深圳市档案局度信息安全项目需求.docx

1、深圳市档案局度信息安全项目需求深圳市档案局2014年度信息安全项目需求一、项目概况为确保我单位信息系统的稳定、安全运行，结合往年深圳市党政机关信息安全联合检查和绩效评估要求，特对“深圳市档案局2014年信息安全服务”项目进行公开招标。本项目建设内容为：深圳市档案局2014年信息安全服务项目。中标人应与建设单位就此项目签订合同。我单位信息系统相关资产数量如下：序号设备名称/型号数量1服务器与存储设备112交换机、路由器等主要网络设备283内外网防火墙、IDS、VPN等安全设备24内外网应用系统7二、项目目的及建设目标依据国家、深圳市信息安全相关法规和指引文件，针对深圳市档案局信息系统进行信息安全

2、风险评估、信息安全制度落实情况、安全防范措施落实情况、应急响应机制建设情况、信息技术产品和服务国产化情况、安全教育培训情况、责任追究情况、安全隐患排查及整改情况等信息安全联合检查安全服务和绩效评估信息安全顾问服务，对安全服务过程中发现的脆弱点和问题提出科学、可行、有效的修复加固计划和建议，建立符合国家标准和深圳市电子政务要求的信息安全管理体系，并在一年的服务期内，使系统的安全状况得以长期保持。三、项目依据1、国家信息化领导小组关于加强信息安全保障工作的意见（中办发200327号）2、政府信息系统安全检查办法（国办发200928号）3、深圳市人民政府信息系统安全检查办法（深府办2009138号）

3、4、国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办20065号）5、信息安全等级保护管理办法(公通字200743号)6、深圳市关于开展信息安全风险评估工作的实施意见（深科信2006268号）7、信息安全风险评估规范（GB/T20984-2007）8、深圳市信息安全风险评估实施指南9、检查机构运作的一般规则（ISO-IEC 17020-2004）四、项目采购范围1） 根据深圳市信息安全风险评估指南和本年度信息化工作要求对深圳市档案局包括业务系统、服务器、网络设备、安全设备等所有信息系统资产在内的信息系统进行信息安全风险评估；2） 完成2014年深圳市党政机关信息安全联合检查

4、工作方案规定的全部工作；五、项目技术要求（一）安全服务内容序号大类描 述子类工作内容全年次数1. 信息安全风险评 估以信息资产为主线，分析信息系统可能面临的威胁，当前存在的弱点，以及弱点被袭击或带来破坏的可能性及影响，以此为基础对当前信息系统的安全风险进行分析和定义。根据联合检查要求完成本年度的风险评估工作。资产分析分析所有信息资产（包括硬件、软件、文档和数据、人力、业务应用、物理环境、组织管理等）的稳定性、可靠性、保密性、可用性、完整性等安全属性，对涉及安全的关键资产进行确认和划控。1威胁分析对资产（包括硬件、业务应用、物理环境、组织管理等）面临哪些潜在威胁，导致威胁的问题所在，威胁发生的可

5、能性有多大等问题进行分析。1弱点分析从管理、技术两方面，全面分析系统存在的各种脆弱性，分析弱点被利用的可能性1现有措施分析分析已有的安全措施对安全风险的控制作用1风险分析计算并得出当前系统仍存在的风险，并给出相应控制和管理风险的建议1评估报告编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的风险评估报告1评估总结编写真实、全面、准确并符合深圳市信息安全风险评估指南要求的评估总结18. 信息系统加固修复对在上年度联合联合检查中发现的问题进行加固修复，包含但不限于联合检查整改、风评结论整改等。2013年度信息安全联合检查整改完善并落实2013年度信息安全联合检查的整改工作12013年度信息

