采购人 | ******有限公司 |
项目名称 | 2025年度信息安全驻场人天及威胁情报服务采购需求(第三方) |
供货地点 | 北京市顺义区 |
供货内容 | 信息安全驻场人天及威胁情报服务采购需求(第三方) |
供应商资格条件 | 1. 供应商必须是中华人民共和国境内正式注册的并具有有效的独立法人资格; 2. 供应商需为增值税一般纳税人,可开具增值税专用发票; 3. 供应商应该保证所提供材料的真实合法性,采购人保留对相关材料进一步核查的权利。对于供应商弄虚作假的行为,供应商承担相应后果(提供书面承诺); 4. ******办公室审查存在网络安全问题隐患的配件及产品,投标人需配合采购方进行网络安全审查并通过网络安全审查后才能签署采购合同,若供应商未通过审查,终止与该家供应商本标包采购的合作(提供书面承诺); 5. 供应商不得被列入经营异常名录或严重违法失信企业名单。需提供从“国家企业信用信息公示系统”网站(******)截图“行政处罚信息”、“列入经营异常名录信息”、“列入严重违法失信名单(黑名单)信息”三方面截图证明并加盖公章; 6. 供应商不得被列入失信被执行人或企业经营异常名录。需提供从“信用中国”网站(******/)截图“严重失信主体名单”证明并加盖公章; 7. 单位负责人为同一人或者存在控股、管理关系的不同单位,不得参加同一标包的投标; 8. 供应商必须自行组织完成服务,不得转包或分包; 9. 本项目不接受联合体投标; 10. 供应商需为第十届CNCERT网络安全应急服务支撑甲级单位,须提供相关证明; 11. 供应商须具有2022年1月1日至今至少3个合同金额≥100万的服务保障项目案例(服务内容涉及重大保障或攻防演练),供应商须提供案例合同首页及双方签字盖章页、金额页、服务内容页并加盖投标人公章。
|
技术需求 | 交货期:合同签订后一年; 交货地点:北京市顺义区后沙峪镇中航信高科技产业园; 详见附件1; |
发票种类及内容 | 增值税专用发票; |
履约保证金 | 无 |
付款条件 | 双方按月对实际技术支持费用进行记录,自签订合同起,乙方在次月开具按自然月统计的上月账单,甲方确认实际发生的人天数量,经双方核实确认后签字并记录;每6个自然月为一个付款周期,甲方在双方完成该6个月账单的核实确认签字并收到相应金额增值税专用发票后的30天内,向乙方支付该6个月期间账单实际发生费用。人天全部使用完毕但不足6个自然月付款周期的,在人天使用完毕当月末完成账单确认,核实并确认签字后的30天内,向乙方支付该期间账单实际发生费用。 |
评审方法 | 最低价法 |
竞价方式 及流程说明 | 腾讯视频进行远程线上竞价,会议地址报名截止后邮件通知。 (1)流程:我司对文件进行拆封报价; (2)腾讯会议竞价环节不再电话邀请,请准时参与; (3)未及时登录腾讯会议,后续可邮件对竞价环节进行咨询。 |
拦标价 | 无(超出拦标价格将做废标处理) |
述标/踏勘 | 无 |
响应文件要求 | 1. 正本1份,副本2份。 2. 采购公告的任何异议请通过邮件反馈质疑; 3. 供应商依据采购文件的规定提供报价单,如参数要求有偏离需备注说明,报价单每页需加盖公章。 4. 供应商提供的营业执照复印件和其它相关文件,每页均需加盖公章。 5. 响应文件应在密封处加盖公章,标注正本和副本,封皮应注明:项目名称、供应商名称、供应商地址、联系人及联系方式; |
报名方式 | 1. 参与本次采购活动的供应商请于2025年7月11日周五9:00前,将报名邮件发送至******抄送******(工作日9:00-17:00); 2. 报名邮件内容请写明:报名项目名称、供应商全称、联系人、电话、邮箱; 3. 没有报名的供应商不得递交响应文件; 4. 报名截止后会邮件通知竞价的具体地点; |
响应文件送达 时间和地点 | 1.邮寄送达时间:2025年7月21日周一14:00前 (送达时间/工作日9:00-17:00) 2.邮寄送达地址:北京市顺义区后沙峪镇中国航信高科技产业园区; 3.收件人:李先生/******;(任何质疑请通过邮件发送) 4.报名结束后再次通过邮件通知具体邮寄地址; 5.请发送顺丰快递,请勿闪送或亲自送达; 6.逾期送达或不符合规定的响应文件恕不接收; 7.竞价时间暂定2025年7月21日周一14:00,如遇变化邮件通知; |
本次采购活动联系人 | 1.******有限公司 2.地址:北京市顺义区后沙峪镇中国航信高科技产业园区; 3.联系人:李先生 ; 4.邮箱:******; |
附件1 技术需求
附件 技术需求描述(重保及攻防演练信息安全驻场服务)
1.需求列表
序号 | 维保对象名称 | 集采目录编码 | 数量及单位 | 服务 级别 | 维保起始 日期 | 维保结束 日期 | 备注 |
1 | 重保及攻防演练信息安全驻场服务 | 无 | 249人天 | 7*24 | 2025/6/18 | 2026/6/17 | 按照实际人天使用量据实结算 |
2.供应商资格要求(技术方面)
序号 | 类型 | 具体要求 (根据实际情况填写,没有要求的可填写“无”) |
1 | 签约商资格要求 | 见供应商资格条件 |
2 | 服务商资格要求 | 见供应商资格条件 |
3 | 历史成功案例要求 | 见供应商资格条件 |
4 | 业绩要求 | 见供应商资格条件 |
5 | 原厂或制造商授权函 | 无 |
6 | 服务承诺函 | 无 |
7 | 其它资格要求 | 无 |
3.驻场服务人员要求
序号 | 类型 | 具体要求 (根据实际情况填写,没有要求的可填写“无”) |
1 | 数量要求 | 提供不少于2名驻场值守人员。 |
2 | 学历要求 | 大学本科及以上,提供学历证书复印件。 |
3 | 证书要求 | 持有CISP、CISAW等网络安全相关认证证书。 |
4 | 工作经验 | 超过3年的信息安全行业从业经验,长期从事网络维护、信息安全等工作,有参加网络安全重点保障的经历。 能熟练掌握安全监控平台使用方法,对被攻击目标进行溯源以及行为分析、定位工作,丰富的安全评估、应急响应处置经验,有解决现场疑难问题经验。 熟悉各种web及Windows、Linux、数据库系统漏洞,掌握各种提权及安全加固方法;熟悉各种黑客入侵防御方法的经验。 |
5 | 社保要求 | 提供近2年在供应商公司缴纳社保的证明。 |
6 | 人天计算方式 | 人天计算按8小时为1人天,不受周末、夜班、法定节假日影响,工作内容由航信在合同约定范围内任意指定。除明确要求,服务期内所有工作内容在服务期内均按照1:1计算,1人工作8小时计算为1人天。 |
