网络安全风险评估及系统加固需求招投标书范本

网络安全风险评估及系

统加固

招标需求书

投标方不得以低于成本的报价竞标。投标方报价低于本项目财政预算%时，评标委员会有权

要求其对成本构成进行介绍，并要求投标方用书面的形式进行低价说明（在保证质量的前提下，

能够大幅节省经费的手段或者原因）；如投标人没有合理的理由或者不按要求提供低价说明，

可视为不被接受的有风险的报价，评标委员会则另行选择供应商。

1、评标方法、评标因素及权重分值

序号评分项权重

价格

技术部份

序号评分因素权重评分方式评分准则

实施方案（工作措施、工作方专家打分根据招标文件的需求和投

法、工作手段、工作流程）标文件响应情况进行横向

比较，分档评分：评价为

优得%-%分数；评价为良

得%-%分数；评价为中

得汨/分数；评价为差不得

分。评价为“中”或者“差

”的，专家需说明情况。

项目重点难点分析、应对措施专家打分根据招标文件的需求和投

及相关的合理化建议标文件响应情况进行横向

比较，分档评分：评价为

优得%-%分数；评价为良

得%T分数；评价为中

得分数：评价为差不得

分。评价为“中”或者"羞

”的，专家需说明情况。

方案与相关政策法规及国标的专家打分考察内容：依据投标人提

符合性供的方案与安全风险评

估、等级保护以及深圳市

电子政务相关政策法规和

国家标准的符合性情况进

行横向比较，分档评分：

评价为优得%f分数；评价

为良得先f分数；评价为中

得%-%分数；评价为差不得

分。评价为“中”或者七

的，专家需说明情况.

项目完成（服务期满）后的服专家打分根据招标文件的需求和投

务承诺标文件响应情况进行横向

比较，分档评分：评价为

优得与f分数；评价为良

得%-%分数；评价为中

得%•%分数；评价为差不得

分。评价为“中”或者1二

的，专家需说明情况。

违约承诺专家打分根据招标文件的需求和投

标文件响应情况进行横向

比较，分档评分：评价为

优得舟f分数；评价为良

得%-%分数；评价为中

得%-%分数；评价为差不得

分。评价为“中”或者

的，专家需说明情况。

综合实力部份

序号评分因素权重评分方式评分准则

投标人资格情况及通过相关认专家打分（）具有中国信息安全测

证情况评中心颁发的安全信息安

全服务资质证书（安全工

程类二级或者以上）得先分

数，中国信息安全测评中

心颁发的安全信息安全服

务资质证书（安全工程类

一级）得与分数，无得分；

。具有中国信息安全认

证中心颁发的信息安全风

险评估服务资质（一级或

者二级）得%分数：具有

中国信息安全认证中心

颁发的信息安全风险评

估服务资质（三级或者四

级）得先分数;

其他不得分；

（）具有深圳市网络与信

息安全突发事件应急指挥

部办公室出具的关于网络

与信息安全突发事件应急

处置专业技术队伍的授权

书得与分数，尢得分;

