各报价供应商:
我司进行信息系统安全检测评估服务-2026年等项目(询价编号: ****)的询价工作,请各报价供应商按照附件一、附件二、附件三所列内容,进行投入估算、报价(本询价函并非采购邀约,报价仅供参考),并将报价文件(附件一、附件二)和营业执照复印件加盖报价供应商公章后,于2025年10月27日24点前扫描并发送邮件至我司联系人电子邮箱。感谢贵方的参与!
顺祝商祺!
附件一:报价函
附件二:详细报价函
附件三: 服务内容及要求
询价单位:****
联系人:吴洪亮
电话:0597-****583
电子邮箱:****@fjtic.cn
联系地址:**省**市**区乘风路1299号
日期:2025年10月20日
附件一 报价函
| 说明 |
|||||||
| 项目名称 |
品目号 |
品名 |
项目内容 |
服务地点 |
报价 (不含税,元) |
服务内容及要求 |
服务期限 |
| 信息系统安全检测评估服务-2026年等 |
1 |
信息系统安全检测评估服务-2026年 |
龙烟公司信息系统安全检测评估服务 |
**市**区 |
详见附件二 |
详见附件三 |
合同签订之日起至2026-12-31 |
| 2 |
信息系统安全检测评估服务-2026年 |
厦烟公司信息系统安全检测评估服务 |
**市**区 |
||||
| 3 |
信息系统安全检测评估服务-2026年 |
鑫叶公司信息系统安全检测评估服务 |
**市**区 |
||||
| 4 |
信息系统安全检测评估服务-2026年 |
金叶公司信息系统安全检测评估服务 |
**市**区 |
||||
| 5 |
信息系统安全检测评估服务-2026年 |
金闽公司信息系统安全检测评估服务 |
**市**县 |
||||
| 报价有效期 |
2026年1月31日 |
||||||
| 发票税率及种类 |
____% 增值税专用发票 |
||||||
| 报价供应商信息 |
供应商全称(加盖公章): 地址: 联 系 人: 电话: 电子邮箱: 报价日期: |
||||||
注:
1、报价包括但不限于:招标代理费(5580元)、服务费、差旅费、耗材费用、专用工具费、测试费、人工费、税费、采购保管费、配合实施费用、检验验收、安装调试费、培训费、售后服务等以及为完成本项目需要发生的一切费用。
2、龙烟公司指****,厦烟公司指******公司,鑫叶公司指****集团有限公司,金叶公司指**省******公司,金闽公司指**金闽****公司,下同。
3、本询价函非采购邀约。
4、招标代理服务费5500-7000元由供应商支付,需考虑到成本中。
5、报价人须具备国内注册的独立法人资格,提供合格的企业法人营业执照副本复印件;
附件二:详细报价函
| 序号 |
服务内容 |
服务单价 (不含税) |
单位 |
龙烟公司 |
厦烟公司 |
鑫叶公司 |
金叶公司 |
金闽公司 |
|||||
| 预计数量 |
小计(元) |
预计数量 |
小计(元) |
预计数量 |
小计(元) |
预计数量 |
小计(元) |
预计数量 |
小计(元) |
||||
| 1 |
新系统上线前安全评估 |
元/个 |
系统个数 |
5个 |
3个 |
2个 |
1个 |
- |
1个 |
||||
| 2 |
代码审计 |
元/个 |
系统个数 |
5个 |
3个 |
2个 |
1个 |
- |
1个 |
||||
| 3 |
风险评估 |
元/次 |
评估次数 |
1次 |
1次 |
1次 |
1次 |
- |
1次 |
||||
| 4 |
个人信息安全评估 |
元/个 |
系统个数 |
1个 |
1个 |
- |
- |
- |
- |
- |
- |
||
| 5 |
健康检查 |
元/次 |
检查次数 |
2次 |
2次 |
1次 |
2次 |
2次 |
|||||
| 6 |
网站安全监测 |
元/月 |
自然月 |
12个月 |
12个月 |
- |
- |
12个月 |
- |
- |
|||
| 7 |
应急响应 |
元/天 |
响应天数 |
30天 |
25天 |
30天 |
30天 |
30天 |
|||||
| 8 |
安全知识普及培训 |
元/次 |
培训次数 |
