湖南/长沙-2026-07-15 00:00:00
长沙市就业与社保数据服务中心:*********年度信息安全服务项目采购需求公开
一、采购项目名称
长沙市人力资源和社会保障局****—****年度信息安全服务项目
二、项目基本情况
目前,长沙市人力资源和社会保障局信息化建设已取得了显著效果。随着国家安全监管力度的不断强化,以及**等新型应用和技术的持续涌现与广泛应用,网络信息安全工作面临着前所未有的更高要求。鉴于当前从事网络信息安全工作人员少,技术力量薄弱的现状,为了有效应对这些挑战,确保网络信息安全工作的顺利推进与巩固,亟需通过购买第三方专业安全服务的方式,增强和提升网络信息安全保障能力。
三、采购服务内容及单项预算
| 序号 | 采购服务内容(两年) | 预算单价(元) |
| * | 安全风险评估服务 | ****** |
| * | 信息安全咨询服务 | ***** |
| * | 网站云防护服务 | ***** |
| * | 驻场技术支持服务 | ****** |
| * | 安全通告与漏洞管理服务 | ***** |
| * | 应急响应服务 | ***** |
| * | 安全培训服务 | ***** |
| * | 安全审计服务 | ***** |
| * | 网络与信息安全检查支撑服务 | ***** |
| ** | 特殊时期网络安全保障服务 | ***** |
| ** | 代码安全审计服务 | ****** |
| ** | ***接口安全支撑服务 | ***** |
| 合计 | ****** | |
二、相关标准:
按照国家及行业相关标准。
三、技术规格:
四、采购服务内容
*.*安全风险评估服务
*.*.*信息系统风险评估服务
为保证采购人信息系统安全,投标人应在合同期内每年提供一次全面针对采购人现有信息系统的安全风险评估服务,并出具风险评估报告及整改加固建议,指导并跟进风险问题整改,及时完成整改后的复测。评估范围为人社局现有的所有业务系统及相关的信息资产,包括但不限于星城*就业“一体化信息平台、长沙市机关事业单位人事综合信息平台、长株潭城市群人社服务一体化系统、长沙市“智慧人社”项目(一期)、长沙市人力资源和社会保障局数据分析平台等系统。评估内容具体包括:
漏洞扫描:通过工具对网络系统内的操作系统、数据库和网站程序进行自动化扫描,发现各种可能遭到黑客利用的各种隐患,包括:端口扫描,漏洞扫描,密码破解,攻击测试等。
操作系统核查:核查操作系统补丁安装、进程、端口、服务、用户、策略、权限、审计、恶意程序等内容,对用户当前采取的风险控制措施和管理手段的效果进行评估,在针对性、有效性、集成特性、标准特性、可管理特性、可规划特性等六个方面进行评估。
数据库核查:主要是对数据库管理系统的权限、口令、数据备份与恢复等方面进行核查。
网络及安全设备核查:网络及安全设备核查主要是针对网络及安全设备的安全配置、访问控制策略等进行检查。
渗透测试:模拟黑客的各种攻击手段,对评估过程中发现的漏洞安全隐患进行攻击测试,评估其危害程度,主要有:弱口令、本地权限提升、远程溢出、数据库查询等。
合同期内在有重大安全漏洞或隐患出现时,投标人应及时采取有针对性的渗透测试。
*.*.*重要数据安全风险评估服务
《中华人民共和国数据安全法》要求“重要数据的处理者应当按照规定对其数据处理活动定期开展风险评估,并向有关主管部门报送风险评估报告。风险评估报告应当包括处理的重要数据的种类、数量,开展数据处理活动的情况,面临的数据安全风险及其应对措施等内容。
为确保人社系统重要数据的安全性与合规性,投标人应在合同期内每年提供一次针对重要数据的安全风险评估服务。此服务旨在系统性地识别、分析重要数据在存储、传输、处理等各环节中的潜在风险,并出具详尽的风险评估报告及整改加固建议,指导并跟进风险问题整改。
*.*信息安全咨询服务
需投标人提供专业信息安全咨询服务,协助完善人社局本地及云上信息系统安全保障能力,确保信息系统建设与安全建设同步进行。主要服务内容包括及时提供信息安全技术问题咨询应答,协助完善现有安全管理体系等。目前人社局已建立了一套包括安全管理机构、安全管理制度、人员安全管理、系统建设管理和系统运维管理等的管理体系。需要投标人结合人力资源社会保障行业网络和数据安全防护建设要求,以及长沙市人力资源和社会保障局现有系统上云后安全管理工作内容、流程变化,提供相应的修订建议,促进安全管理体系的执行。根据实际需要对安全管理制度的合理性和适用性进行论证和审定,对存在不足或需要改进的管理制度进行修订,对实际工作中需要新增的安全管理制度及时协助进行新增。
