《中国知识产权培训中心网络信息安全服务项目需求书.docx》由会员分享,可在线阅读,更多相关《中国知识产权培训中心网络信息安全服务项目需求书.docx(15页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、中国知识产权培训中心网络信息安全服务项目需求书中国知识产权培训中心2018年4月4. 2. 6网站安全监控服务序号重要性内容要求1服务名称网站安全监控服务2服务要求 通过工具化监测和远程专家值守对网站系统提 供全年365天不间断的远程网站监测服务,为 用户网站系统实现远程安全监测、安全检查、 实时响应和人工分析服务。一旦网站遇到风险 状况后,安全监测团队会在第一时间进行确认, 并提供专业的解决方案,为构建完善网站安全 体系的奠定基础;网站安全监控须针对培训中心教学辅导平台中 的论坛、沙龙、开放问答等板块进行自动化违 规关键字检测并进行及时告警。3服务范围中国知识产权培训中心所有信息发布系统4服
2、务频次1年,7*24小时不间断进行。5服务成果网络安全监控月报 网络安全监控年报6#其他要求供应商需要明确投入本服务的人员名单,提供 本服务的人员所具备的专业资质;在报价文件中详细描述服务方案。4. 2. 7安全咨询服务序号重要性内容要求1服务名称安全咨询服务2服务要求根据培训中心情况,在培训中心迎接上级单位、 网信部门等监督检查的过程中进行辅助;协助培训中心完成监督检查的报告、整改报告 的编制工作; 配合培训中心进行日常安全管理制度的实施和 微调工作。3服务对象中国知识产权培训中心4服务频次1年服务期内不限次提供。5服务成果(1)网络安全报告(2)日常管理制度集6#其他要求供应商需要明确投入
3、本服务的人员名单,提供 本服务的人员所具备的专业资质;在报价文件中详细描述服务方案。5项目保证需求5. 1人员保证供应商在报价方案中,应明确提供参加本项目的项目负责人 及主要服务实施人员名单以及人员的类似项目的实施经历。供应 商必须保证相关人员的稳定性,在本项目服务期结束前,参加本 项目的人员变动必须取得培训中心同意。供应商提供的人员应包 括项目负责人、安全服务工程师等。项目人员不能少于10名。本项目的项目负责人应具有一定的项目管理能力,有系统运 维、等级保护建设等相关的经验,深刻理解信息系统运维服务以 及信息安全建设,因此要求本项目的项目负责人需具备信息安全 领域的专业资质,并具备信息安全专
4、业的高级工程师资质以及5 年以上的信息安全服务经验。项目人员中需要具有注册信息安全 专业人员资质(审计类)、C-CCSK,等级保护测评师以及等级保护 建设专业人员等各类资质,以及2年以上的信息安全服务经验。供应商须在报价文件中提供为本项目组建的项目团队成员信 息及其所负责的服务内容,并提供项目经理、项目成员的简历、 资质证书复印件或扫描件,所有本项目团队成员须开具近三个月 社保证明。5.2工期保证服务期限为1年,在本项目合同签订之后,1年内完成安全服 务相关工作。供应商的项目进度管理应该遵循以下原则:(1)依据项目合同约定的工期目标,组织项目进度管理;(2)在确保项目质量和安全的原则下,控制项
5、目进度。5. 3质量保证供应商在安全服务过程中应严格按照相关安全标准,针对安 全服务的各个环节,提出有效质量管理计划、质量控制措施及风 险控制规避计划,项目经理应在项目每一阶段,对实施过程的控制, 调查、分析和解决发现的问题,问题及其解决办法都应写成文档 (包括项目周报、会议记录等),保证项目按目标完成。5.4安全保密供应商要严格遵守国家保密法及有关保密的法律法规, 选派具有良好职业道德的人员参与和从事本项目工作,教育相关 人员恪守职业道德,服从培训中心的管理,严格遵守培训中心的 保密规定和工作制度,并承担相应的保密责任。供应商所有参与本项目的服务人员须签订保密承诺书。供 应商负责对保密承诺书
6、归档保管,接受培训中心检查。供应 商要对承诺履行情况负有监督责任,一经发现违反承诺情况,要 及时向培训中心报告。供应商所有参与本项目的服务人员自觉接受培训中心的安全 保密监督和管理,如违反安全保密条款,培训中心将追究其责任, 对泄露系统资料,造成伤害的,除依据有关规定追究有关责任人 员法律责任外,还将依法承担相应的民事责任。6评分标准评分内容评分项评分细则分项 分值价格部分 (30 分)报价价格得分二(基准价/报价)X30%X100 基准价=所有报价人中有效报价的最低价。0-30商务部分 (30 分)等级保护 建设服务 资质1)具有中国信息安全认证中心颁发的信息系统安全 集成服务资质,一级得3
