2022年网络安全风险评估及系统加固需求招投标书范本 .pdf

《2022年网络安全风险评估及系统加固需求招投标书范本 .pdf》由会员分享，可在线阅读，更多相关《2022年网络安全风险评估及系统加固需求招投标书范本 .pdf（21页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、千里马招标网 中国招标行业门户网站网络安全风险评估及系统加固招标需求书投标方不得以低于成本的报价竞标。投标方报价低于本项目财政预算%时，评标委员会有权要求其对成本构成进行介绍，并要求投标方用书面的形式进行低价说明（在保证质量的前提下，能够大幅节省经费的手段或原因）；如投标人没有合理的理由或不按要求提供低价说明，可视为不被接受的有风险的报价，评标委员会则另行选择供应商。1、评标方法、评标因素及权重分值序号评分项权重价格技术部分序号评分因素权重评分方式评分准则实施方案（工作措施、工作方法、工作手段、工作流程）专家打分根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；

2、评价为良得%-%分数；评价为中得%-%分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。项目重点难点分析、应对措施及相关的合理化建议专家打分根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中得%-%分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。名师资料总结-精品资料欢迎下载-名师精心整理-第 1 页，共 21 页 -2-方案与相关政策法规及国标的符合性专家打分考察内容：依据投标人提供的方案与安全风险评估、等级保护以及深圳市电子政务相关政策法规和国家标准的符合性情况进行横向比较，分档评分：评价为优得%-%分

3、数；评价为良得%-%分数；评价为中得%-%分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。项目完成（服务期满）后的服务承诺专家打分根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中得%-%分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。违约承诺专家打分根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中得%-%分数；评价为差不得分。评价为“中”或“差”的，专家需说明情况。综合实力部分序号评分因素权重评分方式评分准则投标人资格情况及通过相关认证情况

4、专家打分（）具有中国信息安全测评中心颁发的安全信息安全服务资质证书（安全工程类二级或以上）得%分数，中国信息安全测评中心颁发的安全信息安全服务资质证书（安全工程类一级）得%分数，无得分；（）具有中国信息安全认证中心颁发的信息安全风险评估服务资质（一级或二级）得%分数；具有中国信息安全认证中心颁发的信息安全风险评估服务资质（三级或四级）得%分数；其他不得分；（）具有深圳市网络与信息安全突发事件应急指挥部办公室出具的关于网络与信息安全突发事件应急处置专业技术队伍的授权书得%分数，无得分；名师资料总结-精品资料欢迎下载-名师精心整理-第 2 页，共 21 页 -3-注：要求提供认证证书扫描件加盖公章

5、，无证明资料或专家无法判断是否得分的，一律作不得分处理拟安排的项目驻场人员情况专家打分考察内容：上机操作人员有从事安全联合检查或者等级保护年以上工作经历，并具有 CISP证书的得%分数，没有不得分；证明文件：)须提供中国信息安全测评中心颁发的CISP 认证证书复印件加盖投标人公章。）要求提供投标人员截止日前三个月的社保资料、职称证书、资历证明资料及其它证明资料（均为扫描件加盖公章）作为得分依据。项目负责人专业、学历、职称、特长、项目经验等内容。提供聘用合同和其他证明材料扫描件，原件备查。未提供聘用合同扫描件的，不得分。拟安排的项目团队成员（含项目负责人）情况专家打分团队成员总人数要求至少人，未

6、达到人数要求的，不得分。考察内容：项目团队成员具有如下资质：（）项目负责人具有信息系统项目管理师证书（高级）和 CISA资质证书得%分数，不具备不得分。（）其他项目团队成员具有中国信息安全认证中心颁发的 CISAW（风险管理类）认证人员，每一人得%分数；此项最多得%分数。要求提供投标截止日前三个月的社保资料、学位证书、职称证书、奖项证明资料及其它证明资料（均为扫描件加盖公章）作为得分依据。评分中出现无证明资料或专家无法凭所提供资料判断是否得分的情况，一律作不得分处理。团队成员的专业、学历、职称、特长、项目经验等内容。投标人自主知识产权产品（创专家打分投标人使用的漏洞扫描产名师资料总结-精品资料

