当前位置:
一、 服务对象
| 信息化系统名称 | 等保级别 | 服务器台数 |
| 数据分析系统 | 三级 | 18 |
| 长沙市政府采购全流程电子化交易系统 | 三级 | 19 |
| 工程建设电子招标投标系统 | 三级 | 40 |
| 长沙市国土资源网上交易系统 | 三级 | 21 |
| 国有资产交易系统 | 三级 | 15 |
| 公共资源交易档案管理系统 | 二级 | 9 |
| 交易场地智能化系统 | 二级 | 11 |
| 长沙市公共资源交易数字见证系统 | 二级 | 11 |
| 湖南省(长沙市)国有资产资源交易平台 | 三级 | 11 |
| 湖南省工程建设招投标交易系统(长沙子系统) | 三级 | 52 |
| 省新建政府采购系统 | \ | 13 |
| 2025-2028年其他新上线系统 | \ | \ |
按照国家相关标准执行
三、技术规格:乙方为甲方上述系统提供全面的安全服务,服务内容包括安全测评、指导安全加固、安全巡检、安全监测、应急响应及安全事件风险排查、日志审计、代码安全审计、重要时期驻场服务、应急演练、安全培训、数据安全咨询服务。
安全服务具体内容描述:
| 序号 | 服务内容 | 服务简述 | 服务频率 | 备注 |
| 1 | 安全测评服务(风险评估) | 针对甲方服务范围内的信息系统涉及到的主要资产的重要程度分别提供安全测评服务,了解客观真实的自身网络系统安全现状,及了解当前信息系统面临的安全风险,并提供风险规避建议。主要内容:漏洞扫描、渗透测试、主机核查、病毒木马检测、应用安全等。测评完毕后向甲方出具测评报告。 | 1次/年 | 2025-2028年若有信息系统上线,则此项适用 |
| 2 | 指导安全加固服务 | 根据安全测评和巡检的结果,指导系统开发商定期对服务器、应用进行安全基线加固,对高危风险漏洞实时修补,对关键业务系统安全策略进行优化。 适用于所有系统。 | 全年 | 服务要求: 应急响应要求1小时内到达现场。 |
| 3 | 安全巡检服务 | 对甲方的信息系统、计算机终端的安全运行情况进行定期化的安全巡检。主要包括复查安全整改加固情况、查找发现新的系统漏洞(漏洞扫描与渗透测试相结合)、配置核查、对病毒木马查杀等;并协助甲方保障大楼计算机终端安全,对上级部门通报的终端安全问题进行排查处置。巡检完毕后向甲方出具巡检报告。 适用于所有系统。 | 4次/年 | |
| 4 | 安全监测服务 | 对信息系统的可用性提供7×24小时安全监测服务,如发现不可用,向甲方提供告警。 适用于所有系统。 | 全年 | |
| 5 | 应急响应及安全事件风险排查服务 | 1、发生安全应急事件后,第一时间到达现场,利用操作系统、数据库、web程序、相关重要文件、日志等对服务器中的入侵痕迹进行排查分析,对安全事件问题定位、追踪溯源、紧急整改,控制事件的影响范围。采用本地安全应急响应和远程安全应急响应方式相结合。出具应急响应报告。 2、发生系统应急事件后,对系统各使用主体因系统功能、性能、网络等方面引起的质疑、投诉,对事件进行调查分析取证,从第三方公立角度对事件进行见证。出具应急响应报告。 适用于所有系统。 | 全年 | |
| 6 | 日志季度安全审计服务 | 每月或每季度对照甲方信息系统运维工单,调取堡垒机视频日志进行人工审计服务。主要审计运维操作合规性,是否存在泄密操作、非法操作等,以及系统相关日志完整性、安全性等。出具日志审计报告。 适用于所有系统。 | 4次/年 | |
| 7 | 代码安全审计服务 | 针对甲方现有或新上线的信息系统重要功能模块进行代码安全审计,协同系统厂商进行整改,出具代码审计报告。 适用于所有系统。 | 1次/年 | |
| 8 | 重要时期驻场服务 | 针对网络安全主管部门(长沙市委网信办、长沙市公安局等)每年度开展的应急演练、攻防演习或其他特殊重要活动,提供驻场安全保障服务,配合甲方开展应急演练工作。 | 全年 | |
| 9 | 应急演练 | 根据省市委网信部门、省市公安部门要求,配合甲方作为防守单位参与网信部门和公安部门举办的应急演练和攻防演习活动。 若该年度未举办应急演练,则该项不适用。 | 全年 | |
| 10 | 安全培训 | 针对甲方的网络安全现状,结合当前安全形势对甲方进行安全宣传、知识培训、技能培训等。 | 1次/年 | |
| 11 | 数据安全 咨询服务 | 1、为甲方落实数据安全法规和管理要求提供咨询服务,包括制度完善、改进建议等。 2、为甲方提供数据安全应急响应技术支撑。 3、协助甲方完成其他与数据安全有关的事项。 | 全年 |
