网络安全风险评估及系统加固需求招投标书范本

千里马招标网统加固招标需求书投标方报价低于本项目财政预算%时，评标委员会有权（能够大幅节省经费的手段或原因）；如投标人没有合理的理由或不按要求提供低价说明，可视为不被接受的有风险的报价，评标委员会则另行选择供应商。1、评标方法、评标因素及权重分值序号序号评分项价格评分因素实施方案（法、工作手段、工作流程）权重序号权重评分方式专家打分项目重点难点分析、应对措施及相关的合理化建议评分准则根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中的，专家需说明情况。专家打分 根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中的，专家需说明情况。中国招标行业门户网站--PAGE10-符合性项目完成（服务期满）务承诺违约承诺

专家打分 考察内容：依据投标人提供的方案与安全风险评估、等级保护以及深圳市电子政务相关政策法规和国家标准的符合性情况进行横向比较，分档评分：的，专家需说明情况。专家打分 根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中的，专家需说明情况。专家打分 根据招标文件的需求和投标文件响应情况进行横向比较，分档评分：评价为优得%-%分数；评价为良得%-%分数；评价为中的，专家需说明情况。综合实力部分序号 评分因素权重评分方式评分准则投标人资格情况及通过相关认专家打分（）具有中国信息安全测证情况评中心颁发的安全信息安全服务资质证书（安全工程类二级或以上）得%分数，中国信息安全测评中心颁发的安全信息安全服务资质证书（安全工程类一级）得%分数，无得分；（）具有中国信息安全认证中心颁发的信息安全风险评估服务资质（一级或二级）得%分数；具有中国信息安全认证中心颁发的信息安全风险评估服务资（三级或四级其他不得分；（）具有深圳市网络与信息安全突发事件应急指挥部办公室出具的关于网络与信息安全突发事件应急处置专业技术队伍的授权书得%分数，无得分；拟安排的项目驻场人员情况拟安排的项目团队成员（含项目负责人）情况投标人自主知识产权产品（创

专家打分考察内容：上机操作人员有从事安全联合检查或者等级保护年以上工作经CISP分数，没有不得分；）要求提供投标人员截止日前三个月的社保资料、职称证书、资历证明资料及其它证明资料（均为扫描件加盖公章）作为得分依据。项目特长、项目经验等内容。提供聘用合同和其他证明材料扫描件，原件备查。未提供聘用合同扫描件的，不得分。专家打分团队成员总人数要求至少人，未达到人数要求的，不得分。考察内容：项目团队成员具有如下资质：（）系统项目管理师证书（级）和CISA（）其他项目团队成员具有中国信息安全认证中心颁发的CISAW（风险管理类团队成员的专业、学历、职称、特长、项目经验等内容。专家打分 投标人使用的漏洞扫描产新、设计）情况品和渗透测试产品为投标算机软件著作权登记证安全专用产品销售登记投标人须提供检查工具的证》扫描件，原件备查。投标人服务质量评价情况专家打分投标人所签约政府部门信息安全服务合同在服务过程中被评价为“优”的：（）每提供一个得%分数，最高得%分数；（）不提供或者无有效证明的，不得分。（投标人须提供服务合同关键信息页或中标通知书及评价证明，原件备查）服务网点专家打分深圳企业或非深圳企业，但在深圳市有合法注册的分公司或办事处等机构的，得满分（须在投标文件中就设立的机构类型进行说明，并提供机构营业执照扫描件，原件备查否则不得分。报价合理性部分序号评分因素权重评分方式评分准则报价合理性专家打分关于详细分项报价的要求，结合本项目完成（务分。评价为差不得分。评价为“中”或“差”的，专家需说明情况。诚信情况序号评分因素权重评分方式评分准则诚信评价专家打分根据《深圳市财政委员会关于加强招投标评审环节诚信管理的通知（[]号）的要求，投标人在履约评价情况