7、欢迎下载-名师精心整理-第 3 页，共 21 页 -4-新、设计）情况品和渗透测试产品为投标供应商自有，且具有计算机软件著作权登记证书和计算机信息系统安全专用产品销售登记证得%分数投标人须提供检查工具的计算机软件著作权登记证书和计算机信息系统安全专用产品销售登记证扫描件，原件备查。投标人服务质量评价情况专家打分投标人所签约政府部门信息安全服务合同在服务过程中被评价为“优”的：（）每提供一个得%分数，最高得%分数；（）不提供或者无有效证明的，不得分。（投标人须提供服务合同关键信息页或中标通知书扫描件(加盖投标人公章）及评价证明，原件备查。）服务网点专家打分深圳企业或非深圳企业，但在深圳市有合法注

8、册的分公司或办事处等机构的，得满分（须在投标文件中就设立的机构类型进行说明，并提供机构营业执照扫描件，原件备查）；否则不得分。报价合理性部分序号评分因素权重评分方式评分准则报价合理性专家打分考察内容：对照招标文件关于详细分项报价的要求，结合本项目完成（服务）期限要求和人员要求，考察投标人 详细分项报价的科学性及合理性。横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中得%-%分数；评价为差不得分。评价为差不得分。评价为“中”或“差”的，专家需说明情况。诚信情况序号评分因素权重评分方式评分准则诚信评价专家打分根据深圳市财政委员会关于加强招投标评审环节诚信管理的通知（深财购

9、号）的要求，投标人在名师资料总结-精品资料欢迎下载-名师精心整理-第 4 页，共 21 页 -5-参与政府采购活动中存在诚信相关问题的，本项不得分，未出现相关诚信问题的得满分。以深圳市政府采购中心供应商库中的处罚记录为准。投标人无需提供任何证明材料，由采购中心工作人员向评委会提供相关信息。履约评价情况专家打分根据深圳市政府采购中心项目履约情况现场抽检结果，投标截止日前一年内（以深圳市政府采购中心网站关于给予供应商履约评价差的函的落款日期为准），供应商履约评价出现评价为“差”的，本项不得分。未评价为“差”的，得满分。投标人无需提供任何证明材料，由采购中心工作人员向评委会提供相关信息。名师资料总结

10、-精品资料欢迎下载-名师精心整理-第 5 页，共 21 页 -6-采购需求一、项目概况、项目概况：为确保中级法院信息系统的稳定、安全运行，结合年深圳市党政机关信息安全联合检查和绩效评估工作要求，特对网络安全风险评估及系统加固项目进行公开招标。项目服务内容包括：）服务器系统：深圳中院服务器设备数量台，其中SUN小型机台。）存储系统：磁盘阵列存储设备包括惠普存储、华为存储、Netapp 存储。）法院内部专网：法院内部专网与INTERNET 物理隔离，是法院内部办公网络，包括深圳中院内部局域网、中院局域网与上级法院联网、中院局域网与基层院联网、中院局域网与市政专网联网等，中院内部专网网络设备主要由H

11、C、华为等网络设备组成，内网核心及大部分接入层网路设备为HC网络设备，网络设备数量台，内网应用系统包括诉讼服务中心系统、综合整合应用平台系统等，内网应用系统数量台。）法院外部网：法院外部网与INTERNET 相连，与法院内部专网物理隔离，外网网络设备数量台，外网应用系统包括外网网站、诉讼服务平台系统、多元化纠纷系统和法智云端系统，外网应用系统数量。）网络安全设备：法院网络系统部署了防火墙、上网行为审计、入侵检测系统、内外网防病毒系统等网络安全产品，产品数量台。）内外网终端情况：法院内网终端数量台，外网终端数量台。、预算金额：本项目预算金额为人民币伍拾万圆整（￥,.）二、项目服务要求（一）实施要

12、求名师资料总结-精品资料欢迎下载-名师精心整理-第 6 页，共 21 页 -7-对深圳市中级人民法院信息系统进行定期的安全检查。（二）项目目标依据国家、深圳市信息安全相关政策法规和指引文件，针对深圳市中级人民法院信息系统进行信息安全风险评估、等级保护定级与测评、信息安全制度自查与优化、安全防护措施自查与优化、应急响应机制建设与演练、安全隐患排查与教育培训等安全服务，对安全服务过程中发现的脆弱点和问题进行修复加固，建立符合国家标准的信息安全管理体系，并根据修复加固的结果，建立符合深圳市中级人民法院实际情况的安全保障体系和规划设计方案，并在一年的服务期内，定期对信息系统进行安全检测和修复加固，使系