交付时间:本合同服务期为三年(****-****),合同签订之日以最后一方签章之日为准,合同一签三年。
交付地点:采购人指定地点
五、服务标准:服务承诺
1.在服务过程中,回答甲方提出的疑难和咨询。
2.严格按照约定的时间进行安全测评、指导安全加固、安全巡检、安全监测、应急响应及安全事件风险排查、日志审计、代码安全审计、重要时期驻场服务、应急演练、安全培训、数据安全咨询服务。
3.对于服务范围内信息系统出现问题的,在接到甲方通知后,乙方应在1小时内到达现场,并在24小时内尽量予以解决。
4.除因甲方系统所使用的硬件、软件或操作错误所造成的应用故障外,在系统出现问题之日起3个工作日之内,出具事件分析报告书。
5.乙方需指定专人负责合同约定事项,如有变更,应及时通知甲方。
服务要求
1.对2025-2028年新上线系统开展一次安全测评,出具测评报告。
2.每季度对系统进行季度巡检和日志审计,出具巡检和审计报告。季度巡检和日志审计的时间大致为2026年1月、2026年4月、2026年7月、2026年10月,2027年1月、2027年4月、2027年7月、2027年10月,2028年1月、2028年4月、2028年7月、2028年10月,总计十二次。
3.日志审计应对照运维工单查看堡垒机运维日志,审查上机操作的合规性,是否存在泄密操作、敏感操作、非法操作等;检查日志记录的完整性、安全性,是否覆盖全面且达到6个月以上,是否存在安全入侵事件等。
4.代码安全审计应依据国内或国际的信息安全标准,针对甲方信息系统重要功能模块开展审计工作,不限系统。
5.在合同约定的时间内每年配合上级部门开展应急演练和一次安全培训。
六、验收标准:验收要求
1.项目验收国家有强制性规定的,按国家规定执行,验收报告作为申请付款的凭证之一。
2.验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为成交人原因造成的,由成交人承担检测费用;否则,由采购人承担。
3.项目验收不合格,由成交人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由成交人承担。连续两次项目验收不合格的,采购人可提前终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由成交供应商承担。
4.验收方式:本项目按照《关于加强长沙市****
七、其他要求:一、 双方的权利和义务
1.甲方的权利:
(1)服务过程中,甲方有权对乙方的服务过程进行监督、检查、询问、质疑。
(2)服务过程中,甲方有权利拒绝乙方提出的可能造成该系统业务持续性、机密性、完整性、可用性受到重大损失的要求。
2.甲方的义务:
(1)在服务过程中,甲方应协助并向乙方提供服务过程中所需的文档。
(2)在服务过程中,甲方应依据服务计划时间安排,按时配合乙方的评估工作。
(3)在服务过程中,甲方协助乙方进行服务计划内的一切常规活动。
3.乙方的权利
服务过程中乙方有权拒绝甲方提出的可能造成该系统业务持续性、机密性、完整性、可用性受到重大损失的要求。
4.乙方的义务
(1)乙方有义务对甲方的所有资料采取保密措施。
(2)依据服务承诺履行其应尽的义务;
(3)接受甲方的监督、询问、检查、质疑,并及时进行反馈和答疑。
二、 保密协定
1.双方有义务为对方提交的任何文档资料包括检测评估数据与结果等保密,乙方相关人员有义务对甲方服务器的有关资料和密码保密,双方必须严格遵守《中华人民共和国保密法》相关事宜执行,以确保相关技术及业务文档不被泄露。
2.双方同意签订保密协议以保障上述保密条款所规定义务的有效履行,根据甲方要求签订《保密协议》和《保密承诺书》,确保甲方业务信息和技术信息安全保密。
三、 违约责任
1.如在合同期内服务范围内信息系统出现双方能力之外的安全问题,乙方应出具权威的问题分析报告,并有责任协助甲方组织有关专家解决该问题。
2.合同期内,乙方按照合同中的要求提供相应服务,不得影响甲方的系统和业务正常运行。
四、 付款方式
合同签订日期起10个工作日内,由乙方向甲方出具合同全额增值税普通发票后10个工作日内,甲方向乙方支付合同金额的30%,2026年度服务结束后10个工作日内,甲方向乙方支付合同金额的30%,2027年度服务结束后10个工作日内,甲方向乙方支付合同金额的30%,2028年度服务结束后10个工作日内,甲方向乙方支付合同金额的10%。
采购需求仅供参考,相关内容以采购文件为准。
