網(wǎng)絡(luò)與信息安全服務(wù)項(xiàng)目需求

1、網(wǎng)絡(luò)與信息安全服務(wù)項(xiàng)目需求一、項(xiàng)目說(shuō)明（一）項(xiàng)目背景和目的：近年來(lái)，國(guó)家對(duì)機(jī)關(guān)事業(yè)單位網(wǎng)絡(luò)與信息安全的重視程度不斷加強(qiáng)，網(wǎng)絡(luò)與信息安全相關(guān)的政策、法規(guī)、標(biāo)準(zhǔn)接連出臺(tái)，在風(fēng)險(xiǎn)評(píng)估、等級(jí)保護(hù)、保密要求等各個(gè)方面均提出了越來(lái)越明確的要求，不斷完善了相應(yīng)的評(píng)估標(biāo)準(zhǔn)體系。上級(jí)文件明確提出了單位如果信息安全技術(shù)力量不足，可以購(gòu)買網(wǎng)絡(luò)與信息安全服務(wù)。進(jìn)一步掌握單位網(wǎng)絡(luò)與信息安全現(xiàn)狀，發(fā)現(xiàn)和解決安全隱患，建立健全管理制度，增強(qiáng)信息系統(tǒng)安全，在風(fēng)險(xiǎn)評(píng)估的基礎(chǔ)上進(jìn)行安全漏洞掃描。通過(guò)風(fēng)險(xiǎn)評(píng)估各階段工作，識(shí)別出信息系統(tǒng)存在的各種安全隱患以及風(fēng)險(xiǎn)發(fā)生的可能性，通過(guò)安全漏洞掃描發(fā)現(xiàn)系統(tǒng)存在漏洞情況，確保評(píng)估中發(fā)現(xiàn)的問(wèn)題

2、及時(shí)得到解決，切實(shí)提高中心的網(wǎng)絡(luò)與信息安全建設(shè)水平。（二）項(xiàng)目依據(jù)及參考標(biāo)準(zhǔn)1.中華人民共和國(guó)網(wǎng)絡(luò)安全法；2.廣東省衛(wèi)生健康委辦公室關(guān)于進(jìn)一步加強(qiáng)疫情防控期間網(wǎng)絡(luò)信息安全工作的通知；3. 關(guān)于啟動(dòng)“護(hù)網(wǎng)2020”網(wǎng)絡(luò)安全專項(xiàng)工作的通知（深網(wǎng)安通 20201號(hào)）；4.深圳市新型冠狀病毒肺炎疫情防控相關(guān)信息系統(tǒng)網(wǎng)絡(luò)安全專項(xiàng)檢查工作方案；5.市衛(wèi)生健康委員會(huì)關(guān)于開(kāi)展2020年度深圳市衛(wèi)生健康委員會(huì)信息安全專項(xiàng)檢查工作的通知；6.黨委(支委)匯報(bào)網(wǎng)絡(luò)安全責(zé)任制考核；7.關(guān)于進(jìn)一步加強(qiáng)南山區(qū)疫情防控?cái)?shù)據(jù)安全工作的通知；8.關(guān)于做好全國(guó)“兩會(huì)”暨深圳經(jīng)濟(jì)特區(qū)成立40周年重點(diǎn)保障期間網(wǎng)絡(luò)安全防護(hù)工作的通知。

