招标文件
采购需求
一、项目概况:
“★”号条款
《用户需求书》中标注有“★”号的条款必须实质性响应,负偏离(不满足要求)将导致投标无效。
需要落实的政府采购政策:《政府采购促进中小企业发展管理办法》(财库〔2020〕46 号)、《关于政府采购支持监狱企业发展有关问题的通知》(财库〔2014〕68 号)、《关于促进残疾人就业政府采购政策的通知》(财库〔2017〕141 号)等。
本项目属于服务类项目,中小企业划分标准所属行业为:软件和信息技术服务业。
1 项目概况
1.1 基本信息
1.1.1 项目名称
省数字政府网络安全第三方服务(2024年)项目之网络安全演练与培训服务。
1.1.2 采购人及用户单位
广东省政务服务和数据管理局。
1.1.3 项目总体目标
进一步贯彻落实网络强国战略思想,以总体国家安全观为指导,以“以练促建、以练促改、以练促管、练建结合”为原则,通过桌面推演与实战攻防相结合的形式,开展常态化的网络安全攻防演练,全面检验我省数字政府“管运分离”模式下的网络安全整体防护能力,评估我省政务系统安全能力建设效果和管理水平,及时发现技术风险和管理短板,进一步完善网络安全漏洞和应急处置的全链条闭环管理体系制度;同时以演练作为契机,结合挖掘出的网络安全突出问题和深层次漏洞隐患,针对全省数字政府管理、规划、建设、开发、运维及运营的人员,开展常态化的线上网络安全意识和技能培训以及线下全场景化的实操实训,充分运用演练中取得的成果和获得验证的方案,持续提升全省数字政府网络安全意识和网络安全技能,为数字政府培养网络安全实战型人才,打造我省数字政府网络安全“护卫队”,为我省政务信息化建设的发展保驾护航。
1.1.4 服务地点
采购人指定服务地点。
1.2 项目背景
根据广东省人民政府关于印发广东省数字政府改革建设“十四五”规划的设计要求,需要打造数字政府安全体系管理中枢,整体性提升内外风险感知、安全管理闭环、协同安全防护、攻击监测分析、违规行为发现、应急事件响应和态势感知预警等能力,筑牢数字政府安全防线,提高安全保障能力。借助网络安全演练与培训服务,打造安全攻防实验室,构建网络安全仿真靶场与实训环境,持续开展“粤盾”攻防演练,促进一体化的态势感知、攻防演练、应急处置、安全培训等安全管理流程闭环,提升数字政府整体安全实战能力,促进网络安全防御体系升级迭代。
2 项目预算
本项目总预算为449.38万元,各服务预算如下:
|
序号 |
服务名称 |
单项采购预算金额(万元) |
|
1 |
成品软件租赁服务(许可) |
94.00 |
|
2 |
常态化大规模实战攻防演练服务 |
133.6 |
|
3 |
常态化专项实战防演练服务 |
76.38 |
|
4 |
网络安全意识教育和技能培训服务 |
145.4 |
3 服务期限
本项目委托服务期限:以甲方确认的各项服务启动报审备案时间为对应服务的起始时间,服务期为12个月。
4 服务内容
中标人应为采购人提供广东省数字政府网络安全意识教育和技能培训平台、网络安全攻防演练服务、网络安全意识教育和技能培训服务三部分。具体要求如下:
4.1 成品软件租赁服务(许可)
4.1.1 广东省数字政府网络安全意识教育和技能培训平台
中标人应为采购人提供广东省数字政府网络安全意识教育和技能培训平台软件,主要是面向各级党政机关、事业单位提供网络安全意识教育、网络安全技能培训、网络安全资讯共享、数字政府网络安全产业联盟专栏、考核量化评估、网络安全法律法规与标准规范文件共享、行业优秀网络安全解决方案发布等服务,持续提升全省党政机关(事业单位)的网络安全意识、网络安全管理及网络安全技能,为数字政府培养网络安全实战型人才,打造我省数字政府网络安全“护卫队”,为我省政务信息化建设的发展保驾护航。平台等保级别为二级,由中标人负责完成对应级别等保测评。平台需具备功能如下:
|
序号 |
一级功能 |
二级功能 |
功能描述 |
|
1 |
系统管理 |
组织机构管理 |
超级管理员:支持组织架构同步,通过API接口从省统一身份认证平台将所有组织架构同步至培训平台,支持手动同步更新;支持一级管理员设置,支持超管使用手机号或其他用户标识从省统一身份认证平台同步用户信息,并设置为管理员。分级管理员:支持超管使用手机号或其他用户标识从省统一身份认证平台同步用户信息,并设置为分级管理员。 |
|
2 |
学员账号管理 |
支持分级管理员进行多项管理。包括普通用户管理,即已访问过培训平台,但还没有报名培训任务的普通粤政易用户;报名用户管理,即已成功报名培训任务的粤政易用户,不管通过报名审核、或是分管导入报名的都算。 |
|
|
