招标文件
采购需求及技术要求
一、采购内容及技术参数
项目背景
近年来,滁州市自然资源和规划局信息化建设进入快速发展的时期,随着信息化技术不断更新,信息系统不断面临新的风险,同时为了贯彻和落实国家及市委、市政府对网络安全相关工作的各项要求,如何更好地保证滁州市自然资源和规划局网络安全保障体系有效的正常运转,将安全管理制度和流程有效执行,安全技术防护能力不断维护和提升,并以安全运维“常态化”为主要目标,结合滁州市自然资源和规划局安全运维需求,通过引入外部专业运维单位开展安全运维服务,将充分解决滁州市自然资源和规划局因人力配置和技术能力匮乏所存在的安全隐患,最终形成长效化的安全防范工作机制,达到滁州市自然资源和规划局网络安全问题“主动服务,事前预警,可控可管”的目标,同时对滁州市自然资源和规划局基础IT系统进行现场运维服务。
服务清单及需求
为加强和规范滁州市自然资源和规划局信息系统安全工作,提高信息系统整体安全防护水平,实现信息安全的可查、可视、可控,依据国家有关法律、法规的要求。本次网络安全运维服务项目需充分围绕滁州市自然资源和规划局本地业务系统和云上系统的安全保障需求来设计和实施,具体服务清单及需求如下:
|
序号 |
服务项 |
服务期限 |
|
1 |
信息系统资产梳理服务 |
1年 |
|
2 |
信息安全风险评估服务 |
1年 |
|
3 |
安全漏洞扫描及配置核查服务 |
1年 |
|
4 |
渗透测试服务 |
1年 |
|
5 |
安全巡检服务 |
1年 |
|
6 |
安全加固服务 |
1年 |
|
7 |
安全应急响应服务 |
1年 |
|
8 |
安全应急预案与演练服务 |
1年 |
|
9 |
特殊时期网络安全重保服务 |
1年 |
|
10 |
安全培训服务 |
1年 |
|
11 |
网站安全监控服务 |
1年 |
|
12 |
现场基础IT运维服务 |
1年 |
a) 信息系统资产梳理服务
运维服务商需对滁州市自然资源和规划局现有的网络设备、安全设备、主机设备、存储备份设备、业务系统、基础软件等信息系统资产进行统计,统计的内容包括但不限于资产的物理位置、机柜位置、接线情况、品牌、型号、参数、相关文档、标准化编号等,形成符合要求的资产统计文档,主要是信息系统网络拓扑图、机柜物理部署图、信息系统资产归档文档等。
频度要求:每季度更新一次汇总核查。
信息系统资产梳理服务交付物主要为:
《滁州市自然资源和规划局应用系统资产季度报表》
b) 信息安全风险评估服务
运维服务商需分析滁州市自然资源和规划局信息系统及其所依托的网络信息系统的安全状况,全面了解和掌握系统面临的信息安全威胁和风险情况,从技术层面和管理层面确定评估范围、资产的识别和估价、安全威胁评估、脆弱性评估等。
频度要求:每半年一次全面评估。
信息安全风险评估服务交付物主要为:
《滁州市自然资源和规划局风险评估年度报告》
c) 安全漏洞扫描和配置核查服务
运维服务商需配备专业的漏洞扫描及配合核查工具,针对滁州市自然资源和规划局的信息系统每季度通过评估工具和人员以远程和本地扫描、检查的方式对评估范围内的系统和网络进行安全漏洞扫描和配置核查服务,从内网和外网两个角度来查找网络结构、网络设备、服务器主机、数据和用户账号/口令等安全对象目标存在的安全风险、漏洞、配置合规及其他检查服务。
频度要求:每季度一次。
安全漏洞扫描服务交付物主要为:
《滁州市自然资源和规划局漏洞扫描及配置核查季度报告》
d) 渗透测试服务
运维服务商需对滁州市自然资源和规划局重要业务系统按季度进行专业人工渗透测试查找漏洞并解决问题,包括本地和远程渗透测试;验证滁州市自然资源和规划局当前的安全防护措施,找出风险点;并提供整改建议,协助进行安全整改。
频度要求:每季度一次。
渗透测试服务交付物主要为:
《滁州市自然资源和规划局渗透测试季度报告》
e) 安全巡检服务
运维服务商需对滁州市自然资源和规划局的信息系统设备每月进行一次巡检,确保每一台(套)安全设备设施均符合所述的“有效”原则,处于有效工作状态。主要巡检内容包括但不限于:网络设备硬件配置检查、网络设备功能性检查、安全设备硬件(软件)配置检查、安全设备功能性检查、网络性能分析、安全系统性能分析等,并提交巡检服务报告。
