• <th id="k2yms"><progress id="k2yms"></progress></th>
    <strong id="k2yms"><dl id="k2yms"></dl></strong>
  • <th id="k2yms"></th>

      <meter id="k2yms"></meter>
        <th id="k2yms"><progress id="k2yms"></progress></th>

        <small id="k2yms"><em id="k2yms"><center id="k2yms"></center></em></small>

        加入收藏
         
        服務(wù)熱線:0512-6523-8891
        首 頁 公司簡(jiǎn)介 招標(biāo)信息 政策法規(guī) 專家在線 聯(lián)系我們
         
         
        中國(guó)政府采購(gòu)網(wǎng)
        江蘇省政府采購(gòu)網(wǎng)
        蘇州市政府采購(gòu)網(wǎng)
         
        您現(xiàn)在的位置:首頁>>招標(biāo)信息詳情展示

        蘇州數(shù)政安全技術(shù)有限公司關(guān)于社保中心2024年網(wǎng)絡(luò)安全服務(wù)項(xiàng)目詢價(jià)采購(gòu)公告(SZCJ2024-S-X-221號(hào)​)

        2024/10/22


        蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司受蘇州數(shù)政安全技術(shù)有限公司之委托,對(duì)其采購(gòu)的社保中心2024年網(wǎng)絡(luò)安全服務(wù)項(xiàng)目進(jìn)行詢價(jià)采購(gòu),歡迎合格的供應(yīng)商前來參加。

        一、 項(xiàng)目說明:

        (一) 項(xiàng)目名稱:社保中心2024年網(wǎng)絡(luò)安全服務(wù)項(xiàng)目

        (二) 采購(gòu)預(yù)算:人民幣玖元整(¥:90000.00)

        (三) 合格詢價(jià)響應(yīng)供應(yīng)商的條件:

        1、具有獨(dú)立承擔(dān)民事責(zé)任的能力;

        2、具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;

        3、具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力;

        4、有依法繳納稅收和社會(huì)保障資金的良好記錄;

        5、參加采購(gòu)活動(dòng)前三年內(nèi),在經(jīng)營(yíng)活動(dòng)中沒有重大違法記錄;

        6、法律、行政法規(guī)規(guī)定的其他條件。

        二、采購(gòu)要求:

        (一)項(xiàng)目背景

        網(wǎng)絡(luò)安全是數(shù)字化發(fā)展中不可或缺的重要內(nèi)容。“建設(shè)網(wǎng)絡(luò)強(qiáng)國(guó)、數(shù)字中國(guó)、智慧社會(huì)”,推動(dòng)數(shù)字政府建設(shè),是黨中央、國(guó)務(wù)院基于我國(guó)信息化和新型城鎮(zhèn)化發(fā)展現(xiàn)狀做出的重大決策。而數(shù)字政府大力發(fā)展的同時(shí)離不開網(wǎng)絡(luò)安全,然而,越來越復(fù)雜的信息系統(tǒng)及大量云計(jì)算、物聯(lián)網(wǎng)、移動(dòng)網(wǎng)絡(luò)、大數(shù)據(jù)等新興技術(shù)的應(yīng)用,給數(shù)字政府網(wǎng)絡(luò)安全帶來了巨大挑戰(zhàn)。由于數(shù)字政府存在大量涉及國(guó)家安全、經(jīng)濟(jì)發(fā)展和社會(huì)公共利益的重要數(shù)據(jù),一旦出現(xiàn)網(wǎng)絡(luò)安全問題,就可能出現(xiàn)極其嚴(yán)重的后果。

        已頒布實(shí)施的《網(wǎng)絡(luò)安全法》明確要求網(wǎng)絡(luò)運(yùn)營(yíng)者應(yīng)當(dāng)按照網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的要求,履行安全保護(hù)義務(wù),保障網(wǎng)絡(luò)免受干擾、破壞或者未經(jīng)授權(quán)的訪問,防止網(wǎng)絡(luò)數(shù)據(jù)泄露或者被竊取、篡改,并提出了具體要求!稊(shù)據(jù)安全法》要求開展數(shù)據(jù)處理活動(dòng)應(yīng)當(dāng)依照法律、法規(guī)的規(guī)定,建立健全全流程數(shù)據(jù)安全管理制度,組織開展數(shù)據(jù)安全教育培訓(xùn),采取相應(yīng)的技術(shù)措施和其他必要措施,保障數(shù)據(jù)安全。利用互聯(lián)網(wǎng)等信息網(wǎng)絡(luò)開展數(shù)據(jù)處理活動(dòng),應(yīng)當(dāng)在網(wǎng)絡(luò)安全等級(jí)保護(hù)制度的基礎(chǔ)上,履行上述數(shù)據(jù)安全保護(hù)義務(wù)。

        (二)目的

        通過安全服務(wù)梳理重點(diǎn)業(yè)務(wù)系統(tǒng)安全現(xiàn)狀,發(fā)現(xiàn)蘇州市社會(huì)保險(xiǎn)基金管理中心(以下簡(jiǎn)稱“蘇州市社保中心”)業(yè)務(wù)系統(tǒng)架構(gòu)方面的缺陷、常見網(wǎng)站安全漏洞、應(yīng)用層業(yè)務(wù)流程和邏輯上的安全漏洞和敏感信息泄露的風(fēng)險(xiǎn),掌握業(yè)務(wù)系統(tǒng)安全現(xiàn)狀,為做好業(yè)務(wù)系統(tǒng)的安全加固和維護(hù)工作做好基礎(chǔ)準(zhǔn)備,便于后續(xù)進(jìn)行系統(tǒng)修復(fù)和安全加固,制定相應(yīng)的安全應(yīng)急措施。

        從而促進(jìn)蘇州市社保中心未來的信息安全規(guī)劃,構(gòu)建動(dòng)態(tài)、完整、高效的信息安全保障體系,逐步形成持續(xù)完善、自我優(yōu)化的安全運(yùn)維體系和管理體系,從根本上提高蘇州市社保中心信息系統(tǒng)的整體安全能力,為保證業(yè)務(wù)的健康發(fā)展和提升核心競(jìng)爭(zhēng)力提供堅(jiān)實(shí)的基礎(chǔ)保障。

        (三)項(xiàng)目工作內(nèi)容

        1、風(fēng)險(xiǎn)評(píng)估服務(wù)

        按照風(fēng)險(xiǎn)評(píng)估標(biāo)準(zhǔn),基于多角度、多緯度采用系統(tǒng)檢查和人工訪談方式對(duì)蘇州市社會(huì)保險(xiǎn)基金管理中心重要業(yè)務(wù)系統(tǒng)的威脅和脆弱性進(jìn)行評(píng)估,結(jié)合安全事件所涉及的資產(chǎn)價(jià)值來判斷安全事件一旦發(fā)生對(duì)組織造成的影響。

        1) 服務(wù)內(nèi)容

        針對(duì)重要信息系統(tǒng),風(fēng)險(xiǎn)評(píng)估的主要內(nèi)容包括:基于評(píng)估標(biāo)準(zhǔn),建立相應(yīng)的評(píng)估模型,利用已有的評(píng)估技術(shù)和評(píng)估方法,針對(duì)信息系統(tǒng)展開全方位的評(píng)估工作,確保風(fēng)險(xiǎn)分析的內(nèi)容與范圍應(yīng)該覆蓋信息系統(tǒng)的整個(gè)體系,將系統(tǒng)資產(chǎn)的3個(gè)重要方面(機(jī)密性、可用性和完整性)作為目標(biāo),并從風(fēng)險(xiǎn)范圍、風(fēng)險(xiǎn)程度和風(fēng)險(xiǎn)概率3個(gè)角度對(duì)系統(tǒng)的威脅和脆弱性進(jìn)行識(shí)別,制定出風(fēng)險(xiǎn)控制措施。

        按照國(guó)際風(fēng)險(xiǎn)評(píng)估信息安全要素提取慣例和標(biāo)準(zhǔn),調(diào)查分析用戶的已有策略,從管理、制度、落實(shí)情況、物理信息安全、人員信息安全、第三方信息安全等各方面來評(píng)估分析。調(diào)查業(yè)務(wù)流程,并對(duì)信息資產(chǎn)進(jìn)行賦值和等級(jí)劃分;結(jié)合工具掃描、人工評(píng)估對(duì)系統(tǒng)、網(wǎng)絡(luò)、數(shù)據(jù)庫以及管理制度進(jìn)行信息安全性評(píng)估,并根據(jù)評(píng)估結(jié)果提供評(píng)估報(bào)告,并根據(jù)風(fēng)險(xiǎn)結(jié)果設(shè)計(jì)有針對(duì)性的安全整改計(jì)劃。

