竞争性磋商项目需求

一、项目概况 

1.1项目背景

南京市人社信息系统为等保三级系统，根据《网络安全法》和网络安全等级保护2.0的相关要求，为提高市人社信息系统的整体安全防护能力，需引进专业的信息安全保障服务，进行有效的信息安全运维管理，把安全过程中的有关各层次的安全设备、人员、网络、信息系统等进行综合运维管理，对不同的安全事件进行有效监控和做出及时响应；同时通过专业的安全运维和咨询服务，逐步构建动态、完整、高效的信息安全体系，从整体上保障市人社信息系统的安全平稳运行。

同时，为了保障市人社信息系统的安全稳定，需要建立一支经验丰富的技术服务团队，团队中包括精于现场应急和协调、网络故障排查、安全设备故障排查、主机安全维护、数据库安全维护、网络攻击和渗透防范等各类专家，密切监控信息系统安全，降低安全事件发生的概率，一旦出现安全事件，将在第一时间启动应急响应措施，在最短的时间内将安全事件造成的影响降到最低，保障信息系统的安全运行，同时对各类安全事件进行记录和总结。

市人社信息系统涉及业务复杂，需求调整较多，不断有新的业务功能从设计到开发上线运行， 因此本次安全服务的目标，是将服务与技术结合，把信息安全风险管理引入信息系统的生命周期的每一阶段，以满足市人社信息系统的安全保障要求。

供应商从本项目目标和需求出发，在投标文件中提供相应的安全运维服务方案，方案须包括但不限于服务内容及要求。 

二、项目需求清单

序号	标的名称	数量	单位	采购标的所属行业	属性
1	南京市人社信息系统安全运维服务项目	1	项	软件和信息技术服务	服务

三、技术部分要求 

★技术服务要求 

（PS：技术部分要求是对项目需求清单中所列项目的详细功能、性能、配置或服务的要求，分为实质性条款和非实质性条款，其中实质性条款不允许负偏离，否则作为无效报价） 

项目安全运维服务范围为：市人社信息系统（包括老系统、金保二期系统），包括公共服务层、应用系统层、数据资源层、硬件平台层以及安全管理规范制定、监督实施等工作内容，覆盖公共基础、就业劳动关系、社会保险、人事人才、决策支持等人力资源和社会保障全部业务领域，安全保障范围涵盖市、区、街道（镇）、社区（村）四级人社业务支撑平台和所有接入人社业务专网的定点医药机构、地税、银行、住建委、民政等外部门。

★（一）具体安全运维工作要求 

1、信息系统安全规划设计、安全标准制定、安全策略配置

（1）信息系统安全规划设计

配合采购人做好与省一体化平台对接及医保系统拆分技术对接工作。负责对省一体化平台上线及医保拆分后南京市人社信息系统改造进行整体安全架构规划设计，提出安全建设建议，并协助应用开发方进行安全整改，指导应用开发方对应用系统进行安全架构设计。安全架构设计以应用系统的架构安全为目标，并从各方对接安全、数据安全、组件安全、安全威胁、管理机制等多个方面， 综合分析系统架构，提出针对性的指导意见，并协助指导安全整改实施。完成架构设计与整改的信息系统，必须拥有强健的安全架构，不能存在明显的架构漏洞。

（2）信息系统安全标准制定

负责向采购人提供技术支撑和法律咨询，协助采购人编制信息安全管理制度，制定相应安全标准。信息安全制度与标准是所有与信息安全有关的人员必须共同遵守的行为准则，其作用在于通过规范所有与信息安全有关人员的行为来保证实现安全策略中规定的目标和原则，包括人员管理、设备管理、操作管理等几个方面。主要包括但不限于以下内容：人员管理、信息系统采购开发与设计实施管理、机房安全管理、资产安全管理、密码管理、数据备份管理、业务连续性管理、计算机终端管理、应用系统日常操作安全管理、设备日常操作安全管理等。