3 |
系统权限管理 |
超级管理员:管理员权限分配,支持超管导入手机号或其他用户标识从省统一身份认证平台同步用户信息,并设置为后台管理员和分配不同的功能模块权限。 |
|
|
4 |
运行日志管理 |
支持超级管理员查看系统运行日志,设置分级管理对运行日志的查看权限。 |
|
|
5 |
学习资源管理 |
视频课件管理 |
课程上传/存储,支持超管后台可以维护课程介绍等信息,并支持上传视频文件存储至政务云服务器;支持分级管理员创建和维护课程介绍等信息,并支持上传视频文件存储至政务云服务器。 |
|
6 |
PDF课件管理 |
支持超管对PDF课件进行增删改查。 |
|
|
7 |
资源权限管理 |
支持超管、分级管理员对资源进行增删改查。 |
|
|
8 |
共享文件管理 |
支持超管对所有的共享文件进行增删改查。 |
|
|
9 |
培训管理 |
发布培训任务 |
支持超级管理员创建安全意识、安全管理、安全技术等多个培训任务,并可以为每个培训任务设置必修课;支持分级管理员创建等多个培训任务,并可以为每个培训任务设置必修课。 |
|
10 |
导入报名学员 |
支持分级管理员导入手机号或其他用户标识从省统一身份认证平台同步用户信息,并进行培训报名。 |
|
|
11 |
培训报名审核 |
支持分级管理员对报名至本地市/省直单位的学员进行审核,可以审核通过或驳回;分级管理员所有的报名审核记录均留存。 |
|
|
12 |
培训数据统计 |
支持超管按照培训任务查询所有报名学员的学习进度,并可Excel导出;支持分级管理员按照培训任务查询所有报名学员的学习进度,并可Excel导出 |
|
|
13 |
考试管理 |
题库管理 |
支持超管对所有的考试题目进行管理。 |
|
14 |
试卷管理 |
支持超管按安全意识、安全管理、安全技术等培训方向灵活组建试卷,下发考试。 |
|
|
15 |
在线考试 |
支持超管发布考试形式,可设置分级管理员对在线考试权限。 |
|
|
16 |
考试统计分析 |
支持超管按照培训任务查询所有学员考试数据,并可Excel导出;支持超分级管理员按照培训任务查询所有学员考试数据,并可Excel导出 |
|
|
17 |
资讯管理 |
资讯发布、审核 |
支持超管对网络安全资讯进行增删改查。 |
|
18 |
数字联盟管理 |
支持超管对所有的数字联盟单位进行增删改查。 |
|
|
19 |
课程学习+考核 |
学员首页 |
支持普通用户(学员)注册/登录,粤政易用户API接口对接;支持用户权限选择,普通用户/报名用户的权限划分。 |
|
20 |
课程中心 |
普通用户(学员)包括课程筛选,支持学员按照课程分类、难度、学习状态、是否必修课等条件筛选课程;课程搜索,支持学员按照课程名称的关键词模糊匹配搜索课程。 |
|
|
21 |
课程详情 |
支持普通用户(学员)在线查看PDF课件列表、介绍,具体内容在线浏览;支持普通用户(学员)查看课程介绍、课程目录、课程学习进度等详情;支持学员在线浏览共享文件夹中的文件,和下载至本地。 |
|
|
22 |
视频播放 |
支持普通用户(学员)在PC端网页/移动端H5网页播放课程视频、倍速学习等。 |
|
|
23 |
考试中心 |
支持普通用户(学员)在线考试答题,提交自动判分,支持多次考试;支持普通用户(学员)查看需参加的考试列表、已参加过的考试记录等。 |
|
|
24 |
个人中心 |
支持普通用户(学员)对个人信息查看,如需修改则在粤政易修改完毕后重新同步;支持普通用户(学员)查询自己的学习的记录,按照最近学习时间倒序排列。 |
|
|
25 |
资讯浏览 |
支持学员在线查看网络安全资讯列表,具体内容在线浏览;支持学员在线查看数字联盟的单位列表、介绍等。 |
|
|
26 |
培训报名 |
支持普通用户(学员)报名管理,省级培训任务报名提交。 |
|
|
27 |
随堂测验 |
部分课程支持普通用户(学员)做随堂测验。 |
|
|
28 |
课程评分 |
支持普通用户(学员)给课程进行打分。 |
其中面向各级用户角色的主要功能包括:
1.面向超级管理员需支持:组织架构同步、一级管理员设置、管理员权限分配、创建培训任务、普通用户管理、报名用户管理、课程上传/存储、学习数据统计、考试数据统计、网络安全资讯、PDF课件管理、共享文件管理、数字联盟管理、考试题目管理、下发考试等功能。
2.面向分级管理员需支持:分级管理员设置、导入报名学员、创建培训任务、课程上传/存储、报名审核、审核记录、学习数据统计、考试数据统计等功能。