        2) 工具掃描分析

        針對(duì)主機(jī)、網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)庫、應(yīng)用系統(tǒng)等使用漏洞掃描工具進(jìn)行脆弱性評(píng)估,得出網(wǎng)絡(luò)系統(tǒng)中存在的信息安全隱患和漏洞,同時(shí)根據(jù)網(wǎng)絡(luò)實(shí)際情況提出信息安全建議。

        3) 人工評(píng)估分析

        人工檢查網(wǎng)絡(luò)中主機(jī)、網(wǎng)絡(luò)設(shè)備、應(yīng)用系統(tǒng)、數(shù)據(jù)庫等的配置以及相關(guān)機(jī)制進(jìn)行評(píng)估,挖掘網(wǎng)絡(luò)系統(tǒng)的脆弱性。

        包括以下內(nèi)容:

        信息安全配置檢查

        系統(tǒng)管理和維護(hù)的正常配置,合理配置,及優(yōu)化配置。例如系統(tǒng)目錄權(quán)限,賬號(hào)管理策略,文件系統(tǒng)配置,進(jìn)程通信管理等。

        信息安全機(jī)制檢查

        信息安全機(jī)制的使用和正常配置,合理配置,及優(yōu)化配置。例如日志及審計(jì)、備份不恢復(fù),簽名不校驗(yàn),加密不通信,特殊授權(quán)及訪問控制等。

        數(shù)據(jù)庫配置檢查

        數(shù)據(jù)庫文件和口令設(shè)置等。

        2、滲透測(cè)試服務(wù)

        (1) 服務(wù)內(nèi)容

        滲透測(cè)試模擬黑客行為對(duì)目標(biāo)對(duì)象進(jìn)行入侵,目的是發(fā)現(xiàn)目標(biāo)對(duì)象的管理與技術(shù)弱點(diǎn)以及這些弱點(diǎn)被成功利用的可能。通過遠(yuǎn)程或本地方式對(duì)信息系統(tǒng)進(jìn)行非破壞性的入侵測(cè)試。主要開展網(wǎng)絡(luò)安全滲透、網(wǎng)站安全滲透、業(yè)務(wù)應(yīng)用系統(tǒng)安全滲透以及對(duì)現(xiàn)有系統(tǒng)、網(wǎng)絡(luò)、終端的邏輯和物理控制措施進(jìn)行安全測(cè)試。找出安全漏洞所在,提高應(yīng)用系統(tǒng)的安全性。

        (2) 滲透測(cè)試流程

        1) 方案制定

        服務(wù)單位應(yīng)將實(shí)施范圍、方法、時(shí)間、人員等具體的方案與蘇州市社會(huì)保險(xiǎn)基金管理中心交流溝通,并得到獲取到蘇州市社會(huì)保險(xiǎn)基金管理中心授權(quán)許可后,才可以進(jìn)行滲透測(cè)試的實(shí)施。

        在測(cè)試實(shí)施之前,做到讓蘇州市社會(huì)保險(xiǎn)基金管理中心對(duì)滲透測(cè)試過程和風(fēng)險(xiǎn)的知曉,使隨后的正式測(cè)試流程都在甲方可控制范圍內(nèi)。

        2) 信息收集

        這包括:業(yè)務(wù)系統(tǒng)名稱、URL、賬號(hào)和密碼;檢測(cè)工具(NESSUS、Nmap、AcunetixWVS、BurpSuite、SQLMAP等)進(jìn)行收集。

        3) 測(cè)試實(shí)施

        操作系統(tǒng)可檢測(cè)到的漏洞測(cè)試、應(yīng)用系統(tǒng)檢測(cè)到的漏洞測(cè)試(如:Web應(yīng)用),此階段如果成功的話,可能獲得普通權(quán)限。

        滲透測(cè)試人員可能用到的測(cè)試手段有:掃描分析、溢出測(cè)試、口令爆破、社會(huì)工程學(xué)、客戶端攻擊、中間人攻擊等,用于測(cè)試人員順利完成工程。在獲取到普通權(quán)限后,嘗試由普通權(quán)限提升為管理員權(quán)限,獲得對(duì)系統(tǒng)的完全控制權(quán)。一旦成功控制一臺(tái)或多臺(tái)服務(wù)器后,測(cè)試人員將利用這些被控制的服務(wù)器作為跳板,繞過防火墻或其他安全設(shè)備的防護(hù),從而對(duì)內(nèi)網(wǎng)其他服務(wù)器和客戶端進(jìn)行進(jìn)一步的滲透。此過程將循環(huán)進(jìn)行,直到測(cè)試完成。最后由滲透測(cè)試人員清除中間數(shù)據(jù)。

        4) 報(bào)告輸出

        滲透測(cè)試人員根據(jù)測(cè)試的過程結(jié)果編寫直觀的滲透測(cè)試服務(wù)報(bào)告。內(nèi)容包括:具體的操作步驟描述;響應(yīng)分析以及最后的安全修復(fù)建議。

        滲透測(cè)試應(yīng)站在實(shí)戰(zhàn)角度對(duì)業(yè)務(wù)系統(tǒng)進(jìn)行的安全評(píng)估,可以讓開發(fā)公司、用戶相關(guān)人員直觀的了解到自己網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用中隱含的漏洞和危害發(fā)生時(shí)可能導(dǎo)致的損失。

        3、應(yīng)急響應(yīng)服務(wù)

        安全事件是指網(wǎng)絡(luò)或系統(tǒng)中的計(jì)算機(jī)或網(wǎng)絡(luò)設(shè)備系統(tǒng)的硬件、軟件、數(shù)據(jù)因非法攻擊或病毒入侵等安全原因而遭到破壞、更改、泄漏造成系統(tǒng)不能正常運(yùn)行,或已經(jīng)發(fā)現(xiàn)的有可能造成上述現(xiàn)象的安全隱患。按照事件嚴(yán)重程度分為緊急和一般兩種。緊急事件指設(shè)備/系統(tǒng)發(fā)生的故障或異常嚴(yán)重影響單位業(yè)務(wù)正常運(yùn)行,一般故障指設(shè)備/系統(tǒng)發(fā)生的故障或異常暫不影響(或只是局部影響)業(yè)務(wù)正常運(yùn)行。

        如發(fā)生以下情況,可定義為安全事件:

        l 非授權(quán)訪問,通過入侵的方式進(jìn)入到未被授權(quán)訪問的網(wǎng)絡(luò)中,而導(dǎo)致數(shù)據(jù)信息泄漏;

        l 信息泄密,數(shù)據(jù)在傳輸中因數(shù)據(jù)被截取、篡改、分析等而造成信息的泄漏;

        l 拒絕服務(wù),造成不能正常訪問服務(wù)器提供的相關(guān)服務(wù);

        系統(tǒng)性能嚴(yán)重下降,有不明的進(jìn)程運(yùn)行并占用大量的CPU處理時(shí)間;

        l 在系統(tǒng)日志中發(fā)現(xiàn)非法登錄者;

        l 發(fā)現(xiàn)網(wǎng)絡(luò)大面積爆發(fā)計(jì)算機(jī)病毒感染;

        l 發(fā)現(xiàn)有人在不斷強(qiáng)行嘗試登錄系統(tǒng);

        l 系統(tǒng)中出現(xiàn)不明的新賬號(hào);

        l 管理員收到來自其它站點(diǎn)系統(tǒng)管理員的警告信,指出系統(tǒng)可能被威脅;

        l 文件的訪問權(quán)限被修改;

        l 因安全漏洞導(dǎo)致的系統(tǒng)問題;

        l 其它的入侵行為。

        當(dāng)發(fā)生如上安全事件,安全應(yīng)急團(tuán)隊(duì)半小時(shí)內(nèi)遠(yuǎn)程響應(yīng)、1小時(shí)內(nèi)趕到現(xiàn)場(chǎng),分析入侵行為,提供最佳防范方法,將情況控制并將損失縮至最小,同時(shí)提供入侵事故過程描述并提交相應(yīng)的防范報(bào)告,使信息網(wǎng)絡(luò)系統(tǒng)在最短時(shí)間內(nèi)恢復(fù)正常工作。

        應(yīng)急響應(yīng)服務(wù)的內(nèi)容主要有以下幾個(gè)方面:

        對(duì)重要系統(tǒng)提供7x24小時(shí)應(yīng)急事件處置支撐服務(wù)。

        l 入侵調(diào)查及分析,協(xié)助檢查和追蹤入侵來源

        l 消除被破壞的和非法的文件;

        l 對(duì)系統(tǒng)的安全進(jìn)行重新評(píng)估;

        l 消除未來的入侵隱患,提出安全整改建議,提供解決和防范報(bào)告并與技術(shù)人員共同實(shí)施;

        應(yīng)急事件應(yīng)重點(diǎn)包括:病毒、非法入侵、DDOS攻擊、網(wǎng)頁篡改,在事故發(fā)生后應(yīng)提交相應(yīng)的調(diào)查報(bào)告:包括事故原因、過程描述、入侵來源、證據(jù)報(bào)告、解決方案、安全建議、處理結(jié)果等。同時(shí)提供相應(yīng)的網(wǎng)絡(luò)安全技術(shù)支持和咨詢。每次事故處理后均作詳細(xì)記錄,記錄中應(yīng)詳細(xì)描述處理流程。

        4、應(yīng)急演練服務(wù)

        1)應(yīng)急預(yù)案編制

        應(yīng)急預(yù)案的編制步驟分為啟動(dòng)應(yīng)急預(yù)案編制工作、風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析、應(yīng)急資源和能力評(píng)估、編制應(yīng)急預(yù)案、應(yīng)急預(yù)案的評(píng)審與修改、應(yīng)急預(yù)案的發(fā)布與生效七個(gè)步驟。

        1)啟動(dòng)應(yīng)急預(yù)案編制工作

        各單位應(yīng)指定各類應(yīng)急預(yù)案編制責(zé)任部門,及時(shí)啟動(dòng)應(yīng)急預(yù)案編寫工作,完成各類應(yīng)急預(yù)案的編寫工作。

        為了保證應(yīng)急預(yù)案編制工作的效率,編制人員的規(guī)模應(yīng)限定在合理的范圍內(nèi)。應(yīng)急預(yù)案可以由外部機(jī)構(gòu)參與編制,但要以本單位的相關(guān)人員為主,參與編制應(yīng)急預(yù)案的外部機(jī)構(gòu)沒有決策權(quán)。

        2)風(fēng)險(xiǎn)評(píng)估

        l 基礎(chǔ)情況調(diào)查

        針對(duì)編寫預(yù)案的類型和范圍應(yīng)開展充分的調(diào)查工作,收集和參閱本單位或其他有關(guān)單位的應(yīng)急預(yù)案,確保與其它相關(guān)應(yīng)急預(yù)案的協(xié)調(diào)一致,同時(shí)了解本單位現(xiàn)有應(yīng)急工作機(jī)制、組織結(jié)構(gòu)、報(bào)告制度等,并對(duì)重要業(yè)務(wù)系統(tǒng)開展深入調(diào)查,了解業(yè)務(wù)系統(tǒng)相關(guān)資產(chǎn)、日常運(yùn)維模式、日常應(yīng)急處理方式、業(yè)務(wù)流程等相關(guān)內(nèi)容。

        l 風(fēng)險(xiǎn)評(píng)估

        風(fēng)險(xiǎn)評(píng)估是應(yīng)急預(yù)案編制的基礎(chǔ)和關(guān)鍵過程,風(fēng)險(xiǎn)評(píng)估的結(jié)果有助于確定需要重點(diǎn)考慮的應(yīng)急對(duì)象,提供劃分應(yīng)急響應(yīng)優(yōu)先級(jí)的依據(jù),各單位應(yīng)基于風(fēng)險(xiǎn)評(píng)估的結(jié)果確定應(yīng)急響應(yīng)工作的重點(diǎn)。

        3)業(yè)務(wù)影響分析

        在進(jìn)行應(yīng)急預(yù)案編寫前,應(yīng)充分了解單位業(yè)務(wù)系統(tǒng)的整體情況,編寫應(yīng)急預(yù)案前,還需要針對(duì)編寫對(duì)象進(jìn)行專門的業(yè)務(wù)影響分析,分析業(yè)務(wù)功能及相關(guān)資源配置、確定信息系統(tǒng)的關(guān)鍵資源、確定信息安全事件影響、確定應(yīng)急響應(yīng)恢復(fù)目標(biāo)等。

        4)應(yīng)急資源評(píng)估

        應(yīng)急資源包括人力資源、物質(zhì)資源和技術(shù)資源。應(yīng)急資源直接影響到應(yīng)急行動(dòng)的有效性和效率,應(yīng)從人力資源、物質(zhì)資源和技術(shù)資源三個(gè)方面對(duì)應(yīng)急資源進(jìn)行評(píng)估,在現(xiàn)有應(yīng)急資源的基礎(chǔ)上編制應(yīng)急預(yù)案。

        5)編制應(yīng)急預(yù)案

        在完成了調(diào)查和風(fēng)險(xiǎn)評(píng)估、業(yè)務(wù)影響分析、并對(duì)應(yīng)急資源進(jìn)行評(píng)估之后,可正式開始編制應(yīng)急預(yù)案,應(yīng)急預(yù)案的編寫應(yīng)符合相關(guān)規(guī)范的要求;根據(jù)應(yīng)急預(yù)案的類別,在編寫過程中,要充分向相關(guān)領(lǐng)域的專家咨詢,并與業(yè)務(wù)部門、系統(tǒng)運(yùn)維部門等相關(guān)部門業(yè)務(wù)骨干進(jìn)行充分討論,結(jié)合實(shí)際工作,完成預(yù)案的編寫。

        6)應(yīng)急預(yù)案的評(píng)審和修改

        確保應(yīng)急預(yù)案的科學(xué)性、合理性以及對(duì)實(shí)際情況的符合性,各級(jí)應(yīng)急辦應(yīng)依據(jù)相關(guān)信息安全法規(guī)標(biāo)準(zhǔn)和其它有關(guān)應(yīng)急預(yù)案編制的指南性文件,組織開展預(yù)案評(píng)審工作。編寫部門應(yīng)根據(jù)評(píng)審意見對(duì)預(yù)案進(jìn)行修改,使其更具實(shí)用性和指導(dǎo)性。

        7)應(yīng)急預(yù)案的發(fā)布與生效

        網(wǎng)絡(luò)與信息安全應(yīng)急預(yù)案經(jīng)評(píng)審?fù)ㄟ^、批準(zhǔn)并發(fā)布后,需報(bào)備案。

        應(yīng)急預(yù)案生效后,應(yīng)及時(shí)組織開展相關(guān)工作,包括:預(yù)案的宣貫,預(yù)案的培訓(xùn),落實(shí)和檢查各有關(guān)部門的職責(zé)和資源準(zhǔn)備,組織預(yù)案的演練等。

        2)預(yù)案培訓(xùn)

        應(yīng)急預(yù)案培訓(xùn)的目的是使所有人員了解各自在網(wǎng)絡(luò)與信息安全應(yīng)急工作中的職責(zé),明確發(fā)生網(wǎng)絡(luò)與信息安全事件時(shí)應(yīng)采取的行動(dòng)步驟。培訓(xùn)工作突出針對(duì)網(wǎng)絡(luò)與信息安全應(yīng)急工作相關(guān)管理人員和技術(shù)人員的專業(yè)培訓(xùn),根據(jù)應(yīng)急工作組織中不同的角色職責(zé),制定和實(shí)施有針對(duì)性的管理和技術(shù)培訓(xùn)。

        定期組織應(yīng)急預(yù)案培訓(xùn),并認(rèn)真做好培訓(xùn)效果的反饋和培訓(xùn)計(jì)劃的更新。對(duì)于重要系統(tǒng)的專項(xiàng)應(yīng)急預(yù)案在組織培訓(xùn)的基礎(chǔ)上,通過實(shí)際的應(yīng)急響應(yīng)演練過程,幫助相關(guān)人員不斷更新應(yīng)急響應(yīng)相關(guān)的知識(shí)和技能,提高各類人員的應(yīng)急工作熟練程度,提高突發(fā)事件發(fā)生時(shí)應(yīng)急響應(yīng)的效率。

        3)應(yīng)急演練

        應(yīng)急演練是模擬突發(fā)網(wǎng)絡(luò)與信息安全事件,各有關(guān)部門和人員按照應(yīng)急預(yù)案中描述的步驟所進(jìn)行的一系列活動(dòng)和措施。通告開展應(yīng)急演練,以檢驗(yàn)應(yīng)急預(yù)案的正確性,不斷加強(qiáng)人員的安全意識(shí)和應(yīng)急響應(yīng)的熟練程度。

