2023年贵州省政务信息化(贵州省能源局分册)贵州省能源局能源云安全服务采购合同
甲方(采购人):贵州省能源局
法定代表人:陈华
通信地址: 贵州省贵阳市云岩区瑞金北路172号
邮政编码:550000
乙方(供应商): 云上贵州大数据产业发展有限公司
法定代表人: 张平
通信地址:贵州省贵阳市贵阳国家高新技术产业开发区
长岭街道黔灵山路357号德福中心A4栋21-23楼1-8号
邮政编码:550000
甲乙双方根据经贵州省大数据局组织评审通过的《2023年贵州省政务信息化运维项目实施方案(贵州省能源局分册)》(以下简称《实施方案》)及出具的《2023年贵州省政务信息化运维项目实施方案评审报告(贵州省能源局分册)》(以下简称《评审报告》)中确定的有关内容,以及《中华人民共和国政府采购法》《中华人民共和国民法典》《省大数据局关于做好2023年度省级政务信息化运维项目采购事宜的通知》等有关规定,签署本合同。
第一条 服务项目
1.1服务内容
乙方向甲方提供《实施方案》的能源云安全服务。
1.2服务地点:贵州省贵阳市
1.3服务内容及调整:
1.3.1服务内容以经省大数据局组织评审通过的本项目《实施方案》中所述的服务内容为准。乙方应严格按照本项目《实施方案》向甲方提供服务。
1.3.2如服务内容需要调整,按规定符合以下情形之一的,经双方协商确认后,在运维目标与批复金额不变的前提下,由乙方进行调整:
①根据国家和省委、省政府部署,确需改变运维服务内容的;
②确需对原项目服务内容进行完善优化的;
③根据所建政务信息系统项目业务发展需要,在已批复年度实施方案的框架下适当调整相关运维期限的。
1.4服务周期:
本项目服务周期明细:
|
能源云安全服务项目内容 | ||||||
|
序号 |
项目名称 |
运维内容和标准 |
工程量 |
单位 |
单价(万元) |
总价(万元) |
|
(一) |
能源云安全服务 |
(1)服务需求:A.安全基线核查、B.安全基线加固、C.系统漏洞扫描、D.网站安全监测、E.系统渗透测试、F.安全代码审计、G.信息安全培训、H.安全风险评估、I.安全产品巡检、J.安全应急响应、K.安全预警通告、L.网站云防护服务、M.安全产品运维服务。 |
|
|
|
47.61 |
|
(2)服务指标:提供专人远程7×24小时安全值守,应急响应服务要求在2小时内派应急响应小组赶到现场。 | ||||||
|
(3)服务方式:采用远程+现场服务方式。 | ||||||
|
(4)服务期限:2023年4月1日至2024年3月31日 | ||||||
|
1 |
安全基线核查 |
通过人工检查的方式对贵州省能源局的ECS云服务器,按每年8次开展基线核查工作。 |
8 |
次 |
0.933 |
7.464 |
|
2 |
安全基线加固 |
通过人工检查的方式对贵州省能源局的ECS云服务器,按每年8次开展基线加固工作。 |
8 |
次 |
0.933 |
7.464 |
|
3 |
系统漏洞扫描 |
以扫描的方式对贵州省能源局的ECS云服务器,按每年12次开展漏洞工作。 |
12 |
次 |
0.1866 |
2.2392 |
|
4 |
网站安全监测 |
网站安全监测服务是指采用远程监测技术,对贵州省能源局不少于1套WEB应用系统,按年提供7*24小时实时安全监测服务。通过对网站提供不间断访问,实现可用性监测服务,定期开展网站漏洞扫描,检测网页是否存在漏洞、网页是否挂马、篡改、敏感词等安全检测行为,从而提升贵州省能源云综合应用管理平台网站的安全防护能力和网站服务质量,建立一种长效的安全保障机制。 |
1 |
年 |
1.2 |
1.2 |
|
5 |
系统渗透测试 |
渗透测试服务,是为了证明网络防御按照预期计划正常运行而提供的一种机制。主要以通过人工模拟黑客攻击的方式对指定的远程或者本地信息系统的安全脆弱性进行检测,发现可利用漏洞的一种安全检测行为,及时发现信息系统的漏洞和风险。对贵州省能源云综合应用管理平台,按每半年1次开展渗透测试服务工作,可以使得信息系统的管理人员了解入侵者可能利用的途径,直观的了解系统真实的安全强度。能够真正未雨绸缪,主动发现安全问题并在第一时间完成有效防护,让攻击者无机可乘,进而避免由于网络黑客攻击造成重大损失。 |
