深圳市档案局度信息安全项目需求.docx

深圳市档案局度信息安全项目需求.docx

《深圳市档案局度信息安全项目需求.docx》由会员分享，可在线阅读，更多相关《深圳市档案局度信息安全项目需求.docx（13页珍藏版）》请在冰豆网上搜索。

深圳市档案局度信息安全项目需求

深圳市档案局2014年度信息安全项目需求

一、项目概况

为确保我单位信息系统的稳定、安全运行，结合往年深圳市党政机关信息安全联合检查和绩效评估要求，特对“深圳市档案局2014年信息安全服务”项目进行公开招标。

本项目建设内容为：

深圳市档案局2014年信息安全服务项目。

中标人应与建设单位就此项目签订合同。

我单位信息系统相关资产数量如下：

序号

设备名称/型号

数量

1

服务器与存储设备

≥11

2

交换机、路由器等主要网络设备

≥28

3

内外网防火墙、IDS、VPN等安全设备

≥2

4

内外网应用系统

≥7

二、项目目的及建设目标

依据国家、深圳市信息安全相关法规和指引文件，针对深圳市档案局信息系统进行信息安全风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务和绩效评估信息安全顾问服务，对安全服务过程中发现的脆弱点和问题提出科学、可行、有效的修复加固计划和建议，建立符合国家标准和深圳市电子政务要求的信息安全管理体系，并在一年的服务期内，使系统的安全状况得以长期保持。

三、项目依据

1、国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发[2003]27号）

2、《政府信息系统安全检查办法》（国办发[2009]28号）

3、《深圳市人民政府信息系统安全检查办法》（深府办[2009]138号）

4、国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办[2006]5号）

5、《信息安全等级保护管理办法》（公通字[2007]43号）

6、深圳市关于开展信息安全风险评估工作的实施意见（深科信[2006]268号）

7、信息安全风险评估规范（GB/T20984-2007）

8、深圳市信息安全风险评估实施指南

9、检查机构运作的一般规则（ISO-IEC17020-2004）

四、项目采购范围

1）根据深圳市信息安全风险评估指南和本年度信息化工作要求对深圳市档案局包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估；

2）完成《2014年深圳市党政机关信息安全联合检查工作方案》规定的全部工作；

五、项目技术要求

（一）安全服务内容

序号

大类

描述

子类

工作内容

全年

次数

1.

信息安全风险评估

以信息资产为主线，分析信息系统可能面临的威胁，当前存在的弱点，以及弱点被袭击或带来破坏的可能性及影响，以此为基础对当前信息系统的安全风险进行分析和定义。

根据联合检查要求完成本年度的风险评估工作。

资产分析

分析所有信息资产（包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等）的稳定性、可靠性、保密性、可用性、完整性等安全属性，对涉及安全的关键资产进行确认和划控。

1

威胁分析

对资产（包括硬件、业务应用、物理环境、组织管理等）面临哪些潜在威胁，导致威胁的问题所在，威胁发生的可能性有多大等问题进行分析。

1

弱点分析

从管理、技术两方面，全面分析系统存在的各种脆弱性，分析弱点被利用的可能性

1

现有措施分析

分析已有的安全措施对安全风险的控制作用

1

风险分析

计算并得出当前系统仍存在的风险，并给出相应控制和管理风险的建议

1

评估报告

编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告

1

评估总结

编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结

1

8.

信息系统加固修复

对在上年度联合联合检查中发现的问题进行加固修复，包含但不限于联合检查整改、风评结论整改等。

2013年度信息安全联合检查整改

完善并落实2013年度信息安全联合检查的整改工作

1

2013年度信息安全风险评估不可接受风险整改

完善并落实2013年度信息安全风险评估的不可接受风险整改工作

1

管理加固

对现有信息安全管理体系中存在的问题进行优化和完善，并协助甲方完成相关文档的编写和宣传

1

服务器加固

对全网的服务器进行修复加固和漏洞扫描。

Windows服务器直接修复加固，非Windows服务器协助甲方或维护厂商完成修复加固

1

网络加固

对全网的网络设备和安全设备进行修复加固和漏洞扫描

1

应用系统和数据库系统加固

为所有B/S和C/S架构的应用系统提供修复加固技术支持和优化服务

1

安全策略加固

确认主机操作系统、应用系统的安全策略未被更改或还原

1

安全设备加固

对安全设备中的配置、策略进行加固修复

1

16.

