科技创新深圳市住房保障署.docVIP

深圳市住房保障署 信息安全项目 招 标 书 深圳市住房保障署 2017年8月“深圳市住房保障署信息安全”项目 招 标 书 项目背景 为了进一步加强深圳市住房保障署网络信息安全的管理工作，保障各个信息系统安全稳定运行，预防重大网络安全事件的发生，落实年度信息安全联合检查工作和信息信息安全等级测评工作? 2.2项目目标和范围： 依据我国信息安全等级保护标准、上级单位关于深圳市党政机关信息安全联合检查要求，对采购方开展信息安全风险评估、安全管理制度落实、各项安全防护措施落实情况检查、应急响应机制建设、安全隐患排查及整改、信息安全教育培训、网站实时安全监控、信息安全等级保护测评以及重要信息系统的漏洞扫描、安全核查、渗透测试和安全加固等工作，落实和完成采购方的的信息安全指标，持续保障采购方信息系统和网络安全稳定运行，防止重大安全事件的发生。 本次项目涉及基础网络架构、重要信息系统、存储设施、安全防护设施和终端设备等IT资产。 2.3项目实施依据： 1、《2017年深圳市党政机关信息安全联合检查工作方案》 2、《深圳市人民政府信息系统安全检查办法》（深府办[2009]138号） 3、《信息安全等级保护管理办法》（公通字[2007]43号） 4、《信息系统安全等级保护基本要求》（GB/T22239-2008） 5、《政府信息系统安全检查办法》（国办发[2009]28号） 6、《信息安全风险评估规范》（GB/T20984-2007） 7、《深圳市信息安全风险评估实施指南》 8、深圳市关于开展信息安全风险评估工作的实施意见（深科信[2006]268号） 9、 《关于党政机关内网安全管理有关问题的通知》（深办[2008]55号） 10、《深圳市政府网站建设和管理规范》（SZDB/Z 50—2011） 2.4项目服务内容： 为了从各个方面加强信息安全保障，全面提高采购方整体信息安全水平，本次项目的内容主要包括信息安全检查和运维保障、网站系统实时安全监控和信息安全等级保护测评等服务工作。 2.4.1信息安全检查和运维保障服务 信息安全检查和运维保障服务根据国家信息安全相关法规、标准的要求，结合采购方的实际安全需求，主要包括信息安全风险评估、安全防护措施落实、安全加固与优化、信息安全管理制度梳理、应急响应机制建设、信息安全培训教育和信息安全咨询服务等七大模块的服务，具体要求如下所述： 序号 分类 描述 服务项目 服务内容 服务次数 1 信息安全风险评估 根据《信息安全技术信息安全风险评估规范》（GB/T20984-2007）、《信息系统安全保护等级基本要求》（GB/T 22239-2008）等相关标准，对采购方信息系统和IT基础设施进行安全风险评估，包括明确风险评估范围、识别重要资产、识别脆弱性和威胁、现有安全控制措施、应用系统漏洞扫描、分析和计算风险状况、制定不可接受风险处置方案和风险评估报告和总结。 资产识别 根据资产、业务流程的特性和重要程度对资产进行科学的分类（数据、服务、声誉、硬件和软件、通讯、程序界面、物理资产、支持设施、人员和访问控制措施等有形和无形资产），并参考CIA（保密性、完整性和可用性）进行价值分级和定量，以识别关键的信息资产。 1次/年 威胁识别 通过安全策略检查、文档查看、业务流程分析、网络拓扑分析、人员访谈、入侵检测系统收集的信息和人工分析等手段对可能潜在的威胁进行分类、分析和定性。 1次/年 脆弱性 识别 以资产为核心，针对每一项需要保护的资产、识别可能被威胁利用的弱点，并对脆弱性的严重程度进行评估，分析出有可能被潜在威胁源利用的系统缺陷或脆弱性列表，并对其进行分级。 1次/年 现有控制措施有有效性 结合资产、威胁和脆弱性分析结果，对现有的预防性安全措施和保护性安全措施进行有效性测试、评估。 1次/年 风险分析 资产-威胁-脆弱性映射关系以及控制措施效果，分析存在的安全风险发生的可能性和影响。 1次/年 风险计算 以关键业务系统为关联要素，通过资产的价值、资产面临的威胁和存在的脆弱性三个方面的内容进行量化，统计分析风险值，评定业务系统所属的风险范围和等级。 1次/年 风险结果与总结 通过层面汇总分析和综合分析等过程找出信息系统的安全风险，识别影响系统安全保护能力的安全隐患，形成评估结论报告。 1次/年 风险处置 方案 针对信息安全风险评估结果和存在的关键性问题，提出相应的不可接受风险处置建议和方案。 1次/年 2 安全防护措施落实服务 根据《深圳市党政机关内网安全加固工作方案》、《互联网安全保护技术措施规定》、《信息系统安全保护等级基本要求》（GB/T 22239-2008）、《信息系统和信息设备使用保密管理规定》以及《全国人民代表大会常务委员会关于加强网络信息