13、统的安全状况得以长期保持。（三）项目依据)国家信息化领导小组关于加强信息安全保障工作的意见（中办发 号）)政府信息系统安全检查办法（国办发 号）)深圳市人民政府信息系统安全检查办法（深府办 号）)国家网络与信息安全协调小组关于开展信息安全风险评估工作的意见（国信办 号）)信息安全等级保护管理办法(公通字 号)深圳市关于开展信息安全风险评估工作的实施意见（深科信 号）)信息安全风险评估规范（GB/T-）)深圳市信息安全风险评估实施指南)检查机构运作的一般规则（ISO-IEC-）)关于印发年深圳市党政机关信息安全联合检查工作方案的通知（深办字号）（四）项目服务内容根据年深圳市党政机关信息安全联合检

14、查工作方案和“信息共享与安全（信息安全）”指标评估标准操作规程（年度）等相关文件要求，帮助中级法院实施信息安全检查和加固优化工作，并在规定的时间通过深圳市党政机关信息安全联合检查工作平台报送结果，完成年度信息安全联合检查各项指标工作。本次项目工作涉及的工作内容包括以下几个方面：名师资料总结-精品资料欢迎下载-名师精心整理-第 7 页，共 21 页 -8-.信息安全制度制定与落实根据信息系统安全等级保护基本要求（GB/T-）中信息安全管理和深圳市信息化主管部门关于信息安全工作的要求，对中级法院整个信息安全管理的方针、策略、制度、规程等进行体系化的梳理和核查，结合信息化实际情况进完成对信息安全管理

15、体系规范的落实。序号服务项目内容全年服务次数信息安全制度制定、优化及落实梳理和核查包括不限于以下各项信息安全管理制度及制度执行情况：a）信息安全管理机构成立情况；b）信息安全管理职能部门设置；c)信息安全管理人员配备；d)信息系统的规划、建设、运维、废弃等环节的信息安全制度制定；e)信息安全制度执行情况记录。次信息安全管理体系落地a）建立适合我方实际的信息安全管理体系框架；b）评估和识别关键的业务处理流程、资产和岗位设置等；c)实现安全体系文档化，管理流程化、绩效控制可量化和安全意识普及。次外包服务管理a)对外包开发软件在投入使用前进行了全面的安全检测。根据需求*.信息安全风险评估按照信息安全

16、技术信息安全风险评估规范（GB/T-）、信息系统安全保护等级基本要求（GB/T-）等相关标准，对中级法院信息系统和IT 基础设施进行安全风险评估，包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。服务内容要求：序号服务项目内容全年服务名师资料总结-精品资料欢迎下载-名师精心整理-第 8 页，共 21 页 -9-次数资产识别、根据资产、业务流程的特性和重要程度对资产进行科学的分类（数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产），并参考C

17、IA（保密性、完整性和可用性）进行价值分级和定量，以识别关键的信息资产。、收集统计中级法院在使用的计算机资产信息，包含：a）计算机主机名；b）计算机 IP 地址；c）计算机 MAC 地址；d）计算机使用人或责任人；e）计算机所属部门；f）计算机的物理位置；g）服务器的内外网IP 对应。次威胁识别通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。次脆弱性识别以资产为核心，针对每一项需要保护的资产、识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估，分析出有可能被潜在威胁源利用的系统缺陷或脆弱性列表，并

18、对其进行分级。次现有控制措施有有效性结合资产、威胁和脆弱性分析结果，对现有的预防性安全措施和保护性安全措施进行有效性测试、评估。次名师资料总结-精品资料欢迎下载-名师精心整理-第 9 页，共 21 页 -10-风险分析资产-威胁-脆弱性映射关系以及控制措施效果，分析存在的安全风险发生的可能性和影响。次风险计算以关键业务系统为关联要素，通过资产的价值、资产面临的威胁和存在的脆弱性三个方面的内容进行量化，统计分析风险值，评定业务系统所属的风险范围和等级。次风险结果通过层面汇总分析和综合分析等过程找出信息系统的安全风险，识别影响系统安全保护能力的安全隐患，形成评估结论报告。次风险处置方案针对信息安全