频度要求:每月一次。
安全巡检服务交付物主要为:
《滁州市自然资源和规划局安全巡检月度报告》
f) 安全加固服务
运维服务商需每季度根据安全漏洞扫描结果、设备巡检及渗透测试结果,协助应用厂商对滁州市自然资源和规划局重要主机(服务器)、网络设备、数据库系统进行安全加固,与应用系统开发商合作修补已发现的应用系统漏洞。
频度要求:每季度一次。
安全加固服务交付物主要为:
《滁州市自然资源和规划局安全加固服务季度报告》
g) 安全应急响应服务
运维服务商在接到滁州市自然资源和规划局的应急响应需求后,需按事件级别,在规定时间内对自然资源和规划局突发的重要安全事件进行响应,立即开展定位、分析、协调、处理,提交事件调查和处理报告。为滁州市自然资源和规划局核心系统平台提供各种安全问题的应急响应技术服务,做到遇到问题第一时间处置。
频度要求:按需实时响应。
安全应急响应服务交付物主要为:
《滁州市自然资源和规划局突发事件处理报告》
h) 安全应急预案与演练服务
运维服务商需结合相关主管单位和信息系统等级保护的具体内容,按照滁州市自然资源和规划局的要求组织相关技术力量配合完成滁州市自然资源和规划局应急响应指南和具体操作规程。在配合滁州市自然资源和规划局完成应急响应演练前需提交应急演练计划、实施方案,完成应急演练后需提交演练报告,并进行总结。
频度要求:每半年一次。
安全应急预案与演练服务交付物主要为:
《滁州市自然资源和规划局应急演练方案》
i) 特殊时期网络安全重保服务
运维服务商需在两会、五一、十一、春节等重要敏感时期以及滁州市自然资源和规划局业务高峰期、重大活动期间,做好安全保障准备工作,提供现场和远程人力保障,确保滁州市自然资源和规划局业务系统安全运行,避免敏感事件或影响业务的安全事件发生。
频度要求:按需实时响应。
特殊时期网络安全重保服务交付物主要为:
《滁州市自然资源和规划局重大活动保障方案及工作总结》
j) 安全培训服务
运维服务商通过培训,跟踪最新安全攻击事态和安全威胁趋势,从而在信息安全建设工作上更主动,更具有前瞻性,通过安全意识培训使滁州市自然资源和规划局内信息系统管理人员和技术人员充分认识到信息安全的重要性,提高安全技术人员的安全技能。运维服务商需对全局人员提供2次信息安全综合培训,对滁州市自然资源和规划局内部IT人员定期进行网络安全、攻防技术、安全意识等培训。
频度要求:每半年一次。
k) 网站安全监控服务
运维服务商需对滁州市自然资源和规划局业务系统开展7*24小时网站监测服务,内容包括但不限于“平稳度监控”、“敏感内容监控”、“网站挂马监控”、“网站篡改监控”和“应用漏洞监控”等;针对各项告警、预警信息进行即时研判和及时处置;采取技术手段或人员值守方式实时监测互联网边界网络流量,及时发现攻击行为或隐患。每周、月、年生成相应的监测报告。
频度要求:实时监控,每月生成相应的监测报告。
l) 现场基础IT运维及设备维保服务
运维服务商需委派1名有三年运维经验的技术人员提供现场基础IT运维服务,协助滁州市自然资源和规划局处理现场基础IT运维及各类信息化工作事项,包含办公桌面电脑约200台;综合办公设备约80台;网络设备、服务器及存储设备约100台等。服务内容包括日常管理、巡检、配置变更、系统升级及维修(不包括更换硬件费用),软硬件问题处理和各类信息化工作支撑等。如人员请假,需在自然局允许的情况下提前安排替班人员,确保工作日期间至少驻点一名有三年以上工作经验的技术人员。运维服务商同时需提供滁州市自然资源和规划局现有SASNX3-H600C堡垒机一年原厂硬件质保及软件升级服务及增配4个SFP光口扩展板卡,中标公示期需提供原厂售后服务承诺函,质保期从合同签订生效后算起。
项目服务团队要求
运维服务商需成立技术服务团队,技术服务团队由项目经理、网络安全运维工程师、网络安全技术工程师、现场基础IT运维工程师、后端项目组团队等多名专家组成,服务团队具体职责须明确到人,确保在运维和故障处理时能及时联系到相关人员。运维服务团队的每名成员制定详细的工作职责,对于技术水平低、服务态度差、工作不认真、责任性不强的运维人员,在滁州市自然资源和规划局提出更换要求下,须立即予以更换。
