网络与信息安全服务项目需求

1、网络与信息安全服务项目需求一、项目说明（一）项目背景和目的：近年来，国家对机关事业单位网络与信息安全的重视程度不断加强，网络与信息安全相关的政策、法规、标准接连出台，在风险评估、等级保护、保密要求等各个方面均提出了越来越明确的要求，不断完善了相应的评估标准体系。上级文件明确提出了单位如果信息安全技术力量不足，可以购买网络与信息安全服务。进一步掌握单位网络与信息安全现状，发现和解决安全隐患，建立健全管理制度，增强信息系统安全，在风险评估的基础上进行安全漏洞扫描。通过风险评估各阶段工作，识别出信息系统存在的各种安全隐患以及风险发生的可能性，通过安全漏洞扫描发现系统存在漏洞情况，确保评估中发现的问题

2、及时得到解决，切实提高中心的网络与信息安全建设水平。（二）项目依据及参考标准1.中华人民共和国网络安全法；2.广东省卫生健康委办公室关于进一步加强疫情防控期间网络信息安全工作的通知；3. 关于启动“护网2020”网络安全专项工作的通知（深网安通 20201号）；4.深圳市新型冠状病毒肺炎疫情防控相关信息系统网络安全专项检查工作方案；5.市卫生健康委员会关于开展2020年度深圳市卫生健康委员会信息安全专项检查工作的通知；6.党委(支委)汇报网络安全责任制考核；7.关于进一步加强南山区疫情防控数据安全工作的通知；8.关于做好全国“两会”暨深圳经济特区成立40周年重点保障期间网络安全防护工作的通知。

3、二、项目内容（一）服务期限：合同签订之日起至1年。（二）服务内容要求：序号大类描 述子类工作内容全年次数1网络与信息安全风险评估以信息资产为主线，分析信息系统可能面临的威胁，当前存在的弱点，以及弱点被威胁所利用的可能性及影响，以此为基础对当前信息系统的安全风险进行分析和定义。根据联合检查要求完成本年度的风险评估工作。资产分析分析所有信息资产（包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等）的保密性、可用性、完整性安全属性，确认关键资产；至少1次威胁分析对资产（包括硬件、业务应用、物理环境、组织管理等）面临哪些潜在威胁，导致威胁的问题所在，威胁发生的可能性有多大等问题进行分析；

4、弱点分析从管理、技术两方面，全面分析系统存在的各种脆弱性，分析弱点被利用的可能性；现有措施分析分析已有的安全措施对安全风险的控制作用；风险分析计算并得出当前系统仍存在的风险，并给出相应控制和管理风险的建议；评估报告编写真实、全面、准确并符合深圳市网络与信息安全风险评估指南要求的风险评估报告；评估总结编写真实、全面、准确并符合深圳市网络与信息安全风险评估指南要求的评估总结。2网络安全等级保护服务网络安全等级保护相关工作信息系统等级保护定级备案完成所有信息系统的等级保护定级和在公安网监部门的备案工作，并取得公安网监部门的等级保护备案证明。至少1次网络与信息安全等级保护测评自查完成信息系统等保测评自

5、查至少1次协助开展网络安全等级保护测评为第三方测评机构开展信息系统网络安全等级保护测评提供技术支持、全力配合测评工作。至少1次3网络与信息安全制度自查与优化建立与完善网络与信息安全管理体系网络与信息安全制度自查找出现有网络与信息安全管理制度与联合检查要求之间的差距至少1次网络与信息安全管理体系建设服务建立与完善南山疾控的网络与信息安全管理机构、网络与信息安全管理制度，建立符合南山疾控信息系统现状的网络与信息安全管理体系4安全通报服务安全通报服务行业动态通报漏洞安全通报病毒安全通报不限次5应急预案建设与演练服务应急预案制定及修订、组织开展年度应急演练应急预案制定及修订、组织开展年度应急演练至少1