3、二、項(xiàng)目?jī)?nèi)容（一）服務(wù)期限：合同簽訂之日起至1年。（二）服務(wù)內(nèi)容要求：序號(hào)大類描 述子類工作內(nèi)容全年次數(shù)1網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估以信息資產(chǎn)為主線，分析信息系統(tǒng)可能面臨的威脅，當(dāng)前存在的弱點(diǎn)，以及弱點(diǎn)被威脅所利用的可能性及影響，以此為基礎(chǔ)對(duì)當(dāng)前信息系統(tǒng)的安全風(fēng)險(xiǎn)進(jìn)行分析和定義。根據(jù)聯(lián)合檢查要求完成本年度的風(fēng)險(xiǎn)評(píng)估工作。資產(chǎn)分析分析所有信息資產(chǎn)（包括硬件、軟件、文檔和數(shù)據(jù)、人力、業(yè)務(wù)應(yīng)用、物理環(huán)境、組織管理等）的保密性、可用性、完整性安全屬性，確認(rèn)關(guān)鍵資產(chǎn)；至少1次威脅分析對(duì)資產(chǎn)（包括硬件、業(yè)務(wù)應(yīng)用、物理環(huán)境、組織管理等）面臨哪些潛在威脅，導(dǎo)致威脅的問(wèn)題所在，威脅發(fā)生的可能性有多大等問(wèn)題進(jìn)行分析；

4、弱點(diǎn)分析從管理、技術(shù)兩方面，全面分析系統(tǒng)存在的各種脆弱性，分析弱點(diǎn)被利用的可能性；現(xiàn)有措施分析分析已有的安全措施對(duì)安全風(fēng)險(xiǎn)的控制作用；風(fēng)險(xiǎn)分析計(jì)算并得出當(dāng)前系統(tǒng)仍存在的風(fēng)險(xiǎn)，并給出相應(yīng)控制和管理風(fēng)險(xiǎn)的建議；評(píng)估報(bào)告編寫(xiě)真實(shí)、全面、準(zhǔn)確并符合深圳市網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估指南要求的風(fēng)險(xiǎn)評(píng)估報(bào)告；評(píng)估總結(jié)編寫(xiě)真實(shí)、全面、準(zhǔn)確并符合深圳市網(wǎng)絡(luò)與信息安全風(fēng)險(xiǎn)評(píng)估指南要求的評(píng)估總結(jié)。2網(wǎng)絡(luò)安全等級(jí)保護(hù)服務(wù)網(wǎng)絡(luò)安全等級(jí)保護(hù)相關(guān)工作信息系統(tǒng)等級(jí)保護(hù)定級(jí)備案完成所有信息系統(tǒng)的等級(jí)保護(hù)定級(jí)和在公安網(wǎng)監(jiān)部門的備案工作，并取得公安網(wǎng)監(jiān)部門的等級(jí)保護(hù)備案證明。至少1次網(wǎng)絡(luò)與信息安全等級(jí)保護(hù)測(cè)評(píng)自查完成信息系統(tǒng)等保測(cè)評(píng)自

5、查至少1次協(xié)助開(kāi)展網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)為第三方測(cè)評(píng)機(jī)構(gòu)開(kāi)展信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)測(cè)評(píng)提供技術(shù)支持、全力配合測(cè)評(píng)工作。至少1次3網(wǎng)絡(luò)與信息安全制度自查與優(yōu)化建立與完善網(wǎng)絡(luò)與信息安全管理體系網(wǎng)絡(luò)與信息安全制度自查找出現(xiàn)有網(wǎng)絡(luò)與信息安全管理制度與聯(lián)合檢查要求之間的差距至少1次網(wǎng)絡(luò)與信息安全管理體系建設(shè)服務(wù)建立與完善南山疾控的網(wǎng)絡(luò)與信息安全管理機(jī)構(gòu)、網(wǎng)絡(luò)與信息安全管理制度，建立符合南山疾控信息系統(tǒng)現(xiàn)狀的網(wǎng)絡(luò)與信息安全管理體系4安全通報(bào)服務(wù)安全通報(bào)服務(wù)行業(yè)動(dòng)態(tài)通報(bào)漏洞安全通報(bào)病毒安全通報(bào)不限次5應(yīng)急預(yù)案建設(shè)與演練服務(wù)應(yīng)急預(yù)案制定及修訂、組織開(kāi)展年度應(yīng)急演練應(yīng)急預(yù)案制定及修訂、組織開(kāi)展年度應(yīng)急演練至少1