（3）信息系统安全策略制定

根据市人社信息系统的实际情况，按照等保2.0要求，确保设备安全稳定运行，业务流程安全可靠，根据安全要求制定并下发相应的安全策略，避免采购人信息系统出现安全事故。

2、信息系统安全类软硬件设备的日常运维和操作

（1）安全软件和硬件设备质保、授权续期。供应商负责市人社信息系统所有安全软、硬件设备原厂质保和软件授权到期后的续期，包括但不限于：核心防火墙、VPN、WAF、漏洞扫描、防毒墙、入侵检测、数据库审计、网闸、终端管控、亚信杀毒、数据防泄密、录屏，确保安全设备软硬件可靠。负责所有安全设备正常使用中的故障排查与原厂维保服务，如遇设备故障迅速排查解决。

（2）日常安全运维。供应商按照采购人安全软、硬件设备的配置情况，将新城大厦机房、电信二长机房以及劳动大厦六楼网控中心所有安全设备纳入日常运维范围，责任到每位驻场工程师，并将具体人员分工发采购人备案。日常安全运维包括对采购人现有安全设备的现场运维和对各类安全设备记录的日志结合业务系统进行的安全联动分析。现场运维包括所有安全设备运行监控，所有安全设备策略配置实施等设备日常操作。安全联动分析包括对各类设备日志采集分析，结合业务进行联动分析，发现排除各类安全隐患，避免安全事件发生。日常安全运维至少每月形成运维工作汇报和分析报告。

（3）终端部署。按照采购人要求，协助采购人部署现有终端管控等安全手段，实施对内网终端操作和外联单位网络接入等各方面进行监控，及时发现处理违规行为，保障终端安全和外联单位接入安全。

（4）重点时期保障。重要时间节点，提供现场及远程重大时期保障服务，建立每天安全报告机制，加大安全巡检频率，保障系统安全。

（5）供应商负责市人社信息系统渗透测试、漏洞扫描、基线核查等工作。具体要如下： 渗透测试 供应商负责日常性渗透测试和新应用系统上线前渗透测试。日常性渗透测试指至少每半年和重大节日对采购人建设维护的应用系统进行渗透测试。新应用系统上线前渗透测试指有新应用系统正式上线前或版本重大更新后，对采购人指定的业务系统进行渗透测试，经过安全测试与检测合格以后方可进行上线或版本更新上线。

渗透测试需采用现场服务方式。测试完成后，安全服务方出具测试报告，并协助应用开发方进行漏洞加固。安全服务商提供对于加固后的系统进行重复性的渗透测试验证，以保障漏洞不可利用性，同时验证安全加固措施的有效性。最后形成具体验证成果报告，确保采购人对外提供安全稳定的应用服务。

漏洞扫描

供应商负责日常漏洞扫描和新系统上线前漏洞扫描，漏洞扫描范围包括应用系统和IT设备。日常漏洞扫描指至少每月对采购人建设维护的系统进行漏洞扫描。新系统上线前漏洞扫描指有新应用系统上线或系统有重大升级、重大调整后，对采购人指定的系统进行漏洞扫描。须提供专业的安全扫描工具、结合采购人现有漏洞扫描设备，进行漏洞扫描。漏洞扫描完成后出具完成服务报告，根据漏洞扫描报告制定系统安全加固实施方案，并协助采购人完成加固实施，提高IT设备与应用系统的安全性。

基线核查

供应商负责基线核查服务，至少每季度实施一次。采用自动工具检查加人工审核的方式，检出信息系统与相关IT设备配置的不合规部分。依据法律法规和业务环境，协助采购人制定系统安全配置基线规范，再根据规范，对系统进行基线核查，检查内容包括但不限于：服务和应用程序设置、操作系统组件的配置、账号和权限分配、管理规则等。