19、风险评估结果和存在的关键性问题，提出相应的不可接受风险处置建议和方案。次实施要求：（）对深圳市中级人民法院信息系统进行定期的安全防护和系统漏洞补丁安装；对新增应用系统进行安全检测，对发现的问题，提供具有可操作性的整改方案，并协助完成加固和优化服务；对网络设备的端口和配置进行安全检测与安全配置；（）定期对内网、外网网络、主机服务器及所有客户端电脑进行安全风险分析；（）对所有主机服务器的端口、配置进行定期的安全检查、对操作系统级和数据库级的系统安全漏洞进行安全处理和打补丁；（）风险评估中使用的网络层、应用层扫描器工具或设备必须为国内或国际知名厂家的正版产品，若涉及知识产权纠纷，则由投标人负全责；（

20、）风险评估全过程产生的所有过程文档、原始数据、扫描报告、正式报告等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；（）担任用户单位计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建时，提供安全风险评估，并提供安全修补建议。（）为用户单位提供不限次数的信息系统应急响应服务。名师资料总结-精品资料欢迎下载-名师精心整理-第 10 页，共 21 页 -11-.信息安全等级保护根据国家等级保护相关标准加强中级法院各信息系统的等级保护工作，包括以下工作内容:序号服务项目内容全年服务次数等级备案尚未定级备案信息系统提供协助等级划分、定级和备案工作。根据需求商密检查对涉及商用密码应用系统

21、进行检查。根据需求等保咨询对涉及等保工作提供咨询根据需求*.安全防护措施落实根据深圳市党政机关内网安全加固工作方案、互联网安全保护技术措施规定、信息系统安全保护等级基本要求（GB/T-）以及信息系统和信息设备使用保密管理规定等相关标准规范的要求，对中级法院防病毒、安全审计、网站安全、防泄密、防恶意信息、非法外联和移动存储管理安全防护措施情况的核查和落实。序号服务项目内容全年服务次数内网防病毒每月对内网防病毒系统查杀记录、病毒特征码更新、病毒传播趋势进行巡检和跟踪，不断优化策略。次网络安全审计每月对网络安全审计设备运行状况、日志连续性进行巡检，并在需要的时候协助检查违规上网行为。次防篡改每月对网

22、页防篡改系统运行状况、日志连续性进行巡检。次防泄密每月协助对内网计算机有无违规使用无线设备、安装的安全保密监控软件次名师资料总结-精品资料欢迎下载-名师精心整理-第 11 页，共 21 页 -12-是否有效等。非法外联每月协助检查内网终端是否存在违规连接互联网的情况。次移动存储管理每月检查移动存储管理措施的有效性及测试策略的有效性次.应急响应机制建设根据信息系统安全保护等级基本要求（GB/T-）中关于应急响应机制建设的要求，包括应急预案制定和修订、应急预案演练、应急处置支持、灾备措施检查、应急团队建设咨询等工作。序号服务项目内容全年服务次数应急预案制定和修订根据中级法院信息系统的安全状况、完善

23、和修订安全事件应急预案，使之更适合指导突发事件的处置流程。次应急演练服务根据应急预案和当年业界发生的重大安全事件，提供整套的安全事件应急演练服务，包括提供演练方案、计划、资源配置、人员协同、结果报告和整改方案等。次*应急响应支持深圳市中级人民法院外网网站、诉讼服务平台系统等相关互联网应用，如中级法院的信息系统中的计算的或网络设备系统的硬提供 X小时应急响应值班。）电话支持响应：在分钟内对用户紧急安全响应请求进行确定故障类型并定义故障等级。名师资料总结-精品资料欢迎下载-名师精心整理-第 12 页，共 21 页 -13-件、软件、数据因非法攻击或病毒入侵等安全原因而遭到破坏、更改、泄露造成系统不