-2-

注：要求提供认证证书扫

描件加盖公章，无证明资

料或者专家无法判断是否

得

拟安排的项目驻场人员情况专家打分分的，一律作不得分处理

考察内容：上机操作人员

有从事安全联合检查或者

等级保护年以上工作经

历,并具有CISP证书的得%

分数，没有不得分；

证明文件：）须提供中国信

息安全测评中心颁发的

CISP认证证书复印件加盖

投标人公章。）要求提供

投标人员截止日前三个月

的社保资料、职称证书、

资历证明资料及其它证明

资料（均为扫描件加盖公

章）作为得分依据。项目

负责人专业、学历、职称、

特长、项目经验等内容C

提供聘用合同和其他证明

材料扫描件，原件备查。

未提供聘用合同扫描件

拟安排的项目团队成员（含项专家打分的，不得分。

目负责人）情况团队成员总人数要求至少

人，未达到人数要求的，

不得分。

考察内容：项目团队成员

具有如下资质：

（）项目负责人具有信息

系统项目管理师证书（高

级）和CISA资质证书得先

分数，不具备不得分。

。其他项目团队成员具

有中国信息安全认证中心

颁发的CISAW（风险管理

类）认证人员，每一人得先

分数；此项最多得%分数。

要求提供投标截止日前三

个月的社保资料、学位证

书、职称证书、奖项证明

资料及其它证明资料（均

为扫描件加盖公章）作为

得分依据。评分中浮现无

证明资料或者专家无法凭

所提供资料判断是否得

分的情况，一律作不得分

处理。

团队成员的专业、学历、

投标人自主知识产权产品（创专家打分职称、特长、项目经验等

内容。

投标人使用的漏洞扫描产

-3-

新、设计）情况品和渗透测试产品为投标

供应商自有，且具有《计

算机软件著作权登记证

书》和《计算机信息系统

安全专用产品销售登记

证》得先分数

投标人须提供检查工具的

《计算机软件著作权登记

证书》和《计算机信息系

统安全专用产品销售登记

证》打描件，原件备杳。

投标人服务质量评价情况专家打分投标人所签约政府部门信

息安全服务合同在服务过

程中被评价为“优”的：

。每提供一个得益分数，

最高得益分数；

（）不提供或者无有效证

明的，不得分。

（投标人须提供服务合同

关键信息页或者中标通知

书扫描件（加盖投标人公

章）及评价证明，原件备

服务网点专家打分查。）深圳企业或者非深

圳企业，但在深圳市有

合法注册的

分公司或者办事处等机

构的，得满分（须在投

标文件中就设立的机构

类型进行说明，并提供

机构营业

报价合理性部份执照扫描件,原件备查）：

序号评分因素权重评分方式否则不得分。

报价合理性专家打分

评分准则

考察内容：对照招标文件

关于详细分项报价的要

求，结合本项目完成（服

务）期限要求和人员要求，

考察投标人〃详细分项报

价〃的科学性及合理性。横

向比较，分档评分：评价

为优得%分数；评价为良

得%-%分数；评价为中

得%分数；评价为差不得

分。评价为差不得分。评

诚信情况价为“中”或者“差”的

序号评分因素权重评分方式专家需说明情况。

诚信评价专家打分

评分准则

根据《深圳市财政委员会

关于加强招投标评审环节

-4-

诫信管理闱通知》（深财购口号）的要求，投标人任

-4-

参预政府采购活动中存

在诚信相关问题的，本

项不得分，未浮现相关

诚信问题的得满分。以

深圳市政府采购中心供

应商库中的处罚记录为

准。投标人无需提供任

何证明材料，由采购中

心工作人员向评委会提

出相关信日

根据深圳帝最府采购中心

履约评价情况专家打分

项目履约情况现场抽检结

果，投标截止日前一年内

（以深圳市政府采购中心

网站《关于赋予供应商履

约评价差的函》的落款日

期为准），供应商履约评价

浮现评价为“差”的，本

项不得分。未评价为“差”

