常州市园林数据中心信息化项目一期风险评估项目竞争性谈判.doc

常州市园林数据中心信息化项目一期风险评估项目竞争性谈判文件常州市城市管理局二一九年三月目 录第一章总则5矚慫润厲钐瘗睞枥庑赖賃軔朧碍鳝绢。第二章投标文件7聞創沟燴鐺險爱氇谴净祸測樅锯鳗鲮。第三章投标文件密封和递交8残骛楼諍锩瀨濟溆塹籟婭骒東戇鳖納。第四章投标报价9酽锕极額閉镇桧猪訣锥顧荭钯詢鳕驄。第五章开标、评标、定标9彈贸摄尔霁毙攬砖卤庑诒尔肤亿鳔简。第六章项目功能技术需求书13謀荞抟箧飆鐸怼类蒋薔點鉍杂篓鳐驱。附件一：授权委托书22厦礴恳蹒骈時盡继價骚卺癩龔长鳏檷。附件二：投标人声明函23茕桢广鳓鯡选块网羈泪镀齐鈞摟鳎饗。附件三：开标一览表24鹅娅尽損鹌惨歷茏鴛賴縈诘聾諦鳍皑。附件四：投标报价表25籟丛妈羥为贍偾蛏练淨槠挞曉养鳌顿。附件五：成功案例一览表26預頌圣鉉儐歲龈讶骅籴買闥龅绌鳆現。附件六：项目人员名单27渗釤呛俨匀谔鱉调硯錦鋇絨钞陉鳅陸。13 / 13常州市园林数据中心信息化项目一期风险评估项目竞争性谈判采购文件江苏省常州市城管局就园林数据中心信息化项目一期风险评估项目进行竞争性谈判采购，特邀请符合条件的供应商参加报价。铙誅卧泻噦圣骋贶頂廡缝勵罴楓鳄烛。一、采购项目名称项目名称：常州市园林数据中心信息化项目一期风险评估。招标项目简要说明常州市园林数据中心信息化项目一期风险评估，具体要求详见招标文件。三、投标人资质要求1.投标人须符合政府采购法第二十二条规定；2.投标人必须具有市级以上信息安全风险评估机构备案证书；3.报价单位须具有完善可靠的售后服务体系，公司总部不在常州的投标人须承诺中标后15个工作日内在常州市区设立经工商注册的分公司或子公司，能确保服务实施和售后服务响应；擁締凤袜备訊顎轮烂蔷報赢无貽鳃闳。4.本项目不接受联合体投标，投标人必须具备独立完成本项目的能力。四、采购文件领取的时间和地点投标人自公告之日起自行下载采购文件。五、投标文件接收及开标信息投标文件接收截止暨开标时间：2019年3月25日 下午16:00时。投标文件接收暨开标地点：常州市钟楼区芦墅路6号辅楼2楼会议室。六、特别说明参加投标的供应商若认为采购文件的资格要求和技术要求有倾向性或不公正性，可在报价截止期2日前以书面形式向我中心提出。对于没有提出澄清要求又参与了该项目投标的供应商将被视为完全认同该采购文件，报价截止期后不再受理针对采购文件的相关质疑和投诉。贓熱俣阃歲匱阊邺镓騷鯛汉鼉匮鲻潰。七、本次采购联系方式联系人：刘敏章 电话：86689601传真：86689601地址：常州市钟楼区芦墅路6号第一章总则一、采购项目常州市园林数据中心信息化项目一期风险评估项目。投标人资格要求1.投标人须符合政府采购法第二十二条规定；2.投标人必须具有市级以上信息安全风险评估机构备案证书；3.报价单位须具有完善可靠的售后服务体系，公司总部不在常州的投标人须承诺中标后15个工作日内在常州市区设立经工商注册的分公司或子公司，能确保服务实施和售后服务响应；坛摶乡囂忏蒌鍥铃氈淚跻馱釣缋鲸鎦。4.本项目不接受联合体投标，投标人必须具备独立完成本项目的能力。三、投标费用投标人应自行承担其编制投标文件以及递交投标文件参加招投标过程所产生之一切费用。无论招投标结果如何，招标人对上述费用不负任何责任。蜡變黲癟報伥铉锚鈰赘籜葦繯颓鲷洁。四、采购文件1.采购文件的组成 本文件及依法对本文件所作的书面澄清或修改的内容均为采购文件的组成部分。2.采购文件的澄清、修改投标人在收到招标文件后，如有疑问需要澄清，应在开标会议2日前以书面形式向招标人提出，如无疑问,视作投标人完全响应招标文件的条款和要求。招标人对疑问作出的澄清修改将公告通知所有招标文件收受人。