关于“2021年度福州旅游资讯网网络安全监测、维护项目”的询价采购公告
时间:2021-06-24 13:16

  福州市文化和旅游局拟对“2021年度福州旅游资讯网网络安全监测、维护项目”进行公开询价。欢迎国内潜在的投标人针对询价项目前来报价。

  一、询价项目内容及要求 

询价项目

规格要求

2021年度福州旅游资讯网网络安全监测、维护项目

1.渗透测试。提供针对网站不少于4次/年的渗透测试服务,根据本项目相关信息系统的安全需求及业务系统的结构,在不影响业务系统正常运行的情况下,通过模拟黑客的攻击方法进行测试,以发现和挖掘系统中存在的安全漏洞。提供渗透测试报告,并提出有效整改方案。

2.风险评估。提供不少于1次/年的系统风险评估服务。参考《信息安全风险评估指南》、《信息安全风险管理指南》和ISO/IEC27005,结合旅游资讯网实际情况,从风险管理的角度,运用科学的方法和手段,系统地分析信息系统所面临的威胁及其脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施,最大限度的保障信息安全提供科学依据。评估内容包括但不限于:资产评估、威胁评估、脆弱性评估、现有安全的控制措施有效性评估、渗透测试、风险分析、风险处置等,协助建立健全信息技术管理制度体系。提供风险评估报告。

3.漏洞管理。针对网站提供每个季度不少于1次,全年不少于4次的漏洞管理服务。对本项目信息系统相关的主机系统、应用系统、数据库系统、中间件应用等资产,通过漏洞评估了解资产软件信息以及潜在的安全漏洞,对资产存在的漏洞进行综合评估,客观评估系统的风险等级,结合系统实际情况对漏洞的风险等级进行赋值,得出漏洞对系统稳定安全运行的危害程度,并提供详细可执行的漏洞修复方案。提供系统漏洞扫描报告、系统漏洞修复确认报告。

4.基线管理。针对网站提供每个季度不少于1次,全年不少于4次的基线管理服务。对本项目相关信息系统的安全特性,选择合适的安全控制措施,设定最低安全配置要求并定期开展基线核查工作。提供信息资产安全基线标准、系统安全策略优化报告。

5.安全加固。针对网站提供每个季度不少于1次,全年不少于4次的安全加固服务。根据风险评估、渗透测试、漏洞管理、基线管理等评估结果,对本项目相关信息系统的主机系统、数据库系统、应用中间件系统、应用系统通过打补丁、修改安全配置、增加安全机制等方法,合理进行安全性加强。针对信息系统存在重要(大)安全漏洞应进行及时、有效的安全修复和加固措施;接收到高危漏洞预警通报,应及时排查安全隐患,并积极采取有效预防措施。提供系统安全加固实施方案、安全加固实施记录、安全加固实施报告。

6.安全巡检。针对网站提供不少于4次/年的安全巡检服务。定期开展网络安全巡检工作,包括但不限于对网络安全设备、网络设备、服务器、应用系统进行安全巡检服务。安全巡检服务通过使用多种手段,对网络设备、服务器、操作系统、应用系统进行周期性的安全扫描、手工检查、专家分析,并提交检测报告及加固建议。提供安全巡检报告。

7.系统变更上线前安全检测。完成由业主单位根据实际需求发起的系统变更上线前安全检测任务。系统变更上线前安全检测主要针对新业务系统上线前或者业务系统发生重大变更时,在系统正式上线运行前,由网络安全专员人员采用结合端口扫描、漏洞利用、数据嗅探、黑白盒渗透测试、代码审查等手段进行系统安全测试,保证系统正式运行前就具备一定的抗攻击能力。提供系统安全检测报告。

8.安全检查。针对上级主管部门或者网络安全监管部门发布的网络安全相关要求文件或者网络安全检查事件等,提供相应的技术支持服务,并协助配合检查。提供相关报告

9.安全监测。针对服务范围内的业务系统提供7*24小时网页挂马监测、网页篡改监测、网页敏感内容监测、网站性能监测、网站域名监测等服务。每周提交一份7*24小时监测报告。针对网站提供网页防篡改软件,保护网站内容不被篡改。

10.应急演练与培训。针对网站提供不少于1次/年的应急演练服务、不少于1次/年的网络安全培训服务。协助用户建立统一的应急预案框架,框架应包括事件分级方法、各级事件启动应急预案的条件、应急处理流程、系统恢复流程、事后教育和培训等内容;在应急预案框架制定不同事件的应急预案,并开展应急演练活动,通过演练检验应急计划的合理性和有效性,发现应急计划中存在的问题,并及时改进。提供应急预案、应急演练报告。

