深圳市档案局年度信息安全项目需求

1、精品文档，值得拥有深圳市档案局 2013 年度信息安全项目需求一、项目概况为确保我单位信息系统的稳定、安全运行，结合往年深圳市党政机关信息安全联合检查和绩效评估要求，特对“深圳市档案局2013 年信息安全服务”项目进行公开招标。本项目建设内容为：深圳市档案局2013 年信息安全服务项目。中标人应与建设单位就此项目签订合同。我单位信息系统相关资产数量如下：序号设备名称 / 型号数量1服务器与存储设备 112交换机、路由器等主要网络设备 283内外网防火墙、 IDS、 VPN等安全设备 24内外网应用系统 6二、项目目的及建设目标依据国家、深圳市信息安全相关法规和指引文件，针对深圳市档案局信息系统

2、进行信息安全风险评估、 信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、 安全隐患排查及整改情况等信息安全联合检查安全服务和绩效评估信息安全顾问服务，对安全服务过程中发现的脆弱点和问题提出科学、可行、有效的修复加固计划和建议，建立符合国家标准和深圳市电子政务要求的信息安全管理体系，并在一年的服务期内，使系统的安全状况得以长期保持。三、项目依据1、国家信息化领导小组关于加强信息安全保障工作的意见（中办发 200327号）2、政府信息系统安全检查办法（国办发 200928号）3、深圳市人民政府信息系统安全检查办法（深府

3、办 2009138号）4、国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办20065 号）5、信息安全等级保护管理办法( 公通字 200743 号 )6、深圳市关于开展信息安全风险评估工作的实施意见（深科信2006268 号）1 / 8精品文档，值得拥有7、信息安全风险评估规范（GB/T20984-2007 ）8、深圳市信息安全风险评估实施指南9、检查机构运作的一般规则（ISO-IEC 17020-2004）四、项目采购范围1） 根据深圳市信息安全风险评估指南和本年度信息化工作要求对深圳市档案局包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息

4、安全风险评估；2） 完成 2013 年深圳市党政机关信息安全联合检查工作方案规定的全部工作；五、项目技术要求（一）安全服务内容全年序号大类描 述子类工作内容次数分析所有信息资产 （包括硬件、 软件、以信息资产为文档和数据、人力、业务应用、物理主线，分析信息环境、组织管理等）的稳定性、可靠1系统可能面临资产分析性、保密性、可用性、完整性等安全的威胁，当前存属性，对涉及安全的关键资产进行确在的弱点，以及认和划控。弱点被袭击或对资产（包括硬件、业务应用、物理带来破坏的可信 息环境、组织管理等）面临哪些潜在威1能性及影响， 以威胁分析1.安 全此为基础对当胁，导致威胁的问题所在，威胁发生风 险的可能性

5、有多大等问题进行分析。前信息系统的评 估从管理、技术两方面，全面分析系统安全风险进行1分析和定义。 根弱点分析存在的各种脆弱性，分析弱点被利用的可能性据联合检查要现有措施分析已有的安全措施对安全风险的控1求完成本年度分析制作用的风险评估工作。计算并得出当前系统仍存在的风险，1风险分析并给出相应控制和管理风险的建议2 / 8精品文档，值得拥有全年序号大类描 述子类工作内容次数编写真实、全面、准确并符合深圳市评估报告信息安全风险评估指南要求的风险评1估报告编写真实、全面、准确并符合深圳市评估总结信息安全风险评估指南要求的评估总1结2012 年 度信 息 安 全完善并落实 2012 年度信息安全联合

6、检1联 合 检 查查的整改工作整改2012 年 度信 息 安 全完善并落实 2012 年度信息安全风险评风 险 评 估1估的不可接受风险整改工作对在上年度联不 可 接 受合联合检查中风险整改信息对现有信息安全管理体系中存在的问发现的问题进系统管理加固题进行优化和完善，并协助甲方完成12.加固行加固修复， 包相关文档的编写和宣传含但不限于联修复对全网的服务器进行修复加固和漏洞合检查整改、 风评结论整改等。服务器加扫描。 Windows 服务器直接修复加固，1非 Windows 服务器协助甲方或维护厂固商完成修复加固对全网的网络设备和安全设备进行修1网络加固复加固和漏洞扫描应用系统为所有 B/S

7、和 C/S 架构的应用系统提1和数据库供修复加固技术支持和优化服务系统加固3 / 8精品文档，值得拥有全年序号大类描 述信 息安 全建立与完善信制 度3.息安全管理体自查系与优化检查现有信息安全系统中安全防防范范措施的落实4. 措 施 情况，对不符合自 查 检查要求的现与 优 状和措施进行化优化和整改子类工作内容安 全 策 略确认主机操作系统、应用系统的安全加固策略未被更改或还原安 全 设 备对安全设备中的配置、策略进行加固加固修复信息安全查找现有信息安全管理制度与联合检制度自查查要求之间的差距建立与完善深圳市档案局的信息安全信息安全管理机构、信息安全管理制度，建立管理体系符合我单位信息系统现

