山西乔家大院旅游股份有限公司网络安全运维服务项目中标公告

询价条款

三、商务条款：

商务条款：（一）服务周期1年。（二）付款方式：1、按每三个月支付；2、每3个月完成指定任务，提供相关工作月报后，支付合同总价*25%；3、每三个月首月乙方可申请支付上三个月的服务费用；4、每次付款前，乙方向甲方出具等额增值税专用发票（税率执行国家相关规定）。（三）报价要求：1、本项目设最高限价，最高限价为20万元。2、按附件的格式进行报价，所有响应报价均以人民币报价，报价为含税价，小数点最多保留两位，中标后按国家相关增值税率明确到合同中（当总价与分项报价不符时，以分项报价合计为准）。4、报价内容包括：按照附件格式填写的价格，按照附件（附件：响应文件格式要求）所有报价单位的必须提供符合资格要求的资质及证明材料和各类方案，报价单位扫描后以电子版形式（包含****点击查看易购上报价时上传附件报出。5、相关证明材料附复印件，须加盖企业公章。

四、技术条款：

技术条款：1、资产统计服务：服务提供商在服务期内，按季度对需服务系统相关安全设备、软件产品的型号、授权及版本做登记，并协助统计网络架构、系统及系统IP。2、基线核查服务：服务提供商每月对服务器、数据库、中间件等配置进行安全基线核查，并提供检测结果说明和加固服务。3、漏洞扫描服务：服务提供商对业务系统每月进行1次全面且有针对性的扫描，发现潜在的漏洞，对于发现的漏洞进行评估和分类，确定漏洞的危害程度和可能的利用方式漏洞报告：生成详细的漏洞报告，包括漏洞的描述、风险等级和修复建议，以便进行及时修复。4、渗透测试服务：服务提供商对业务系统每年进行1次渗透测试，结合漏扫情况，验证数据真实性，并出具报告。业务系统后续新增功能将再次进行渗透测试。5、安全巡检服务：服务提供商每月对系统进行一次例行安全检查，并出具安全统计分析报告，巡检内容包括对服务器、数据库、中间件等进行配置核查，对相关日志进行审计分析，对Webshe11进行查杀，告警分析、基线检查、全域流量分析、安全策略配置、安全规则调优，并根据实际情况出具系统安全月报告、年度报告。6、网络安全监测与防护服务：服务提供商全年提供7*24小时远程监测预警 服务，包含站点的DNS解析监测、挂马、黑链、篡改、敏感内容监测。7、应急处置服务：服务提供商全年提供7*24小时应对突发网络与信息安全事件的能力，当安全事件或疑似安全事件正在发生或已经发生，及时派遣安全工程师协助检查所受影响的系统，找到问题的根源并提出解决方案，协助后续处理；协助处理各类突发性安全事件；协助处理通过安全核查或者监管部门检查发现的一系列的关于服务对象的安全问题等。安全工程师需两小时内到达现场。8、网络安全应急演练：服务提供商协助开展2次应急演练，对全流程响应机制验证与处置能力提升。检验应急计划的有效性、应急准备的完善性、应急响应能力的适应性，尤其是突发应急事件时各部门应急人员的协同性而进行的一种模拟应急响应的实践活动。9、安全培训服务：服务提供商在服务年度内提供至少2次的专业网络安全培训服务及技术指导。10、网络安全宣传周策划：服务提供商在网络安全宣传周期间，协助进行相关策划工作。11、政策解读与实施服务：服务提供商针对国家或地区发布的网络安全相关法律法规、标准**策进行及监管部门下发的专项通知文件详细解读，并根据这些政策提供具体的执行指导和解决方案。帮助理解政策要求、评估现有安全措施的合规性、制定改进计划、实施必要的安全措施以及持续监控和维护网络安全环境，确保符合最新的政策和法规要求。12、网络安全管理制度制定、优化：服务提供商协助制定和优化网络安全管理制度，包括明确的安全政策和程序、定期的风险评估与管理、安全培训与意识提升、应急响应计划的制定与维护、安全监控与审计的实施、物理安全措施的加强、网络安全技术措施的部署、数据备份与恢复策略的制定、第三方安全管理的评估以及法律遵从与报告。13、数据安全管理制度制定、优化：服务提供商协助制定和优化数据安全管理制度，包括明确的安全政策和程序、定期的风险评估与管理、安全培训与意识提升、应急响应计划的制定与维护、安全监控与审计的实施、物理安全措施的加强、网络安全技术措施的部署、数据备份与恢复策略的制定、第三方安全管理的评估以及法律遵从与报告。14、数据库资产统计：根据数据分类分级保护原则，围绕数据全生命周期安全管理，包括采集、传输、存储、使用、交换、销毁等各个环节的安全防护要求，构建数据安全态势感知体系。15、数据库风险扫描：针对数据库弱口令、策略配置、漏洞等风险进行扫描，并针对系统检查出的数据资产的安全漏洞，提供了详细的漏洞修复建议，保证每条建议有效可靠，不会造成、修复后正常功能无法使用、数据库系统无法启动等故障并形成相关报告。16、数据分类分级服务：根据数据分类分级保护原则，围绕数据全生命周期安全管理，包括采集、传输、存储、使用、交换、销毁等各个环节的安全防护要求，构建数据安全态势感知体系。从而降低政务数据、个人身份信息等敏感信息被窃取、被篡改的风险系数，最大限度地防范、控制和减少业务系统的风险损失，从而让数据在流动、使用共享过程中释放最大的价值。17、专项安全检查配合服务：服务提供商针对监管部门下发的专项安全检查要求，或者机构对分支进行专项安全检查，进行相应的配合工作。协助制**全检查方案，以及派出技术专家进行配合，促进安全性的改进，满足合规性要求。18、重要时期安全保障服务：服务提供商在法定节假日、重大活动或会议期间提供重保组织架构设计、风险评估、规划整改、专家指导、防御构建、实时监测、安全值守、响应处置等安全服务。提供重保方案、值守日报告、总结报告等服务。提供全面的网络安全分析和预警。

六、报名要求：

1、具备独立法人资格，具有有效的营业执照，具有履行合同所必需的设备和专业技术能力、服务能力；2、单位负责人为同一人或者存在直接控股、管理关系的不同供应商，不得参加同一合同项下的采购活动；3、具有良好的商业信誉和健全的财务会计制度，近3年没有违反职业道德和违法执业行为；4、近三年（2022年6月至今）有独立承接同类项目业绩；5、本项目不接受联合体形式；6、本次询比价不接受挂靠单位比选。若发现挂靠行为，取消比选资格；7、报名时无需上传报价资料。

七、资质要求：

ISO9001-质量管理体系认证、ISO27001-信息安全管理体系认证、ISO20000-信息技术服务管理体系认证