上海市交通运输行业网络与信息安全情况月报与网络安全工作专项检查评估项 目竞争性磋商
（招标编号：********************）

项目所在地区：上海市,市辖区,黄浦区
*、招标条件

本上海市交通运输行业网络与信息安全情况月报与网络安全工作专项检查评估 项目已由项目审批/核准/备案机关批准，项目资金来源为国有资金 ** *元，招 标人为********。本项目已具备招标条件，现招标方式为其它方式。

*、项目概况和招标范围
规模：本项目依据《中华人民共和国网络安全法》《中华人民共和国计算 机信息系统安全保护条例》（国务院令 *** 号）《国家信息化领导小组关于加强 信息安全保障工作的意见》（中办发[****]** 号）《《国务院关于加快推进“互联网+政务服务”工作的指导意见》（国发[****]** 号）《信息技术安全技术 信息安全风险管理》（**/******-
****）《信息安全技术信息安全风险评估规范》（**/******-
****）《信息安全技术信息安全风险评估实施指南》（**/******-
****）《上海市数据条例》等法律法规关于网络与信息安全工作要求，同时深 入贯彻落实交通运输部、公安部和市委网信办等部门关于开展网络安全保卫工 作的要求，对********下属 ** 家单位近 ** 个信息系统共计 ** 个域名每 月开展安全服务工作，工作过程共分为安全扫描过程、人工验证过程、报告编 制过程。形成《月度漏扫报告》和《网络安全工作情况月报》。通过每月扫描 情况，定期对网络系统进行安全性分析，提供风险解决方案、跟踪各单位网络 漏洞的修复情况,使各单位能及时发现网络漏洞，在网络攻击者扫描和利用之前 及时修复，从而提高网络系统系统的安全性。

范围：本招标项目划分为 1 个标段，本次招标为其中的：

(***)上海市交通运输行业网络与信息安全情况月报与网络安全工作专项检查评 估项目;
*、投标人资格要求

(*** 上海市交通运输行业网络与信息安全情况月报与网络安全工作专项检查评 估项目)的投标人资格能力要求：供应商的资格条件
1、符合《中华人民共和国政府采购法》第***条的规定
2、未被“信用中国”（***.***********.***.**）、中国政府采购网（***.** **.***.**）列入失信被执行人、重大税收违法案件当事人名单、政府采购严重 违法失信行为记录名单
3：其他资格要求：
（1）本项目不接受联合体投标；
（2）本项目非面向特定企业；
获取磋商文件的方式：
1、报名时间：****-**-** 至 ****-**-**。

2、报名方式：本项目实行现场报名。携带营业执照副本复印件、法人授权委托 书。

3、招标文件售价：*** 元。

;
本项目不允许联合体投标。

*、招标文件的获取
获取时间：从 **** 年 ** 月 ** 日** 时 ** 分到 **** 年 ** 月 ** 日** 时 ** 分 获取方式：上海市静安区共和新路 **** 弄 9 号 *** 室
*、投标文件的递交
递交截止时间：**** 年 ** 月 ** 日** 时 ** 分
递交方式：上海市静安区共和新路 **** 弄 9 号 *** 室纸质文件递交
*、开标时间及地点
开标时间：**** 年 ** 月 ** 日** 时 ** 分
开标地点：上海市静安区共和新路 **** 弄 9 号 *** 室

*、其他

本项目依据《中华人民共和国网络安全法》《中华人民共和国计算机信息系统 安全保护条例》（国务院令 *** 号）《国家信息化领导小组关于加强信息安全保 障工作的意见》（中办发[****]** 号）《《国务院关于加快推进“互联网+政务 服务”工作的指导意见》（国发[****]** 号）《信息技术安全技术信息安全风 险管理》（**/******-****）《信息安全技术信息安全风险评估规范》（**/T *****-****）《信息安全技术信息安全风险评估实施指南》（**/******-
****）《上海市数据条例》等法律法规关于网络与信息安全工作要求，同时深 入贯彻落实交通运输部、公安部和市委网信办等部门关于开展网络安全保卫工 作的要求，对********下属 ** 家单位近 ** 个信息系统共计 ** 个域名每 月开展安全服务工作，工作过程共分为安全扫描过程、人工验证过程、报告编 制过程。形成《月度漏扫报告》和《网络安全工作情况月报》。