7 | 其他要求 | 无 |
4.服务具体要求
序号 | 类型 | 具体要求 (根据实际情况填写,没有要求的可填写“无”) |
1 | 服务总体方案要求 | 提供网络安全事件预警、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务。 |
2 | 服务范围要求 | 开展重保及攻防演练信息安全驻场服务。 |
3 | 服务具体内容要求 | 1、网络安全事件预警服务:通过资产探测工具对互联网的资产进行识别,针对业界爆发的网络安全高危漏洞、通用安全漏洞、航信网站或系统代码泄露(包括但不限于Github、Gitee、各种网盘等)、民航业数据泄露(含暗网交易市场、各种网盘)等开展安全事件预警服务,并在预警后24小时内提供相应问题的处置方法。 服务期内服务商应定期以邮件的形式发送安全事件通报给客户,每月不少于2次。针对影响较大的高危事件以电话或微信的方式告知客户。 安全预警通告内容包括且不限于各种网络安全漏洞、病毒及木马、代码泄露、数据泄露和重大网络安全事件等。 根据甲方需求提供漏洞详细分析报告,应当包含且不限于以下内容:(1)漏洞基本信息(漏洞名称、编号、威胁类型、描述、现实威胁状态等);(2)威胁评估;(3)影响范围;(4)修复缓解措施;(5)自查检测方案;(6)漏洞验证程序(EXP/POC/集成测试工具);(7)漏洞利用分析;(8)漏洞完整利用复现过程记录。 2、渗透测试服务:根据客户需求,在现场针对网站或系统开展渗透测试,根据客户需求进行培训讲解,并于当天生成渗透测试报告,详细列出所有使用过的攻击技术手段,并对实际攻击结果给出详细的列表,对一些无法在短时间内进行判断的潜在安全或一些可能存在的安全隐患将做详细的分析介绍。协助对漏洞进行分析、验证和复查,提供漏洞检测方法或工具。 3、安全加固服务:根据客户需求,指派资深专家到现场进行主机系统、网络设备以及WEB应用等系统开展安全加固服务,并于当天生成详细安全加固的方法和流程文档。 4、现场值守服务:根据客户需求,在客户现场部署网络攻击监测设备,进行7×24小时安全监控和分析研判,并于当天生成详细安全监控文档送呈主管领导或安全事件处理小组的签字和审批;根据客户需求,在客户现场开展渗透测试、应急响应、样本分析和追踪溯源,并于当天生成详细应急响应报告、样本分析报告和溯源取证报告,送呈主管领导或安全事件处理小组的签字和审批;根据客户需求,在客户现场开展攻防复盘、隐患整改,并于当天生成复盘报告和整改报告,送呈主管领导或安全事件处理小组的签字和审批。 5、应急响应服务:根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。如存在恶意文件,需要一周内完成样本分析,提交样本分析报告;根据客户需求,在现场对安全事件完成攻击取证和溯源分析,并于当天向甲方提供详细取证报告和溯源报告。 6.恶意文件处置服务:根据中航信需求,定制恶意文件专杀工具,1个专杀工具等同于5人天驻场服务。 7、安全架构咨询服务:负责中航信信息安全项目咨询、企业信息安全架构以及应急响应疑难解答工作,要求安服总监及以上人员资质。 8、沙盘推演服务:在实战攻防演习的基础上进行全面复盘,基于核心资产、核心业务进行推演,评估真实网络攻击可能对政企机构产生的实际影响,同时对攻防过程中应急响应的有效性进行全面评估。 9、红队评估服务:针对中航信资产开展全面红队评估,借鉴黑客攻击的手法和技巧,在可控的范围内对业务系统开展模拟测试,找出其存在的漏洞,并提供安全修复建议。内容包含红蓝对抗、钓鱼演练、勒索演练等。攻击队人天计算按照1:2进行,即1人工作8小时计算为2人天,对抗前期信息收集工作不计算人天。 |
4 | 服务支持方式要求 | 7*24小时现场值守。 |
5 | 服务响应时限要求 | 7*24小时响应。 |
6 | 故障处理要求 | 根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。 |
7 | 培训要求 | 提供不少于2人次的CISP-PTE与不少于100学时的web安全工程师培训和认证。通过培训,参训员工可以熟练掌握相关等技能,并能够在实际工作中进行应用。 |
8 | 服务交付物要求 | 《安全监控日报》、《安全事件分析报告》、《安全应急响应分析报告》、《安全加固处置报告》、《安全事件溯源分析报告》、《防守工作技战法》(技战法不少于5篇,不得全文使用AI生成)。 |
9 | 服务文档要求 | 包括网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演、红队评估和安全培训等在内全部服务支持项目,在进行服务同时,需要保留过程中用到的全部文档、工具和数据等资料,并根据甲方需求对有关疑难问题进行解答。 渗透测试和资产梳理:每日向甲方对接人汇报每日工作情况,包含: 1) 当日工作简报 2) 渗透测试报告 3) 复测报告 在项目结束时,提供项目整体报告,包含: 1) 整体资产收集量 2) 整体渗透测试成果 3) 整体漏洞复测结果 4) 整改建议 |
10 | 其他 | 提供原厂服务承诺函 |
5.服务验收标准(评价项、评价内容及扣分标准由需求部门根据实际情况设置)
合同编号 |
| 合同名称 | ||||
甲方名称
******有限公司
乙方名称
甲方验收部门
运行中心信息安全保障部
序号
评价项
(根据实际情况填写)
评价内容
(根据实际情况填写)
扣分标准(根据实际情况填写)
扣分(可填不涉及)
评价说明
1
服务人员
服务人员必须是原厂工程师。
非原厂工程师执行扣5分/次
2
服务总体方案要求
提供网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务
未按照约定方案提供服务时扣25分
3
服务范围要求
开展重保及攻防演练信息安全驻场服务。
低于约定范围时扣50分
4
服务具体内容要求
提供网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务
服务不规范扣10分/次
5
服务支持方式要求
7*24小时现场值守
未按要求开展现场值守扣10分/次
6
服务响应时限要求
7*24小时响应
响应时间超过15分钟扣15分/次
7
故障处理要求
根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。