的，得满分。投标人无需

提供任何证明材料，山采

购中心工作人员向评委会

-5-

采购需求

一、项目概况

、项目概况：

为确保中级法院信息系统的稳定、安全运行，结合年深圳市党政机关信息安全联合检查和

绩效评估工作要求，特对网络安全风险评估及系统加固项目进行公开招标。

项目服务内容包括：

）服务器系统：深圳中院服务器设备数量2台，其中SUN小型机2台。）

存储系统：磁盘阵列存储设备包括惠普存储、华为存诸、Netapp存储。

）法院内部专网：法院内部专网与INTERNET物理隔离，是法院内部办公网络，包括深圳中

院内部局域网、中院局域网与上级法院联网、中院局域网与基层院联网、中院局域网与市政专

网联网等，中院内部专网网络设备主要由HC、华为等网络设备组成，内网核心及大部份接入层

网路设备为HC网络设备，网络设备数量♦台，内网应用系统包括诉讼服务中心系统、综合整合

应用平台系统等，内网应用系统数量2台。

）法院外部网：法院外部网与INTERNET相连，与法院内部专网物理隔离，外网网络设备数

量2台，外网应用系统包括外网网站、诉讼服务平台系统、多元化纠纷系统和法智云端系统，

外网应用系统数量2。

）网络安全设备：法院网络系统部署了防火墙、上网行为审计、入侵检测系统、内外网防

病毒系统等网络安全产品，产品数量力台。

）内外网终端情况：法院内网终端数曷N台，外网终端数帚N台。

、预算金额：

本项目预算金额为人民币伍拾万圆整（¥,.）

二、项目服务要求

（一）实施要求

-6-

对深圳市中级人民法院信息系统进行定期的安全检查。

（二）项目目标

依据国家、深圳市信息安全相关政策法规和指引文件，针对深圳市中级人民法院信息系统

进行信息安全风险评估、等级保护定级与测评、信息安全制度自查与优化、安全防护措施自查

与优化、应急响应机制建设与演练、安全隐患排查与教育培训等安全服务，对安全服务过程中

发现的脆弱点和问题进行修复加固，建立符合国家标准的信息安全管理体系，并根据修复加固

的结果，建立符合深圳市中级人民法院实际情况的安全保障体系和规划设计方案，并在一年的

服务期内，定期对信息系统进行安全检测和修复加固，使系统的安全状况得以长期保持。

（三）项目依据

）国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发口号））

《政府信息系统安全检查办法》（国办发口号）

）《深圳市人民政府信息系统安全检查办法》（深府办口号）

）国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办口号））

《信息安全等级保护管理办法》（公通字口号）

）深圳市关于开展信息安全风险评估工作的实施意见（深科信口号）

）信息安全风险评估规范（GB/T-）

）深圳市信息安全风险评估实施指南

）检查机构运作的普通规则（ISOTEC-）

）关于印发《年深圳市党政机关信息安全联合检查工作方案》的通知（深办字0号）

（四）项目服务内容

根据《年深圳市党政机关信息安全联合检查工作方案》和《“信息共享与安全（信息安全）”