買鲷鴯譖昙膚遙闫撷凄届嬌擻歿鲶锖。招标文件各项条款最终解释权归常州市城管局，投标人对招标人提供的招标文件所做出的推论、解释和结论，招标人概不负责。投标人由于对招标文件的任何推论和误解以及招标人对有关问题的口头解释所造成的后果，均由投标人自负。綾镝鯛駕櫬鹕踪韦辚糴飙钪麦蹣鲵殘。招标人有权对已发出的招标文件进行必要的澄清或修改，并通知所有投标人。招标人可视具体情况，延长投标截止时间和开标时间，并将此变更公告通知所有招标文件收受人。五、投标人的义务1.投标人应当认真阅读采购文件，完全明了采购项目之名称、用途、数量、质量和交货日期，完全明了投标人所应具备的资格条件。驅踬髏彦浃绥譎饴憂锦諑琼针咙鲲鏵。2.投标人应当按照采购文件的要求编制投标文件。投标文件应对采购文件提出的实质性要求和条件作出完全响应。猫虿驢绘燈鮒诛髅貺庑献鵬缩职鲱样。3.投标人应在投标截止时间前，将密封的投标文件送达投标地点。4.投标人不得相互串通投标报价，不得排挤其他投标人的公平竞争，损害招标人或者其他投标人合法权益。投标人不得与招标人串通投标，损害国家利益，公众利益或者他人的合法权益。锹籁饗迳琐筆襖鸥娅薔嗚訝摈馍鲰钵。5.投标人在投标截止时间前，对所递交的投标文件可以补充、修改或者撤回，并书面通知招标人。补充、修改的内容为投标文件的组成部分。構氽頑黉碩饨荠龈话骛門戲鷯瀏鲮晝。第二章投标文件一、 投标文件一式贰份，一份正本，一份副本。投标文件应当符合采购文件的要求，包括下列部分内容。1.公司情况说明：公司简介、人员的详细情况、单位资信证明（有的话提供，格式自定）、已完成与采购内容相同或相似项目情况。2.投标报价单：投标报价的具体要求见采购文件第四章。3.所需提供的其他资料：（1）企业法人营业执照副本,税务登记证副本；（2）法人代表授权委托书、投标人声明函（正本提供原件，副本复印件）；（3）法人代表授权委托人身份证明；（4）市级以上信息安全风险评估机构备案证书；（5）投标单位参与本项目的技术人员一览表（提供姓名、学历、年龄、资质证书情况、以往参加类似项目情况、在本项目中的责任等）；輒峄陽檉簖疖網儂號泶蛴镧釃邊鲫釓。（6）其他相关资料。二、投标人应认真检查采购文件的内容是否齐全，如有遗漏，应及时向招标人索取，否则责任自负。三、投标文件的制作应当符合以下要求：1.投标人必须依照采购文件提供的表式制作投标文件，对表式投标人可以按同样格式进行扩展。2.投标文件必须打印并应装订成册。3.全套投标文件应无修改和行间插字。如有修改，须在修改处加盖投标单位法定代表人或其委托代理人的印鉴。4.投标报价清晰准确，不存在影响其他投标人评分的严重错误。第三章投标文件密封和递交一、投标文件的密封与标志1.投标人应将投标文件密封。2.所有封袋上都应写明投标人名称、招标人名称、采购项目名称。3.所有投标文件都必须在封袋骑缝处加盖投标人公章。4.投标人未按上述规定提交投标文件，其投标文件将被拒绝，并原封退还给投标人。二、投标文件的修改和撤回在投标截止时间之前，投标人可对所递交的投标文件进行修改和撤回，但所递交的修改或撤回通知必须按采购文件的规定进行编制、密封、标志（在包封上标明“修改”或“撤回”字样，并注明修改或撤回的时间）和递交。投标截止时间之后，投标人不得修改或撤回投标文件。尧侧閆繭絳闕绚勵蜆贅瀝纰縭垦鲩换。第四章投标报价一、投标总价应包括采购文件所确定的采购范围相应项目的全部费用。本项目的投标最高限价为4万元，投标总价高于最高限价的作为无效投标文件处理。二、投标报价方式(格式见后附表)1.投标人应按照采购文件中提供的格式完整、正确填写投标书、开标一览表。2.