2 |
次 |
1.866 |
3.732 |
|
6 |
安全代码审计 |
代码审计服务,是一种以发现程序错误,安全漏洞和违反程序规范为目标的源代码分析手段。主要以通过人工或自动化工具审查的方式,对贵州省能源云综合应用管理平台,按每年1次开展代码审计服务工作,发现业务系统代码层面存在的安全隐患。 |
1 |
次 |
5.598 |
5.598 |
|
7 |
信息安全培训 |
安全问题“三分技术、七分管理”,作为安全管理的主要执行者/人员,在面临信息安全威胁的严峻挑战时,提高安全意识和安全技能,成为了一项必要的工作。,对贵州省能源局按每半年1次开展安全教育培训服务主要以线下授课方式提升相关人员的信息安全意识、保密意识培训,落实网络安全法对信息安全教育培训的要求,提升参训的人员的信息安全意识,了解和掌握基本的信息安全知识。 |
2 |
次 |
0.2799 |
0.5598 |
|
8 |
安全风险评估 |
信息安全风险评估是对网络和业务系统的安全漏洞、安全隐患、安全风险,进行探测、识别、控制、消除的全过程。参考《GB/T20984-2007信息安全技术信息安全风险评估规范》、《GB/T31509-2015信息安全技术信息安全风险评估实施指南》对贵州省能源局,按每年2次从风险管理角度,开展信息安全风险评估工作。运用科学的方法和手段,系统地分析网络与应用系统所面临的威胁及其存在的脆弱性,评估安全事件一旦发生可能造成的危害程度,提出有针对性的抵御威胁的防护对策和整改措施。 |
1 |
次 |
4.8516 |
4.8516 |
|
1)确定信息安全风险评估目标及范围,组建信息安全风险评估团队; | ||||||
|
2)为实施信息安全风险评估活动制定总体工作计划,形成信息安全风险评估方案; | ||||||
|
3)开展资产梳理识别工作,对资产进行分类、调查、赋值; | ||||||
|
4)开展威胁识别工作,对威胁进行源判断、分类、赋值; | ||||||
|
5)通过问卷调查、工具检测、人工核查、文档查阅、渗透测试等手段开展脆弱性识别工作,对脆弱性进行赋值; | ||||||
|
6)根据资产识别、威胁识别、脆弱性识别综合判断发生安全事件的风险进行分析,提出安全建议及整改措施,提供《安全风险评估报告》。 | ||||||
|
9 |
安全应急响应 |
应急响应服务,是按年为贵州省能源局信息系统发生安全事件时,需要紧急解决问题的情况而提供的一项安全服务。当系统发生黑客入侵、系统崩溃或其它影响业务正常运行的安全事件时,安全服务团队安全应急响应专家会在第一时间对安全事件进行应急响应处理,使受攻击的网络应用系统在最短时间内恢复正常运行,帮助查找入侵来源,为用户挽回或减少经济损失。帮助用户找到问题的根源,防止后续同类事件的发生。 |
1 |
年 |
2 |
2 |
|
1)接到安全事件信息,第一时间与用户确定具体存在安全隐患系统信息,确认应急响应事件等级,启动安全应急预案; | ||||||
|
2)确认安全事件类型,包括勒索、挖矿、Dos攻击等类型; | ||||||
|
3)开展事件分析工作,包括日志分析、进程分析、样本分析等; | ||||||
|
4)采取应急处置措施,包括杀掉进程、删除文件、断网隔离等; | ||||||
|
5)修复系统运行工作,包括系统更新、补丁更新等; | ||||||
|
6)根据应急响应情况,对安全事件全流程进行安全分析,提供《安全应急响应报告》; | ||||||
|
7)经排查整改后,按需配合用户开展应急预案修订工作。 | ||||||
|
10 |
安全预警通告 |
专业安全服务厂商,注重对最新的安全技术和安全信息的发现和追踪,按年为贵州省能源局提供预警通告服务,帮助客户保持领先的安全理念和技术。提供的内容包括安全事件、安全公告、病毒信息、漏洞信息、实时安全动态、漏洞通报、漏洞预警、行业安全态势等内容,以便第一时间得到漏洞的修补办法,防止安全事件的发生,帮助了解最新的安全技术和安全理念,有效的预防安全事故发生,使用户能够及时做出针对措施。 |
1 |
年 |
2 |
2 |
|
1)开展用户访谈和问卷调研,确认贵州省能源局接收预警通告联系方式相关信息; | ||||||