应急响应溯源不到位扣50分/次
8
培训要求
提供不少于2人次的CISP-PTE与不少于100学时的web安全工程师培训和认证。
未按时提供培训和认证扣20分
9
服务交付物要求
《安全监控日报》
《安全事件分析报告》
《安全应急响应分析报告》
《安全加固处置报告》
《安全事件溯源分析报告》
《防守工作技战法》
未按照要求提供交付物,每缺少一项扣5分
10
服务文档要求
全部服务支持项目需要保留过程中用到的全部文档、工具和数据等资料,并根据甲方需求对有关疑难问题进行解答。
未按照要求提供服务文档,每缺少一项扣5分
11
其他
无
无
总分
100分
扣分合计
评分结果
1. 乙方服务应满足甲方供应商管理制度,甲方有权对乙方每次服务进行评分;
2. 服务验收评价满分为100分,采用扣分法。即,根据合同约定的付款周期内乙方服务完成情况,按照扣分标准扣除相应分数,最终剩余分数为乙方实际得分;
3. 扣分原因须在评价说明栏中进行说明;
4. 根据中国航信《运行中心生产采购供应商管理办法》要求,被记录黄牌、红牌及黑名单的服务工程师,需配合甲方管理规定进行限期整改、禁止提供服务等管理措施,最总解释权归甲方所有。
分数范围
扣除该付款周期内应付款金额比例
备注
>90
0%
>85且≤90
5%
>80且≤85
10%
>70且≤80
15%
>60且≤70
20%
≤60
100%
乙方需根据合同约定继续提供服务至服务期结束
6.其他要求
1、项目在签订合同后第2个自然日开始项目实施。
2、服务支持内容包括安全监控、应急响应、安全加固、追踪溯源和安全培训等全部服务支持项目在内,服务支持人天数原则上必须按照现场驻场值守人天数计算,1个工作人天按8小时计算,不受周六日和夜间工作影响,均按照8小时为1人天结算。
3、驻场值守人天数可以根据客户需求自由转换,不区分重保时期、普通时期。
4、本项目不许分包和转包,由采购人与成交供应商直接签订采购合同。
5、提供服务支持前,按照甲方要求,需提供驻场值守人员工作简历;工作简历不符合甲方需求,甲方有权要求更换服务支持人员。
6、厂商服务支持人员进入航信园区,需要遵循公司和运行中心防疫规定相关要求,具体以到访时公司和运行中心最新规定为准。
7.项目罚则(以下条款均为星号条款)
1、项目参与人员,包括安服总监、渗透测试人员、安全培训人员、应急响应人员和安全加固人员,需要安全服务支持厂商提供人员简历和相关资质证明。如果派驻现场人员不符合人员资质要求,按照发现次数扣减应支付安服总费用,发现一次扣减20%、发现两次扣减50%和发现三次扣减100%。
2、攻防演练期间,包括安全威胁分析、安全事件处置、事件溯源分析在内,如果由于乙方原因导致甲方未能有效完成网络安全事件分析处置工作,导致甲方系统被攻击且出现生产、运维数据泄露或系统被攻击者控制等安全问题,每项网络安全攻击事件扣减应支付安服总费用10%,直至扣减全部费用,具体细则参照附8.3信息技术安全事件认定流程。
3、总结阶段相关工作,包括网络安全保障总结和网络安全整改建议工作在内,如果由于乙方原因相关交付物无法按时提交,每项扣减应支付安服总费用10%,直至扣减全部费用。
4、网络安全重点保障期间,不发生国家标准的三级(含三级)以上的信息安全事件,杜绝出现信息安全事故和造成社会影响的信息安全事件,如果由于乙方原因,如未能达到上述目标,扣减全部应支付安服费用。
8.附:
8.1 双方工作职责划分
如果出现以下情况,明确为乙方原因:
1、重点保障开始后乙方未能监控到已发生的网络安全事件或者未能及时确认是否为成功的攻击事件并告警;
2、发生网络安全攻击事件后,乙方未能在1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案。
如果出现以下情况,明确为甲方原因:
1、乙方发现相应安全漏洞,甲方未能及时整改;
2、乙方针对安全漏洞处置提供合理的安全加固建议后,甲方未能及时按照要求加固;
3、乙方监控到已发生的网络安全攻击后,甲方未能及时处置;
4、乙方找到网络安全攻击事件根因,明确安全事件影响范围后,甲方未能及时处置。
8.2信息技术安全事件等级划分
1、特别重大事件(Ⅰ级)
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受特别严重的系统损失;
⑵产生特别重大的社会影响。
2、重大事件(Ⅱ级)
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;
⑵产生的重大的社会影响。
3、较大事件(Ⅲ级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;
⑵产生较大的社会影响。
4、一般事件(Ⅳ级)
一般事件是指不满足以上条件的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;
⑵产生一般的社会影响。
8.3信息技术安全事件认定流程
信息技术安全事件认定流程如下:
1、保障工作结束后,根据演习指挥部下发的攻击报告,甲方组织技术专家对网络安全攻防演练期间出现的安全事件进行复盘,筛选需要乙方确认的中高危网络安全事件;
2、甲方将复盘筛选出的安全事件以邮件和电话方式通知乙方进行复盘,乙方需要依据相关安全事件,逐个提交保障期间的安全设备告警日志、告警通知截图、事件处置报告、溯源分析报告等证明材料,并确认是否在保障期间有效完成了相关安全事件的安全威胁分析、安全事件处置、事件溯源分析等工作;
3、乙方需要在接到甲方通知后5个工作日内,以邮件和电话方式对甲方发出的事件复盘通知进行正式答复,如逾期未答复,视为未能有效完成相关工作;
4、甲方组织技术专家对乙方反馈结果进行最终评审认定。
合同文本模板
(使用运行中心法律组在中心内网OC最新发布版本)
******有限公司
(**项目名称)设备维护服务合同
******有限公司
通 讯 地 址:北京市顺义区后沙峪镇裕民大街7号 邮编:
社会统一信用代码:
法定代表人: 黄荣顺
联 系 人: 电 话: 邮箱:
乙方(卖方):
地 址:
社会统一信用代码:
法定代表人: 邮编:
联 系 人: 电话: 邮箱:
年 月
甲乙双方经过友好协商,甲方同意以本合同约定的金额和条款向乙方购买合同中约定的服务,乙方同意以本合同约定的条件向甲方提供设备维护服务,双方在协商一致的基础上,遵照《中华人民共和国民法典》等法律法规,签署如下合同:
一、定义