参与政府采购活动中存在诚信相关问题的，本项不得分，未出现相关诚信问题的得满分。以深圳市政府采购中心供应商库中的处罚记录为准。投标人无需提供任何证明材料，由采购中心工作人员向评委会提供相关信息。专家打分根据深圳市政府采购中心（以深圳市政府采购中心网站《关于给予供应商履约评价差的函》的落款日期为准的，得满分。投标人无需提供任何证明材料，由采购中心工作人员向评委会提供相关信息。采购需求一、项目概况、项目概况：为确保中级法院信息系统的稳定、安全运行，结合年深圳市党政机关信息安全联合检查和绩效评估工作要求，特对网络安全风险评估及系统加固项目进行公开招标。项目服务内容包括：）服务器系统：深圳中院服务器设备数量≥台，其中SUN小型机≥台。）存储系统：磁盘阵列存储设备包括惠普存储、华为存储、Netapp存储。）法院内部专网：法院内部专网与INTERNETHC、华为等网络设备组成，内网核心及大部分接入层网路设备为HC应用平台系统等，内网应用系统数量≥台。）法院外部网：法院外部网与INTERNET相连，与法院内部专网物理隔离，外网网络设备数量≥台，外网应用系统包括外网网站、诉讼服务平台系统、多元化纠纷系统和法智云端系统，外网应用系统数量≥。）网络安全设备：法院网络系统部署了防火墙、上网行为审计、入侵检测系统、内外网防病毒系统等网络安全产品，产品数量≥台。）内外网终端情况：法院内网终端数量≥台，外网终端数量≥台。、预算金额：本项目预算金额为人民币伍拾万圆整二、项目服务要求（一）实施要求对深圳市中级人民法院信息系统进行定期的安全检查。（二）项目目标依据国家、深圳市信息安全相关政策法规和指引文件，针对深圳市中级人民法院信息系统进行信息安全风险评估、等级保护定级与测评、信息安全制度自查与优化、安全防护措施自查与优化、应急响应机制建设与演练、安全隐患排查与教育培训等安全服务，对安全服务过程中发现的脆弱点和问题进行修复加固，建立符合国家标准的信息安全管理体系，并根据修复加固的结果，建立符合深圳市中级人民法院实际情况的安全保障体系和规划设计方案，并在一年的服务期内，定期对信息系统进行安全检测和修复加固，使系统的安全状况得以长期保持。（三）项目依据)国家信息化领导小组《关于加强信息安全保障工作的意见》（中办发[]号）)《政府信息系统安全检查办法》（国办发[]号）)《深圳市人民政府信息系统安全检查办法》（深府办[]号）)国家网络与信息安全协调小组《关于开展信息安全风险评估工作的意见》（国信办[]号）)《信息安全等级保护管理办法》(公通字[]号))深圳市关于开展信息安全风险评估工作的实施意见（深科信[]号）)信息安全风险评估规范（GB/T-）)深圳市信息安全风险评估实施指南)检查机构运作的一般规则（ISO-IEC-）)关于印发《年深圳市党政机关信息安全联合检查工作方案》的通知（深办字〔〕号）（四）项目服务内容（信息安全指标评估标准操作规程（年度）》等相关文件要求，帮助中级法院实施信息安全检查和加固优化工作，并在规定的时间通过深圳市党政机关信息安全联合检查工作平台报送结果，完成年度信息安全联合检查各项指标工作。本次项目工作涉及的工作内容包括以下几个方面：全年服务序号全年服务序号服务项目内容次数梳理和核查包括不限于以下各项信息安全管理制度及制度执行情况：a）信息安全管理机构成立情况；信息安全制度制定、优化及落实b）信息安全管理职能部门设置；次c)信息安全管理人员配备；d)信息系统的规划、建设、运维、废弃等环节的信息安全制度制定；e)信息安全制度执行情况记录。a）建立适合我方实际的信息安全管理体系框架；信息安全管理体系落地b）评估和识别关键的业务处理流程、资产和岗位设置等；次c)实现安全体系文档化，管理流程化、绩效控制可量化和安全意识普及。外包服务管理a)对外包开发软件在投入使用前进行了全面的安全检测。根据需求.信息安全制度制定与落实根据《信息系统安全等级保护基本要求》中信息安全管理和深圳市信息化主管部门关于信息安全工作的要求，对中级法院整个信息安全管理的方针、策略、制度、规程等进行体系化的梳理和核查，结合信息化实际情况进完成对信息安全管理体系规范的落实。*.信息安全风险评估*.信息安全风险评估按照《信息安全技术信息安全风险评估规范》（GB/T-）、《信息系统安全保护等级基本要求》（GB/T-）等相关标准，对中级法院信息系统和IT风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。服务内容要求：序号序号服务项目内容全年服务次数、根据资产、业务流程的特性和重要程度对资产进行科学的分类（数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产），并参考CIA（保密性、完整性和可用性）进行价值分级和定量，以识别关键的信息资产。资产识别 、收集统计中级法院在使用的计算机资产 信息，包含：a）计算机主机名；b）计算机IP地址；c）计算机MAC地址；d）计算机使用人或责任人；e）计算机所属部门；f）计算机的物理位置；g）服务器的内外网IP威胁识别