*.*网站云防护服务
政府网站是落实政府机构“政务公开”和“服务社会”两大主题的重要窗口渠道。因需要被公众访问而暴露于互联网上,容易成为黑客的攻击目标。投标人应对这类对外服务系统提供重点安全保障服务,避免因黑客和不法分子对网站进行攻击,而产生的负面影响。包括给长沙市*****公共服务平台、长株潭一体化等人社局网站提供云防护,同时给所有对外服务系统定期进行渗透测试服务。在尽可能不影响业务正常开展情况下,渗透测试周期每季度至少一次,在非常时期则需视情况增加频次。
*.*驻场技术支持服务
根据实际工作需求,需要投标人安排*名专职安全工程师在人社局驻场安全运维。主要工作内容包括本项目各项服务现场的信息收集、沟通、协调、跟进处置等工作;协助提供对市网信办、公安、省厅等各单位通报的安全隐患问题进行排查分析,迅速定位问题,给出安全整改建议,协调和跟进整改,及时按要求出具排查处置材料;协助对日常安全漏洞预警信息进行排查跟进,形成漏洞跟踪处理记录;根据相关部门发布的安全威胁情报在安全设备上禁用相关**地址和域名,及时阻断相关威胁;对网络安全设备进行日常的管理和巡检;服从特殊时期远程或现场值班值守安排;及时完成采购人交办的本项目其他日常安全服务技术支持工作等。采购韧有权要求更换驻场工程师,中标人需在**个工作日内完成人员更换和工作交接。
*.*安全通告与漏洞管理服务
为及时掌握互联网或厂商新公布安全漏洞和其他安全风险讯息,保护信息资产免受新的安全风险威胁,需要投标人提供安全通告和漏洞管理服务。具体服务要求包括及时掌握收集信息资产相关安全漏洞信息、病毒信息、厂商安全通告及其他安全通告,及时预警,并进行分析和核查;对存在安全漏洞或安全风险的信息资产提供修复建议,协助系统运维人员进行修复,修复完成后进行验证,确保成功修复。
*.*应急响应服务
应急响应是信息安全保障的最后一道防线,需要投标人提供****小时应急响应服务,协助进行信息安全应急工作,主要包括安全事件分析、设备日志分析、系统日志分析、攻击溯源、出具事件分析材料等工作。
*.*.*事件响应范围
安全事件是指在人社局网络及业务系统中出现影响业务正常运行的任何异常事件,以及应急恢复,病毒库升级,产品升级等可能存在风险的事件。例如:破坏系统的完整性、系统资源拒绝服务、通过渗透或者入侵的方式来对系统进行非法访问,系统资源的滥用以及任何可能对系统造成损害的行为等。
| 事件类型 | 特性 | 等级 | 说明 | 响应方式 |
| 紧急事件 | *.由攻击行为直接引起的相关事件,正在危害,或者即将危害到目标系统的业务持续性。 *.非攻击行为造成,但是影响到目标系统业务持续性的事件。 | 高危险 | 通过系统监控,安全产品日志发现了,长时间规律的攻击行为,同时这种攻击开始影响到目标系统业务持续性。 | 本地应急技术人员现场处理为主,后台技术人员远程协助为辅 |
| 中等危险 | 通过系统监控,安全产品日志发现了,长时间规律的攻击行为,但是这种攻击没有影响到目标系统业务持续性。 | 本地应急技术人员现场处理 | ||
| 低危险 | 通过系统监控,安全产品日志发现了无规律攻击行为,但是这种攻击没有影响到目标系统业务持续性。 | 本地应急技术人员现场处理为主,本地电话技术支持为辅 | ||
| 一般事件 | 由非攻击行为直接引起的其他事件,而且这种事件没有直接影响到当前业务的持续性。 例如一般性安全咨询,产品升级,病毒库升级等等。 | 无 | 本地技术人员电话支持为主(电话,邮件,传真等) | |
*.*.*应急响应原则
*.*.*.*实时原则
配备****的人员值班机制,保证接受客户在任意时间提出的服务请求。本地应急响应人员在接到客户的事件请求以后,保证在**分钟之内给予响应。
*.*.*.*规范性原则
对于每一次事件的发生都有规范的事件记录,记录事件处理的全部过程。
*.*.*.*最小性原则