1、“维护服务合同”:包括甲乙双方签署的本合同及合同附件,以及在本合同基础上,双方通过书面形式签署的补充合同或补充协议,也称“服务合同”;
2、“维护服务”:指本合同项下乙方向甲方提供的服务,包括本合同第二条及合同附件中约定的所有乙方向甲方提供的服务工作内容;
3、“技术文档”:指乙方向甲方提供服务过程中,使用或产生的技术资料、项目文档,文档的形式可以是纸面文件,也可以为电子文档,技术文档包括一般文档和项目专用文档;
4、“服务现场”:指本合同中约定的服务实施地(远程服务下现场指接受服务的客户端),本合同项下服务现场依据合同的约定可以为多个;
5、“远程支持”:指乙方通过电话、E-MAIL、网络远程登录等方式为甲方提供的非现场服务;
6、“服务验收”:指甲方依据合同的约定对乙方提供的运维服务进行考核验收,也可以体现为用户方对服务响应及故障恢复等的满意度评价;
7、“服务金额”:指合同金额,即甲方依据合同的约定向乙方支付的维护服务的对价,也称“服务费”;
8、“服务期限”:指合同中约定的乙方提供维护服务的期限,在此期限内,甲方有权获得合同范围内的服务;
9、“知识产权”:合同中知识产权指在本项目执行中使用或产生的智力成果,包括第三方知识产权和自有知识产权。
10、“人天工作量”:项目工作量包括客户现场工作时间、非现场工作时间(包括合理的在途时间、远程支持时间、文档处理时间、项目管理时间等)。 一个工作人天为8小时,工作0-4小时按0.5天算,4-8小时按1天算。人天工作量的确定以乙方派工系统的记录为基础,经甲方核对确认后生效。
11、 “日”或“天”,除非在本合同中有特别说明(如“工作日”),系指日历天数。时限的截止时间为最后一天的当日24时。
二、服务内容及明细
1、维护服务系统配置:详见附件一《服务系统配置清单》;
2、维护服务期限:从 年 月 日至 年 月 日,如遇合同签署日延后,服务期顺延;
3、维护服务内容:详见合同附件二 《服务方案》。
三、维护服务金额
1、维护服务费金额:
(1)价税合计总额:人民币 元整(大写) ¥ (小写)
(2)税率: %增值税
(3)不含税金额:人民币 元整(大写) ¥ (小写)
(4)增值税税额:人民币 元整(大写) ¥ (小写)
2、合同服务期内,乙方向甲方提供约定的服务,其费用均包含在合同金额中,甲方不需另行支付费用;
3、合同服务期内,若甲方需要乙方提供合同约定范围外的相关服务或变更服务时,应当签署补充协议,由甲方需另行支付服务费用的,费用金额由甲乙双方根据增加或变更的服务内容的补充协议约定,乙方应给予适当的优惠;
四、付款方式
1、本合同分 次付款,详细如下:
(1)甲乙双方完成本合同签署后,甲方收到乙方交付的服务确认函和XX发票后 个工作日内,甲方向乙方支付合同总价的 %,金额为小写¥ ,大写:人民币 元整;
(2)维护服务期届满后,经甲方验收合格填写附件三《服务验收单》及收到乙方交付的XX发票后 个工作日内,甲方向乙方支付合同总价的 %,金额为小写¥ ,大写:人民币 元整。
2、发票:
发票种类为:□增值税专用发票; □普通发票
发票内容为:维护服务费(X%)
3、乙方账户信息
开户名称:
******银行:
账 号:
五、双方权利义务
(一)甲方权利义务
1、甲方有权要求乙方为附件清单中所列出的系统中的软硬件提供约定的运维服务;
2、甲方有权对乙方的服务内容和服务质量进行监督和考核,并根据考核的结果要求乙方改进;
3、甲方发现乙方服务人员不遵守甲方工作场所规章制度并拒绝改正,或乙方服务人员技能不能满足技术服务的需要时,经过与乙方核实后,有权要求乙方替换合格的服务人员;
4、在乙方依据合同的约定提供服务时,甲方应当给予必要的配合,包括但不限于服务现场准入、服务文档确认等;
5、服务系统内的软硬件系统运行环境应当符合相关软硬件说明书及其他技术文件要求的机房环境,该环境要求包括但不限于供电、温度、湿度等多方面的要求,对于因甲方机房环境不符而造成的故障或损坏,不在乙方服务范围之内;
6、甲方不自行调整或拆卸服务系统内的硬件,不自行更改系统软件设置,若确实需要进行改动,应及时通知乙方,并在管理档案中记录。如甲方需在系统中新装板卡、硬板等附属设备,则此附属物由甲方提供,如无另行书面约定,乙方对新增的设备系统故障无解决义务。
7、 甲方应保证系统中的软硬件在服务期开始时健康状态是良好的,如存在系统故障双方另行按单次服务计算费用;
8、经甲、乙双方检测确认,如所服务标的物不能正常运行或发生损坏是由于甲方工作人员未按照操作说明书要求引起,乙方可以进行维护,但因此产生的费用以及造成的损失由甲方另行承担;
9、对于设备系统厂商不公开的工具、代码(激活码)、程序,如在本合同约定的服务中需要使用,甲方应负责提供;
10、如在本合同约定的系统服务中,需使用产品参考手册,命令行手册,使用指南等厂商文件,乙方可配合提供电子文档。如需纸质文档,甲方负责提供;
11、甲方应当按照本合同的约定按时向乙方支付服务费。
12、若乙方在合同约定的合同服务期内未能完成服务工作,或未达到合同要求的,甲方有权拒绝支付剩余不合格部分的服务费用,并要求乙方返还已支付的该不合格部分的服务费用,并保留追究因此给甲方造成的各项损失的权利。
(二)乙方权利义务
1、乙方应当按照本合同及附件的约定向甲方提供合格的服务,保障甲方服务的设备系统稳定运行;
2、乙方保证所安排的技术人员具备合同约定服务所必须的技能,获得相关认证,工作态度认真负责,在项目执行中能与甲方正常沟通;
3、乙方定期对甲方设备系统进行预防性检查,并向甲方提供检测报告;
4、乙方对服务过程中的技术文档应妥善保存,对于服务过程中的重要事项如实记录,并经双方人员签字确认;
5、乙方到甲方指定的场所提供维护服务,乙方应当遵守甲方的相关管理规定。
6、乙方在服务中接受甲方的监督,与甲方通力合作,接纳甲方的合理建议,提高服务质量;
7、乙方在服务过程中发现非本合同服务范围内的软硬件问题导致系统故障,应及时向甲方汇报,在获得甲方的许可和费用确认后另行处理;
8、乙方在服务期届满前6个月开始,每2个月邮件提醒甲方剩余服务期时长,邮件发送至XX ,以使甲方获得连续的维护服务;
9、乙方有义务提供与合同约定的内容一致服务,乙方不按合同的约定操作、操作结果达不到合同约定的标准、操作人员不具备相应资质等行为均属于违约,在合同服务期内乙方应当尽快采取补救措施完成服务工作或者使服务内容达到合同要求,因此而增加的费用由乙方承担。
六、知识产权
1. 乙方保证在项目服务过程中不存在侵犯第三方专利权、商标权、著作权等知识产权的行为,在涉及到第三方知识产权使用时,乙方通过转让获得了所有权或者获得了所有权人或其他权利人的合法授权;