3.面向普通用户(学员)需支持:注册/登录、用户权限、报名管理、课程筛选、课程搜索、课程详情、课程播放、课程评分、随堂测验、PDF课件浏览、安全资讯浏览、共享文件下载、数字政府联盟、在线考试、考试列表、个人信息查看、学习的记录查询等功能。
4.其他对接需求:需在广东省数字政府网络安全意识教育和技能培训平台的基础上进行对接调试,实现广东省数字政府网络安全意识教育和技能培训平台与“统一身份认证平台”“粤政易(移动端)”对接,通过统一身份认证,支持粤政易移动端登登录和网页版,均应满足安全可控的要求。
(1)与统一身份认证平台对接
通过对接广东省数字政府的统一认证服务,实现用户管理、统一认证、单点登录、实名认证等;用户登陆之后,只需要做一次身份验证,就可以对所有被授权的网络资源进行无缝的访问,不需要再次输入其他应用系统的验证信息(用户名、密码),从而可以提高用户的使用效率,降低系统出错的机率。通过调用统一身份认证接口,实现政府部门工作人员、培训机构工作人员、培训会员的身份认证。
(2)与粤政易对接
通过对接粤政易(移动端),常驻于粤政易工作台常用应用栏,作为移动端入口。
4.2 网络安全攻防演练服务
中标人应为采购人提供网络安全攻防演练服务,包括常态化大规模实战攻防演练和常态化专项实战攻防演练两部分。具体要求如下:
4.2.1 常态化大规模实战攻防演练
4.2.1.1 开幕式会务
中标人应为采购人提供演练活动的开幕式会务支撑服务,具体服务内容包括:
(1)提供主KV设计,“粤盾”演练活动品牌的概念及定义(含海报设计等)。
(2)提供定制粤盾开幕式倒计时特效视频。
(3)提供靶标系统分配效果装置,用于随机分配50支队伍所属靶标。
4.2.1.2 实战攻防演练
(一)演练策划及运营
中标人应为采购人提供实战攻防演练涉及的演练策划组织、演练平台支撑、演练人员支撑、演练总结提升等服务。具体服务内容包括:
(一) 演练策划组织
(1)大规模实战攻防演练活动策划
根据大规模实战攻防演练活动的具体需求,借鉴行业内各种重大网络安全攻防演练活动经验,在满足国家法律法规和行业标准规范的前提下,制定具有特色、可落地、可执行的完整演练活动策划方案。
(2)50支攻击队伍的组建及运营
中标人应组织不少于50支高水平的攻击队伍,每支队伍3-4人。要求队伍来源应多样化,宜从国内有名安全企业的安全服务、互联网企业安全部门、国内安全实验室、广东省红帽先锋等团队或组织中选取或组建。防守人员由省直单位和21地市各政府单位的安全团队组成。
(3)大规模实战攻防演练规则制定
由中标人组织权威的裁判长和裁判员召开演练规则研讨会,制定科学、有效的攻防双方演习规则,包括但不限于《演练防守单位手册》、《演练攻击方手册》,《裁判手册(含演练评分细则,裁判准则等)》。
(4)大规模实战攻防演练靶标筛选
由中标人指派技术团队,负责筛选本次演练的靶标,覆盖的范围包括但不限于全省省直单位和21个地市政府单位电子政务相关的系统、网站、APP等。
(二) 演练平台支撑
(1)链路审计监管平台支撑服务
为有效监督、管控攻击队伍的攻击行为,在演练期间,中标人应为采购人提供链路审计监管平台支撑服务,确保所有攻击队伍均通过演练支撑平台提供的安全加密链路进行演练攻击,且平台将对所有输出流量进行审计监管,可根据条件搜索到精准用户的网络轨迹和使用日志,支持账号搜索、IP搜索、注册邮箱搜索、MAC地址搜索,可以查询到每一个用户针对访问对象的IP地址、域名、链接,提交的请求参数,返回的内容数据等,以此保障演练过程中的攻击安全可控、可溯。
为了防止防守方对特定IP进行简单粗暴的封禁IP的操作,中标人应为采购人提供丰富的链路出口IP资源池,至少保障每位攻击队员两主一备,即至少提供600个IP资源池。
(2)攻击方操作机靶场平台支撑服务
为了更好的统一管理,中标人应为采购人提供统一的攻击方操作机靶场平台支撑服务,为每一位攻击选手提供一台WIN操作机和一台LINUX操作机,每个操作机至少配备4核8G内存,同时配备1核1G的防火墙作为隔离(即每一位攻击选手至少提供9核17G的资源,共需提供至少1800核3400G内存);平台应具备城市沙盘展示功能,提供对抗过程的直观展示,应能高度仿真城市,模拟高度真实的网络安全攻防场景,可直观且高度还原真实场景,通过电子沙盘的方式,让物理空间和网络空间建立一个关联,把整个城市的网络场景更直观的展现。
(3)裁判计分评审平台支撑服务
