2017年-2018年信息安全服务工作采购预告
项目名称:2017-2018年信息安全服务
一、 采购需求
1. 项目概述
为确保**市**新区网络及信息系统的稳定、安全运行,结合2016****机关信息安全联合检查要求,特对2017年-2018年“信息安全服务”项目进行公开招标。
2. 建设目标
依据国家、**市信息安全相关政策法规和指引文件,针对**市**新区信息系统进行信息安全风险评估、等级保护、保密安全检查、网站安全测评、应急预案建设与演练、安全教育培训、安全隐患排查及整改、下属机构信息安全检查,协作**市**新区进行2017年-2018年全市信息安全联合检查的自查、优化与总结等安全服务,对安全服务过程中发现的脆弱点和问题进行修复加固,建立符合国家标准的信息安全管理体系,并根据修复加固的结果,建立符合**市**新区实际情况的安全保障体系和规划设计方案,并在服务期内,定期对信息系统进行安全检测和修复加固,使系统的安全状况得以长期保持。
3. 项目依据及参考标准
1****小组《关于加强信息安全保障工作的意见》(中办发[2003]27号)
2)《政府信息安全检查办法》(国办发[2009]28号)
3)《****政府信息系统安全检查办法》(深府办[2009]138号)
4)国家网****小组《关于开展信息安全风险评估工作的意见》(国信办[2006]5号)
5)**市关于开展信息安全风险评估工作的实施意见(深科信[2006]268号)
6)关于印发《2016****机关信息安全联合检查工作方案》的通知(深办字[2016]35号)
7)《**市信息安全风险评估实施指南》
8)《信息安全技术--信息安全风险评估规范》(GB/T20984-2007)
9)《信息安全技术 信息系统安全保护等级保护定级指南》(GB/T 22240-2008)
10)《信息安全技术 信息系统安全等级保护基本要求》(GB/T 22239-2008)
11)《信息安全服务评估准则》中国****认证中心
12)《信息安全工程质量管理要求》中国****认证中心
13)《信息技术安全技术信息技术安全性评估准则》(GB/T18336-2001)
14)《电子计算机场地通用规范》(GB/T2887-2000)
15)《计算机场地安全要求》(GB9361-1989)
16)《信息技术——信息安全管理实施细则》(ISO/IEC17799:2000)
17)《信息技术——信息安全管理实施规范》(ISO/IEC27001:2005)
18)《信息安全技术操作系统安全技术要求》(GB/T20272-2006)
19)《信息安全技术数据库管理系统安全技术要求》(GB/T20273-2006)
20)《信息安全技术网络基础安全技术要求》(GB/T****02006)
21)《信息安全技术网络交换机安全技术要求》(GB/T21050-2007)
4. 采购范围
本次招标的采购范围包括以下几方面:
4.1. 根据**市信息安全风险评估指**本年度信息化工作要求对**市**新区包括应用系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估。
4.2. 对**市**新区信息系统进行全面的梳理,协助**市**新区对已定级信息系统进行自测评,找出现有系统与等级保护国标要求的差距。对未定级的信息系统,在等级保护国标的指导下,协助**市**新区依据信息系统的真实现状进行定级。
4.3. 对**市**新区提供保密安全检查、安全防范技术措施落实情况核查与优化、应急预案建设与演练、公众服务系统安全检测、安全培训等安全服务。
4.4. 根据《2017-2018****政府绩效评估信息安全指标监测方案》要求,每季度定期提供业务系统服务器漏洞扫描、对外服务网站应用层漏洞扫描、网页防篡改状态检查、互联网安全保护技术状态检查、业务系统服务器密码策略核查、业务系统服务器恶意代码防范工具状态检查、个人终端漏洞扫描测试,并协助**市**新区对发现的问题和漏洞进行修复。
5. 技术要求
5.1. 服务器及相关信息系统资产数量:
序号 | 设备名称/型号 | 数量 |
1 | 服务器及存储设备 | 68 |
2 | 交换机、路由器等主要网络设备 | 60 |
3 | 内外网安全设备 | 14 |
4 | 内外网应用系统 | 27 |
5.2. 安全服务内容
序号 | 大类 | 描 述 | 子类 | 工作内容 | 全年 次数 | |