7、分,其他等级得1分,不 具有得0分(提供证书复印件)。0-32)具有公安部第一研究所颁发的信息安全等级保护 安全建设服务机构能力评估合格证书,得5分,不 具有得0分(提供证书复印件)。0-5信息安全 服务能力 资质1)具有中国信息安全认证中心颁发的信息系统安全 运维服务资质,一级得5分,其他等级得2分,不 具有得0分(提供证书复印件)。0-52)具有中国信息安全认证中心颁发的信息安全风险 评估服务资质,一级得3分,其他等级或者不具有 得0分(提供证书复印件)。0-33)具有中国信息安全认证中心颁发的信息安全应急 处理服务资质,一级得2分,其他等级得1分,不 具有得0分(提供证书复印件)。0-2
8、4)具有IS020000 IT服务管理体系认证证书、具有 证书得2分,不具有得0分(提供证书复印件)。0-25)近三年(2015年1月1日起)所承担的国家部 委或北京市党政机关的网络安全服务项目(不含软 硬件产品采购和软硬件产品维保),每提供一个加 2分(最高10分)。以上案例须提供合同关键页作 为证明材料,不提供证明材料不得分。(须提供合 同首页、合同金额页、盖章页、关键服务内容页的 复印件,并加盖本单位公章)。0-101)根据服务要求中一等级保护建设服务部分的具体 需求,依照各个分项表格里提到的内容逐一提供具 体服务方案和以往类似服务成果样例:0-10方案严谨,内容充实且完全满足或优于我方
9、要 求的得810分;方案较为严谨,内容较为全面,能够基本满足 我方要求的得5-7分;方案不够严谨,能容不够充实,与我方要求存 在差距的得14分;服务方案完全不满足我方要求的得0分。2)根据服务要求中一日常运维服务部分的具体需 求,依照各个分项表格里提到的内容逐项提供具体 服务方案以往类似服务成果样例:方案严谨,内容充实且完全满足或优于我方要 求的得11-15分;方案较为严谨,内容较为全面,能够基本满足 我方要求的得6To分;技术部分(40 分)方案不够严谨,能容不够充实,与我方要求存 在差距的得15分;完全不满足我方要求的得0分。1)项目负责人资质: 信息系统项目管理师证书;信息安全专业高级工
10、程师证书; CISP 证书;0-5 CISSP 证书; ITIL证书.上述证书每具备一种获得1分,总分5分。2)项目人员资质:人员配备等级保护建设服务人员: 具有信息安全等级测评师证书(高级)得1分; 具有CISP-A或CISA资质,提供1个得1分,最多得4分;0-10日常运维服务人员: 具有CISSP资质,提供1个的1分,最多1分; 具有C-CCSK或CCSP资质,每具有1个得1分,最高4分。1项目背景为贯彻落实习近平总书记关于“加快构建关键信息基础设施 安全保障体系”,“全面加强网络安全检查,摸清家底,认清风险, 找出漏洞,通报结果,督促整改”的重要指示精神,根据中央网 信办发布的关于开展
11、关键信息基础设施网络安全检查的通知 (中网办发文20163号)的要求以及国家知识产权局2018年 网络信息安全工作计划中的具体指示,培训中心结合目前网络信 息安全保障工作中的实际需求,制定本次网络信息安全服务项目 需求书,通过引入第三方专业安全服务机构进一步提升培训中心 的网络信息安全保障能力。2工作内容本项目的服务内容主要分为两部分,一是协助培训中心完成 重要系统的等级保护相关工作(详见服务要求),二是参与培训中 心信息发布系统的日常运维工作,具体分项见下表:序号类别名称单位数量备注1等级保护建设服务定级备案次1无2差距分析次1无3管理制度修订次1无4等级保护测评 (二级)次1无5网络安全支
12、持服务脆弱性检测次1每年一次6漏洞扫描次2半年一次7渗透测试/IP/域名2无8安全加固次2每半年一次。9应急响应年1每年三次应 急演练;应急 响应不限次 提供。10网站安全监控服务/IP/域名/年1无11安全咨询服务年1服务期内限 次提供。12杀毒软件防病毒软件(包含 统一控制端及配套 软件)套60360天擎终端 安全管理系 统v6.0, 一年 配套升级服 务3服务时间本次采购所涉及的服务期限:一年。4服务要求4.1 等级保护建设服务4.1.1 杀毒软件产品类型产品类型设备名称规格描述360安全防护天擎终端安全管 理系统V6.0基础平台系统控制中心软件360天擎系统基础组件,实现系统 的集中管