8、状的信息安全建设服务管理体系外包软件对我单位使用的外包开发软件在投入安全检测使用前的进行安全检测对我单位内网信息系统进行科学、合理的安全域设计和划分安全域划对我单位内网各安全域进行科学、合分与建设理的定性定级防护编制各安全域的安全防护设计方案，并协助我单位实施协助我单位保密部门，对涉密计算机和涉密存储介质进行检查。检查内容保密检查包括：非法外联、物理隔离、移动存储介质的混用、密件处理、监控软件状态等收集统计我单位在使用的计算机资产计算机资下列信息，包含：产统计a ）计算机主机名；次数11114 / 8精品文档，值得拥有全年序号大类描 述子类工作内容次数b ）计算机 IP 地址；c ）计算机 M

9、AC地址；d ）计算机使用人或责任人；e ）计算机所属部门；f）计算机的物理位置；g ）服务器的内外网IP 对应。协助完成我单位所有网站在公安网监网站备案部门的备案，并取得国际联网备案登记证书和备案编号等证明文件安全防范技术措施检查我单位信息系统现有安全防范技有效性检术措施的有效性查建立符合信息应急系统现状的科体系学有效的应急5.建设预案，并制定演与演练计划进行预练案演练和验证应急预案制定应急预案演练应急预案建设对我单位所有等保三级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案应急技术支援队伍的建设针应急预案的特点，建立合理、高效的应急技术支援队伍1演练计划制定对我单位所有等保三

10、级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划演练预案培训就应急预案内容对信息化相关岗位人员进行培训5 / 8精品文档，值得拥有全年序号大类描 述子类工作内容次数应急演练实施对应急预案进行演练，验证其可行性，并对发现的问题进行修正应急预案结合应急预案演练情况对预案进修订行修订和完善技术方案咨询：就新应用系统上线或对 系 统 改网络结构改造、扩容等为我单位信息信息系统提供例行6. 安 全全面的专业信服务息安全服务造、扩建，提供技术方案设计新系统的上技术论证咨询：顾问咨询不限次线等提供技对新的安全体系的技术论证和安术特点、功能进行论证全咨询技术交流咨询：就信息安全领域新的技术

11、、体系与客户分享行业动态通报：对信息安全领域的动定期通报安态进行通报全 行 业 动安全漏洞通报：安全通报态、系统漏对新出现的安全漏洞 24洞和病毒预进行通报警信息病毒安全通报：对新出现的较严重病毒进行通报联 合未在上述逐一列举的2013 年严格按照 2013 年信息安全联合检查要7.检 查信息安全联合检查的其它服1求的，准时、优质的完成各项服务相 关务6 / 8精品文档，值得拥有全年序号大类描 述子类工作内容次数服务（二）安全服务要求1、信息安全风险评估要求：风险评估的范围要全面包括深圳市档案局的所有信息系统资产；对内网、外网的服务器、网络设备、安全设备进行详细的安全风险分析；风险评估全过程产

12、生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；担任用户单位计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建时，提供安全风险评估，并提供安全修补建议。2、信息安全服务要求：安全防范技术措施落实情况的核查务必真实准确，确保在规定的时间内完成核查并汇编成册后上报信息办；信息系统应急预案必须以信息系统真实业务流程为基础，要求科学、有效；信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；服务范围和项目实施要求以 2013 年市经信委下发的关于 2013 年深圳市党政机关信息安

13、全联合检查工作的相关文件为准。六、项目验收1. 在联合检查现场检查前完成所有的准备工作，并移交项目中的电子和纸制过程文档；2. 在材料上报的各阶段准时完成所有联合检查材料的上报；3. 风险评估结果全面、真实、可靠，风险评估报告及整改建议满足党政机关信息安全联合检查相关要求；4. 信息安全管理制度齐全有效， 内容可操作性强， 并满足党政机关信息安全联合检查的相关要求；5. 安全防范技术措施落实情况的核查务必真实准确， 确保在规定的时间内完成核查并汇编成册后上报信息办；6. 信息系统应急预案必须以信息系统的真实业务流程为基础，科学有效可操作；7 / 8精品文档，值得拥有7. 信息系统应急预案演练过

14、程的文档、 会议纪要、 修订文档等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；七、项目总体要求投标人必须响应并承诺下列要求：1.投标人在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及用户提出的有关质量标准的设备和产品。2. 项目服务周期为合同签定后一年。八、评分标准序号评分因素投标报价一共 10 分服务方案二共 60 分投标人专业实力和安全三服务经验与业绩共 30 分分值评价内容投标报价价格分=（评标基准价 / 投标报价） 10。10 评标基准价为满足招标文件要求且投标价格最低的投标报价。20依据整体服务内容的完整性、合理性情况在20 分内打分。20依据制定的安全服务计划的合规性、科学性、可操作性）在 20 分内打分。根据投标人的在深圳技术队伍情况及质量保证措施在20分内打分。20 ( 须提供以上人员加盖深圳社会保险基金管理中心印章的打印日期在本项目投标截止日之前两月以内任意一个月的企业社保相关证明材料 ) 。专业资质与信誉：根据投标人所提供的信息安全服务资质10 在 10 分内打分。（须提供公安部门网站截图或资质复印件并加盖投标单位公章）专业安全服务经验：根据投标人下列因素在15 分内打分。具有信息安全等级保护、风险评估、安全维护服务的经验和能力，熟悉深圳市政府部门安全服务和等级保