|
2)出现最新安全动态时,第一时间向用户发出安全预警通告,并协助用户采取相应措施,预防安全事故发生。 | ||||||
|
11 |
网站云防护服务 |
提供1个二级域名一年的网站云监测服务和网站云防护服务。服务包括7*24小时对网站进行坏链、黑链、外链监测、挂马监测、可用性监测、页面篡改监测、域名解析监测、敏感内容监测及网站漏洞扫描服务。网站云防护服务包括:云WAF服务、WEBSHELL防护、云DNS服务、云分身服务、网站加速服务、端口隐藏服务、地域访问控制、爬虫防护、IPV6/IPV4支持、HTTP/HTTPS支持。 |
1 |
年 |
2.5 |
2.5 |
|
云抗D、20M业务带宽,10GDDOS防护能力基于客户现有的安全设备,统一进行7*24的安全事件监测,及时发现威胁;对已确认对安全事件做处置动作,如封禁ip、删除木马、关停服务、主机重启等操作;完善对告警事件监控记录、告警事件分析记录、任务工单处理、告警事件处置报告、告警事件处理跟踪记录、告警事件溯源报告、策略优化建议、联动处置记录等事件跟踪管理;在客户内网环境中,对测试环境,生产环境,办公环境留存的非必要性数据进行排查,提醒尽快清理。 | ||||||
|
12 |
远程运维服务 |
基于客户现有的安全设备,统一进行 7*24 的安全事件监测,及时发现威胁;对已确认对安全事件做处置动作,如封禁 ip、删除木马、关停服务、主机重启等操作;完善对告警事件监控记录、告警事件分析记录、任务工单处理、告警事件处置报告、告警事件处理跟踪记录、告警事件溯源报告、策略优化建议、联动处置记录等事件跟踪管理;在客户内网环境中,对测试环境,生产环境,办公环境留存的非必要性数据进行排查,提醒尽快清理。 |
1 |
年 |
8 |
8 |
|
|
合计 |
47.61 | ||||
1.5若本合同中约定的服务周期与《实施方案》不一致,以本合同为准。服务周期为2023年4月1日至2024年3月31日止。
第二条 价款及划转方式
2.1含税合同总价为人民币(大写):肆拾柒万陆仟壹佰元整(¥ 476100.00元);
2.2合同服务周期满后,甲方对项目内容进行验收通过后,乙方提交验收报告并向甲方开具等额有效增值税普通发票,甲方收到发票后15个工作日内一次性向乙方支付本项目合同价款的【100】%即(大写)人民币:肆拾柒万陆仟壹佰元整(¥ 476100.00元);
2.3甲方付款前,乙方应先开具等额有效的增值税普通发票,否则甲方有权拒绝支付,且不构成违约情形,直至乙方开具该等额有效增值税普通发票为止。
2.4甲方开票信息:
开户名称:贵州省能源局
开户行:中国工商银行贵阳威清支行
账号:2402000609200073977
纳税识别号:11520000009390404X
2.5 乙方收款信息
单位名称:云上贵州大数据产业发展有限公司
开户行:建行贵安绿色金融改革创新试验区支行
银行帐号:52050142393600000187
第三条 甲方的权利义务
3.1甲方的权利
3.1.1甲方有权随时向乙方了解项目进度,并要求乙方提供项目相关资料。
3.1.2甲方有权对项目资金使用情况进行监督、检查,并要求乙方提供相关资料。
3.1.3甲方有权按照本合同约定或有关法律法规规定,对本项目进行监督和检查,有权要求乙方按照监督检查情况制定相应措施并对违反法律法规的行为加以整改。甲方不因行使该监督和检查权而承担任何责任,也不因此减轻或免除乙方根据本合同约定或相关法律法规 规定应承担的任何义务或责任。
3.1.4甲方有权在乙方履行合同过程中出现损害公共利益、公共安全情形时终止本合同。
3.1.5甲方有权将乙方履行合同情况及不符合政府购买服务相关法律规定情况,向相关部门报告并纳入不良信用记录、年检(报)、评估、执法等监管体系中。
3.1.6甲方有权委托第三方项目管理服务单位行使甲方项目管理的职责。
3.2甲方的义务
3.2.1甲方应按照合同约定划转服务费用。
3.2.2甲方应及时向乙方提供与履行本合同相关的且甲方有权提供的必要文件、资料。
3.2.3甲方应为乙方履行本合同过程中与相关政府部门及其他第三方的沟通、协调提供必要的协助。