中标人应为采购人提供裁判计分平台支撑服务,支持攻防双方通过支撑平台依实际攻击/防御的顺序按步骤填写成果和不同步骤按照攻击/防御的方式填写步骤成果的类型后,由裁判对提交的成果类型和内容判断步骤成果的有效性,且支持在已有成果基础上进行补录操作,补录后的成果需按提交的时间顺序排列;支持演练信息统计与展示、成果评审查看与管理的功能,演练过程中可查看当前演练基本信息和参赛队伍信息;可查看所有待审核、通过、驳回、忽略的成果详情及数量统计;; 在演练进行中可在成果列表对选手提交的成果进行评审打分、根据关键字筛选查看成果详情,主/副裁判均可对成果进行打分,设置评审锁定机制,只有主裁判可修改副裁判的打分情况,副裁判可修改其管辖内成果;演练结束后裁判可继续对成果进行评审打分、查看赛事详情等;管理员关闭演练后所有信息被清空。
(三) 演练人员支撑
(1)技术专家人员支撑服务
中标人应为采购人提供不少于9名技术专家,主要担任裁判长以及主裁判等,裁判长和主裁判应邀请行业内权威的专家进行担任,如公安体系研究所专业的研究员或同等级别的专家;主要负责对所有报告进行最后的质量把关,以及对于重大攻防成果进行最终的评审分析判定;为所有参演单位、攻击队提供专家咨询服务,解答专业技术疑问;组织召开裁判组各项会议,审议决策重大事项。
(2)技术裁判人员支撑服务
中标人应为采购人提供不少于20名技术裁判,主要包括裁判以及助理裁判,需邀请至少5年以上、具备丰富行业经验以及实战攻防经验的专业网络安全技术人员,主要负责对攻防双方提交攻防成果进行技术层面的符合,依据演练规则对漏洞或威胁的重要性和危害性进行评分;审定攻防成果的真实性、攻击链和应急响应的完整性。
(四) 演练总结提升
(1)21个地市攻防成果分析服务
为充分用好用足演练成果,演练结束后中标人需基于21个地市的实战攻防情况,总结分析21个地市的演练成果,包括但不限于总体攻防情况分析、攻击成果分析、防守成果分析、总结及整改建议、问题梳理清单等,即输出21份地市级分析总结报告。
4.2.2 常态化专项实战攻防演练
4.2.2.1 数据安全专项实战攻防演练
(一) 演练策划组织
(1)数据安全专项实战攻防演练活动策划
中标人应根据数据安全专项实战攻防演练活动的具体需求,借鉴行业内各种重大网络安全攻防演练活动经验,在满足国家法律法规和行业标准规范的前提下,制定具有特色、可落地、可执行的完整演练活动策划方案。
(2)攻击队伍的组建及运营
为保障演练高质量和高效率的进行,中标人应为采购人组织若干支高水平的攻击队伍。要求队伍来源应多样化,每支队伍为3-4人,宜从国内有名安全企业的安全服务、互联网企业安全部门、国内安全实验室、广东省红帽先锋等团队或组织中选取或组建。本专项实战攻防总演练时长不少于100队天。(如:20支队伍攻击5天或5支队伍攻击20天,具体要求由采购人根据实际需求确定)
(3)数据安全专项实战攻防演练规则制定
由中标人组织权威的专家召开演练规则研讨会,围绕数据安全为核心,制定科学、有效的攻防双方演习规则,包括但不限于《演练防守单位手册》、《演练攻击方手册》,《裁判手册(含演练评分细则,裁判准则等)》。
(4)数据安全专项实战攻防演练靶标筛选
由中标人指派技术团队,负责筛选本次演练的靶标,覆盖的范围包括(但不限于)全省省直单位和21个地市政府单位电子政务相关的系统、网站、APP等(具体靶标由采购人根据实际需求确定)。
(二) 演练平台支撑
(1)链路审计监管平台支撑服务
为有效监督、管控攻击队伍的攻击行为,在演练期间,所有攻击队伍均需通过演练支撑平台提供的安全加密链路进行演练攻击,且平台将对所有输出流量进行审计监管,可根据条件搜索到精准用户的网络轨迹和使用日志,支持账号搜索、IP搜索、注册邮箱搜索、MAC地址搜索,可以查询到每一个用户针对访问对象的IP地址、域名、链接,提交的请求参数,返回的内容数据等,以此保障演练过程中的攻击安全可控、可溯。
为了防止防守方对特定IP进行简单粗暴的封禁IP的操作,中标人提供的链路出口IP应保障好资源池足够,至少保障每位攻击队员两主一备。
(2)攻击方操作机靶场平台支撑服务
为了更好的统一管理,本次演练将采取统一的攻击方操作机靶场平台,为每一位攻击选手提供一台WIN操作机和一台LINUX操作机,每个操作机至少配备4核8G内存,同时配备1核1G的防火墙作为隔离(即每一位攻击选手至少提供9核17G的资源,共需提供至少720核1360G内存)。
(3)裁判计分评审平台支撑服务
中标人应提供裁判计分平台支撑服务,支持演练信息统计与展示、成果评审查看与管理的功能,演练过程中可查看当前演练基本信息和参赛队伍信息;可查看所有待审核、通过、驳回、忽略的成果详情及数量统计;在演练进行中可在成果列表对选手提交的成果进行评审打分
