贵阳市矿产品数字化交易平台及APP代码审计服务采购询价工作方案

根据《****点击查看非工程类物资和服务采购管理办法（试行）》，第四章第十五条“询价采购”相关条款，编制了《**市矿产品数字化交易平台代码审计服务采购询价工作方案》。本次服务采购预算费用为1万元（含）以上3万元(不含)以下，拟通过询价方式进行采购。方案具体情况如下：

一、项目基本情况

（一）业主单位：****点击查看。

（二）项目名称：**市矿产品数字化交易平台及APP代码安全审计项目。

（三）项目预算：1万元（含）以上3万元(不含)以下。

二、采购方式

****点击查看领导小组组织询价活动，向符合条件的潜在申请人发出询价邀请，并对询价结果进行验收。

三、采购概况

（一）采购内容：****点击查看管理局对网络安全管理的要求，为进一步加强**市矿产品数字化交易平台及富矿精开宝APP的整体安全防护能力，确保**市矿产品数字化交易平台及APP在使用过程中的安全稳定，拟通过询价方式采购**市矿产品数字化交易平台及APP代码审计服务。根据测评结果持续推进平台的安全建设，不断提高系统的安全防护能力。

中标供应商须对指定的业务系统提供代码审计服务，具体工作内容和要求如下：

1.本项目代码审计测评对象为**市矿产品数字化交易平台及富矿精开宝APP开发的源代码，供应商测评人员应以公正、科学、客观、准确的态度，严格按照GB/T 39412-2020《信息安全技术代码安全审计规范》等国家、国际有关标准规定的检测方法，开展项目代码审计工作。

2.在执行代码审计过程中应对OWASP相关标准标识的各类风险进行审计，采用源代码扫描和人工分析确认相结合的方式进行分析，针对**市矿产品数字化交易平台及富矿精开宝APP源代码进行整体的安全审计，发现源代码存在的安全漏洞。

3.对**市矿产品数字化交易平台的重要功能点的源代码进行人工源代码审计，重点审计查找业务系统逻辑错误，发现重要功能点存在的代码安全问题。

（二）受邀报价单位资格要求：

1.满足《****点击查看政府采购法》第二十二条规定；

具体条件：

（1）提供法人或其他组织的营业执照等证明文件：供应商须是在中华人民**国境内注册的，具有独立法人资格的企业，具有有效的企业法人营业执照；

（2）具有良好的商业信誉和健全的财务会计制度：供应商是法人的，提供2024年度的财务报表或提供基本开户****点击查看银行出具的资信证明；部分其他组织或自然人参与投标没有****点击查看银行出具的资信证明（复印件或扫描件加盖供应商公章）；

（3）具有履行合同所必须的设备和专业技术能力：提供具备履行合同所必需的设备和专业技术能力的证明材料或提供书面声明（书面声明投标供应商可自拟格式）。

（4）具有依法缴纳税收和社保的良好记录：提供2024年以来任意一个月依法缴纳税收和社保的有效证明材料，成立未满三个月的投标供应商提供自成立以来依法缴纳税收和社保的有效证明材料，依法不缴纳社保及免税的投标供应商提供****点击查看机关出具的有效证明材料（复印件或扫描件加盖投标供应商公章）；

（5）参加本次采购活动前三年内，在经营活动中没有违法违规记录：提供参加采购活动前3年内在经营活动中没有重大违法记录的书面声明；

（6）法律、行政法规规定的其他条件：供应商须承诺在“信用中国”网站（www.****点击查看.cn）、中国政府采购网（www.****点击查看.cn）等渠道查询中未被列入失信被执行人名单、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中，如被列入失信被执行人、重大税收违法案件当事人名单、政府采购严重违法失信行为记录名单中的供应商取消其投标资格，并承担由此造成的一切法律责任及后果。（提供承诺函，格式自拟并加盖公章）。