信息安全制度自查与优化

建立与完善信息安全管理体系

信息安全制度自查

查找现有信息安全管理制度与联合检查要求之间的差距

1

信息安全管理体系建设服务

建立与完善深圳市档案局的信息安全管理机构、信息安全管理制度，建立符合我单位信息系统现状的信息安全管理体系

18.

安全防范措施自查与优化

检查现有信息系统中安全防范措施的落实情况，对不符合检查要求的现状和措施进行优化和整改

外包软件安全检测

对我单位使用的外包开发软件在投入使用前的进行安全检测

1

安全域划分与建设防护

对我单位内网信息系统进行科学、合理的安全域设计和划分

对我单位内网各安全域进行科学、合理的定性定级

编制各安全域的安全防护设计方案，并协助我单位实施

保密检查

协助我单位保密部门，对涉密计算机和涉密存储介质进行检查。

检查内容包括：

非法外联、物理隔离、移动存储介质的混用、密件处理、监控软件状态等

计算机资产统计

收集统计我单位在使用的计算机资产下列信息，包含：

a）计算机主机名；

b）计算机IP地址；

c）计算机MAC地址；

d）计算机使用人或责任人；

e）计算机所属部门；

f）计算机的物理位置；

g）服务器的内外网IP对应。

网站备案

协助完成我单位所有网站在公安网监部门的备案，并取得国际联网备案登记证书和备案编号等证明文件

安全防范技术措施有效性检查

检查我单位信息系统现有安全防范技术措施的有效性

26.

应急体系建设与演练

建立符合信息系统现状的科学有效的应急预案，并制定演练计划进行预案演练和验证

应急预案制定

应急预案建设

对我单位所有等保三级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案

1

应急技术支援队伍的建设

针应急预案的特点，建立合理、高效的应急技术支援队伍

应急预案演练

演练计划制定

对我单位所有等保三级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划

演练预案培训

就应急预案内容对信息化相关岗位人员进行培训

应急演练实施

对应急预案进行演练，验证其可行性，并对发现的问题进行修正

应急预案修订

结合应急预案演练情况对预案进行修订和完善

32.

信息安全服务

为我单位信息系统提供例行全面的专业信息安全服务

顾问咨询

对系统改造、扩建，新系统的上线等提供技术论证和安全咨询

技术方案咨询：

就新应用系统上线或网络结构改造、扩容等提供技术方案设计

不限次

技术论证咨询：

对新的安全体系的技术特点、功能进行论证

技术交流咨询：

就信息安全领域新的技术、体系与客户分享

安全通报

定期通报安全行业动态、系统漏洞和病毒预警信息

行业动态通报：

对信息安全领域的动态进行通报

≥24

安全漏洞通报：

对新出现的安全漏洞进行通报

病毒安全通报：

对新出现的较严重病毒进行通报

38.

联合检查相关服务

未在上述逐一列举的2014年信息安全联合检查的其它服务

严格按照2014年信息安全联合检查要求的，准时、优质的完成各项服务

1

（二）安全服务要求

1、信息安全风险评估要求：

◆风险评估的范围要全面包括深圳市档案局的所有信息系统资产；

◆对内网、外网的服务器、网络设备、安全设备进行详细的安全风险分析；

◆风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；

◆担任用户单位计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建时，提供安全风险评估，并提供安全修补建议。