投标人应按照采购文件规定格式填报投标报价表（含分项报价），在表中标明所提供的货物品牌、规格、型号、产地、主要部件型号及其功能的中文说明、数量、人民币投标单价、投标总价。如果投标单价和总价不符，以单价为准。识饒鎂錕缢灩筧嚌俨淒侬减攙苏鲨运。3.投标人需对每部分报价包含的服务内容进行明确说明。如有特别承诺，也需明确说明。第五章开标、评标、定标一、开标时间和地点开标时间： 2019年3月 25日 16：00时。开标地点： 常州市钟楼区芦墅路6号 辅楼2楼会议室。二、评标、定标方法招标人针对标的具体情况，采用最低评标价法的评审方法，根据符合采购需求、质量和服务相等且最终报价最低的原则确定成交供应商。凍鈹鋨劳臘锴痫婦胫籴铍賄鹗骥鲧戲。三、开标采购会开标采购会议按采购文件中规定的时间、地点举行，由招标人主持，在有关部门监督下进行。招标人、所有投标人和城管局有关监督部门的代表参加会议。招标人向到会的投标人宣布评标、定标办法实施细则，并宣读评委纪律。恥諤銪灭萦欢煬鞏鹜錦聰櫻郐燈鲦軫。四、开标时，由监督部门代表检查投标文件的密封情况，或由公证机关监督；经确认无误后，拆封。五、招标人在投标截止时间前收到的所有合格投标文件，开标时都予以拆封，招标人对开标过程予以记录。六、投标文件出现下列情况之一的，将作为无效投标文件处理，无效投标文件不予参加评标：1.投标截止时间前未按要求缴纳投标保证金的；2.未按照投标文件规定要求标志、密封、签署、盖章的；3.授权委托书无投标人公章、法定代表人的印鉴或签名，或委托书非原件；4.不具备投标文件中规定资格要求的，或资格要求证明材料提供不齐全的；5.投标文件未按招标文件规定的格式、内容和要求编制，投标文件字迹潦草、模糊、难以辨认；6.投标人的投标报价超出本项目财政采购预算或最高限价，采购单位无法承担支付的；7.逾期送达的投标文件；8.投标材料所述情况和所附相关资料不实的；9.不符合法律、法规和招标文件规定的技术及其他实质性要求的。七、评标、定标评标由招标人依法组建的评标委员会负责。定标根据评标委员会的书面评标报告和推荐的中标候选人由常州市城管局确定中标人。鯊腎鑰诎褳鉀沩懼統庫摇饬缗釷鲤怃。八、投标文件的澄清1.为了有助于投标文件的审查、评价和比较，评标委员会可以书面方式要求投标人对投标文件中含义不明确、对同类问题表述不一致或者明显文字和计算错误的内容作必要的澄清、说明或者补正。投标人的澄清、说明或者补正应以书面方式进行并不得超出投标文件的范围。硕癘鄴颃诌攆檸攜驤蔹鸶胶据实鲣赢。2.投标文件中的大写金额和小写金额不一致时的，以大写金额为准；总价金额与单价金额不一致的，以单价金额为准，但单价金额小数点有明显错误的除外；对不同文字文本投标文件的解释发生异议的，以中文文本为准。阌擻輳嬪諫迁择楨秘騖輛埙鵜蔹鲢幟。3.所有澄清或说明必须以书面方式正式为之，并应加盖投标人公章及法定代表人或其代理人的签名或盖章。4.投标截止时间后，投标人在评委会要求之外擅自对投标报价或其他实质性内容修正的函件和增加的任何优惠条件，一律不得作为评标、定标的依据。氬嚕躑竄贸恳彈瀘颔澩纷釓鄧鳌鲡貼。九、评标中作为废标处理的情况1.出现影响采购公正的违法、违规行为的；2.投标人的报价均超过了采购预算，采购人不能支付的；3.因重大变故，采购任务取消的；十、中标通知中标人确定后，招标人在经公告无异议后向中标人发出中标通知，同时将中标结果通知所有未中标的投标人，中标人接到中标通知后的三十日内与建设方签订采购合同。釷鹆資贏車贖孙滅獅赘慶獷緞瑋鲟将。中标通知对招标人和中标人具有法律约束力。常州市城管局不负责向任何投标单位说明中标或不中标的原因。十一、授予合同，合同条款1.