2. 在服务过程中接受技术资料的一方承认提供方对该资料的知识产权或第三方的知识产权,不得非法披露、侵占、损害提供方或第三方的知识产权;
3. 在服务过程中产生的新知识产权,归双方共有,任何一方均可依据本合同获得非独占的、永久的使用权,有权在此知识产权基础上进行二次开发;
4. 甲方因使用乙方提供的技术资料等遭受第三方侵犯知识产权指控时,应及时将受到指控的详细情况通知乙方。如果最终法定机构判定甲方败诉,提供方应当按照判定结果承担对第三方的赔偿责任。同时乙方应通过向权利方支付使用费或者以其他非侵权资料替换原先提供的资料等方式满足甲方的需求。甲方有权因此要求乙方承担违约金。
七、保密条款
1、甲乙双方应对本合同内容及服务过程中获知的对方商业秘密、专有技术等保密。除因履行法定的披露义务外,任何一方不得将上述保密信息透露给与项目执行无关的任何第三方;对于向法定机关的披露事宜,应及时通知对方;
2、甲乙双方人员应当对合同中涉及的相关事项保密,如设备涉密应当单独签订保密协议;
3、本合同所涉保密期限为合同签订之日起十年,保密义务不因合同有效期的终止而结束。
八、验收
1、 服务开始确认验收:服务开始确认函送达甲方后,甲方需对服务开始确认函中的服务是否与合同约定的内容一致进行验收,并在 5 个工作日内验收完毕,确认验收合格后甲方填写《中国航信服务验收单-服务开始确认验收》。
2、 服务期结束验收:服务期届满后 15 个工作日内,甲方需对乙方的服务是否与合同约定的内容一致进行服务期结束验收,并填写《中国航信服务验收单-服务期结束验收》。
3、 乙方应当在甲方提交《中国航信服务验收单-服务期结束验收》的 3 个工作日内做出书面回复,乙方未对甲方验收结果提出书面异议的,视为认可甲方验收结果。
4、 甲方超过 15 个工作日未对服务进行验收并签署《中国航信服务验收单》的视为验收合格,乙方满足甲方服务要求。
5、 对于《中国航信服务验收单》中甲方验收不合格部分,甲方有权拒绝支付剩余不合格部分的服务费用,并要求乙方返还已支付的该不合格部分的服务费用,并保留追究因此给甲方造成的各项损失的权利。
6、 服务验收评价(评价项、评价内容及扣分标准由需求部门根据实际情况设置)
序号 | 评价项 (根据实际情况填写) | 评价内容 (根据实际情况填写) | 扣分标准(根据实际情况填写) | 扣分(可填不涉及) | 评价说明 | ||
1 | 服务人员 | 服务人员必须是原厂工程师。 | 非原厂工程师执行扣5分/次 |
|
| ||
2 | 服务总体方案要求 | 提供网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务 | 未按照约定方案提供服务时扣25分 |
|
| ||
3 | 服务范围要求 | 开展重保及攻防演练信息安全驻场服务 | 低于约定范围时扣50分 |
|
| ||
4 | 服务具体内容要求 | 提供网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务 | 服务不规范扣10分/次 |
|
| ||
5 | 服务支持方式要求 | 7*24小时现场值守 | 未按要求开展现场值守扣10分/次 |
|
| ||
6 | 服务响应时限要求 | 7*24小时响应 | 响应时间超过15分钟扣15分/次 |
|
| ||
7 | 故障处理要求 | 根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。 | 应急响应溯源不到位扣50分/次 |
|
| ||
8 | 培训要求 | 提供不少于2人次的CISP-PTE与不少于100学时的web安全工程师培训和认证。 | 未按时提供培训和认证扣20分 |
|
| ||
9 | 服务交付物要求 | 《安全监控日报》 《安全事件分析报告》 《安全应急响应分析报告》 《安全加固处置报告》 《安全事件溯源分析报告》 《防守工作技战法》 | 未按照要求提供交付物,每缺少一项扣5分 |
|
| ||
10 | 服务文档要求 | 全部服务支持项目需要保留过程中用到的全部文档、工具和数据等资料,并根据甲方需求对有关疑难问题进行解答。 | 未按照要求提供服务文档,每缺少一项扣5分 |
|
| ||
11 | 其他 | 无 | 无 |
|
| ||
总分 | 100分 | ||||||
扣分合计 |
| ||||||
评分结果 |
| ||||||
1. 乙方服务应满足甲方供应商管理制度,甲方有权对乙方每次服务进行评分; 2. 服务验收评价满分为100分,采用扣分法。即,根据合同约定的付款周期内乙方服务完成情况,按照扣分标准扣除相应分数,最终剩余分数为乙方实际得分; 3. 扣分原因须在评价说明栏中进行说明; 4. 根据中国航信《运行中心生产采购供应商管理办法》要求,被记录黄牌、红牌及黑名单的服务工程师,需配合甲方管理规定进行限期整改、禁止提供服务等管理措施,最总解释权归甲方所有。 | |||||||
分数范围 | 扣除该付款周期内应付款金额比例 | 备注 | |||||
>90 | 0% |
| |||||
>85且≤90 | 5% |
| |||||
>80且≤85 | 10% |
| |||||
>70且≤80 | 15% |
| |||||
>60且≤70 | 20% |
| |||||
≤60 | 100% | 乙方需根据合同约定继续提供服务至服务期结束 | |||||
九、违约责任
1、甲乙双方任何一方不履行合同义务或者履行合同义务不符合合同约定的,均视为违约。违约方应当承担继续履行、采取补救措施或者赔偿损失等违约责任。
2、 除甲方原因或不可抗力影响外,乙方未能按照合同约定的条件提供服务或迟延提供服务,每迟延一日乙方须向甲方支付迟延服务部分金额的千分之一作为违约金,最高不超过合同总金额的百分之三十。
3、如乙方违反技术服务规范书的操作规定、操作失误及疏漏等行为造成甲方系统信息数据问题,则乙方应承担恢复数据的责任并赔偿甲方因此造成的经济损失与违约金。
4、乙方人员在甲方指定的场所进行维护服务时造成乙方的损害自行承担,乙方进行维护服务时对甲方场地或人员造成的损害由乙方承担赔偿责任。
5、除乙方原因或不可抗力影响外,甲方未能按照合同约定支付合同金额的,每迟延一日,甲方应向乙方支付迟延付款部分金额的千分之一作为违约金,最高不超过合同总金额的百分之三十。
6、按本合同约定应退还的服务******银行同期活期存款利息。
