深圳市檔案局年度信息安全項(xiàng)目需求

1、精品文檔，值得擁有深圳市檔案局 2013 年度信息安全項(xiàng)目需求一、項(xiàng)目概況為確保我單位信息系統(tǒng)的穩(wěn)定、安全運(yùn)行，結(jié)合往年深圳市黨政機(jī)關(guān)信息安全聯(lián)合檢查和績(jī)效評(píng)估要求，特對(duì)“深圳市檔案局2013 年信息安全服務(wù)”項(xiàng)目進(jìn)行公開(kāi)招標(biāo)。本項(xiàng)目建設(shè)內(nèi)容為：深圳市檔案局2013 年信息安全服務(wù)項(xiàng)目。中標(biāo)人應(yīng)與建設(shè)單位就此項(xiàng)目簽訂合同。我單位信息系統(tǒng)相關(guān)資產(chǎn)數(shù)量如下：序號(hào)設(shè)備名稱(chēng) / 型號(hào)數(shù)量1服務(wù)器與存儲(chǔ)設(shè)備 112交換機(jī)、路由器等主要網(wǎng)絡(luò)設(shè)備 283內(nèi)外網(wǎng)防火墻、 IDS、 VPN等安全設(shè)備 24內(nèi)外網(wǎng)應(yīng)用系統(tǒng) 6二、項(xiàng)目目的及建設(shè)目標(biāo)依據(jù)國(guó)家、深圳市信息安全相關(guān)法規(guī)和指引文件，針對(duì)深圳市檔案局信息系統(tǒng)

2、進(jìn)行信息安全風(fēng)險(xiǎn)評(píng)估、 信息安全制度落實(shí)情況、安全防范措施落實(shí)情況、應(yīng)急響應(yīng)機(jī)制建設(shè)情況、信息技術(shù)產(chǎn)品和服務(wù)國(guó)產(chǎn)化情況、安全教育培訓(xùn)情況、責(zé)任追究情況、 安全隱患排查及整改情況等信息安全聯(lián)合檢查安全服務(wù)和績(jī)效評(píng)估信息安全顧問(wèn)服務(wù)，對(duì)安全服務(wù)過(guò)程中發(fā)現(xiàn)的脆弱點(diǎn)和問(wèn)題提出科學(xué)、可行、有效的修復(fù)加固計(jì)劃和建議，建立符合國(guó)家標(biāo)準(zhǔn)和深圳市電子政務(wù)要求的信息安全管理體系，并在一年的服務(wù)期內(nèi)，使系統(tǒng)的安全狀況得以長(zhǎng)期保持。三、項(xiàng)目依據(jù)1、國(guó)家信息化領(lǐng)導(dǎo)小組關(guān)于加強(qiáng)信息安全保障工作的意見(jiàn)（中辦發(fā) 200327號(hào)）2、政府信息系統(tǒng)安全檢查辦法（國(guó)辦發(fā) 200928號(hào)）3、深圳市人民政府信息系統(tǒng)安全檢查辦法（深府

3、辦 2009138號(hào)）4、國(guó)家網(wǎng)絡(luò)與信息安全協(xié)調(diào)小組關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的意見(jiàn)（國(guó)信辦20065 號(hào)）5、信息安全等級(jí)保護(hù)管理辦法( 公通字 200743 號(hào) )6、深圳市關(guān)于開(kāi)展信息安全風(fēng)險(xiǎn)評(píng)估工作的實(shí)施意見(jiàn)（深科信2006268 號(hào)）1 / 8精品文檔，值得擁有7、信息安全風(fēng)險(xiǎn)評(píng)估規(guī)范（GB/T20984-2007 ）8、深圳市信息安全風(fēng)險(xiǎn)評(píng)估實(shí)施指南9、檢查機(jī)構(gòu)運(yùn)作的一般規(guī)則（ISO-IEC 17020-2004）四、項(xiàng)目采購(gòu)范圍1） 根據(jù)深圳市信息安全風(fēng)險(xiǎn)評(píng)估指南和本年度信息化工作要求對(duì)深圳市檔案局包括業(yè)務(wù)系統(tǒng)、服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備等所有信息系統(tǒng)資產(chǎn)在內(nèi)的信息系統(tǒng)進(jìn)行信息