6、次6網(wǎng)絡(luò)與信息安全培訓(xùn)服務(wù)全員網(wǎng)絡(luò)與信息安全意識(shí)及常識(shí)培訓(xùn)組織開(kāi)展全員網(wǎng)絡(luò)與信息安全意識(shí)及常識(shí)培訓(xùn)至少1次7應(yīng)急響應(yīng)應(yīng)急響應(yīng)服務(wù)應(yīng)急響應(yīng)服務(wù)不限次8安全檢測(cè)信息系統(tǒng)、服務(wù)器漏洞掃描信息系統(tǒng)、服務(wù)器漏洞掃描至少一個(gè)季度一次移動(dòng)應(yīng)用漏洞掃描移動(dòng)應(yīng)用漏洞掃描至少一個(gè)季度一次，如有上級(jí)文件要求，不限于一季度一次9顧問(wèn)咨詢服務(wù)對(duì)系統(tǒng)改造、擴(kuò)建，新系統(tǒng)的上線等提供技術(shù)論證和安全咨詢技術(shù)方案咨詢技術(shù)論證咨詢技術(shù)交流咨詢至少1次10巡檢服務(wù)對(duì)甲方的網(wǎng)絡(luò)與信息安全設(shè)備、網(wǎng)絡(luò)設(shè)備、服務(wù)器和應(yīng)用終端等進(jìn)行季度巡檢服務(wù)。設(shè)備季度巡檢服務(wù)4次11與上級(jí)主管單位的網(wǎng)絡(luò)與信息安全服務(wù)對(duì)接與區(qū)政數(shù)局、區(qū)衛(wèi)健局和區(qū)醫(yī)學(xué)信息中心

7、等單位的第三方網(wǎng)絡(luò)與信息安全服務(wù)對(duì)接與區(qū)政數(shù)局、區(qū)衛(wèi)健局和區(qū)醫(yī)學(xué)信息中心等單位的第三方網(wǎng)絡(luò)與信息安全服務(wù)對(duì)接，完成上級(jí)主管單位要求的日常網(wǎng)絡(luò)與信息安全相關(guān)工作。不限次12參與我中心的信息化建設(shè)與管理參與我中心的信息化建設(shè)與管理參與我中心信息化項(xiàng)目需求收集、立項(xiàng)、上線、管理等工作及科室安排的相關(guān)信息化日常工作。不限次13駐場(chǎng)服務(wù)提供1名具有兩年以上網(wǎng)絡(luò)與信息安全工作經(jīng)驗(yàn)，計(jì)算機(jī)相關(guān)專業(yè)，大專及以上學(xué)歷、具有網(wǎng)絡(luò)與信息安全服務(wù)相關(guān)資質(zhì)證書(shū)的專職網(wǎng)絡(luò)與安全工程師駐場(chǎng)服務(wù)（以上需提供證明文件并加蓋公司公章），負(fù)責(zé)我中心日常網(wǎng)絡(luò)與信息安全保障工作及科室安排的其他相關(guān)信息化工作，駐點(diǎn)上班時(shí)間與南山區(qū)疾病預(yù)

8、防控制中心上班時(shí)間一致。按照上級(jí)要求，參加我中心網(wǎng)絡(luò)與信息安全保障的值班值守。全年（三）綜合實(shí)力要求：1.擬安排的項(xiàng)目負(fù)責(zé)人情況：項(xiàng)目負(fù)責(zé)人參與過(guò)副省級(jí)或省級(jí)政府信息安全方面的課題研究和承擔(dān)制定過(guò)國(guó)家信息安全技術(shù)類標(biāo)準(zhǔn)課題研究；項(xiàng)目負(fù)責(zé)人具有美國(guó)項(xiàng)目管理協(xié)會(huì)頒發(fā)的項(xiàng)目管理專業(yè)人員資格認(rèn)證Project Management Professional (PMP證書(shū)）、省級(jí)或省級(jí)以上人力資源和社會(huì)保障廳頒發(fā)的高級(jí)信息系統(tǒng)項(xiàng)目管理師、國(guó)家信息化安全技術(shù)資格認(rèn)證管理中心頒發(fā)的高級(jí)網(wǎng)絡(luò)安全工程師證書(shū)、國(guó)家信息測(cè)評(píng)中心頒發(fā)的注冊(cè)信息安全專業(yè)人員（CISP）證書(shū)、具有中國(guó)電子信息行業(yè)聯(lián)合會(huì)頒發(fā)的信息系統(tǒng)集成

