各参选供应商：

因工作需要，拟采购四川省免疫规划信息管理系统网络安全风险评估服务，欢迎符合要求的企业积极参加评选，比选要求如下：

一、参选供应商资质要求

（一）参选人须提供以下资质材料：

1.企业营业执照[副本]复印件；

2.法定代表人身份证明材料复印件；

3.法人代表授权书原件及被授权人的身份证复印件（非法定代表人参选时提供；需法定代表人及被授权人双方签字或签章）；

（二）参选人须提供如下承诺函原件：

1.具有独立承担民事责任的能力；

2.具有良好的商业信誉和健全的财务会计制度；

3.具有依法缴纳税收和社会保障资金的良好记录；

4.近三年内在经营活动中没有重大违法记录；

5.具备履行合同所必需的设备和专业技术能力；

6.具备法律、行政法规规定的其他条件。

7.参加比选活动前三年内，供应商单位及其现任法定代表人、主要负责人不得具有行贿犯罪记录。

（上述资质材料均需加盖企业鲜章并胶装成册；如有涉及签字盖章，需提供完整签字盖章页；供应商未提供或提供不完整视为资格不能满足本项目要求）

二、项目预算

总预算：100000（元）；最高限价：100000 （元）。

采购清单

三、服务要求（实质性要求）

（一）服务范围及对象：

对四川省免疫规划信息管理系统开展风险评估服务，该系统主要部署在四川省政务云，包括四川省免疫规划信息管理系统所涉及的主机共86台，其中应用24台、数据库20台、Minio服务器4台，ES服务器6台，Memcache缓存服务器9台，统计任务服务器16台、Nginx代理服务器7台，以及API、网络设备、安全设备、安全管理制度等；

（二）服务方式：

根据国家相关法律法规和标准，并结合实际工作需要，对四川省免疫规划信息管理系统的主机层、网络层、系统层、应用层开展安全漏洞扫描、安全配置核查、应用合规检测、API风险评估、渗透测试，并进行网络架构的安全分析工作，并出具相应的分析报告；

（三）漏洞扫描：

采用主流的漏洞扫描工具，其漏洞特征库大于250000条，且保持最新的漏洞库更新；提供详细的漏洞描述和对应的解决方案描述；漏洞知识库与CVE、CNNVD、Bugtraq、CNCVE、CNVD等国际、国内漏洞库标准兼容，对四川省免疫规划信息管理系统的网络层、系统层、数据库、应用层进行全面的扫描与分析，工具扫描完成后须对扫描发现的脆弱性问题进行人工验证，提供脆弱性问题的修复建议并配合完成修复工作；

（四）安全配置核查：

采用主流的配置核查工具，对四川省免疫规划信息管理系统所涉及的操作系统、中间件、数据库进行配置核查，发现配置的不合规项，并结合实际工作需求提出整改建议；

（五）应用合规检测：

采用权威的合规检查工具，依据《信息安全技术 网络安全等级保护基本要求》（GB/T 22239-2019）的要求，对四川省免疫规划信息管理系统进行应用合规检测，识别应用的不合规项，并结合实际工作需求提出整改建议；

（六）API风险评估：

采用主流的API安全审计工具，支持从网络流量中还原应用层资产数据，对四川省免疫规划信息管理系统所涉及的API进行脆弱性分析，须对发现的脆弱性问题进行人工验证，提供脆弱性问题的修复建议并配合完成修复工作；

（七）渗透测试层面：

代码层安全测试应包括但不限于SQL注入、跨站脚本、会话管理、验证码防护、管理地址暴露、Session、对象引用、请求伪造等；应用层安全测试应包括但不限于弱口令、敏感信息泄露、安全配置错误、链接地址重定向等；系统层安全测试应包括但不限于弱口令、敏感信息泄露、安全配置错误、远程溢出、恶意代码等；

（八）网络安全架构分析：

基于现有的网络安全架构的实际情况，对网络安全架构进行分析，分析层面包括但不限于边界防护、访问控制、入侵防范、恶意代码防范、安全审计等，提出在网络架构方面存在的安全风险；

（九）服务报告：

输出四川省免疫规划信息管理系统安全风险评估报告和渗透测试报告，详细说明四川省免疫规划信息管理系统所在网络架构，安全配置方面的缺陷和存在的安全漏洞，并提出问题整改建议，安全评估发现的合规性、脆弱性、配置类问题，在进行整改后，通知供应商，须在3个工作日内完成人工复测，并将复测结果以报告形式提交。

四、商务要求（实质性要求）

（一）服务时间：

合同签订后于2025年12月20日前完成评估工作并提交安全风险评估报告和渗透测试报告。

（二）服务地点：

成都市武侯区中学路6号四川省疾病预防控制中心本部。

（三）履约保证金：

合同金额的5%，合同签订前需将履约保证金通过银行转账交至我中心指定账户（收款单位：四川省疾病预防控制中心；开户行：建设银行成都金河支行；银行账号：51001508608050092193）。履约合格的，服务完成后无息退还；履约不合格的，履约保证金不予退还。

（四）付款方式：

评估工作完成并提交安全风险评估报告和渗透测试报告，采购人接到中选供应商通知与票据凭证资料以后，按照财政性资金支付有关规定，向中选供应商支付全部合同价款。中选供应商须向采购人出具合法有效完整的完税发票及凭证资料进行支付结算。

五、其他要求（实质性要求）

（一）供应商获得中国信息安全测评中心颁发的信息安全服务资质证书（安全工程类二级及以上、风险评估类二级及以上、安全运营类二级及以上）（须提供证书复印件并加盖参选供应商鲜章）。

（二）供应商拟派本项目的技术负责人须具备《计算机技术与软件专业技术资格证书》（专业：信息安全工程师）（须提供证书复印件及其在参选供应商的在职证明材料证明并加盖参选供应商鲜章）。

（三）供应商提供2022年1月1日以来不少于3个同类项目案例（须提供合同复印件证明并加盖参选供应商鲜章）。

注：以上技术（服务）要求、商务要求、其他要求均为实质性要求，须在比选响应文件中应答，格式自拟，未应答、未完全响应、不满足的视为参选无效。

六、评选标准：

最低评标价法

七、材料报送要求

   请各参选公司根据项目要求提供相关资料及报价（资质材料一份，响应材料一式三份，一正两副；需加盖鲜章，胶装并密封），于2025年12月9日上午9:00-10:00交至省省疾控业务楼A栋827室郑老师处，过时将不再接受资料报送。

资料报送电话：(028)85583623

项目咨询电话：(028)87046206

                                    四川省疾病预防控制中心

                                      2025年12月3日