        根據(jù)業(yè)務(wù)特點(diǎn)設(shè)計(jì)應(yīng)急演練方案,方案包括豐富、全面的應(yīng)急演練場(chǎng)景,如包含防病毒、網(wǎng)絡(luò)、滲透攻擊等演練場(chǎng)景。根據(jù)演練方案編制演練腳本,搭建演練環(huán)境,提供自動(dòng)化工具用于構(gòu)建跨站攻擊、網(wǎng)頁篡改等復(fù)雜演練場(chǎng)景,并提供必要的演練設(shè)備,演練開始前為具體參與人員提供演練培訓(xùn)。

        5、漏洞掃描服務(wù)

        (1) 服務(wù)內(nèi)容

        安全服務(wù)人員漏洞掃描系統(tǒng),結(jié)合資產(chǎn)管理掌握的資產(chǎn)情況,以IT資產(chǎn)為核心,將IT資產(chǎn)與風(fēng)險(xiǎn)漏洞相結(jié)合,定期對(duì)某某局各業(yè)務(wù)系統(tǒng)開展全面的漏洞安全評(píng)估。

        安全評(píng)估內(nèi)容包括檢查系統(tǒng)存在的弱口令,收集系統(tǒng)不必要開放的賬號(hào)、服務(wù)、端口,形成整體安全風(fēng)險(xiǎn)報(bào)告,先于攻擊者發(fā)現(xiàn)安全問題,在盡可能準(zhǔn)確發(fā)現(xiàn)IT資產(chǎn)的安全漏洞之余,還將協(xié)助進(jìn)行漏洞修補(bǔ)

        安全漏洞掃描服務(wù)是進(jìn)一步加強(qiáng)了“探測(cè)與發(fā)現(xiàn)”漏洞全面性,同時(shí)增強(qiáng)了 “管理漏洞”側(cè)重“修復(fù)”的能力,在發(fā)現(xiàn)的基礎(chǔ)上,對(duì)每個(gè)漏洞給出詳細(xì)信息和一些修補(bǔ)建議。

        1) 操作系統(tǒng)層漏洞識(shí)別

        操作系統(tǒng)(包括Windows、AIX和Linux等)的系統(tǒng)補(bǔ)丁、漏洞、病毒等各類異常缺陷。

        開放服務(wù),包括但不限于操作系統(tǒng)開放的非必要端口、服務(wù)等。

        /弱口令系統(tǒng)帳戶檢測(cè)。

        例如:身份認(rèn)證:通過telnet進(jìn)行口令猜測(cè)。

        訪問控制:注冊(cè)表 HKEY_LOCAL_MACHINE 普通用戶可寫,遠(yuǎn)程主機(jī)允許匿名FTP登錄,ftp服務(wù)器存在匿名可寫目錄。

        系統(tǒng)漏洞:System V系統(tǒng)Login遠(yuǎn)程緩沖區(qū)溢出漏洞,Microsoft Windows Locator服務(wù)遠(yuǎn)程緩沖區(qū)溢出漏洞。

        安全配置問題:部分SMB用戶存在薄弱口令,試圖使用rsh登錄進(jìn)入遠(yuǎn)程系統(tǒng)。

        2) 應(yīng)用層漏洞識(shí)別

        應(yīng)用程序(包括但不限于數(shù)據(jù)庫Oracle、MSSQL,Web服務(wù),如Apache、WebSphere、Tomcat、IIS等,其他SSH、FTP等)缺失補(bǔ)丁或版本漏洞檢測(cè)。

        空弱口令應(yīng)用帳戶檢測(cè)。

        數(shù)據(jù)庫軟件:Oracle tnslsnr沒有設(shè)置口令,Microsoft SQL Server Resolution服務(wù)多個(gè)安全漏洞。

        Web服務(wù)器:Apache Mod_SSL/Apache-SSL遠(yuǎn)程緩沖區(qū)溢出漏洞,Microsoft IIS printer ISAPI遠(yuǎn)程緩沖區(qū)溢出,Web服務(wù)程序分塊編碼傳輸漏洞。

        電子郵件系統(tǒng):Sendmail頭處理遠(yuǎn)程溢出漏洞,Microsoft Windows SMTP服務(wù)認(rèn)證錯(cuò)誤漏洞。

        防火墻及應(yīng)用網(wǎng)管系統(tǒng):防火墻拒絕服務(wù)漏洞。

        其它網(wǎng)絡(luò)服務(wù)系統(tǒng):POP3 USER命令遠(yuǎn)程溢出漏洞,Linux系統(tǒng)遠(yuǎn)程格式化漏洞。

        (2) 服務(wù)流程

        整個(gè)安全漏洞掃描服務(wù)的流程分為三個(gè)階段:準(zhǔn)備階段、掃描過程和報(bào)告匯報(bào)。通過這三個(gè)階段結(jié)合安全漏洞掃描內(nèi)容和實(shí)際系統(tǒng)情況,完成安全漏洞掃描服務(wù)。

        準(zhǔn)備階段:前期技術(shù)交流包括相關(guān)安全掃描技術(shù)、掃描原理、掃描方式及掃描條件進(jìn)行交流和說明;同時(shí)商談安全漏洞掃描服務(wù)的范圍,主要是哪些主機(jī),網(wǎng)絡(luò)設(shè)備,應(yīng)用系統(tǒng)等;并結(jié)合實(shí)際業(yè)務(wù)情況需求,確定掃描范圍,掃描實(shí)施的時(shí)間,設(shè)備接入點(diǎn),IP地址的預(yù)留,配合人員及其他相關(guān)的整體漏掃方案。

        掃描過程:依據(jù)前期準(zhǔn)備階段的漏掃方案,進(jìn)行漏洞掃描、漏洞分析和漏洞測(cè)試,掃描過程主要是進(jìn)行范圍內(nèi)的漏洞信息數(shù)據(jù)收集,為下一步的報(bào)告撰寫提供依據(jù)和數(shù)據(jù)來源。漏洞掃描,主要采用漏洞掃描工具進(jìn)行范圍內(nèi)的安全掃描。漏洞分析,主要是對(duì)掃描結(jié)果進(jìn)行分析,安全工程師會(huì)結(jié)合掃描結(jié)果和實(shí)際系統(tǒng)狀況,進(jìn)行安全分析。漏洞驗(yàn)證,對(duì)部分需要人工確定和安全分析的漏洞,進(jìn)行手工測(cè)試,以確定其準(zhǔn)確性和風(fēng)險(xiǎn)性。

        報(bào)告與匯報(bào):主要對(duì)現(xiàn)場(chǎng)進(jìn)行掃描后的數(shù)據(jù)進(jìn)行安全分析,安全工程師對(duì)漏洞掃描工具輸出的報(bào)告,漏洞分析結(jié)果及漏洞測(cè)試具體情況進(jìn)行綜合梳理,分析,總結(jié)。最后給出符合需求單位實(shí)際情況的安全需求的安全建議。

        (3) 服務(wù)注意事項(xiàng)及措施

        漏洞掃描是一項(xiàng)風(fēng)險(xiǎn)比較高的測(cè)試活動(dòng),掃描不當(dāng)可能導(dǎo)致被掃描目標(biāo)發(fā)生服務(wù)性能下降、影響其可用性。漏洞掃描還會(huì)嘗試部分漏洞或者配置的脆弱性驗(yàn)證,可能會(huì)與原有的管理發(fā)生沖突,在掃描方案確定前應(yīng)與需求部門進(jìn)行溝通和交流,以此降低風(fēng)險(xiǎn)。掃描實(shí)施的時(shí)間選擇,應(yīng)避免業(yè)務(wù)高峰期和重要時(shí)期內(nèi)。

        6、加固咨詢服務(wù)

        加固咨詢服務(wù)的目標(biāo)是解決在安全評(píng)估中發(fā)現(xiàn)的技術(shù)性安全問題,所有的被評(píng)估對(duì)象應(yīng)不再存在高風(fēng)險(xiǎn)漏洞。同時(shí),在此過程中注意避免影響修補(bǔ)加固對(duì)象原有的功能和性能(若可能存在,必須事先指出,并進(jìn)行周密的計(jì)劃和布置規(guī)避相應(yīng)的風(fēng)險(xiǎn))。

        加固咨詢服務(wù)內(nèi)容是根據(jù)專業(yè)安全檢測(cè)結(jié)果,協(xié)助制定相應(yīng)的系統(tǒng)加固方案,針對(duì)不同目標(biāo)系統(tǒng),通過協(xié)助修改安全配置、增加安全機(jī)制等方法,合理進(jìn)行安全性加強(qiáng)。

