ZB_ZHAOBIAOGONGGAO_START****公司2026年云剑安全服务能力采购项目-标包2:**(招标)
资格预审公告
****公司2026年云剑安全服务能力采购项目已批准,招标人为****,建设资金来自招标人自筹 ,项目已具备招标条件,现进行资格预审,特邀请有意向的潜在投标人(以下简称申请人)提出资格预审申请。
2.1资格预审编号:****
2.2项目概况:本项目****公司2026年云剑安全服务能力采购项目所需的安全服务能力。
2.3交货时间、交货地点:按照订单中规定的时间、地点交货 。
2.4项目性质:服务招标,资格预审。
2.5项目规模:本项目共划分7个标包,分别为标包1:华南;标包2:**;标包3:华中;标包4:华东;标包5:东北;标包6:西北+西南;标包7:华北+**。本文件仅为标包2,其余标包详见其他标包文件。标包2项目规模具体详见下表:
| 序号 |
服务类型 |
能力描述 |
预估采购数量 (人天) |
服务地点 |
| 1 |
初级人工 |
提供漏洞扫描、基线核查能力、安全加固、资产梳理、驻场服务能力 |
1750 |
** |
| 2 |
中级人工 |
提供风险评估/新系统上线安全评估、渗透测试能力、应急演练、日志分析、安全运营服务、应急响应、现场保障能力、安全培训服务能力 |
1740 |
|
| 3 |
高级人工 |
提供蓝军服务/攻防演练、移动应用评估、代码审计能力、重保服务能力、安全咨询能力 |
1650 |
|
| 注:上述采购数量为预估量。 |
||||
本项目将按照最新的《中国电信供应商不良行为管理规则》执行供应商不良行为处理结果,请重点关注处理结果适用的供应商主体、被处理产品、处理范围、禁限期、处理措施等关键内容,请务必登录中国电**光采购网(https://caigou.****.cn)查阅《中国电信供应商不良行为管理规则》。
2.6技术要求/产品规格:详见上述2.5条。
2.7标包划分情况(如有):详见上述2.5条。
3.1申请人基本资格要求
3.1.1 申请人应为中华人民**国境内法律上和财务上独立的法人或依法登记注册的其他组织,合法运作并独立于招标人和招标代理机构。法人下属不具备法人资格的分支机构参与资格预审申请的,应提供所属法人针对本项目或覆盖本项目的经营事项的有效授权。
3.1.2申请人的法定代表人或负责人为同一人或者存在控股、管理关系的不同申请人,不得参加同一标包投标或者未划分标包的同一招标项目投标。
${ 3.1.3 }${ 3.1.3 } 3.1.3 本次资格预审不接受联合体资格预审申请。${联合体申请资格预审的,应满足下列要求: (1)联合体各方必须按资格预审文件提供的格式签订联合体协议书,明确联合体牵头人和各方的权利义务; (2)由同一专业的单位组成的联合体,按照资质等级较低的单位确定资质等级; (3)通过资格预审的联合体,其各方组成结构或职责,以及财务能力、信誉情况等资格条件不得改变; (4)联合体各方不得再以自己名义单独或加入其他联合体在同一标包或者未划分标包的同一资格预审项目中参加资格预审。${ (5) 。}}
3.1.4 本次资格预审不接受代理商资格预审申请。
${ (1)投标产品制造商注册地在中华人民**国境外(与中华人民**国有正常贸易与往来的国家或地区)及**、**、**地区且必须使用代理商投标和签订销售合同的;(2)投标产品制造商为注册地在中华人民**国境内的外资企业(包括**、**、**地区资本)或者由外国投资者(包括**、**、**地区)享有绝对控制权(最大或最多表决权)的企业且必须使用代理商投标和签订销售合同的。代理商申请资格预审的,应满足下列要求:}${ (1)【本项目/本标包/同类产品】仅允许代理唯一制造商申请资格预审,且该制造商不得再自行申请资格预审或再委托其它申请人申请资格预审。
${ (2)申请人与投标产品制造商的代理**关系迄今为止应已持续0年(含)以上。}${ (3) }}${ 3.1.6 与申请人有投标产品代工制造关系的制造商不得参加同一标包投标或者未划分标包的同一招标项目投标。} 3.1.5 申请人须提供不少于10人的初始团队,其中实施交付经理不少于1人,安全服务交付高级服务工程师不少于1人,安全服务交付中级服务工程师不少于3人,安全服务交付初级服务工程师不少于5人。初始团队人员须同时具备以下要求:
1.服务人员学历和经验要求:
(1)实施交付经理须具备本科及以上学历或学士及以上学位,从事8年及以上安全服务交付类工作经验;或大专学历,从事9年及以上安全服务交付类工作经验。