、根据关键字筛选查看成果详情,主/副裁判均可对成果进行打分,设置评审锁定机制,只有主裁判可修改副裁判的打分情况,副裁判可修改其管辖内成果;演练结束后裁判可继续对成果进行评审打分、查看赛事详情等;管理员关闭演练后所有信息被清空。
(三) 演练人员支撑
(1)技术专家人员支撑服务
中标人应为采购人提供不少于1名技术专家,担任裁判长,裁判长应邀请行业内权威的专家进行担任,如公安体系研究所专业的研究员或同等级别的专家;主要负责对所有报告进行最后的质量把关,以及对于重大攻防成果进行最终的评审分析判定;为所有参演单位、攻击队提供专家咨询服务,解答专业技术疑问;组织召开裁判组各项会议,审议决策重大事项。
(2)技术裁判人员支撑服务
中标人应为采购人提供不少于5名技术裁判,主要包括裁判以及助理裁判,需邀请至少5年以上、具备丰富行业经验以及实战攻防经验的专业网络安全技术人员,主要负责对攻防双方提交攻防成果进行技术层面的符合,依据演练规则对漏洞或威胁的重要性和危害性进行评分;审定攻防成果的真实性、攻击链和应急响应的完整性。
4.2.2.2 重点问题单位专项检查复核演练
(一) 演练策划组织
(1)重点问题单位专项检查复核演练活动策划
根据重点问题单位专项检查复核演练活动的具体需求,借鉴行业内各种重大网络安全攻防演练活动经验,在满足国家法律法规和行业标准规范的前提下,制定具有特色、可落地、可执行的完整演练活动策划方案。
(2)20支攻击队伍的组建及运营
为保障演练高质量和高效率的进行,应由中标人组织若干支高水平的攻击队伍,每支队伍3-4人。要求队伍来源应多样化,宜从国内有名安全企业的安全服务、互联网企业安全部门、国内安全实验室、广东省红帽先锋等团队或组织中选取或组建。本专项实战攻防总演练时长不少于100队天。(如:20支队伍攻击5天或5支队伍攻击20天,具体要求由采购人根据实际需求确定)
(二) 演练平台支撑
(1)链路审计监管平台支撑服务
为有效监督、管控攻击队伍的攻击行为,在演练期间,所有攻击队伍均需通过演练支撑平台提供的安全加密链路进行演练攻击,且平台将对所有输出流量进行审计监管,可根据条件搜索到精准用户的网络轨迹和使用日志,支持账号搜索、IP搜索、注册邮箱搜索、MAC地址搜索,可以查询到每一个用户针对访问对象的IP地址、域名、链接,提交的请求参数,返回的内容数据等,以此保障演练过程中的攻击安全可控、可溯。
为了防止防守方对特定IP进行简单粗暴的封禁IP的操作,服务方提供的链路出口IP应保障好资源池足够,至少保障每位攻击队员两主一备。
(2)攻击方操作机靶场平台支撑服务
为了更好的统一管理,本次演练将采取统一的攻击方操作机靶场平台,为每一位攻击选手提供一台WIN操作机和一台LINUX操作机,每个操作机至少配备4核8G内存,同时配备1核1G的防火墙作为隔离(即每一位攻击选手至少提供9核17G的资源,共需提供至少720核1360G内存)。
4.2.3 服务成果要求
本项目服务期内,中标人应提供(但不限于)以下服务成果物:
(1)演练活动设计方案;
(2)演练期间攻击队伍人员名单;
(3)演练活动总结报告;
(4)演练活动的照片、攻防报告等多媒体资料(以光盘形式)。
4.3 网络安全意识教育和技能培训
4.3.1 定制5门粤盾攻防演练案例综合分析课程
中标人需安排网络安全专家对“粤盾杯”等活动发现的5个重大成果案例构建相对应的网络安全场景,复盘整个攻击链过程,分析攻击过程中所有涉及到的风险点,并提出相对应的解决方案。
课程的方式可采用视频或者实验的方式提供,内容包括但不限于以下4点:
(1) 5个网络安全场景。
(2) 在对应的场景中复盘成果案例。
(3) 描述整个过程涉及到的所有风险点。
(4) 相应的解决方案。
定制的5门粤盾攻防演练案例综合分析课程知识产权为采购人独有。
4.3.2 构建体系化课件服务
中标人应为采购人打造广东省数字政府网络安全全方位、多层次的安全意识教育和技能培训课程体系,构建的体系化课件包括(但不限于):
(1)不少于10门安全意识课件,包括但不限于Wi-Fi钓鱼、办公网络场景和威胁风险、保密协议与保密管理等、常见泄密行为与防护等。
(2)不少于10门安全管理类课件,包括但不限于安全规划、软件安全开发生命周期、安全建设、信息安全风险管理、监管合规等。
(3)不少于10门安全技术类课件,包括但不限于Web漏洞讲解、Windows逆向工程技术、APK加固保护及对抗、DDoS攻击防御与云服务等。
以上课件形式包括视频、PDF可下载文件等,属于一次性购买,永久使用。
4.3.3 提供培训活动组织服务