24、能正常运行，或已经发现的有可能造成上述现象的安全隐患等安全事件时，应及时进行响应。根据国家信息安全技术信息系统安全等级保护基本要求标准实施。及时查杀网络病毒,恢复染毒系统。及时恢复受攻击或被病毒感染系统，恢复网络正常运行。）远程支持响应：在确定故障等级情况后尽快从远程帮助用户或从远程修复系统解决故障。）现场支持响应：如远程不能确定安全故障类型或故障情况严重不能通过远程解决的严重故障情况下，安排至少两人以上的工程技术人员到达现场解决问题，到达现场时间为一小时。）安全故障：解决故障诊断、故障修复、系统清理、系统防护。）证据收集：对由于安全故障造成的入侵记录、破坏情况、直接损失情况收集证据。）事后处

25、理：根据客户需求，收集入侵线索和来源，协助客户进行立案。）紧急响应服务结果报告：针对在紧急安全响应服务中所遇到的安全问题、安全事故处理过程。处理结果，小时内汇总行程经济响应服务结果报告并提交给用户。）安全应急培训及演练：根据客户需要安排计算机安全应急响应服务中心工程师进行安全应急培训及演练，服务周期内总次数不超过四次。*网站可用性及安全性监控服务对深圳市中级人民法院外网网站、网上诉讼服务平台等相关互联网应用，进行实时安全性和可用性监、合同期内执行X小时实时监控，一旦服务器响应异常，十分钟内联系并配合中级法院技术人员对服务器进行维护，确保网站对外服务正常。名师资料总结-精品资料欢迎下载-名师精心

26、整理-第 13 页，共 21 页 -14-控：网站安全性进行实时监控包括：页面异常监控、网站挂马检测、网站断链错链死链检测、网站篡改检测、假冒网站报警、关键栏目变动审计、负面报道收集等。网 站 可 用 性 实 时 监 控 包括：站点可用性、全网可访问性、网站性能分析等。、定期以周报、月报反馈网站安全情况，安全事件需以短信方式即时通知我院网站负责人。.安全培训针对不同岗位和职责的人员提供不同培训内容，包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。要求有完善的培训与讲座实施计划；信息安全全员讲座由投标人提供曾承担政府机构相关讲座经验的专家承担；投标人应提供配套PPT、书

27、面教材，由不低于国家测评中心CISP资格的讲师承担。并提供最新的专业图书不少于册。包括了以下的工作内容：序号服务项目内容全年服务次数安全培训计划根据我方信息系统和人员的情况，设置合理的培训课程和培训计划。次安全意识培训主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联网、内网网络的安全、保密意识和安全常识。次（每次培训时间不少于个小时）安全技能培训主要讲解当前最新的安全技术、黑客攻击技术和手段，以及如何做好日常次（每次培训时间不少于个小时）名师资料总结-精品资料欢迎下载-名师精心整理-第 14 页，共 21 页 -15-的各项防范工作。等级保护标准培训主要讲国家等级保护工作政策、

28、行业标准、监管要求、最佳实践等方面的发展情况。次（每次培训时间不少于个小时）*.安全隐患排查与整改定期对中级法院信息系统和IT 基础设施存在的安全漏洞和隐患进行排查和处置，提高安全防护水平，包括以下工作内容：序号服务项目内容全年服务次数安全基线核查针对项目概况范围（不包括终端）中的主机系统、应用系统、网络设备和数据库管理系统等资产进行安全基线核查，检测在安全现状、安全配置、防护能力、恢复能力等方面的详细情况。次（每季度一次）漏洞扫描针对项目概况范围中的主机系统、应用系统、网络设备和数据库管理系统等资产进行安全漏洞扫描，挖掘存在的软件漏洞和安全隐患。次（每季度一次）终端扫描针对中级法院多台终端电

29、脑进行漏洞扫描，发现存在的安全漏洞，提供修复建议和方法。次（每季度一次）应用层扫描对中级法院外网网站系统和新上线前系统进行应用层漏洞扫描，根据检查结果进行修复加固。根据需求风险整改针对上期党政机关信息安全联合检查风险评估中发现的不可接受次名师资料总结-精品资料欢迎下载-名师精心整理-第 15 页，共 21 页 -16-风险，进行安全整改和加固，最大程度消除安全隐患。*.渗透测试针对应用系统、外网网络进行定期的渗透测试，挖掘存在的安全漏洞，找出系统的安全短板，以此评估目标系统的安全性。序号服务项目内容全年服务次数渗透测试模拟黑客入侵的方式，使用专业工具和人工测试相结合的方法，通过收集信息、制定渗

