小计(元) | 预计数 量 | | 小计(元) |
| 新系统上线前 安全评估 | 元/个 | 系统个数 | 5个 | | 3个 | | 1个 | | 1个 | | | | | |
| 代码审计 | 元/个 | 系统个数 | 5个 | | 3个 | | 1个 | | | 1个 | | | | |
| 3 | 风险评估 | 元/次 | 评估次数 | 1次 | | 1次 | | | 1次 | | 1次 | | 1次 | | |
| 个人信息安全 评估 | 元/个 | 系统个数 | 1个 | | 1个 | | | 1个 | | | | | | |
| 5 | 健康检查 | 元/次 | 检查次数 | 2 次 | | 2次 | | | 1次 | | 2次 | | 2次 | | |
| 6 | 网站安全监测 | 元/月 | 自然月 | 12个月 | | 12个月 | | | | | 12个月 | | | | |
| 7 | 应急响应 | 元/天 | 响应天数 | 3***天 | | 3***天 | | | 3***天 | | 3***天 | | 15天 | | |
| 8 | 安全知识普及 培训 | 元/次 | 培训次数 | 1次 | | 1次 | | | 1次 | | | | | | |
| 安全实践培训 | 元/次 | 培训次数 | 1次 | | 1次 | | | | | | | | | |
| 1*** | 专业认证培训 | 元/次 | 培训次数 | 1次 | | | | | | | | | | | |
| 11 | 续证服务 | 元/次 | 工作次数 | | | | | | | | | | | | |
| 12 | 等保工作 | 元/次 | 工作次数 | 1次 | | 1次 | | | 1次 | | 1次 | | | | |
| 13 | 配置备份 | 元/次 | 工作次数 | w | | | | | 4次 | | 1次 | | | | |
| 14 | 事件处置 | 元/次 | 工作次数 | | | | | | 4次 | | 1次 | | | | |
| | / | 广作次新 | | | | | 4次 | | | 1次 | | | | |
3/9
合计(不含税,元)
填写说明:小计=服务单价×预计数量。
4/9
附件三:服务内容及要求
1、项目人员配置要求
(1)项目经理须具备PMP证书,以及CISP、CISSP、CISA、Security+、ISO 27******1LA
五种证书之一,且具有实施过三个或以上安全服务项目经验。
(2)项目实施人员数量:至少5名(不含项目经理),品目号1、2、3、4、5共5
个项目,每个项目至少有1名不同实施人员对接。项目所有实施人员须具备至少3年以
上工作经验。
(3)实施人员现场服务时间要求:中标人须为实际采购人提供现场服务,直至所
有服务内容完成(含文档确认),并经双方确认完毕后,方可离开现场。
2、服务内容及具体要求
2.1新系统上线前安全评估服务:中标人应根据实际采购人要求,在实际采购人新
业务或新系统上线前,根据系统事先定义的等级保护要求以及烟草行业安全基线要求,
进行全面的安全检查,对发现的问题提供加固建议并协助整改,对整改后的系统进行复
测,提供系统上线安全评估报告。具体服务的内容及要求包括但不限于:
(1)差距分析服务。中标人应根据等保2.***和烟草行业安全基线要求,进行差距
分析,形成差距分析报告,并提供加固建议及协助整改。
(2)漏洞扫描服务。中标人应通过漏洞扫描工具对新上线业务系统相关的设备进
行漏洞扫描,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成漏洞
扫描报告,对扫描结果进行分析,并提供加固建议及协助整改。
(3)基线核查服务。中标人应对新上线业务系统的安全基线配置进行检查,包括
但不限于主机操作系统、数据库、中间件及网络服务应用,形成基线核查报告,并提供
加固建议及协助整改。
(4)渗透测试服务。中标人应按实际需要对新上线业务系统进行渗透测试,形成
渗透测试报告,并提供加固建议及协助整改。
(5)提供评估报告。中标人应在安全评估工作完成后5个工作日内提供包含以上
所有内容的上线前安全评估报告,附上结果判定的过程证明材料,并提供残余问题处置
建议。
2.2代码审计服务:中标人应根据实际采购人要求,对实际采购人指定信息系统的
所有源代码进行检查,查明威胁点并加以验证,对发现的问题提供加固建议并协助整改,