基于培训平台以及培训平台完整的课程体系,组织针对至少20000名参与广东省数字政府规划、建设、运营、管理、运维等人员,开展为期3个月的安全意识、安全管理、安全技术的培训组织工作。提供不少于1000道理论知识题目资源,覆盖网络安全所涉及必要知识点不少于十个,类型包括单选题、多选题、判断题等多种类型。中标人应为采购人提供不少于4名专职人员负责培训平台的运营维护工作,督促各地各部门完成安全意识、安全管理、安全技术等方向的必修课,制定考试考核计划以及相应试题,安排考试并评估分析各地各部门学习效果,形成分析总结报告。
4.3.4 服务成果要求
本项目服务期内,中标人应提供(但不限于)以下服务成果物:
(1)培训学员签到表或在线学员清单;
(2)培训服务反馈表;
(3)培训总结报告;
(4)5门粤盾攻防演练案例综合分析课程;
(5)10门安全意识课件、10门安全管理类课件和10门安全技术类课件。
5 服务要求
5.1 管理要求
5.1.1 服务人员
投标人须书面承诺,如在项目实际执行过程中发生项目经理不能按采购文件要求胜任相关工作的,采购人有权要求更换项目经理,投标人必须在两周内调整为符合采购文件要求且能胜任相关工作的项目经理并到位开展工作,否则采购人有权终止合同并报相关管理部门进行处理。
投标人承诺的项目经理和开发实施的主要人员未经用户同意不得调整;投标人如中途更换项目经理和主要开发技术人员,应征得用户同意,否则采购人有权终止合同。
服务商应指派固定的团队为本项目提供专业服务,服务团队成员不得少于14人。投标人为本项目提供的技术服务人员应覆盖以下资质:具备注册信息安全专业人员(CISP)证书或信息安全保障人员认证(CISAW)证书或信息安全工程师证书;具备由中国信息安全测评中心颁发的国家信息安全水平证书;具备工业和信息化部教育与考试中心颁发的高级网络工程师证书;具备工业和信息化部教育与考试中心颁发的高级网络信息安全工程师证书;具备工业和信息化部、人力资源和社会保障部共同颁发的中级系统集成项目管理工程师证书;由人力资源和社会保障部门颁发的信息化类正高级程师证书;国家机关颁发的网络安全方向的科学技术进步奖(以上奖项的研究方向需靶场平台、培训平台相关)。
如须调整服务团队成员,须书面向采购人提出申请,说明申请理由,经采购人书面同意方可调整团队人员,调入人员的资历和从业经验不低于调出人员,否则视为违约行为,采购人有权终止服务合同。
应提供以上人员相关证明资料复印件并加盖公章,并提供以上人员在本公司任职的有效外部证明材料(如加盖政府有关部门印章的《投保单》或《社会保险参保人员证明》,或单位代缴个人所得税税单等,事业法人的相关人员应提供该单位的相关证明)复印件。
5.1.2 进度要求
本项目服务期限为12个月,服务起始时间以采购人确认的项目服务启动报审备案时间为准。投标人需明确本项目工作的方式、方法、过程步骤、按阶段分解的详细计划、对应计划应提交的工作成果、需要采购人协调与配合的事项,并经采购人审核、批准。
采购人有权监督和管理投标项目的测试、安装、调试、故障诊断、系统开发和验收等各项工作,投标人必须接受并服从采购人的监督、管理要求,按要求提供中间过程工作成果。投标人在完全理解标书的要求后,提供实施计划,其中需要包括进度计划、里程碑、交付成果、人员安排等。
5.1.3 组织实施要求
为使项目按质、按量、按时及有序实施,投标人应建立完善、稳定的项目团队、内部组织管理方式及管理机构、协调机制、技术基础,支撑保障要求及其他相关要求。在机制保障方面,成立组织实施小组和项目专家组的双轨制的组织模式。在项目日常管理和条件保障方面,从行政组织、后勤保障和支撑条件各方面创造良好的服务环境,确保项目的顺利实施。
5.1.4 文档管理要求
投标人应在项目完成时,将本项目所有文档、资料汇集成册交付给采购人,所有文件要求用中文书写或有完整的中文注释。验收后,投标人按国家、省以及采购人档案管理要求,向采购人提供装订成册的纸质文档至少3套,电子文档1套。
5.1.5 质量保证要求
为保证本项目能按时高质的顺利完成,规避项目风险或将风险降至最低程度,投标人应建立项目质量管理体系,包括但不限于质量目标、质量指标、岗位责任、问题处理计划、质量评价、整改完善等内容,并建立奖惩制度。
5.2 验收标准
项目验收按照广东省政务服务和数据管理局项目验收的有关规定执行。项目验收的具体组织工作由项目采购人承担。
本项目的验收应符合广东省政务服务和数据管理局相关验收管理办法的要求,同时应遵循下列标准:
(1)实现合同和根据招标文件所编写的投标文件中列举的全部内容。
(2)项目验收包括按照合同和根据招标文件所编写的投标文件中相关的技术文档、培训教材、使用说明书及广东省政务服务和数据管理局项目相关验收管理办法所要求的全部文档。