3.2.4甲方应组织相关部门,对乙方报送的年度运维《实施方案》在相关政策符合性、可行性、服务内容、服务标准、服务方式、运维管理规范及投资概算等方面进行评审,并对不符合评审要求的向乙方提出整改要求。
3.2.5甲方建立健全政务信息系统建设和数据安全管理制度。
第四条 乙方的权利义务
4.1乙方的权利
4.1.1乙方有权按照本合同约定向甲方收取合同价款。
4.1.2乙方有权自甲方处获得与提供本合同项下服务相关的所有必须的文件、资料。
4.1.3乙方有权要求甲方协调其他第三方为乙方履行本合同项下的服务提供必要协助。
4.2乙方的义务
4.2.1乙方应接受甲方的监督管理,并在必要时提交年度运维《实施方案》要求必须提供的项目相关服务文档。
4.2.2乙方应对甲方的业务需求充分调研,形成用户需求分析报告,报告需经甲方书面确认。
4.2.3乙方根据甲方确认的需求分析报告,编制年度《实施方案》,包括运维服务内容、服务标准、服务方式、运维管理规范、服务保障、经费预算等。
4.2.4乙方根据甲方审核通过的年度《实施方案》,开展项目运维服务工作。
4.2.5乙方应切实做好服务保障,接受甲方的考核评价。
4.2.6乙方应建立安全管理制度和措施,按照《中华人民共和国网络安全法》等法律法规以及政务信息系统安全管理等有关规定实施。
4.2.7乙方应建立健全服务应急处置机制,保障系统日常稳定运行。
4.2.8乙方需将对应项目的报告与附件材料按照阶段进度上传至贵州省省级信息化建设项目管理及监控平台系统。其中,月报、半年报及年报需由甲方审核通过。
第五条 服务内容要求
按照经甲方评审后的本项目《实施方案》的标准和要求为准。若以上文件存在冲突,以经甲方评审的本项目《实施方案》的要求为准(服务周期以本合同约定为准)。
第六条 服务标准、过程管理及验收
6.1服务标准
服务标准依照本项目《实施方案》及《信息技术软件维护》(GB/T20157-2006)、《信息技术服务运行维护第1部分:通用要求》(GB/T28827.1-2022)、《信息技术服务运行维护第2部分:交付规范》(GB/T28827.2-2012)、《信息技术服务运行维护第3部分:应急响应规范》(GB/T28827.3-2012)、《信息技术服务质量评价指标体系》(GB/T33850-2017),以及《贵州省省级政务信息系统建设管理办法(试行)》(黔府办函〔2019〕26号)等文件的规定执行。
6.2过程管理
项目运维服务开始后,在服务周期内,甲方就服务不符合《实施方案》部分对乙方提出书面说明并提出修改完善的要求和建议,乙方根据甲方提出修改完善的要求和建议进行整改,直至合格为止。
6.3验收
6.3.1验收主体
甲方依据《实施方案》,对乙方提供的服务进行验收。
6.3.2验收方式和验收标准
验收方式和验收标准依照本项目《实施方案》《评审报告》及《信息技术服务质量评价指标体系》(GB/T33850-2017),以及《贵州省省级政务信息系统建设管理办法(试行)》(黔府办函〔2019〕26号)的规定执行。
6.3.3 验收流程
乙方完成合同约定的服务内容后,按照《省级政务信息化项目服务验收细则(试行)》相关要求提出项目服务验收申请。甲方在收到验收申请后应在【10】个工作日内受理项目服务验收申请,由甲方进行验收,给出初验意见。若甲方未在上述期限内组织验收、审核,视为本项目验收合格。
服务验收通过,由甲方出具验收意见书,乙方按照相关意见优化完善相关服务,持续做好后续工作;服务验收不通过,乙方收回相关验收材料,限期完成相关整改后重新提交服务验收申请。
6.4资料移交:在项目通过服务验收后的一个月内,乙方须向甲方完成项目资料移交,包括但不限于实施过程中产出的资料可提供原件,如月报、巡检记录、问题处理记录、服务总结报告等。资料移交纸质版和电子版各一份,移交纸质资料应为原件,移交电子版资料可阅且不可篡改。
第七条 知识产权
乙方保证对所提供的软硬件产品及附属设施、技术资料、知识产权等具有合法产权或已取得合法授权,不存在侵犯他人合法权利的情形。如有因乙方违反法律规定使用,第三方向甲方主张侵权,乙方应负责解决,因此造成的损失,由乙方承担。
第八条 保密条款