十、不可抗力
1、由于瘟疫、战争、地震、水灾、火灾、暴风雪或其他不可抗力原因而不能履行合同的一方不负有违约责任,但迟延履行期间发生不可抗力的除外。
2、本着诚实信用、最小损失的原则,当不可抗力事故发生后,遭遇事故一方应或者双方应采取一切措施,使损失减少到最低限度;对于违反本条约定造成的损失及责任全部由违约方承担。
3、不可抗力事件发生后,遭受不可抗力的一方当事人应立即通知另一方;不可抗力持续发生的,遭受不可抗力的一方当事人应及时将不同的情况、影响通知另一方,并在不可抗力事件结束后15个工作日内提供必要的证明文件。
4、如果不可抗力发生后,甲方机器设备受损,乙方应将履行合同的时间延长,所延长的时间应与不可抗力事件的时间相等。
5、如果不可抗力事故的发生使合同的履行成为不可能,双方可以解除合同,并按照当时已经实际发生的费用结清账款,对于甲方多支付的款项,乙方应当退还。
十一、争议解决
1、 基于本合同产生的或与本合同相关的任何争议,甲乙双方应友好协商解决,协商不成的,任何一方可以将争议提交甲方所在地******法院解决;
2、 纠纷解决期间,双方未涉及争议内容应继续按照合同的约定执行。
十二、合同生效、变更、转让及其他事项
1、 合同书一式陆份,双方各执叁份,自双方法定代表人或授权代表签字并加盖双方印章之日起生效,有效期至本合同项下服务期届满之日。
2、 本合同的任何变更、修改、增补,需经双方签署书面补充协议方为有效。根据变更要求的范围和复杂程度,甲、乙双方可对实现变更要求所发生的费用进行磋商。经双方授权代表对变更事项进行确认后,将签署相应的《补充协议》。经双方授权代表签字并双方盖章后的《补充协议》将作为本合同的有效附件和执行变更的依据。
3、 合同任何一方未得到对方同意前,不得向第三方转让或转移本合同的权利、义务。
4、 本合同的任何条款如经司法机关判定无效或不可执行,不应影响本合同其他条款或规定的效力或可执行性。
5、 本合同服务期届满前两个月内甲乙双方可以就续签合同进行磋商,续约时双方的权利义务以续签的合同约定为准。
6、本合同签约地点:北京
十三、附则
1、本合同包括三个附件,附件一《服务系统配置清单》、附件二《服务方案》、附件三《 中国航信服务验收单(适用于MA采购)》,本合同附件作为本合同的一部分,与本合同具有同等法律效力。
(以下无正文)
******有限公司 乙方:
授权代表: 授权代表:
日期: 日期:
附件一 服务系统配置清单
(技术需求与呈批件审批通过的内容一致,填写时请删除此句)
附件二:服务方案
1.需求列表
序号 | 维保对象名称 | 集采目录编码 | 数量及单位 | 服务 级别 | 维保起始 日期 | 维保结束 日期 | 备注 |
1 | 重保及攻防演练信息安全驻场服务 | 无 | 249人天 | 7*24 | 2025/6/18 | 2026/6/17 | 按照实际人天使用量据实结算 |
2.供应商资格要求(技术方面)
序号 | 类型 | 具体要求 (根据实际情况填写,没有要求的可填写“无”) |
1 | 签约商资格要求 | 签约商与服务商为同一供应商 |
2 | 服务商资格要求 | 第十届CNCERT网络安全应急服务支撑单位甲级 |
3 | 历史成功案例要求 | 需提供不少于3个服务保障项目的客户案例(服务内容涉及重大保障或攻防演练),并进行说明 |
4 | 业绩要求 | 需在2022年-2024年期间承担过至少3个合同金额≥100万的服务保障项目(服务内容涉及重大保障或攻防演练) |
5 | 原厂或制造商授权函 | 无 |
6 | 服务承诺函 | 提供原厂服务承诺函 |
7 | 其它资格要求 | 无 |
3.驻场服务人员要求
序号 | 类型 | 具体要求 (根据实际情况填写,没有要求的可填写“无”) |
1 | 数量要求 | 提供不少于2名驻场值守人员。 |
2 | 学历要求 | 大学本科及以上,提供学历证书复印件。 |
3 | 证书要求 | 持有CISP、CISAW等网络安全相关认证证书。 |
4 | 工作经验 | 超过3年的信息安全行业从业经验,长期从事网络维护、信息安全等工作,有参加网络安全重点保障的经历。 能熟练掌握安全监控平台使用方法,对被攻击目标进行溯源以及行为分析、定位工作,丰富的安全评估、应急响应处置经验,有解决现场疑难问题经验。 熟悉各种web及Windows、Linux、数据库系统漏洞,掌握各种提权及安全加固方法;熟悉各种黑客入侵防御方法的经验。 |
5 | 社保要求 | 提供近2年在供应商公司缴纳社保的证明。 |
6 | 人天计算方式 | 人天计算按8小时为1人天,不受周末、夜班、法定节假日影响,工作内容由航信在合同约定范围内任意指定。除明确要求,服务期内所有工作内容在服务期内均按照1:1计算,1人工作8小时计算为1人天。 |
7 | 其他要求 | 无 |
4.服务具体要求
序号 | 类型 | 具体要求 (根据实际情况填写,没有要求的可填写“无”) |
1 | 服务总体方案要求 | 提供网络安全事件预警、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务。 |
2 | 服务范围要求 | 开展重保及攻防演练信息安全驻场服务 |
3 | 服务具体内容要求 | 1、网络安全事件预警服务:通过资产探测工具对互联网的资产进行识别,针对业界爆发的网络安全高危漏洞、通用安全漏洞、航信网站或系统代码泄露(包括但不限于Github、Gitee、各种网盘等)、民航业数据泄露(含暗网交易市场、各种网盘)等开展安全事件预警服务,并在预警后24小时内提供相应问题的处置方法。 服务期内服务商应定期以邮件的形式发送安全事件通报给客户,每月不少于2次。针对影响较大的高危事件以电话或微信的方式告知客户。 安全预警通告内容包括且不限于各种网络安全漏洞、病毒及木马、代码泄露、数据泄露和重大网络安全事件等。 根据甲方需求提供漏洞详细分析报告,应当包含且不限于以下内容:(1)漏洞基本信息(漏洞名称、编号、威胁类型、描述、现实威胁状态等);(2)威胁评估;(3)影响范围;(4)修复缓解措施;(5)自查检测方案;(6)漏洞验证程序(EXP/POC/集成测试工具);(7)漏洞利用分析;(8)漏洞完整利用复现过程记录。 2、渗透测试服务:根据客户需求,在现场针对网站或系统开展渗透测试,根据客户需求进行培训讲解,并于当天生成渗透测试报告,详细列出所有使用过的攻击技术手段,并对实际攻击结果给出详细的列表,对一些无法在短时间内进行判断的潜在安全或一些可能存在的安全隐患将做详细的分析介绍。