服务内容要求及标准

三标段：招商引资工作绩效信息管理系统等级保护

一、采购金额：10万元。

二、采购时间：合同签订之日至相关工作全部完成。

三、服务标准：满足采购人服务要求。

四、主要需求内容

（一）、项目概况

《中华人民共和国计算机信息系统安全防护条例》（国务院令第147号）

明确规定我国“计算机信息系统实行安全等级保护”。依据国务院147号令的要求而制订发布的强制性国家标准《计算机信息系统安全保护等级划分准则》（GB17859-1999）为计算机信息系统安全防护等级的划分奠定了技术基础。《国家信息化领导小组关于加强信息安全保障工作的意见》（中办发[2003]27号）明确“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统，抓紧建立信息安全等级保护制度，制定信息安全等级保护的管理办法和技术指南”。《关于信息安全等级保护工作的实施意见》（公通字[2004]66号）和《关于印发<信息安全定级保护管理办法>的通知》（公通字[2007]43号）确定了实施信息安全等级保护制度的原则、工作职责划分、实施要求和实施计划，明确了开展信息安全等级保护工作的基本内容、工作流程、工作方法等。2019年，《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）正式发布，在标准名称、保护对象、章节结构、控制措施等部分进行了修改和更新，标志着我国网络安全等级保护工作正式进入“2.0时代”。信息安全等级保护相关法规、政策文件、国家标准和公共安全行业标准的出台，为信息安全等级保护工作的开展提供了法律、政策、标准保障。

本项目的宗旨在于通过对本单位河北省招商引资工作绩效管理系统开展等级测评服务，通过等级测评，明确该系统的安全建设现状，找出存在的安全风险，分析安全建设差距，提出安全整改建议，并以此为基础，进一步制定安全建设整改方案，完善保护措施，使该系统满足我国关于等级保护相应级别的具体要求，增加信息系统安全的规范性和有效性，提高本单位的安全意识，增强网络的抗攻击的能力，保证被测系统正常运转。

（二）、服务要求

1.信息系统备案

协助商务厅按照《信息安全等级保护备案实施细则》（公信安[2007]1360号）文件要求，完成定级、备案材料的整理及在公安机关网安部门备案工作，并取得公安相关部门出具的信息系统安全等级保护备案证明。

2.初次测评

参照《信息安全技术网络安全等级保护基本要求》（GB/T 22239-2019）检查被测系统，从安全物理环境、安全通信网络、安全区域边界、安全计算环境、安全管理中心等五个层面和管理上的安全管理制度、安全管理机构、安全管理人员、安全建设管理、安全运维管理进行差距分析，对系统进行初次安全评估。

通过对系统现状的分析和梳理，发现系统现有安全措施与等级保护基本要求的差距，提出安全整改建议，以指导后续安全整改工作。

（1）安全物理环境测评：包括物理位置的选择、物理访问控制、防盗窃和防破坏、防雷击、防火、防水和防潮、防静电、温湿度控制、电力供应、电磁防护等内容。

（2）安全通信网络测评：包括网络架构、通信传输、可信验证等内容。

（3）安全区域边界测评：包括边界防护、访问控制、入侵防范、恶意代码防范、安全审计、可信验证等内容。

（4）安全计算环境测评：包括身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范、可信验证、数据完整性、数据保密性、数据备份恢复、剩余信息保护、个人信息保护等内容。

（5）安全管理中心测评：系统管理、审计管理、安全管理、集中管控等内容。

（6）安全管理制度：涵盖管理制度、制定和发布、评审和修订。

（7）安全管理机构：涵盖岗位设置、人员配备、授权和审批、沟通和合作、审核和检查。

（8）安全管理人员：涵盖人员录用、人员离岗、人员考核、安全意识教育和培训、外部人员访问管理。

（9）安全建设管理：涵盖系统定级、安全方案设计、产品采购和使用、自行软件开发、外包软件开发、工程实施、测试验收、系统交付、安全服务商选择。

（10）安全运维管理：涵盖环境管理、资产管理、介质管理、设备管理、网络安全管理、系统安全管理、恶意代码管理、密码管理、测评实施、备份与恢复管理、安全事件处置、应急预案管理。

3.信息系统等保整改方案及建议

中标方应协助采购人按照《信息安全等级保护管理办法》（公通字[2007]43号）等有关管理规范和技术标准，全程协助采购人制定并落实安全管理制度、落实安全责任，建设安全设施，落实安全技术措施。针对测评发现的问题，形成问题清单，出具整改建议，协助采购人开展相关整改工作，针对问题项逐一进行整改，直至问题整改完毕，对应暂时不能整改的问题，要提出临时解决建议方案，采取临时防护手段确保安全。通过安全建设整改，确保信息系统通过相应级别的安全等级评测。

4.二次测评

通过对整改后的系统进行分析和梳理，再次实施安全测评，记录访谈检查结果，进行综合分析，梳理安全风险，再次提出安全整改建议，测评结束后，按照公安部有关要求及《网络安全等级测评报告》（2021年版）完成安全测评报告的编写。

5.SSL证书服务

为了提升系统的安全性，保护用户数据在传输过程中的安全性和完整性，须提供一年SSL证书服务。

6.主机安全防护服务

提供主机层面的安全防护服务。针对主机层提供病毒查杀、补丁管理、运维管控、安全策略管理、资产管理等服务。

7.日志审计服务

用于全面收集企业IT系统中常见的安全设备、网络设备、数据库、服务器、应用系统、主机等设备所产生的日志（包括运行、告警、操作、消息、状态等）并进行存储、监控、审计、分析、报警、响应和报告的系统。涉及互联网区和政务外网区，需单独收集。

8.漏洞扫描安全巡检服务

对相关业务系统进行漏洞扫描、后门查杀等服务；在得到漏洞扫描授权后，由专业技术人员进行漏洞扫描服务，检查范围涵盖系统涉及的网络、主机、应用系统等各个层面，了解采购方当前信息系统的运行情况，并对发现的安全隐

患提供改善建议，主要包括技术检查和管理检查两方面，协助运维商和应用系统开发商进行高危漏洞修补，每季度生成检测报告。

9.安全加固服务

对单个网络设备、安全设备、服务器、数据库、中间件、应用系统进行加固。网络设备、安全设备、服务器和运维终端等设备的日志推送至日志审计系统。数据库日志推送至数据库审计系统。对服务器、终端关闭高危端口（如135、

136、139、445等），对网络设备、安全设备、服务器、终端、应用系统、中间件、数据库等严重、高危补丁进行修复。

五、项目实施地点采购人指定地点

六、付款方式

签订合同后，按合同约定进行付款。

七、项目验收要求

达成合同规定服务内容。