1. | 信息安全风险评估 | 以信息资产为主线,分析信息系统可能面临的威胁,当前存在的弱点,以及弱点被威胁所利用的可能性及影响,以此为基础对当前信息系统的安全风险进行分析和定义。根据联合检查要求完成本年度的风险评估工作。 | 资产分析 | 分析所有信息资产的保密性、可用性、完整性安全属性,确认关键资产。 | 1 | |
威胁分析 | 对资产面临哪些潜在威胁,导致威胁的问题所在,威胁发生的可能性有多大等问题进行分析。 | 1 | ||||
弱点分析 | 从管理、技术两方面,全面分析系统存在的各种脆弱性,分析弱点被利用的可能性。 | 1 | ||||
现有措施分析 | 分析已有的安全措施对安全风险的控制作用。 | 1 | ||||
风险分析 | 计算并得出当前系统仍存在的风险,并给出相应控制和管理风险的建议。 | 1 | ||||
评估报告 | 编写真实、全面、准确并符合**市信息安全风险评估指南要求的风险评估报告。 | 1 | ||||
评估总结 | 编写真实、全面、准确并符合**市信息安全风险评估指南要求的评估总结。 | 1 | ||||
2. | 安全管理体系修订与完善 | 协助**新区建立与完善信息安全管理体系 | 信息安全管理体系建设服务 | 建立与完善**市**新区的信息安全管理机构、信息安全管理制度,建立符合新区信息系统现状的信息安全管理体系。 | 1 | |
3. | 信息安全培训 | 全员信息安全意识及常识培训 | 全员信息安全意识及常识培训 | 制订完善的培训计划,提供一次全员信息安全意识培训。 | 1 | |
4. | 安全防范措施及安全保密与优化 | 检查现有系统的安全防范措施和安全保密落实情况,对不符合检查要求的现状和措施进行优化和整改 | 安全防范技术措施有效性检查 | 检查新区信息系统现有安全防范技术措施的有效性。 | 1 | |
安全防护措施落实情况检查与优化 | 检查新区信息系统现有安全防范技术措施的落实情况,并对联合检查要求的内容进行整改和优化。 | |||||
移动存储介质的保密存储落实情况 | 检查新区信息系统中移动存储介质的保密存储落实情况。 | |||||
保密检查 | 协助新区保密部门,对涉密存储介质和涉密节点进行检查,检查内容包括:非法外联、物理隔离、移动存储介质的混用、密件处理等。 | |||||
5. | 信息安全等级保护顾问服务 | 协作新区对未定级信息系统进行识别,向相关部门定级、备案; | 信息系统定级 | 根据信息安全等级保护相关国标要求对信息系统进行定级,******局提交信息系统定级相关的所有材料。 | 1 | |
信息系统自测评与整改 | 对已申报定级的信息系统进行自测评,找出信息系统现状与等级保护要求之间的差距,出具自测评报告。编写整改方案,确保信息系统达到所定等级的安全保护要求。 | |||||
6. | 应急预案建设与演练 | 建立符合信息系统现状的科学的应急预案,并制定演练计划进行预案演练和验证。 | 应急预案制定与修编 | 为**新区制定科学、有效的应急预案,协助**新区建立应急技术队伍。 | 1 | |
专项应急预案制定 | 为**新区重要信息系统制定信息安全突发事件应急处置专项预案。 | |||||
应急预案演练 | 对应急预案进行演练,验证其可行性,并对发现的问题进行修正。 形成应急演练记录,包括应急演练脚本、参与演练人员、相关视频、相关图片、总结报告、改进措施。 | |||||
7. | 联合检查 自查总结分析 报告 | 根据****机关信息安全联合检查要求,编写联合检查自查总结分析报告。 | 外部安全形势分析报告 | 核查并提交单位外部威胁的趋势分析图表; 核查并提交单位重要资产类的外部威胁趋势分析图表; 核查并提交各信息系统外部威胁对比分析及发展趋势。 | 1 | |
内部防范措施有效性分析报告 | 核查并提交各种内部防范措施有效性的趋势分析图表; 核查并提交各种内部防范措施有效性的对比分析图表。 | |||||
8. | 信息安全服务 | | 顾问咨询 | 对系统改造、扩建,新系统的上线等提供技术论证和安全咨询。 | 技术方案咨询: 就新应用系统上线或网络结构改造、扩容等提供技术方案设计。 | 不限次 |
技术论证咨询: 对新的安全体系的技术特点、功能进行论证。 | ||||||
技术交流咨询: 就信息安全领域新的技术、体系与客户分享。 | ||||||