(2)安全服务交付高级服务工程师具备本科及以上学历或学士及以上学位,从事5年及以上安全服务交付类工作经验;或大专学历,从事6年及以上安全服务交付类工作经验。
(3)安全服务交付中级服务工程师具备本科及以上学历或学士及以上学位,从事3年及以上安全服务交付类工作经验;或大专学历,从事4年及以上安全服务交付类工作经验。
(4)安全服务交付初级服务工程师具备本科及以上学历或学士及以上学位,从事1年及以上安全服务交付类工作经验;或大专学历,从事2年及以上安全服务交付类工作经验。
2.服务能力要求详见下表:
| 序号 |
能力类型 |
服务能力要求 |
| 1 |
初级服务能力 |
1、漏洞扫描:熟练使用主流漏洞扫描工具(如Nessus、AWVS等),能够独立完成扫描任务配置、扫描执行及结果初步分析;了解常见漏洞类型及其危害,能够对扫描结果进行误报排除及风险定级; 2、基线核查:熟悉Windows、Linux等主流操作系统的安全配置基线,熟悉MySQL、Oracle、SQLServer等数据库及Tomcat、Nginx、Apache等中间件的安全配置要求;能够按标准完成核查项逐项检查,对不合规项给出整改建议及标准配置参考值; 3、安全加固:了解常见操作系统的基本安全配置方法,熟悉账号权限管理、口令策略配置、服务端口管理审计策略配置等加固操作;能够按照加固方案完**全加固实施,具备操作备份及回退意识; 4、资产梳理:熟悉网络资产管理方法,能够使用自动化资产发现工具完成资产采集及信息核实;了解常见网络设备、安全设备、应用系统的资产属性特征,能够识别影子资产、僵尸资产及未纳管资产; 5、驻场服务:能够独立完成日常安全巡检,包括安全设备状态检查、安全策略合规性检查、异常告警初步研判等,具备基本的安全工单处理能力,能够按模板输出工作日志及报告。 |
| 2 |
中级服务能力 |
1、风险评估:风险评估服务人员需具备风险评估能力,必须能够熟练运用 GB/T 20984-2022 的风险计算方法,并熟知 GB/T 27921-2023 中规定的各项评估工具(如蝶形图分析、事件树分析、人因可靠性分析等)。 2、新系统上线安全评估:具备独立开展风险评估或渗透测试的能力,熟悉OWASPTop10及常见漏洞原理,熟悉主流安全设备日志分析方法,能够从日志中识别异常行为并完成事件初步研判,具备安全运营实践经验和应急演练组织实施能力; 3、渗透测试:熟悉OWASP Top 10及常见漏洞原理,具备独立开展渗透测试的能力;掌握信息收集、漏洞发现、漏洞利用、权限提升等渗透测试流程,能够编写并执行测试用例;具备漏洞复现及风险说明撰写能力,能够提供可落地的修复建议; 4、应急演练:具备应急演练方案编写及组织实施能力;能够根据客户业务特点设计演练场景并编写演练脚本,组织客户人员完成演练实施;能够评估应急预案可执行性及人员应急处置能力,提出预案优化及能力提升建议; 5、日志分析:熟悉主流安全设备(防火墙、WAF、IDS/IPS等)的日志格式及分析方法;能够对多源日志进行关联分析,识别异常访问行为、暴力破解、越权操作等安全威胁;具备攻击链路还原能力,能够从日志中研判事件影响范围及危害程度; 6、安全运营:具备安全运营实践经验,能够依托安全运营平台进行安全告警监控、分级研判及处置闭环;能够定期开展安全态势分析,汇总安全事件及威胁情报;能够根据运营分析结果提出安全策略优化建议,具备安全运营知识库建设维护能力; 7、应急响应:熟悉网络入侵、数据泄露、病毒爆发、系统瘫痪等安全事件的处置方法;能够快速开展事件研判、攻击溯源、漏洞封堵、系统恢复等应急处置工作;具备安全事件复盘分析能力,能够总结事件原因并提出针对性加固建议; 8、现场保障:能够独立完成现场安全巡检及告警研判,熟悉安全设备运行状态监控及安全策略执行检查;具备现场安全事件第一时间响应与初步处置能力;能够协调各方**开展应急联动,具备现场应急协调及记录能力; 9、安全培训:具备安全培训授课能力,能够结合实际案例开展安全意识及安全技术培训;熟悉网络安全法律法规要求,能够编制针对性培训课件;具备培训效果评估能力,能够通过考核及反馈持续优化培训内容与方式。 |
| 3 |
高级服务能力 |