1次 |
1次 |
1次 |
- |
- |
1次 |
||||
| 9 |
安全实践培训 |
元/次 |
培训次数 |
1次 |
1次 |
- |
- |
- |
- |
- |
- |
||
| 10 |
专业认证培训 |
元/次 |
培训次数 |
1次 |
- |
- |
- |
- |
- |
- |
- |
- |
|
| 11 |
续证服务 |
元/次 |
工作次数 |
5次 |
- |
- |
- |
- |
- |
- |
- |
- |
|
| 12 |
等保工作 |
元/次 |
工作次数 |
1次 |
1次 |
1次 |
1次 |
1次 |
|||||
| 13 |
配置备份 |
元/次 |
工作次数 |
- |
- |
- |
- |
2次 |
1次 |
- |
- |
||
| 14 |
事件处置 |
元/次 |
工作次数 |
- |
- |
- |
- |
2次 |
1次 |
1次 |
|||
| 15 |
应急演练 |
元/次 |
工作次数 |
- |
- |
- |
- |
2次 |
1次 |
1次 |
|||
| 合计(不含税,元) |
|||||||||||||
| 填写说明:小计=服务单价×预计数量。 |
|||||||||||||
附件三: 服务内容及要求
投标人应根据采购人需求对采购人提供的信息系统进行信息系统安全检测评估服务,具体服务内容、数量、完成时间以采购人发出的微信、邮件等书面通知为准。采购人发出书面通知后2日内未接到投标人书面异议即视为投标人已经接收并接受该项服务,投标人即有应当按照本合同约定及采购人发出的书面通知按时、按质完成服务的义务。
1、具体服务内容及要求如下:
1.1新系统上线前安全评估服务:投标人应根据采购人要求,在采购人新业务或新系统上线前,根据系统事先定义的等级保护要求以及烟草行业安全基线要求,进行全面的安全检查,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供系统上线安全评估报告。具体服务的内容及要求包括但不限于:
(1)差距分析服务。投标人应根据等保2.0和烟草行业安全基线要求,进行差距分析,形成差距分析报告,并提供加固建议及协助整改。
(2)漏洞扫描服务。投标人应通过漏洞扫描工具对新上线业务系统相关的设备进行漏洞扫描,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成漏洞扫描报告,对扫描结果进行分析,并提供加固建议及协助整改。
(3)基线核查服务。投标人应对新上线业务系统的安全基线配置进行检查,包括但不限于主机操作系统、数据库、中间件及网络服务应用,形成基线核查报告,并提供加固建议及协助整改。
(4)渗透测试服务。投标人应按实际需要对新上线业务系统进行渗透测试,形成渗透测试报告,并提供加固建议及协助整改。
(5)提供评估报告。投标人应在安全评估工作完成后5个工作日内提供包含以上所有内容的上线前安全评估报告,附上结果判定的过程证明材料,并提供残余问题处置建议。
1.2代码审计服务:投标人应根据采购人要求,对采购人指定信息系统的所有源代码进行检查,查明威胁点并加以验证,对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供源代码审计报告,并协助采购人完善代码安全开发规范。具体服务的内容及要求包括但不限于:
(1)投标人应派出具备丰富编码经验并对安全编码原则及应用安全具有深刻理解的安全服务人员,对采购人指定的系统的源代码和软件架构的安全性、可靠性进行全面的安全检查。
(2)投标人应提供整体源代码审计和功能点人工源代码审计两种代码审计服务,具体服务形式由采购人指定。其中整体源代码审计是指源代码审计服务人员对被审计系统的所有源代码进行整体的安全审计,代码覆盖率为100%,整体源代码审计采用源代码扫描和人工分析确认相结合的方式进行分析,发现源代码存在的安全漏洞。功能点人工源代码审计是对某个或某几个重要的功能点的源代码进行人工源代码审计,发现功能点存在的代码安全问题。
(3)投标人的代码审计服务应至少包括三个阶段,即源代码审计前期准备、源代码审计实施以及现场复查实施阶段。