安全通报 | 定期通报安全行业动态、系统漏洞和病毒预警信息。 | 行业动态通报: 对信息安全领域的动态进行通报。 | 24 | |||
漏洞安全通报: 对新出现的安全漏洞进行通报。 | ||||||
病毒安全通报: 对新出现的较严重病毒进行通报。 | ||||||
9. | 年度安全服务 | 安全检测服务 | 定期系统安全检测 | 每季一次 | 定期对服务器、网络设备、终端电脑、安全设备进行安全检测并做出分析报告。 | 4 |
安全修复加固服务 | 定期安全修复加固 | 每月一次 | 对定期安全检测发现的漏洞隐患进行修复加固。包含补丁加固服务、防病毒管理服务等。 | 12 | ||
安全保障服务 | 定期安全审计服务 | 每季一次 | 对信息系统在一段时间内的运行日志进行审计,分析系统可能受到的安全威胁和发生的安全事件。包含主干协议分析等。 | 4 | ||
网络安全运行检测 | 每月一次 | 定期分析网络主干的流量组成,分析网络使用者的操作行为,对网络健康状况进行检查。 | 12 | |||
10. | 服务器安全 防护 | 服务器安全 检测 | 服务器漏洞检测与分析 | 定期对服务器进行安全检测并做出分析报告。按市“信息安全”指标考评要求,协助**新区完成检测、漏洞修复及结果上报工作。 | 2 | |
11. | 网站安全防护 | 公众服务网站系统安全检测 | 网站系统漏洞检测与分析 | 定期对公众服务网站系统进行安全检测并做出分析报告。按市“信息安全”指标考评要求,协助**新区完成检测、漏洞修复及结果上报工作。 | 2 | |
12. | 终端安全防护 | 终端安全检测 | 终端漏洞 检测与 分析 | 定期对终端电脑进行安全检测并做出分析报告。按市“信息安全”指标考评要求,协助**新区完成检测、漏洞修复及结果上报工作。 | 2 | |
13. | 终端安全措施抽查 | 终端安全措施抽查 | 协****机关各处室及委属各单位终端防病毒软件安装、病毒库更**操作系统补丁及时更新情况抽查,并协助完成整改工作。 | 2 | ||
14. | 辖区及下属机构信息安全检查 | 协助**市**新区组织开展辖区及下属机构信息安全检查工作。 | 检查方案 | 协助**市**新区制定辖区及下属机构信息安全检查工作方案。 | 1 | |
检查实施 | 为**市**新区在辖区及下属机构信息安全现场检查过程中提供相关技术支持。 | |||||
15. | 联合检查自查总结 | 根据****机关信息安全联合检查要求,编写联合检查自查总结分析 报告。 | 自查与 整改 | 按照**市信息安全联合工作主管部门相关文件要求协助**新区完成2017-2018年信息安全联合检查差距分析和整改。 | 1 | |
材料汇编 | 按照上级相关文件要求协助**新区编制2017-2018年信息安全检查相关材料。 | 1 |
6. 服务要求
6.1. 信息安全风险评估要求:
6.1.1. 对**市**新区所有主机服务器的操作系统、数据库系统等进行不定期的安全防护和打系统漏洞补丁,对路由器和交换机的端口和配置进行安全检测与安全配置;
6.1.2. 定期对内网、外网网络、主机服务器及所有客户端电脑进行安全风险分析;对所有主机服务器的端口、配置进行定期的安全检查、对操作系统级和数据库级的系统安全漏洞进行安全处理和打补丁;
6.1.3. 风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档,在项目结束后一并移交给甲方;
6.1.4. 担任用户单位计算机网络和主机系统的安全顾问,在网络和主机系统进行升级、扩建时,提供安全风险评估,并提供安全修补建议;
6.1.5. 为用户单位提供不限次数的信息系统应急响应服务。
6.2. 其它安全服务要求:
6.2.1. 安全保密检查中需配备不低于2名的专项人力**。
6.2.2. 安全防范技术措施落实情况的核查务必真实准确,汇报成册。
6.2.3. 信息系统应急预案必须以信息系统真实业务流程为基础,真实科学准确。
6.2.4. ★年度化安全服务要求至少派3名信息安全专业工程师提供两年驻场服务。
6.2.5. 信息系统应急预案演练过程文档、会议纪要、修订文档等必须进行电子和纸制双重归档,在项目结束后一并移交给采购单位。
6.3. 服务期限:合同签订起两年。
文件下载
招标导航更多>>
工程建筑
交通运输
环保绿化
医疗卫生
仪器仪表
水利水电
能源化工
弱电安防
办公文教
通讯电子
机械设备
农林牧渔
市政基建
政府部门
换一批