2、信息安全服务要求：

◆安全防范技术措施落实情况的核查务必真实准确，确保在规定的时间内完成核查并汇编成册后上报信息办；

◆信息系统应急预案必须以信息系统真实业务流程为基础，要求科学、有效；

◆信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；

◆服务范围和项目实施要求以2014年市经信委下发的关于2014年深圳市党政机关信息安全联合检查工作的相关文件为准。

六、项目验收

1.在联合检查现场检查前完成所有的准备工作，并移交项目中的电子和纸制过程文档；

2.在材料上报的各阶段准时完成所有联合检查材料的上报；

3.风险评估结果全面、真实、可靠，风险评估报告及整改建议满足党政机关信息安全联合检查相关要求；

4.信息安全管理制度齐全有效，内容可操作性强，并满足党政机关信息安全联合检查的相关要求；

5.安全防范技术措施落实情况的核查务必真实准确，确保在规定的时间内完成核查并汇编成册后上报信息办；

6.信息系统应急预案必须以信息系统的真实业务流程为基础，科学有效可操作；

7.信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；

七、项目总体要求

投标人必须响应并承诺下列要求：

1.投标人在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及用户提出的有关质量标准的设备和产品。

2.项目服务周期为2014全年。

3.本项目服务费用为10万元人民币以内。

商务部分

合格的投标人必须符合以下资质要求：

（1）投标人必须是在中华人民共和国境内注册并合法运作的独立法人机构，须提供工商行政管理部门颁发的企业法人《营业执照》副本或事业单位登记管理局颁发的事业单位法人证书副本复印件；

（2）注册资金人民币500万元及以上；

（3）投标人必须具有深圳市政府采购注册供应商资格（注册网址：

），须提供深圳市政府采购供应商注册卡复印件；

（4）本项目不接受联合体投标，不允许转包分包。

评分标准

序号

评分因素

分值

评价内容

一

投标报价

共20分

20

投标报价价格分=（评标基准价/投标报价）×20。

评标基准价为满足招标文件要求且投标价格最低的投标报价。

二

服务方案

共50分

15

依据整体服务内容的完整性、合理性情况在15分内打分。

15

依据制定的安全服务计划的政策的合规性、科学性、可操作性在15分内打分。

20

根据投标人的在深圳技术队伍情况及质量保证措施在20分内打分。

1、投标人在深圳市内有稳定的技术队伍，数量在50人及以上得15分，数量30~50人得10分，数量10~30人得5分，10人以下得0分（须提供以上人员加盖深圳社会保险基金管理中心印章的打印日期在本项目投标截止日之前两月以内任意一个月的企业社保相关证明材料）；

2、质量保证措施情况在5分内打分,质量保证措施评价优得5分，良3分，差1分。

三

投标人专业实力和安全服务经验与业绩

共30分

10

专业资质与信誉：

投标人具有广东省公安厅批准的信息安全等级保护差距评估服务资格得2分；

具有深圳市公安局批准的信息安全等级保护差距评估服务资格得2分（须提供深圳市公安局网站公布名单截图）；

具有国家信息安全测评中心颁发的信息安全服务等级证书得2分；

具有广东省公安厅颁发的计算机信息系统安全服务等级证得2分；

具有国家保密局颁发的涉及国家秘密的计算机信息系统集成资质得2分。

（以上资质须提供公安部门网站截图或资质复印件并加盖投标单位公章）

15

专业安全服务经验：

具有信息安全等级保护、风险评估、安全维护服务的经验和能力，熟悉深圳市政府部门安全服务和等级保护技术规范与要求，近三年（从2010年1月1日至2012年12月31日）来有深圳市区（局）级政府部门专业安全风险评估、等级保护顾问服务或信息安全服务合同案例，50个及以上单位合同案例得15分，30－50个合同案例得10分，10－30个合同案例得5分，10个以下合同案例得0分。

（须提供合同复印件并加盖投标单位公章）

5

安全服务质量：

投标人为保障安全服务质量，具有为深圳市区（局）级政府部门连续提供多年安全服务的案例。

为同一政府部门连续提供5年或5年以上安全服务的案例，得5分，有为同一政府部门连续提供3年以上安全服务2个以上案例得3分，其它得0分。

（须提供合同复印件并加盖投标单位公章）