招标信息

采购内容：

通过采购信息安全技术服务巩固公司信息系统安全，降低保护个人身份信息、商业机密、财务数据等敏感信息不被未授权的访问、篡改或泄露的安全风险，提高人员安全素养，保障日常和重要时期信息安全，实现核心系统的可靠性、可用性、保密性、完整性、可控性。

服务范围

天然气销售公司1年（2024-2025年）信息系统与信息安全技术服务。

工作内容

1．信息化资产梳理服务

全面梳理公司本部及子公司网络环境中存在的资产，为后续的风险管理、安全加固、应急响应等工作提供准确的基础数据支持。具体内容包括：1）资产识别与分类：确定并记录网络环境中的所有硬件设备（如服务器、网络设备、IoT设备等）；记录所有软件组件，包括操作系统、应用程序、数据库、中间件、框架等；将资产按照重要性、敏感度、功能类别等标准进行分类；2）资产信息收集：收集资产的详细信息，如IP地址、MAC地址、版本信息、配置信息、责任人等;确认信息系统资产的所有权和管理责任部门；3）端口和服务审计：梳理每个资产上运行的服务及其对应的开放端口；明确各个端口和服务的用途，确保它们是合法、必要且安全的；4）其它：建立和维护网络架构图，反映资产之间的连接关系，便于理解整体安全态势。

2．信息安全风险评估服务

提供资产评估、脆弱性评估、威胁评估、安全措施有效性评估以及综合风险评估，最终通过全面的分析，识别出当前系统存在的信息安全风险，并在评估分析完成后形成风险评估报告，提出针对性的风险控制规划措施。具体内容如下：1）结合公司本部、子公司的实际情况，了解业务目标流程，通过调研情况,分析当前安全状况；2）根据风险评估发现存在的问题及安全隐患，制定风险与控制目标对应表，确定风险处置计划；3）风险评估方式至少应包括漏洞扫描、配置核查、人工评估等内容。

3．信息系统的渗透测试技术服务

在授权和监督下，由资深安全专家通过外网渗透测试或内网渗透测试等测试方法，模拟入侵者对指定系统进行攻击测试，对系统进行受控的、非破坏性的模拟性攻击，查找信息系统存在的安全隐患，并针对安全隐患提出解决办法，指导系统运维单位进行整改，切实保证信息系统安全，一年2次。

4．信息安全事件应急响应演练服务

针对各级各类可能发生的事件制定专项应急预案和现场处置方案，并明确事前、事中、事后的各个过程中相关部门和有关人员的职责。一年开展不少于1次应急演练，充分检验应急响应工作机制是否完善、应急预案是否实用并具有可操作性，进一步加强信息安全应急响应能力建设，提高应对突发安全事件的响应处置能力，减少安全事件造成的危害和损失。

5．信息化技术支持服务

服务内容主要包括安全设备管理、安全检查、安全策略管理和应急响应等工作。1）安全设备管理：对范围内的所有在运行的安全系统及设备进行巡检，如：对设备的物理运行情况、系统运行情况、系统资源利用情况、系统运行日志、相应功能是否正常运行等进行检查并记录，排除可能存在的安全问题和隐患。定期对设备配置、日志进行备份。2）安全检查：利用工具定期进行检查，检测现有安全措施是否有效。 3）安全策略管理：对设备自身的配置进行变更调整，如登录口令、登录方式、密码复杂度等设备运维策略；定期对安全设备业务访问策略进行梳理分析，发现过期、冗余、无效、不明确用途等策略，根据分析结果提供优化调整建议；配合业务系统部署与调整，从安全角度给出部署建议，制定和更新安全设备的防护、检测策略。4）应急响应：在发生安全事件后协助开展应急处置和上报等工作。

6．重要时期保障服务

重要时期安全保障服务内容贯穿事前、事中和事后三个阶段，其中事前包括互联网暴露面扫描探测、漏洞扫描、渗透测试、安全基线检查、安全设备策略检查、安全整改加固、安全培训、安全设备补充完善等；事中包括现场安全值守、安全事件分析、应急响应与处置；事后包括安全保障总结和安全整改建议。拟定一年不少于2次。

7．信息安全专题培训

每年开展不少于2次培训，包括提供不少于1次针对全员的信息安全意识培训或国家法律政策和行业政策标准培训；提供不少于1次针对信息安全管理人员的安全攻防技术、安全产品技术原理及安装部署、常见安全事件的处理等方面的培训。

8．云服务器租赁服务

公司智慧燃气管理系统目前部署于三峡高科云服务平台，因该系统面向4个城燃子公司的各终端燃气用户，为确保该系统有序、平稳运行状态，需同步采购为期半年时间的云平台服务器租赁服务，包含数据存储、安全防护服务、服务器日常维护等工作内容。

计划进度：

本项目服务周期自合同签订之日起1年

3.供应商资格要求（以下条件需同时具备）

资质条件：报价人须为在中华人民共和国境内注册，具备独立法人资格的企业；

业绩要求：自2021年1月1日至报价截止日（以合同签订时间为准）至少具有2项信息安全服务项目业绩（提供合同扫描件）；

人员要求： / ；

信誉要求：未处于中国长江三峡集团有限公司限制投标（报价）的专业范围及期限内；

财务要求：报价人近3年（2020—2022年度）未出现连续亏损情况，须提供经会计师事务所或审计机构出具的财务报表扫描件；

其他要求：投标人具有CCRC信息安全服务资质认证证书（信息系统安全集成服务或信息系统安全运维）三级及以上。

采购人 ¨接受 þ不接受联合体报价。联合体报价的，应满足下列要求： 。

采购人 ¨接受 þ不接受代理商报价。

4.供应商征集

本次采购采用þ公开征集 ¨部分公开征集的方式确定供应商。

5.采购文件的获取

5.1 本项目报价的供应商报名截止时间： 2024 年 4 月 10 日 12 时（北京时间）。

本招标项目仅供正式会员查看，您的权限不能浏览详细信息，请联系办理会员入网事宜，成为正式会员后可下载详细的招标公告、报名表格、项目附件和部分项目招标文件等。

联系人：徐经理
手机：13641172550 (欢迎拨打手机/微信同号)
邮箱：kefu@zgdl.vip
QQ：2148363064