        安全加固首先要讓加固對(duì)象滿足安全基線要求,并采用優(yōu)化配置、調(diào)整安全策略、安裝安全軟件等方式進(jìn)行,在盡量不影響修補(bǔ)加固對(duì)象原有功能和性能的基礎(chǔ)上,解決在安全評(píng)估中發(fā)現(xiàn)的安全問題,修補(bǔ)其中存在的漏洞。

        安全加固過程中,應(yīng)不僅僅局限于單獨(dú)的加固對(duì)象,對(duì)象所處的環(huán)境,包括其他安全設(shè)備的安全防護(hù)(比如入侵檢測(cè)系統(tǒng)、防火墻等)、網(wǎng)絡(luò)結(jié)構(gòu)等,都屬于需要考慮的范圍。在安全咨詢服務(wù)實(shí)施期間,應(yīng)對(duì)加固對(duì)象存在的問題提出積極的建議,并指導(dǎo)進(jìn)行安全加固服務(wù)。

        7、基線核查服務(wù)

        基線核查服務(wù)就是針對(duì)漏洞掃描工具不能有效發(fā)現(xiàn)的方面(網(wǎng)絡(luò)設(shè)備的安全策略弱點(diǎn)和部分主機(jī)的安全配置錯(cuò)誤等)進(jìn)行安全輔助的一種有效評(píng)估手段。除已知、未知的漏洞外,安全配置的弱點(diǎn)或配置上的缺陷也同樣會(huì)被攻擊者利用,因此,有必要對(duì)組織范圍內(nèi)的系統(tǒng)和設(shè)備進(jìn)行基線核查。

        基線核查的服務(wù)內(nèi)容主要集中在設(shè)備的賬號(hào)管理、口令管理、認(rèn)證授權(quán)、日志配置、進(jìn)程服務(wù)、外部端口等幾個(gè)方面,覆蓋了與安全問題相關(guān)的各個(gè)層面。

        基線核查服務(wù)的針對(duì)不同系統(tǒng)的具體檢查內(nèi)容如下:

        1) 網(wǎng)絡(luò)設(shè)備基線核查內(nèi)容

        網(wǎng)絡(luò)設(shè)備基線核查包含但不限于以下內(nèi)容:

        l 帳號(hào)和口令管理

        l 認(rèn)證和授權(quán)策略

        l 網(wǎng)絡(luò)與服務(wù)

        l 訪問控制策略

        l 通訊協(xié)議、路由協(xié)議

        l 日志審核策略

        l 加密管理

        l 設(shè)備其他安全配置

        2) 主機(jī)操作系統(tǒng)檢查內(nèi)容

        主機(jī)操作系統(tǒng)基線核查包含但不限于以下內(nèi)容:

        l 系統(tǒng)漏洞補(bǔ)丁管理

        l 帳號(hào)和口令管理

        l 認(rèn)證、授權(quán)策略

        l 網(wǎng)絡(luò)與服務(wù)、進(jìn)程和啟動(dòng)

        l 文件系統(tǒng)權(quán)限

        l 訪問控制

        l 通訊協(xié)議

        l 日志審核功能

        l 剩余信息保護(hù)

        l 其他安全配置

        3) 數(shù)據(jù)庫檢查內(nèi)容

        數(shù)據(jù)庫基線核查包含但不限于以下內(nèi)容:

        l 帳號(hào)和口令管理

        l 認(rèn)證、授權(quán)策略

        l 訪問控制

        l 通訊協(xié)議

        l 日志審核功能

        l 其他安全配置

        4) 中間件及常見網(wǎng)絡(luò)服務(wù)檢查內(nèi)容

        中間件及常見網(wǎng)絡(luò)服務(wù)基線核查包含但不限于以下內(nèi)容:

        l 帳號(hào)和口令管理

        l 認(rèn)證、授權(quán)策略

        l 通訊協(xié)議

        l 日志審核功能

        (四)產(chǎn)出物說明

        序號(hào)

        工作內(nèi)容

        服務(wù)頻率

        工作產(chǎn)出

        產(chǎn)出物數(shù)量

        1

        風(fēng)險(xiǎn)評(píng)估服務(wù)

        1年1次

        《風(fēng)險(xiǎn)評(píng)估報(bào)告》

        1份

        2

        滲透測(cè)試服務(wù)

        1年2次

        《滲透測(cè)試報(bào)告》

        2份

        3

        應(yīng)急響應(yīng)服務(wù)

        按需

        《安全事件應(yīng)急處置報(bào)告》

        按需

        4

        應(yīng)急演練服務(wù)

        1年1次

        《網(wǎng)絡(luò)安全應(yīng)急預(yù)案》

        《網(wǎng)絡(luò)安全應(yīng)急演練報(bào)告》

        1份

        5

        漏洞掃描服務(wù)

        1年4次

        《漏洞掃描報(bào)告》

        4份

        6

        加固咨詢服務(wù)

        1年4次

        《加固咨詢報(bào)告》

        4份

        7

        基線核查服務(wù)

        1年2次

        《基線核查報(bào)告》

        2份

        (五)服務(wù)人員要求

        為能保證在規(guī)定時(shí)間內(nèi)完成項(xiàng)目建設(shè),供應(yīng)商必須提供穩(wěn)定的專業(yè)化的技術(shù)支持服務(wù)隊(duì)伍,完善的技術(shù)支持服務(wù)體系。

        具體人員要求如下:

        項(xiàng)目經(jīng)理(1人):具備相關(guān)行業(yè)工作經(jīng)驗(yàn),負(fù)責(zé)日常管理、工作安排,安全托管文檔材料審核和歸檔,向蘇州市社會(huì)保險(xiǎn)基金管理中心匯報(bào)工作,各項(xiàng)資源調(diào)配,投訴管理工作。

        項(xiàng)目組人員(3人):具備相關(guān)信息安全經(jīng)驗(yàn),熟悉主流網(wǎng)絡(luò)和安全設(shè)備,負(fù)責(zé)項(xiàng)目安全的調(diào)研、規(guī)范編制及現(xiàn)場(chǎng)日常的安全巡檢、安全測(cè)試、應(yīng)急響應(yīng)等工作,專業(yè)能夠涵蓋網(wǎng)絡(luò)安全、應(yīng)用安全等專業(yè)。如果應(yīng)急事件發(fā)生,則人員響應(yīng)要求在1小時(shí)內(nèi)進(jìn)行安全事件的響應(yīng)和處理,且工作時(shí)間將不僅限于正常工作時(shí)間,將根據(jù)事件處理要求進(jìn)行響應(yīng)

        (六)服務(wù)期限和服務(wù)地點(diǎn)

        1.服務(wù)期限:合同簽訂后一年。

        2.服務(wù)地點(diǎn):采購(gòu)人指定地點(diǎn)。

        七)責(zé)任考核

        對(duì)成交單位進(jìn)行考核(百分制),考核周期為三個(gè)月一次,考核標(biāo)準(zhǔn)如下表。在服務(wù)期內(nèi),如連續(xù)兩次考核不達(dá)標(biāo)(得分低于60)或超過三次(不連續(xù))考核不達(dá)標(biāo),采購(gòu)單位有權(quán)終止合同。

        考核結(jié)構(gòu)

        評(píng)價(jià)描述

        分值

        工作內(nèi)容及成果
        50分

        任務(wù)完成效率
        20分

        充分規(guī)劃、在規(guī)定時(shí)間內(nèi)提前完成任務(wù)1次及以上

        16-20分

        充分規(guī)劃、在規(guī)定時(shí)間內(nèi)如期完成任務(wù)

        8~15分

        未充分規(guī)劃、在規(guī)定時(shí)間內(nèi)不能完成任務(wù)1次及以上

        0~7分

        任務(wù)完成質(zhì)量
        20分

        考核周期內(nèi)未出現(xiàn)質(zhì)量異常(投訴、失誤、返工)

        16-20分

        考核周期內(nèi)出現(xiàn)1次質(zhì)量異常(投訴、失誤、返工)

        8~15分

        考核周期內(nèi)出現(xiàn)1次以上重大質(zhì)量異常(投訴、失誤、返工)