通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检次测系统收集的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。脆弱性识别 弱性的严重程度进行评估，分析出有可能 被潜在威胁源利用的系统缺陷或脆弱性列表，并对其进行分级。现有控制措施有有效性

结合资产、威胁和脆弱性分析结果，对现有的预防性安全措施和保护性安全措施进 行有效性测试、评估。资产-威胁-脆弱性映射关系以及控制措施风险分析效果，分析存在的安全风险发生的可能性次和影响。以关键业务系统为关联要素，通过资产的风险计算价值、资产面临的威胁和存在的脆弱性三次评定业务系统所属的风险范围和等级。通过层面汇总分析和综合分析等过程找出风险结果信息系统的安全风险，识别影响系统安全次保护能力的安全隐患，形成评估结论报告。针对信息安全风险评估结果和存在的关键风险处置方案性问题，提出相应的不可接受风险处置建次议和方案。实施要求：（）对深圳市中级人民法院信息系统进行定期的安全防护和系统漏洞补丁安装；对新增应用系统进行安全检测，对发现的问题，提供具有可操作性的整改方案，并协助完成加固和优化服务；对网络设备的端口和配置进行安全检测与安全配置；（）定期对内网、外网网络、主机服务器及所有客户端电脑进行安全风险分析；（）对所有主机服务器的端口、配置进行定期的安全检查、对操作系统级和数据库级的系统安全漏洞进行安全处理和打补丁；（）版产品，若涉及知识产权纠纷，则由投标人负全责；（）子和纸制双重归档，在项目结束后一并移交给甲方；（）担任用户单位计算机网络和主机系统的安全顾问，在网络和主机系统进行升级、扩建时，提供安全风险评估，并提供安全修补建议。（）为用户单位提供不限次数的信息系统应急响应服务。全年服务序号服务项目全年服务序号服务项目内容次数尚未定级备案信息系统提供协助等级等级备案 根据需划分、定级和备案工作。商密检查对涉及商用密码应用系统进行检查。根据需求等保咨询对涉及等保工作提供咨询根据需求*.安全防护措施落实息系统安全保护等级基本要求》（GB/T-）以及《信息系统和信息设备使用保密管理规定》等相关标准规范的要求，对中级法院防病毒、安全审计、网站安全、防泄密、防恶意信息、非法外联和移动存储管理安全防护措施情况的核查和落实。.信息安全等级保护全年服务全年服务序号服务项目内容次数每月对内网防病毒系统查杀记录、病内网防病毒毒特征码更新、病毒传播趋势进行巡次检和跟踪，不断优化策略。每月对网络安全审计设备运行状况、网络安全审计日志连续性进行巡检，并在需要的时次候协助检查违规上网行为。每月对网页防篡改系统运行状况、日防篡改 志连续性进行巡检。防泄密每月协助对内网计算机有无违规使用次无线设备、安装的安全保密监控软件是否有效等。是否有效等。每月协助检查内网终端是否存在违规非法外联 连接互联网的情况。每月检查移动存储管理措施的有效性移动存储管理 及测试策略的有效性.应急响应机制建设.应急响应机制建设根据《信息系统安全保护等级基本要求》（GB/T-）中关于应急响应机制建设的要求，包括应急预案制定和修订、应急预案演练、应急处置支持、灾备措施检查、应急团队建设咨询等工作。序序号全年服务服务项目内容次数根据中级法院信息系统的安全状况、完善和修订安应急预案制定全事件应急预案，使之更次和修订适合指导突发事件的处置流程。根据应急预案和当年业界发生的重大安全事件，提应急演练服务练服务，包括提供演练方次案、计划、资源配置、人员协同、结果报告和整改方案等。深圳市中级人民法院外网X*应急响应支网站、诉讼服务平台系统持等相关互联网应用，如中级法院的信息系统中的计安全响应请求进行确定故障类型并定算的或网络设备系统的硬义故障等级。件、软件、数据因非法攻 远程支持响应在确定故障等级情击或病毒入侵等安全原因 后尽快从远程帮助用户或从远程修复而遭到破坏、更改、泄露 系统解决故障。造成系统不能正常运行，或已经发现的有可能造成上述现象的安全隐患等安全事件时，应及时进行响应。●根据国家《信息安全技术信息系统安全等级保护基本要求》标准实施。●及时查杀网络病毒,恢复染毒系统。●及时恢复受攻击或被病毒感染系统，恢复网络正常运行。