3、信息系统安全应急支撑及演练

（1）安全事件分析

结合日常安全运维及网信、公安等部门的安全预警通报等信息，进行应急事件安全分析。通过威胁分析平台与检测系统，获取影响系统安全的各类信息，通过统计分析、关联融合等手段对信息进行处理，从而获得全景式的态势监视，还原信息安全威胁事件，并将其攻击时间、攻击源、攻击链完全还原，为采购人处置安全事件提供有力技术支撑。

（2）应急响应服务

按照网络与信息安全突发事件的分类原则，结合采购人信息系统实际情况，将可能发生的安全事件进行分级，并制定安全事件分级管理及预警机制。配合采购人做好网络安全事件应急预案制定、更新及培训工作，当发生信息安全事件后，协助采购人按照应急预案及时处置。

（3）应急演练服务

供应商提供不少于一次应急演练服务。根据人社行业部、省、市安全工作要求，结合采购人信息系统特点编制应急演练方案，开展应急演练工作。应急演练方案包括防病毒、网络及渗透攻击等场景；根据演练方案编制演练脚本，搭建演练环境，提供自动化工具用于构建演练场景；演练开始对采购人进行演练方案的培训，使各个岗位的相关工作人员能了解演练流程，明确各岗位职责，妥善开展应急演练。

4、信息安全培训及安全整改指导

（1）信息安全意识及技术培训。供应商提供不少于一次安全培训服务。通过理论与实践相结合，普及网络安全法律法规、解读等保2.0要求等，提高人员的网络安全思维意识。针对采购人单位人员、系统协建单位开发人员等，开展安全意识、渗透测试、漏洞扫描、网络攻防、代码审计、应急响应等培训，增强安全开发意识和技术。

（2）安全整改技术指导。通过全方位的安全运维工作，排查信息系统安全漏洞和隐患，以及根据年度等保测评结果，将问题对应到具体的应用系统，为协建单位提供可行的技术整改方案，并指导协助进行漏洞修复和整改加固。

（3）提供安全咨询服务。按照采购人需求，针对不同角色于不同场景下的安全需求，配置相应的安全策略及安全工具，以及提供相应场景化安全咨询服务。

（4）CISP证书续期。供应商为采购人提供10个CISP证书有效期延期办理服务，并根据需要开展CISP认证更新内容培训工作。

5、安全设备加固、替换和提供备机

根据网络安全等级保护2.0最新要求对市人社信息系统安全体系进行全面评估与分析，对安全区域边界和安全计算环境欠缺的安全设备进行补充完善，将系统中的脆弱设备进行替换，为关键设备提供备机，确保安全设备可用性和冗余性。包括但不限于：

（1）提供威胁分析平台租赁服务，以及服务器杀毒200个点等。

（2）提供一台与在用型号相同的网闸作为备机。

（3）将新城大厦机房中两台网康防火墙进行替换，设备资产归采购人所有，供应商提供设备到货时点之后的三年原厂硬件质保和无限期软件功能授权许可及版本升级。防火墙性能参数不低于以下配置要求：

标准2U设备，双冗余电源标配8个，10/1001000M Base-TX接口，最大可扩展千兆槽位不得少于8 个，最大可扩展万兆槽位不少于8个，出厂前端口配置8个万兆光口，8个千兆电口。

防火墙吞吐量20G，并发连接数400万，每秒新建连接数15万。

支持动态路由模块，支持入侵防护模块，支持审计中心模块(需硬盘支持，可选配硬盘模块或自购外置USB硬盘)，支持上网行为管理模块。

支持针对应用动作、应用内容的细粒度控制，如设定允许登录的帐号白名单、邮件关键字过滤等。

支持并开通网络入侵检测及防御功能，入侵防御事件库事件数量不少于3000条。

支持并开通对HTTP、FTP、SMTP、POP3、IMAP协议的病毒检测和过滤功能；支持对文件感染型病毒、蠕虫病毒、脚本病毒、宏病毒、木马、恶意软件等过滤，病毒库数量不少于800万。