对整改后的系统进行复测,提供源代码审计报告,并协助实际采购人完善代码安全开发
规范。具体服务的内容及要求包括但不限于:
519
(1)中标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解
的安全服务人员,对实际采购人指定的系统的源代码和软件架构的安全性、可靠性进行
(2)中标人应提供整体源代码审计和功能点入工源代码审计两种代码审计服务,
全面的安全检查。
具体服务形式由实际采购人指定。其中整体源代码审计是指源代码审计服务入员对被审
计系统的所有源代码进行整体的安全审计,代码覆盖率为1******%,整体源代码审计采用源
代码扫描和入工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点
人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功
能点存在的代码安全问题。
(3)中标人的代码审计服务应至少包括三个阶段,即源代码审计前期准备、源代
码审计实施以及现场复查实施阶段。
(4)在审计工作完成后5个工作日内,中标入出具源代码审计报告。报告应根据
审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在
的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,中
标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为实际采购人的安
全运维和问题修复工作提供参考。
2.3风险评估服务;中标人应根据《信息安全技术信息安全风险评估规范》、《信
息安全技术信息安全风险评估实施指南》及实际采购人其他要求,提供全面风险评估
服务,每次涉及信息系统总数不超过3***个,具体核查范围由实际采购人指定。中标人
应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供风险评估报
告。具体服务的内容及要求包括但不限于:
(1)中标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、
漏洞扫描、渗透测试、基线核查、人工检查等多种方式,对实际采购人的整体安全风险
进行全面、彻底评估。
(2)中标人应根据实际采购人的风险处置要求,协助实际采购人及时下发风险通
知书,并跟踪问题整改情况,进一步降低实际采购人的网络安全风险隐患。
(3)中标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产
清单表、脆弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。
2.4个人信息安全评估服务:中标人应根据《信息安全技术个人信息安全规范》、
《信息安全技术个人信息安全影响评估指南》及实际采购人其他要求,提供信息系统
个人信息安全影响评估服务,具体核查范围由实际采购人指定。中标入应对发现的问题
提供加固建议并协助整改,对整改后的系统进行复测,提供个入影响安全影响评估报告
6/9
报告。具体服务的内容及要求包括但不限于:
(1)中标人应通过安全访谈、管理制度评估、技术性测试等多种方式,对实际采
购人的应用系统涉及个人信息的使用场景开展个入权益影响分析、安全事件可能性分析、
风险等级判定等工作,全面了解系统个人信息安全风险,保障个人信息安全。
(2)中标人应根据实际采购人的风险处置要求跟踪问题整改情况,进一步降低实
际采购人的个人信息安全风险隐患。
(3)中标人的个人信息安全影响评估服务交付物应包括但不限于《龙烟公司个人
信息及个人敏感信息举例识别表》、《个人信息安全规范检查记录》、《个人信息处理
活动映射关系表》、《个人权益影响分析表》、《个人信息安全事件可能性分析表》、
《综合风险分析及整改评估措施》、《个人信息安全影响评估报告》等。
2.5 健康检查服务:中标人应对实际采购人指定的范围(包括但不限于网络设备、
安全设备、主机操作系统、数据库、中间件及网络服务应用)进行全面的漏洞扫描,对
实际采购人指定的系统或网站进行渗透测试服务,对风险控制策略进行有效审核,根据
发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供漏洞扫描报告和
渗透测试报告。