        0~7分

        響應(yīng)及時(shí)性
        10分

        考核周期內(nèi)主動(dòng)響應(yīng)客戶需求,積極處理問題

        8-10分

        考核周期內(nèi)合理響應(yīng)客戶需求

        4~7分

        考核周期內(nèi)響應(yīng)客戶需求被動(dòng),消極處理問題

        0~3分

        人員安排及出勤
        20分

        出勤記錄
        10分

        考核周期內(nèi)人員全勤

        8-10分

        考核周期內(nèi)出現(xiàn)1次以上(含1次)3次以下(不含3次)遲到、早退

        4~7分

        考核周期內(nèi)出現(xiàn)3次以上(含3次)遲到、早退

        0~3分

        制度執(zhí)行
        10分

        熟悉各項(xiàng)規(guī)章制度,嚴(yán)格遵守并督促他人遵守

        8-10分

        了解各項(xiàng)規(guī)章制度,基本能夠遵守

        4~7分

        不熟悉各項(xiàng)規(guī)章制度,常有違反制度的行為

        0~3分

        服務(wù)滿意度
        30分

        工作滿意度
        20分

        考核周期內(nèi)未出現(xiàn)質(zhì)量異常(投訴、失誤、返工)

        16~20分

        考核周期內(nèi)出現(xiàn)1次質(zhì)量異常(投訴、失誤、返工)

        8~15分

        考核周期內(nèi)出現(xiàn)1次以上重大質(zhì)量異常(投訴、失誤、返工)

        0~7分

        溝通匯報(bào)
        10分

        重視且樂于溝通,懂得換位思考,促進(jìn)相互理解

        6~10分

        不注重溝通,遇到?jīng)_突與矛盾以強(qiáng)硬或回避的態(tài)度來解決

        0~5分

        項(xiàng)目安全

        成交單位在項(xiàng)目服務(wù)期間應(yīng)制定項(xiàng)目安全實(shí)施管理措施,并嚴(yán)格遵守安全管理要求,成交單位在項(xiàng)目服務(wù)過程中因管理不當(dāng)、維護(hù)措施不當(dāng)?shù)纫蛩鼗虿话窗踩芾硪,造成人員安全或財(cái)產(chǎn)損失事故的,其責(zé)任均由成交單位承擔(dān),采購(gòu)單位不承擔(dān)責(zé)任。

        項(xiàng)目保密要求

        1、成交單位及其工作人員需遵守采購(gòu)單位的保密規(guī)定,不以任何形式將收集的所有資料、數(shù)據(jù)等進(jìn)行泄漏、傳播;

        2、項(xiàng)目服務(wù)人員需簽署相關(guān)保密協(xié)議,承擔(dān)工作中接觸相關(guān)內(nèi)容的保密義務(wù);

        3、項(xiàng)目成果最終所有權(quán)屬采購(gòu)單位,在項(xiàng)目完成時(shí)成交單位必須全部移交;

        4、成交單位須維護(hù)項(xiàng)目服務(wù)成果,不得轉(zhuǎn)讓給第三方重復(fù)使用;

        5、以上保密規(guī)定如有違反,采購(gòu)單位有權(quán)追究成交單位相關(guān)法律責(zé)任。

        三、響應(yīng)報(bào)價(jià)文件組成及其他說明:

        (一)詢價(jià)響應(yīng)文件的制作要求:

        1、詢價(jià)響應(yīng)文件組成 :

        1)企業(yè)營(yíng)業(yè)執(zhí)照副本、稅務(wù)登記證副本復(fù)印件或三證合一營(yíng)業(yè)執(zhí)照副本復(fù)印件

        2)響應(yīng)單位法定代表人(或負(fù)責(zé)人)身份證復(fù)印件、法定代表人(或負(fù)責(zé)人)授權(quán)委托書和委托代理人身份證復(fù)印件(如為授權(quán))

        3)響應(yīng)報(bào)價(jià)表

        4)服務(wù)偏離表

        5)詢價(jià)響應(yīng)函

        6)項(xiàng)目實(shí)施方案

        7)響應(yīng)單位資格承諾書及相關(guān)證明資料

        注:以上資料若不能如實(shí)提供或提供不完整的視為無效投標(biāo)。

        2、文件的簽署和密封要求:

        1)按上述要求制作詢價(jià)響應(yīng)文件叁份(一正兩副),并須裝訂成冊(cè);響應(yīng)文件封面明確標(biāo)明“正本”和“副本”,正本和副本如有不一致之處,以正本為準(zhǔn);

        2)詢價(jià)響應(yīng)文件均應(yīng)采用打印或使用不能擦去的黑色或藍(lán)色墨水書寫,由響應(yīng)單位法定代表人或其授權(quán)代表在詢價(jià)文件要求處親自簽署或蓋章,并在詢價(jià)響應(yīng)文件的每一頁上加蓋公章,未加蓋公章的頁視為無效頁。

        3)詢價(jià)響應(yīng)文件須裝袋密封,封口處須加蓋單位公章,密封袋及響應(yīng)文件封面上應(yīng)注明采購(gòu)項(xiàng)目名稱、詢價(jià)采購(gòu)編號(hào)、詢價(jià)響應(yīng)單位名稱、地址、聯(lián)系人、聯(lián)系電話等。

        3、采購(gòu)單位有權(quán)拒絕未按上述要求制作的詢價(jià)響應(yīng)文件。

        (二)詢價(jià)響應(yīng)文件錯(cuò)誤的修正原則

        1、響應(yīng)文件的大寫金額與小寫金額不一致的,以大寫金額為準(zhǔn)?們r(jià)金額與按單價(jià)匯總金額不一致的,以單價(jià)金額計(jì)算結(jié)果為準(zhǔn);單價(jià)金額小數(shù)點(diǎn)有明細(xì)錯(cuò)位的,應(yīng)以總價(jià)為準(zhǔn),并修改單價(jià);

        2、對(duì)不同文字文本投標(biāo)文件的解釋發(fā)生異議的,以中文文本為準(zhǔn)。

        3、供應(yīng)商不同意以上修正的,其詢價(jià)響應(yīng)文件將被拒絕。

        (三)詢價(jià)響應(yīng)文件的補(bǔ)充、修改和撤回

        供應(yīng)商在提交詢價(jià)響應(yīng)文件截止時(shí)間前,可以對(duì)所提交的響應(yīng)文件進(jìn)行補(bǔ)充、修改或者撤回,并書面通知采購(gòu)代理機(jī)構(gòu)。補(bǔ)充、修改的內(nèi)容作為響應(yīng)文件的組成部分。補(bǔ)充、修改的內(nèi)容與響應(yīng)文件不一致的,以補(bǔ)充、修改的內(nèi)容為準(zhǔn)。

        (四)詢價(jià)響應(yīng)文件的澄清、說明和更正

        詢價(jià)小組在對(duì)響應(yīng)文件的有效性、完整性和響應(yīng)程度進(jìn)行審查時(shí),可以要求供應(yīng)商對(duì)響應(yīng)文件中含義不明確、同類問題表述不一致或者有明顯文字和計(jì)算錯(cuò)誤的內(nèi)容等作出必要的澄清、說明或者更正。供應(yīng)商的澄清、說明或者更正不得超出響應(yīng)文件的范圍或者改變響應(yīng)文件的實(shí)質(zhì)性內(nèi)容。

        詢價(jià)小組要求供應(yīng)商澄清、說明或者更正響應(yīng)文件應(yīng)當(dāng)以書面形式作出。供應(yīng)商的澄清、說明或者更正應(yīng)當(dāng)由法定代表人或其授權(quán)代表簽字或者加蓋公章。由授權(quán)代表簽字的,應(yīng)當(dāng)附法定代表人授權(quán)書。供應(yīng)商為自然人的,應(yīng)當(dāng)由本人簽字并附身份證明。

        為保證在評(píng)審小組要求供應(yīng)商解釋或者澄清其響應(yīng)文件時(shí)能夠及時(shí)得到回復(fù),在評(píng)審開始前,供應(yīng)商法定代表人或授權(quán)代理人可到評(píng)審現(xiàn)場(chǎng)等候。供應(yīng)商的澄清、說明或者更正應(yīng)在評(píng)審小組向其提出澄清、說明或者更正要求后三十分鐘內(nèi)提交給評(píng)審小組。在評(píng)審期間、供應(yīng)商應(yīng)注意調(diào)整其行程安排,如響應(yīng)供應(yīng)商未到場(chǎng),則視為供應(yīng)商放棄上述權(quán)利,相關(guān)后果自負(fù)。

        (五)遞交響應(yīng)詢價(jià)文件及確定成交供應(yīng)商日期和地點(diǎn):

        1、本次詢價(jià)通知書的響應(yīng)截止時(shí)間為2024年10月28日1600前。響應(yīng)單位應(yīng)在截止時(shí)間前將詢價(jià)響應(yīng)文件密封,并在文件封面注明投標(biāo)編號(hào),并在文件封口處加蓋單位公章后送達(dá)蘇州市干將西路399號(hào)銀海大廈303室創(chuàng)杰公司 聯(lián)系人:潘莉莉  顧凡鍵 聯(lián)系電話:0512-65238816,未按詢價(jià)采購(gòu)文件要求制作的詢價(jià)響應(yīng)文件或過時(shí)送達(dá)的詢價(jià)響應(yīng)文件,一律為無效投標(biāo)。