故障类型或故障情况严重不能通过远系统清理、系统防护。证据。）事后处理：根据客户需求，收集入侵线索和来源，协助客户进行立案。总行程经济响应服务结果报告并提交给用户。安排计算机安全应急响应服务中心工期内总次数不超过四次。*网站可用性及安全性监控服务

对深圳市中级人民法院外 合同期内执行X小时实时监控一旦网网站、网上诉讼服务平 服务器响应异常十分钟内联系并配合台等相关互联网应用，进 中级法院技术人员对服务器进行维护行实时安全性和可用性监 确保网站对外服务正常。控：控：网站安全性进行实时监控安全事件需以短信方式即时通知我院包括：页面异常监控、网网站负责人。站挂马检测、网站断链错链死链检测、网站篡改检测、假冒网站报警、关键收集等。网站可用性实时监控包括：站点可用性、全网可访问性、网站性能分析等。.安全培训.安全培训针对不同岗位和职责的人员提供不同培训内容，包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。要求有完善的培训与讲座实施计划；信息安全全员讲座由投标人提供曾承担政府机构相关讲座经验的专家承担；投标人应提供配套PPT、书面教材，由不低于国家测评中心CISP资格的讲师承担。并提供最新的专业图书不少于册。包括了以下的工作内容：全年服务全年服务序号服务项目内容次数根据我方信息系统和人员的情况，设安全培训计划 置合理的培训课程和培训计划。主要讲办公电脑、平板、智能设备、移动存储设备等终端设备在使用互联次（每次培训时间不安全意识培训网、内网网络的安全、保密意识和安少于个小时）全常识。主要讲解当前最新的安全技术、黑客次（每次培训时间不安全技能培训攻击技术和手段，以及如何做好日常少于个小时）等级保护标准培训

的各项防范工作。主要讲国家等级保护工作政策、行业标准、监管要求、最佳实践等方面的发展情况。

次（每次培训时间不少于个小时）*.安全隐患排查与整改*.安全隐患排查与整改定期对中级法院信息系统和IT防护水平，包括以下工作内容：全年服务全年服务序号服务项目内容次数针对项目概况范围（不包括终端）中的主机系统、应用系统、网络设备和数据库管理系统等资产进行安全基线核查次安全基线核查，检测在安全现状、（每季度一次）安全配置、防护能力、恢复能力等方面的详细情况。针对项目概况范围中的主机系统、应用系统、网络设备和数据库管理漏洞扫描次系统等资产进行安全漏洞扫描，挖（每季度一次）掘存在的软件漏洞和安全隐患。针对中级法院多台终端电脑进行终端扫描漏洞扫描，发现存在的安全漏洞，次提供修复建议和方法。（每季度一次）对中级法院外网网站系统和新上应用层扫描线前系统进行应用层漏洞扫描，根根据需求据检查结果进行修复加固。风险整改针对上期党政机关信息安全联合次检查风险评估中发现的不可接受风险，进行安全整改和加固，最大程度消除安全隐患。风险，进行安全整改和加固，最大程度消除安全隐患。*.渗透测试*.渗透测试针对应用系统、外网网络进行定期的渗透测试，挖掘存在的安全漏洞，找出系统的安全短板，以此评估目标系统的安全性。序号 服务项目 内容