指标评估标准操作规程（年度）》等相关文件要求，匡助中级法院实施信息安全检查和加固优

化工作，并在规定的时间通过深圳市党政机关信息安全联合检查工作平台报送结果，完成年度

信息安全联合检查各项指标工作。

本次项目工作涉及的工作内容包括以下几个方面：

-7-

.信息安全制度制定与落实

根据《信息系统安全等级保护基本要求》（GB/T-）中信息安全管理和深圳市信息化主管部

门关于信息安全工作的要求，对中级法院整个信息安全管理的方针、策略、制度、规程等进行

体系化的梳理和核查，结合信息化实际情况进完成对信息安全管理体系规范的落实。

全年服务

序号服务项目内容

次数

梳理和核查包括不限于以下各项信息安全管理制

度及制度执行情况：

a）信息安全管理机构成立情况；

匕）信息安全管理职能部门设置；

信息安全制度制

次

定、优化及落实c）信息安全管理人员配备；

d）信息系统的规划、建设、运维、废弃等环节的

信息安全制度制定；

e）信息安全制度执行情况记录。

a）建立适合我方实际的信息安全管理体系框架；

1：）评估和识别关键的业务处理流程、资产和岗位

信息安全管理体

设置等；次

系落地

c）实现安全体系文档化，管理流程化、绩效控制

可量化和安全意识普及。

N）对外包开辟软件在投入使用前进行了全面的安

外包服务管理根据需求

全检测。

*.信息安全风险评估

按照《信息安全技术信息安全风险评估规范》（GB/T-）,《信息系统安全保护等级基本要

求》（GB/T-）等相关标准，时中级法院信息系统和IT基础设施进行安全风险评估，包括明确

风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、

分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。

服务内容要求：

序号服务项目内容全年服务

-8-

次数

、根据资产、业务流程的特性和重要程度

对资产进行科学的分类（数据、服务、声

誉、硬件和软件、通讯、程序界面、物理

资产、支持设施、人员和访词控制措施等

有形和无形资产），并参考CIA（保密性、

完整性和可用性）进行价值分级和定量，

以识别关键的信息资产。

、采集统计中级法院在使用的计算机资产

资产识别次

信息，包含：

a）计算机主机名；

b）计算机1P地址；

c）计算机MAC地址；

d）计算机使用人或者责任人；

e）计算机所属部门；

f）计算机的物理位置；

g）服务器的内外网IP对应。

通过安全策略检查、文档皆看、业务流程

分析、网络拓扑分析、人员访谈、入侵检

威胁识别次

测系统采集的信息和人工分析等手段对可

能潜在的威胁进行分类、分析和定性。

以资产为核心，针对每一项需要保护的资

产、识别可能被威胁利用的弱点，并对脆

脆弱性识别弱性的严重程度进行评估，分析出有可能次

被潜在威胁源利用的系统缺陷或者脆弱性40

表，并对其进行分级。

结合资产、威胁和脆弱性分析结果，对现

现有控制措施有

有的预防性安全措施和保护性安全措施进次

有效性

行有效性测试、评估。

-9-

资产-威胁-脆弱性映射关系以及控制措施

风险分析效果，分析存在的安全风险发生的可能性次

和影响。

以关键业务系统为关联要素，通过资产的

价值、资产面临的威胁和存在的脆弱性三

风险计算次

个方面的内容进行量化，统计分析风险值，

评定业务系统所属的风险范围和等级。

通过层面汇总分析和综合分析等过程找出

风险结果信息系统的安全风险，识别影响系统安全次

保护能力的安全隐患，形成评估结论报告。

针对信息安全风险评估结果和存在的关键

风险处置方案性问题，提出相应的不可接受风险处置建次

议和方案。

实施要求:

()对深圳市中级人民法院信息系统进行定期的安全防护和系统漏洞补丁安装；对新增应

用系统进行安全检测，对发现的问题，提供具有可操作性的整改方案，并协助完成加固和优化

服务；对网络设备的端口和配置进行安全检测与安全配置；

。定期对内网、外网网络、主机服务器及所有客户端电脑进行安全风险分析；

()对所有主机服务器的端口、配置进行定期的安全检查、对操作系统级和数据库级的系

统安全漏洞进行安全处理和打补丁；

()风险评估中使用的网络层、应用层扫描器工具或者设备必须为国内或者国际知名厂家

的正版产品，若涉及知识产权纠纷，则由投标人负全责；

。风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电

子和纸制双重归档，在项目结束后一并移交给甲方；

()担任用户单位计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建

时，提供安全风险评估，并提供安全修补建议。

()为用户单位提供不限次数的信息系统应急响应服务。

10-

.信息安全等级保护

根据国家等级保护相关标准加强中级法院各信息系统的等级保护工作，包括以下工作内容:

全年服务

序号服务项目内容

次数

尚未定级备案信息系统提供协助等级

等级备案根据需求

划分、定级和备案工作。

商密检查对涉及商用密码应用系统进行检查。根据需求

等保咨询对涉及等保工作提供咨询根据需求

*.安全防护措施落实

根据《深圳市党政机关内网安全加固工作方案》、《互联网安全保护技术措施规定》、《信

息系统安全保护等级基本要求》(GB/T-)以及《信息系统和信息设备使用保密管理规定》等

相关标准规范的要求，对中级法院防病毒、安全审计、网站安全、防泄密、防恶意信息、非法

外联和挪移存储管理安全防护措施情况的核查和落实。

全年服务

序号服务项目内容

次数

每月对内网防病毒系统查杀记录、病

内网防病毒毒特征码更新、病毒传播趋势进行巡次

检和跟踪，不断优化策略。

每月对网络安全审计设备运行状况、

网络安全审计日志连续性进行巡检，并在需要的时次

候协助检查违规上网行为。

每月对网页防篡改系统运行状况、H

防篡改次

志连续性进行巡检。

每月协助对内网计算机有无违规使用

防泄密次

无线设备、安装的安全保密监控软件

11-

是否有效等。

每月协助检查内网终端是否存在违规

非法外联次

连接互联网的情况。

每月检查挪移存储管理措施的有效性

挪移存储管理次

及测试策略的有效性

.应急响应机制建设

根据《信息系统安全保护等级基本要求》（GB/T-）中关于应急响应机制建设的要求，包

括应急预案制定和修订、应急预案演练、应急处置支持、灾备措施检查、应急团队建设咨询等

工作。

序全年服务

服务项目内容

号次数

根据中级法院信息系统的

安全状况、完善和修订安

应急预案制定

全事件应急预案，使之更次

和修订

适合指导突发事件的处置

流程。

根据应急预案和当年业界

发生的重大安全事件，提

供整套的安全事件应急演

应急演练服务练服务，包括提供演练方次

案、计划、资源配置、人

员办同、结果报告和整改

方案等。

深圳市中级人民法院外网・提供X小时应急响应值班。

网站、诉讼服务平台系统

*应急响应支）电话支持响应：在分钟内对用户紧急

等相关互联网应用，如中

持

安全响应请求进行确定故障类型并定

级法院的信息系统中的计

义故障等级。

算的或者网络设备系统的

硬

12-

件、软件、数据因非法攻）远程支持响应：在确定故障等级情况

i或者病毒入侵等安全原因后尽快从远程匡助用户或者从远程修复

而遭到破坏、更改、泄露系统解决故障。

造成系统不能正常运行，

）现场支持响应：如远程不能确定安全

戈者己经发现的有可能造成

故障类型或者故障情况严重不能通过远

上述现象的安全隐患等安

程解决的严重故障情况卜，安排至少两

全事件时，应及时进行响

人以上的工程技术人员到达现场解决

应。

问题，到达现场时间为一小时。

・根据国家《信息安全技

术信息系统安全等级保护）安全故障：解决故障诊断、故障修复、

基本要求》标准实施。系统清理、系统防护。

）证据采集：对由于安全故障造成的入

・及时查杀网络病毒，恢

复染毒系统。侵记录、破坏情况、直接损失情况采集

证据。

•及时恢复受攻击或者被

病毒感染系统，恢复网）事后处理：根据客户需求，采集入侵

络正常运行。线索和来源，协助客户进行立案。

）紧急响应服务结果报告：针对在紧急

安全响应服务中所遇到的安全问题、安

全事故处理过程。处理结果，小时内汇

总行程经济响应服务结果报告并提交

给用户。

）安全应急培训及演练：根据客户需要

安排计算机安全应急响应服务中心工

程师进行安全应急培训及演练，服务周

期内总次数不超过四次。

对深圳市中级人民法院外、合同期内执行X小时实时监控，一旦

*网站可用性

网网站、网上诉讼服务平服务器响应异常，十分钟内联系并配合

及安全性监控

台等相关互联网应用，进中级法院技术人员对服务器进行维护，

服务

行实时安全性和可用性监确保网站对外服务正常。

13-

控：

、定期以周报、月报反馈网站安全情况，

网站安全性进行实时监控安全事件需以短信方式即时通知我院

网站负责人。

包存：页面异常监控、网

站珪马检测、网站断链错

链死链检测、网站篡改检

测、假冒网站报警、关键

栏目变动审计、负面报导

采集等。

网站可用性实时监控包

括：站点可用性、全网可

访问性、网站性能分析等。

.安全培训

针对不同岗位和职责的人员提供不同培训内容，包括信息安全意识教育、网络攻防、应用

安全开辟和国家等级保护相关标准的培训。要求有完善的培训与讲座实施计划；信息安全全员

讲座由投标人提供曾经承担政府机构相关讲座经验的专家承担；投标人应提供配套PPT、书面

教材，由不低于国家测评中心CISP资格的讲师承担。并提供最新的专业图书不少于册。

包括了以下的工作内容:

全年服务

序号服务项目内容

次数

根据我方信息系统和人员的情况，设

安全培训计划次

置合理的培训课程和培训计划。

主要讲办公电脑、平板、智能设备、

挪移存储设备等终端设备在使用互联次（每次培训时间不

安全意识培训

网、内网网络的安全、保密意识和安少于个小时）

全常识。

主要讲解当前最新的安全技术、黑客次（每次培训时间不

安全技能培训

攻击技术和手段，以及如何做好日常少于个小时）

14-