8.1甲乙双方应遵守国家有关保密的法律法规和行业规定,并对甲乙双方提供的资料负有保密义务。未经甲乙双方同意,不得将承接本项目获得的政府、公民个人等各种信息和资料提供给其他无关的单位和个人。如发生以上情况,违反相关法律法规者应当承担有权索赔并追究乙方法律责任。
8.2本合同保密条款长期有效,无论本合同是否生效、被撤销、变更、解除或终止,各方仍应执行本合同保密条款。
第九条 违约责任
9.1甲方在监督检查过程中发现乙方存在以下问题的,乙方应按要求及时整改:
(1)与本合同签订时的国家和省委、省政府有关规定或批复要求不符的;
(3)与其他法律法规不符合的。
出现上述问题,乙方未整改或整改后不符合要求的,可暂缓安排购买服务,直至整改完毕。乙方出现重大问题导致不能履行本合同项下义务的,乙方应退还甲方已支付的全部款项,甲方有权解除合同,不予购买剩余服务,并将乙方纳入负面清单。
9.2因乙方原因未按合同的工期起始时间要求开始提供运维服务或有运维服务中断的情况,乙方应从逾期之日起每日按具体未完成项目服务费的【0.1‰】的数额向甲方支付违约金,并赔偿甲方的损失。但因甲方需求变更等非乙方原因造成的服务无法进行或按期完成的,乙方不承担逾期违约责任。甲方未按约付款的,从逾期之日起每日按应付未付金额的【0.1‰】向乙方支付违约金,并赔偿乙方损失。
9.3因乙方未履行合同义务或违反法律法规造成的重大风险,并给甲方造成实际损失的,乙方予以赔偿。
9.4乙方应积极配合甲方做好项目建设和服务工作,配合甲方做好评审、监督、验收和服务管理工作。
9.5甲乙双方由于不可抗力原因不能履行合同时,应在不可抗力事件发生后2日内向另两一书面通报,以减轻可能给另两一造成的 损失,在取得有关机构的不可抗力证明或谅解确认后,允许相应延期 履行或修订合同,并可根据具体情况部分或全部免于承担违约责任。 由于不可抗力导致合同不能履行的,任意一方均有权终止合同。
9.6发生其他违约情形,违约方应赔偿由此给守约方造成的一切损失,损失包括但不限于守约方为主张本合同项下权利而发生的律师费、诉讼费、代理费、公证费、差旅费、保全费、保全担保费等。
9.7甲乙双方应遵循诚实信用原则,按照合同约定充分履行合同义务,保障合同顺利履行完毕。若因非可归责于双方的原因导致项目提前终止,双方另行商定解决方案。
第十条 争议解决
本合同在履行过程中发生的任何争议,如各方不能通过友好协商 解决,甲乙双方均可通过甲方所在地有管辖权的人民法院诉讼处理。除有关争议的条款外,在争议的解决期间,不影响本协议其他条款的继续履行。
第十一条 通知与送达
12.1根据本合同需要发出的全部通知,均须采取书面形式,以(1)专人递送,(2)特快专递,(3)传真,或(4)挂号信件发出。特快专递或挂号信件的交寄日以邮戳为准。上述书面通知均须标明合同各方为收件人。
12.2上述书面通知按对方在本合同中所列的地址发出,如任何 一方的地址有变更时,须在变更前10日以书面形式通知对方。因迟延通知而造成的损失,由过错方承担责任。
12.3双方将按如下规定确定通知被视为正式送达的日期;
12.3.1以专人递送的,接收人签收之日视为送达;
12.3.2以传真方式发出的,以发件方发送后打印出的发送确认单所示时间视为送达;
12.3.3以特快专递形式发出的,发往本市内的,发出后第3日视为送达。
12.3.4以挂号方式发出的,发往本市内的,邮寄后第3日视为送达。
第十三条 其他
13.1本合同自双方法定代表人或授权代表签字并加盖公章之日起生效。
13.2本合同一式伍份,具有同等法律效力,甲方执贰份,乙方执叁份。
13.3本合同未尽事宜,由甲乙双方另行签订补充协议,与本合同具有同等法律效力。补充协议条款与本合同不一致的,以补充协议为准。
13.4本合同于服务周期届满,且服务项目全部完成,及有关款项得以清偿之后终止。
13.5《实施方案》《评审报告》为本合同组成部分,双方需履行两文件内容。本合同未作约定的,以《实施方案》《评审报告》约定为准。
(以下无正文)
(本页无正文,为《2023年贵州省政务信息化(贵州省能源局分册)能源云安全服务采购合同》的签章页)
甲方(盖章)
单位名称:贵州省能源局
法定代表人或授权代表(签字):
年 月 日
乙方(盖章)
单位名称:云上贵州大数据产业发展有限公司
法定代表人或授权代表(签字):
年 月 日
贵公网安备 52010302001585号