六、投标人要求.docxVIP

巨化集团财务有限责任公司 信息系统风险评估招标文件 项目名称：信息系统风险评估采购项目 采购人：巨化集团财务有限责任公司（盖章） 二〇一八年七月  一、对象和目标 本次评估的对象是巨化财务公司的信息系统（包含电票系统等），全面评估信息系统的安全性，管理规范性。 本次评估的目标是通过评估，对信息系统现状进行全面了解，及时发现存在的安全隐患和管理漏洞，进一步强化信息系统的安全建设，完善和提高管理水平，构建和业务发展相适应的信息系统。 二、建设依据 银监会[2016]188号文，《中国银监会办公厅关于加强非银行金融机构信息科技建设和管理的指导意见》 GB/T 20984-2007 《信息安全技术信息安全风险评估规范》 GB/T 31509-2015 《信息安全技术信息安全风险评估实施指南》 GB/T 30276-2013 《信息安全技术信息安全漏洞管理规范》 GB/T 24363-2009 《信息安全技术信息安全应急响应计划规范》 GB/T 33132-2016 《信息安全技术信息安全风险处理实施指南》 《中华人民共和国网络安全法》 三、具体服务要求 管理及制度 通过现场查看、访谈、测试等等方式，评估安全管理制度的建立与执行情况、评估运维管理制度的建立与执行情况（包含事件管理、问题管理、配置管理、变更管理、发布管理等）、评估数据安全管理机制的建立与执行情况、评估我方信息科技术管理职通部门的组成、工作职责及执行情况、评估我方战略规范和技术架构是否合理合规。 技术方面 物理安全评估 通过现场查看、访谈、测试等方式，评估物理环境安全和设备、设施安全，涉及的保障措施包括机房位置和设备布置、环境情况、建筑与架构、空气调节、电气技术、机房布线、不间断电源、防火、防盗、防雷、电磁屏蔽、身份鉴别和监控等。 网络安全评估 通过人工检查和访谈等方式评估目标系统的网络架构合理性、安全技术手段（包含但不限于网络架构安全、边界安全、网络接入安全、网络准入控制、非法外联检查、恶意代码防护、传输加密机制、网络设备防护、可用性检查、网络性能分析、数据流向分析、网络安全管理、网络安全审计等进行安全评估。 主机安全评估 通过访谈、人工审计、漏洞扫描以及渗透测试对身份鉴别、访问控制、安全审计、剩余信息保护、入侵防范、恶意代码防范、资源控制等进行评估，评估前提供漏洞全生命周期管理系统检测和实时监测主机漏洞及分布情况。 应用安全评估 对业务逻辑评估、身份认证和鉴别、用户帐户管理、应用操作、应用审核、数据安全保护、应用配置和授权等评估。 业务安全评估 通过对业务的环节风险点、业务环节间风险点、支撑系统风险点等进行评估。主要业务涵盖结算系统、信贷系统、财务系统、外汇池系统、反洗钱系统等，针对所有系统的代码进行安全审计，可为用户提供一套代码审计工具和提供本次人工审计服务，提交审计报告和整改建议。 数据安全评估 主要评估数据自身安全防护，除了在物理层、网络层、主机层和应用层相应的防护手段和措施以外，数据的生命周期包括了生成、存储、传输、使用和销毁等阶段，在实际的应用中，对于数据的保护主要体现在存储、传输和使用三个方面，其中涉及权限控制、加密存储和传输、数据防泄漏技术、数字水印等多种手段。是否满足银监等监管机构在监管数据采集、报送等方面的要求。 安全培训 提供一次全员信息安全意识培训 提供一次IT部门专业安全技能培训 提供一次IT部门网络安全发展趋势培训 应急演练 针对我方网络安全现状，制定应急演练计划和实施方案，并开展一次应急演练。 渗透测试 针对我方所有业务系统进行渗透测试，并提供渗透测试报告和整改建议。 结果输出 分阶段分类输出报告以及最终输出《巨化集团财务有限责任公司信息系统风险评估报告》、《巨化集团财务有限责任公司信息系统整改建议报告》等。 四、服务内容清单 序号 服务类别 内容描述 1 安全评估 按照非银行金融机构安全标准、国家等级保护要求进行差异化评估，包括主机安全、网络安全、应用安全、数据安全、运维安全、业务安全，提供等保整改方案和安全加固方案。 2 渗透测试 对信息系统进行渗透测试，包括应用系统及移动客户端所涉及到的信息系统、应用程序、数据库等，满足非银行金融机构安全标准、国家等级保护的要求。 3 代码审计 对信息系统源代码进行工具扫描+人工验证的方式进行审计，在代码审计完成后，出具针对代码的安全加固建议；提供1套代码合规安全检测系统及代码安全规范。 4 安全加固 根据对信息系统的安全设备、网络设备、中间件、数据库、服务器评估报告出具安全加固方案 ，满足非银行金融机构安全标准、国家等级保护的要求。 5 体系建设 根据等保标准从安全管理制度、安全管理机构、人员安全管理、系统建设管理、系统运维管理等，建立、完善并满足非银行金融机构安全