30、透策略、漏洞测试、漏洞验证、提升权限、深度渗透等步骤，对目标信息系统进行可控的模拟攻击测试，获取目标系统控制权限。次（每季度一次）*.安全整改与加固通过信息安全风险评估、安全基线核查、漏洞扫描和渗透测试等技术手段全面的评估的结果，对发现的信息资产安全漏洞、隐患、威胁等进行整改和加固，提高中级法院信息安全保障能力。序号服务项目内容全年服务次数网络加固通过调整网络边界、重要节点的访问控制策略、网络架构优化、修复和升级网络设备IOS、消除安全漏洞、配置安全基线等方法加固网络层面的安全。次（每季度一次）服务器加固对全网的 Windows、Solaris等服务器的操作系统进行修复加固和漏洞扫描Windo

31、ws每年次,Solaris每年次名师资料总结-精品资料欢迎下载-名师精心整理-第 16 页，共 21 页 -17-主机加固通过加强系统恶意代码防范、系统安全防护措施、补丁和安全设置、系统安全策略检查等手段，加固和优化主机系统的整体安全。次（每季度一次）应用加固通过修补漏洞、增强安全配置、调整系统架构和提升安全策略等方式进行系统整体加固和安全优化，提高系统的安全性和抗攻击能力，将整个系统的安全状况维持在较高的水平，减少安全事件发生的可能性和可能造成的损失。次（每季度一次）中间件加固对各类网络应用服务平台中间件进行安全策略完善、安全设置、权限划分、访问控制等安全加固和修复。次（每季度一次）数据库加

32、固通过加强用户授予库权限、系统密码策略、系统审计等安全配置、升级和修复数据库系统安全漏洞。次（每季度一次）安全管理优化通过优化信息安全管理流程、明确管理职责、加强安全管理体系落实以及信息安全意识推广等方法提高中级法院信息安全管理水平。次（每季度一次）年度信息安全联合检查整改完善并落实年度信息安全联合检查的整改工作年度信息安全风险评估不可接受风险整改完善并落实年度信息安全风险评估的不可接受风险整改工作名师资料总结-精品资料欢迎下载-名师精心整理-第 17 页，共 21 页 -18-*.系统安全测评配合第三方完成个二级系统的安全等级保护测评工作，对测评过程中发现的问题进行整改。五、项目服务人员要求

33、、服务人员（分为驻场服务人员与非驻场服务人员）总体要求：（）投标人需为本项目指派一名资深项目经理，全面统筹安全服务工作，项目经理须具备信息系统项目管理师证书（高级）和CISA资质证书。项目经理职责包括：把握网络信息安全最前沿技术，严格落实安全措施、执行安全管理规定，监督单位违反网络安全管理规定的行为。（）编写项目总体安全服务方案，对各项工作的内容、方法、时间进行描述，其中工作时间要以周为单位进行量化；（）项目实施中对每天的工作编写工作日报，详细描述当天的工作内容、处理事项、使用的方法、检查工具、工具策略、结果、相关工作附件等，并书面呈报；（）每周工作计划至少提前一周（五个工作日）制定并书面呈报

34、，详细描述下周将开展的工作内容、使用的方法、用到的工具、工具策略、需要的配合需求等，并书面呈报；（）每周工作进行工作总结，详细说明每周计划的完成情况，如未按周计划完成工作内容必须说明原因和对未完成工作的处理以及额外完成工作等内容，并书面呈报；（）每月一次例行阶段工作总结，详细描述各项工作的开展情况、当前进度、取得的成果、预期完成时间、发现的问题并书面呈报，同时准备会议材料；（）对在项目实施中需要协调和协助的工作，需至少提前一周书面通知相关岗位人员，以便有充分的时间安排时间和业务协调；（）项目实施中所有的文档：过程数据、会议纪要、过程文档、计划、方案、策略等，必须以电子、纸制同时保存（至少一式两

