项目名称等级测评安全服务.docVIP

项目名称：等级测评安全服务 投标人资格要求 投标人除具有《中华人民共和国政府采购法》第22规定的相关条件外，还具备以下条件： 1.在中国境内注册具有独立法人资格的企业单位，有提供本项目采购货物及实施服务的能力； 3.具备信息系统风险评估二级及以上资质； 4.本项目不接受联合体报价。 一、项目概述 按照相关文件要求，为进一步提升济南市中级人民法院网络与信息安全工作水平，加强信息安全日常检查和防护工作，落实风险评估、应急救援等安全服务工作，消除信息系统安全隐患，充分掌握和降低内、外网系统所面临的安全风险，加强内、外网系统抵御网络安全威胁的能力，济南市中级人民法院针对内、外网系统安全防护组织网络安全服务招标，并对门户网站和内网综合管理平台信息系统进行信息安全等级保护测评。 二、项目内容 （一）信息安全等级测评 1、服务范围 CNAS17020相关标准要求实施测评工作。 2、成果文档 供应商需要为采购人开发完整的信息安全管理制度体系文档。最终成果文档应包括但不限于：《信息安全保障框架》、《信息安全组织管理框架》、《人员安全管理规定》、《第三方和外包安全管理规定》、《信息安全授权与审批管理规定》、《信息安全风险评估管理规定》、《信息资产管理规定》、《机房安全管理规定》、《终端及工作环境安全管理规定》、《数据安全管理规定》、《存储介质安全管理规定》、《信息安全设备管理规定》、《信息系统安全审计与管理评审规定》、《信息系统安全方案》、《信息安全应急预案》。 3、安全自查、检查与整改 完成采购人201年度信息安全自查、检查与整改工作，配合其他信息安全主管部门完成对采购人的信息安全检查工作。 （1）服务要求 参照等级保护及风险评估方法，完成2017年度信息安全测评与整改工作，指导完成信息安全自查与整改工作，制定《行业指导规范》和《实施细则》 （2）成果文档 最终成果文档应包括但不限于： 《采购人201年度信息安全等级保护测评实施方案》 《采购人201年度信息安全等级保护测评差距分析报告》 《采购人201年度信息安全整改方案》 （二）信息安全服务 1.风险评估 从风险管理角度，运用信息安全风险评估，系统地分析信息系统所面临的威胁及其存在的脆弱性，对目前所采用的安全控制措施的有效性进行检测评，评估安全事件一旦发生可能造成的危害程度并根据风险的严重级别来制定风险处理计划。提出有针对性的抵御威胁的防护对策和整改措施，并为防范和化解信息安全风险或者将风险控制在可接受的水平提供科学依据。 成果文档应包括但不限于： （1）《济南市中级人民法院信息系统漏洞扫描报告》 （2）《济南市中级人民法院信息安全风险评估报告》 （3）《济南市中级人民法院信息安全整改加固方案》 每季度对资产识别、威胁识别、脆弱性识别等进行检测，制定风险评估报告，针对风险分析阶段得到的不同等级的风险，给出详细的可操作性强的整改建议。 2.信息安全管理体系建设 按照信息系统安全等级保护的相关要求，结合我院实际情况，梳理和完善我院信息安全管理制度，健全信息安全管理体系和技术保障体系。 制定信息安全总体目标、信息安全责任机构和职责、详细工作的安全运行机制等，完善在信息系统建设、运维、升级等环节的管理制度，有效提升信息网络安全的管理水平。 根据要求加强安全管理，形成稳定高效的服务管控体系，做到管理规范、流程合理、职责明确、服务高效。 3.安全运维服务 (1)安全检查驻场服务: 对我院所管辖的重点应用系统及涉及的服务器和相关安全设备、网站服务器、数据库进行安全检查。通过对上述设备运行状况进行检查，进行事件审计和日志分析，及时发现、消除信息系统中存在安全隐患，保障信息系统的正常运行；协助我院及时修订网络管理制度及制度的落地执行；委派1名具有丰富网络知识及安全运维经验的技术工程师驻场服务，每月出具安全检查报告并协助我院处理安全检查中的相关问题。提供专业、科学、有效的安全咨询服务，帮助建立信息安全策略，制定信息安全总体规划，解决信息安全问题提供解决方案。针对新上线的业务系统，根据信息安全等级保护要求，进行安全检查服务，生成检查报告及加固方案，严格按照加固方式实施处理，提高系统整体安全保护能力。 (2)应急响应服务 协助我院建立健全网络、信息安全事件应急预案工作机制，对应急体系的适应性进行评审并提出具有建设性的建议，加强对信息安全应急资源的储备及管理，建立网络、信息安全的预警及发现机制，提高信息系统的快速响应、恢复能力。 应急预案：建立健全网络、信息安全相关应急预案。应急预案的类型包括但不限于网络攻击、病毒爆发、DDOS攻击、网页篡改等等。开展信息安全方面的演练，并根据实际演练效果，提出相关建议或者整改措施；对相关人员进行演练培训，使相关人员了解应急响应方案的目标和操作流程。在服务期内组织开展至少2次