6、安全风险评估不可接受风险整改完善并落实2013年度信息安全风险评估的不可接受风险整改工作1管理加固对现有信息安全管理体系中存在的问题进行优化和完善，并协助甲方完成相关文档的编写和宣传1服务器加固对全网的服务器进行修复加固和漏洞扫描。Windows服务器直接修复加固，非Windows服务器协助甲方或维护厂商完成修复加固1网络加固对全网的网络设备和安全设备进行修复加固和漏洞扫描1应用系统和数据库系统加固为所有B/S和C/S架构的应用系统提供修复加固技术支持和优化服务1安全策略加固确认主机操作系统、应用系统的安全策略未被更改或还原1安全设备加固对安全设备中的配置、策略进行加固修复116. 信息安全制

7、度自查与优化建立与完善信息安全管理体系 信息安全制度自查查找现有信息安全管理制度与联合检查要求之间的差距1信息安全管理体系建设服务建立与完善深圳市档案局的信息安全管理机构、信息安全管理制度，建立符合我单位信息系统现状的信息安全管理体系18. 安全防范措施自查与优 化检查现有信息系统中安全防范措施的落实情况，对不符合检查要求的现状和措施进行优化和整改外包软件安全检测对我单位使用的外包开发软件在投入使用前的进行安全检测1安全域划分与建设防护对我单位内网信息系统进行科学、合理的安全域设计和划分对我单位内网各安全域进行科学、合理的定性定级编制各安全域的安全防护设计方案，并协助我单位实施保密检查协助我单

8、位保密部门，对涉密计算机和涉密存储介质进行检查。检查内容包括：非法外联、物理隔离、移动存储介质的混用、密件处理、监控软件状态等计算机资产统计收集统计我单位在使用的计算机资产下列信息，包含： a）计算机主机名； b）计算机IP地址； c）计算机MAC地址； d）计算机使用人或责任人； e）计算机所属部门； f）计算机的物理位置； g）服务器的内外网IP对应。网站备案协助完成我单位所有网站在公安网监部门的备案，并取得国际联网备案登记证书和备案编号等证明文件安全防范技术措施有效性检查检查我单位信息系统现有安全防范技术措施的有效性26. 应急体系建设与演练建立符合信息系统现状的科学有效的应急预案，并制

9、定演练计划进行预案演练和验证应急预案制定应急预案建设对我单位所有等保三级及以上信息系统和对公众服务的信息系统制定科学、有效的应急预案1应急技术支援队伍的建设针应急预案的特点，建立合理、高效的应急技术支援队伍应急预案演练演练计划制定对我单位所有等保三级及以上信息系统和对公众服务的信息系统制定科学、合理地的应急演练计划演练预案培训就应急预案内容对信息化相关岗位人员进行培训应急演练实施对应急预案进行演练，验证其可行性，并对发现的问题进行修正应急预案修订结合应急预案演练情况对预案进行修订和完善32. 信息安全服务为我单位信息系统提供例行全面的专业信息安全服务顾问咨询对系统改造、扩建，新系统的上线等提供

10、技术论证和安全咨询技术方案咨询：就新应用系统上线或网络结构改造、扩容等提供技术方案设计不限次技术论证咨询：对新的安全体系的技术特点、功能进行论证技术交流咨询：就信息安全领域新的技术、体系与客户分享安全通报定期通报安全行业动态、系统漏洞和病毒预警信息行业动态通报：对信息安全领域的动态进行通报24安全漏洞通报：对新出现的安全漏洞进行通报病毒安全通报：对新出现的较严重病毒进行通报38. 联合检查相关服务未在上述逐一列举的2014年信息安全联合检查的其它服务严格按照2014年信息安全联合检查要求的，准时、优质的完成各项服务1（二）安全服务要求1、信息安全风险评估要求： 风险评估的范围要全面包括深圳市档

11、案局的所有信息系统资产； 对内网、外网的服务器、网络设备、安全设备进行详细的安全风险分析； 风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方； 担任用户单位计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建时，提供安全风险评估，并提供安全修补建议。2、信息安全服务要求： 安全防范技术措施落实情况的核查务必真实准确，确保在规定的时间内完成核查并汇编成册后上报信息办； 信息系统应急预案必须以信息系统真实业务流程为基础，要求科学、有效； 信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档，在