2.6网站安全监测服务:中标人应根据实际采购人要求,通过网站检测云平台对实
际采购人所有外部网站进行7*24小时监测。监测时间未超过15天(含15天)按半个
月计算,超过15天按一个月计算。中标人应根据实际采购人要求,在实际采购人发生
紧急安全事件5分钟以内以电话、短信和邮件等形式对实际采购人指定联系人进行通告,
如实际采购人的网站被挂马、网页被篡改及其它无法访问等情况。具体服务的内容及要
求包括但不限于:
(1)中标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整
性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP
服务监测等)及认证性检测(如远程钓鱼网站监测)。
(2)中标人为实际采购人提供的网站监测服务交付物应包括但不限于《网站安全
监测周报》《网站安全监测月报》等。
2.7应急响应服务:
(1)中标人应根据实际采购人要求,提供重要时期以及攻防演习期间的网络安全
保障工作支持服务,必要时派人提供7×24小时驻场服务。攻防演习前根据实际采购人
安排,对实际采购人的互联网资产(如网站、IP、敏感信息等)进行测绘和模拟攻击,
根据发现的问题提供加固建议并协助整改,对整改后的问题进行复测,提供攻击测试报
告。
9/9
(2)当实际采购人业务网络或系统出现安全事件时,中标人需提供安全应急专家
进行7×24小时的现场安全应急响应工作,协助实际采购人的安全人员及时发现问题,
恢复系统,追查来源,保留证据。在接到实际采购人安全事件通知后,须在3***分钟内
提供解决方案,并经实际采购人同意。对于可以远程解决的事件,必须在3***分钟内指
派专业工程师对接,对于必须到达现场解决的事件,若事件发生地在厦门的4小时内到
达现场,事件发生地在福建省内厦门以外地区的6小时内到达现场。到达现场后24小
时内解决事件,恢复网络与信息系统。在网络与信息系统恢复正常后,应在一周之内向
实际采购人提供完整的安全事件分析处理报告。
2.8 安全知识普及培训服务:中标人应根据实际采购人要求,到福建省内实际采购
人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会
工程学或网络安全法律法规等相关现场培训,每次培训***.5天。
2.9安全实践培训服务:中标人应根据实际采购人要求,到福建省内实际采购人指
定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训,
每次2天。
2.1***专业认证培训服务:中标人应根据实际采购人要求,提供包括但不限于CISSP、
CISP、CISA、CCSP、CCIESecurity、IS***27******1、TOGAF9.2、COBIT、CISP-PTE或CISP-DSG
的培训及认证考试。具体培训及认证内容和培训时间由实际采购人安排。
2.11续证服务:中标人应根据实际采购入要求,提供包括但不限于CISP证书续证
服务。
2.12等保工作服务:中标人应根据实际采购人要求,配合信息系统等保定级、备案、
测评等相关工作,包括但不限于定级咨询、定级专家邀请、配合安全相关文档编写、协
助备案、安全设备及防护措施检查、安全问题整改等事宜。
2.13配置备份服务:中标人应根据实际采购人要求,每月协助进行一次安全设备特
征库、病毒特征库、固件的升级及安全设备的配置备份。具体范围由实际采购人指定。
2.14事件处置服务:中标人应每月协助实际采购人对日常巡检、日志分析及其它来
源发现的安全事件进行记录并跟踪处置。协助编写整改通知书,对于无法处理的事件,
给出整改建议。具体范围由实际采购人指定。
2.15 应急演练服务:中标人应每季度协助实际采购人制定演练计划,开展应急演练,
完成演练总结。
3、配套支持服务及要求
中标人应根据实际采购人要求,免费配合策划网络安全宣传周活动方案,提供网络
安全宣传周活动素材,提供网络安全专题专栏素材;提供网络安全应急演练方案与环境
8/9
(如钓鱼攻击演练)等;配合上级单位、公安等外部检查单位的安全检查工作;根据实
际采购人要求,提交周报、月报、季报、半年报、年报,每项服务完成后5个工作日内
提供相关服务报告,每半年装订一次安全服务工作资料。
9/9
剑鱼标讯福建招标网收集整理了大量的招标投标信息、各类采购信息和企业经营信息,免费向广大用户开放。登录后即可免费查询。