事件处理过程中,将事件对整个系统的影响降低到最小,强化处理前的分析与备份工作。
*.*.*.*保密性原则
对于所有事件的处理内容、时间、地点,严格遵从保密原则,不向任何的第三方透漏。
*.*.*应急保障要求
*.人员保障
支持人员需拥有三年及以上的安全行业从业经验,有较丰富的安全事件处理经验;
*.通讯保障
在应急服务周期内保持****小时通讯畅通;
*.技术保障
配备成熟的应急响应处理措施,包括拒绝服务攻击处理措施、非授权访问攻击处理措施、恶意代码攻击处理措施、不当应用处理措施等。
*.*.*应急响应服务目标
应急响应服务是为解决应对突发事件技术储备和技术力量不足的情况下通过实施应急响应服务能够达到如下安全目标:
*.迅速确定事件原因
*.遏制事态发展
*.快速恢复系统运行
*.固定证据,锁定攻击源
*.缩小事件影响
*.网络舆情安全服务。日常密切关注与人社相关的网络舆情事件,协助联络省市两级相关舆情部门,协助应对处理网络舆情事件。
*.*安全培训服务
为提升从业人员的专业技能,服务商需要提供专业培训,每年至少组织一次,包括安全意识培训、安全技术交流培训等,主要培训内容包括如下几个方面:
安全意识培训:针对全局干部职工在网络与信息安全意识方面存在的薄弱环节,每年至少开展一次以讲座为主要形式的安全意识培训。
安全技术培训:针对采购人安全技术人员,每年至少组织开展一次关于网络安全、数据安全、应用安全等方面的安全技术交流或培训,学习了解最新安全技术知识。
*.*安全审计服务
需要投标人提供日常安全审计服务,具体服务内容包括提供堡垒机操作日志审计分析,及时发现异常操作行为(比如异常登录、非工作时间操作、不符合安全管理要求的操作等)和其他可能存在的安全隐患问题,对安全设备日志进行审计分析,并按周或按月出具审计记录(按实际要求周期出具),结合具体情况,给出优化安全运维管理、安全策略等方面的安全建议,及时汇报和跟进审计发现问题的处置情况,并协助完善相应的安全管理制度。
*.*网络与信息安全检查支撑服务
为解决在配合各级部门相关要求而开展的人社系统网络安全自查、安全检查等工作时人手不够及技术限制,以及协助解决各区县业务经办部门普遍存在技术人员少、人员安全意识薄弱,网络安全责任落实不到位等问题,需要投标人提供安全检查支撑服务。包括协助完成上级部门要求开展的自查工作,及时按要求出具反馈的自查材料;每年对各区县业务经办部门提供安全检查支撑服务一次,包括安全检查人员支撑,针对存在安全问题提供安全整改建议,出具安全检查报告;对照人力资源社会保障行业网络和数据安全防护要求,制作安全检查表单,提供对新建设信息系统安全防护措施落实情况检查,在系统设计、开发、部署实施、运行维护等周期节点完成时开展对应检查,出具检查记录,并跟进未落实到位项的整改情况。
*.**特殊时期网络安全保障服务
在国家重要会议、重大活动的举办期间,以及重大节假日等敏感时期,境内外敌对势力的破坏活动以及黑客攻击会更加猖獗,网络安全的压力呈指数级上升,各级的压力无形中增大,一旦发生安全事件,所带来的影响是不可估量的。为保障在重大活动期间的网络与信息安全,需要投标人提供特殊时期安全保障服务。主要是针对特殊时期、重大节假日、上级相关部门组织的应急演练、攻防演习等时段,提供安全保障服务,包括制定安全保障方案,扩大技术支持纵深,必要时增加现场值守人员。
*.**代码安全审计服务
为降低人社系统源代码出现的安全漏洞,构建安全的代码,提高源代码的可靠性,提高应用系统自身安全防护能力,需要投标人提供源代码安全审计服务,项目期间内需对采购人指定的星城*就业“一体化信息平台、长沙市机关事业单位人事综合信息平台、长株潭城市群人社服务一体化系统、长沙市“智慧人社”项目(一期)等*个平台开展一次全面的源代码安全审计,对重要信息系统更新升级和信息系统重大功能升级的对应更新部分进行代码安全审计。具体服务内容包括依据国内或国际的信息安全标准,查找出代码中的安全问题,出具代码审计报告和安全整改建议,协助系统开发商进行整改,并在整改后及时对存在问题进行再次审计,直至整改到位。
*.** ***接口安全支撑服务