1、蓝军服务/攻防演练:具备实战化攻防演练组织与实施能力,熟悉ATT CK框架,能够独立设计攻击路径并完成红蓝对抗;掌握社会工程学、漏洞利用、钓鱼攻击、供应链攻击等多种攻击手法;能够全面评估客户安全防护体系薄弱环节,提供体系化安全能力提升建议; 2、移动应用评估:具备移动应用安全评估能力,熟悉Android/iOS平**全机制及常见漏洞类型;掌握反编译分析、代码混淆检测、组件安全评估、本地数据存储安全检测、调试及逆向防护检测等客户端评估方法;熟悉通信安全评估及服务端API安全测试方法; 3、代码审计:具备源代码安全审计能力,熟悉代码审计方法论及主流SAST工具;能够识别注入漏洞、越权访问、敏感信息泄露、不安全的加密算法、硬编码密钥、不安全的反序列化等代码安全缺陷;能够追溯缺陷代码位置及调用链路,提供安全编码修复示例; 4、重保服务:具备重大活动安全保障经验,能够制定重保方案、组织7×24小时值守及应急处置;能够在重保前开展全面安全风险排查,消除已知安全隐患;能够在重保期间对安全告警实时研判处置,紧急漏洞及威胁情报及时通报并协助实施加固措施; 5、安全咨询:需要具备安全咨询能力,能够结合客户业务场景输出安全规划、制度建设、合规评估等咨询成果;熟悉《网络安全法》《数据安全法》《个人信息保护法》及等级保护2.0等法规标准;能够协助客户建立健全安全管理制度体系,提供安全架构设计、安全产品选型等专业咨询意见。 |
注:(1)提供初始团队人员清单;人员履历表(从业年限以履历表填报时间为准);有效身份证明扫描件;毕业证书扫描件或学位证书扫描件或学信网(中国高等教育学生信息网)学历或学位查询****服务中心出具的学历学位认证书扫描件;有效劳动关系证明(劳动合同关键页扫描件或2026年1月(含)之后任意连续3个月的社保证明,缴费单位应为申请人,****公司代缴,则应提供劳务派遣协议或代缴说明等文件);服务团队能力要求承诺函,未提供证明材料或证明材料不全不予认可。
(2)申请人同时参与多个标包申请的,各标包间提供的团队人员不能复用,否则相关申请均将被否决。
(1) 为招标人不具有独立法人资格的附属机构(单位);
(2) 被依法暂停或取消投标资格的;
(3) 被责令停产停业、暂扣或者吊销许可证、暂扣或者吊销执照;
(4) 进入清算程序,或被宣告破产,或其他丧失履约能力的情形;
(5) 在最近三年内(自2023年07月01日起)被相关行****机关认定有骗取中标、严重违约、重大工程质量或者安全问题的;
(6) 在最近五年内(自2021年07月01日起)被判处单位行贿罪,且行贿行为与采购活动相关的(以“中国裁判文书网”的生效判决为准);
(7) 在最近五年内(自2021年07月01日起)被判处合同诈骗罪的(以“中国裁判文书网”的生效判决为准);
(8) ****法院在“信用中国”网站(www.****.cn)或各级信用信息共享平台中列入失信被执行人名单,已执行完毕或不再执行的除外;
(9) 为本招标项目提供过设计、编制技术规范和其他文件的咨询服务;
(10) 为本工程项目的相关监理人,或者与本工程项目的相关监理人存在隶属关系或者其他利害关系;
(11) 为本招标项目的代建人;
(13) 与本招标项目的监理人或代建人或招标代理机构同为一个法定代表人;
(14) 与本招标项目的监理人或代建人或招标代理机构存在控股或参股关系;
(15) ****机关在国家企业信用信息公示系统中列入严重违法失信企业名单;
(16) 中国电信在职员工违规担任供应商法定代表人并参与采购活动的;
(17) ****公司/****公司中层及以上管理人员违反有关领导人员配偶、子女及其配偶经商办企业行为管理规定,其配偶、子女及其配偶经商办企业参与采购活动的;
(18) 中国电信领导人员离职或退休后三年内违反《国有企业领导人员廉洁从业若干规定》等相关规定任职、投资入股的私营企业、外资企业和中介机构,参与其原任职单位采购活动的;
${ (19) ;} (19) 其他按照中国电信供应商不良行为处理结果及《中国电信供应商不良行为管理规则》的结果执行规则,应对投标人及其投标产品在本项目中执行禁止采购处理措施的;
(20) 法律法规、资格预审文件限定的其他情形。
${ 申请人是代理商的,本条所指的申请人也包括其所代理的制造商。}${ 联合体投标的,联合体成员均不得存在上述任一情形。} 3.3投标产品资格要求
3.3.1投标服务应是来自中华人民**国${或是与中华人民**国有正常贸易与往来的国家或地区}的服务。
${ 3.3.2 投标产品 。}${ 3.3.3 }${ 3.3.4 }${ 3.3.5 投标产品应符合中国电信相关技术要求,并满足以下关键技术指标:} 3.3.2 投标产品业绩要求:申请人须提供自2023年1月1日至本项目资格预审公告发布之日前一日止签署的安全服务类项目合同案例,数量不少于3份,且累计金额不少于80万元(含税),并提供有效的业绩证明文件。