12、项目结束后一并移交给甲方； 服务范围和项目实施要求以2014年市经信委下发的关于2014年深圳市党政机关信息安全联合检查工作的相关文件为准。 六、项目验收1. 在联合检查现场检查前完成所有的准备工作，并移交项目中的电子和纸制过程文档；2. 在材料上报的各阶段准时完成所有联合检查材料的上报；3. 风险评估结果全面、真实、可靠，风险评估报告及整改建议满足党政机关信息安全联合检查相关要求；4. 信息安全管理制度齐全有效，内容可操作性强，并满足党政机关信息安全联合检查的相关要求；5. 安全防范技术措施落实情况的核查务必真实准确，确保在规定的时间内完成核查并汇编成册后上报信息办；6. 信息系统应急预案必

13、须以信息系统的真实业务流程为基础，科学有效可操作；7. 信息系统应急预案演练过程的文档、会议纪要、修订文档等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；七、项目总体要求投标人必须响应并承诺下列要求：1. 投标人在项目中用于安全检测使用的安全产品必须为厂商正版授权、符合国家安全标准及用户提出的有关质量标准的设备和产品。2. 项目服务周期为2014全年。3. 本项目服务费用为10万元人民币以内。商务部分合格的投标人必须符合以下资质要求：（1） 投标人必须是在中华人民共和国境内注册并合法运作的独立法人机构，须提供工商行政管理部门颁发的企业法人营业执照副本或事业单位登记管理局颁发的事业单位

14、法人证书副本复印件；（2） 注册资金人民币500万元及以上；（3） 投标人必须具有深圳市政府采购注册供应商资格（注册网址：），须提供深圳市政府采购供应商注册卡复印件；（4） 本项目不接受联合体投标，不允许转包分包。评分标准序号评分因素分值评价内容一投标报价共20分20投标报价价格分=（评标基准价/投标报价）20。评标基准价为满足招标文件要求且投标价格最低的投标报价。二服务方案共50分15依据整体服务内容的完整性、合理性情况在15分内打分。15依据制定的安全服务计划的政策的合规性、科学性、可操作性在15分内打分。20根据投标人的在深圳技术队伍情况及质量保证措施在20分内打分。1、投标人在深圳市内

15、有稳定的技术队伍，数量在50人及以上得15分，数量3050人得10分，数量1030人得5分，10人以下得0分(须提供以上人员加盖深圳社会保险基金管理中心印章的打印日期在本项目投标截止日之前两月以内任意一个月的企业社保相关证明材料) ；2、质量保证措施情况在5分内打分,质量保证措施评价优得5分，良3分，差1分。三投标人专业实力和安全服务经验与业绩共30分10专业资质与信誉：投标人具有广东省公安厅批准的信息安全等级保护差距评估服务资格得2分；具有深圳市公安局批准的信息安全等级保护差距评估服务资格得2分（须提供深圳市公安局网站公布名单截图）；具有国家信息安全测评中心颁发的信息安全服务等级证书得2分；

16、具有广东省公安厅颁发的计算机信息系统安全服务等级证得2分；具有国家保密局颁发的涉及国家秘密的计算机信息系统集成资质得2分。（以上资质须提供公安部门网站截图或资质复印件并加盖投标单位公章）15专业安全服务经验：具有信息安全等级保护、风险评估、安全维护服务的经验和能力，熟悉深圳市政府部门安全服务和等级保护技术规范与要求，近三年（从2010年1月1日至2012年12月31日）来有深圳市区（局）级政府部门专业安全风险评估、等级保护顾问服务或信息安全服务合同案例，50个及以上单位合同案例得15分，3050个合同案例得10分，1030个合同案例得5分，10个以下合同案例得0分。（须提供合同复印件并加盖投标单位公章）5安全服务质量：投标人为保障安全服务质量，具有为深圳市区（局）级政府部门连续提供多年安全服务的案例。为同一政府部门连续提供5年或5年以上安全服务的案例，得5分，有为同一政府部门连续提供3年以上安全服务2个以上案例得3分，其它得0分。（须提供合同复印件并加盖投标单位公章）