通过每月扫描情况，定期对网络系统进行安全性分析，提供风险解决方案、跟 踪各单位网络漏洞的修复情况,使各单位能及时发现网络漏洞，在网络攻击者扫 描和利用之前及时修复，从而提高网络系统系统的安全性。

同时，按交通运输部和上海市网络安全管理单位相关工作要求，开展网络安全 工作检查。包括：对各单位网络安全预案技术审核、网络安全咨询、预查自查 和专项评估检查结果的技术审核，提出各单位网络安全整改建议。

做好市交通委系统相关单位网络安全事件的应急响应，配合指导相关单位做好 应急事件的分析评估，对评估结果开展技术审核并提出整改建议。提供上海市 每个月的网络信息安全最新情况汇总，为相关单位网络安全检查工作的进展情 况提供数据支持，以促进市交通委网络信息安全工作的不断完善与发展。

*、监督部门
本招标项目的监督部门为/。

*、联系方式
招标人：********
地 址：上海市世博村路 *** 号 1 号楼 联系人：***

电 话：***-********

电子邮件：/

招标代理机构：**************

地 址：上海市崇明区北沿公路 **** 号 ** 幢 *** 室－2

联系人：**

电 话：***********

电子邮件：*********@**.***

项目需求

*、项目名称及预算金额:
项目名称：上海市交通运输行业网络与信息安全情况月报与网络安全工作 专项检查评估项目
预算金额：****** 元
*、项目背景
本项目依据《中华人民共和国网络安全法》《中华人民共和国计算机信息 系统安全保护条例》（国务院令 *** 号）《国家信息化领导小组关于加强信息安 全保障工作的意见》（中办发[****]** 号）《《国务院关于加快推进“互联网+ 政务服务”工作的指导意见》（国发[****]** 号）《信息技术安全技术信息安

****）《信息安全技术信息安全风险评估规范》（**/******-****）《信息安全技术信息安全风险评估实施指南》（**/******-****）《上海市数据条例》等法律法规关于网络与信息安全工作要求，同时深 入贯彻落实交通运输部、公安部和市委网信办等部门关于开展网络安全保卫工 作的要求，对********下属 ** 家单位近 ** 个信息系统共计 ** 个域名每 月开展安全服务工作，工作过程共分为安全扫描过程、人工验证过程、报告编 制过程。形成《月度漏扫报告》和《网络安全工作情况月报》。

通过每月扫描情况，定期对网络系统进行安全性分析，提供风险解决方案、跟踪各单位网络漏洞的修复情况,使各单位能及时发现网络漏洞，在网络攻击 者扫描和利用之前及时修复，从而提高网络系统系统的安全性。

同时，按交通运输部和上海市网络安全管理单位相关工作要求，开展网络 安全工作检查。包括：对各单位网络安全预案技术审核、网络安全咨询、预查 自查和专项评估检查结果的技术审核，提出各单位网络安全整改建议。

做好市交通委系统相关单位网络安全事件的应急响应，配合指导相关单位 做好应急事件的分析评估，对评估结果开展技术审核并提出整改建议。提供上 海市每个月的网络信息安全最新情况汇总，为相关单位网络安全检查工作的进 展情况提供数据支持，以促进市交通委网络信息安全工作的不断完善与发展。

*、服务内容
（1）基础条件（项目实施的现状）
在《网络安全法》、《数据安全法》、《密码法》、《关键信息基础设施 安全保护条例》、《上海市数据条例》有关规定颁布实施后，通过*年多针对 相关信息系统持续开展的网络安全漏洞扫描工作，加强了网络安全意识的培养，重视网络安全责任的落实，从意识培养、技术落实、科学管理等多个方面加 强了网络安全工作的落地，但网络空间安全整体情况依旧纷繁复杂。具有颠覆 性的战略性新型技术突飞猛进，大数据、云计算、物联网、移动互联等基础应 用持续深化，数据泄露、信息窃取、网络攻击以及相关的智能化犯罪等网络安 全问题呈现出新变化，严重危害国家关键基础设施安全、挑战人民民众隐私安 全甚至危及社会稳定。近年来网络安全事件频繁发生，造成严重的社会影响和 经济损失，国家及监管单位对系统安全要求也日渐提升。

（2）前期工作（前期调研准备情况）
上海市交通委于 **** 年开始针对上海市交通运输行业所属的 ** 家单位的 ** 个信息系统定期进行网络安全漏洞扫描，通过近*年多以来的不断整理和更新，调整资产列表清单，目前开展网络安全漏洞扫描的单位涉及 ** 个，覆盖系统 共有 ** 个共计 ** 个域名，共获取 ** 份《漏洞扫描月报》和《网络安全工作情况 月报》，对上海市交通运输行业所属单位的网络信息安全工作的开展提供了有 力的支撑。