4、安全風(fēng)險(xiǎn)評(píng)估；2） 完成 2013 年深圳市黨政機(jī)關(guān)信息安全聯(lián)合檢查工作方案規(guī)定的全部工作；五、項(xiàng)目技術(shù)要求（一）安全服務(wù)內(nèi)容全年序號(hào)大類(lèi)描 述子類(lèi)工作內(nèi)容次數(shù)分析所有信息資產(chǎn) （包括硬件、 軟件、以信息資產(chǎn)為文檔和數(shù)據(jù)、人力、業(yè)務(wù)應(yīng)用、物理主線(xiàn)，分析信息環(huán)境、組織管理等）的穩(wěn)定性、可靠1系統(tǒng)可能面臨資產(chǎn)分析性、保密性、可用性、完整性等安全的威脅，當(dāng)前存屬性，對(duì)涉及安全的關(guān)鍵資產(chǎn)進(jìn)行確在的弱點(diǎn)，以及認(rèn)和劃控。弱點(diǎn)被襲擊或?qū)Y產(chǎn)（包括硬件、業(yè)務(wù)應(yīng)用、物理帶來(lái)破壞的可信 息環(huán)境、組織管理等）面臨哪些潛在威1能性及影響， 以威脅分析1.安 全此為基礎(chǔ)對(duì)當(dāng)脅，導(dǎo)致威脅的問(wèn)題所在，威脅發(fā)生風(fēng) 險(xiǎn)的可能性

5、有多大等問(wèn)題進(jìn)行分析。前信息系統(tǒng)的評(píng) 估從管理、技術(shù)兩方面，全面分析系統(tǒng)安全風(fēng)險(xiǎn)進(jìn)行1分析和定義。 根弱點(diǎn)分析存在的各種脆弱性，分析弱點(diǎn)被利用的可能性據(jù)聯(lián)合檢查要現(xiàn)有措施分析已有的安全措施對(duì)安全風(fēng)險(xiǎn)的控1求完成本年度分析制作用的風(fēng)險(xiǎn)評(píng)估工作。計(jì)算并得出當(dāng)前系統(tǒng)仍存在的風(fēng)險(xiǎn)，1風(fēng)險(xiǎn)分析并給出相應(yīng)控制和管理風(fēng)險(xiǎn)的建議2 / 8精品文檔，值得擁有全年序號(hào)大類(lèi)描 述子類(lèi)工作內(nèi)容次數(shù)編寫(xiě)真實(shí)、全面、準(zhǔn)確并符合深圳市評(píng)估報(bào)告信息安全風(fēng)險(xiǎn)評(píng)估指南要求的風(fēng)險(xiǎn)評(píng)1估報(bào)告編寫(xiě)真實(shí)、全面、準(zhǔn)確并符合深圳市評(píng)估總結(jié)信息安全風(fēng)險(xiǎn)評(píng)估指南要求的評(píng)估總1結(jié)2012 年 度信 息 安 全完善并落實(shí) 2012 年度信息安全聯(lián)合

6、檢1聯(lián) 合 檢 查查的整改工作整改2012 年 度信 息 安 全完善并落實(shí) 2012 年度信息安全風(fēng)險(xiǎn)評(píng)風(fēng) 險(xiǎn) 評(píng) 估1估的不可接受風(fēng)險(xiǎn)整改工作對(duì)在上年度聯(lián)不 可 接 受合聯(lián)合檢查中風(fēng)險(xiǎn)整改信息對(duì)現(xiàn)有信息安全管理體系中存在的問(wèn)發(fā)現(xiàn)的問(wèn)題進(jìn)系統(tǒng)管理加固題進(jìn)行優(yōu)化和完善，并協(xié)助甲方完成12.加固行加固修復(fù)， 包相關(guān)文檔的編寫(xiě)和宣傳含但不限于聯(lián)修復(fù)對(duì)全網(wǎng)的服務(wù)器進(jìn)行修復(fù)加固和漏洞合檢查整改、 風(fēng)評(píng)結(jié)論整改等。服務(wù)器加掃描。 Windows 服務(wù)器直接修復(fù)加固，1非 Windows 服務(wù)器協(xié)助甲方或維護(hù)廠固商完成修復(fù)加固對(duì)全網(wǎng)的網(wǎng)絡(luò)設(shè)備和安全設(shè)備進(jìn)行修1網(wǎng)絡(luò)加固復(fù)加固和漏洞掃描應(yīng)用系統(tǒng)為所有 B/S