11.安全通告。实时跟踪国内外主要的漏洞信息发布平台,追踪最新的漏洞信息,定期推送安全研究周报,每周向用户推送最新的安全信息、安全漏洞态势、危急漏洞实例、本月安全要闻等。

12.远程应急响应。提供7*24小时远程技术支持服务,响应时间<15分钟。

13.现场应急响应。对本项目相关信息系统突发安全事件,30分钟内响应,1小时内到达指定现场,并提供专业的现场紧急事件响应服务,以最快速度恢复系统的保密性、完整性和可用性,阻止和减小安全事件带来的负面影响,并提供事后分析,预防和改善建议。

14.重要时期信息安全保障。“全国两会”、“数字中国峰会”等重要时期,在接收到业主的信息安全保障服务要求时,可及时响应并提供相应的应急预案、应急演练、信息安全保障方案等保障措施,并指派人员提供7*24小时远程或者现场驻点安全值守。在遇到突发安全事件,无法通过远程处置的,提供在1小时内到达指定现场,并解决问题,以消除、降低事件影响。

15.为了达到门户网站应急响应及时性,优先考虑在福建省省内注册具有分支机构或售后服务机构的服务提供商。

16.为了保障服务实力,在同等(价格)条件下,优先考虑获得不低于以下资质等级的服务提供商:

(1)具有中国信息安全测评中心认定的信息安全服务安全工程类资质认证的服务提供商。

(2)具有中国网络安全审查技术与认证中心(CRCC)认证的信息安全风险评估服务资质的服务提供商。

(3)具有中国网络安全审查技术与认证中心(CRCC)认证的信息安全应急处理服务资质的服务提供商。

(4)具有中国网络安全审查技术与认证中心(CRCC)认证的信息安全运维服务资质的服务提供商。

(5)具有本地专业认证安全服务团队(服务团队具有项目认证经理、CISP专业人员)的服务提供商(提供应标截止前三个月服务团队成员在福州缴交社保的证明材料)。

(6)具有ISO27001信息安全管理体系、ISO9001质量管理体系认证的服务提供商。

(7)具有ISO 27001信息安全管理体系、ISO 9001质量管理体系认证、ISO 20000信息技术服务管理体系认证的服务提供商。

  注:以上所涉及资质、证明、截图等需服务提供商提供证明材料并盖章;未提供证明材料的,认定该项资质不具备。

  二、项目预算 

  人民币陆万元

  三、报价人资格及报价文件要求 

  1.在中国境内注册并具有法人资格,有能力完成报价活动的供应商,供应商需提供的资质证明文件如下:

  (1)企业法人营业执照副本、税务登记证复印件(加盖公章注明与原件一致);

  (2)法定代表人及报价人代表的有效身份证明、复印件(加盖公章注明与原件一致);

  (3)法定代表人授权书原件(必须双方签字并加盖公章,报价代表是法定代表人无需提供) ;

  (4)关于信用记录的声明、信用中国和中国政府采购网查询结果等证书复印件并加盖公章注明与原件一致;

  (5)报价安全服务商需具备下列至少一项国内信息安全权威测评认证机构发布的有效的安全服务相关资质,报价人所投报价文件中应提供资质证书复印件并加盖报价人单位公章。

  ①中国通信企业协会通信安全服务能力评定证书(风险评估);

  ②中国网络安全审查技术与认证中心(CRCC)信息系统安全集成服务资质;

  ③中国网络安全审查技术与认证中心(CRCC)信息安全应急处理服务资质;

  ④福建省网络与信息安全信息通报中心支撑单位;

  ⑤福建省网络与信息安全协调小组办公室网络与信息安全应急技术支撑单位。

  ⑥福州市网络与信息安全协调小组办公室网络与信息安全应急技术支撑单位。

  2.报价人应具备独立承担民事责任的能力,履行合同所必需的设备和专业技术能力;

  3.一个报价人只能提交一个报价文件;

  4.本项目不接受联合体报价。

  四、报价方式 

  报价人应将报价单(加盖单位公章)及营业执照、税务登记证复印件、资质证书、相关证明、截图等证明材料(加盖单位公章)一并用信封密封包装并盖章,并于 2021年7月2日10时之前,提交至福州市文化和旅游局。

  地址:福州市仓山区南江滨西大道193号东部办公区4号楼413室。

  联系电话:0591-83162175

  联系人:陈先生

  特此公告。

  

福州市文化和旅游局

  2021年6月24日 

来源:福州市文化和旅游局
附件下载

扫一扫在手机上查看当前页面

相关解读
请输入以下评论内容