协助对漏洞进行分析、验证和复查,提供漏洞检测方法或工具。 3、安全加固服务:根据客户需求,指派资深专家到现场进行主机系统、网络设备以及WEB应用等系统开展安全加固服务,并于当天生成详细安全加固的方法和流程文档。 4、现场值守服务:根据客户需求,在客户现场部署网络攻击监测设备,进行7×24小时安全监控和分析研判,并于当天生成详细安全监控文档送呈主管领导或安全事件处理小组的签字和审批;根据客户需求,在客户现场开展渗透测试、应急响应、样本分析和追踪溯源,并于当天生成详细应急响应报告、样本分析报告和溯源取证报告,送呈主管领导或安全事件处理小组的签字和审批;根据客户需求,在客户现场开展攻防复盘、隐患整改,并于当天生成复盘报告和整改报告,送呈主管领导或安全事件处理小组的签字和审批。 5、应急响应服务:根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。如存在恶意文件,需要一周内完成样本分析,提交样本分析报告;根据客户需求,在现场对安全事件完成攻击取证和溯源分析,并于当天向甲方提供详细取证报告和溯源报告。 6.恶意文件处置服务:根据中航信需求,定制恶意文件专杀工具,1个专杀工具等同于5人天驻场服务。 7、安全架构咨询服务:负责中航信信息安全项目咨询、企业信息安全架构以及应急响应疑难解答工作,要求安服总监及以上人员资质。 8、沙盘推演服务:在实战攻防演习的基础上进行全面复盘,基于核心资产、核心业务进行推演,评估真实网络攻击可能对政企机构产生的实际影响,同时对攻防过程中应急响应的有效性进行全面评估。 9、红队评估服务:针对中航信资产开展全面红队评估,借鉴黑客攻击的手法和技巧,在可控的范围内对业务系统开展模拟测试,找出其存在的漏洞,并提供安全修复建议。内容包含红蓝对抗、钓鱼演练、勒索演练等。攻击队人天计算按照1:2进行,即1人工作8小时计算为2人天,对抗前期信息收集工作不计算人天。 |
4 | 服务支持方式要求 | 7*24小时现场值守。 |
5 | 服务响应时限要求 | 7*24小时响应。 |
6 | 故障处理要求 | 根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。 |
7 | 培训要求 | 提供不少于2人次的CISP-PTE与不少于100学时的web安全工程师培训和认证。通过培训,参训员工可以熟练掌握相关等技能,并能够在实际工作中进行应用。 |
8 | 服务交付物要求 | 《安全监控日报》、《安全事件分析报告》、《安全应急响应分析报告》、《安全加固处置报告》、《安全事件溯源分析报告》、《防守工作技战法》(技战法不少于5篇,不得全文使用AI生成)。 |
9 | 服务文档要求 | 包括网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演、红队评估和安全培训等在内全部服务支持项目,在进行服务同时,需要保留过程中用到的全部文档、工具和数据等资料,并根据甲方需求对有关疑难问题进行解答。 渗透测试和资产梳理:每日向甲方对接人汇报每日工作情况,包含: 1) 当日工作简报 2) 渗透测试报告 3) 复测报告 在项目结束时,提供项目整体报告,包含: 1) 整体资产收集量 2) 整体渗透测试成果 3) 整体漏洞复测结果 4) 整改建议 |
10 | 其他 | 无 |
5.服务验收标准
合同编号 |
| 合同名称 |
| ||||||
甲方名称 | ******有限公司 | 乙方名称 |
| ||||||
甲方验收部门 | 运行中心信息安全保障部 | ||||||||
序号 | 评价项 (根据实际情况填写) | 评价内容 (根据实际情况填写) | 扣分标准(根据实际情况填写) | 扣分(可填不涉及) | 评价说明 | ||||
1 | 服务人员 | 服务人员必须是原厂工程师。 | 非原厂工程师执行扣5分/次 |
|
| ||||
2 | 服务总体方案要求 | 提供网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务 | 未按照约定方案提供服务时扣25分 |
|
| ||||
3 | 服务范围要求 | 开展重保及攻防演练信息安全驻场服务。 | 低于约定范围时扣50分 |
|
| ||||
4 | 服务具体内容要求 | 提供网络安全事件预警及处置、渗透测试、安全加固、现场值守、应急响应、安全架构咨询、沙盘推演和恶意文件处置服务 | 服务不规范扣10分/次 |
|
| ||||
5 | 服务支持方式要求 | 7*24小时现场值守 | 未按要求开展现场值守扣10分/次 |
|
| ||||
6 | 服务响应时限要求 | 7*24小时响应 | 响应时间超过15分钟扣15分/次 |
|
| ||||
7 | 故障处理要求 | 根据客户需求,指派资深专家到现场对安全事件进行应急处置,要求接到甲方安全事件应急处置要求后对安全事件进行综合的分析、定位和诊断,10分钟内确认是否为成功的攻击事件,1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案,并于当天生成详细的应急响应报告。 | 应急响应溯源不到位扣50分/次 |
|
| ||||
8 | 培训要求 | 提供不少于2人次的CISP-PTE与不少于100学时的web安全工程师培训和认证。 | 未按时提供培训和认证扣20分 |
|
| ||||
9 | 服务交付物要求 | 《安全监控日报》 《安全事件分析报告》 《安全应急响应分析报告》 《安全加固处置报告》 《安全事件溯源分析报告》 《防守工作技战法》 | 未按照要求提供交付物,每缺少一项扣5分 |
|
| ||||
10 | 服务文档要求 | 全部服务支持项目需要保留过程中用到的全部文档、工具和数据等资料,并根据甲方需求对有关疑难问题进行解答。 | 未按照要求提供服务文档,每缺少一项扣5分 |
|
| ||||
11 | 其他 | 无 | 无 |
|
| ||||
总分 | 100分 | ||||||||
扣分合计 |
| ||||||||
评分结果 |
| ||||||||
1. 乙方服务应满足甲方供应商管理制度,甲方有权对乙方每次服务进行评分; 2. 服务验收评价满分为100分,采用扣分法。即,根据合同约定的付款周期内乙方服务完成情况,按照扣分标准扣除相应分数,最终剩余分数为乙方实际得分; | |||||||||
3. 扣分原因须在评价说明栏中进行说明;