7、和 C/S 架構(gòu)的應(yīng)用系統(tǒng)提1和數(shù)據(jù)庫(kù)供修復(fù)加固技術(shù)支持和優(yōu)化服務(wù)系統(tǒng)加固3 / 8精品文檔，值得擁有全年序號(hào)大類(lèi)描 述信 息安 全建立與完善信制 度3.息安全管理體自查系與優(yōu)化檢查現(xiàn)有信息安全系統(tǒng)中安全防防范范措施的落實(shí)4. 措 施 情況，對(duì)不符合自 查 檢查要求的現(xiàn)與 優(yōu) 狀和措施進(jìn)行化優(yōu)化和整改子類(lèi)工作內(nèi)容安 全 策 略確認(rèn)主機(jī)操作系統(tǒng)、應(yīng)用系統(tǒng)的安全加固策略未被更改或還原安 全 設(shè) 備對(duì)安全設(shè)備中的配置、策略進(jìn)行加固加固修復(fù)信息安全查找現(xiàn)有信息安全管理制度與聯(lián)合檢制度自查查要求之間的差距建立與完善深圳市檔案局的信息安全信息安全管理機(jī)構(gòu)、信息安全管理制度，建立管理體系符合我單位信息系統(tǒng)現(xiàn)

8、狀的信息安全建設(shè)服務(wù)管理體系外包軟件對(duì)我單位使用的外包開(kāi)發(fā)軟件在投入安全檢測(cè)使用前的進(jìn)行安全檢測(cè)對(duì)我單位內(nèi)網(wǎng)信息系統(tǒng)進(jìn)行科學(xué)、合理的安全域設(shè)計(jì)和劃分安全域劃對(duì)我單位內(nèi)網(wǎng)各安全域進(jìn)行科學(xué)、合分與建設(shè)理的定性定級(jí)防護(hù)編制各安全域的安全防護(hù)設(shè)計(jì)方案，并協(xié)助我單位實(shí)施協(xié)助我單位保密部門(mén)，對(duì)涉密計(jì)算機(jī)和涉密存儲(chǔ)介質(zhì)進(jìn)行檢查。檢查內(nèi)容保密檢查包括：非法外聯(lián)、物理隔離、移動(dòng)存儲(chǔ)介質(zhì)的混用、密件處理、監(jiān)控軟件狀態(tài)等收集統(tǒng)計(jì)我單位在使用的計(jì)算機(jī)資產(chǎn)計(jì)算機(jī)資下列信息，包含：產(chǎn)統(tǒng)計(jì)a ）計(jì)算機(jī)主機(jī)名；次數(shù)11114 / 8精品文檔，值得擁有全年序號(hào)大類(lèi)描 述子類(lèi)工作內(nèi)容次數(shù)b ）計(jì)算機(jī) IP 地址；c ）計(jì)算機(jī) M

9、AC地址；d ）計(jì)算機(jī)使用人或責(zé)任人；e ）計(jì)算機(jī)所屬部門(mén)；f）計(jì)算機(jī)的物理位置；g ）服務(wù)器的內(nèi)外網(wǎng)IP 對(duì)應(yīng)。協(xié)助完成我單位所有網(wǎng)站在公安網(wǎng)監(jiān)網(wǎng)站備案部門(mén)的備案，并取得國(guó)際聯(lián)網(wǎng)備案登記證書(shū)和備案編號(hào)等證明文件安全防范技術(shù)措施檢查我單位信息系統(tǒng)現(xiàn)有安全防范技有效性檢術(shù)措施的有效性查建立符合信息應(yīng)急系統(tǒng)現(xiàn)狀的科體系學(xué)有效的應(yīng)急5.建設(shè)預(yù)案，并制定演與演練計(jì)劃進(jìn)行預(yù)練案演練和驗(yàn)證應(yīng)急預(yù)案制定應(yīng)急預(yù)案演練應(yīng)急預(yù)案建設(shè)對(duì)我單位所有等保三級(jí)及以上信息系統(tǒng)和對(duì)公眾服務(wù)的信息系統(tǒng)制定科學(xué)、有效的應(yīng)急預(yù)案應(yīng)急技術(shù)支援隊(duì)伍的建設(shè)針應(yīng)急預(yù)案的特點(diǎn)，建立合理、高效的應(yīng)急技術(shù)支援隊(duì)伍1演練計(jì)劃制定對(duì)我單位所有等保三