全年服务次数渗透测试

模拟黑客入侵的方式，使用专业工具和人工测试相结合的方法，通过收集信息、制定渗透策略、漏洞测试、漏对目标信息系统进行可控的模拟攻击测试，获取目标系统控制权限。

次（每季度一次）*.安全整改与加固*.安全整改与加固通过信息安全风险评估、安全基线核查、漏洞扫描和渗透测试等技术手段全面的评估的结果，对发现的信息资产安全漏洞、隐患、威胁等进行整改和加固，提高中级法院信息安全保障能力。序号 服务项目 内容

全年服务次数通过调整网络边界、重要节点的访问控制策略、网络架构优化、修复和升网络加固 级网络设备IOS消除安全漏洞配安全基线等方法加固网络层面的安全。

次（每季度一次）服务器加固

对全网的WindowsSolaris等服务器Windows每年的操作系统进行修复加固和漏洞扫描 Solaris每年次主机加固

通过加强系统恶意代码防范、系统安全防护措施、补丁和安全设置、系统安全策略检查等手段，加固和优化主机系统的整体安全。

次（每季度一次）通过修补漏洞、增强安全配置、调整系统架构和提升安全策略等方式进行系统整体加固和安全优化，提高系统损失。对各类网络应用服务平台中间件进行中间件加固 安全策略完善、安全设置、权限划分访问控制等安全加固和修复。通过加强用户授予库权限、系统密数据库加固 策略、系统审计等安全配置、升级修复数据库系统安全漏洞。

次（每季度一次）次（每季度一次）次（每季度一次）安全管理优化

通过优化信息安全管理流程、明确管理职责、加强安全管理体系落实以及信息安全意识推广等方法提高中级法院信息安全管理水平。

次（每季度一次）年度信息安全 完善并落实年度信息安全联合检查联合检查整改 整改工作年度信息安全风险评估不可接受风险整改

完善并落实年度信息安全风险评估的不可接受风险整改工作*.系统安全测评配合第三方完成个二级系统的安全等级保护测评工作，对测评过程中发现的问题进行整改。五、项目服务人员要求、服务人员（分为驻场服务人员与非驻场服务人员）总体要求：（）投标人需为本项目指派一名资深项目经理，全面统筹安全服务工作，项目经理须具备信息系统项目管理师证书（高级）和CISA前沿技术，严格落实安全措施、执行安全管理规定，监督单位违反网络安全管理规定的行为。（）编写项目总体安全服务方案，对各项工作的内容、方法、时间进行描述，其中工作时间要以周为单位进行量化；（）项目实施中对每天的工作编写工作日报，详细描述当天的工作内容、处理事项、使用的方法、检查工具、工具策略、结果、相关工作附件等，并书面呈报；（）每周工作计划至少提前一周（五个工作日）制定并书面呈报，详细描述下周将开展的工作内容、使用的方法、用到的工具、工具策略、需要的配合需求等，并书面呈报；（）每周工作进行工作总结，详细说明每周计划的完成情况，如未按周计划完成工作内容必须说明原因和对未完成工作的处理以及额外完成工作等内容，并书面呈报；（）每月一次例行阶段工作总结，详细描述各项工作的开展情况、当前进度、取得的成果、预期完成时间、发现的问题并书面呈报，同时准备会议材料；（）对在项目实施中需要协调和协助的工作，需至少提前一周书面通知相关岗位人员，以便有充分的时间安排时间和业务协调；（）项目实施中所有的文档：过程数据、会议纪要、过程文档、计划、方案、策略等，必须以电子、纸制同时保存（至少一式两份存档），随时接受检查；（）针对不同的工作内容实行文档（电子及纸制）分类管理，文档分类要清晰，能做到按天、按周、按月进行检索，容易调阅。每日工作完成后都必须有相应的工作附件与之呼应；（）项目实施中对信息系统采用的任何技术检测（本地核查、网络扫描、安全分析、设备调研）手段和方法，必须事先提交详细的实施（检测）方案，明确检测内容、方法、使用的规则（策略）、可能引发的后果、以及后果的处理等内容，经确认通过后方可进行实施；（）所有对数据库系统和应用系统的技术测试必须预选制定数据备份和恢复方案，并提交相关岗位工程师确认。在方案获得确认后，先对目标系统进行备份并验证备份数据的有效性，确认备份数据有效后再进行相关技术测试（相关技术测试必须事先提交过测试方案并获得中级法院确认后方可实施）。（）按时完成本年度信息安全联合检查工作各阶段要求的上报材料（如，工作计划、