13、理、策略配置、报表查看 等功能。客户端基础组件360天擎客户端基础组件,需通过 购买授权许可实现其它功能。购买 的其他功能模块默认包含一年软 件升级服务。(该模块不能单独购 买使用,必须结合其他功能模块使 用)模块防病毒功能授权 (Windows服务器与客户端)防病毒的病毒查杀引擎包括云查 杀引擎、AVE、QEX、QVM等引擎, 支持多引擎的协同工作对病毒、木 马、恶意软件、引导区病毒、BIOS 病毒等进行查杀,提供主动防御系 统防护等功能。客户端系统默认支 持 Windows XP/VISTA/WIN7/WIN8/ WIN10,含一年升级服务。运维管控功能授权运维管控功能,支持对终端上传下
14、载速度与流量进行管控;支持对各 种外接设备进行外联控制,并根据 违规外联发生时内外网连接状态 分别设置违规处理措施;支持终端 进程的黑白红名单设置;支持网址 黑白名单策略;支持对终端各种外 设、接口设置使用权限;支持对终 端桌面系统的账号密码、本地安全 策略、控制面板、屏保与壁纸、浏 览器安全、杀毒软件检查进行管控 策略配置。客户端系统默认支持Windows XP/VISTA/WIN7/WIN8/WIN10360安全防护天擎终端安全管理系统V6.0Windows客户端补丁管理功能授权补丁管理功能,支持对全网终端系 统漏洞发现、补丁智能修复、强制 修复等、蓝屏修复、补丁分发流量 控制、客户端P2
15、P补丁分发加速等 功能。客户端系统默认支持 Windows XP/VISTA/WIN7/WIN8/ WIN10,含一年升级服务。其他服务技术支持服务提供至少每季度一次的内网安全 体系巡检;定期对内网做病毒扫描并确保每 一次巡检后提交病毒报告;根据情况,出现突发事件时对用户 进行紧急救援,4小时内赶赴现场。 7*24小时电话支持。提供一年的防病毒软件免费升级 服务;提供免费的安装调试服务,对相关 工作人员进行现场设备培训,使他 们具备基本的安全意识,掌握安全 产品的基本使用方法以及对于常 见安全事件的处理措施;对用户的防病毒服务器设置进行 检查,确保工作正常,并优化设置, 使产品处于最佳运行状态
16、。序号重要性内容要求1服务名称定级备案2服务要求基于信息系统现状,参照信息系统安全等级保护定级 指南,对系统现状进行调研,根据调研结果,确定定 级对象,分析定级要素,根据等级保护对象受到破坏 时所侵害的客体和对客体造成的侵害程度确定系统等 级,编制定级报告并协助备案。3服务范围1个二级系统4服务频次1次。5服务成果备案证明6#其他要求供应商需要明确投入本服务的人员名单,提供本 服务的人员所具备的专业资质;在报价文件中详细描述服务方案。4.L3差距分析序号重要性内容要求1服务名称差距分析2服务要求基于信息系统现状和系统安全等级,参照信息 系统安全等级保护要求,从信息安全技术和信 息安全管理两个方
17、面分析信息系统安全防护现 状与等级保护要求之间的差距,并形成差距分 析报告。3服务范围1个二级系统4服务频次1次。5服务成果差距分析报告6#其他要求供应商需要明确投入本服务的人员名单, 提供本服务的人员所具备的专业资质;在报价文件中详细描述服务方案。4. 1.4管理制度修订序号重要性内容要求1服务名称管理制度修订2服务要求基于信息系统安全等级,根据信息安全等级保护管 理要求,从信息安全管理制度、安全管理机构、人 员安全管理、系统建设管理和系统运维管理五个方 面对现有信息安全管理制度进行优化和修订,达到 国家信息安全等级保护管理要求。3服务范围1个二级系统4服务频次1次。5服务成果帮助培训中心完
18、善网络信息安全管理制度6其他要求供应商需要明确投入本服务的人员名单,提供 本服务的人员所具备的专业资质;在报价文件中详细描述服务方案。等级保护测评(二级)序号重要性内容要求1服务名称等级保护测评(二级)2服务要求根据国家信息安全相关政策和要求,由有资质的第 三方机构进行等级保护二级信息系统测评,全面评 估信息系统现有安全防护水平和相应等级安全要 求之间的差距,测评内容包括技术安全测评、管理 安全测评和综合测评,并出具测评报告。3服务范围1个二级系统4服务频次1次。5#服务成果等级保护测评报告(二级)6#其他要求要求在测评期间提供一名资深工程师现场配合 测评,提供本服务的人员须具备信息安全等级