10、級(jí)及以上信息系統(tǒng)和對(duì)公眾服務(wù)的信息系統(tǒng)制定科學(xué)、合理地的應(yīng)急演練計(jì)劃演練預(yù)案培訓(xùn)就應(yīng)急預(yù)案內(nèi)容對(duì)信息化相關(guān)崗位人員進(jìn)行培訓(xùn)5 / 8精品文檔，值得擁有全年序號(hào)大類(lèi)描 述子類(lèi)工作內(nèi)容次數(shù)應(yīng)急演練實(shí)施對(duì)應(yīng)急預(yù)案進(jìn)行演練，驗(yàn)證其可行性，并對(duì)發(fā)現(xiàn)的問(wèn)題進(jìn)行修正應(yīng)急預(yù)案結(jié)合應(yīng)急預(yù)案演練情況對(duì)預(yù)案進(jìn)修訂行修訂和完善技術(shù)方案咨詢(xún)：就新應(yīng)用系統(tǒng)上線(xiàn)或?qū)?系 統(tǒng) 改網(wǎng)絡(luò)結(jié)構(gòu)改造、擴(kuò)容等為我單位信息信息系統(tǒng)提供例行6. 安 全全面的專(zhuān)業(yè)信服務(wù)息安全服務(wù)造、擴(kuò)建，提供技術(shù)方案設(shè)計(jì)新系統(tǒng)的上技術(shù)論證咨詢(xún)：顧問(wèn)咨詢(xún)不限次線(xiàn)等提供技對(duì)新的安全體系的技術(shù)論證和安術(shù)特點(diǎn)、功能進(jìn)行論證全咨詢(xún)技術(shù)交流咨詢(xún)：就信息安全領(lǐng)域新的技術(shù)

11、、體系與客戶(hù)分享行業(yè)動(dòng)態(tài)通報(bào)：對(duì)信息安全領(lǐng)域的動(dòng)定期通報(bào)安態(tài)進(jìn)行通報(bào)全 行 業(yè) 動(dòng)安全漏洞通報(bào)：安全通報(bào)態(tài)、系統(tǒng)漏對(duì)新出現(xiàn)的安全漏洞 24洞和病毒預(yù)進(jìn)行通報(bào)警信息病毒安全通報(bào)：對(duì)新出現(xiàn)的較嚴(yán)重病毒進(jìn)行通報(bào)聯(lián) 合未在上述逐一列舉的2013 年嚴(yán)格按照 2013 年信息安全聯(lián)合檢查要7.檢 查信息安全聯(lián)合檢查的其它服1求的，準(zhǔn)時(shí)、優(yōu)質(zhì)的完成各項(xiàng)服務(wù)相 關(guān)務(wù)6 / 8精品文檔，值得擁有全年序號(hào)大類(lèi)描 述子類(lèi)工作內(nèi)容次數(shù)服務(wù)（二）安全服務(wù)要求1、信息安全風(fēng)險(xiǎn)評(píng)估要求：風(fēng)險(xiǎn)評(píng)估的范圍要全面包括深圳市檔案局的所有信息系統(tǒng)資產(chǎn)；對(duì)內(nèi)網(wǎng)、外網(wǎng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備進(jìn)行詳細(xì)的安全風(fēng)險(xiǎn)分析；風(fēng)險(xiǎn)評(píng)估全過(guò)程產(chǎn)

12、生的所有過(guò)程文檔、原始數(shù)據(jù)、掃描報(bào)告、正式報(bào)告等必須進(jìn)行電子和紙制雙重歸檔，在項(xiàng)目結(jié)束后一并移交給甲方；擔(dān)任用戶(hù)單位計(jì)算機(jī)網(wǎng)絡(luò)和主機(jī)系統(tǒng)的安全顧問(wèn)，在網(wǎng)絡(luò)和主機(jī)系統(tǒng)進(jìn)行升級(jí)、擴(kuò)建時(shí)，提供安全風(fēng)險(xiǎn)評(píng)估，并提供安全修補(bǔ)建議。2、信息安全服務(wù)要求：安全防范技術(shù)措施落實(shí)情況的核查務(wù)必真實(shí)準(zhǔn)確，確保在規(guī)定的時(shí)間內(nèi)完成核查并匯編成冊(cè)后上報(bào)信息辦；信息系統(tǒng)應(yīng)急預(yù)案必須以信息系統(tǒng)真實(shí)業(yè)務(wù)流程為基礎(chǔ)，要求科學(xué)、有效；信息系統(tǒng)應(yīng)急預(yù)案演練過(guò)程的文檔、會(huì)議紀(jì)要、修訂文檔等必須進(jìn)行電子和紙制雙重歸檔，在項(xiàng)目結(jié)束后一并移交給甲方；服務(wù)范圍和項(xiàng)目實(shí)施要求以 2013 年市經(jīng)信委下發(fā)的關(guān)于 2013 年深圳市黨政機(jī)關(guān)信息安