本项目结束后,中标人在验收时需要提供以下材料:
(1)演练活动设计方案;
(2)演练期间攻击队伍人员名单;
(3)演练活动总结报告;
(4)演练活动的照片、攻防报告等多媒体资料(以光盘形式)。
(5)培训学员清单;
(6)培训总结报告。
5.3 其他要求
5.3.1 标准规范要求
(1)中华人民共和国网络安全法
(2)GB/T28448-2019信息安全技术网络安全等级保护测评要求
(3)GB/T25070-2019信息安全技术网络安全等级保护安全设计技术要求
(4)GB/T25070-2019信息安全技术网络安全等级保护设计技术要求
(5)GB/T35279-2017信息安全技术云计算安全参考架构
(6)GB/T22239-2019信息安全技术网络安全等级保护基本要求
(7)GB/T20984-2022信息安全技术信息安全风险评估规范。
5.3.2 服务响应要求
服务响应可通过现场、远程等方式提供,由此产生的一切费用均由投标人承担。
(1)服务方式包括:电话服务、远程服务和现场服务等。
(2)应用系统运行维护:提供7×24小时响应服务(包括现场服务、紧急事件响应、系统升级等),出现故障时,快速受理服务请求,根据不同的故障等级在不同时间内进行响应,对于远程或电话无法解决的问题,安排技术人员现场处理,重大故障提供故障分析报告,保证市内2小时内到达现场解决重大系统故障。
5.3.3 资产权属
1.本合同不会引起任何已申请、登记的知识产权所有权的转移。
2.投标人、采购人双方一致同意,本合同所涉的5个定制培训课件的知识产权归属采购人单独所有,10门安全意识、10门安全管理、10门安全技术课件的特定范围内的使用权归采购人所用(即:采购人有权在广东省各级政府内部无限制使用),其他所涉服务成果的知识权属按以下(3)种方式处理:
(1)投标人负责开发软件服务,包括代码编写、调试、测试等开发工作,投标人为履行本合同义务所形成的服务成果的知识产权归采购人单独所有。
(2)投标人负责提供定制软件租赁服务,采购人基于本合同约定委托投标人定制开发的产品、程序、服务等的知识产权归甲、投标人共同所有,投标人应按采购人书面要求交付该共有部分的源代码;投标人在共有部分的基础上进行二次开发的及对二次开发形成的产品、程序等财产进行处置的,需经采购人书面同意,二次开发所形成的产品、程序、服务等的知识产权归开发者所有,共有部分仍归甲、投标人共同所有。投标人根据采购人授权,利用项目成果申请的商标、专利或输出的图片、视频等受知识产权保护的成果物,采购人有权无条件永久使用。
(3)投标人负责提供运营服务或成品软件租赁服务,投标人为履行本合同义务所形成的所有服务成果的知识产权(除成品软件开发涉及的知识产权)归采购人单独所有。
(4)本项目仅包含基础设施服务租用或运维服务,不涉及知识产权权属转移。
3.本合同所涉及的数据所有权归政府所有。投标人只能用于履行本合同之义务。
4.投标人提供的相关软件应是自行开发的产品或具备合法、合规授权,满足知识产权、安全等保三级等方面的有关规定和要求。
5.投标人保证向采购人提供的服务成果是其独立实施完成,不存在任何侵犯第三方专利权、商标权、著作权等合法权益。如因投标人提供的服务成果侵犯任何第三方的合法权益,导致该第三方追究采购人责任的,投标人应负责解决并赔偿因此给采购人造成的全部损失。
5.3.4 保密要求
1.投标人应签订保密协议,对其因身份、职务、职业或技术关系而知悉的采购人商业秘密和党政机关保密信息应严格保守,保证不被披露或使用,包括意外或过失。
2.投标人不得以竞争为目的、或出于私利、或为第三人谋利而擅自保存、披露、使用采购人商业秘密和党政机关保密信息;不得直接或间接地向无关人员泄露采购人的商业秘密和党政机关保密信息;不得向不承担保密义务的任何第三人披露采购人的商业秘密和党政机关保密信息。投标人在从事政府项目时,不得擅自记录、复制、拍摄、摘抄、收藏在工作中涉及的保密信息,严禁将涉及政府项目的任何资料、数据透露或以其他方式提供给项目以外的其他方或投标人内部与该项目无关的任何人员。
3.投标人对于工作期间知悉采购人的商业秘密和党政机关保密信息(包括业务信息在内)或工作过程中接触到的政府机关文件(包括内部发文、各类通知及会议记录等)的内容,同样承担保密责任,严禁将政府机关内部会议、谈话内容泄露给无关人员;不得翻阅与工作无关的文件和资料。
4.严禁泄露在工作中接触到的政府机关科技研究、发明、装备器材及其技术资料和政府工作信息。
5.3.5 监理要求
★投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件)