招标人在授予合同时有权对“投标文件”中的货物及配置在适当范围内进行调整。2.中标人应按中标通知书指定的时间、地点派代表前来与招标人具体商谈签订合同。招标文件、中标人的投标文件及澄清文件等，均为签订合同的依据。怂阐譜鯪迳導嘯畫長凉馴鸨撟鉍鲞谣。3.中标人按照招标人要求继续酌情修订方案，直至得到招标人认可为止，方案确定后正式签订合同。第六章项目功能技术需求书一、单位需求按照国家有关规定，对常州市城管局拟常州市园林数据中心信息化项目一期，组织架构、策略体系、人员安全、物理安全、网络（含）安全设备、服务器系统及应用（含数据库、中间件）系统进行风险评估谚辞調担鈧谄动禪泻類谨觋鸾帧鲜奧。二、项目内容项目简要说明：常州市城管局数字园林信息系统信息安全风险评估项目，范围包括：数字园林信息系统组织架构、策略体系、人员安全、物理安全、网络（含）安全设备、服务器系统及应用（含数据库、中间件）系统，主要设备包括服务器、网络设备1套、“常州市园林数据中心信息化”应用系统，实施过程中需指导甲方完善信息安全相关事项。嘰觐詿缧铴嗫偽純铪锩癱恳迹见鲛請。2.1资产边界分析资产指常州市城管局数字园林信息资产，涵盖本单位信息系统、网络设备、存储设备以及终端pc设备等：（1）分析待评估资产范围；（2）划分内部资产子系统；（3）对各子系统进行边界确认；（4）确定最终资产子系统边界；2.2资产识别（1）根据资产表格进行资产审计；（2）分组对本地、非本地区域资产进行有效录入登记；（3）每类资产明细需要审计资产详细配置与当前状态；2.3威胁识别（1）从物理准入控制、机房温湿度控制、机房防尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理威胁识别；熒绐譏钲鏌觶鷹緇機库圆鍰缄鹗鲚圆。（2）从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制等多个方面进行网络威胁识别；（3）从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护等多方面进行系统威胁识别；鶼渍螻偉阅劍鲰腎邏蘞阕簣择睜鲔诌。（4）从应用服务平台、数据库安全、中间件安全、代码安全、数据安全、账号安全、密码安全、审计安全等多个方面进行应用威胁识别；纣忧蔣氳頑莶驅藥悯骛覲僨鴛鋅鲒嗚。（5）从组织架构、人员安全、管理规定、合规性、应用连续性要求等多个方面进行管理威胁识别。2.4脆弱性识别（1）从物理准入控制、机房温湿度控制、机房防 尘、机房电源、接地、机房屏蔽、以及防雷、防火、防盗等多个方面进行物理脆弱性识别；颖刍莖蛺饽亿顿裊赔泷涨负這恻鲑觶。（2）从系统来源、系统补丁、账号安全、密码安全、审计安全、服务安全、恶意代码防护、日常运维等多方面进行系统脆弱性识别；濫驂膽閉驟羥闈詔寢賻減栖綜诉鲐卺。（3）从网络拓扑、地址分配、VLAN划分、路由协议、准入控制、访问控制、日常运维等多个方面进行网络脆弱性识别；銚銻縵哜鳗鸿锓謎諏涼鏗穎報嚴鲍蝇。（4）从应用服务平台、数据库安全、中间件安全、代码安全、账号安全、密码安全、审计安全、日常运维等多个方面进行应用脆弱性；挤貼綬电麥结鈺贖哓类芈罷鸨竇鲋鑿。（5）从数据备份及恢复、应急响应、灾备与冗余等多方面进行数据脆弱性识别；2.5已有安全措施登记（1）识别已有操作系统安全策略；（2）识别已有应用系统安全策略；（3）识别已有网络系统安全策略；（4）识别已有安防系统安全策略；（5）识别已有机房系统安全策略；2.6风险分析（1）根据收集的用户数据进行分析，评估要素关系映射；（2）根据评估要素关系进行风险值计算（3）形成风险评估报告；（4）针对风险评估报告的解决方案；2.7应用系统渗透性测试在相关部门的授权下，对平台相关的应用系统进行渗透测试，并提供相关渗透测试报告。