6、次6网络与信息安全培训服务全员网络与信息安全意识及常识培训组织开展全员网络与信息安全意识及常识培训至少1次7应急响应应急响应服务应急响应服务不限次8安全检测信息系统、服务器漏洞扫描信息系统、服务器漏洞扫描至少一个季度一次移动应用漏洞扫描移动应用漏洞扫描至少一个季度一次，如有上级文件要求，不限于一季度一次9顾问咨询服务对系统改造、扩建，新系统的上线等提供技术论证和安全咨询技术方案咨询技术论证咨询技术交流咨询至少1次10巡检服务对甲方的网络与信息安全设备、网络设备、服务器和应用终端等进行季度巡检服务。设备季度巡检服务4次11与上级主管单位的网络与信息安全服务对接与区政数局、区卫健局和区医学信息中心

7、等单位的第三方网络与信息安全服务对接与区政数局、区卫健局和区医学信息中心等单位的第三方网络与信息安全服务对接，完成上级主管单位要求的日常网络与信息安全相关工作。不限次12参与我中心的信息化建设与管理参与我中心的信息化建设与管理参与我中心信息化项目需求收集、立项、上线、管理等工作及科室安排的相关信息化日常工作。不限次13驻场服务提供1名具有两年以上网络与信息安全工作经验，计算机相关专业，大专及以上学历、具有网络与信息安全服务相关资质证书的专职网络与安全工程师驻场服务（以上需提供证明文件并加盖公司公章），负责我中心日常网络与信息安全保障工作及科室安排的其他相关信息化工作，驻点上班时间与南山区疾病预

8、防控制中心上班时间一致。按照上级要求，参加我中心网络与信息安全保障的值班值守。全年（三）综合实力要求：1.拟安排的项目负责人情况：项目负责人参与过副省级或省级政府信息安全方面的课题研究和承担制定过国家信息安全技术类标准课题研究；项目负责人具有美国项目管理协会颁发的项目管理专业人员资格认证Project Management Professional (PMP证书）、省级或省级以上人力资源和社会保障厅颁发的高级信息系统项目管理师、国家信息化安全技术资格认证管理中心颁发的高级网络安全工程师证书、国家信息测评中心颁发的注册信息安全专业人员（CISP）证书、具有中国电子信息行业联合会颁发的信息系统集成

9、及服务项目管理人员项目经理证书。(需提供证明文件并加盖公司公章)2. 拟安排的项目团队成员情况（项目负责人除外）: 拟派本项目团队成员中具备CISP或CISSP认证资格（即注册信息安全专业人员）。(需提供证明文件并加盖公司公章)3. 投标人有副省级以上城市(含副省级)机关事业单位实施连续期限满8年信息安全服务案例。(需提供证明文件并加盖公司公章)4. 投标人具有开展业务信息系统服务器漏洞扫描、移动安全漏洞扫描、网络层扫描及应用层扫描所使用的专业检测工具，提供检查工具品牌、型号、与工具厂商签订的采购合同等证明资料加盖公章，原件备查。若为自行开发的检测工具软件，要求提供软件著作权登记证书。 (需提

10、供相关证明文件并加盖公司公章)5. 投标人在副省级或以上城市党政机关信息安全的总体情况通报文件中被通报表扬的情况。(证明文件：提供副省级或以上城市党政机关信息安全检查组关于信息安全情况的通报文件以及与被表扬单位签订的服务合同关键信息页扫描件,原件备查)。6.投标人有疾控系统网络与信息安全服务经验案例的优先考虑。三、售后服务要求1. 服务期：签订合同之日起1年。2.中标方和驻点工程师本人必须与我中心签订网络与信息安全保密协议。未经我中心许可，禁止进行超出所授权范围的服务器、数据库和网络安全设备操作；禁止携带任何属于我中心的办公物品离开单位；禁止拷贝任何涉及我中心的数据资料；禁止对外发送任何涉及我中心的数据信息。3.驻点工程师须遵守我中心的所有管理制度和规定。按照我中心正常工作时间上班，早上提前15分钟到岗进行日常网络与信息巡检并作记录，不得无故迟到、早退、旷工，请假须提前向我中心信息化管理部门申请。非工作