(4)在审计工作完成后5个工作日内,投标人出具源代码审计报告。报告应根据审计结果针对源代码中的每个安全弱点进行详细描述,描述内容至少包括安全弱点所在的代码页名、代码行数、问题代码片段以及弱点可能导致的安全问题等。除此之外,投标人还应针对各种具体的安全弱点提供解决方案和相关的安全建议,为采购人的安全运维和问题修复工作提供参考。
1.3风险评估服务:投标人应根据《信息安全技术-信息安全风险评估规范》、《信息安全技术-信息安全风险评估实施指南》及采购人其他要求,提供全面风险评估服务,每次涉及信息系统总数不超过30个,具体核查范围由采购人指定。投标人应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供风险评估报告。具体服务的内容及要求包括但不限于:
(1)投标人应通过管理问卷调查、安全顾问访谈、安全策略评估、网络架构分析、漏洞扫描、渗透测试、基线核查、人工检查等多种方式,对采购人的整体安全风险进行全面、彻底评估。
(2)投标人应根据采购人的风险处置要求,协助采购人及时下发风险通知书,并跟踪问题整改情况,进一步降低采购人的网络安全风险隐患。
(3)投标人的风险评估服务交付物应包括但不限于业务信息系统调研报告、资产清单表、脆弱性评估报告、威胁分析报告、风险评估报告、年度风险防范指南等。
1.4个人信息安全评估服务:投标人应根据《信息安全技术 个人信息安全规范》、《信息安全技术 个人信息安全影响评估指南》及采购人其他要求,提供信息系统个人信息安全影响评估服务,具体核查范围由采购人指定。投标人应对发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供个人影响安全影响评估报告报告。具体服务的内容及要求包括但不限于:
(1)投标人应通过安全访谈、管理制度评估、技术性测试等多种方式,对采购人的应用系统涉及个人信息的使用场景开展个人权益影响分析、安全事件可能性分析、风险等级判定等工作,全面了解系统个人信息安全风险,保障个人信息安全。
(2)投标人应根据采购人的风险处置要求跟踪问题整改情况,进一步降低采购人的个人信息安全风险隐患。
(3)投标人的个人信息安全影响评估服务交付物应包括但不限于《个人信息及个人敏感信息举例识别表》、《个人信息安全规范检查记录》、《个人信息处理活动映射关系表》、《个人权益影响分析表》、《个人信息安全事件可能性分析表》、《综合风险分析及整改评估措施》、《个人信息安全影响评估报告》等。
1.5健康检查服务:投标人应对采购人指定的范围(包括但不限于网络设备、安全设备、主机操作系统、数据库、中间件及网络服务应用)进行全面的漏洞扫描,对采购人指定的系统或网站进行渗透测试服务,对风险控制策略进行有效审核,根据发现的问题提供加固建议并协助整改,对整改后的系统进行复测,提供漏洞扫描报告和渗透测试报告。
1.6网站安全监测服务:投标人应根据采购人要求,通过网站检测云平台对采购人所有外部网站进行7*24小时监测。监测时间未超过15天(含15天)按半个月计算,超过15天按一个月计算。投标人应根据采购人要求,在采购人发生紧急安全事件5分钟以内以电话、短信和邮件等形式对采购人指定联系人进行通告,如采购人的网站被挂马、网页被篡改及其它无法访问等情况。具体服务的内容及要求包括但不限于:
(1)投标人提供的网站监测内容包括但不限于脆弱性检测(如远程漏扫等)、完整性检测(如远程网页木马、敏感内容、网页篡改监测等)、可用性检测(如网页测速、ISP 服务监测等)及认证性检测(如远程钓鱼网站监测)。
(2)投标人为采购人提供的网站监测服务交付物应包括但不限于《网站安全监测周报》《网站安全监测月报》等。
1.7应急响应服务:
(1)投标人应根据采购人要求,提供重要时期以及攻防演习期间的网络安全保障工作支持服务,必要时派人提供7×24小时驻场服务。攻防演习前根据采购人安排,对采购人的互联网资产(如网站、IP、敏感信息等)进行测绘和模拟攻击,根据发现的问题提供加固建议并协助整改,对整改后的问题进行复测,提供攻击测试报告。