19、测评师证书。4.2日常运维服务4. 2.1脆弱性检测序号重要性内容要求1服务名称脆弱性检测2服务要求借助专业化服务人员对系统的操作系统、数据库、 中间件进行脆弱性检测,并对上述系统相关的网 络核心层、汇聚层设备、安全设备进行脆弱性检 测,以发现在网络、主机、应用等层面存在的安 全隐患,并提出改进建议。3服务范围中国知识产权培训中心所有信息发布系统4服务频次1次。5服务成果系统脆弱性检测报告6#其他要求供应商需要明确投入本服务的人员名单,提供 本服务的人员所具备的专业资质;在报价文件中详细描述服务方案。4. 2.2漏洞扫描序号重要性内容要求1服务名称漏洞扫描2服务要求使用专业的检测工具和分析手段
20、对系统漏洞进行 扫描,从网络安全技术架构、网络/安全设备性能 和策略、主机(包括操作系统、数据库和中间件) 安全策略等方面,查找受保护的信息系统和关键 资产存在的脆弱性,分析其面临的威胁,明确保 护重点,并提交漏洞扫描报告。3服务范围中国知识产权培训中心所有信息发布系统4服务频次2次。5服务成果系统漏洞扫描报告6#其他要求供应商需要明确投入本服务的人员名单,提供 本服务的人员所具备的专业资质;在报价文件中详细描述服务方案。序号重要性内容要求1服务名称渗透测试2服务要求在不影响正常业务前提下,使用专业的测试工具, 模拟黑客针对网站系统平台、重要系统所在的网 段、被保护主机进行相关渗透测试服务。查
21、找信 息系统在编码、设备配置等方面存在的安全隐患, 分析各项安全漏洞遭黑客利用的难易程度及可能 带来的负面影响,验证、评估安全防护措施的有 效性,并针对检测出的安全隐患结果提出详尽的 测试报告。3服务范围中国知识产权培训中心所有信息发布系统4服务频次2次。5服务成果系统渗透测试报告及建议整改方案6#其他要求供应商需要明确投入本服务的人员名单,提供 本服务的人员所具备的专业资质; 在报价文件中详细描述服务方案。4. 2.4安全加固序号重要性内容要求1服务名称安全加固2服务要求根据差距分析结果,结合业务需求,对信息系统 相关的操作系统、数据库、中间件和网络与安全 设备通过技术手段进行安全策略加强调
22、优,加强 网络、系统和设备抵御攻击和威胁的能力,整体 提高网络安全防护水平。3服务范围中国知识产权培训中心所有信息发布系统4服务频次2次。5服务成果系统安全加固方案6#其他要求供应商需要明确投入本服务的人员名单,提供 本服务的人员所具备的专业资质;在报价文件中详细描述服务方案;为了切实保证培训中心网络安全,需要供应商 具备一定的工程建设能力,必要时供应商需要 对培训中心现有网络安全体系结构进行重新 规划和调整。序号重要性内容要求1服务名称应急响应2#服务要求根据安全事件应急预案,在培训中心发生安全事件时 及时响应,执行应急响应流程,通过专家级的技术支 持和快速响应,及时消除安全事故,减少损失和
23、负面 影响,提升培训中心系统的业务连续性。其中,供应 商应当: 针对应急响应制订事件分类和响应策略,并根据 要求组织培训中心进行应急演练操作; 提供7*24小时的应急响应能力,在接到或监测 到培训中心发生安全事件后,15分钟内由相关工 程师做出响应并开始处理,同时应根据培训中心 要求及安全事件严重程度(依据事件分类)立即 派遣工程师并在2小时内赶到用户现场,提供不 间断故障处理服务。 供应商须具备完善的应急事件响应处理流程,并 在报价文件中明确该流程,如遇重大安全事件须 第一时间指导培训中心进行证据保全及遏制操 作;供应商在提供服务过程中须自行提供相关的工 具和产品,包括:防病毒软件、实时监控
24、软件、 日志分析软件、取证工具等; 供应商现场应急响应服务须符合培训中心的安 全管理规定; 供应商须在应急处理完成后出具详细应急响应 报告并进行深入的入侵分析,定位安全事件的源 头,进行外部攻击源追溯,内部脆弱性分析,人 工分析操作系统、中间件、数据库等系统软件日 志记录信息,进行关联分析找出入侵途径,并提 出切实可行的安全加固整改建议并落地实施。3服务范围中国知识产权培训中心所有信息发布系统4服务频次1年服务期,三次应急演练,应急响应不限次数。5服务成果(1)应急响应报告(2)安全事件分析及加固建议(3)培训中心网络信息安全应急预案6#其他要求供应商需要明确投入本服务的人员名单,提供本 服务的人员所具备的专业资质; 在报价文件中详细描述服务方案。