4. 根据中国航信《运行中心生产采购供应商管理办法》要求,被记录黄牌、红牌及黑名单的服务工程师,需配合甲方管理规定进行限期整改、禁止提供服务等管理措施,最总解释权归甲方所有。
分数范围
扣除该付款周期内应付款金额比例
备注
>90
0%
>85且≤90
5%
>80且≤85
10%
>70且≤80
15%
>60且≤70
20%
≤60
100%
乙方需根据合同约定继续提供服务至服务期结束
6.其他要求
1、项目在签订合同后第2个自然日开始项目实施。
2、服务支持内容包括安全监控、应急响应、安全加固、追踪溯源和安全培训等全部服务支持项目在内,服务支持人天数原则上必须按照现场驻场值守人天数计算,1个工作人天按8小时计算,不受周六日和夜间工作影响,均按照8小时为1人天结算。
3、驻场值守人天数可以根据客户需求自由转换,不区分重保时期、普通时期。
4、本项目不许分包和转包,由采购人与成交供应商直接签订采购合同。
5、提供服务支持前,按照甲方要求,需提供驻场值守人员工作简历;工作简历不符合甲方需求,甲方有权要求更换服务支持人员。
6、厂商服务支持人员进入航信园区,需要遵循公司和运行中心防疫规定相关要求,具体以到访时公司和运行中心最新规定为准。
7.项目罚则(以下条款均为星号条款)
1、项目参与人员,包括安服总监、渗透测试人员、安全培训人员、应急响应人员和安全加固人员,需要安全服务支持厂商提供人员简历和相关资质证明。如果派驻现场人员不符合人员资质要求,按照发现次数扣减应支付安服总费用,发现一次扣减20%、发现两次扣减50%和发现三次扣减100%。
2、攻防演练期间,包括安全威胁分析、安全事件处置、事件溯源分析在内,如果由于乙方原因导致甲方未能有效完成网络安全事件分析处置工作,导致甲方系统被攻击且出现生产、运维数据泄露或系统被攻击者控制等安全问题,每项网络安全攻击事件扣减应支付安服总费用10%,直至扣减全部费用,具体细则参照附8.3信息技术安全事件认定流程。
3、总结阶段相关工作,包括网络安全保障总结和网络安全整改建议工作在内,如果由于乙方原因相关交付物无法按时提交,每项扣减应支付安服总费用10%,直至扣减全部费用。
4、网络安全重点保障期间,不发生国家标准的三级(含三级)以上的信息安全事件,杜绝出现信息安全事故和造成社会影响的信息安全事件,如果由于乙方原因,如未能达到上述目标,扣减全部应支付安服费用。
8.附:
8.1 双方工作职责划分
如果出现以下情况,明确为乙方原因:
1、重点保障开始后乙方未能监控到已发生的网络安全事件或者未能及时确认是否为成功的攻击事件并告警;
2、发生网络安全攻击事件后,乙方未能在1小时内找到导致问题的原因,确认安全事件影响范围并提出解决方案。
如果出现以下情况,明确为甲方原因:
1、乙方发现相应安全漏洞,甲方未能及时整改;
2、乙方针对安全漏洞处置提供合理的安全加固建议后,甲方未能及时按照要求加固;
3、乙方监控到已发生的网络安全攻击后,甲方未能及时处置;
4、乙方找到网络安全攻击事件根因,明确安全事件影响范围后,甲方未能及时处置。
8.2信息技术安全事件等级划分
1、特别重大事件(Ⅰ级)
特别重大事件是指能够导致特别严重影响或破坏的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受特别严重的系统损失;
⑵产生特别重大的社会影响。
2、重大事件(Ⅱ级)
重大事件是指能够导致严重影响或破坏的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受严重的系统损失、或使重要信息系统遭受特别严重的系统损失;
⑵产生的重大的社会影响。
3、较大事件(Ⅲ级)
较大事件是指能够导致较严重影响或破坏的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受较大的系统损失、或使重要信息系统遭受严重的系统损失、一般信息信息系统遭受特别严重的系统损失;
⑵产生较大的社会影响。
4、一般事件(Ⅳ级)
一般事件是指不满足以上条件的信息安全事件,包括以下情况:
⑴会使特别重要信息系统遭受较小的系统损失、或使重要信息系统遭受较大的系统损失,一般信息系统遭受严重或严重以下级别的系统损失;
⑵产生一般的社会影响。
8.3信息技术安全事件认定流程
信息技术安全事件认定流程如下:
1、保障工作结束后,根据演习指挥部下发的攻击报告,甲方组织技术专家对网络安全攻防演练期间出现的安全事件进行复盘,筛选需要乙方确认的中高危网络安全事件;
2、甲方将复盘筛选出的安全事件以邮件和电话方式通知乙方进行复盘,乙方需要依据相关安全事件,逐个提交保障期间的安全设备告警日志、告警通知截图、事件处置报告、溯源分析报告等证明材料,并确认是否在保障期间有效完成了相关安全事件的安全威胁分析、安全事件处置、事件溯源分析等工作;
3、乙方需要在接到甲方通知后5个工作日内,以邮件和电话方式对甲方发出的事件复盘通知进行正式答复,如逾期未答复,视为未能有效完成相关工作;
4、甲方组织技术专家对乙方反馈结果进行最终评审认定。
附件三: 中国航信服务验收单
合同编号 |
| 合同名称 |
| |
甲方名称 | ******有限公司 | 乙方名称 |
| |
甲方验收部门 | 运行中心信息安全保障部 | 服务商名称 |
| |
服务期结束验收( ) | 合同结束日 | 年 月 日 | ||
验收内容 | 1、服务人员资质是否一直符合合同约定。 □是 □否 □不涉及 2、服务时长是否达到合同约定标准。 □是 □否 □不涉及 3、人天服务使用是否进行记录。 □是 □否 □不涉及 4、【网络安全事件预警与处置服务】在合同期内服务是否达到合同约定。□是 □否 □不涉及 5、【渗透测试服务】在合同期内服务是否达到合同约定。 □是 □否 □不涉及 6、【安全加固服务】在合同期内服务是否达到合同约定。 □是 □否 □不涉及 7、【驻场值守服务】在合同期内服务是否达到合同约定。 □是 □否 □不涉及 8、【应急响应服务】在合同期内服务是否达到合同约定。 □是 □否 □不涉及 9、【沙盘推演服务】在合同期内服务是否达到合同约定。 □是 □否 □不涉及 10、服务期是否结束。 □是 □否 □不涉及 11、是否同意支付合同款项。 □是 □否 □不涉及 | |||
验收结论 | □合格 □不合格 | 不合格原因说明: | ||
签字 | 甲方项目对接人签字: 甲方内设机构负责人签字: 甲方部门负责人签字: 日期: 年 月 日 | |||