(2)当采购人业务网络或系统出现安全事件时,投标人需提供安全应急专家进行7×24小时的现场安全应急响应工作,协助采购人的安全人员及时发现问题,恢复系统,追查来源,保留证据。在接到采购人安全事件通知后,须在30分钟内提供解决方案,并经采购人同意。对于可以远程解决的事件,必须在30分钟内指派专业工程师对接,对于必须到达现场解决的事件,若事件发生地在**的4小时内到达现场,事件发生地在**省内**以外地区的6小时内到达现场。到达现场后24小时内解决事件,恢复网络与信息系统。在网络与信息系统恢复正常后,应在一周之内向采购人提供完整的安全事件分析处理报告。
1.8安全知识普及培训服务:投标人应根据采购人要求,到**省内采购人指定地点提供包括但不限于安全意识、网络安全管理体系、网络安全风险管理、社会工程学或网络安全法律法规等相关现场培训,每次培训0.5天。
1.9安全实践培训服务:投标人应根据采购人要求,到**省内采购人指定地点提供包括但不限于软件安全开发、渗透测试技术或安全加固技术等相关现场培训,每次2天。
1.10专业认证培训服务:投标人应根据采购人要求,提供包括但不限于CISSP、CISP、CISA、CCSP、CCIE Security、ISO 27001、TOGAF 9.2、COBIT、CISP-PTE或CISP-DSG的培训及认证考试。具体培训及认证内容和培训时间由采购人安排。
1.11续证服务:投标人应根据采购人要求,提供包括但不限于CISP证书续证服务。
1.12等保工作服务:投标人应根据采购人要求,配合信息系统等**级、备案、测评等相关工作,包括但不限于定级咨询、定级专家邀请、配合安全相关文档编写、协助备案、安全设备及防护措施检查、安全问题整改等事宜。
1.13配置备份服务:投标人应根据采购人要求,协助进行一次安全设备特征库、病毒特征库、固件的升级及安全设备的配置备份。具体范围由采购人指定。
1.14事件处置服务:投标人应协助采购人对日常巡检、日志分析及其它来源发现的安全事件进行记录并跟踪处置。协助编写整改通知书,对于无法处理的事件,给出整改建议。具体范围由采购人指定。
1.15应急演练服务:投标人应协助采购人制定演练计划,开展应急演练,完成演练总结。
2、服务团队及要求
2.1投标人应指派代表组成服务团队,明确人员分工。项目经理应具备PMP证书,以及CISP、CISSP、CISA、Security+、ISO 27001LA五种证书之一,且具有实施过三个或以上安全服务项目经验。项目实施人员应具备至少3年以上安全服务类相关(运维、测评、支持、检测等)项目实施经验。
2.2投标人如需重新****小组成员,应提前10个工作日向采购人出具书面说明阐明合理理由并征得采购人的书面同意方可进行。不论投标****小组成员,****小组成****小组成员资质且应符合采购文件要求,同时,采购人有权要求投标人提供相应的资质证明材料。如双方未达成一致,依照原服务团队名单执行。如采购人允许服务人员变更,更换人员应在原服务人员离场前至少10个工作日到达现场,做好与原服务人员的工作交接,并在更换人员熟练开展工作后,原服务人员方可离场。标书代写
2.3投标人进场服务前,采购人有权对投标人服务人员证书资质等材料进行核验,若发现投标人提供服务人员与合同约定不一致,采购人有权要求投标人无条件更换服务人员。
2.4 合同服务期间,投标人服务人员须遵守采购人的工作场所及文档整理相关要求。
2.5 若投标人服务人员实际素质能力无法满足合同业务需要的,采购人有权要求投标人更换服务人员,投标人必须无条件更换。
3、其他要求
3.1投标人在开展服务前,应提前1天通知采购人,经采购人同意后方可开展相关工作。在开展服务过程中,应采用可靠的安全检测工具,不得影响采购人现有网络系统与信息系统的正常运行,不得影响采购人生产业务的正常运行。
3.2投标人服务过程中所使用到的各种工具软件均由投标人推荐,经采购人确认后由投标人提供并在服务中使用。
3.3****服务所需要的所有硬件平台(如笔记本电脑、PC、工作站等)和操作系统软件等均由投标人推荐,经采购人确认后由投标人提供并在服务中使用。
3.4投标人服务需要的运行环境(如场地、网络环境等)由采购人提供,投标人应根据服务开展需要向采购人说明需要的运行环境的具体要求。
3.5投标人应在接到采购人通知后,在指定时间到达指定地点开始服务工作。