注:①须提供合同关键页(包括但不限于合同名称、标的内容、签订时间、合同金额、签章页,如果提供的是框架协议,需同时提供框架协议及对应订单或结算单据(以下统称订单),框架协议及其项下所有订单视为同一个合同)的扫描件或者其他相关证明材料,供应商提供的订单应为双方签章的订单扫描件,或线上下达的采购订单截图,证明材料不全无法确定为相关业绩的,不予认可。
②业绩时间以单项合同签订时间或框架协议订单签订时间为准,业绩金额以单项合同金额或框架协议对应的订单累计金额计算。
③合同原件备查,如评审时需要核查,接到正式通知后,须在规定时间内送达评审现场,否则业绩不予认可。
${ 3.3.7 }${ 3.4 投标产品制造商(集成商、软件开发商、软件著作权人等)资格要求 3.4.1 制造商应提供合法有效的登记(或注册)证明文件,****银行资信和商业信誉。}${ 3.4.2 }${ 3.4.2 }${ 3.4.3 }${ 3.4.4 }${ 3.4.5 }${ 3.5现场考察 本次资格预审将对文件审查合格的申请人进行现场考察,申请人应接受招标人组织的现场考察。现场考察情况与申请文件不符的,提供虚假资料的不能通过资格审查。}${ 3.6评价检测 } 3.4法律法规规定的其他要求。
4.资格预审方法
4.1本次资格预审采用合格制,资格审查标准和内容详见资格预审文件。
${ 4.1本次资格预审采用有限数量制,按照审查方法择优选取前0名通过资格审查,资格审查标准和内容详见资格预审文件。} 4.2通过资格审查的申请人均可参加本次资格预审范围内本项目或相应标包的投标。
4.3通过资格审查的申请人不足3个时,招标人重新组织资格预审或采用资格后审进行重新招标。
5.资格预审文件的获取
5.1资格预审文件获取时间:2026年07月03日 00时00分00秒至2026年07月07日 23时59分59秒(**时间,下同)。
5.2资格预审文件获取方式:凡有意参与投标的潜在投标人,请按以下步骤顺序进行操作,获取资格预审文件:
5.2.1登录“中国电**光采购网(https://caigou.****.cn)” 后,通过“招投标-采购文件领取”模块或通过“电子采购入口”跳转中国电信电子采购系统,选择本项目进行资格预审文件登记申领。未在系统注册的潜在投标人须先进行注册,注册方法详见本公告“7申请人注册”。
5.3资格预审文件费用:获取本资格预审文件不收取费用。${每套售价0元人民币,售后不退。支付要求: 。}
6.资格预审申请文件的递交
6.1资格预审申请文件递交截止时间:标书代写2026年07月13日 09时00分00秒。
6.2电子资格预审申请文件的递交:登录中国电**光采购网(https://caigou.****.cn)后,通过“招投标-我的项目”模块或通过“电子采购入口”跳转中国电信电子采购系统,选择本项目进行资格预审申请文件递交,申请人应在资格预审申请文件递交截止时间之前通过电子采购系统完成加密电子资格预审申请文件的上传。申请人未在电子采购系统进行资格预审文件申领登记或电子资格预审申请文件未按照要求加密的,将无法通过电子采购系统提交电子资格预审申请文件。标书代写
7.申请人注册
7.1中国电**光采购网注册
未注册过的潜在投标人,须通过中国电**光采购网(https://caigou.****.cn)首页“立即注册”模块完成注册后,方可申领本项目资格预审文件。
7.2 CA证书办理
参与电子采购的潜在投标人须提前办理CA证书进行电子资格预审申请文件编制和资格预审申请,并确保CA证书在使用时有效。CA证书办理流程详见中国电**光采购网“操作指引-CA办理”。电子标服务
7.3技术支撑联系方式
服务热线:****111884
服务邮箱:****@chinatelecom.cn(电子采购系统技术支撑)
****@chinatelecom.cn(CA证书办理技术支撑)
本次资格预审公告同时且仅在中国电**光采购网(https://caigou.****.cn)、中国招标投标公共服务平台(http://www.****.com/)上发布,其他媒体转载无效。
9.1联系方式
| 招标人: |
|||
| 地 址: |
地 址: |
||
| 邮 编: |
邮 编: |
||
| 联 系 人: |
联 系 人: |
||
| 电 话: |
电 话: |
||
| 电子邮件: |
电子邮件: |
||
| 网 址: |
网 址: |
||
| 开户银行: |
/ |
开户银行: |
|
| 账 号: |
/ |
账 号: |
9.2异议接收方式
登录中国电**光采购网(https://caigou.****.cn)后,通过“招投标-采购异议-提出异议”模块提出。
${10.行政监督部门