一、采购名称:信息安全服务项目。
二、采购项目概况
通过开展信息安全服务工作,及时掌握信息系统安全状况,深入挖掘网络与信息系统存在的脆弱点,建立风险评估和整改机制,提高应急处置能力,完善信息安全管理体系,促进信息安全管理水平。
三、供应商资质要求:
1、供应商需具备CCRC信息安全服务资质认证证书-信息系统安全集成;
2、供应商需具备IS0 9001认证证书;
3、供应商需具备ISO 27001认证证书。
四、项目管理和服务要求
本信息安全服务项目的内容包括漏洞扫描、渗透测试、应急响应、重大活动保障、风险评估、等保测评、安全制度修编、信息安全咨询、信息安全设备运维等信息安全服务工作,详细要求如下:
序号 | 服务项目 | 项目内容 | 服务要求 | 服务频率 |
1 | ★信息系统漏洞扫描服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,完成互联网信息系统的漏洞安全扫描及修复工作 | 1.制定信息系统漏洞扫描计划,在获得授权后对深圳市高技能人才公共实训管理服务中心信息系统进行漏洞安全扫描,并对高、中风险的安全漏洞进行修复。
2.漏洞修复完成后,进行漏洞修复复核。 | 全年 |
2 | ★服务器、网络、安全等设备漏洞扫描服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,完成服务器、网络、安全等设备的漏洞安全扫描及修复工作。 | 1.制定服务器、网络、安全等设备漏洞扫描计划,在获得授权后对服务器、网络设备进行漏洞安全扫描工作,并对其高、中风险的安全漏洞进行修复。
2.完成漏洞修复后,进行漏洞修复复核。 | 全年 |
3 | ★终端漏洞扫描服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,完成对所有从高训中心网络出口的终端电脑的漏洞安全扫描及修复工作。 | 1.制定终端漏洞扫描计划,在获得授权后对终端进行漏洞安全扫描工作,并对其高、中风险的安全漏洞进行修复。
2.完成漏洞修复后,进行漏洞修复复核。 | 全年 |
4 | ★信息安全设备运维服务 | 信息安全防护设备日常巡检、策略配置优化和系统升级服务 | 1.对部署在高训大厦的防火墙、WAF、入侵防御、上网行为管理、日志管理软件、终端管控系统等信息安全防护设备提供日常业务巡检和安全策略配置服务;
2.结合用户的安全需求,根据行业标准对各类信息安全防护产品提供策略变更、配置优化和系统升级变更服务。 | 全年 |
5 | ★信息系统在线安全实时监控服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,提供对外服务信息系统的安全实时监控服务,并对发现的问题和漏洞进行修复。 | (1)信息系统可用性监控: 可用性监控:实时监控信息系统可访问情况,发现问题实时预警,所监控的异常类型包括DNS解析异常、协议错误、URL不合法、无路由器跳转到主机、socket连接请求被拒绝等12种类型。
全网性能分析要求:通过多点探头,对信息系统的DNS解析、建立链接、服务器计算、内容下载等性能指标进行分析。
全网可用性监控:通过在不同地区、不同运营商(电信、移动、联通)的网络中部署监控探头,来发现不同网络出口的访问状况,如DNS解析地域差异、多链路出口差异等问题,发现问题实时预警。
监控频率要求:不超过10分钟间隔。
预警方式要求:能够通过短信、邮件、电话等方式预警。
(2)信息系统安全性监控:
页面挂马监控:利用丰富的挂马特征库对页面中存在的木马、病毒、恶意脚本等恶意代码进行定性分析和预警。
违规文字审查要求:对系统中文字进行自动化提取分析,通过比对非法文字特征库,对满足特征的文字(反动、分裂、暴力、色情等)进行定性分析预警。 预警方式:能够通过短信、邮件、电话等方式预警。 | 全年 |
6 | ★高级渗透测试 | 对深圳市高技能人才公共实训管理服务中心所有业务系统进行全面高级渗透测试 | 经深圳市高技能人才公共实训管理服务中心授权,利用多种业界标准工具和已掌握的漏洞信息,针对业务系统开展非破坏性的模拟黑客攻击测试,发现漏洞不进行破坏,并协助用户进行修复,修复后进行复测,确保漏洞完全修复。 | 1次 |
7 | ★安全预警和修复 | 根据信息安全行业漏洞最新信息,对网络提供安全预警及防护。 | 1、根据国家、省、市信息安全要求,对安全事件进行提前预警和防护,杜绝安全事件发生。 2、如有安全事件发生,第一时间到达现场,对事件进行分析和修复。 | 全年 |