***接口作为连接不同系统和服务的核心桥梁,其重要性不言而喻。然而,随着***数量的激增和应用场景的不断扩展,***接口的安全性问题日益凸显。一旦***接口被攻击或滥用,可能导致数据泄露、服务中断甚至更严重的业务损失。因此需要服务商提供***接口安全支撑服务,协助在接口服务器清理工作中提供安全技术支撑,包括对需保留的接口服务器及接口进行安全测试,需关停的接口提供安全建议等;如开展**建设,还需提供**安全测试和接入**的***安全测试,每年出具一份相应的***接口安全测试报告,协助指导进行安全隐患问题整改,并进行整改后的复测。
五、项目管理及考核
*.*项目团队管理
中标人需在合同签订后,成立一支包括项目经理和驻场人员在内的、不少于*人的服务团队,该服务团队负责完成好项目内的相关内容,以及做好中标人和采购人之间的相关沟通管理工作。
*.*项目安全及保密要求
中标人和中标人驻场人员需与采购方签订安全保密协议。中标人需明确指定一名公司高管作为本项目的网络信息安全负责人,在本项目期间内牵头负责项目相关的网络信息安全事宜,防范网络信息安全风险,落实好网络信息安全义务。
*.*项目考核与评价
采购人对项目服务质量进行考核评价,项目服务期满一年进行一次阶段考核,将考核评分作为阶段付款系数,项目服务期满后按两次考核评分后的系数和取平均值作为最后一次的付款系数。
付款系数计算方式:
| 服务质量考核得分 | 付款系数 |
| **分以上(含**分) | * |
| *****分(含**分) | *.** |
| *****分(含**分) | *.* |
| *****分(含**分) | *.* |
| **分以下(含**分) | * |
*.*.*考核评分标准
考核满分为***分计算,考核评分参照附件《服务考核评分参照表》进行。
四、交付时间和地点:
*、服务时间及地点
*.*服务期限:合同履行期两年。
*.*服务地点:长沙市人力资源和社会保障局。
*.*服务方式:中标人按采购人要求进行服务,完成所有工作。
五、服务标准:
详见技术规格
六、验收标准:
*、项目验收按关于加强长沙市政府采购履约验收工作的通知(长财采购【****】)*号文验收。由采购人自行组织,专家评审费用由中标人支付。采用一次性验收的方式,项目全部完成后验收。
*、验收过程中产生纠纷的,由质量技术监督部门认定的检测机构检测,如为中标人原因造成的,由中标人承担检测费用;否则,由采购人承担;
*、项目验收不合格,由中标人返工直至合格,有关返工、再行验收,以及给采购人造成的损失等费用由中标人承担。连续两次项目验收不合格的,采购人可终止合同,另行按规定选择其他供应商采购,由此带来的一切损失由中标人承担。
七、其他要求:
七、项目其他要求及说明
*、服务时间及地点
*.*服务期限:合同履行期两年。
*.*服务地点:长沙市人力资源和社会保障局。
*.*服务方式:中标人按采购人要求进行服务,完成所有工作。
*、结算方法
*.*付款人:长沙市就业与社保数据服务中心(国库集中支付)
*.*付款方式:合同签订后,凭中标人发票,支付合同总金额的**%,服务期满一年,凭中标人发票,按合同总金额的**%*服务考核付款系数进行支付,服务期满两年且验收合格后,凭中标人发票,按合同总金额的**%*服务考核付款系数进行支付,如根据项目考核而扣减的合同金额不再支付。(注:服务期内,如遇政策调整等情形导致本项目需提前终止的,双方可协商提前解除合同,服务费用按实际发生情况结算。按服务期限计费的,不足一个月按一个月计算;按工作量完成情况计费的,已完成部分且合格的予以全额支付,未启动工作部分不予支付,部分完成的,由双方根据实际完成情况协商确定支付金额。除上述情形外,其他未尽事宜由双方另行协商解决。)
*、本项目采用费用包干方式建设,投标人应根据项目要求和现场情况,详细列明项目所需的设备及材料购置,以及服务项目相关运输保险保管、项目安装调试、试运行测试通过验收、培训、质保期免费保修维护等所有人工、管理、财务等所用费用,如一旦中标,在项目实施中出现任何遗漏,均由中标人免费提供,采购人不再支付任何费用。
*、投标人在投标前,可自行踏勘现场,有关费用自理,踏勘期间发生的意外自负。
★*、根据 长财采购〔****〕** 号 关于推动解决政府采购异常低价问题的通知。中标人在与采购人签订合同时,应按照《风险防控措施》中触发的风险级别相对应的条款(履约保证金、付款条件、履约验收要求、违约责任)内容签订。