6、信息系统安全运维成果物要求

上述1至5项工作内容，采购人须在进场后一周内提供工作计划、工作方案，项目实施过程中产生建设方案、工作记录、工作结论等一切工作成果产权均归采购人所有。供应商须每月整理汇总提交采购人审核，做好采购人项目验收付款必要资料。

7、信息系统安全运维工作承诺要求

供应商中标后，承诺负责全权负责采购人信息系统的安全保障工作，在项目合同履行期内，出现的相关信息系统安全事件，供应商负责全面处理并承担由此引发的所有责任。在安全事件处理中产生的所有费用均由供应商承担。

★（二）项目团队及人员要求

1、供应商须为本项目建立技术支撑团队，负责本项目的总体规划、各项工作计划及内容制定、重大故障处置。指定1名项目负责人与采购人对接，负责项目具体实施、协调工作。投标文件中须提供技术支撑团队名单。

2、供应商至少安排4名工程师（包括一名技术负责人）在采购人现场（游府西街53号劳动大 厦）驻场服务，驻场服务期同合同期。驻场技术负责人须具备与项目相关工作技能及经验。须确保驻场工程师的人员稳定性，不得随意更换。

★（三）项目管理要求

1、网络安全及保密要求

（1）供应商应严格执行《网络安全法》及国家、省、市相关网络安全、保密规定，供应商应按照网络安全等级保护三级要求、网络安全等级保护2.0标准，加强项目驻场及后台实施人员管理。供应商因本项目人员、技术、管理等原因直接或间接产生的各类网络安全事件，供应商承担法律、经济及社会责任，并接受采购人处罚。

供应商对参加项目的人员开展网络安全、保密教育以及人员背景审查，项目实施人员应按照采购人人员管理要求，在采购人监理单位处备案并签订保密协议后进入项目组工作。

（2）供应商项目实施人员管理要求：

严格遵守《网络安全法》及国家、省、市相关网络安全、保密规定，在规定的区域开展职责范围的工作，不得进入与之无关的工作区域；不得在机房设备上建立与工作无关的网站、网页和服 务；不得在设备中传输、粘贴有害信息或与工作无关的信息；不得擅自对设备进行扫描、探测和入侵信息系统；不得对工作信息和资源越权访问、违规使用；不得私自允许他人接触和使用机房设 备；严禁将工作用设备和文件带离机房；未经采购人同意，严禁以任何方式和介质拷贝服务器上的任何信息及项目中涉及的信息；对工作中接触到的信息做到保密；不准擅自摘抄、下载、复制、拍摄、提供、销毁或私自留存相关文件、资料（含电子文档）；严禁违反“一机两用”规定；不得在私人交往中谈论相关工作；不得有其他任何危害信息安全的行为。

（3）凡以直接、间接、口头或书面等形式提供涉及保密内容的行为均属泄密，将追究当事人及供应商的责任。

（4）项目结束后，供应商在本项目服务期内产生的所有资料（包括纸质、电子类）应全部移交给采购人。

2、培训要求 

供应商按照采购人要求提供详细明确的培训课程内容（包括软件使用、项目实施内容所包含技术的应用、采购人要求的培训内容等）、人数和时间安排。

3、应急响应要求 

供应商提供电话技术支持服务，按照采购人要求提供信息安全应急支撑服务，承诺30分钟内响应，1小时内到达现场，配合采购人排除故障，保证系统正常运行。

★（四）项目实施要求 

1、项目文档：供应商必须按国家、省、市行业标准规范及本项目相关工作要求，提交技术文档和验收文档。

2、项目版权：供应商必须保证本项目成果及所使用到资源的版权合法性，本项目成果及实施过程中一切产出物所有权及版权归采购人所有。

3、项目保密：供应商严格规范执行各项保密制度，对采购人各类信息进行保密管理，杜绝任何泄密事件的发生。

4、供应商必须承诺，提供的服务完全符合谈判文件的要求，承诺在响应文件中提供的服务承诺及方案是真实的，承诺一旦由采购人发现服务与响应文件说明不符，采购人可以立即解除与供应商的合同。