35、份存档），随时接受检查；（）针对不同的工作内容实行文档（电子及纸制）分类管理，文档分类要清晰，能做到按天、按周、按月进行检索，容易调阅。每日工作完成后都必须有相应的工作附件与之呼应；（）项目实施中对信息系统采用的任何技术检测（本地核查、网络扫描、安全分析、设备调研）手段和方法，必须事先提交详细的实施（检测）方案，明确检测内容、方法、使用的规则（策略）、可能引发的后果、以及后果的处理等内容，经确认通过后方可进行实施；名师资料总结-精品资料欢迎下载-名师精心整理-第 18 页，共 21 页 -19-（）所有对数据库系统和应用系统的技术测试必须预选制定数据备份和恢复方案，并提交相关岗位工程师确认。在

36、方案获得确认后，先对目标系统进行备份并验证备份数据的有效性，确认备份数据有效后再进行相关技术测试（相关技术测试必须事先提交过测试方案并获得中级法院确认后方可实施）。（）按时完成本年度信息安全联合检查工作各阶段要求的上报材料（如，工作计划、实施方案、核查表等）并准时提交；（）为保证中级法院信息系统安全，所有有关项目的文档，无论电子还是纸质均不可带出项目现场。、*驻场服务人员要求：要求驻场服务人员常驻招标单位指定的办公场所开展日常工作，严格遵守招标单位的规章制度。在特定情况或突发事件情况下可适当延长工作时间。因工作产生相关费用由中标单位自行解决。要求根据投标承诺安排人员进场。（）人数要求：人，人从

37、事上机操作等技术工作，人从事文档整理工作。（）资历要求：上机操作人员必须从事安全联合检查或者等级保护年以上工作经历，并具有 CISP证书，有效落实项目经理安排的安全工作及中级法院安排的有关信息安全方面的工作。（）工作范围要求：外网业务系统（包括主机、业务应用）内网业务系统（包括主机、业务应用）网络抓包分析日志分析（含安全设备、核心网络设备、服务器）漏洞扫描代码审计（基于应用层扫描）终端安全指导脆弱性验证分析名师资料总结-精品资料欢迎下载-名师精心整理-第 19 页，共 21 页 -20-（）工作成果要求深圳市中级人民法院XX月信息安全运行状况分析包括：主机安全状况分析网络安全状况分析计算机病毒

38、状况分析日志分析综合风险分析信息安全现状建议六、项目考核要求经双方确认由投标人原因造成的：做过安全措施后出现重大安全事故（影响面大、影响差），罚款元/次；没有预告出现有影响的安全事故，罚款元/次；出现安全漏洞，没有造成影响，罚款元/次；发现为本院服务的其他公司严重违反安全管理规定奖元/次，违反安全管理规定奖元/次；发现部署的安全策略没有生效，奖元/次。七、项目验收相关要求、在现场检查前完成所有的联合检查工作，并移交项目中的电子和纸制过程文档；、在材料上报的各阶段准时完成所有联合检查材料的上报；、风险评估结果有效，风险评估报告满足党政机关信息安全联合检查相关要求，顺利通过检查；、信息系统定级报告

39、符合要求，并通过公安部门备案；、信息系统自测评结果完整、准确，并通过中级法院各岗位工程师的评审和认定；、协助第三方测评机构完成中级法院二级信息系统的等级保护测评；、信息安全管理制度齐全有效，内容可操作性强，并满足党政机关信息安全联合检查的相关要求；名师资料总结-精品资料欢迎下载-名师精心整理-第 20 页，共 21 页 -21-、信息安全架构、组织体系被采纳执行；、安全防范技术措施落实情况的核查务必真实准确，确保在规定的时间内完成核查并汇报成册后上报信息办；、信息系统应急预案必须以信息系统的真实业务流程为基础，做到科学、准确；、信息系统应急预案演练过程文档、会议纪要、修订文档等必须进行电子和纸制双重归档，在项目结束后一并移交给甲方；三、商务要求、项目服务期限要求：年（个日历日）；、合同方式：固定总价合同。、招标文件中所有涉及“*”的条款均为重要条款，作为综合评分时的重要依据。名师资料总结-精品资料欢迎下载-名师精心整理-第 21 页，共 21 页 -