结合当前严峻的网络安全形势，境外黑客组织及敌对分子频繁对我国交通、能源、卫生等行业的党政机关及职能部门开展网络攻击，根据《网络安全法》有关要求，在 **** 年每月开展网络安全漏洞扫描,网络安全预案技术审核、预 查自查和专项评估检查结果的技术审核等工作。

（3）实施方案主要内容
安全扫描主要包括网络的黑盒测试、应用系统的白盒测试，其中网络的黑 盒测试是通过应用安全扫描工具对提供的 *** 进行黑盒扫描，应用系统的白盒测 试是利用测试用户对提供的 *** 进行安全扫描。黑盒和白盒测试的内容均为代码 安全、配置安全、信息安全*个部分，成立专人小组制定针对上海市交通运输 行业所属的 ** 家单位的 ** 个信息系统制定年度漏扫计划，将 ** 个域名资产清单

进行每月*日不间断扫描，扫描完成后进行漏洞的人工复测，并将存在的漏洞 问题进行汇总、分析，提交每月漏洞扫描报告，根据扫描报告，结合网信上海 微信公众号、***** 的漏洞情况月报和最新漏洞预警，编制交通委漏洞情况分析 月报，按月提供当月漏洞扫描情况和全市网络安全整体情况的汇报，并根据以 往本市网络安全情况对需要的关注点在下个月测试计划中加强扫描，提高防护。

按照交通运输部和上海市网络安全管理单位要求，结合******** 网络安全管理部门的工作管理需求开展网络安全咨询，包括对委属各单位网络 安全预案技术审核、预查自查和专项评估检查结果的技术审核，提出网络安全 工作具体整改建议。配合********网络安全管理部门做好市交通委系 统相关单位网络安全事件的应急响应，配合指导相关单位做好应急事件的分析 评估，对评估结果开展技术审核，出具审核意见。

（4）运行管理及保障措施
1.每月投入 3 人小组，轮替提供不间断扫描和问题预警。

2.

在整个项目实施过程中，从过程质量控制、变更控制、项目风险、几个方面制 定管理要求；对项目活动实施进度进行控制。项目设备和工具的使用严格办理 使用手续并做好记录，遵循设备保密管理要求；
3.

质量管理组依据本次项目所使用的设备和工具清单，检查设备和工具在用状态 记录、维护记录和故障记录，保证其使用的良好状态；
4.

项目实施过程中，质量管理组随时跟踪设备和工具，使其处于受控状态，保证 其运行可靠性和有效性。项目负责人及时向单位负责人和质量管理组反馈测评 过程中存在的问题，并采取纠正措施；
5.

质量管理组成员负责对测评记录进行检查，主要包括结果、数据是否在产生的 当时进行了记录、记录更改是否规范、作废记录是否写明原因等。

6.

月报由相关测评人员签署编制人、再经技术审核人审核签字后转至文档审核部

门核准，核准后的报告由测评报告批准人批准。定期提交报告，汇报项目进程，及时收集反馈信息。

7.

人员保密责任范围包括项目组全体人员。遵守各项安全保密制度与规定；全体 人员在项目实施过程中，加强保密意识，明确保密责任，严格落实各项安全保 密措施。

8.

文档保密范围包括与测评工作有关的带有密级（非商秘）的各种文件、资料和 信息；包括对测评机构提供的文件、资料和信息，测评中获取的数据信息；还 包括测评过程中产生的工作产品和记录。

服务单位需按照以上情况，严格控制预算使用，保证项目所提交交付物能 真实完整的反应相关信息系统的网络安全漏洞状况，支撑本市交通运输单位的 网络安全工作开展。

*、项目计划进度
项目开始至 **** 年 ** 月 ** 日止，开展月度信息系统漏洞扫描工作和安全技术支 撑服务。包括：（定期信息系统的漏洞扫描工作，最终形成《漏洞扫描报告》和《网 络安全工作情况月报》，并按月向********提交；按交通运输部和上海 市网络安全管理单位要求，开展网络安全工作检查，提出各单位网络安全整改建 议；做好市交通委系统相关单位网络安全事件的应急响应，配合指导相关单位做 好应急事件的分析评估，对评估结果开展技术审核并提出整改建议。