        2、2024年10月29日10:00在蘇州市干將西路399號(hào)銀海大廈302室創(chuàng)杰公司確定成交供應(yīng)商。成交供應(yīng)商收到成交通知書后,應(yīng)在十五日內(nèi)簽訂合同。

        四、報(bào)價(jià)說明:

        1、響應(yīng)單位需根據(jù)本詢價(jià)采購(gòu)文件要求制作響應(yīng)文件。本次報(bào)出的價(jià)格一次性報(bào)定不得更改,響應(yīng)單位報(bào)價(jià)包括完成全部服務(wù)所需的人工費(fèi)、材料費(fèi)、通訊費(fèi)、交通費(fèi)、資料費(fèi)、政策性文件規(guī)定及合同包含的所有風(fēng)險(xiǎn)、責(zé)任等各項(xiàng)應(yīng)有費(fèi)用。不論響應(yīng)單位是否列出相關(guān)費(fèi)用明細(xì),招標(biāo)人均可以認(rèn)為響應(yīng)單位已在總價(jià)中包含了全部費(fèi)用。

        2、響應(yīng)單位應(yīng)對(duì)所要采購(gòu)的全部?jī)?nèi)容進(jìn)行報(bào)價(jià),只報(bào)其中部分內(nèi)容的,為無效報(bào)價(jià)。

        五、綜合說明及其他:

        1、響應(yīng)單位所提供的服務(wù)能夠至少達(dá)到以上要求。

        2、響應(yīng)單位必須承諾采購(gòu)文件中提出的全部要求,如果其中某些條款不響應(yīng)時(shí),應(yīng)在文件中逐條列出,未列出的視同響應(yīng)。

        3、若響應(yīng)單位在服務(wù)管理期間發(fā)生下列行為之一的,采購(gòu)人可解除服務(wù)合同,并不再支付合同費(fèi)用:

        1)將服務(wù)轉(zhuǎn)包他人;

        2)無法有效開展服務(wù)的其它行為。

        4、服務(wù)履約期間采購(gòu)方有權(quán)按照考核標(biāo)準(zhǔn)對(duì)該采購(gòu)項(xiàng)目服務(wù)進(jìn)行檢查考核。

        5、成交單位對(duì)服務(wù)缺陷不予更正,招標(biāo)人有權(quán)另請(qǐng)其他單位更正,所發(fā)生的費(fèi)用在合同價(jià)款中扣除。

        6、響應(yīng)單位應(yīng)對(duì)所投項(xiàng)目的全部服務(wù)內(nèi)容進(jìn)行報(bào)價(jià),只投其中部分內(nèi)容者,其投標(biāo)文件將被拒絕。響應(yīng)單位對(duì)服務(wù)缺陷不予更正,采購(gòu)方有權(quán)另請(qǐng)其他單位更正,所發(fā)生的費(fèi)用由成交單位承擔(dān)。

        7、參照相關(guān)法規(guī)的規(guī)定,招標(biāo)采購(gòu)單位將對(duì)供應(yīng)商進(jìn)行信用查詢,凡經(jīng)確認(rèn)不符合相關(guān)法律法規(guī)規(guī)定的,將拒絕其參與采購(gòu)活動(dòng)。

        8、成交服務(wù)費(fèi):成交單位按照預(yù)算金額計(jì)算并支付,具體為100萬元以內(nèi)1.5%、100萬元~500萬元以內(nèi)1.1%差額定率累進(jìn)法60%計(jì)算并支付成交服務(wù)費(fèi),不足叁仟元的按3000元計(jì)算,該費(fèi)用應(yīng)在領(lǐng)取成交通知書時(shí)付清。

        六、付款步驟: 

        本合同分三期進(jìn)行付款:

        1.合同簽訂后1月內(nèi),乙方服務(wù)人員入場(chǎng)并提交項(xiàng)目實(shí)施方案。項(xiàng)目實(shí)施方案經(jīng)雙方認(rèn)可后,乙方開具發(fā)票(發(fā)票金額為合同總金額的20%),甲方支付合同總金額的20%。

        2.合同簽訂后6個(gè)月,甲方根據(jù)階段性考核結(jié)果支付服務(wù)款,支付金額不超過合同總金額的50%:

        3.服務(wù)期滿后,甲方根據(jù)考核驗(yàn)收結(jié)果,支付剩余款項(xiàng):

        1)若考核完全達(dá)標(biāo)(當(dāng)期責(zé)任考核得分不少于90分),甲方支付給乙方結(jié)余服務(wù)費(fèi)比例的100%;

        2)若考核基本達(dá)標(biāo)(當(dāng)期責(zé)任考核得分不少于70分),甲方支付給乙方結(jié)余服務(wù)費(fèi)比例的80%;

        3)若考核不達(dá)標(biāo)(當(dāng)期責(zé)任考核得分低于70分),結(jié)余服務(wù)費(fèi)將不予支付,并終止服務(wù)合同。

        七、評(píng)審辦法:

        1、采購(gòu)人授權(quán)詢價(jià)小組根據(jù)質(zhì)量和服務(wù)均能滿足采購(gòu)文件實(shí)質(zhì)性響應(yīng)要求且報(bào)價(jià)最低的原則確定成交供應(yīng)商。

        2、若滿足上述原則的最低報(bào)價(jià)響應(yīng)供應(yīng)商超過一家時(shí),則由采購(gòu)單位以抽簽的方式?jīng)Q定成交供應(yīng)商。

        八、項(xiàng)目的終止:

        出現(xiàn)下列情形之一的,將終止詢價(jià)采購(gòu)活動(dòng):

        1、因情況變化,不再符合規(guī)定的詢價(jià)采購(gòu)方式適用情形的;

        2、出現(xiàn)影響采購(gòu)公正的違法、違規(guī)行為的;

        3、在采購(gòu)過程中符合競(jìng)爭(zhēng)要求的供應(yīng)商或者報(bào)價(jià)未超過采購(gòu)預(yù)算的供應(yīng)商不足3家的。

        九、合同生效:

        1、合同經(jīng)招標(biāo)代理機(jī)構(gòu)蓋騎縫章,甲乙雙方代表簽字或蓋章、加蓋公章(或合同章)后生效。

        2、合同簽訂生效后甲乙雙方即直接產(chǎn)生權(quán)利與義務(wù)的關(guān)系,合同執(zhí)行過程中出現(xiàn)的問題應(yīng)按照《中華人民共和國(guó)民法典》的規(guī)定辦理。在合同履行過程中,雙方如有爭(zhēng)議,任何一方均可要求招標(biāo)代理機(jī)構(gòu)進(jìn)行調(diào)解,調(diào)解不成,則任何一方均可向需方所在地人民法院提起訴訟。

        3、合同在執(zhí)行過程中出現(xiàn)的未盡事宜,雙方應(yīng)在不違背本合同和甲方采購(gòu)目的的原則下協(xié)商解決,協(xié)商結(jié)果以書面形式蓋章記錄在案,并提交招標(biāo)代理機(jī)構(gòu)一份備存,作為本合同的附件,與本合同具有同等的法律效力。

        4、合同一式叁份,甲乙雙方各執(zhí)一份,招標(biāo)代理機(jī)構(gòu)執(zhí)一份。

        十、其他

        1、響應(yīng)單位在詢價(jià)響應(yīng)文件中必須對(duì)所有采購(gòu)產(chǎn)品的技術(shù)、服務(wù)做出應(yīng)答,如果有其中某些條款不響應(yīng)時(shí),須在響應(yīng)文件中明確列出,未列出的視同響應(yīng)(且如成交后發(fā)現(xiàn)不符合采購(gòu)要求的,則視為虛假響應(yīng),按虛假響應(yīng)處理)

        2、響應(yīng)單位在投標(biāo)時(shí)提供的資料均應(yīng)是真實(shí)的,若有虛假,由其自行承擔(dān)一切后果。

        3、如響應(yīng)單位對(duì)本通知書有疑義,以書面形式向招標(biāo)代理機(jī)構(gòu)咨詢,一切材料以招標(biāo)代理機(jī)構(gòu)的書面材料為準(zhǔn)。

        十一、聯(lián)系方式:

        招標(biāo)代理機(jī)構(gòu):蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司

        地    址:蘇州市干將西路399號(hào)銀海大廈303室       郵編:215002

        聯(lián)系人:潘莉莉  顧凡鍵                               聯(lián)系電話:0512-65238816 

        采購(gòu)單位聯(lián)系人:張文彬                                   聯(lián)系電話:18913170991       

                                                    蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司 

        2024年10月22日

        附件1:詢價(jià)響應(yīng)報(bào)價(jià)表

        詢價(jià)響應(yīng)報(bào)價(jià)表


        采購(gòu)編號(hào):______

        序號(hào)

        名稱

        總報(bào)價(jià)(元)

        備注

        1

         

         

         

        2

         

         

         

        3

         

         

         

        總報(bào)價(jià)(人民幣大寫)                 

        服務(wù)期限:

        報(bào)價(jià)單位(公章):             聯(lián)系人:                聯(lián)系電話:

        法定代表人(或負(fù)責(zé)人)或代理人(簽字或簽章):

        日期:                



        附件2:詢價(jià)響應(yīng)函

        詢價(jià)響應(yīng)函

        蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司

        我方收到貴公司                   號(hào)詢價(jià)采購(gòu)?fù)ㄖ?jīng)仔細(xì)閱讀和研究,我方?jīng)Q定參加,并向貴公司承諾:

        1、我方愿意按照詢價(jià)采購(gòu)?fù)ㄖ囊磺幸,提供本?xiàng)目的所有內(nèi)容,我方的報(bào)價(jià)包含服務(wù)期限內(nèi)完成該項(xiàng)目服務(wù)工作所需的所有費(fèi)用。

        2、如果我方的詢價(jià)響應(yīng)文件被接受,我方將嚴(yán)格履行詢價(jià)采購(gòu)?fù)ㄖ幸?guī)定的每一項(xiàng)要求,嚴(yán)格履行合同的責(zé)任和義務(wù),保證按期、按質(zhì)履行合同,完成合同內(nèi)容所規(guī)定的全部工作。

        3、我方愿意提供采購(gòu)方在詢價(jià)采購(gòu)?fù)ㄖ幸蟮乃匈Y料,也同意向貴方提供貴方可能另外要求的與我方響應(yīng)有關(guān)的任何證據(jù)或資料。并保證所提供的資料全部是真實(shí)的、有效的,若有虛假,我方愿承擔(dān)一切責(zé)任。

        4、我們同意按詢價(jià)響應(yīng)文件中的規(guī)定,本投標(biāo)書的有效期限為開標(biāo)后 45天。

        5、我方愿意遵守詢價(jià)采購(gòu)?fù)ㄖ兴械氖召M(fèi)標(biāo)準(zhǔn)。

        6、我方承諾該項(xiàng)報(bào)價(jià)在遞交后保持有效,不作任何更改和變動(dòng)。我方同意成交后若不履行詢價(jià)采購(gòu)?fù)ㄖ膬?nèi)容要求和各項(xiàng)承諾及義務(wù)的即被視為違約,我方的成交標(biāo)資格將被取消。

        7、我方同意若無法按約定條款履行義務(wù)等行為,采購(gòu)方有權(quán)取消我方成交資格。

        8、與本次投標(biāo)有關(guān)的通訊地址:

        位:              聯(lián) 人:

        址:              郵政編碼:

        聯(lián)系電話:             真:


        響應(yīng)單位:(單位蓋章)

        單位法定代表人(或負(fù)責(zé)人)或授權(quán)委托人:(簽字或簽章)  

        日期:      









        附件3:法定代表人授權(quán)委托書


        法定代表人(或負(fù)責(zé)人)授權(quán)委托書


        本授權(quán)委托書聲明:我          (姓名)系                                   (響應(yīng)單位名稱)的法定代表人(或負(fù)責(zé)人),現(xiàn)授權(quán)委托___________________________單位名稱)的                  (姓名)為我單位代理人,以本單位的名義參加蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司組織實(shí)施的編號(hào)為                                    __________________________號(hào)的活動(dòng)。代理人在詢價(jià)響應(yīng)文件的合同詢價(jià)過程中所簽署的一切文件和處理與這有關(guān)的一切事務(wù),我均予以承認(rèn)。

        代理人在授權(quán)委托書有效期內(nèi)簽署的所有文件不因授權(quán)委托的撤銷而失效,除非有撤銷授權(quán)委托的書面通知,本授權(quán)委托書自詢價(jià)響應(yīng)文件遞交開始至合同履行完畢止。

        代理人無轉(zhuǎn)委托權(quán)。特此委托。


        詢價(jià)響應(yīng)單位:(公章)

        法定代表人(或負(fù)責(zé)人):(簽字或簽章)

        委托代理人:(簽字或簽章)

        日期:            

         

         

         

         

         

         

         

         

         

         

         

         

        附件4:服務(wù)偏離表

         

        服務(wù)偏離表                            

        序號(hào)

        服務(wù)內(nèi)容

        采購(gòu)要求

        投標(biāo)要求

        偏離/響應(yīng)

        說明

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

         

        注:1、響應(yīng)單位應(yīng)對(duì)照采購(gòu)文件技術(shù)要求等要求,所投標(biāo)的物(服務(wù))與采購(gòu)文件的規(guī)定有偏離的,應(yīng)在此表中申明與技術(shù)要求條文的偏差和例外。

        2、未在上表中說明的,如在響應(yīng)文件其他內(nèi)容中已有文字說明的,則以已有文字說明為準(zhǔn),否則,將被認(rèn)為完全響應(yīng)采購(gòu)文件的規(guī)定。但該表不作為響應(yīng)單位對(duì)所投標(biāo)的物(服務(wù))關(guān)于技術(shù)要求等詳細(xì)描述和說明的替代。


        響應(yīng)單位:(單位蓋章)

        法定代表人或委托代理人:(簽字或蓋章)

        日期:    


        附件5:響應(yīng)單位資格承諾書

        響應(yīng)單位資格承諾書

        序號(hào)

        響應(yīng)單位資格要求

        是否完全響應(yīng)

        備注

        1

        具有獨(dú)立承擔(dān)民事責(zé)任的能力;

         

        提供包括法人或者其他組織的營(yíng)業(yè)執(zhí)照等證明文件,自然人的身份證明

        2

        具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度;

         

        具有良好的商業(yè)信譽(yù)和健全的財(cái)務(wù)會(huì)計(jì)制度證明。提供包括但不限于最近一期(2022年或2023年度)經(jīng)審計(jì)的財(cái)務(wù)報(bào)告或最近一期財(cái)務(wù)報(bào)表(包括資產(chǎn)負(fù)債表、利潤(rùn)表),其他組織、自然人及成立未滿一年的法人應(yīng)提供銀行出具的資信證明

        3

        具有履行合同所必需的設(shè)備和專業(yè)技術(shù)能力;

         

        提供證明材料或承諾

        4

        有依法繳納稅收和社會(huì)保障資金的良好記錄;

         

        提供稅務(wù)登記證(如有)和最近期的依法繳納稅收的憑據(jù),最近期的依法繳納社會(huì)保險(xiǎn)的憑據(jù)(專用收據(jù)或社會(huì)保險(xiǎn)繳納清單),依法免稅或不需要繳納社會(huì)保障資金的供應(yīng)商,應(yīng)提供對(duì)應(yīng)證明文件

        5

        參加采購(gòu)活動(dòng)前三年內(nèi),在經(jīng)營(yíng)活動(dòng)中沒有重大違法記錄。

         

        提供書面聲明函

        6

        法律、行政法規(guī)規(guī)定的其他條件

         

         

        7

        合格響應(yīng)單位特定要求(如有)

         

         

        響應(yīng)單位:(單位蓋章)

        法定代表人或委托代理人:(簽字或蓋章)

        日期:    


        (全文完)


         
        版權(quán)所有: 蘇州市創(chuàng)杰招投標(biāo)咨詢服務(wù)有限公司 蘇ICP備10213594號(hào)-1
        地址:江蘇省蘇州市干將西路399號(hào)銀海大廈303室 電話:0512-65238891 E-mail:szcjzb@163.com

        久久久中文久久久无码,av东京无码热专区中文,2021国产黄色精品综合,国产精品久久久久久一级毛片 一本久久国产精品视频 国产精品sm重味
      • <th id="k2yms"><progress id="k2yms"></progress></th>
        <strong id="k2yms"><dl id="k2yms"></dl></strong>
      • <th id="k2yms"></th>

          <meter id="k2yms"></meter>
            <th id="k2yms"><progress id="k2yms"></progress></th>

            <small id="k2yms"><em id="k2yms"><center id="k2yms"></center></em></small>