本次服务计划采用1+1+1+1+X的项目团队模型,具体如下:
1名项目经理:负责整体项目管理、交付、协调等工作;
1名网络安全运维工程师:负责项目中相关网络安全运维性服务工作;
1名网络安全技术工程师:负责项目中相关网络安全技术性服务工作;
1名现场基础IT运维工程师:负责项目中现场基础IT运维性服务工作;
X名后端项目组团队:用于保障临时复发性人力需求。
项目服务质量要求
运维服务商应针对服务项目内容制定详细《运维服务方案》,明确具体运维服务计划、日常实施方案。运维服务商应设立服务台,开通服务电话和技术支持电话,提供7×24小时的远程技术热线支持。
项目服务纪律要求
运维服务商需确保其提供的运维服务人员服从滁州市自然资源和规划局的领导和管理,包括制定工作制度、监督工作的执行质量、分配和调整工作资源等,需服从滁州市自然资源和规划局安排。
项目服务保密要求
运维服务商在服务期间,运维服务商的驻场服务团队须严格遵守滁州市自然资源和规划局制定的各项规章制度、管理流程以及操作规范。
不论何时(服务期间或服务期结束后),运维服务商必须对运维服务过程中接触的滁州市自然资源和规划局所有信息和数据保密。未经允许不得以任何方式向外界传递或泄露滁州市自然资源和规划局的任何信息或数据,一旦发现,将追究运维服务商法律责任。运维服务商在日常运行维护过程中必须严守保密纪律,并与滁州市自然资源和规划局签订网络安全运维保密协议。
二、商务要求
(一)货物的生产、安装、维修、检验、验收等按照以下原则执行:有国家标准的执行国家标准;无国家标准的执行行业标准;无行业标准的执行地方标准;无地方标准的执行企业标准。
(二)如果在技术参数或配置中标明了品牌或产地,则仅供参考,并非指定,但投标人提供的货物必须满足主要技术参数及配置要求,投标人可以选用替代的方案,但这种替代整体上要优于或相当于招标文件的相关要求。
(三)供货时所有货物(包括零部件)须为全新的、未使用过的原装正品,并完全符合国家质量标准,提供厂家出具的合格证书、有国家强制性认证要求的产品须提供相应证书,货物的技术参数及配置情况必须由投标人提供国家相关检测机构出具的检验报告、生产厂家公开发布的印刷资料等技术资料予以支持。没有技术资料支持的技术参数及配置不能视为响应。 (厂家出具的合格证书供货时提供)
(四)技术支持
1.中标人应向采购人提供全方位、及时而有效的技术支持和服务。
2.中标人负责供货、安装、调试。
3.中标人负责将货物的全部有关技术文件(外文应提供中文翻译资料,下同)、施工图纸、资料、测试、验收报告等汇集成册交付采购人,涉及进口的产品或部件配件软件等须提供中国海关进口货物报关单、完税证明及商检证明等材料。
(五)质保及售后服务:
1.中标人须提供至少满足 招标人要求的 免费质保服务,所有质保费用均已包含在投标报价中,质保期满后,应提供优先的有偿售后服务及按不高于投标文件中主要配件、易损件清单所报价格供应原厂零配件等。软件终身免费升级服务。
2.中标人须设有维修服务电话,负责解答用户在货物使用中遇到的问题,及时提出解决问题的建议和操作方法。
3.售后服务响应时间:如设备出现故障,中标人必须在接报修电话24小时内解决。
(六)培训:中标人负责为采购人操作人员提供操作及维护培训,直至其能熟练独立操作及日常维护与保养,简单故障诊断与排除。
(七)交货期: 详见投标须知前附表。
(八)交货地点:详见投标须知前附表。
(九)验收:
1.采购人和相关部门按照国家规定标准验收,没有国家标准的按行业标准验收,无行业标准的按地方或企业标准验收,中标人予以配合。涉及安全、消防、环保等其他需要由质检或行业主管部门验收的项目,采购人须约请相关部门和专家参加项目验收。
2.货物在验收时,投标人应提供发票、制造厂家出具的产品合格证书、装箱清单等, 涉及进口的产品、部件、配件等须提供中国海关进口货物报关单、完税证明及商检证明等材料;提供有关货物的操作规程和使用说明书,维护手册、保养修理所需的各种随机工具及相关设计、制造、检验、安装、技术性指导等文件和应由投标人提供的必要文件。
(十)付款方式:见投标人须知前附表。
收藏