2.8系统加固服务 依据评估结果，和甲方共同制定系统加固实施方案，依据方案实施加固，并输出完整的系统加固实施记录。报价单位必须在项目建设的各个阶段及时提交测评成果，主要包括（但不限于）以下内容：常州市园林数据中心信息化项目资产调查报告常州市园林数据中心信息化项目资产赋值报告常州市园林数据中心信息化项目现状分析报告常州市园林数据中心信息化项目渗透测试报告常州市园林数据中心信息化项目风险评估报告常州市园林数据中心信息化项目信息安全整体解决方案三、服务要求中标人为用户突发事件提供724小时技术支持，对于客户的安全咨询提供524小时的专人电话服务，对于突发的网络安全事故，中标人需在2小时内到达现场。服务内容包括对意外事故的处理、非法入侵的处理和调查恢复、网络攻击的应急防护等。对服务器提供现场安全维护和工作时间安全维护服务。经维护服务发现故障设备损坏时，要向我信息中心相关技术人员详细说明设备损坏的原因及程度，并提供最佳的解决方案，损坏件更换完毕后，协助我方将有关设备恢复到原来的运行状态。每次维护均要有记录。赔荊紳谘侖驟辽輩袜錈極嚕辫鏢鲈蕆。制定网络安全应急方案（包括防病毒、入侵检测、数据备份、防火墙以及核心交换机），并协助甲方进行至少一次应急演练，并提交相关报告。塤礙籟馐决穩賽釙冊庫麩适绲挝鲅偬。安全检测服务：服务周期：每季度一次。服务范围：对网络安全进行全面的评估检测，包括工具扫描及手工检测等，对服务器、路由器、安全设备、数据备份设备、软件等的安全日志进行分析检测，提出系统加固建议以及相关的应急措施。裊樣祕廬廂颤谚鍘羋蔺递灿扰谂鲂茎。服务内容：运行环境评估检测：对环境、设备、场地线路等物理设施进行安全评估并对安全隐患提出相应的解决建议或进行修复和改造。仓嫗盤紲嘱珑詁鍬齊驁絛鯛鱧俁鱿親。平台安全评估检测：对服务器、工作站的操作系统、网络设备、备份设备、应用程序的安全性进行评估检测并对安全隐患和脆弱性进行修复。绽萬璉轆娛閬蛏鬮绾瀧恒蟬轅紗鱼臚。安全产品审计和升级：对安全产品（防火墙、入侵检测系统、防病毒系统、数据备份系统等）的日志进行审计，对出现的安全隐患提出解决建议，对在免费升级维护期内的产品提供升级服务。骁顾燁鶚巯瀆蕪領鲡赙骠弒綈閶魉齠。服务目标：全面给出相应的安全隐患、脆弱性报告以及安全性整改建议。使客户对系统安全性状况和整体安全状况有全面具体的了解，保护用户不遭受新的安全性威胁带来的损失，保护安全与性能的平衡。及时提供操作系统安全漏洞信息，并协助作出相应处理或给予建议解决方案；及时发现系统配置漏洞，并协助作出相应处理或给予建议解决方案；及时通报应用软件安全漏洞，并协助作出相应处理或给予建议解决方案；保证操作系统的安全等级与最新安全技术的同步，保障应用系统的安全；及时通报数据备份硬、软件系统的动转情况，对存在的安全隐患给出解决方案。提出信息系统安全防护对策，协助常州市城管局数字园林项目进行安全体系建设，制定安全方案，保证信息系统的安全运行；对系统集成项目、应用软件集成项目、安全集成项目等进行安全方案咨询服务，并负责安全性审查和实施过程的全面监控。协助用户落实平台重要部分的冗余、数据备份安全保护技术措施。瑣钋濺暧惲锟缟馭篩凉貿锕戧晋魇缫。依照常州市城管局局数字园林信息安全管理要求，协助建立、完善、监督、执行相关安全保护管理制度。（一）计算机机房安全管理制度；（二）安全管理责任人、信息审查员的任免和安全责任制度；（三）网络安全漏洞检测和系统升级管理制度；（四）操作权限管理制度；（五）用户登记制度；（六）信息发布审查、登记、保存、清除和备份制度。