6 付款方式(具体以合同约定为准)
本项目计划分3期支付,具体支付方式和时间如下:
1.首期款:签订合同后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日启动首期款支付流程,支付约占合同总金额的49%。
2.尾款:本项目服务期满且项目最终验收通过后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日内启动尾款支付流程,支付合同总金额的剩余款项。
项目实际支付总金额按采购成交总金额计算,项目支付计划按合同约定执行,对于满足合同约定支付条件的,采购人应当自收到发票后10个工作日内将资金支付到合同约定的投标人账户,不得以机构变动、人员更替、政策调整等为由延迟付款,不得将采购文件和合同中未规定的义务作为向投标人付款的条件。
采购包1(演练与培训服务)1.主要商务要求
|
标的提供的时间 |
本项目委托服务期限:以甲方确认的各项服务启动报审备案时间为对应服务的起始时间,服务期为12个月。 |
|
标的提供的地点 |
采购人指定服务地点。 |
|
付款方式 |
1期:支付比例49%,首期款:签订合同后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日启动首期款支付流程,支付约占合同总金额的49%。 2期:支付比例51%,尾款:本项目服务期满且项目最终验收通过后15个工作日内,投标人书面提出支付申请函及拟支付金额等额的符合采购人财务管理要求的相应发票,采购人在收到投标人的支付申请及发票后5个工作日内启动尾款支付流程,支付合同总金额的剩余款项。 如项目发生合同融资,采购人应当将合同款项支付到合同约定收款账户。 |
|
验收要求 |
1期:项目验收按照广东省政务服务和数据管理局项目验收的有关规定执行。项目验收的具体组织工作由项目采购人承担。 本项目的验收应符合广东省政务服务和数据管理局相关验收管理办法的要求,同时应遵循下列标准: (1)实现合同和根据招标文件所编写的投标文件中列举的全部内容。 (2)项目验收包括按照合同和根据招标文件所编写的投标文件中相关的技术文档、培训教材、使用说明书及广东省政务服务和数据管理局项目相关验收管理办法所要求的全部文档。 本项目结束后,中标人在验收时需要提供以下材料: (1)演练活动设计方案; (2)演练期间攻击队伍人员名单; (3)演练活动总结报告; (4)演练活动的照片、攻防报告等多媒体资料(以光盘形式)。 (5)培训学员清单; (6)培训总结报告。 |
|
履约保证金 |
不收取 |
|
其他 |
|
2.技术标准与要求
|
序号 |
品目名称 |
标的名称 |
单位 |
数量 |
分项预算单价(元) |
分项预算总价(元) |
所属行业 |
技术要求 |
|
1 |
通用应用软件开发服务 |
成品软件租赁服务(许可) |
套 |
1.00 |
940,000.00 |
940,000.00 |
软件和信息技术服务业 |
详见附表一 |
|
2 |
测试评估认证服务 |
常态化大规模实战攻防演练服务 |
项 |
1.00 |
1,336,000.00 |
1,336,000.00 |
软件和信息技术服务业 |
详见附表二 |
|
3 |
测试评估认证服务 |
常态化专项实战防演练服务 |
项 |
1.00 |
763,800.00 |
763,800.00 |
软件和信息技术服务业 |
详见附表三 |
|
4 |
其他信息技术服务 |
网络安全意识教育和技能培训服务 |
批 |
1.00 |
1,454,000.00 |
1,454,000.00 |
软件和信息技术服务业 |
详见附表四 |
附表一:成品软件租赁服务(许可)
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
附表二:常态化大规模实战攻防演练服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
附表三:常态化专项实战防演练服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
附表四:网络安全意识教育和技能培训服务
|
参数性质 |
序号 |
具体技术(参数)要求 |
|
★ |
1 |
投标人须承诺,在项目开展过程中接受采购人指定的咨询监理机构的监理。(投标时提交承诺函,格式可参考附件) |
|
说明 |
打“★”号条款为实质性条款,若有任何一条负偏离或不满足则导致投标无效。 |
|
收藏