8 | ★应急响应 | 在深圳市高技能人才公共实训管理服务中心发生上级部门预警或确切的安全事件时,提供应急响应。 | 在发生上级部门预警或确切的安全事件时,应急响应实施人员第一时间赶到现场,及时采取行动限制事件扩散和影响的范围,限制潜在的损失与破坏服务基础上,实施人员协助检查所有受影响的系统,在准确判断安全事件原因的基础上,提出整体安全解决方案,排除系统安全风险并协助追查事件来源、提出解决方案、协助后续处置。 | 全年 |
9 | ★上级单位迎检服务 | 协助完成上级单位信息安全考核各项指标达标工作及迎检材料准备工作。 | 1、协助完成上级单位信息安全考核,各项指标要求达标。
2、协助完成上级检查迎检材料准备工作,提前进行逐项自查。 | 全年 |
10 | ★信息安全制度修订服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,完成信息安全制度的修订工作 | 根据要求,结合深圳市高技能人才公共实训管理服务中心信息安全现状,完成信息安全制度的修订工作。 | 1次/年 |
11 | ★信息安全知识培训服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,为全体工作人员提供信息安全知识培训。 | 为全体工作人员提供信息安全知识培训,制订培训计划,并提交培训记录。
针对不同岗位和职责的人员提供不同培训内容,包括信息安全意识教育、网络攻防、应用安全开发和国家等级保护相关标准的培训。 | 4次/年 |
12 | ★网络与信息安全突发事件应急模拟演练服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,完成网络与信息安全突发事件的应急相关工作 | 1.根据要求,结合深圳市高技能人才公共实训管理服务中心信息安全实际现状,修订网络与信息安全突发事件应急预案。
2.组织相关人员开展重要信息系统网络与信息安全突发事件应急模拟演练。 | 1次/年 |
13 | ★信息系统风险评估服务 | 根据深圳市人力资源和社会保障局直属单位信息安全工作方案要求,完成信息系统风险评估工作。 | 1.根据要求,对深圳市高技能人才公共实训管理服务中心重要信息资产进行风险评估,编写完成风险评估相关文档。
2.协助对风险评估中所发现的不可接受信息安全风险进行整改。 | 1次/年 |
14 | ★信息系统等级保护服务 | 根据《网络安全等级保护条例》要求,为深圳市高技能人才公共实训管理服务中心所有信息系统提供等级保护服务。 | 1、根据《网络安全等级保护条例》要求,聘请第三方专业测评人员对深圳市高技能人才公共实训管理服务中心所有信息系统进行定级,无需再额外支付任何费用。
2、对不符合等保要求的信息系统进行差距测评,提交测评中不符合项目的整改方案,对完成整改工作提供技术指导,监督整改进展,协助深圳市高技能人才公共实训管理服务中心按信息安全主管部门要求完成等级保护其它相关工作。 | 1次 |
15 | ★重要活动保障服务 | 在重大活动期间(两会、国庆等)或重大网络安全事件期间,提供信息安全保障服务。 | 提供多种业界标准工具对深圳市高技能人才公共实训管理服务中心业务系统、网络设备、终端等进行监测。 提供24小时人员值守服务,对安全告警日志查看、安全告警信息排查等现场安全值守服务,提供具有丰富的应急处理能力和安全服务技术经验的工程师。 | 全年 |
16 | ★安全咨询服务 | 结合现有IT基础架构系统,为不断完善信息安全防护方案提供技术咨询。 | 以现有IT基础架构系统和安全防护框架为基础,为客户完善信息安全防护技术方案,提高信息安全防护水平提供技术咨询方案。 | 全年 |
17 | ★其他服务 | 文档资料 | 服务合同到期后,将服务期内所有服务记录、工作文档移交甲方,做好交接工作。 |
|
五、商务需求:
(一)服务期
2021年1月1日至2021年12月31日
(二)服务地点
深圳市高技能人才公共实训管理服务中心
(三)报价要求
1、本项目预算人民币17.2万元,响应报价超过预算金额的视为无效响应。
2、本项目服务费采用包干制,应包括服务成本、法定税费和合理利润。报价由响应供应商根据询价公告自行测算。
3、响应材料一式四份,需加盖单位公章,并密封报送。
(三)付款方式
合同签订且2021年预算下达后支付合同金额50%,合同到期验收合格后支付合同金额50%。
六、公告期限:
2020年12月25日至2020年12月29日。
七、递交响应文件时间及地点:
截止2020年12月29日下午18:00(北京时间)。
深圳市福田区福强路1007号高训大厦1717室。
八、联系人及方式:
任小姐,82997708,传真:82997708。
深圳市高技能人才公共实训管理服务中心
2020年12月24日