四、实施原则客观性和公正性原则：测评人员应当没有偏见，在最小主观判断情形下，按照测评双方相互认可的测评方案，基于明确定义的测评方式和解释，实施测评活动。鎦诗涇艳损楼紲鯗餳類碍穑鳓责髌鹊。可重复性和可再现性原则：依照同样的要求，使用同样的测评方式，对每个测评实施过程的重复执行应该得到同样的结果。可再现性和可重复性的区别在于，前者与不同测评者测评结果的一致性有关，后者与同一测评者测评结果的一致性有关。栉缏歐锄棗鈕种鵑瑶锬奧伛辊刪髋綠。连续性原则：确保在高速变化的信息安全环境中，在有效的服务期间内，保证采购人风险评估结论的准确性和及时性，对于采购人单位新增设的信息资产和服务，或新建立的信息化项目，进行局部系统的重新评估。从经济上降低采购人单位的成本，从信息安全性上保证信息安全评估的动态稳定性。辔烨棟剛殓攬瑤丽阄应頁諳绞綽髅鱉。扩展性原则：在风险评估过程结束后，倡导信息安全评估过程要保持扩展性，从扩展的属性上进一步加强评估结束后被评估用户单位的安全管理有效性和可用性。峴扬斕滾澗辐滠兴渙藺诈機愦頇骧经。保密原则：在风险评估过程中，需严格遵循保密原则，采购人与报价方签订保密协议，对服务过程中涉及到的任何用户信息未经允许不向其他任何第三方泄漏，以及不得利用这些信息损害用户利益。詩叁撻訥烬忧毀厉鋨骜靈韬鰍椟骥鲚。互动原则：在整个风险评估过程中，强调用户的互动参与，每个阶段都能够及时根据用户的要求和实际情况对评估的内容、方式做出相关调整，从而更好的进行风险评估工作。则鯤愜韋瘓賈晖园栋泷华缙輅赞骣紆。最小影响原则：风险评估工作应尽可能小地影响系统和网络的正常运行，不能对业务的正常运行产生明显的影响（包括系统性能明显下降、网络阻塞、服务中断等），如无法避免，则应做出说明。胀鏝彈奥秘孫戶孪钇賻锵咏繞敘骢驗。规范性原则：信息安全风险评估服务的实施必须由专业的评估服务人员依照规范的操作流程进行，对操作过程和结果要有相应的记录，并提供完整的服务报告。鳃躋峽祷紉诵帮废掃減萵輳慘纈骡窥。质量保障原则：在整个风险评估过程中，项目的实施将严格按照项目实施方案和流程进行，并由项目协调小组从中监督，控制项目的进度和质量。稟虛嬪赈维哜妝扩踴粜椤灣鲳飫骠馁。五、技术要求按照GB/T 20984-2007、公安部门信息安全风险评估和等级保护要求，结合常州市城管局管理实际需求,按照国家风险评估要求对常州市城管局数字园林信息系统进行安全风险评估，明确平台及各信息系统存在的问题和不足，主要包括：陽簍埡鲑罷規呜旧岿錟麗鲍轸沩骞硨。5.1差距分析通过调查问卷、人员访谈、文档查看、现场勘查、人工检查、记录分析、技术测试、渗透测试等方式进行安全技术和安全管理方面的评估，判断安全技术和安全管理的各个方面与等级保护相应等级基本要求之间的差距，给出差距分析结果，提出信息系统的安全保护需求。沩氣嘮戇苌鑿鑿槠谔應釵蔼绋较骝額。5.2风险评估l对系统重要资产进行风险评估，分析并确定不能接受的安全风险，然后确定额外安全措施并判断对超出等级保护基本要求部分实施额外安全措施的必要性，提出信息系统的额外安全保护需求。钡嵐縣緱虜荣产涛團蔺缔嵛恽囂骜疯。5.3管理体系规划设计针对信息系统的安全需求，规划设计管理体系，包括组织体系和制度体系。5.4、技术体系规划设计针对信息系统的安全需求和信息安全方针策略，规划设计技术体系，包括技术防护体系、技术管控体系和技术恢复体系。懨俠劑鈍触乐鹇烬觶騮揚銥鯊臘骛韦。5.5实施运作（1） 依据管理体系规划设计和技术体系规划设计的成果，设计分期分批的主要建设内容，并将建设内容组合成不同的项目，阐明项目之间的依赖或促进关系等。謾饱兗争詣繚鮐癞别瀘鯽礎輪駭骚獅。（2）在时间和经费上对安