9、及服務(wù)項(xiàng)目管理人員項(xiàng)目經(jīng)理證書(shū)。(需提供證明文件并加蓋公司公章)2. 擬安排的項(xiàng)目團(tuán)隊(duì)成員情況（項(xiàng)目負(fù)責(zé)人除外）: 擬派本項(xiàng)目團(tuán)隊(duì)成員中具備CISP或CISSP認(rèn)證資格（即注冊(cè)信息安全專業(yè)人員）。(需提供證明文件并加蓋公司公章)3. 投標(biāo)人有副省級(jí)以上城市(含副省級(jí))機(jī)關(guān)事業(yè)單位實(shí)施連續(xù)期限滿8年信息安全服務(wù)案例。(需提供證明文件并加蓋公司公章)4. 投標(biāo)人具有開(kāi)展業(yè)務(wù)信息系統(tǒng)服務(wù)器漏洞掃描、移動(dòng)安全漏洞掃描、網(wǎng)絡(luò)層掃描及應(yīng)用層掃描所使用的專業(yè)檢測(cè)工具，提供檢查工具品牌、型號(hào)、與工具廠商簽訂的采購(gòu)合同等證明資料加蓋公章，原件備查。若為自行開(kāi)發(fā)的檢測(cè)工具軟件，要求提供軟件著作權(quán)登記證書(shū)。 (需提

10、供相關(guān)證明文件并加蓋公司公章)5. 投標(biāo)人在副省級(jí)或以上城市黨政機(jī)關(guān)信息安全的總體情況通報(bào)文件中被通報(bào)表?yè)P(yáng)的情況。(證明文件：提供副省級(jí)或以上城市黨政機(jī)關(guān)信息安全檢查組關(guān)于信息安全情況的通報(bào)文件以及與被表?yè)P(yáng)單位簽訂的服務(wù)合同關(guān)鍵信息頁(yè)掃描件,原件備查)。6.投標(biāo)人有疾控系統(tǒng)網(wǎng)絡(luò)與信息安全服務(wù)經(jīng)驗(yàn)案例的優(yōu)先考慮。三、售后服務(wù)要求1. 服務(wù)期：簽訂合同之日起1年。2.中標(biāo)方和駐點(diǎn)工程師本人必須與我中心簽訂網(wǎng)絡(luò)與信息安全保密協(xié)議。未經(jīng)我中心許可，禁止進(jìn)行超出所授權(quán)范圍的服務(wù)器、數(shù)據(jù)庫(kù)和網(wǎng)絡(luò)安全設(shè)備操作；禁止攜帶任何屬于我中心的辦公物品離開(kāi)單位；禁止拷貝任何涉及我中心的數(shù)據(jù)資料；禁止對(duì)外發(fā)送任何涉及我中心的數(shù)據(jù)信息。3.駐點(diǎn)工程師須遵守我中心的所有管理制度和規(guī)定。按照我中心正常工作時(shí)間上班，早上提前15分鐘到崗進(jìn)行日常網(wǎng)絡(luò)與信息巡檢并作記錄，不得無(wú)故遲到、早退、曠工，請(qǐng)假須提前向我中心信息化管理部門申請(qǐng)。非工作