5、供应商应遵守国家、省、市及采购人相关廉政管理规定。

★（五）质量保证要求 

1、包含与项目需求相关的备件（含软、硬件）需在合同签订前一周内备齐，备件配置不低于现网中在用设备规格，并存放于劳动大厦六楼机房，由采购人对备件进行核验，核验合格并经测试对现网无影响后方可签订合同，否则，采购人有权追究责任。

2、供应商在项目服务过程中，未经采购人批准，不得随意更换驻场工程师。如果采购人认为驻场工程师不具备本项目所需的技术能力，采购人有权随时要求供应商进行更换。

3、供应商在项目服务前，须详细分析在本次项目服务过程中存在的可能影响现有系统安全性与稳定性的风险，并采取必要的风险控制措施。任何由供应商在项目服务工作中对采购人造成的负面影响，其后果都须由供应商承担。

4、采购人将在服务过程中对供应商的服务质量进行考核。采购人应根据项目的工作计划，对阶段性工作成果进行审核，并向项目单位提交阶段性工作成果。通过保证各阶段性成果的质量，最终保证整个项目的质量。

★（六）安全责任 

1、项目服务期内，如南京人社信息系统发生信息安全事件，造成损失和重大影响的，由供应商承担法律责任、赔偿损失。

2、项目服务期内，如南京人社信息系统发生信息安全事件，按照以下要求进行扣款：按照《信息安全技术信息安全事件分类分级指南》（GB/Z 20986—2007）中定义的标准，如出现特别重大事件（Ⅰ级）的，每出现一次罚款100万；如出现重大事件（Ⅱ级）的，每出现一次罚款50万；如出现较大事件（Ⅲ级）的，每出现一次罚款30万；如出现一般事件（Ⅳ级）的，每出现一次罚款20万。以上罚款从合同总价款中扣除，扣除金额不足部分，供应商需返还采购人已支付的合同金额，补足差额部分。

★（七）项目考核与处罚 

供应商应承诺在项目实施过程中遵守网络安全法律法规，接受采购人及监理方（或者采购人委托的有关各方）的监督管理，在违反项目合同及有关项目管理指令、要求时支付相应的违约金，接受以下工作质量考核评价办法：

1、项目验收不通过的违约金 

供应商必须按国家、省、市行业标准规范，提交基础文档、过程文档、技术文档和验收文档， 由采购人进行抽查审核。如没有通过采购人验收，供应商应向采购人支付合同金额60%的违约金。

2、出现对社会造成重大影响事故的违约金 

如果供应商在开展项目实施过程中，因自身管理不善，出现对社会造成重大影响的事故时，供应商应向采购人支付合同金额60%的违约金，同时，根据事故的严重性及其造成的后果，采购人保留进一步追究供应商法律责任的权利。

3、项目实施不到位的违约金 

如由于供应商原因造成系统故障，供应商应及时排除故障，导致采购人系统服务无法正常运行，供应商应向采购人支付合同金额10%的违约金，每延期1小时，供应商应向采购人支付合同金额10%的违约金。

4、供应商不服从采购人管理，项目实施出现严重后果的违约金 

如供应商出现不服从采购人管理，对采购人工作要求故意拖延、拒不执行，项目实施出现严重安全事件或导致业务无法正常经办等后果，以及各项违法、违规行为的，由采购人组织相关部门专家进行评估，对涉及违法行为的，移送司法机关处理。违法、违规行为根据情节严重程度，处以取消合同、取消付款、处以违约金等措施，具体违约金额为项目合同金额的10%-300%，具体执行标准由采购人确定。