2.供应商为本项目配备的实施人员应具备CISP等相关资质证书。

（三）项目工期要求:30日历天。

（四）采购预算:￥10000.00元（含）（大写：一万元整）以上￥30000.00元（不含）（大写：三万元整）以下。

（五）报价方式:采取总价包干。

（六）付款方式：项目完成验收后支付合同价款项。

（七）验收标准：提交合格的代码审计报告。

（八）实施时间及范围：自合同签订之日起30日内完成**市矿产品交易平台及APP代码审计工作，提供漏洞整改技术支撑。

（九）投标文件需在2025年9月12日12时00分前送达至****点击查看，联系地址：**市**区白金大道西****点击查看社区A5地块2栋12层，联系人：许老师，联系电话：189****点击查看5063，****点击查看公司放弃本次报价。 （十）本次采购不接受联合体投标。

（十一）采购结果在贵****点击查看集团有限公司官网公示3个工作日。

四、代码审计工作及要求

（一）服务原则

本次代码审计实施方案设计与具体实施应满足以下原则：

1.标准性原则：代码审计方案的设计与实施应依据国家相关标准进行。

2.规范性原则：投标人的工作中的过程和文档，具有很好的规范性，可以便于项目的跟踪和控制。

3.可控性原则：代码审计服务的进度要跟上进度表的安排，保证测评对于工作的可控性。

4.整体性原则：代码审计的范围和内容应当整体全面，包括国家相关要求涉及的各个层面。

5.最小影响原则：代码审计工作应尽可能小的影响系统和网络，并在可控范围内；代码审计工作不能对现有信息系统的正常运行、业务的正常开展产生任何影响。

（二）质量要求

服务方应提前制定详细的服务方案，****点击查看服务所遵循的标准、服务计划安排、使用的工具以及执行方式，保证提交的测试报告的规范性。

（三）代码审计报告交付

1.投标人应对采购人的信息系统进行代码审计，提供符合要求的测评报告，出具《**市矿产品数字化交易平台及富矿精开宝APP代码审计安全评估报告》纸质文档一式三份和电子文档一份。

（四）保密要求

1.投标人必须和采购人签订保密协议和非侵害性协议，投标人必须要与参加此次代码审计项目的所有项目组成员签订保密协议和非侵害性协议，在合同签订时一并提供给采购人。

2.投标人具体代码审计工作报告的编写，必须在采购人的指定地点进行。对于测评中的重要资料和结果，在代码审计期间和代码审计结束后，投标人不得带离该地点。

3.投标人对本规范书中的内容及在应标过程中接触的设备信息、数据资料等负有保密责任，不得泄露给任何第三方。无论投标人中标与否，其对上述内容的保密责任将长期存在。

五、资格审查

本项目投标单位的资格条件在递交响应文件时进行审查。投标单位在响应投标文件中按询价函的要求附上所有的资格证明文件，要求提供的复印件必须加盖单位公章，并在必要时提供原件备查。若提供的资格证明文件不全或不实，将导致其资格被取消。

六、响应文件要求

（一）被邀请参加本次采购的投标人必须具备足够资产及能力来有效地履行合同的服务单位，不接受联合体投标。

（二）投标文件组成内容如下：

1.代码审计方案；

2.承诺函；

3.其他相关资料。

（三）资质、投标文件必须确保密封，密封封面上应清楚地注明“XXX公司关于‘招标项目名称’资质及投标文件”字样。

七、采购原则

（一）评标方法：最低评标价法。

（二）定标原则：采用一次报价方式进行，最低报价为最优报价，最优报价为中选价。若出现相同报价情况，则从相同报价的申请人中，采取综合评定方式确定。

****点击查看

2025年9月5日

附件1

XXXX的承诺函

我公司慎重做出以下承诺：

一、****点击查看公司**市矿产品数字化交易平台数据、源代码、网络架构等情况保密。

二、****点击查看公司要求提交代码审计报告。

三、****点击查看公司相关要求。

如上述承诺不实，将承担由此产生的全部责任。

应答单位： （公章）

年 月 日