3.6 实施人员现场服务时间要求:投标人须为采购人提供现场服务,直至所有服务内容完成(含文档确认),并经双方确认完毕后,方可离开现场。
3.7 配套支持服务及要求:投标人应根据采购人要求,免费配合策划网络安全宣传周活动方案,提供网络安全宣传周活动素材,提供网络安全专题专栏素材;提供网络安全应急演练方案与环境(如钓鱼攻击演练)等;配合上级单位、**等外部检查单位的安全检查工作;根据采购人要求,每项服务完成后5个工作日内提供相关服务报告,每半年装订一次安全服务工作资料。
4、服务期限
4.1 服务期限:合同签订之日起至2026年12月31日。服务期限内,若采购人需求变化导致服务数量发生变化,采购人可以调整服务数量,实际履行合同金额(含税)达到合同控制金额后,合同自动终止。
4.2 若因投标人提供服务而产生的合同权利义务在服务期限届满时仍未履行完毕,则相关权利与义务仍应当依照本合同约定继续履行。
5、验收标准或要求
5.1本合同项下投标人所提供服务的要求应与采购文件、合同及附件等相关文件中约定的要求相一致。如服务要求确因客观原因须进行变更的,投标人应及时通知采购人,并经采购人书面同意。标书代写
5.2 除非本合同另有约定,投标人所提供服务的标准则应符合相应的国家或国家有关部门最新颁布的相应的正式标准;如存在多个标准的,则以其中要求最高的为准。
6、结算及服务评价
6.1 结算周期
分两次结算,采购人于服务期限起始日后6个月和服务期限届满后各结算一次。
6.2 服务评价
6.2.1采购人有权对投标人在服务期限内的运维服务工作进行服务质量评定(评价),投标人同意将采购人作出的服务质量评价结果作为合同验收及结算依据。
6.2.2在服务期限内,采购人服务质量评定(评价)标准文件发生变化的,投标人提供的服务应符合采购人发布的新文件要求。投标人拒绝执行新文件的,采购人有权单方解除其与投标人基于本合同而产生的委托服务关系且不承担违约责任。
6.2.3投标人在服务期限内存在违约行为的,采购人除有权对投标人的服务质量作出评价并据此结算服务费用外,还有权根据本合同第6条的相关约定追究投标人的违约责任。如涉及要求投标人赔付相关款项(含违约金)的,采购人有权将其从应支付给投标人的服务费用中直接扣除。
6.2.4采购人应在结算周期届满后15日内对投标人当次结算周期已完成的服务项目的服务内容和质量进行评价。
6.3 费用确定
6.3.1 第一次结算周期费用确定方式
如IT供方评价综合总得分≥80,采购人实际支付的服务费用=∑单价*服务数量*100%-扣减的违约金和赔偿款;
如60≤IT供方评价综合总得分<80,采购人实际支付的服务费用=∑单价*服务数量*80%-扣减的违约金和赔偿款;
如IT供方评价综合总得分<60,采购人实际支付的服务费用=∑单价*服务数量*50%-扣减的违约金和赔偿款。
4.3.2 第二次结算周期费用确定方式
如IT供方评价综合总得分≥160,采购人实际支付的服务费用=∑单价*服务数量*100%-扣减的违约金和赔偿款;
如120≤IT供方评价综合总得分<160,采购人实际支付的服务费用=∑单价*服务数量*80%-扣减的违约金和赔偿款;
如IT供方评价综合总得分<120,采购人实际支付的服务费用=∑单价*服务数量*50%-扣减的违约金和赔偿款。
6.4付款方式
6.4.1 采购人完成IT供方评价并确定当次付款周期应付服务费用后15日内,由投标人以书面形式向采购人递交《申请验收通知书》及服务验收报告,采购人在收到上述材料30个工作日内开展合同履行验收。验收通过之日起15个工作日内,由投标人开具税率为 等额增值税专用发票,采购人收到发票后20日内通过转账方式向本合同签署****银行账户据实支付款项。
6.4.2 投标人未按时出具发票的,采购人有权迟延支付费用,直至投标人提供符合税法要求及合同约定的发票。****银行账户变更的,须提前书面告知采购人。若投标人未及时通知,造成采购人向原账号付款,视为采购人已付款,所造成损失由投标人自行承担。
6.4.3若国家政策变化导致税率发生调整,双方同意自国家正式实行新税率之日后的合同付款行为,按照合同约定的不含税价乘以(1+新税率)来计算合同含税价款,双方基于调整后的合同含税价款来进行结算。