5、出现网络安全事件的违约金 

供应商因本项目人员、技术、管理等原因直接或间接产生的各类网络安全事件，采购人根据违法、违规行为根据情节严重程度，处以取消合同、取消付款、处以违约金等措施，具体违约金额为项目合同金额的10%-300%，具体执行标准由采购人确定。

6、出现网络安全漏洞通报的违约金 

供应商因本项目人员、技术、管理等原因直接或间接产生的各类网络安全漏洞，收到各级公安、网信等部门通报的，采购人根据漏洞严重程度处以违约金，并进行内部口头警告或由采购人下发书面通知单要求其进行整改。如通报明确或等保测评公司评定为中低危风险的，每次扣除合同金额2000元；如通报明确或等保测评公司评定为高危风险的，每次扣除合同金额3000元。违约金将在项目决算审计中给予扣除。当通报出现三次及以上，由采购人约谈供应商主要负责人，约谈无效的将报送财政监管部门终止合同，其所造成的影响及损失由供应商承担。 

四、商务部分要求 

1、服务期：合同签订之日起至 2022 年 6 月 30 日。

2、售后服务要求：

2.1服务期内，本合同项目所有技术和服务发生任何非人为故障，由供应商负责系统恢复。故障报修的响应时间为即时，到达现场的时间为2小时，小型故障恢复时间为4个小时，严重故障恢复时间为

24小时内，并及时有效的提供解决方案。

2.2服务期内，对采购人提出的合理服务要求，供应商必须即时进行电话、邮件及远程网络支持，并在2小时内到场服务。如不到场，采购人有权自行处理，相关费用由供应商负责。

2.3供应商需提供定期回访服务，对采购人提出的合理优化建议应提供免费升级服务。

2.4所有的服务方式均为供应商上门保修，即由供应商派员到系统使用现场进行故障恢复，由此产生的一切费用均由供应商承担。

3、服务保障和自罚承诺

3.1投标人应对照招标文件要求，书面说明已对采购人的需求做出了实质性的响应，或申明与需求的偏差和例外。

3.2如果发生因投标人安全措施不力造成的事故责任、或者其他工作失误，由此所产生的一切责任由投标人承担。

3.3如因投标人投入人员过少原因，造成无法在承诺工期内完成服务，由此产生的一切责任由投标人承担。

4、报价说明：  

4.1报价应包含与本次采购项目有关的所有费用。包含但不限于人员、设备、安装调试、验收、售后服务、伴随配套服务等所有含税费用。同时，还应包含支付给员工的工资和国家强制缴纳的各种社会保障资金，以及投标人认为需要的其他费用等。

4.2投标人的任何错漏、优惠、竞争性报价不得作为减轻责任、减少服务、增加收费、降低服务质量的理由。

4.3投标人报价除包含采购文件中列明的项目外还应包括保障服务正常运行应当具有的物资和服务，对服务正常运行应当具有的物资和服务理解不一致的以采购人理解为准。

5、付款条件：

（1）履约保证金：不涉及

（2）付款方式：供应商中标后 30 个自然日内，按照采购人要求提供相关采购凭证（包括进场交易证明、中标通知书、合同等），与采购人签订单位、个人保密协议，并办理进场手续后，采购人支付供应商合同款的 40%；合同签订后 6 个月，经采购人验收合格，支付合同款的 40%；合同到期一个月内，经采购人验收合格，支付扣除罚金后剩余合同金额。

五、廉政条款

中标供应商在项目执行期间须勤政廉洁地履行合同要求，规范维护双方合法权益，严禁商业贿赂、谋取不正当利益的违法、违纪行为发生，严格按照采购人要求履行相关廉政制度和义务。

备注：

1、本章带星号（“★”）内容及商务部分要求为实质性要求，不允许负偏离，否则作为无效投   标。采购文件中要求的产品品牌或型号，是采购人根据项目所要实现的功能及考量后推荐的品牌或型号，投标人可以采用其他品牌的产品进行投标，但是，所有功能必须能满足采购项目整体性能的实现。