对于上述项目要求,投标人应在投标文件中进行响应,作出承诺及说明。
| 风险 级别 | 报价 合理性 | 风险防控措施 | ||||
| 履约保证金 | 付款条件 | 履约验收要求 | 违约责任 | 其他约定 | ||
| 低 | 合理, 接受其 报价 | 不收取 | 按照招标文件中的付款方式支付 | 根据采购文件、投标响应文件、采购合同里的内容,按照长沙市政府采购履约验收规定的程序对乙方提供的所有服务进行验收。 | *.签订合同后,乙方无法提供合同里要求的相关服务,在甲方正式文件通知乙方**个工作日后,乙方仍然无法按时提供相关服务的,甲方有权终止合同并扣缴履约保证金。乙方还须赔偿甲方相关的所有损失。如因乙方原因解除合同造成甲方工作衔接出现问题,存在空档期及重新招标的,空档期产生的费用由乙方承担,重新招标的成本由乙方承担。 *.签订合同后,如阶段性考核分数在**分及以下,甲方有权终止合同。并不支付后续合同费用。 | 报价合理 |
| 较低 | 合理, 接受其 报价 | 不收取 | 按照招标文件中的付款方式支付 | 根据采购文件、投标响应文件、采购合同里的内容,按照长沙市政府采购履约验收规定的程序对乙方提供的所有服务进行验收。 | *.签订合同后,乙方无法提供合同里要求的相关服务,在甲方正式文件通知乙方**个工作日后,乙方仍然无法按时提供相关服务的,甲方有权终止合同并扣缴履约保证金。乙方还须赔偿甲方相关的所有损失。如因乙方原因解除合同造成甲方工作衔接出现问题,存在空档期及重新招标的,空档期产生的费用由乙方承担,重新招标的成本由乙方承担。 *.签订合同后,如阶段性考核分数在**分及以下,甲方有权终止合同。并不支付后续合同费用。 | 报价低于行业均价的**% |
| 一般 | 较合 理,接 受其报 价 | 不收取 | 按照招标文件中的付款方式支付 | 根据采购文件、投标响应文件、采购合同里的内容,按照长沙市政府采购履约验收规定的程序对乙方提供的所有服务进行验收。 | *.签订合同后,乙方无法提供合同里要求的相关服务,在甲方正式文件通知乙方**个工作日后,乙方仍然无法按时提供相关服务的,甲方有权终止合同并扣缴履约保证金。乙方还须赔偿甲方相关的所有损失。如因乙方原因解除合同造成甲方工作衔接出现问题,存在空档期及重新招标的,空档期产生的费用由乙方承担,重新招标的成本由乙方承担。 *.签订合同后,如阶段性考核分数在**分及以下,甲方有权终止合同。并不支付后续合同费用。 | 报价低于行业均价的**% |
| 较大 | 较合 理,接 受其报 价 | 收取合同金额的的*%,提交对等金额的保函或保险 | 按照招标文件中的付款方式支付 | 根据采购文件、投标响应文件、采购合同里的内容,按照长沙市政府采购履约验收规定的程序对乙方提供的所有服务进行验收。 | *.签订合同后,乙方无法提供合同里要求的相关服务,在甲方正式文件通知乙方**个工作日后,乙方仍然无法按时提供相关服务的,甲方有权终止合同并扣缴履约保证金。乙方还须赔偿甲方相关的所有损失。如因乙方原因解除合同造成甲方工作衔接出现问题,存在空档期及重新招标的,空档期产生的费用由乙方承担,重新招标的成本由乙方承担。 *.签订合同后,如阶段性考核分数在**分及以下,甲方有权终止合同。并不支付后续合同费用。 | 报价低于行业均价的**% |
| 大 | 有一定合理性,接 受其报 价 | 收取合同金额的**%,提交对等金额的保函或保险 | 按照招标文件中的付款方式支付 | 根据采购文件、投标响应文件、采购合同里的内容,按照长沙市政府采购履约验收规定的程序对乙方提供的所有服务进行验收。 | *.签订合同后,乙方无法提供合同里要求的相关服务,在甲方正式文件通知乙方**个工作日后,乙方仍然无法按时提供相关服务的,甲方有权终止合同并扣缴履约保证金。乙方还须赔偿甲方相关的所有损失。如因乙方原因解除合同造成甲方工作衔接出现问题,存在空档期及重新招标的,空档期产生的费用由乙方承担,重新招标的成本由乙方承担。 *.签订合同后,如阶段性考核分数在**分及以下,甲方有权终止合同。并不支付后续合同费用。 | 报价触发**%低价审查线 |
采购需求仅供参考,相关内容以采购文件为准。