13、全聯(lián)合檢查工作的相關(guān)文件為準(zhǔn)。六、項(xiàng)目驗(yàn)收1. 在聯(lián)合檢查現(xiàn)場(chǎng)檢查前完成所有的準(zhǔn)備工作，并移交項(xiàng)目中的電子和紙制過(guò)程文檔；2. 在材料上報(bào)的各階段準(zhǔn)時(shí)完成所有聯(lián)合檢查材料的上報(bào)；3. 風(fēng)險(xiǎn)評(píng)估結(jié)果全面、真實(shí)、可靠，風(fēng)險(xiǎn)評(píng)估報(bào)告及整改建議滿(mǎn)足黨政機(jī)關(guān)信息安全聯(lián)合檢查相關(guān)要求；4. 信息安全管理制度齊全有效， 內(nèi)容可操作性強(qiáng)， 并滿(mǎn)足黨政機(jī)關(guān)信息安全聯(lián)合檢查的相關(guān)要求；5. 安全防范技術(shù)措施落實(shí)情況的核查務(wù)必真實(shí)準(zhǔn)確， 確保在規(guī)定的時(shí)間內(nèi)完成核查并匯編成冊(cè)后上報(bào)信息辦；6. 信息系統(tǒng)應(yīng)急預(yù)案必須以信息系統(tǒng)的真實(shí)業(yè)務(wù)流程為基礎(chǔ)，科學(xué)有效可操作；7 / 8精品文檔，值得擁有7. 信息系統(tǒng)應(yīng)急預(yù)案演練過(guò)

14、程的文檔、 會(huì)議紀(jì)要、 修訂文檔等必須進(jìn)行電子和紙制雙重歸檔，在項(xiàng)目結(jié)束后一并移交給甲方；七、項(xiàng)目總體要求投標(biāo)人必須響應(yīng)并承諾下列要求：1.投標(biāo)人在項(xiàng)目中用于安全檢測(cè)使用的安全產(chǎn)品必須為廠商正版授權(quán)、符合國(guó)家安全標(biāo)準(zhǔn)及用戶(hù)提出的有關(guān)質(zhì)量標(biāo)準(zhǔn)的設(shè)備和產(chǎn)品。2. 項(xiàng)目服務(wù)周期為合同簽定后一年。八、評(píng)分標(biāo)準(zhǔn)序號(hào)評(píng)分因素投標(biāo)報(bào)價(jià)一共 10 分服務(wù)方案二共 60 分投標(biāo)人專(zhuān)業(yè)實(shí)力和安全三服務(wù)經(jīng)驗(yàn)與業(yè)績(jī)共 30 分分值評(píng)價(jià)內(nèi)容投標(biāo)報(bào)價(jià)價(jià)格分=（評(píng)標(biāo)基準(zhǔn)價(jià) / 投標(biāo)報(bào)價(jià)） 10。10 評(píng)標(biāo)基準(zhǔn)價(jià)為滿(mǎn)足招標(biāo)文件要求且投標(biāo)價(jià)格最低的投標(biāo)報(bào)價(jià)。20依據(jù)整體服務(wù)內(nèi)容的完整性、合理性情況在20 分內(nèi)打分。20依據(jù)制定的安全服務(wù)計(jì)劃的合規(guī)性、科學(xué)性、可操作性）在 20 分內(nèi)打分。根據(jù)投標(biāo)人的在深圳技術(shù)隊(duì)伍情況及質(zhì)量保證措施在20分內(nèi)打分。20 ( 須提供以上人員加蓋深圳社會(huì)保險(xiǎn)基金管理中心印章的打印日期在本項(xiàng)目投標(biāo)截止日之前兩月以?xún)?nèi)任意一個(gè)月的企業(yè)社保相關(guān)證明材料 ) 。專(zhuān)業(yè)資質(zhì)與信譽(yù)：根據(jù)投標(biāo)人所提供的信息安全服務(wù)資質(zhì)10 在 10 分內(nèi)打分。（須提供公安部門(mén)網(wǎng)站截圖或資質(zhì)復(fù)印件并加蓋投標(biāo)單位公章）專(zhuān)業(yè)安全服務(wù)經(jīng)驗(yàn)：根據(jù)投標(biāo)人下列因素在15 分內(nèi)打分。具有信息安全等級(jí)保護(hù)、風(fēng)險(xiǎn)評(píng)估、安全維護(hù)服務(wù)的經(jīng)驗(yàn)和能力，熟悉深圳市政府部門(mén)安全服務(wù)和等級(jí)保